“Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında” Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/333 Sayılı Karar Özeti
Kurumumuza intikal eden bir şikayet başvurusunda özete;
- İlgili kişinin bir telekomünikasyon firması adına kayıtlı 05******87 numaralı hattı için e-faturalı aboneliği kapsamında *****@gmail.com e-posta adresini kullandığı, 2018 yılı Ağustos ayından itibaren kendi faturaları ile birlikte isim benzerliği dolayısıyla başka bir abonenin faturalarının da tarafına e-posta ile gönderildiği,
- Kişisel verilerinin işlenme sürecinde ortaya çıkan bu hatanın düzeltilmesi, kişisel verilerinin hangi amaçlarla işlendiği, yurt içi ve yurt dışında verilerinin aktarıldığı üçüncü kişiler hakkındaki bilgi taleplerini içeren e-postasını veri sorumlusuna göndererek başvuruda bulunduğu, aynı gün içinde tarafına gönderilen e-postada talebi ile ilgili olarak bir iş günü içerisinde yanıt verileceğinin ifade edilmesine rağmen herhangi bir cevap verilmediği,
- Öte yandan başvurusunun akabinde yanlış e-fatura gönderiminin tekrar gerçekleştiği
belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Bu çerçevede Kurumumuz tarafından veri sorumlusunun konuya ilişkin savunması istenilmiş, alınan cevabi yazıda özetle;
- Şikayetçi ile şirketlerinin aynı isme sahip bir başka abonesinin fatura detaylarının şikayetçi kişiye iletilmesi konusuna ilişkin olarak Şirketlerinin imtiyaz sözleşmesi kapsamında mobil elektronik haberleşme hizmeti veren bir işletme olduğu, bu kapsamda Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) düzenlemelerine tabi olduğu,
- BTK Tüketici Hakları Yönetmeliğinin (THY) “Abone sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 inci maddesinin (1) numaralı fıkrasının “İşletmecinin dönemsel ya da sürekli olarak bir hizmeti yerine getirmeyi veya mal teminini üstlendiği durumlarda tarafların birbirine uygun karşılıklı rızası ile abonelik sözleşmesi yapılır. Abonelik sözleşmeleri, elle atılan imza ve güvenli elektronik imza ile yapılabilir.” şeklinde düzenlendiği, bu çerçevede Şirketlerinin aboneleri ile yaptığı Mobil Abonelik Sözleşmesi’ne göre aboneler tarafından iletilen bilgiler kapsamında hizmetlerin sunulduğu,
- Bununla birlikte THY’nin “Fatura gönderme yükümlülüğü” başlıklı 19 uncu maddesinin (1) numaralı fıkrasının “İşletmeciler, abonenin ispatlanabilir beyanı doğrultusunda; mali mevzuata uygun olarak düzenlenen faturayı posta veya elektronik posta yöntemlerinden birisini kullanarak veya asgari olarak fatura tutarı ve son ödeme tarihini içeren fatura bilgilerini kısa mesaj yöntemi ile son ödeme tarihinden önce abonelere ulaşacak şekilde ücretsiz olarak göndermekle yükümlüdür. Fatura veya fatura bilgisinin, elektronik posta veya kısa mesaj ile gönderilmesi durumunda söz konusu gönderme işlemi son ödeme tarihinden en az yedi gün önce aboneye ulaşacak şekilde ücretsiz olarak gönderilir.” şeklinde düzenlendiği, bu çerçevede ilgili maddeye göre faturasını e-posta ile almak isteyen abonelerin kendi beyanları doğrultusunda ilettikleri e-posta adreslerine faturalarının elektronik ortamda gönderildiği,
- Şikayet konusuna ilişkin yapmış oldukları inceleme doğrultusunda Şikayetçi ile isim benzerliği bulunan Şirketlerinin başka bir abonesi olan kişinin Mobil Abonelik Sözleşmelerinin ayrı ayrı incelendiği ve her iki abonenin de sözleşmelerinde aynı e-posta adresini beyan ettiklerinin görüldüğü,
- Aboneleri tarafından Şirkete iletilmiş olan e-posta adreslerine faturaları, THY’nin 19 uncu maddesinin (1) numaralı fıkrası gereğince “Fatura gönderme yükümlülüğü”nün yerine getirilmesi amacıyla elektronik posta yöntemiyle iletilmiş olduğu ve Şirket tarafından mevzuata uygun hareket edildiği,
- Diğer taraftan şikayetin giderilmesi amacıyla müşteri memnuniyeti çerçevesinde ve ilgililerin iletişim bilgilerinin güncel tutulmasını teminen Şirketin abonesi olan ve aynı e-posta adresini beyan eden diğer kişi ile birçok kez iletişime geçilmeye çalışıldığı ancak hattında bulunan kısıtlama sebebi ile kendisine ilk etapta ulaşılamadığı, daha sonra devam eden aramalarda bahsi geçen kişiye bir kez ulaşılabildiği ve e-posta adresine ilişkin şikayet konusu durum aktarılarak mevzuata uygun bir şekilde güncelleme yapması gerektiği konusunda bilgi verildiği, gelinen aşamada abonenin söz konusu güncellemeyi yapmaması ve şikayet konusu durumun devam etmesi nedeni ile konunun çözüme kavuşturulması amacıyla ilgili e-posta adresinin sistemden kaldırılarak Şikayetçiye ilgili e-postaların gitmesinin sonlandırıldığı,
- İlgili kişi tarafından yapılan başvuruya ilişkin olarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5 inci maddesinin “(1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.
(2) Başvuruda;
a) Ad, soyad ve başvuru yazılı ise imza,
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
c) Tebligata esas yerleşim yeri veya iş yeri adresi,
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
d) Talep konusu,
bulunması zorunludur.
(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.
(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.” şeklinde düzenlendiği,
- Şirket tarafından Kişisel Verilerin Korunması Kanununun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinde düzenlenen yükümlülükler kapsamında hassasiyetle gereği gibi etkin, hukuka ve dürüstlük kurallarına uygun olarak işlemleri sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alındığı,
- Başvuruda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5 inci maddesine uygun biçimde zorunlu olarak yer verilmesi gereken başta TC Kimlik Numarası olmak üzere tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirme esas elektronik posta adresi, telefon ve faks numarası gibi kendisini doğrulamaya yarayacak olan herhangi bir bilgi vermediği ve bu çerçevede, kimlik teyidinin yapılamadığı, teknik anlamda güvenli olmaması sebebi ile e-posta ortamında cevap verilmesinin veri güvenliği açısından risk arz edeceğinin değerlendirildiği ve somut olaydaki şekilde birden fazla abonenin aynı e-posta adresini kullanabilmesinden mütevellit veri güvenliğinin sağlanmasını teminen Kurumumuz düzenlemelerine de aykırı şekilde gerçekleştirilmiş olan bu başvuruya dönüş yapılamadığı
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 07/11/2019 tarih ve 2019/333 sayılı Kararı ile;
- Veri sorumlusunun Şikayetçi ile aynı isme sahip bir başka Şirket abonesinin fatura detaylarının Şikayetçi kişiye iletilmesi konusuna ilişkin açıklamaları Kanun ve ilgili alt düzenleme hükümleri çerçevesinde değerlendirildiğinde; her iki müşteri ile yapılan Abonelik Sözleşmeleri incelendiğinde aynı e-posta adresinin iki kişi tarafından da beyan edildiği, Şikayetçinin 2013 yılına ait Abonelik Sözleşmesinin el yazısı ile doldurulduğu, diğer müşterinin 2018 yılına ait Abonelik Sözleşmesinin ise elektronik ortamda doldurulduğu, iki kişinin aynı e-posta adresini almasının teknik açıdan mümkün olmadığı, kayıt sırasında bir yazım yanlışı yapılmasının ihtimal dahilinde olduğu,
- Müşteri memnuniyeti çerçevesinde Şirketin diğer abonesi ile hangi tarihlerde iletişime geçilmeye çalışıldığı ve hangi tarihte kendisiyle görüşüldüğünün belirtilmediği, bahsi geçen müşterinin e-posta adresine ilişkin şikayet hakkındaki bilgilendirme sonrası herhangi bir güncelleme yapmaması sebebi ile şikayet konusu e-postanın hangi tarihte sistemlerinden kaldırıldığı bilgilerinin tarafımıza gönderilen cevap metninde paylaşılmadığının tespit edildiği,
- Bu çerçevede bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varıldığı,
- Veri sorumlusunun ilgili kişinin başvurusuna cevap vermemesi ile ilgili olarak halihazırda veri kayıt sisteminde kayıtlı olan bir abonenin Abonelik Sözleşmesi yapılması sırasında beyan ettiği e-posta adresi üzerinden yaptığı başvurusu için kimlik teyidi yapılamadığı gerekçesinin kabul edilebilir olmadığı, iki abonenin de aynı e-posta ile kayıtlı olmasından ötürü karışıklık yaşanabileceği kanaatine varılmış olsa da şikayet başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun başvuru koşulları hatırlatılarak verilecek bir cevap ile kimlik teyidinin vatandaşı mağdur etmeden yapılabileceğinin değerlendirildiği,
- Ayrıca kişinin yaptığı başvuruya ilişkin olarak veri sorumlusunun e-posta adresinden talebin bir iş günü içerisinde cevaplanacağına ilişkin Şikayetçiye gönderilen cevap postasının hemen altında yer verilen “Etkileşim Kanallarımız” başlıklı bölümde yer verilen e-posta adresi üzerinden ve yine daha önce veri sorumlusuna bildirilen e-posta adresi ile şikayet başvurunda bulunduğundan ötürü veri sorumlusunun e-posta ortamından gelecek şikayet taleplerinin alınması ve cevap verilmesinin veri güvenliği açısından risk içereceğinden dolayı cevap verilmediğine ilişkin savunmasının yukarıda yer verilen bilgiler ışığında gerçekçi bir savunma niteliği taşımadığı kanaatine varıldığı,
- Veri sorumlusunun ilgili kişinin başvurusuna “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e uygun olmadığı gerekçesi ile cevap verilmemesinin Tebliğin 6’ncı maddesinde yer alan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı
sonucuna varılmış olup, bu kapsamda;
- Şikayetçiye, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırı olduğu kanaatine varılmasından ötürü, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
- Bununla birlikte “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.