Kişisel Verileri Koruma Kurulu (KVKK), alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesinin kişisel verilerin hukuka aykırı işlenmesi suçunu oluşturduğuna hükmetti.
Adalet Bakanlığı bünyesinde hizmet veren KVKK, Bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesine yönelik ihbar üzerine toplandı.
Kararda, e-Devlet şifrelerinin istenilmesinin 6698 sayılı Kanuna aykırılık teşkil ettiği belirtilerek gereğinin yapılmasının talep edildiği hatırlatıldı. İhbar dilekçesinde veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” şeklinde bilgilerin yer aldığı dile getirildi.
Kurul kararında şu ifadelere yer verildi: “Kredilendirmeye esas olarak senetle yapılan alışverişler için sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan ilgili kişilere ait kişisel, mali ve ekonomik verilerin işlendiği, ilgili kişilerden istenen bu verilerin işleme ilkelerine tam olarak uyumlu olduğu öne sürülmüştür. Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği ortadadır. Öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmıştır. Bu hususların yasaya aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 300 bin TL idari para cezası uygulanmasına karar verilmiştir. Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe’ uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına hükmedilmiştir. Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir. Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; konuya ilişkin olarak resen inceleme başlatılmasına karar verilmiştir.”