KVKK Kurul Kararı 2021/993 Kargo Firması Tarafından Sehven Fatura Düzenlenmesi

1. Kararın Konusu ve Temel Bilgiler

Kurulun 30/09/2021 tarihli ve 2021/993 sayılı kararı, veri sorumlusu kargo firması tarafından herhangi bir hizmet almayan bir ilgili kişi adına sehven fatura düzenlenmesi olgusunu mercek altına almaktadır. Fatura üzerinde ilgili kişinin;

• Adı ve soyadı,
• Adres bilgisi,
• E-posta adresi,
• T.C. kimlik numarası

gibi kişisel verilerinin yer aldığı, bu verilerin asıl alıcı firma ile paylaşıldığı iddia edilmiştir.

2. Olayın Özeti ve Tarafların İddiaları

2.1. İlgili Kişinin Şikâyeti

İlgili kişi, Kuruma ilettiği şikâyetinde özetle şu iddialarda bulunmuştur:

• Kargo şirketinden herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo firması tarafından e-posta adresine kendi adına düzenlenmiş bir faturanın gönderildiğini,
• Kargo gönderim kodu ile yaptığı sorguda, faturanın aslında bir firmaya teslim edilen kargo işlemine ait olduğunu tespit ettiğini,
• Fatura üzerinde yer alan ad, soyad, adres, e-posta, T.C. kimlik numarası gibi kişisel verilerinin, satın almayı yapan firmaya aktarıldığını,
• Veri sorumlusuna başvurusuna verilen yanıtta, faturalandırma işleminin sehven yapıldığının ve kişisel verilerinin, bir meslek kuruluşu ile imzalanan sözleşme kapsamında şirket arşivinde bulunduğunun belirtildiğini,
• Meslek kuruluşunun kişisel verilerini hukuka aykırı şekilde kargo firması ile paylaştığını ve veri sorumlusunun da bu verileri kanuni işleme şartı olmaksızın işlediğini,
• Kişisel verilerinin silinmesi talebinin yerine getirilmediğini

belirterek kargo firması hakkında KVKK kapsamında işlem yapılmasını talep etmiştir.

2.2. Veri Sorumlusu Kargo Şirketinin Savunması

Kargo firması savunmasında özetle şu hususlara yer vermiştir:

• İlgili kişinin 2018–2020 yılları arasında alıcı müşteri olarak sistemlerinde kayıtlı olduğunu; bu kapsamda ad, soyadı, adres, telefon, T.C. kimlik numarası gibi verilerinin kargo taşıma sözleşmesi gereği işlendiğini,
• Bu kişisel verilerin 6475 sayılı Posta Hizmetleri Kanunu ve ilgili mevzuat uyarınca, sözleşmenin kurulması/ifası ve yükümlülüklerin yerine getirilmesi amacıyla; Kanunun 5. maddesinde sayılan “kanunlarda açıkça öngörülme, sözleşmenin ifası, hukuki yükümlülük, bir hakkın tesisi/kullanılması/korunması” hukuki sebeplerine dayanılarak işlendiğini,
• Türk Ticaret Kanunu m.855 gereği olası uyuşmazlıklarda delil teşkil etmek üzere kişisel verilerin belirli sürelerle (örneğin 1 yıl, 3 yıl, 10 yıl gibi) saklandığını,
• İlgili kişinin kişisel verilerinin, meslek kuruluşu ile imzalanan ve üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan kampanya sözleşmesi kapsamında arşivlerinde bulunduğunu,
• Bu kampanya çerçevesinde geliştirilen sistemde, ilgili kişinin meslek kuruluşuna üye olup olmadığını kontrol etmek için sadece T.C. kimlik numarası üzerinden “True/False” yanıtı alındığını; başka bir kişisel verinin aktarılmadığını,
• Şikâyete konu faturanın, acente çalışanı tarafından sehven düzenlendiğini, söz konusu faturanın iptal edildiğini ve gerekli uyarıların yapıldığını,
• Kişisel verilerin, mevzuatta öngörülen saklama süreleri boyunca muhafaza edilmesinin zorunlu olduğunu

belirterek veri işleme faaliyetlerinin hukuka uygun olduğunu savunmuştur.

3. Kurulun Hukuki Değerlendirmesi

3.1. KVKK Kapsamında İlgili Kişi ve Veri Sorumlusu

Kurul, öncelikle KVKK’nın 3. maddesinde yer alan tanımları hatırlatmıştır:

• İlgili kişi: Kişisel verisi işlenen gerçek kişi,
• Veri sorumlusu: Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu gerçek veya tüzel kişi.

3.2. Genel İlkeler ve İşleme Şartları

KVKK’nın 4. maddesi uyarınca kişisel veriler; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli-açık-meşru amaçlar için, amaçla bağlantılı/sınırlı/ölçülü şekilde ve gerekli süre kadar muhafaza edilmek kaydıyla işlenebilir.

5. madde ise kişisel verilerin işlenme şartlarını düzenler. Kural olarak açık rıza aranmakta, ancak kanunlarda öngörülmesi, sözleşmenin ifası, hukuki yükümlülük, bir hakkın tesisi/kullanılması/korunması, meşru menfaat gibi durumlarda açık rıza olmaksızın da veri işlenmesine izin verilmektedir.

3.3. Kampanya Kapsamındaki Veri İşlemenin Değerlendirilmesi

Kurul, meslek kuruluşu ile yapılan kampanya kapsamında kullanılan sistemde; kişilerin T.C. kimlik numaraları üzerinden sadece “üyedir / üye değildir” (True/False) yanıtı alınmasını, KVKK m.5/2 (c) çerçevesinde, sözleşmenin kurulması ve ifasıyla doğrudan ilgili veri işleme faaliyeti olarak değerlendirmiştir.

Buna göre Kurul, veri sorumlusu kargo firmasının:

• Kargo gönderilerinde alıcı/sender verilerini işlemesini, posta ve ticaret mevzuatından kaynaklanan kanuni yükümlülükler ve sözleşmenin ifası kapsamında,
• Meslek kuruluşu kampanyası çerçevesindeki T.C. kimlik numarası sorgulamasını ise sözleşmenin ifasıyla ilgili veri işleme faaliyeti olarak

hukuka uygun bulmuştur.

3.4. Sehven Fatura Düzenlenmesi ve Hukuka Aykırılık

Kurulun kritik tespiti, ilgili kişi adına hizmet almamasına rağmen fatura düzenlenmesi noktasında ortaya çıkmaktadır:

• İlgili kişi, fiilen kargo hizmeti almamıştır; dolayısıyla bu işleme ilişkin bir sözleşme ilişkisi yoktur.
• Buna rağmen veri sorumlusu, ilgili kişinin ad, soyadı, T.C. kimlik numarası, adresi ve e-posta adresi gibi kişisel verilerini kullanarak hatalı bir fatura düzenlemiştir.
• Bu işlem bakımından KVKK m.5/2’de sayılan hiçbir veri işleme şartı (kanuni zorunluluk, sözleşmenin ifası, hukuki yükümlülük vb.) geçerli değildir.

Bu nedenle Kurul, sehven de olsa bu faturalandırma işleminde gerçekleştirilen veri işleme faaliyetini hukuka aykırı kişisel veri işleme olarak nitelendirmiştir.

3.5. Üçüncü Kişilere Aktarım İddiası ve İspat

İlgili kişi, kişisel verilerinin hatalı fatura üzerinden üçüncü kişilerin eline geçtiğini de iddia etmiştir. Kurul, kargo gönderilerinde barkod etiketlerinde verilerin yer alabildiğini, ancak bu verilerin maskelenmiş veya yıldızlanmış olma ihtimalinin de bulunduğunu belirtmiştir.

İlgili kişi tarafından bu aktarım iddiasını destekleyen somut bir belge sunulamadığından, Kurul; üçüncü kişilere aktarımın ispatlanamadığı sonucuna varmıştır. Buna rağmen, sehven fatura düzenleme nedeniyle veri işleme boyutunda hukuka aykırılık bulunduğu tespit edilmiştir.

3.6. Saklama Süreleri ve Silme Talebinin Değerlendirilmesi

Veri sorumlusu, kişisel verilerin Türk Ticaret Kanunu m.855 ve genel zamanaşımı süreleri uyarınca belirli süreler boyunca saklandığını, bu süreler dolduğunda verilerin arşivlenmek suretiyle silineceğini veya erişime kapatılacağını beyan etmiştir.

Kurul, ticaret ve posta mevzuatından doğan saklama yükümlülükleri nedeniyle, veri sorumlusunun kişisel verileri belirli süre boyunca muhafaza etmesini hukuka uygun bulmuş; bu nedenle ilgili kişinin derhal silme talebinin karşılanmamasını tek başına ihlal olarak değerlendirmemiştir.

4. Kurulun Sonucu: İhlal ve İdari Para Cezası

Kurul, kapsamlı değerlendirmesinin sonucunda iki temel sonuca ulaşmıştır:

• 1) Kişisel verilerin temin edilmesinin hukuka uygunluğu:
  İlgili kişinin kargo işlemleri nedeniyle daha önce veri sorumlusu nezdinde kaydının bulunması ve meslek kuruluşu kampanyası kapsamındaki verilerin işlenmesi, KVKK ve ilgili mevzuat çerçevesinde hukuka uygun görülmüştür.
• 2) Sehven fatura düzenlemenin hukuka aykırılığı:
  İlgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesi; Kanunun 5/2 maddesinde sayılan herhangi bir işleme şartına dayanmadan, ad, soyadı, T.C. kimlik numarası, adres ve e-posta bilgilerinin faturalama amacıyla işlenmesi anlamına gelmektedir. Bu işlem, Kurul tarafından hukuka aykırı kişisel veri işleme olarak nitelendirilmiştir.

Bu çerçevede Kurul, veri sorumlusunun KVKK m.12/1-(a) kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek için gerekli teknik ve idari tedbirleri yeterince almadığına hükmetmiş ve 18/1-(b) maddesi uyarınca idari para cezası uygulanmasına karar vermiştir.

Öte yandan, mevzuat gereği saklama yükümlülüğü bulunduğundan, ilgili kişinin kişisel verilerinin silinmesi talebinin tam olarak karşılanmamasında ayrıca bir hukuka aykırılık bulunmadığı sonucuna varılmıştır.

5. Kargo Firmaları ve Veri Sorumluları İçin Öneriler

Bu karar, yalnızca kargo şirketleri için değil, her sektörden veri sorumluları için önemli dersler içermektedir. Özellikle faturalandırma, kampanya yönetimi ve arşiv süreçlerinde kişisel veri işleme risklerine dikkat çekmektedir.

5.1. Faturalandırma Süreçlerini Güvence Altına Alın

• Fatura kesme ekranlarında, müşteri seçimi ve teyidi için çok aşamalı kontrol mekanizmaları oluşturun (örneğin, isim + TCKN + müşteri numarası doğrulaması).
• Faturalandırma işlemlerinde “sehven” hata ihtimalini azaltmak için kullanıcı dostu arayüzler ve zorunlu alan kontrolleri kullanın.
• Hatalı fatura düzenlendiğinde devreye giren olay yönetimi ve düzeltme prosedürlerini yazılı hale getirin.

5.2. Kampanya ve İş Ortaklığı Kapsamındaki Veri Akışlarını Netleştirin

• Meslek kuruluşları, sadakat programları, platform iş ortakları gibi taraflarla yapılan sözleşmelerde veri işleme amaçlarını, veri kategorilerini ve hukuki dayanakları açıkça belirleyin.
• Mümkün olduğunca az veriyle doğrulama yapın; örneğin bu kararda olduğu gibi sadece “True/False” yanıtı sağlayan mekanizmaları tercih edin.
• Taraflar arası veri akışına ilişkin aydınlatma metni ve sözleşme eklerini KVKK uyumlu hale getirin.

5.3. Saklama ve Silme Politikanızı Şeffaflaştırın

• Mevzuat kaynaklı saklama sürelerini (ticaret, vergi, posta, bankacılık vb.) ayrı ayrı belirleyin ve veri envanteri üzerinde gösterin.
• İlgili kişi silme talebinde bulunduğunda, neden hemen silinemediğini; hangi kanun gereği, ne kadar süre daha saklanacağını şeffaf bir dille açıklayın.
• Süre sonunda verilerin nasıl silineceği veya anonim hale getirileceği konusunda net prosedürler oluşturun.

5.4. Personel Eğitimi ve Farkındalık

• Acente ve saha çalışanları dahil, fatura kesen tüm personeli kişisel verilerin korunması, hata durumunda yapılacaklar ve KVKK ihlallerinin sonuçları konusunda düzenli eğitime tabi tutun.
• Hatalı işlem tespit eden çalışanların durumu gecikmeden bildirebileceği bir iç ihbar/olay bildirimi kanalı oluşturun.

6. Sık Sorulan Sorular (SSS)