EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2023/924

2023/924

01/06/2023

Konu: Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi hususunda inceleme.

Kararı Paylaşın

Karar Özeti:

“Otopark işletmecisi, araç sahiplerinden tahsil edilmesi gereken park borçlarına ilişkin olarak açtığı itirazın iptali davasında, ilgili kişinin kimlik bilgilerine ulaşabilmek amacıyla veri işleme faaliyeti gerçekleştirmiştir. Ancak, bu işlem Kanun’un 5. maddesi ikinci fıkrasının (e) bendi kapsamında değildir, çünkü araç sahibinin kimliğini ispat etmek için gereken deliller mahkemeye sunulabilmektedir. Ayrıca, bu süreçte kullanılan çevrimiçi borç sorgulama hizmetinde çift faktörlü doğrulama yapılmamıştır, bu da Kişisel Veri Güvenliği Rehberi’ne aykırıdır. Öte yandan, veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmemiş ve Kanun’un 18. maddesi uyarınca 75.000 TL idari para cezasına çarptırılmıştır. Bu nedenle, veri sorumlusuna Kanun ve Tebliğ’e uygun bir Aydınlatma Metni hazırlama ve sonucunu Kurula bildirme talimatı verilmiştir.

Sonuç olarak, ilgili kişinin araç plakası üzerinden yapılan kimlik sorgulama ve veri işleme faaliyetleri, Kanun’a uygun olmadığı için işlem yapılmamıştır. Ayrıca, çevrimiçi ödeme sisteminde çift faktörlü doğrulama sağlanması veya bu mümkün değilse veri işleme faaliyetine son verilmesi gerekmektedir. Bu işlemlerin sonuçlarının Kurula bildirileceği karara bağlanmıştır. “

Ceza: Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kurum’a intikal eden şikayette özetle;

  • Otopark işletmecisi veri sorumlusu tarafından, ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve söz konusu icra takibine itiraz etmesi neticesinde tüketici mahkemesinde kendisi aleyhine itirazın iptali davası açıldığı, söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, aracının ruhsat bilgilerinin hangi yolla temin edildiğinin belirsiz olduğu, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı, borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı

hususları ifade edilerek 6698 sayısı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu otopark işletmecisinden savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Araçlarını kendilerinin işlettiği park alanlarına park edip ödeme yapmayan borçlular hakkında icra takibi başlatıldığı, ilgili kişiye de bu kapsamda icra takibi başlatıldığı, takibe itiraz edilmesi üzerine itirazın iptali davası açıldığı,
  • İlgili kişiye ait kişisel verilerin Kanun’un 5’inci maddesinin ikinci fıkrası (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü kapsamında işlendiği,
  • İlgili kişinin aracını, 27.08.2019-20.01.2022 tarihleri arasında kendilerince işletilen yol üstü otopark alanlarına park etmesi ile taraflar arasında sözleşmenin kurulduğunun kabul edilmesinin gerektiği,
  • İlgili kişinin de sözleşmenin bir tarafı olmasından dolayı Kanun’un 5’inci maddesinin ikinci fıkrası (c) bendi kapsamında ve yalnızca borcun tahsiline yarayacak verilerin işlenmesinde Kanun’a aykırılık bulunmadığı,
  • Kanun’un “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”nı düzenleyen 5’inci maddesinin ikinci fıkrası (e) bendi kapsamında, aracın fotoğraflarının çekilmesinin ilgili kişiye açılan itirazın iptali davasında iddia edilen alacak tutarının belirlenmesine, aracın şirketlerince işletilen yol üstü otopark alanlarında hangi gün kaç saat park edildiğinin tespit edilmesine yönelik olduğu, ilgili aracın kendilerince işletilen otopark alanlarına park edildiğinin taraflarınca ispat edilememesi durumunda davalarının reddedildiği,
  • Park edilmeye ilişkin fotoğrafların, genel hükümlere göre ve otopark ücreti alacaklarının tahsiline yönelik mahkeme kararı kesinleştikten sonraya ve şirketleri aleyhine açılabilecek diğer davaların zamanaşımı veya hak düşürücü süreleri sona erinceye kadar muhafaza edildiği/edileceği,
  • İlgili kişiye ait ruhsat bilgilerinin kendilerinde mevcut olmadığı, borcu bulunan araç plakasının park edilme tarihi itibariyle kim adına kayıtlı olduğunun ilgili makamlardan tespit edilmesinin, araç plakası üzerine kayıtlı bulunan kişinin ruhsat bilgilerinin kendilerince bilindiği ve işlendiği anlamına gelmediği,
  • Araç plakasının alenileştirilmiş olması nedeniyle kendilerince ilgili kişiye aydınlatma yapma yükümlülükleri bulunmadığı kanaatinde olunduğu,
  • İlgili kişiye ait aracın ruhsat bilgilerinin değil, yalnızca araç plakasının borcun doğduğu tarihte kim adına kayıtlı olduğunun ilgili emniyet makamlarından ve Noterler Birliği’nden sorulduğu, bu bilgiler ilgili makamlara sorulurken 4982 sayılı Bilgi Edinme Kanunu, avukat ile yürütülen işlemler bakımından Avukatlık Kanunu’nun 2’nci maddesi ve Kanun’un 5’inci maddesinin ikinci fıkrası hükümlerine dayanıldığı,
  • Araç plakası sorgulanmak suretiyle borç bilgisinin öğrenilebildiği internet adresinin kendilerinin kullandığı ve borçluların da kullanımına açık olan bir altyapı olduğu, adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği ve ödeme yapmak isteyenlerin yine aynı sitede belirtilen hesaba ödeme yapabildiği

ifade edilmiştir.
Konuya ilişkin yapılan yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 01/06/2023 tarih ve 2023/924 sayılı Kararı ile;

  • Kanun’un 5’inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünün düzenlendiği,
  • Araç sahibine ilişkin bilgilere ulaşılması bakımından, mutlaka aracın ruhsat bilgilerinin bilinmesinin gerekmediği, araç plakası ile yetkili makamlardan yapılacak sorgulama neticesinde de araç sahibine ilişkin bilgilere ulaşmanın mümkün olduğunun herkesçe bilinen bir durum olduğu, ilgili kişinin kendisine ait ruhsat bilgilerinin ele geçirildiği iddiasının tevsik edici bir bilgi ya da belgeye dayandırılmadığı,
  • Veri sorumlusu otopark işletmecisi ile aralarında kurulan sözleşme kapsamında park borcundan kaynaklanan alacağın tahsiline ilişkin icra takibi ve sonrasında dava açılabilmesi için ilgili kişinin kimlik bilgilerine ulaşılmasının, bu amaçla ilgili kişinin kişisel verilerinin, ilgili kişiye ait araç plakasının ilgili makamlardan sordurulmak suretiyle kimlik bilgilerine ulaşılarak işlenmesinin, veri sorumlusunun sözleşmeden kaynaklanan haklarını kullanabilmesi için zorunlu olduğu, bu kapsamda söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kapsamında kaldığı,
  • 6100 sayılı Hukuk Muhakemeleri Kanunu’nun (6100 sayılı Kanun) “Dava dilekçesinin içeriği” başlıklı 119’uncu maddesinin birinci fıkrasının (f) bendinde “İddia edilen her bir vakıanın hangi delillerle ispat edileceği hususlarının dava dilekçesinde bulunacağı” hükmünün, “Tarafların belgeleri ibrazı zorunluluğu” başlıklı 219’uncu maddesinin birinci fıkrasında “Taraflar, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorundadırlar. Elektronik belgeler ise belgenin çıktısı alınarak veya talep edildiğinde incelemeye elverişli şekilde elektronik ortama kaydedilerek mahkemeye ibraz edilir.” hükmünün, “Delillerin ikamesi” başlıklı 318’inci maddesinde ise “Taraflar dilekçeleri ile birlikte, tüm delillerini açıkça ve hangi vakıanın delili olduğunu da belirterek bildirmek, ellerinde bulunan delillerini dilekçelerine eklemek ve başka yerlerden getirilecek belge ve dosyalar için de bunların bulunabilmesini sağlayan bilgilere dilekçelerinde yer vermek zorundadır.” hükmünün düzenlendiği,
  • Anılan hükümler doğrultusunda, veri sorumlusu otopark işletmecisinin ilgili kişi ile aralarında kurulmuş olan sözleşmeden doğan alacağını tahsil edebilmek amacı ile açtığı itirazın iptali davasında, iddiasını ispatlayabilmesi için iddianın dayanağı olan delilleri mahkemeye sunmasının zorunlu olduğu, söz konusu ihtilaf park borcundan kaynaklanan alacağa ilişkin olduğu için, veri sorumlusunun ispat etmesi gereken hususların ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarına park edip etmediği, bu alanlara park etti ise ne kadar süre ile park ettiği hususları olduğu, bu kapsamda, veri sorumlusunun anılan hususları ispatlamasının ancak aracı, park edildiği yer ve tarih görünecek şekilde fotoğraflaması ile mümkün olduğu, veri sorumlusu tarafından gerçekleştirilen aracın fotoğraflarının çekilerek dava dosyasına sunulması suretiyle kişisel veri işleme faaliyetinin, Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında kaldığı,
  • Kurum’a intikal ettirilen bilgi ve belgelerden veri sorumlusu tarafından adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği bir sayfa olarak ifade edilen internet adresinde, başka herhangi bir ek bilgi gerekmeksizin bir araç plakası ve araç plakasının yazıldığı kutucuğun hemen yanında yer alan doğrulama sayıları ile yapılan sorgulama neticesinde, söz konusu araç plakasına ait borç bilgisine ulaşılabildiği, araç plakasının ait olduğu kişi bilindiğinde yahut öğrenildiğinde, söz konusu uygulamanın, araç sahiplerinin borç bilgilerine rahatlıkla ulaşma imkanı verdiğinin tespit edildiği,
  • Kurum tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)”nde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanmasının, güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığı, bu itibarla kişisel verilere uzaktan erişilmesi halinde üçüncü kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılmasının gerekli olduğu, örneğin kişinin T.C. kimlik numarası ve doğum günü bilgisinin sorgulanarak bilgilere erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin T.C. kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemlerin iki kademeli doğrulama olarak kabul edildiği,
  • Bu çerçevede, borç sorgulama gibi internet sayfaları aracılığıyla çevrimiçi olarak sunulan hizmetler kapsamında Kanunun 12’nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulama T.C. kimlik numarası, ad soyadı, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesinin, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne-baba adı, sicil numarası gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı,
  • Somut olay bakımından, yalnızca araç plakası ile gerçekleştirilen tek kademeli sorgulamanın, ikinci kademede kişiye özel olarak belirlenecek bir bilgi ya da SMS veya e-postaya iletilen bir şifre gibi bir sistem ile yapılabilecek şekilde düzenlenmesi gerektiği veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesinin uygun olacağı,
  • Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinde “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünün yer aldığı,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesine göre ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmesi gerektiği, Kanun’un veri sorumlusunun aydınlatma yükümlülüğünü yalnızca 28’inci maddenin birinci fıkrasında düzenlenen tam istisna ve ikinci fıkrasında yer alan kısmi istisna hallerinin bulunduğu durumlarda kaldırdığı düşünülürse somut olay bakımından veri sorumlusunun aydınlatma yükümlülüğünün mevcut olduğu, Tebliğ’in aynı maddesinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun düzenlendiği, bu nedenle, somut olayda ilgili kişiye ait kişisel verilerin işlenmesi bakımından ilgili kişiye aydınlatma yapma yükümlülüğü bulunan veri sorumlusunun, bu yükümlülüğünü yerine getirmediği,

değerlendirmelerinden hareketle;

  • İlgili kişinin araç plakası sorgulatılarak kimlik bilgilerine ulaşılması ve ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarında fotoğrafının çekilerek bu fotoğrafların ilgili kişi ile veri sorumlusu arasında görülen dava dosyasına sunulması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendi kapsamında olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem olmadığına,
  • İşlediği kişisel veriler bakımından Kanunun 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
  • Otopark kullanıcılarına ilişkin olarak Aydınlatma Yükümlülüğünün yerine getirilmesine yönelik Kanun ve Tebliğ’e uygun olarak ve kişisel verilerin hangi durumlarda işleneceği bilgisine yer verilmek suretiyle Aydınlatma Metni hazırlanması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişi de dahil olmak üzere veri sorumlusunun işlettiği otopark alanlarından yararlanan kişilerin kullanımına sunulmuş internet adresinde yer alan plaka sorgulanması suretiyle ödeme yapılmasına imkan sağlayan sistemin çift faktörlü doğrulama yapılarak gerçekleştirilmesi mümkün ise bu şekilde kullanıcılara sunulması veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesine

karar verilmiştir.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?