2020

KVK Hukuku E-Bülten

“İlgili Kişinin Cep Telefonu Numarasının, Açık Rızası Olmaksızın Bir Dernek Tarafından Reklam İçerikli Sms Gönderimi İçin İşlenmesi Hakkında” Kişisel Verileri Koruma Kurulunun 10/09/2020 Tarihli ve 2020/691 Sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na (Kurum) yapılan şikâyette, şikayetçi kişinin cep telefonu numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, kişinin açık rızası olmadan ve kendisine ait telefon numarası ve benzeri kişisel verilerinin dernek tarafından nereden elde edildiğini bilmemesi nedeniyle 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca dernekten bilgi talebinde bulunmuştur. Şikayetçi söz konusu bilgi alma talebine dernek tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediğini belirtilerek gerekli yaptırımların uygulanması için Kurum’a başvurmuştur.

Kurum tarafından söz konusu iddialara ilişkin veri sorumlusu dernekten savunması istenilmiş olup, alınan cevap yazısında özetle; şikayetçinin bilgi edinme başvurusunun kendilerine tebliğ edilmiş olmasına rağmen, idari bir sıkıntı sebebiyle cevabın tebliğ edilemediği, şikayetçinin başvurusu neticesinde şikayetçi adına kayıtlı olan telefon numarasının, derhal gönderim yapılamaz hale getirildiği, şikayetçinin dernek nezdinde SMS reklamlarına veya bildirimlerine onay verdiğine ilişkin bir rızasının tespit edilemediği, dernekte şikayetçinin telefon numarasından başka herhangi bir kişisel verisinin mevcut olmadığı, şikayetçinin telefon numarasının önceden SMS bağışı yapması sebebiyle ellerinde bulunuyor olmasının kuvvetle muhtemel olduğu, söz konusu SMS’in şikayetçiye dernek tarafından gönderildiği ifade edilmiştir.

Konuya ilişkin Kurum tarafından yapılan incelemede, Kişisel Verileri Koruma Kurulu’nun 10/09/2020 Tarihli ve 2020/691 Sayılı Kararı ile:

Kanunun 5. maddesinde kişisel verilerin işlenme şartlarına yer verilmiştir. Bu maddenin 1. fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, sadece 2. fıkrasında belirtilen şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu belirtilmiştir. Fakat işbu şikayette 2. fıkrada belirtilen şartlar mevcut olmadığından bu olayda şikayetçinin açık rızası olmadan yapılan veri işlenmesinin hukuka aykırı olduğu, hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel verilerin öncelikle kanunun 5. maddesindeki şartlardan birine dayanılarak işlenmesi gerektiği, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri bakımından ise her halükarda kanunun 4. maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülüklerinden olduğu Kurum tarafından kararda belirtilmiş olup, somut olayda; dernek tarafından yapılan savunmada, veri sorumlusu dernek tarafından şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının işlenme sebebi somut delile bağlanamadığı gibi bu hususa ilişkin netlik içeren herhangi bir açıklama da yapılmadığı, veri sorumlusu tarafından yapılan “İlgili kişinin evvelce SMS bağışı yapmış olduğunun kuvvetle muhtemel olduğu” şeklindeki açıklamanın ise hukuki zemine oturan bir açıklama olmadığı gibi geçerli bir açıklama olarak da kabul edilemeyeceği, veri sorumlusu tarafından ilgili kişinin SMS gönderimine ilişkin açık rızasının tespit edilemediğinin açıkça belirtildiği, bu çerçevede şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının elde edilmesi ve reklam içerikli SMS gönderimi için kullanılması şeklinde gerçekleşen kişisel veri işleme faaliyetinin Kanuna aykırılık teşkil ettiği, bu durumun ise veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğinin göstergesi olduğu belirtilmiştir.

Bununla birlikte, şikayete konu olayda, veri sorumlusu konumundaki derneğin ilgili kişinin bilgi edinme talebine yanıt vermediği ve yanıt vermeme sebebinin de “idari bir sıkıntı” şeklinde belirtildiği fakat bahsedilen idari sıkıntının ne olduğuna ilişkin aydınlatıcı bir açıklama yapılmadığı, Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’deki düzenlemeler ışığında veri sorumlularının herhangi bir başvuru karşısında yapabileceği iki tür hareketin bulunduğu ve bu kapsamda söz konusu başvurunun veri sorumluları tarafından kabul edilmesinin ya da gerekçesinin açıklanarak reddedilmesinin gerektiği, somut olayda derneğin ilgili başvuru karşısında hiçbir harekette bulunmaması dolayısıyla derneğin ilgili kişinin başvurusuna cevap vermemesinin Kanuna aykırılık teşkil ettiği,

Öte yandan, kanunun 7. maddesinin 1.fıkrasındaki; “Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmün kanunlara uygun şekilde işlenmiş olan kişisel verilerin daha sonraki süreçte silinmesi, yok edilmesi, anonim hale getirilmesi için açıklama getirdiği,  bununla birlikte başlangıçtan itibaren hukuki sebepten yoksun olması dolayısıyla hukuka aykırı kişisel veri işlemenin söz konusu olması halinde bu kişisel verilerin derhal silinmesi gerektiği, zira başlangıçtan itibaren derneğin elinde bulunmaması gereken ve halihazırda hukuka aykırılık arz eden bu durumun derhal ortadan kaldırılarak hukuka uygunluğun en kısa sürede yerine getirilmesi gerektiği belirtilmiştir.

Şikâyete konu olay bakımından, bahse konu telefon numarasının kara listeye alınmasının hukuka aykırı olarak işlenen kişisel verinin silindiği anlamına gelmediği, hiçbir hukuki sebebe dayanmaksızın işlenen kişisel verinin halihazırda derneğin sistemlerinde kara listeye alınmış bir şekilde bekliyor oluşunun hukuka aykırı durumun devam ettiğini gösterdiği, söz konusu hukuka aykırılığın devam etmemesi adına bahse konu telefon numarasının imha edilmesi gerektiği değerlendirmelerinden hareketle;

Kanunun 12. maddesinin 1. fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varıldığından, veri sorumlusu sıfatını haiz dernek hakkında kanunun 18. maddesinin 1. fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına, Veri sorumlusu dernek tarafından ilgili kişilerin kanun kapsamındaki başvurularının kanunda yer verilen yasal süre içerisinde yanıtlanmasına azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına, ilgili kişinin hukuka aykırı olarak elde edilmiş olan kişisel verisi niteliğindeki cep telefonu numarasının kara listeye alınması değil direkt imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Almila Sabiha Yıkık / Marmara Üniversitesi Hukuk Fakültesi Öğrencisi

Yorum yap