“Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 10/02/2022 tarihli ve 2022/107 sayılı Karar Özeti

“Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 10/02/2022 tarihli ve 2022/107 sayılı Karar Özeti

Karar Tarihi : 10/02/2022
Karar No : 2022/107
Konu Özeti : Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi

 

İlgili kişi tarafından Kuruma iletilen şikayet dilekçesinde özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta özetle İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığının, istenildiği zaman İYS sisteminden çıkılabildiğinin, söz konusu mesaj içeriğinde ret imkanının bulunduğunun ve sistemde kayıtlı ilgili kişiye ait telefon numarasının SMS gönderimine kapatıldığının belirtildiği, veri sorumlusu tarafından verilen cevapta belirtildiğinin aksine ilgili kişi tarafından İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği, ilgili kişinin kişisel verilerinin nasıl, hangi amaçlarla işlendiği ve kişisel verilerinin açık rızası olmadan işlenmesi konularında yeterli cevap verilmemesi ve kişisel veri güvenliğinin sağlanması konusunda yükümlülüğünün yerine getirilmemesi nedeniyle kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (6698 sayılı Kanun) aykırı olarak işlendiği ifade edilerek şirket hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563 sayılı Kanun) uyarınca çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in (Yönetmelik) Geçici 2’nci maddesinin (1) ve (2) numaralı fıkraları kapsamında İYS sistemine bildirdiği kayıtlar arasında ilgili kişinin telefon numarasına ilişkin kaydın da bulunduğu, ilgili kişinin anılan Yönetmelik’te belirtilen 16.01.2021 tarihine kadar İYS üzerinden veya ayrı bir kanaldan şirkete bildirdiği aksi yönde bir beyanının veri sorumlusu tarafından tespit edilemediği, bu durumda Yönetmelik uyarınca ilgili kişi tarafından verilmiş bu tarihten önceki onayın geçerli sayıldığı, 
  • Yönetmelik’in ilgili geçici maddesi uyarınca şirkete tanınan istisna düzenlemesine göre 16.01.2021 tarihine kadar bu izni kaldırdığını ispat yükünün ilgili kişinin üzerinde kaldığı,
  • Yönetmelik hükümlerine uygun olarak ilgili kişinin cep telefonu numarasının ticari ileti gönderilmek amacıyla 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendi uyarınca “kanunlarda açıkça öngörülmesi” işleme şartına dayalı olarak işlendiği, 
  • Yönetmelik’in 13’üncü maddesinin (2) numaralı fıkrasında şirket gibi hizmet sağlayıcılara ticari iletişime ilişkin kayıtları 3 yıl süreyle saklama yükümlülüğü getirildiği, 
  • Şirketin, ilgili kişiden gelen talep üzerine yalnızca SMS gönderim faaliyetine son verdiği, bunu da ilgili kişiye verdiği cevabında açıkça belirtmiş olduğu,
  • İlgili kişinin kayıtlarına bakıldığında kendisinin şirkete başvurduğu tarihte henüz SMS ret talebinde bulunmadığı, ilgili kişinin Kuruma şikayette bulunduktan sonra dahi SMS onayı olduğunun görüldüğü, ilgili kişi tarafından verilen onaya ilişkin retlerin sonraki tarihte sisteme girildiği  

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 10/02/2022 tarihli ve 2022/107 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte somut olayda olduğu gibi ilgili kişiye ait cep telefon numarasının bir veri kayıt sisteminde depolanması suretiyle ticari nitelikli iletiler gönderilmesinin, bir kişisel veri işleme faaliyeti olduğu, dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim numarasının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiği,
  • 6563 sayılı Kanun’un 11’inci maddesinin (4) numaralı fıkrasına göre Bakanlık’ın, ticari elektronik ileti onaylarının alınmasına ve reddetme hakkının kullanılmasına imkân tanıyan bir elektronik sistem kurmaya veya kurdurmaya yetkili olduğu, bu Kanun çerçevesinde alınan onayların Bakanlıkça belirlenen süre içinde sisteme aktarılması gerektiği, sisteme aktarılmayan onayların geçersiz kabul edileceği, alıcıların, sisteme kaydedilen onayları Bakanlıkça belirlenen süre içinde kontrol edeceği, bu sürenin bitiminden sonra gönderilen ticari elektronik iletilerin onaylı kabul edileceği, alıcılar tarafından reddetme hakkının bu sistem üzerinden kullanılacağı, sistemin kurulması, onayların sisteme aktarılması, saklanması, reddetme hakkının sistem üzerinden kullanılması ve sistemin işleyişine ilişkin diğer usul ve esasların yönetmelikle belirleneceği,
  • Veri sorumlusu tarafından ilgili Yönetmelik’in “Mevcut veri tabanlarının İYS’ye yüklenmesi” başlıklı Geçici 2’nci maddesinin (2) numaralı fıkrası dikkate alındığında şirketin İYS sistemine bildirdiği kayıtlar arasında ilgili kişinin telefon numarasının bulunduğu ve ilgili kişi tarafından verilen onayın geri alınmasının Kuruma şikayet tarihinden sonra sisteme girildiğinin belirtildiği ancak ilgili kişinin iddialarına karşı veri sorumlusu tarafından sunulan bilgi ve belgeler değerlendirildiğinde, ilgili kişinin cep telefonu numarasının İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusunun sunduğu bilgi ve belgeler arasında, ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğuna ilişkin tevsik edici bilgi veya belge olmadığının tespit edildiği, 
  • Diğer taraftan ilgili kişi tarafından Kuruma yapılan şikâyette, kişisel verilerinin güvenliğinin sağlanması konusunda veri sorumlusunun yükümlülüklerini yerine getirmemesi (örneğin kişisel verinin başkasına aktarılması vb.) nedeniyle kişisel verilerinin Kanun’a aykırı işlendiği iddia edilmiş olsa da veri güvenliğine ilişkin bu hususun Kanun’un 11’inci maddesi kapsamında olmadığı ve ihlale ilişkin tevsik edici bilgi ve belge sunulmadığı 

değerlendirmelerinden hareketle;

  • Somut olayda, veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde  İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı kanaatine varılan; veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
  • Hukuka aykırı işlendiği tespit edilen söz konusu kişisel verinin, başka bir işleme sebebi bulunmaması halinde, Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha ederek sonucundan Kurula bilgi vermesi hususunda veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikâyetinde belirttiği, veri sorumlusunun kişisel verilerinin güvenliğinin sağlanması konusundaki yükümlülüklerini yerine getirmediği iddialarının Kanun’un 11’inci maddesi kapsamında olmadığı dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.