Aynı İsme Sahip Bir Kişi Tarafından İnternet Üzerinden Sipariş Verilirken İlgili Kişinin E-Posta Adresinin Kullanılması Üzerine Faturanın İlgili Kişiye Gönderilmesi Suretiyle Kişisel Verilerinin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulu’nun 17/03/2022 Tarihli Ve 2022/243 Sayılı Kararı

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

  • Kuruma intikal eden şikâyette ilgili kişinin, kendisi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna üye olduğu ve sipariş verdiği,
  • Bu şahsın siparişi verirken ilgili kişiye ait e-posta adresini kullandığı,
  • Veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmek suretiyle siparişe ilişkin faturayı ilgili kişiye gönderdiği
  • Tespit edilmiş ve veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/243 sayılı Kararı ile;

Somut olayda

  • İlgili kişi ile aynı isme sahip bir kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait e-posta adresini sehven girerek sipariş verdiği, “(…)@gmail.com” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, E-Postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, Misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığı, Sipariş detayları incelendiğinde; gönderici adı, soyadı ve e-posta adresi olarak ilgili kişinin adı, soyadı ve “(…)@gmail.com” e-posta adresinin yer aldığı, bunun yanı sıra alıcı bilgisi olarak üçüncü bir kişinin adresinin açıkça faturada yer aldığı,

Veri sorumlusunun, e-posta adresinin alışveriş yapan kişi tarafından kullanılıp kullanılmadığını teyide yönelik gerekli tedbirleri/doğrulama mekanizmalarını uygulamaya alması gerekirken buna yönelik bir işleminin bulunmadığı tespit edilmiştir.

Söz konusu işlemde bir teyit mekanizmasının bulunmamasının, hak kaybına sebebiyet verebilmesinin yanı sıra internet sitesinde üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı anlamına da gelebileceği, faturaların gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta ve sipariş bilgilerini ihtiva edebildiği, faturanın konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği, Sonuç olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiği dikkate alındığında  veri sorumlusu hakkında idari para cezası ödenmesine karar verilmiştir.

Bir Bankanın Çağrı Merkezi Tarafından İlgili Kişinin Telefon Numarasının Üçüncü Kişilerle Paylaşılması Konusunda Kişisel Verilerin Koruma Kurulunun 10/03/2022 Tarihli Ve 2022/224 Sayılı Kararı

 

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

 

  • İlgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu,Veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği, Görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, Bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, İlerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, İşlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, Bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerinin aktarılmasına açık rıza göstermediği belirtilerek veri sorumlusu Banka hakkında gereğinin yapılması talep edilmiştir.

 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Kararı ile;

Somut olayda verilen açık rıza değerlendirildiğinde; çağrı merkezi personelinin öncesinde kartın güvenliğini sağladığına ilişkin açıklamalarda bulunduktan sonra “… kart sahibine kartı sizin bulduğunuzu ileteceğim …” şeklindeki ifadesinden ilgili kişinin ad, soyadı ve telefon numarası bilgisinin kart sahibi üçüncü kişiyle paylaşılacağı çıkarımında bulunulmasının makul bir beklentiye uygun olmadığı, aynı ifadeden kart güvenliğinin sağlanması ile birlikte bir vatandaş tarafından kartın bulunduğu bilgisinin paylaşılacağının anlaşılmasının daha beklenebilir bir durum olduğu, Sonuç olarak, ilgili kişinin kişisel verilerinin üçüncü kişiye açıklanması şeklinde gerçekleşen kişisel veri işleme faaliyetinin açık rızanın unsurlarını barındırmadığı, dolayısıyla veri sorumlusu tarafından Kanun’a aykırı olarak kişisel veri işleme faaliyetinde bulunulduğu kanaatine varıldığı, karar verilmiştir.

 

 

 

 

 

 

 

 

Bir Alacak Yönetim Şirketi Tarafından İlgili Kişinin Borç Bilgilerinin Üçüncü Kişilerle Paylaşılması Hakkında Kişisel Verileri Koruma Kurulunun 04/03/2022 Tarihli Ve 2022/184 Sayılı Kararında Yer Alan Düzenlemler Nelerdir?

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

  • İlgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, Söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği; İlgili kişinin kişisel verilerinin ifşa edilmesinden ötürü ilgili alacak yönetim şirketinin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği; konuşma esnasında konuyu hukuk yoluyla değil konuşarak çözelim nedir durum neden dilekçe yazdınız şeklinde hitapta bulunduğu; ayrıca ilgili kişiye ait şahsi bilgilerin neden kendi telefonuna gönderilmediğinin sorulduğu ayrıca, istenildiği takdirde UYAP veya Maris’ten iletişim bilgilerine ulaşılabileceğinin söylendiği ve ilgili telefon numaralarına nasıl ulaşıldığı yönünde bilgi talep edildiğinde ise dolaylı yollardan bulduk, biz buluruz şeklinde cevap verildiği belirtilmiş; ilgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek Kanun kapsamında şikâyetçi olunduğu ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı kararı ile;

  • Veri sorumlusu tarafından Kurum’a gönderilen savunma ekindeki belgeler incelendiğinde ilgili kişinin şikâyet dilekçesinde belirttiği borcun süresinin dolacağına ilişkin SMS’in gönderildiği tarihten önceki bir tarihte ilgili kişinin kardeşi adına kayıtlı telefon numarasından veri sorumlusunun aranarak dosya numarasının öğrenildiği,
  • Veri sorumlusunu bilgi almak amacıyla arayan kişilerin telefon numaralarının veri sorumlusu sistemlerine otomatik olarak borcu olan kişilerin iletişim bilgileri olarak kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde 50.000 TL idari para cezası uygulanmasına,

Karar verilmiştir.

 

“Yurt Dışında Mukim Veri Sorumlusunun Türkiye’deki İrtibat Bürosu Tarafından İşe Alım Sürecinde Adaylardan Özel Nitelikli Kişisel Veri Talep Edilmesi” Hakkında Kişisel Verileri Koruma Kurulunun 24/02/2022 Tarihli Ve 2022/172 Sayılı Karar Özeti

İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikâyetinde özetle;

İlgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği,

İrtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza almadığı,

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/02/2022 tarih ve 2022/172 sayılı Kararı ile;

Şikayet olunan, yurt dışında yerleşik bir tüzel kişi olan veri sorumlusunun irtibat bürosudur.

Bahse konu iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve bunun yegâne yolunun da ilgili kişinin açık rızasının alınması olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu,

İlgili kişinin kişisel verilerinin gerek şirket merkezi gerekse de irtibat bürosu nezdinde imha edildiğine dair destekleyici bir belgenin Kuruma intikal ettirilmediği anlaşıldığından, veri sorumlusunun;

İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile birlikte işlemin sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına karar verilmiştir.

error: Bu içerik korumalıdır.