Kişisel Verileri Koruma Kurul’u tarafından başlıkta yer alan konu hakkında 05.01.2023 tarihinde 2023/4 sayılı kararı vermiş bulunmaktadır. Söz konusu kararda ilgilinin şikayeti özetle; bir e-ticaret firmasından satın almış olduğu ürünü tarafına teslim edecek kargo firmasının siparişi ilgili kişiye teslim etmesini müteakip ilgili kişi tarafından kargo paketinin üzerinde bir başkasına ait isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını gördüğü, ayrıca üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, yine benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki gerekçelere dayanılarak aktarıldığı konusuna ilişkin bilgi talep ettiği, veri sorumlusu tarafından verilen cevap yazısında söz konusu durum barkodlama aşamasında gerçekleşen bir hata sonucunda olduğunu ve ilgili kişiye ait gönderinin üçüncü kişiden iade alınarak gönderici firmaya teslim edilmiş olduğunu belirtildiği, söz konusu ifadelerden hareketle veri sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası sebebiyle ilgili kişiye teslimin yapılması gereken kargo paketinin üçüncü kişiye gönderilmiş olduğunu ve bu nedenle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığının anlaşıldığı, bu nedenle veri sorumlusunun hem ilgili kişiye hem de üçüncü kişiye ait kişisel verileri Kanun’un 8’inci maddesine aykırı olarak aktardığı belirtilerek gereğinin yapılması yönünde talepte bulunmuştur.
Konu hakkında yapılan inceleme neticesinde veri sorumlusu tarafından savunma yapılması yönünde talepte bulunulmuş ve veri sorumlusu tarafından gelen cevap yazısında;
İlgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken isim benzerliği nedeniyle karıştırıldığı ve çapraz barkodlama hatası yapıldığının tespit edildiği, işlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği, gerçekleştirilen bu eylemin sistematik bir hata olmadığı, sehven ortaya çıkan bir olay olduğu, veri sorumlusunun müşterilerine ait kişisel verileri yalnızca taşıma hizmetinin ifası için ilgili birimlerle, ifa yardımcılarıyla, Bilgi Teknolojileri ve İletişim Kurumu, talep halinde Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve kanunen kişisel verileri talep etmeye yetkili kamu kurumları ile paylaştığı, ilgili kişinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca geliştirildiği ve güncellendiği, veri sorumlusunun taşıma hizmeti kapsamında belli bilgileri kargo/gönderi üzerine yazmasının Karayolu Taşıma Kanunu’nun 43’üncü maddesi gereğince bir yükümlülük olduğu, dolayısıyla alıcıların isim ve adres bilgilerinin kargo üzerinde yazdığı, şikâyete konu işlemin bir acentenin istihdam ettiği personel tarafından yapıldığı, veri sorumlusunun hizmetlerin güvenliği konusunda hassas davrandığı, kasıtlı bir eyleminin bulunmadığı, veri sorumlusu tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği, kişisel verilerin korunmasının ve ilgili yasal mevzuata uyumun öncelikli önem verdiği değer ve politikalar arasında olduğu, bu konunun en önemli bölümlerinden birini müşterilerinin kişisel verilerinin korunmasının oluşturduğu, tekrarlanmaması için gerekli hassasiyet ve özenin gösterileceği belirtilmiştir.
Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı ile; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3 Md., 4 Md., 5 Md., ve 12. Maddeleri ile 4925 Sayılı Karayolu Taşıma Kanunun 43.maddeleri çerçevesinde değerlendirilmiş olup söz konusu yasalar çerçevesinde sonuç olarak İlgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği ve ilgili yasa çerçevesinde aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un ilgili hükümleri çerçevesinde Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir[1].
[1] https://www.kvkk.gov.tr/Icerik/7598/2023-4