Kişisel Verileri Koruma Kurulu, 24 Nisan ve 21 Haziran 2023 tarihlerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında aldığı çeşitli kararları yayınladı. Yayınlanan kararlarda; veri aktarımının amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin altı önemle çizilirken, veri sahibinin açık rızası alınmaksızın veri sorumlusu tarafından verilerinin paylaşılması, veri sahibi tarafından alenileştirilen verinin amacı dışında kullanılması, verilerin yurt dışına açık rıza alınmaksızın aktarılması durumlarına dikkat çekiliyor. Bu hususlarla alakalı karara aşağıda yer verildi. 

*           *           *

Veri sorumlusu, kişisel verilerinin kargo firmasının çapraz barkodlama hatası nedeniyle hukuka aykırı olarak paylaşımına sebep olması hakkında 5 Ocak 2023 tarihli ve 2023/4 sayılı kararı: Veri sahibinin başvuru dilekçesinde; e-ticaret firmasından satın aldığı bir ürünü kargo firmasının tarafına teslim ettiği, ancak veri sahibi ile isim benzerliği bulunan başka bir kişiye ait adres ve iletişim bilgilerinin kargo paketinde yer aldığını ve siparişin tarafına ait olmadığını fark ettiği belirtilmiştir. Veri sorumlusu, kargo firmasına kanun kapsamında, kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığına ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiğine ilişkin başvuruda bulunmuştur. Veri sorumlusu, bu durumun barkodlama hatasından kaynaklandığını ve ilgili kişiye ait siparişin üçüncü kişiden iade alınıp gönderici firmaya teslim edildiğini söylemiştir. İşbu hususta, çapraz kargo gönderimi hatası nedeniyle ilgili kişiye teslim edilmesi gereken siparişin üçüncü kişiye gönderildiği ve bu suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varılmıştır ve veri sahibi bu durumun kanunun ‘kişisel verilerin aktarımı’ olan 8. maddesine aykırılık teşkil ettiğini öne sürmüştür.

*           *           *

Yapılan incelemeler sonucu; yaşanan bu hadisede veri sahibinin kargo paketi üzerinde yer alan bilgilerinin üçüncü kişiye ulaşması bir veri işleme faaliyeti olduğu ve bu faaliyetin hukuka uygunluğu için gereken açık rıza mevcut olmayıp kanunda yer alan bir işleme şartına dayanamadığı anlaşılmıştır. İlgili hadisenin kanunda belirtilen veri güvenliğine aykırılık oluşturduğu ve veri sorumlusunun Kurul’a veri ihlali bildiriminde bulunmadığından bahisle Kurul, kanunun 12. maddesi uyarınca veri sorumlusu olan kargo firması hakkında 75 bin TL idari para cezası uygulanmasına karar vermiştir.

10 Temmuz 2023 Pazartesi