Mayıs 2021

KVK Hukuku E-Bülten

Site Yönetiminden Sorumlu Şirket tarafından sitede oturan ilgili kişinin telefon numarasının yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaşılmasına ilişkin Kurul Kararı:

İlgili kişi tarafından, site yönetiminden sorumlu şirketin, kendi cep telefonu numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile bilgisi ve rızası olmaksızın paylaştığı ve bu uygulamadan da kendisine bilgi mesajı gönderildiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca gerekli yaptırımların uygulanması talebiyle Kişisel Verileri Koruma Kurulu (Kurul)’na başvurulmuştur.

Konuya ilişkin Kurul tarafından yapılan incelemede bahse konu site yönetim işlemlerini yürüten şirket ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketten savunmalar istenmiştir.

Site yönetiminden sorumlu şirket savunmasında ilgili kişinin ikamet ettiği sitenin Temsilciler Kurulu ile Şirketleri arasında hizmet sözleşmesinin bulunduğu, mezkur sözleşme kapsamında yükümlülüklerinin Kat Mülkiyeti Kanunu ve Site Yönetim Kurulu kararlarına uygun olacak şekilde yerine getirildiği,

Ayrıca şirketlerinin, bir yönetim firması olduğu ve yönetim firması olmasından dolayı hizmetlerini sunarken birçok yönetim programından yararlanıldığı, kişisel verilerin aktarıldığı iddia edilen uygulamanın da şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğu, site sakinlerinin kişisel verilerinin kesinlikle 3.kişilerle paylaşılmadığı, muhtemel olarak ilgili kişinin kendisinin programa kaydolduğundan SMS ile bilgilendirme aldığı,

Söz konusu mobil uygulamayı sunan şirket ile aralarında hizmet sözleşmesi bulunduğu, ilgili kişiye ait kişisel verilerin mezkur uygulamaya aktarılması ya da uygulamaya kaydının taraflarınca yapılması gibi bir durumun söz konusu olmadığı, Şirketlerine 3. bir taraftan gelen yüksek meblağlı bir ürünle ilgili indirimin site sakinlerince yönetim hizmetlerinin gerçekleştirilmesi için hali hazırda kullanılan bir uygulama (ilk uygulama) üzerinden site sakinlerine bilgi verme amaçlı olarak bildirildiği, kişisel verilerin aktarıldığı iddia edilen yeni uygulamaya (ikinci uygulama) üye olmayı gerektiren bu indirimden yararlanabilmenin tamamen ilgili kişinin inisiyatifinde olduğu, ilgili kişinin kendi seçimi ile yeni uygulamaya/ikinci uygulamaya kaydolduğu, bu çerçevede aydınlatılmanın söz konusu uygulama ve ilgili kişinin arasında bir durum olduğu,

İlgili kişinin mezkûr uygulamaya kaydının Şirketlerince yapılmadığı, ilgili kişinin uygulamaya kendi özgür iradesiyle kayıt olduğu,

ifade edilmiştir.

Mobil uygulama hizmetini sunan şirket tarafından yapılan savunmada ise;

Yönetim Hizmeti Sunan Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında bu şirkete bulut hizmeti sağlandığı, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin Yönetim Hizmeti Sunan Şirket tarafından oluşturulduğu, bu sebeple kendilerinin veri sorumlusu sıfatını haiz olmadığı, sağlanan bulut hizmetinin kapsamı gereği veri işleyen sıfatını haiz oldukları,

Sunulan bulut program hizmetinin bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olduğu, ilgili kişinin ikamet ettiği sitede 634 sayılı Kat Mülkiyeti Kanunundan kaynaklanan borç ve yükümlülüklerin gereklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesinin zorunlu olduğu,

İlgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi çerçevesinde işlenebileceği, bu kapsamda açık rıza aranması durumunun söz konusu olmadığı, böyle bir rızanın aranacağı düşünülse bile söz konusu aydınlatma ve açık rızanın alınması yükümlülüğünün Yönetim Hizmeti Sunan Şirkete ait olduğu,

İlgili kişinin kişisel verilerinin Yönetim Hizmeti Sunan Şirket tarafından bulut sistemine girilmesi suretiyle elde edildiği, bu kapsamda ilgili kişiye ait kişisel verilerin Yönetim Hizmeti Sunan Şirket tarafından elde edilerek bulut sisteme girişinin yapıldığı, Yönetim Hizmeti Sunan Şirket tarafından ilgili kişinin girişinin yapılmasının ardından bulut programının otomatik olarak ilgili kişiye kayıt mesajı gönderdiği,

Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi kapsamında gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; halihazırda yönetim hizmetlerinin ifası için kullanılan ilk uygulamada kayıtlı verilerin şikayete konu edilen ikinci uygulamaya aktarılabilmesi için Yönetim Hizmeti Sunan Şirketin bilgisi ve isteği dahilinde Şirketlerine ilk uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin ikinci uygulamaya otomatik olarak aktarıldığı,

Yönetim Hizmeti Sunan Şirket tarafından ilk uygulamaya kaydı yapılan kullanıcıların bilgi aktarımının otomatik olarak ikinci uygulamaya yapıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’ i gönderildiği

ifade edilmiştir.

Bu savunmalar incelenmiş olup Kurul tarafından 13/04/2021 tarih ve 2021/359 sayılı Kararı ile,

İlk olarak şikayete konu olay için veri sorumlusunun tespit edilmesi gerektiği, bu noktada site temsilciler kurulu ile site yönetim işlemlerini yürüten şirket arasındaki sözleşmelere bakıldığı, site yönetim işlemlerini yürüten şirketin ilgili kişinin ikamet ettiği sitede yönetim hizmetleri verdiği bu anlamda şirketin hizmetleri yerine getirebilmesi için 3.kişilerle sözleşme yapabileceği, bu kapsamda da sorumluluğun site yönetimi işlemlerini yürüten şirkette olduğu, bu sorumluluk nezdinde uygulama/ikinci uygulama sunan şirket ile aralarında hizmet sözleşmesi akdettiği, bu sözleşme ekindeki KVKK protokolünde de veri sorumlusunun site yönetim hizmeti sunan şirket olduğu gibi bilgiler dikkate alındığında site yönetim hizmeti sunan şirketin veri sorumlusu olduğu belirlenmiştir.

Uygulama hizmeti sunan şirket ise site yönetim hizmeti sunan şirket tarafından verilen yetki ile veri işleyen konumundadır.

Kanunun kişisel verilerin işlenme şartları başlıklı 5.maddesinde 1.fıkrasında kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, 2.fıkrasında ise istisnai halleri düzenlenmiştir.

Diğer taraftan veri sorumlusu Şirket ve veri işleyen Uygulama Hizmeti Sunan Şirket arasında akdedilmiş olan Protokolün “Protokol Koşulları” başlıklı maddesinde; Yönetim Hizmeti Sunan Şirketin hizmet sözleşmesi kapsamında uygulamayı kullanarak uygulama ile yazılı olarak, elektronik ortamda veya sair şekillerde bilgi, belge ve veri paylaşacağı, Yönetim Hizmeti Sunan Şirketin uygulama ile paylaşacağı her türlü verinin sözleşme ilişkisi kapsamında uygulamaya aktarıldığını ve KVKK anlamında gerekli kabul edilmesi halinde Protokolün paylaşılacak her türlü kişisel veri bakımından açık rıza niteliğinde olduğunu kabul, beyan ve taahhüt edeceği, İlgili kişilerin KVKK kapsamında açık rıza vermesi gerekli ise ilgili kişilerin verilerinin uygulama ile paylaşılması hususunda ilgili kişilerden açık rıza aldığını kabul beyan ve taahhüt edeceği

hususlarına yer verilmiştir.

Söz konusu değerlendirmeler ile birlikte savunmalar da dikkate alındığında olayda Kanun madde 5 fıkra 2 deki istisnai hallerden biri mevcut olmadığından ilgili kişinin açık rızasının alınması gerektiği, olayda açık rıza alınmadığı tespit edildiğinden söz konusu veri işleme, aktarma durumunun hukuka aykırı gerçekleştiği kanaatine varılmış olup veri sorumlusu site yönetim hizmeti sunan şirkete Kanun 18/1/b uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Almila Sabiha Yıkık – Marmara Üniversitesi Hukuk Fakültesi Öğrencisi

Yorum yap