ALGORİTMA HATASI SONUCU BAŞKASINA AİT BİLGİLERE ERİŞİM HAKKINDA KVKK KARARI
GENEL OLARAK
Kişisel Verileri Koruma Kurumunun (“Kurul”, “KVKK”) 24.08.2023 tarihli 2023/1465 sayılı kararı, kullanıcıların İnternet sitesinde başka kullanıcılara ait kişisel verilere erişim sağlaması sonucunda Kişisel Verilerin Korunması Kanunu (“6698 Sayılı Kanun”, “Kanun”) bakımından veri sorumluları ve ilgili kişilerin hukuki durumu hakkında bilgi vermektedir.
SOMUT OLAY
Bir araç kiralama şirketinin İnternet sitesinde meydana gelen algoritma hatası sonucunda birden fazla kişiye ait kişisel veriler erişime açık hale gelmiştir. Bu olaya ilişkin Kurula ihbar dilekçesi sunan ilgili kişi, kayıtlı kullanıcı adı ve e-posta adresi ile siteye giriş yaparken bir başka kullanıcının hesabına yönlendirilerek üçüncü kişiye ait adres, telefon numarası, T.C. kimlik numarası ve ehliyet gibi bilgilere erişmiştir. Sonrasında şirkete yaptığı bildirim sayesinde hata düzeltilmiş olmasına rağmen, başvurusunda yer alan sorulara cevap alamamıştır. Bunun üzerine Kurula şikayette bulunmuştur.
Şirket verdiği cevapta hatanın, merkez ofiste rezervasyon ekranı üzerinden manuel bilgi girişi yapılırken hatalı e-posta girilmesinden kaynaklandığını belirtmiştir. Hatalı e-posta girişi, müşteri bilgilerinin güncellenmesinde kullanılan algoritmayı aksatmış ve böylece toplam dört kişinin kişisel verileri diğer kullanıcılara görünür hale gelmiştir. Bu olay üzerinde şirket, sorunu çözmüş ve tekrar yaşanmaması için algoritmayı tamamen devre dışı bırakmıştır. Son olarak ihbarda bulunan kişiye ait herhangi bir kişisel verinin başkası tarafından görüntülenmediğini eklemiştir.
6698 SAYILI KANUN BAKIMINDAN OLAY ANALİZİ
Kanun m.3/1-e bendine göre, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla … elde edilebilir hâle getirilmesi, … gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi anlamına gelmektedir. Kurul tarafından, algoritma hatası sonucu toplam dört kişinin kişisel verilerinin başkaları tarafından erişilebilmesi “elde edilebilir hale getirme” kapsamında ele alınmıştır.
6698 Sayılı Kanun m.3/1-h bendinde veri kayıt sistemi, “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır. Şirketin müşteri bilgilerinin yer aldığı elektronik ortam, kullanıcılara ait kişisel verileri işlediğinden veri kayıt sistemi olarak değerlendirilmiştir.
6698 Sayılı Kanun m.3/1-ı bendine göre veri sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. İnternet sitesini işletme, müşteri bilgilerini araç kiralama ve işlem takibi için depolama ve ilgili algoritmayı kullanma araç kiralama şirketine ait olduğundan veri sorumlusu olarak nitelendirilmiştir. Bu sebeple Kanunun m.12’de yer alan yükümlülükleri bakımından sorumludur. Bu anlamda veri güvenliğini sağlama ve m.12/1-b gereği kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerine aykırı davrandığı tespit edilmiştir.
Kanun m.12/5 fıkrasında ise veri sorumlusunun ihlal bildirim yükümlülüğü düzenlenmiştir. Hükme göre “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” Kurulun resmi sayfasında süre olarak 72 saat belirtilmiştir. Veri sorumluların bu yükümlülüğünü yerine getirmesi için Kurulun resmi sayfasında yayınlanan bildirim formunu doldurmaları gereklidir. Ayrıca maddede verileri elde edilen kişi sayısı bakımından herhangi bir sınırlama bulunmamaktadır. Dolayısıyla somut olayda sadece toplam dört kişinin kişisel verilerinin erişilebilir hale gelmesi, şirketin ihbar yükümlülüğünü ortadan kaldırmamaktadır. Ancak ilgili kişiye veya Kurula herhangi bir bildirim yapılmadığı anlaşılmıştır.
Son olarak Kurula başvuran kişi, kişisel verileri gözüken dört kişiden biri olmasa da Kurulun inceleme yapmasını engellememektedir. Aksine dilekçe, ihbar niteliğinde sayılmış ve 6698 Sayılı Kanun m.15 gereği Kurulun resen inceleme hakkının doğduğu belirtilmiştir.
YAPTIRIMLAR
- Şirketin Kanun m.12 kapsamında veri güvenliğine ilişkin yükümlülükleri yerine getirmemesi sebebiyle m.18/1-b uyarınca 200.000 TL idari para cezasına,
- Kurul tarafından inceleme yapılabilmesi için başvuranın kişisel verilerinin ihlalden etkilenmesine gerek olmadığı hakkında bilgilendirilmesine,
- Kişisel verilere üçüncü kişisel tarafından yetkisizce erişilmiş olduğundan m.12/5 gereği veri sorumlusu olarak ihlal bildirimi yapma yükümlülüğünün hatırlatılmasına karar verilmiştir.
Karar metnine ulaşmak için: https://www.kvkk.gov.tr/Icerik/7784/2023-1465