Kişisel Verileri Koruma Kurulunun (“Kurul”) aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken, ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesine ilişkin 17.03.2022 tarihli ve 2022/243 sayılı kararı (“Karar”) yayımlandı.
Kurula intikal eden şikâyet kapsamında:
- İlgili kişi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna üye olduğu ve sipariş verdiği, bu şahsın siparişi verirken ilgili kişiye ait e-posta adresini kullandığı,
- Veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmek suretiyle siparişe ilişkin faturayı ilgili kişiye gönderdiği belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılması talep edilmiştir.
Kurul, konuya ilişkin yürüttüğü inceleme neticesinde aşağıdaki hususlara değinmiştir.
- İlgili kişi ile aynı isme sahip bir kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait e-posta adresini sehven girerek sipariş verdiği, bahse konu e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı,
- E-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığı,
- Sipariş detayları incelendiğinde; gönderici adı, soyadı ve e-posta adresi olarak ilgili kişinin adı, soyadı ve bahse konu e-posta adresinin yer aldığı, bunun yanı sıra alıcı bilgisi olarak üçüncü bir kişinin adresinin açıkça faturada yer aldığı,
- Veri sorumlusunun e-posta adreslerinin işlenmesine yönelik olarak her ne kadar Kanun’un 5. maddesi gereğince bir işleme sebebine dayanması söz konusu ise de kişisel verilerin Kanun’un 4. maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine uygun işlenmesi hususunda aktif özen yükümlülüğü bulunduğunun da göz ardı edilemeyeceği,
- Veri sorumlusunun, e-posta adresinin alışveriş yapan kişi tarafından kullanılıp kullanılmadığını teyide yönelik gerekli tedbirleri/doğrulama mekanizmalarını uygulamaya alması gerekirken, buna yönelik bir doğrulama mekanizmanın devrede olmadığı değerlendirilmiştir.
Yukarıda sayılan nedenlerden dolayı Kurul, yaptığı değerlendirmeler ışığında:
- Veri sorumlusunun faturanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve dolaylı olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiği dikkate alındığında, söz konusu işleme faaliyetinde Kanun’dan yer alan herhangi bir işleme şartına dayanılmadığından ve veri güvenliğine ilişkin yükümlülükler yerine getirilmediğinden 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurul Kararının tam metnine aşağıdaki linkten ulaşabilirsiniz.
