Senetli alışverişlerde e-Devlet şifresi, üye hesabı için de T.C. kimlik numarasının istenmesi, kişisel verileri koruma kanununa aykırı hareket etmek sayıldı.

Adalet Bakanlığı bünyesinde hizmet veren Kişisel Verileri Koruma Kurulu (KVKK), kişisel verileri amacı dışında kullananlara ceza yağdırıyor.

KVKK, alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesinin, kişisel verilerin hukuka aykırı işlenmesi suçunu oluşturduğuna hükmetti.

Bir alışveriş merkezinde, senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarası temin edildiğine yönelik ihbar yapıldı.

Kararda, e-Devlet şifrelerinin istenilmesinin 6698 sayılı Kanuna aykırılık teşkil ettiği belirtilerek gereğinin yapılmasının talep edildiği hatırlatıldı. İhbar dilekçesinde veri sorumlusunun internet sitesinde 'Kasaya Git' sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” şeklinde bilgilerin yer aldığı dile getirildi.

İHA'nın haberine göre, kurul kararında şu ifadelere yer verildi: 'Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun'un 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği ortadadır.

Öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmıştır. Bu hususların yasaya aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 300 bin lira idari para cezası uygulanmasına karar verilmiştir.

Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını 'Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe' uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına hükmedilmiştir.

Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; konuya ilişkin olarak resen inceleme başlatılmasına karar verilmiştir.’’