"Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi" hakkında Kişisel Verileri Koruma Kurulunun 24/08/2023 tarihli ve 2023/1465 sayılı Karar Özeti
Karar Tarihi | : | 24/08/2023 |
Karar No | : | 2023/1465 |
Konu Özeti | : | Veri sorumlusuna ait internet sitesine yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi |
Kuruma intikal ettirilen ihbar dilekçesinde özetle; ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği, konu ile ilgili çağrı merkezine bildirimde bulunduğu, akabinde sistemdeki bilgilerin düzetildiği ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Kişisel verilerin güvenliğini sağlamak amacıyla Kanun ve ilgili diğer mevzuat uyarınca gerekli her türlü teknik ve idari tedbirlerin alındığı, Kurum tarafından gönderilen savunma, bilgi ve belge talepli yazıya dair incelemelerin gerçekleştirildiği,
- İlgili kişinin veri sorumlusuna ait internet sitesine kullanıcı girişi yaptığında açılan müşteri ekranında bir başka müşterinin kullanıcı bilgilerinin görüntülenmesinin sistemde yer alan kullanıcı bilgilerinin algoritma tarafından diğer kullanıcı bilgileri ile değiştirilmesi sonucu meydana geldiği,
- Hatalı bilgi görüntülemesi sorununun, veri sorumlusunun merkez ofisi üzerinden yapılan rezervasyonun işleme alınışı esnasında rezervasyon ekranı üzerinden manuel bilgi girişi yapılırken hatalı e-posta adres bilgisi girilmesinden kaynaklandığı, hatalı bilgi girişinin müşteri bilgilerinin güncellenmesinde kullanılan algoritmayı aksattığı, sorunun sistemde güncelleme yapılarak kısa süre içinde düzeltildiği,
- Aksaklığın başka kullanıcıları da etkileyip etkilemediğinin tespiti için veri tabanı taraması gerçekleştirildiği, bu taramada ilgili kişinin yanı sıra üç kişinin daha veri algoritmasında sorun yaşandığının tespit edildiği ve durumun düzeltildiği,
- Benzer bir durumun tekrar yaşanmaması için algoritmalarda e-posta bilgisi ile müşteri bilgisi güncelleme fonksiyonunun tamamen devre dışı bırakıldığı,
- Veri sorumlusu tarafından gerçekleştirilen kontrolde ihbar sahibi ilgili kişiye ait kişisel verilerin bir başka kullanıcı tarafından görüntülenmediğinin ve algoritma aksamasının söz konusu olmadığının tespit edildiği,
- Algoritma aksaklığı nedeniyle herhangi bir veri sızıntısının olmadığı, oldukça az sayıdaki verinin sistemde görüntülenmesi noktasında aksaklık yaşandığı ve bu sorunun da kısa süre içinde çözüldüğü
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 24/08/2023 tarih ve 2023/1465 sayılı sayılı Kararı ile;
- İhbara konu olayda veri sorumlusuna ait internet sitesine kullanıcı girişi yapılmaya çalışılırken başka bir kullanıcının kişisel verilerinin görüntülendiği, ihbar sahibi ilgili kişiye ait kişisel verilerin ise üçüncü kişiler tarafından görüntülenmediği,
- Kanunun 3’üncü maddesinin (e) bendine göre kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğu, veri sorumlusunun veri kayıt sistemindeki müşteri bilgilerinin güncellenmesinde kullanılan algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiği,
- Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği, nitekim ilgili kişi tarafından üçüncü kişiye ait kişisel verilere erişildiği, somut olayın kişisel verilere hukuka aykırı erişimi ortaya koyar nitelikte olduğu,
- Kanunun 12’nci maddesi kapsamında veri sorumlularının kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli her türlü teknik ve idari tedbiri almakla yükümlü oldukları,
- Veri kayıt sistemindeki algoritmanın yanlış çalışmasından dolayı ortaya çıkan durum dört farklı kişiyi etkilemiş ise de Kanun kapsamında yapılmış bir veri ihlal bildiriminin bulunmadığı,
- Kanunun 12’nci maddesinin (5) numaralı fıkrasında; “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” hükmün yer aldığı ancak veri sorumlusu tarafından Kurula veri ihlal bildiriminde bulunulduğuna ilişkin bir beyanın savunma dilekçesinde yer almadığı gibi Kurum kayıtlarında da bildirime rastlanmadığı,
- Öte yandan savunma dilekçesinde ihbar sahibine ait kişisel verilerin algoritmadaki yanlışlıktan etkilenmediği savunmasının yapıldığı ancak ilgili kişi tarafından Kuruma iletilen dilekçenin ihbar niteliği taşıdığı ve Kurul tarafından konu hakkında re’sen inceleme başlatıldığı,
- Kanunun 15’nci maddesinin birinci fıkrasında “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmünün yer aldığı, bu kapsamda ihbar dilekçesi ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerinin ihlalden etkilenmesi gerekliliği bulunmadığı
değerlendirmelerinden hareketle;
- Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
- Savunma dilekçesinde, ihbarda bulunan ilgili kişiye ait kişisel verilerin ihlalden etkilenmediği savunması yapılmışsa da Kanunun 15’inci maddesinin birinci fıkrası kapsamında ihlal iddiasının öğrenilmesi durumunda re’sen görev alanına giren konularda incelemenin Kurul tarafından yapılacağı düzenlendiğinden ilgili kişinin ihbarı ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerin ihlalden etkilenmesi gerekliliği bulunmadığı hususunda veri sorumlusunun bilgilendirilmesine,
- İlgili kişilerin kişisel verilerine üçüncü kişiler tarafından yetkisiz şekilde erişilmesi Kanunun 12’nci maddesinin beşinci fıkrası kapsamında veri ihlal bildirimini gerektirmekte olup veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerinin hatırlatılmasına
karar verilmiştir.