İlgili kişinin Kuruma intikal eden şikayet dilekçesinde özetle: internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak sipariş verdiği, vermiş olduğu siparişlerinin kendisine gönderiminin hangi kargo firması ile gerçekleşeceğinin sipariş formunda yer aldığı, bununla birlikte söz konusu siparişlerin gerek teslimat gerek fatura adresi olsun hiçbir suretle belirtmediği halde işyeri adresine gönderiminin yapıldığını tespit ettiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi hükmü kapsamındaki hakları ve 13 üncü maddesi uyarınca taşımacılık sektöründe faaliyet gösteren veri sorumlusuna dilekçe ile iadeli taahhütlü olarak başvuru yaptığı, söz konusu başvurusunda hukuka aykırı olarak elde edilmiş kişisel verilerinin yok edilmesi, kişisel verilerinin kullanım amacına uygun olarak kullanılması, üçüncü kişilere aktarılmış olan kişisel verilerine dair yapılan işlemlere ilişkin ilgili üçüncü kişilere bilgi verilmesi ve kişisel verisi olan iş yeri adresinin yasal mevzuata ve hukuka uygun olarak işlenmişse dahi işlenmesini gerektirir sebebin ortadan kalkmış olduğunu düşündüğünden söz konusu kişisel verilerinin yok edilmesi talebinde bulunduğu; fakat veri sorumlusu tarafından bu başvurusuna 30 günlük süre içinde cevap verilmediği belirtilerek, konunun incelenmesi, kişisel verilerinin halen silinmemiş olması nedeniyle veri sorumlusuna talimat verilmesi ve hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusu kargo şirketinden savunması istenilmiş olup, alınan cevabi yazıda özetle; 

• Taraflarının, ilgili kişi başvurularını Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygunluk konusunda ön değerlendirmeye tabi tuttuğu, ancak söz konusu olayda ilgili kişinin başvuruyu posta yoluyla gerçekleştirmiş olduğu ve başvuru evrakında T.C. kimlik numarasının yer almadığı, ilgili kişinin kimliğinin doğruluğunu teyit etmeden yapılan her türlü bilgi paylaşımının kişisel veri güvenliği açısından riskli olacağı, bu nedenle ilgili kişi tarafından gönderilen yazının hukuki olarak veri sorumlusuna başvuruda bulunması gereken hukuki nitelikleri taşımadığı, 
• Şikayete konu kargo gönderimi esnasında birbirine rakip internet satış şirketlerinin indirim yapması sonrası oluşan kargo yoğunluğu sebebiyle, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirilmiş olduğunun görüldüğü; ancak ilgili kişinin teslimat sırasında bu adreste bulunmaması nedeniyle bu adreste herhangi bir teslimatın gerçekleştirilmediği,
• Yazı ekinde yer alan sistem çıktılarında görüldüğü üzere ilgili kişinin iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslimi amacıyla (bir sözleşmenin ifası kapsamında veri işleme şartına dayalı olarak) taraflarına iletilen bilgiler neticesinde elde edildiği,
• 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun “Muhafaza ve ibraz” başlıklı, 8 inci maddesinin “(1) Yükümlüler, bu Kanunla getirilen yükümlülüklere ve işlemlerine ilişkin her türlü ortamdaki: belgeleri düzenleme tarihinden, defter ve kayıtları son kayıt tarihinden, kimlik tespitine ilişkin belgeleri ise son işlem tarihinden itibaren sekiz yıl süreyle muhafaza ve istenmesi halinde yetkililere ibraz etmekle yükümlüdür.” şeklinde düzenlendiği, ayrıca Bilgi Teknolojileri ve İletişim Kurulunun 27/12/2016 tarih ve 2016/DK-YED/517 sayılı kararı ile düzenlenen Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinin “Hizmet sağlayıcılar tarafından, haberleşme gönderileri hariç, posta gönderilerinin kabulü aşamasında: asgari olarak;(…) alıcının adı-soyadı ve açık adres bilgisi (…) kayıt altına alınır, gerektiğinde ilgili mercilere sunulmak üzere gizliliği sağlanarak en az iki yıl süreyle saklanır.” şeklinde olduğu ve bu nedenle gönderim esnasında taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlarından yasal zorunluluk gereği silinemediği,
• İlgili kişiye ait kişisel verilerinin bulunduğu veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün yazı ekinde sunulduğu, bu bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, pasif durumda olan cari bilgilerin yalnızca merkez birimi tarafından değiştirilebildiği, bu hususun tekrar yaşanmaması adına sistemlerinde mevcut cari kayıtlar güncellenerek ilgili kişinin yeni siparişlerinde vermiş olduğu güncel bilgiler doğrultusunda yeniden cari açılımı yapılarak kargo gönderimi gerçekleştirileceği

ifade edilmiştir. 

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 22/06/2021 tarihli ve 2021/603 sayılı Kararı ile;

• Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;  “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
• Kişisel verilerin işlenme şartlarının ise Kanunun 5 inci maddesinde “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 
  (2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
  a) Kanunlarda açıkça öngörülmesi. 
  b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 
  c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
  ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 
  e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 
  f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şeklinde hüküm altına alındığı,
• Bu çerçevede, ilgili kişinin kişisel verilerinin hukuka aykırı işlendiğine ilişkin iddiaları ile ilgili olarak somut olayda veri sorumlusu tarafından gönderinin kabulü aşamasında ilgili kişinin adresinin kaydedilmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanılarak yapıldığının açık olduğu, buna karşın veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği dolayısıyla veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğüne aykırı hareket ettiği, 
• İlgili kişinin verilerinin silinmesine yönelik talebi ile ilgili olarak, veri sorumlusu tarafından, gönderim esnasında taşıma işini gerçekleştirmek üzere beyan edilmiş olan adresi, adı, soyadı ve irtibat telefon numarasının mevcut kayıtlarından yasal zorunluluk gereği silinemediği, kişisel verilerin korunması ve güvenliğinin azami ölçüde sağlandığı ve işlenen kişisel verilerin taraflar arası hukuki ilişkinin niteliği gözetilerek ve ilgili kanunlarda öngörülen yasal zorunluluk ve zaman aşımı süreleri ve diğer hukuki yükümlülükler dikkate alınarak gereken süre boyunca saklandığı ve akabinde silme, yok etme veya anonim hale getirme yöntemleri gözetilerek imha edildiği, bu çerçevede ilgili kişinin kişisel verilerinin bulunduğu (isim soy isim, adres, iletişim no vb.) veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün savunma yazısı ekinde gönderildiği ve pasif hale getirilen cari bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, 
• Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinde gönderinin kabulü ve teslimi aşamasında en az 2 yıl süreyle saklanacak verilerin açıkça düzenlendiği, ilgili kişinin iş yeri adresine uygun olan son kargo hareketinin 26.02.2019 tarihli olduğu ve sehven yanlış adrese yapılan gönderimin ise 02.11.2019 tarihli olduğunun belirtildiği, bu çerçevede, Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin silinmesini gerektiren sebebin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği,
• İlgili kişinin veri sorumlusuna yapmış olduğu başvurusuna veri sorumlusu tarafından 30 günlük süre içinde cevap ve bilgi verilmemesi iddiasına ilişkin olarak, her ne kadar Tebliğin 5 inci maddesinin (2) numaralı fıkrasında T.C. kimlik numarasının bulunmasının zorunlu olduğu düzenlenmiş olsa da veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik ilgili kişiyi yönlendirici gerekli aksiyonun veri sorumlusu tarafından alınmadığı, bu kapsamda başvurusunun bu şekilde cevapsız bırakılmasının Tebliğin 6 ncı maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği

değerlendirmelerinden hareketle;

• Veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği, dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı (b) bendi hükmü uyarınca idari para cezası uygulanmasına,
• İlgili kişinin kişisel verisi olan iş yeri adresinin silinmesi/yok edilmesi talebine ilişkin olarak veri sorumlusu bünyesinde Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği dikkate alındığında Kanun kapsamında bu çerçevede yapılacak bir işlem olmadığına,
• Veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik gerekli aksiyonun veri sorumlusu tarafından alınmadığı ve başvurusunun cevapsız bırakıldığı, dolayısıyla Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında belirtildiği üzere, ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almadığı değerlendirildiğinden veri sorumlusunun ilgili kişinin başvurusundaki eksik hususların tamamlanmasına yönelik gerekli aksiyonları alması ve Tebliğ hükümlerine azami özeni göstermesi hususunda talimatlandırılmasına

karar verilmiştir.