“Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/655 sayılı Karar Özeti

“Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/655 sayılı Karar Özeti

Karar Tarihi : 07/07/2022
Karar No : 2022/655
Konu Özeti : Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi

 

İlgili kişilerin vekillerinin Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişilerin ortağı olduğu ve tasfiyesi gerçekleşmiş limited şirkete ait olduğu iddia edilen bir borç nedeniyle veri sorumlusu avukatın ve bünyesinde çalışanların ilgili kişilerle kısa mesaj gönderme ve arama yoluyla iletişim kurduğu ve bu kapsamda kişisel verilerinin işlendiği, konuya ilişkin yapılan başvuruya veri sorumlusunun verdiği cevap yazısında, ilgili kişilerin ortağı oldukları şirketin bir telekomünikasyon şirketine- veri sorumlusu bu şirketin vekilliğini yürütmektedir- olan borcundan ötürü icra takibi başlatılması nedeniyle  Ticaret Sicil Gazetesi’nden ilgili şirketin ortaklarının kimlik bilgilerine, bilinmeyen numaralar hizmeti sunan operatörler aracılığıyla ise telefon numaralarına ulaşıldığı, yapılan başvuru neticesinde veri sorumlusunca ilgili telefon numaralarına erişimin engellendiği ve bu numaranın başka bir kişi ile paylaşımının mümkün olmadığı, işlenen verilerin ise geri dönülemez şekilde yok edilmiş olduğu yönünde açıklamada bulunulduğu, buna karşın şirket ortaklarının şirket borçlarından dolayı şahsi sorumluluklarının bulunmaması sebebiyle yapılan veri işlemenin hukuki bir temeli olmadığı, kendilerini arayan veri sorumlusu çalışanlarına defaten şirketin tasfiye edildiği, alacağın zamanaşımına uğradığı ve aranmak istemedikleri belirtilse de şikâyete konu fiillerin devam ettirildiği  ayrıca aydınlatma yükümlülüğünün her bir veri işleme faaliyeti yönünden yerine getirilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup, Kuruma intikal eden cevabi yazıda özetle;

  • Somut olaya konu telekomünikasyon şirketinin vekili olması nedeniyle ilgili şirketin borcuna ilişkin başlatılan icra takibi gereğince borcun tahsili amacıyla Ticaret Sicil Gazetesi üzerinden yapılan sorguda şirket ortağı olarak ilgili kişilerin adlarına ulaşıldığı, ilgili kişilere ait telefon numarası bilgilerinin ise icra dosyası borçlusu olan şirketin ortağı olmaları sebebiyle Bilgi Teknoloji Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan kuruluşlardan biri olan bilinmeyen numaralar hizmeti sunan operatörler  kullanılarak elde edildiği,
  • Benzer şekilde Türkiye Barolar Birliği (TBB) tarafından sunulan Ulusal Hukuk Ağı Projesi (UHAP) sistemi üzerinden sorgu ücreti ödemek suretiyle ad, soyadı ve/veya T.C. kimlik numarası ile GSM numaralarına erişilebildiği,
  • İlgili kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında bulunulmadığı, yalnızca yönetim kurulu üyelerine borç bildiriminde bulunulduğu,
  • Şikâyetçilerin söz konusu telefon numaralarının bir defaya mahsus olmak üzere Avukatlık Kanunu’nun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı,
  • İlgili kişilere ait başvurunun veri sorumlusuna ulaşması ile kişisel verilerinin silindiği ve sistemler üzerinden geri dönülemez biçimde yok edildiği,
  • Danıştay 10. Dairesinin 2014/6559 esas ve 2015/874 sayılı kararında avukatlık mesleğini icra eden davacı avukatın davalıların iletişim bilgilerini öğrenmek için yapılan başvurusunun reddinin “hak arama özgürlüğünün ihlali” nedeniyle hukuka aykırı olduğu yönünde hüküm tesis edildiği, bu karar göz önünde bulundurulduğunda hukuk ofisinin müvekkillerin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği,
  • Vekâleten görülen işlerde karşı tarafa ait ad, soyadı, T.C. kimlik numarası, adres bilgisi, nüfus kayıt bilgileri, anne-baba adları, aylık kazançları, eğitim durumları ve telefon numaralarının işlendiği; yargısal faaliyette ise özellikle gizlilik kararı verilmemişse mahkemelerde ve icra müdürlüklerinde olan tüm dosyaların vekâlet ilişkisi olsun olmasın Avukatlık Kanunu gereğince tüm avukatlar tarafından incelenebildiği hatta avukat olsun olmasın tüm vatandaşların yargı faaliyetinin Türk Milleti adına yürütülmesi sebebiyle duruşmalara katılabildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/655 sayılı Kararı ile; 

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Somut olayda, ilgili kişilere ait kişisel verilerin işlenmesinde işleme amacını (borcun tahsili amacıyla ilgili kişilerle iletişim kurulması/ bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması/ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için vb.); işleme vasıtalarını (UHAP sistemi aracılığıyla/ bilinmeyen numaralar hizmeti sunan operatörler aracılığıyla vb.) ve işlenen verilerin ne kadar süre (borç tahsil edilinceye kadar/ silme, yok etme talebinde bulunulması halinde vb.) ile nasıl saklanılacağına (veri sorumlusunun işyerinde fiziken/ bilgisayarlarında vb.) karar vermesi hususunda avukatın veri sorumlusu olarak hareket ettiği, 
  • Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
  • Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Avukatlık Kanunu’nun 2’nci maddesinde avukatlığın amacının; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamak olarak tanımlandığı,
  • Avukatlık Kanunu’nun 35/A maddesinde avukatların dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem sonucu elde edebilecekleri konulara inhisar etmek kaydıyla, müvekkilleriyle birlikte karşı tarafı uzlaşmaya davet edebileceğinin düzenlendiği,
  • Somut olayda, ilgili kişilerin vekilinden alınan şikâyet dilekçesinde şirketin borçlu sıfatını haiz olduğu; ilgili kişilerin ise ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerinin hiçbir hukuka uygunluk sebebi olmaksızın işlendiği, şirketin fesih edildiği, zaten limitet şirket ortaklarının borçtan şahsi sorumluluğu bulunmadığı ve borcun zaman aşımına uğradığı iddiaları bulunulduğunun anlaşıldığı,
  • Öncelikle kişisel verilerin işlenmesinde işleme sebepleri olarak kabul edilen Kanun’un 5’inci maddesinde yer alan hallerin aynı zamanda birer “hukuka uygunluk sebebi” olarak karşımıza çıktığı, bu sebeplerin söz konusu veri işleme faaliyetini Kanuna aykırı olmaktan çıkardığı, diğer bir ifade ile fiile hukuk dünyasında uygun bir zemin yarattığı, kişisel verilerin korunması mevzuatında yer alan “sebep” kavramından farklı olarak borcun varlığı yahut talep edilip edilemeyeceği hususlarının farklı maddi hukuk dallarının değerlendirme alanına girdiği,
  • Borç zamanaşımına uğramış olsa bile bunun bir def’i olduğu ve taraflarca ileri sürülmedikçe borcun talep edilebileceği, talep edilebilirlik olgusunun bile başlı başına bir veri işleme sebebi olduğu, bir borcun varlığı açısından ise borcun bir limited şirkete ait olduğu, ilgili kişilerin borçlu olmadığını belirttiği ancak bu kişilerin yönetim kurulu üyesi olduğu düşünüldüğünde iletişim kurulması muhtemel tarafların kendileri olduğunun hayatın olağan akışına uygun düştüğü,
  • Veri sorumlusu avukat açısından Ticaret Sicil Gazetesi’nde ortak olarak görülen ilgili kişilerin kişisel verilerinin, şirketin iflasından sonra borcun tahsil edilebilmesini sağlamak amacıyla taraflarla uzlaşı kurulmasını teminen Avukatlık Kanunu’nun 35’inci maddesi hükmü gereğince işlendiği, hali hazırda avukatların görevlerini ifa ederken Avukatlık Kanunu’nun 2’nci maddesine uygun olarak taraflarına tevdi edilen işleri yerine getirmek amacıyla – somut olayla telekomünikasyon şirketi ile arasında bulunan vekâlet ilişkisinden kaynaklanan borcun tahsil edilmesi amacıyla – karşı taraflara ve müvekkillerine ilişkin verileri işlemesinin makul bir beklenti olacağı, 
  • UHAP sisteminde avukatlara sistem üzerinden dava açma, icra dosyası açma, dilekçe gönderme, beyan/talep yollama, T.C. kimlik numarası ile telefon numarası sorgulaması ve T.C. kimlik numarasına kısa mesaj gönderimi vb. imkânlar sağlandığı, bu imkânların kullanılması sırasında tıpkı tevzi bürolarında olduğu gibi bir davanın açılması / talebin gönderilmesi / beyanda bulunulması vb. amaçlarla gerekli olan taraflara ait verilerin sorgulanmasının/edinilmesinin söz konusu olduğu, 
  • Bilinmeyen numaralara ilişkin sunulan rehberlik hizmetlerinin ise telefon işletmecilerinin numara veri tabanlarına erişerek elde edilen bilgilerin gerekirse işlenerek kullanıcılara ulaştırılması amacına hizmet ettiği,
  • Yukarıda belirtilen yöntemlerin birer işleme sebebi olmayıp veri toplama yöntemi olduğu, bu anlamda bahsi geçen platformların mevzuata aykırı bir kullanımı (yetkisiz erişim/hatalı bilgi girişi/veri sızıntısı vb.) söz konusu olmadıkça ve aksi ispat edilmedikçe veri toplamanın yönteminin karine olarak hukuka uygun kabul edileceği ve bu anlamda hem UHAP hem bilinmeyen numaralar servislerinin avukatların açık ve yetkileri oranında veri elde edebilecekleri platformlar olarak kabul edilebileceği,
  • İlgili kişilerin vekilinin Kuruma sunduğu dilekçede yer alan veri sorumlusu adına arama gerçekleştiren çağrı merkezi çalışanlarına şirketin tasfiye edildiği ve bir daha aranmak istemediklerinin belirtilmesine rağmen ısrarla taciz boyutuna varacak şekilde arka arkaya aramalar yapıldığı iddiası ile ilgili olarak ise geçmiş tarihli birçok Kurul Kararında, araç ve amaç arasındaki dengede ölçüsüz bir durum ortaya çıkarması ve veri sorumlusunun sahip olduğu hakkı kötüye kullanması sonucunu doğurması sebepleriyle söz konusu davranışın genel ilkelerden biri olan hukuka ve dürüstlük kurallarına uygun olma şartına aykırılık taşıyacağı yönünde değerlendirmede bulunulduğu, bununla birlikte Kuruma iletilen şikâyette aramalara ilişkin bir kayda yer verilmediği ve dolayısıyla ilgili kişilerin vekili tarafından iddia edilen “defaten/ısrarla” arama yapılması durumunun sunulan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği,
  • İlgili kişinin veri sorumlusu tarafından Kanun’un 10’uncu maddesi kapsamında aydınlatılmadığı iddiasına ilişkin olarak, ilgili kişilerin vekilinden alınan dilekçede, ilgili kişilerin Kanun’un 10’uncu maddesi uyarınca aydınlatılmadığına ilişkin bir iddia bulunmamakla birlikte veri sorumlusuna yapılan başvuruda da aydınlatma hususuna ayrıca değinilmediğinin görüldüğü; bunun yanı sıra Kuruma intikal ettirilen dilekçede veri sorumlusunun gerçekleştirdiği her bir veri işleme faaliyeti yönünden aydınlatma yükümlülüğünün yerine getirilmediği hususunun Kurulca resen değerlendirilmesinin talep edildiği,
  • Bu kapsamda avukatların uzlaşma amacıyla karşı tarafla iletişim kurduğu anda kendini tanıtması, veriyi nereden temin ettiğinin, ne amaçla iletişim kurduğunun karşı tarafa bildirilmesi hayatın doğal akışı içerisinde değerlendirilebilecekken verilerin ne kadar süreyle işleneceği, hangi yöntemler kullanılarak dosyalandığı/saklandığı gibi hususların bildirilmesinin bu akış içerisinde mümkün olmayacağı, aynı hususun borçlu ilgili kişilere icra takibi başlatılması ya da dava açılması sürecinde müvekkilden elde edilen karşı taraf bilgilerinin yine vekâlet ilişkisinin yürütülmesi amacıyla işlenmesinde aydınlatma yükümlülüğünün bir veri sorumlusundan uygulanması gereken şekilde yerine getirilmesinin beklenemeyeceği değerlendirilmekle birlikte  bu hususun avukatın aydınlatma yükümlülüğünden muaf olduğu anlamına gelmediği; avukatın, vekâlet ilişkisi kurduğu kişiyi-yani müvekkilini- Kanun’un 10’uncu maddesi hükmü gereğince aydınlatma yükümlülüğü bulunduğu ve  bu veri işleme faaliyetini gerçekleştirirken öğrendiği diğer bilgiler açısından zaten Avukatlık Kanunu gereğince sır saklama yükümlülüğü altında olduğu 

değerlendirmelerinden hareketle;

  • İlgili kişilerin borcun doğduğu/icra takibinin başlatıldığı dönemde münfesih şirketin yönetim kurulunda yer aldığı, bu hususun da Ticaret Sicil Gazetesi’nde aleni bir şekilde paylaşıldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince veri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve (e) bendi gereğince alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına,
  • Veri sorumlusunca gerçekleştirildiği iddia edilen “defaten/ısrarla” arama yapılması durumunun ise Kuruma sunulan dilekçe ve eklerinde yer alan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği dikkate alınarak bu hususta yapılacak bir işlem olmadığına,
  • İlgili kişilerce yapılan veri sorumlusu başvurusunda aydınlatma yükümlülüğüne ilişkin iddialara yer verilmemiş olması sebebiyle veri sorumlusuna tanınan savunma hakkının kısıtlanmasının önüne geçilmesi amacıyla söz konusu hususun inceleme kapsamına dahil edilemeyeceğine

karar verilmiştir.