Senet Için E Devlet Sifresi Isteyen Yandi

Adalet Bakanligi bünyesinde hizmet veren Kisisel Verileri Koruma Kurulu (KVKK), kisisel verileri amaci disinda kullananlara ceza yagdiriyor. Bir alisveris merkezi tarafindan senetli alisverisler için ilgili kisilerden e-Devlet sifresi, internet sayfasinda üyelik olusturulmasi için ise T.C. kimlik numarasi temin edilmesi suretiyle kisisel verilerin hukuka aykiri islenmesine yönelik ihbar üzerine toplandi.

Kararda; e-Devlet sifrelerinin istenilmesinin 6698 sayili Kanuna aykirilik teskil ettigi belirtilerek gereginin yapilmasinin talep edildigi hatirlatildi. Ihbar dilekçesinde veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altindaki sayfada “Senetli alisveriste onay sürecinizin basariyla tamamlanmasini istiyorsaniz asagidaki alana e-Devlet sifrenizi giriniz. Siparisi onayliyorum butonuna basildiginda otomatik olarak dogrulama yapilacaktir.” seklinde bilgilerin yer aldigi dile getirildi.

Kurul kararinda su ifadelere yer verildi: "Kredilendirmeye esas olarak senetle yapilan alisverisler için sözlesmenin kurulmasi ve ifasiyla dogrudan ilgili olan ilgili kisilere ait kisisel, mali ve ekonomik verilerin islendigi, ilgili kisilerden istenen bu verilerin isleme ilkelerine tam olarak uyumlu oldugu öne sürülmüstür. Veri sorumlusu tarafindan senetli alisverisler için ilgili kisilerden e-Devlet sifresinin, internet sayfasinda üyelik olusturulmasi için de T.C. kimlik numarasinin temin edilmesinin zorunlu kilinmasi suretiyle gerçeklestirilen kisisel veri isleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri isleme sartlarindan herhangi birine dayanilmaksizin gerçeklestirildigi ortadadir. Öte yandan veri sorumlusunun internet sitesindeki üyelik basvurusu ile ilgili sayfada T.C. kimlik numarasi girilmek suretiyle daha önce internet sayfasina üye olan kisilerin kisisel verilerinin üçüncü kisilerce görüntülenebilir olmasi hususunun veri güvenligi açigina isaret ettigi sonucuna varilmistir. Bu hususlarin yasaya aykirilik teskil etmesi nedeniyle, kisisel verilerin islenmesinde veri güvenligini saglamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülügünü yerine getirmeyen veri sorumlusu hakkinda 300 bin TL idari para cezasi uygulanmasina karar verilmistir. Veri sorumlusunun, bugüne kadar sözlü görüsmeler ve/veya internet sitesi araciligiyla ilgili kisilerden temin ettigi e-Devlet sifrelerini ve T.C. kimlik numaralarini ’Kisisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkinda Yönetmelige’ uygun bir biçimde imha etmesi ve imha islemlerinin yapildigini kanitlar nitelikteki belgeler (log kaydi gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandirilmasina hükmedilmistir. Veri sorumlusunun internet sitesinde hesap olusturma sayfasinda sisteme daha önce üye olmus kisilerin kisisel verilerinin görüntülenmesine sebebiyet veren güvenlik açiginin ivedilikle giderilmesi, T.C. kimlik numarasi temin edilmeksizin üyelik olusturulabilmesi adina sistemin güncellenmesi ile bu islemlere iliskin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandirilmasina karar verilmistir. Öte yandan, söz konusu güvenlik açiginin veri sorumlusu nezdindeki kisisel verilere hukuka aykiri olarak üçüncü kisiler tarafindan erisim saglanmasina sebebiyet vermis oldugu; konuya iliskin olarak resen inceleme baslatilmasina karar verilmistir.’’