Kuruma intikal eden şikayette özetle; ilgili kişinin e-posta adresine bir e-ticaret sitesinden alışveriş yapan üçüncü bir kişinin sipariş bilgilerinin gönderildiği, söz konusu e-posta içeriğinde ödenen tutar, resimli olarak siparişin içeriği, gönderici adı soyadı, alıcının adı soyadı, adresi, telefon numarası gibi bilgilerin açık bir biçimde yer aldığı, ayrıca e-postada yer alan “Sipariş Takibi ve Güncelleme” adlı buton sayesinde tüm sipariş detaylarının görülebileceği bir sayfaya yönlendirme yapıldığı, bu sayfada ise gönderici ve alıcı bilgilerine ek olarak sipariş edilen ürünün içerik adı, ürün kodu, rengi ve gönderici tarafından alıcıyı muhatap gönderi notunun görüntülendiği, gönderici veya alıcı bilgileri ile gönderi notu bilgilerinin düzenlenebilir durumda olmakla birlikte sipariş iptal butonunun da aktif olduğu, söz konusu olayların veri ihlali olduğunu tespit ederek ve şahsına ait kişisel verilerinin de belirttiği şekilde başkaları tarafından görülebileceğini düşünerek öncelikle e-ticaret sitesine ait müşteri hizmetleriyle canlı destek sistemi üzerinden irtibata geçtiği, müşteri hizmetleri tarafından müşterinin isim benzerliği neticesinde yanlış e-posta verdiğinin, bu sebeple söz konusu sipariş bildiriminin iletildiğinin, bu siparişten kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edildiği, ancak bahse konu e-posta adresine halen veri sorumlusu e-ticaret sitesi tarafından reklam içerikli e-postaların iletildiği, konunun hata olarak nitelendirilmesinin kişisel verilerin ihlali gerçeğini değiştirmediği, bu itibarla veri ihlalini önlemek adına güvenlik tedbirlerinin alınması konusunda tüm iletişim kanalları üzerinden veri sorumlusuna  bilgilendirmede bulunmasına karşın kendisine herhangi bir dönüş yapılmadığı belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

• İlgili kişinin konu hakkında kendilerine başvurduğu ve başvuruya ilişkin cevabın ilgili kişinin ikamet adresine gönderildiği,
• İlgili kişinin 20.10.2014 tarihinde şikâyete konu edilenden farklı bir e-posta ile söz konusu e-ticaret sitesine üyelik oluşturduğu, e-ticaret sitesine kayıtlı tüm üyelerin bilgilerinde yapılan araştırmalar neticesinde şikâyete konu siparişte kullanılan e-posta adresi için bir üyelik hesabının bulunmadığı,
• Söz konusu siparişin, bir başka kullanıcı tarafından isim benzerliğinden kaynaklı olarak sehven ilgili kişiye ait e-posta adresinin bildirilerek üyelik hesabı açılmaksızın misafir müşteri girişi ile oluşturulduğu ve e-posta ile SMS gönderimi için açık rızanın verildiği,
• Üyelik hesabı açmadan oluşturulan siparişlerde kullanıcıların “Kişisel verileriniz, Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni kapsamında işlenmektedir.” bilgisi ile karşılaştığı ve burada aydınlatma yükümlülüğünün yerine getirilmesini sağlayan konularda bilgilendirmelerde bulunulduğu, ilgili kullanıcıların siparişin bir sonraki adımına geçmeyi kabul etmeleri hâlinde kişisel verilerinin işlendiği,
• İlgili kişinin veri sorumlusuna yaptığı başvuruda kendisine reklam içerikli e-posta gönderilmemesi ile ilgili olarak herhangi bir talepte bulunmadığı,
• Tüm müşterilere diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağlandığı ve veri sorumlusu tarafından gönderilen tüm ticari elektronik iletilerde bu hususun yer aldığı, ayrıca bu yöndeki şikâyetlerin muhatabının da Kurum değil Ticaret Bakanlığının il ve ilçe müdürlükleri olduğu,
• Şikâyete konu somut olayda, bir başka gönderici tarafından sehven ilgili kişinin e-posta adresinin sisteme girilmesi, ilgili kişiye ait e-posta adresinin ilgili kişiye ait herhangi bir kayıtla eşleşmemesi ve veri sorumlusunun bu olayda kastının bulunmadığı dikkate alındığında Kanun’un 12’nci maddesinin ihlal edildiğinden söz edilemeyeceği,
• Diğer yandan üye olmaksızın misafir müşteri girişi ile yapılan alışverişler esnasında alışveriş yapan kişi tarafından kendisine ait e-posta veya telefon numarası girilmek istenirken sehven hatalı olarak girilen başkalarına ait e-posta ve telefon numaralarının e-ticaret sitesi tarafından teyit edilebilmesine yönelik olarak da teknik geliştirme yapılması çalışmalarına başlandığı ve tamamen kontrol dışında gerçekleşen bu durumun önüne geçmek ve hatalı veri girişlerini engellemek amacıyla planlamaların yapıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/774 sayılı Kararı ile;

• 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında,  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı

Buna göre;

İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin Kanuna aykırı bir biçimde işlendiğine yönelik iddiası hakkında;

• Veri sorumlusunun, müşterilerine üye olma seçeneği sunduğu, bu kapsamda üyelik oluşturan kişilerden manuel girilebilecek şekilde e-posta bilgisini beyan etmelerini istediği, veri sorumlusu tarafından üyeliği olmayan müşterilere de hizmet verildiği, üyelik kaydı bulunmaksızın sipariş oluşturan müşterilerden gerek hizmetin ifası gerekse e-faturanın gönderilmesi gibi amaçlarla e-posta bilgisinin yine manuel olarak girilebilecek şekilde beyan etmelerinin istendiği,
• Veri sorumlusu tarafından, ilgili kişinin üyelik bilgilerinde yalnızca “xxx” e-posta adresinin olduğu, ilgili kişi ile aynı isme sahip üçüncü kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait bir diğer e-posta adresi olan “yyy” adresini sehven girerek sipariş verdiği, “yyy” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığının belirtildiği, veri sorumlusunun cevabi yazı eki incelendiğinde de, ilgili kişinin üyelik bilgisinde “xxx” e-posta adresinin olduğu ve sistemlerinde “yyy” e-posta adresinin yer almadığının görüldüğü, diğer yandan ilgili kişinin şikâyet ekinde “yyy” e-posta adresine kendisi tarafından oluşturulmayan bir siparişe dair e-ticaret sitesi tarafından bilgilendirme e-postasının gönderildiğine ilişkin ekran görüntülerinin yer aldığı,
• İlgili kişiye gönderilen sipariş bilgilendirme e-postasında; söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bunun yanında alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı,
• Bireyler tarafından manuel olarak yapılan bilgi girişlerinde yanlış beyanlarda bulunulabilmesinin muhtemel olduğu, veri sorumluları tarafından ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında tanımlanan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik idari ve teknik tedbirlerin alınması yükümlülüğü kapsamında, bu yanlış bilgi girişleri sebebiyle üçüncü kişilere ait kişisel verilerin hukuka aykırı bir biçimde işlenmesinin önüne geçilebilmesi adına, kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulmasına yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği,
• Dolayısıyla somut olayda şikâyete konu siparişin kendisi tarafından verilmemesine karşın ilgili kişinin kişisel verisi niteliğindeki “yyy” e-posta adresine veri sorumlusu tarafından bilgilendirme e-postası gönderilmek suretiyle kişisel veri işleme faaliyetinde bulunulduğu, bu işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
• Bu çerçevede söz konusu işlemde bir teyit mekanizmasının bulunmaması nedeniyle e-ticaret sitesine üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı,
• Bilgilendirme e-postalarının, gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta, sipariş bilgileri gibi bilgileri ihtiva edebileceği, bilgilendirme e-postasının konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, konu ile ilgisiz üçüncü kişinin kişisel verisinin hukuka aykırı bir biçimde işlenmesi sonucunu doğurduğu gibi içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği

İlgili kişinin Kanun kapsamında yaptığı başvuruya veri sorumlusu tarafından cevap verilmediğine yönelik iddiası hakkında:

• İlgili kişinin Kanun kapsamında başvuru yapmak maksadıyla doldurduğu başvuru formu ile veri sorumlusunun cevabi yazı ve ekinde yer alan bahse konu belgeler incelendiğinde ve gönderi takip formunda yer alan gönderi barkod numarası sorgulandığında; başvuruya verilecek yanıtın tarafına bildirilme yöntemi olarak yalnızca “Adresime gönderilmesini istiyorum” kutucuğunu işaretlediği, veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiğinin görüldüğü, bu sebeple veri sorumlusu tarafından ilgili kişinin yaptığı başvuruya cevap verildiğinin anlaşıldığı,

İlgili kişinin e-posta adresine veri sorumlusu tarafından kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edilmesine rağmen hâlen reklam içerikli e-postaların iletildiğine yönelik iddiası hakkında:

• İlgili kişinin şikâyet dilekçesi ve ekinde; söz konusu siparişe dair gönderilen bilgilendirme e-postalarının, bunun üzerine e-ticaret sitesi asistanı üzerinden gerçekleştirmiş olduğu görüşme trafiğinin ekran görüntüsünün ve Kanun kapsamında yapmış olduğu başvurusunun yer aldığının görüldüğü, veri sorumlusunun cevabi yazı ekinde, bu belgelerin yanı sıra ilgili kişiye verilen yanıtın yer aldığı dokümanlar incelendiğinde; bahse konu siparişten ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin silindiğinin ve kendisine bildirim iletilmeyeceğinin müşteri hizmetleri ile yapılan görüşmede ifade edildiği, bununla birlikte ilgili kişinin veri sorumlusuna başvurusunda hâlen kendisine reklam içerikli e-postanın iletilmeye devam edildiğine dair bir ifadesine rastlanılmadığı  ve ilgili kişinin Kuruma ilettiği şikayetinde reklam içerikli e-posta iletilmeye devam edildiği iddiasına yönelik tevsik edici herhangi bir bilgi ve belgeye yer verilmediği,

Veri sorumlusunun tüm müşterilere diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağlandığına, e-ticaret sitesi tarafından gönderilen tüm ticari elektronik iletilerde sunulan bu imkânın belirtildiğine, bu yöndeki şikâyetlerin muhatabının Kurumun değil Ticaret Bakanlığının il ve ilçe müdürlüklerinin olduğuna yönelik açıklamaları hakkında:

• Telefon ve e-posta bilgisinin bir iletişim bilgisi olduğu, bu iletişim bilgilerinin kişisel veri olduğu, kişisel veriler üzerinde Kanun’da belirtilen yollarla gerçekleştirilen her türlü işlemin bir işleme faaliyeti olduğu, bu bilgilerin kişiyi belirlenebilir kılmak maksatlı işlendiği, dolayısıyla SMS ya da e-posta yoluyla ticari elektronik ileti gönderilmesi suretiyle bir kişinin e-posta ya da cep telefonu bilgisinin kullanılmasının bir kişisel veri işleme faaliyeti olduğu ve kişisel verilerin hangi işleme şartlarına dayalı olarak işlenmesi gerektiğini düzenleyen Kanun kapsamında değerlendirileceği

değerlendirmelerinden hareketle;

• Veri sorumlusu tarafından taraflara yönelik bir teyit mekanizması kurulmadan satış sözleşmesi ile ilgisiz üçüncü kişi konumundaki ilgili kişiye sipariş bilgilendirmesine dair e-posta gönderilmesi suretiyle kişisel verisinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın işlendiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği kanaatine varıldığından, veri sorumlusunun 550+ çalışan ve 40.000+ tedarikçi ağından oluşan bir ekiple süreçlerini yürütmekte olduğu, şikayete konu olayda veri sorumlusunun Kanun’un 12’nci maddesindeki yükümlülüklerini yerine getirmeyerek ihmali davranışla e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiği, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 120.000 TL idari para cezası uygulanmasına,
• İlgili kişinin Kanun kapsamında yapmış olduğu başvuruya veri sorumlusu tarafından yasal süreler içinde cevap verildiğinin görülmüş olması sebebiyle ilgili kişinin veri sorumlusu tarafından başvuruya cevap verilmediği iddiasına yönelik olarak veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlem olmadığına

karar verilmiştir.