Kişisel Verileri Koruma Kurumu’nun 05.01.2023 tarihli ve 24.03.2022 tarihli Kargo Şirketi Kararları

13 Haz Kişisel Verileri Koruma Kurumu’nun 05.01.2023 tarihli ve 24.03.2022 tarihli Kargo Şirketi Kararları

Kişisel Verileri Koruma Kurulu (“Kurul”) 05.01.2023 tarihli 2023/4 sayılı kararı ve 24.03.2022 tarihli 2022/277 sayılı kararı ile iki ayrı olayda kargo şirketlerinin yapmış olduğu gönderi hatalarından doğan kişisel veri ihlallerini değerlendirmiştir. Olayların benzerliklerini ve farklılıklarını göz önünde bulundurarak Kurul’un vermiş olduğu kargo şirketi kararlarını karşılaştırmalı olarak değerlendireceğiz.

Öncelikle Kurul 24.03.2022 tarihli ve 2022/277 sayılı kararı ile ilgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesini 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında değerlendirmiştir.

Kurul’a yapılan şikayette özetle; ilgili kişinin kulaklığını tamiri için bir elektronik perakende mağazasına verdiği, mağazanın kulaklığı tamiri için distribütör firmaya iletilmek üzere ilgili kişinin bilgilerinin bulunduğu bir form ile birlikte kargo şirketine bıraktığı ancak kargonun konuyla ilgisiz üçüncü bir şahsa teslim edildiği belirtilmiştir.

Perakende şirket savunmasında özetle;

• kargo içeriğinde, ürünün yanı sıra distribütör firma tarafından kulaklığın onarım işleminin yapılabilmesi için gerekli olan belgelerin bulunduğu,
• şikâyete konu kişisel verileri içeren paketin kargo şirketi tarafından kargo üzerinde belirtilen adres dışında üçüncü bir kişiye farklı bir adreste teslim edildiği, bu durumun kargo şirketinin hatalı teslimat yapması sebebiyle yaşandığı,
• Kurum’un Veri İşleyen ve Veri Sorumlusu Rehberi’nde de belirtildiği gibi kargo şirketlerinin sevkiyatı yönetmek için elde ettiği kişisel veriler bakımından KVKK uyarınca veri sorumlusu oldukları ve yaşanan durumdan dolayı kendilerinin sorumlu olmadıklarını

belirtmiştir.

Kurul ilgili kişinin şikayetini ve veri sorumlusunun savunmasını dinledikten sonra kargo şirketinin de savunması alınarak incelemeye devam edilmesine karar vermiştir.

Kargo şirketi savunmasında özetle;

• bahsi geçen kargonun üçüncü bir kişiye teslim edildiği ve durumun üçüncü kişinin bilgi vermesiyle anlaşıldığı
• şirketin tüm çalışanlarına kişisel verilerin gizliliği ve bilgi güvenliği alanlarında hizmet öncesi eğitim verildiği, hatayı yapan personele 3 kez bu eğitimin verilmiş olduğu,
• şirketin kargonun içeriği hakkında herhangi bir bilgisinin olmadığı, gönderici perakende şirketin kişisel verileri distribütör firmaya iletirken daha güvenli bir yol izleyebileceği

belirtilmiştir.

Bu bilgiler ışığında Kurul kendi değerlendirmesine geçmiştir. Kurul perakende şirketin distribütör firmaya ilgili kişinin bilgilerinin gönderilmesi ile yapılan veri işleme/aktarma faaliyetinin “bir sözleşmenin kurulması veya ifası için gerekli olması” hukuki şartına dayandığını belirtmiştir. Bu durumun hukuka uygun olduğunu ancak ileride mümkün olduğunca minimum düzeyde veri paylaşılmasının gerektiğine değinmiştir.

Kurul, perakende şirketini veri güvenliği açısından değerlendirildiğinde; şirketin, kargoya ilgili kişinin kişisel verilerini içeren kargo paketini “göndericisi perakende şirket, alıcısı ise distribütör firma” olacak şekilde kargo şirketine teslim etmiş olmasından dolayı bir ihlalin olmadığını değerlendirmiştir.

KVKK’nın 12. maddesi 5. fıkrasına göre veri sorumlularının veri güvenliğinin ihlali durumunda 72 saat içerisinde Kurul’a bildirim yapma yükümlülükleri bulunmaktadır. Perakende şirketinin durumu bu açıdan değerlendirildiğinde; ilgili kişinin bu durumu perakende şirketinden önce öğrendiği, ilgili kişinin durumu öğrenmesinden sonra perakende şirketine bir başvuru yaptığı görülmektedir. Ayrıca perakende şirketinin ilgili kişinin yaptığı başvuru ile bu durumu öğrenmesi ve ilgili kişinin Kurul’a şikayette bulunarak durumun Kurul’a intikal etmesinin arasından 72 saatin geçmediği tespit edilmiştir.

Somut olayda perakende şirketinin kargo ile kişisel veri iletme işleminde bir hukuka aykırılık bulunmadığı tespit edilmiştir. Ancak veri güvenliğinin ihlal edildiğini öğrenmesine müteakip perakende şirketinin konu hakkında ilgili kişiye ve Kurul’a bildirimde bulunma yükümlülüğünün doğduğu belirtilmiştir. Fakat ilgili kişinin veri ihlalini öğrenmiş olması ve Kurul’a bildirim yapılmış olsa Kurul’un yönlendirmesiyle ilgili kişinin başkaca önlemler alıp almayacağı hususunun tartışmalı olduğu göz önünde bulundurulmuştur. Perakende şirketi gelecekte yaşanabilecek benzer olaylar için hem ilgili kişiye hem de Kurul’a bildirim yapması hususunda talimatlandırılmıştır.

Durum kargo şirketi açısından değerlendirildiğinde ise kargo içeriğini bilmesi kendisinden beklenmeyen kargo şirketinin ilgili kişi hakkında veri sorumlusu veya veri işleyen sıfatıyla yürüttüğü herhangi bir kişisel veri işleme faaliyetinin bulunmadığı, dolayısıyla hatalı teslimat işleminden sonradan haberdar olan kargo şirketinin KVKK’dan kaynaklanan bir bildirim yükümlülüğünün de bulunmadığı değerlendirilmiştir.

Bu değerlendirmelerden hareketle Kurum;

• perakende şirketinin bazı kişisel verileri içeren belgeyi distribütör firmaya göndermesinin hukuka uygun olduğuna ancak gelecekte bu belgede yer alan bilgilerin minimuma indirilmesi hususunda uyarılmasına,
• perakende şirketinin gelecekte yaşanabilecek benzer olaylar için KVKK uyarınca en kısa sürede hem ilgili kişiye hem de Kurula bildirimde bulunması konusunda talimatlandırılmasına,
• ilgili kişinin şikayetine esas olaylar ve bu olaydaki rolü dikkate alındığında kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatını haiz olmadığı bu sebeple kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına ve
• somut olay göz önüne alındığında ilgili kişinin anılan hatalı işlemden kaynaklanabilecek hukuki ve/veya cezai sorumluluğun takibi için yargı mercileri nezdinde girişimde bulunabileceği hususunda bilgilendirilmesine

karar vermiştir.

Bu karar Kurul’un benzer bir kargo şirketi kararı dikkate alındığında bize güzel bir perspektif sunmaktadır. Kurul, çapraz barkodlama hatası yaparak yanlış kargo teslimatı yapan kargo şirketinin veri sorumlusu sıfatını haiz olduğunu değerlendirmiştir ve bu barkod hatası sonucu yapılan yanlış teslimatı KVKK uyarınca Kurula bildirmeyen kargo şirketinin cezalandırılmasına karar vermiştir.

Bu iki karar arasındaki fark ilk başta bariz olmamakla beraber önemli bir ayrımı ortaya koymaktadır. Yukarıda yer vermiş olduğumuz kararda, kargo şirketinin hatalı teslimat yapması sonucu ele geçen kişisel bilgi kargo paketi üzerinden okunması ile değil kargo paketinin içerisinde yer alması sonucu oluşmuştur. Ceza verilen kararda ise çapraz barkodlama hatası sebebiyle yapılan işlem sonucu aktarılan kişisel veri kargo paketinin üzerinde yer alan alıcı ve gönderici bilgileridir. Kargo şirketleri paket içerisinde yer alan bilgiler sebebiyle veri sorumlusu veya veri işleyen sıfatlarını haiz değilken; kargo paketi üzerinde yer alan bilgiler açısından veri sorumlusu sıfatını haizdirler. Dolayısıyla kargo paketi üzerinde yer alan alıcı ve gönderici bilgileri bir kişisel veri içermiyorsa kargo şirketinin yaptığı herhangi bir işlem de Kurul’un yetki alanının dışında kalmaktadır. Yukarıda yazmış olduğumuz kararda da kargo paketi bir perakende şirketinden bir distribütör firmaya giden bir paket olduğu için alıcı ve gönderici bilgilerinde kişisel veri barındırmamaktadır.

Kişisel verilerinizin korunması veya şirketinizin kişisel veri hukuku uyumluluğu hususlarında uzman hukuki destek almak için İzmir Kişisel Veri Hukuku Avukatlarımıza ulaşabilirsiniz.