Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 17.02.2022 tarih ve 2022/137 sayılı Karar Özeti Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanmıştır.
Kurum’a intikal eden ihbarda, veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satın alma başvurusu sırasında ilgili kişilerden e-Devlet şifrelerinin istendiği ve bu durum 6698 sayılı Kişisel Verilerin Korunması Kanuna’na aykırılık teşkil ettiği için gereğinin yapılması talep edilmiştir. Ek olarak, veri sorumlusunun intnernet sitesinde ‘‘Kasaya Git’’ sekmesi altındaki sayfada ‘‘Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.’’ şeklindeki bilgilerin yer aldığı ekran görüntüsüne yer verilmiştir.
Bunun üzerine veri sorumlusu, ilgili kişilerden e-devlet şifresini istemediğini, ekran görüntüsüde yer verilen alanın başkaca bir görselin parçası olduğunu, doldurulacak ve jpg formatında bir alan olduğunu iddia etse de bu durumu teşvik edici bir belge sunmadığı ve hatta ihbara konu ekran görüntüsünün taraflarca fark edilmesi üzerine ivedilikle kaldırıldığını beyan etmiştir. Bu durum Kurul tarafından, veri sorumlusunun kendi internet sitesinde gerçekleştirilmesi muhtemel kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına ve dolayısıyla gerekli teknik ve idari tedbirleri almadığına işaret ettiğini, senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle ilgili kişilerin e-Devlet kapısında kendileriyle ilgili yer alan her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacaklarını ortaya koymuştur.
Veri sorumlusunun internet sitesinde senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturabilmek için de T.C. kimlik numarası bilgilerinin temin edilmesi zorunlu kılınmıştır.
Bunun üzerine Kurul yaptığı incelemede, söz konusu kişisel veri işleme faaliyetlerinin Kişisel Verileri Koruma Kanununun 5 inci maddesinin ikinci fıkrasında yer alan veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiğini vurgulamıştır. Ek olarak, ilgili kişilerin T.C kimlik numarasını ve e-Devlet şifrelerini veri sorumlusu ile paylaşıyor olması açık rıza kapsamında gibi gözükse de, Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rıza kavramının unsurlarını karşılamadığı ve sunulacak hizmetlerden yararlanmak için bu bilgilerin verilmesi yönünde bir rıza gösterdiği, bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmayarak söz konusu verileri paylaşmak zorunda bırakıldığı tespit edilmiştir. Ayrıca veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olmasının sonucunda güvenlik açığı ortaya çıkmıştır.
Bu değerledirmeler sonucunda Kurul;
- Veri sorumlusu, Kanunun 12 inci maddesinin birinci fıkrası gereğince kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmemiştir. Dolayısıyla hakkında Kanunun 18 inci madesinin birinci fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına karar vermiştir.
- Bu cezaya ek olarak, kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını Kanunun 7 nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda ve,
- İnternet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurul’a en geç otuz gün içinde bilgi verilmesi yönünde talimatlandırılmasına karar vermiştir.