Kişisel Bilgileri Muhafaza Heyeti (KVKK), alışveriş merkezi tarafından senetli alışverişler için ilgili şahıslardan e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesinin şahsî dataların hukuka ters işlenmesi cürmünü oluşturduğuna hükmetti.
Adalet Bakanlığı bünyesinde hizmet veren Şahsî Dataları Muhafaza Heyeti (KVKK), şahsî dataları maksadı dışında kullananlara ceza yağdırıyor.
e-Devlet şifresi şartı
Bir alışveriş merkezi tarafından senetli alışverişler için ilgili bireylerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle şahsî bilgilerin hukuka muhalif işlenmesine yönelik ihbar üzerine toplandı.
Kararda; e-Devlet şifrelerinin istenilmesinin 6698 sayılı Kanuna karşıtlık teşkil ettiği belirtilerek gereğinin yapılmasının talep edildiği hatırlatıldı. İhbar dilekçesinde data sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin muvaffakiyetle tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır” biçiminde bilgilerin yer aldığı lisana getirildi.
Kurul kararında şu sözlere yer verildi:
“Kredilendirmeye temel olarak senetle yapılan alışverişler için mukavelenin kurulması ve ifasıyla direkt ilgili olan ilgili şahıslara ilişkin ferdî, mali ve ekonomik dataların işlendiği, ilgili bireylerden istenen bu dataların sürece prensiplerine tam olarak uyumlu olduğu öne sürülmüştür. Bilgi sorumlusu tarafından senetli alışverişler için ilgili bireylerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin mecburî kılınması suretiyle gerçekleştirilen ferdî data sürece faaliyetlerinin Kanunun 5’inci hususunda yer alan data sürece koşullarından rastgele birine dayanılmaksızın gerçekleştirildiği ortadadır. Öte yandan data sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha evvel internet sayfasına üye olan şahısların ferdî datalarının üçüncü şahıslarca görüntülenebilir olması konusunun data güvenliği açığına işaret ettiği sonucuna varılmıştır. Bu konuların yasaya terslik teşkil etmesi nedeniyle, ferdî dataların işlenmesinde data güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri alma yükümlülüğünü yerine getirmeyen data sorumlusu hakkında 300 bin TL idari para cezası uygulanmasına karar verilmiştir. Data sorumlusunun, bugüne kadar kelamlı görüşmeler ve/veya internet sitesi aracılığıyla ilgili şahıslardan temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını ’Kişisel Dataların Silinmesi, Yok Edilmesi yahut Anonim Hale Getirilmesi Hakkında Yönetmeliğe’ uygun bir biçimde imha etmesi ve imha süreçlerinin yapıldığını ispatlar nitelikteki evraklar (log kaydı gibi) ile birlikte Heyete bilgi vermesi konusunda talimatlandırılmasına hükmedilmiştir. Data sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha evvel üye olmuş şahısların şahsî bilgilerinin görüntülenmesine sebebiyet veren güvenlik açığının acilen giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi ismine sistemin güncellenmesi ile bu süreçlere ait Konseye en geç otuz gün içinde bilgi verilmesi tarafında bilgi sorumlusunun talimatlandırılmasına karar verilmiştir. Öte yandan, kelam konusu güvenlik açığının bilgi sorumlusu nezdindeki ferdî datalara hukuka ters olarak üçüncü bireyler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; mevzuya ait olarak resen inceleme başlatılmasına karar verilmiştir”
