İlgili kişinin, araç kiralama şirketine ait internet sitesine kendi kullanıcı adı ve e-posta adresiyle giriş yaparken, yanlışlıkla başka bir kullanıcının hesabına yönlendirildiği, bu hatalı yönlendirme sonucu üçüncü bir şahsın adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine erişim sağladığı, durumun ilgili çağrı merkezine bildirildiği, ardından sistemdeki bilgilerin düzeltildiği ancak veri sorumlusuna yapılan başvuruda sorulan sorulara herhangi bir yanıt verilmediği ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılması talep edilmiştir.

Kişisel Verileri Koruma Kurulu (“Kurul”), veri sorumlusu araç kiralama şirketinin savunmasını talep etmiş ve şirket verdiği cevaplarda özetle;

• Hatalı bilgi görüntülemesi sorununun, merkez ofisleri üzerinden yapılan rezervasyonun işleme alınışı esnasında rezervasyon ekranı üzerinden manuel bilgi girişi yapılırken hatalı e-posta adres bilgisi girilmesinden kaynaklandığını vesorunun sistemde güncelleme yapılarak kısa süre içinde düzeltildiğini,
• Aksaklığın başka kullanıcıları da etkileyip etkilemediğini tespit etmek için gerçekleştirilen veri tabanı taramasında ilgili kişinin yanı sıra üç kişinin daha aynı sorunu yaşadığının tespit edildiğini,
• Algoritma aksaklığı nedeniyle herhangi bir veri sızıntısının olmadığını ve oldukça az sayıdaki verinin sistemde görüntülendiğini ifade etmiştir.

Kurul, 24/08/2023 tarihli ve 2023/1465 sayılı kararında[1],

Kanun’un 3. maddesinin (e) bendine göre kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğuna ve veri sorumlusu tarafından kullanılan algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin yetkisiz erişime açık hale getirildiğine dikkat çekerek;

• Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun ilgili maddesi uyarınca 000 TL idari para cezası uygulanmasına,
• İlgili kişinin ihbarı ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerin ihlalden etkilenmesi gerekliliği bulunmadığı hususunda veri sorumlusunun bilgilendirilmesine ve
• İlgili kişilerin kişisel verilerine üçüncü kişiler tarafından yetkisiz şekilde erişilmesinin Kanun kapsamında veri ihlal bildirimini gerektirmesi sebebiyle veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerinin hatırlatılmasına karar vermiştir.

Özetle;

Veri işleme faaliyetinde bulunan veri sorumlularının;

• Mevcut veri güvenliği önlemlerini gözden geçirerek, her türlü idari ve teknik zafiyeti ortadan kaldırmaları,
• Kişisel verilerin yetkisiz erişimine yol açan durumlarda, Kurul’a zamanında ve doğru şekilde bildirimde bulunmaları,
• Herhangi bir ihlalin tespit edilmesi halinde, etkilenen kişilere en kısa sürede bilgi vermeleri ve onların sorularını yanıtlamaktan kaçınmamaları gerekmektedir.

[1] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7784/2023-1465