İsim Benzerliği ve E-Fatura Karmaşası: Operatöre 50.000 TL Ceza (Karar: 2019/333)

Kişisel Verileri Koruma Kurulu (Kurul), 07/11/2019 tarihli bu kararıyla, telekomünikasyon sektöründe sıkça karşılaşılan “hatalı veri girişi” ve “isim benzerliği” kaynaklı ihlalleri mercek altına almıştır. Karar, teknik bir hatanın nasıl bir veri güvenliği zafiyetine dönüştüğünü ve veri sorumlusunun “başvuru usulü” bahanesiyle vatandaşı cevapsız bırakamayacağını tescil etmektedir.

---

1. Olayın Özeti: İsim Benzerliğiyle Gelen Yabancı Faturalar

Olay: Bir telekomünikasyon abonesi, 2018 yılından itibaren kendi e-postasına isim ve soyadı aynı olan başka bir abonenin fatura detaylarının da gelmeye başladığını fark etmiştir. Durumu düzeltmesi ve bilgi vermesi için operatöre e-posta ile başvurmuş; operatör “bir iş günü içinde dönülecek” demesine rağmen hiçbir cevap vermemiş ve hatalı fatura gönderimi devam etmiştir.

Operatörün Savunması: * BTK mevzuatına göre fatura göndermekle yükümlü olduklarını,

• İki abonenin de sözleşmelerinde aynı e-posta adresini beyan ettiğini (biri el yazısıyla, diğeri elektronik),
• Başvuru sahibinin TCKN ve adres gibi bilgileri vermediği için “kimlik teyidi” yapılamadığından güvenlik riski nedeniyle cevap verilmediğini iddia etmiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “Sistem Uyarı Vermeliydi”

Kurul, operatörün savunmasını yetersiz bulmuş ve teknik/idari süreçlerdeki kusurları şu şekilde sıralamıştır:

A. Veri Güvenliği ve Teknik Tedbir Eksikliği (Md. 12)

Kurul, iki ayrı kişinin aynı e-posta adresine sahip olmasının teknik olarak mümkün olmadığını, bir yazım yanlışı yapıldığının aşikar olduğunu belirtmiştir.

• Sistem Zafiyeti: Yeni bir abonelik oluşturulurken, sistemde zaten kayıtlı olan bir e-posta adresi girildiğinde sistemin “Bu adres başka bir müşteriye aittir” uyarısı vermemesi, teknik tedbirlerin yetersiz olduğunu gösterir.
• Doğruluk ve Güncellik: Veri sorumlusu, verilerin “doğru ve gerektiğinde güncel” olmasını (Md. 4) sağlayamamış, bir müşterinin mahrem fatura bilgilerini diğeriyle paylaşmıştır.

B. Başvuru Hakkının Engellenmesi ve Dürüstlük Kuralı

Operatörün “kimlik teyidi yapamadık” gerekçesi Kurul tarafından reddedilmiştir.

• Gerçekçi Olmayan Savunma: Zaten sistemde kayıtlı olan bir e-posta üzerinden gelen başvuruya, “kimlik teyidi için eksik bilgileri tamamlayın” diye bir cevap dönmek yerine hiç cevap vermemek, dürüstlük kuralına aykırıdır.
• Yanlış Yönlendirme: Şirketin kendi e-postası üzerinden “cevap vereceğiz” dedikten sonra “güvenlik riski” bahanesiyle sessiz kalması tutarsız bulunmuştur.

---

3. Karar Sonucu: 50.000 TL Ceza ve Talimat

Kurul inceleme neticesinde;

1. Bir abonenin kişisel verilerinin (fatura bilgileri) yetkisiz bir üçüncü kişiyle paylaşılması ve veri güvenliğinin sağlanamaması nedeniyle operatör hakkında 50.000 TL (2019 yılı değeri) idari para cezası uygulanmasına,
2. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uyulması ve abonelerin veri güvenliğine yönelik gerekli tüm tedbirlerin alınması konusunda şirketin talimatlandırılmasına,karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Teknik Hata, Hukuki İhlalin Bahanesi Olamaz”

Bilişim hukuku alanındaki tecrübemizde, büyük veri setlerini yöneten şirketlerin “insan hatası” veya “sistem karmaşası” diyerek sorumluluktan kaçmaya çalıştığını görüyoruz. Ancak KVKK, veri sorumlusuna “hata yapma lüksü” tanımaz; aksine hatayı önleyecek sistemi (Data Validation / Veri Doğrulama) kurma yükümlülüğü getirir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, müşteri kayıt süreçlerinde “Çift Faktörlü Doğrulama” (2FA) veya e-posta onay mekanizmalarını zorunlu tutmalıdır. Eğer bir müşteri “yanlış veri geliyor” diyorsa, bu bir alarm zilidir. Bu başvuruyu bürokratik eksiklikler (TCKN yok vb.) arkasına sığınarak reddetmek, Kurul nezdinde “iyi niyetli olmayan bir çaba” olarak görülür ve cezayı kaçınılmaz kılar.

---

Sıkça Sorulan Sorular

1. Başka birinin faturası bana gelirse ne yapmalıyım?

Bu durum bir veri ihlalidir. Hemen ilgili şirkete başvurarak durumu bildirin ve kayıtlarınızın düzeltilmesini isteyin. Eğer şirket 30 gün içinde düzeltme yapmaz veya cevap vermezse Kurul’a şikayet hakkınız doğar.

2. Şirket “Başvurunuzda TCKN yok, cevap veremem” diyebilir mi?

Tebliğ uyarınca TCKN zorunludur ancak şirket, dürüstlük kuralı gereği size “TCKN bilgisini eklerseniz talebinizi sonuçlandırabiliriz” şeklinde bir geri dönüş yapmalıdır. Sessiz kalmak bir seçenek değildir.

3. İsim benzerliği veri sızıntısı için geçerli bir mazeret mi?

Hayır. Şirketler, sadece isim-soyisim ile değil, TCKN, müşteri numarası gibi tekil (unique) belirteçlerle veriyi ayrıştırmak ve yanlış eşleşmeyi önlemekle yükümlüdür.

4. 50.000 TL ceza 2026 yılında ne kadar olur?

Yeniden değerleme oranları ile 2019’daki 50.000 TL, günümüzde (2026) çok daha yüksek bir maliyete ve kurumsal itibar kaybına karşılık gelmektedir.

5. E-faturada hangi veriler sızmış olur?

E-faturada kişinin harcama alışkanlıkları, aradığı numaralar (detay varsa), adresi, TCKN’si ve finansal durumu gibi birçok kişisel veri yer alır. Bu nedenle sızıntı “yüksek riskli” kabul edilir.

---

Kaynaklar

• KVKK Kurumu – 2019/333 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 12, 13, 18)
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
• BTK Tüketici Hakları Yönetmeliği

---

Etiketler

KVKK, Operatör İhlali, E-Fatura Sızıntısı, İsim Benzerliği, Veri Doğrulama, İdari Para Cezası, 2019/333 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Başvuru Usulü, Veri Güvenliği, Telekomünikasyon Mevzuatı