Kuruma intikal eden şikâyette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandığı, ertesi gün de cep telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki sözleşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı, takip kapsamında ödeme emri gönderildiği halde bugüne kadar borcun ödenmediğinin tespit edildiği ve yasal takibin durması için hemen ödeme yapılması gerektiği ifade edilerek ödeme ve iletişim için “…. Şirketi Hukuk Departmanını arayın” ifadesine yer verildiği, konu hakkında Cumhuriyet Başsavcılığına yapılan suç duyurularında kovuşturmaya yer olmadığına karar verildiği, ancak bu karardan sonraki bir tarihte de veri sorumlusu tarafından üç kez arandığı ve yapılan son aramada veri sorumlusu tarafından alışveriş yapan kişinin numarasının sorulduğu, ilgili kişinin bu kişinin numarasını bilmediğini ve kendisinin herhangi bir borcunun ya da kefilliğinin bulunmadığını belirttiği ancak veri sorumlusu tarafından borçlu borcunu bitirene kadar sürekli rahatsız edileceğinin söylendiği, en son arandığında numarasının sistemden silinmesi talebine olumsuz cevap verildiği, ayrıca veri sorumlusuna yapılan silme talebini içeren yazılı başvuruya cevap verilmediği ve aramalara devam edildiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

• İlgili kişinin 2018 yılı içerisinde şirket ile tüketici finansman sözleşmesi akdettiği, tüketici finansman sözleşmelerinde "Kişisel Verilerin Paylaşımı ve Ticari Elektronik Gönderim İzni" kutucuğunun bulunduğu; müşterilerin bu şekilde muvafakat/rıza verdiği ve aynı zamanda sözleşmenin 13’üncü maddesinde de “izinli ticari iletişim bilgi verme, bilgi alma (kişisel veri paylaşımı)” hükmünün mevcut olduğu,
• Şirketten alışveriş yapan üçüncü kişi olan müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını şirkete bildirdiği, borcun ödenmemesi sebebiyle söz konusu numara arandığında numaranın kullanıcısı ilgili kişinin üçüncü kişinin arkadaşı olduğunu beyan ettiği, bunun üzerine numara yanlış kaydettirilmişse arkadaşı olan ve ilgili kişinin numarasını sözleşmeye kaydettiren müşteriyle irtibata geçmesi gerektiğinin ve sadece bu müşterinin talebi olması halinde iletişim numarasının değiştirilebileceğinin ilgili kişiye birden çok kez söylendiği, 
• İlgili kişinin şirkete ulaşan yazılı bir başvurusu olmadığı için ilgili kişinin irtibat numarasının silinmediği, ancak Kurum tarafından gönderilen yazıdan sonra telefon numarasının hemen silindiği, 
• İlgili kişiyi arayan hatların şirket adına kayıtlı olduğu, bunlardan birinin adres araştırması yapan bir personel tarafından kullanıldığı bir diğerinin gecikmiş ödemeleri hatırlatmak amacıyla kullanıldığı, 
• İlgili kişinin kişisel verilerinin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, gecikmiş borç tahsili yapabilmesi çerçevesinde bir hakkın tesisi, kullanılması veya korunması, veri sorumlusunun meşru menfaatlerinin korunması ile bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi şartlarına dayanılarak işlendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/787 sayılı Kararı ile;

• 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
• Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesine göre herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğu,
• Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesi uyarınca; veri sorumlusunun, ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırma, bu kapsamda talebi kabul etme veya gerekçesini açıklayarak reddetme ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirme yükümlülüğü olduğu, Veri Sorumlusuna Başvuru Usul ve Esasları hakkında Tebliğ’in (Tebliğ) 5’inci maddesinde “İlgili kişi, Kanunun 11’inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, Tebliğ’in 6’ncı maddesinde veri sorumlusunun, bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü kılındığı,
• Veri sorumlusunun ilgili kişi tarafından yazılı bir başvuru yapılmadığı iddiası bakımından yapılan incelemede, ilgili kişi tarafından ibraz edilen posta takip kodunun sorgulanmasıyla yapılan başvurunun veri sorumlusuna tebliğ edildiği anlaşıldığından veri sorumlusunun ilgili kişinin başvurusunu cevaplandırmamasının Kanun ve Tebliğ’in ilgili maddelerine aykırı olduğu,
• İlgili kişinin kişisel verilerinin veri sorumlusu tarafından işlenme şartlarına aykırı olarak işlenmeye devam edildiği ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarına ilişkin yapılan incelemede, öncelikle ilgili kişi ile veri sorumlusu arasında akdedilen sözleşmenin 13’üncü maddesinde "izinli ticari iletişim bilgi verme, bilgi alma (kişisel veri paylaşımı)” hükmünün mevcut olduğu ve sözleşmenin son kısmında yer alan "Kişisel Verilerin Paylaşımı ve Ticari Elektronik Gönderim İzni" kutucuğunun, ilgili kişi tarafından “Kabul Ediyorum” şeklinde işaretlenmiş olduğunun görüldüğü, ancak ilgili kişi tarafından sunulan irtibat numarası ve rıza gösterilen izinlerin, bizzat kendisinin taraf olduğu tüketici finansman sözleşmesiyle ilgili olduğunun vurgulanması gerektiği,
• Veri sorumlusunun Kuruma ilettiği savunmasında ayrıca, üçüncü bir kişi ile aralarında bir sözleşmesinin imzalandığını ve üçüncü kişi konumundaki müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını kendilerine bildirdiğini ifade ettiği, ancak veri sorumlusunun üçüncü kişi müşteri ile aralarında yapılmış olan sözleşmenin incelenmesinden, irtibat numarası olarak ilgili kişinin numarasından farklı bir telefon numarasını bildirdiğinin görüldüğü, anılan sözleşme dışında, üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasını bildirdiğine ilişkin herhangi bir kanıtın Kuruma sunulamadığı, 
• Bu çerçevede, veri sorumlusu tarafından iletilen cevap yazısında ilgili kişiyi arayan telefon hatlarının şirketlerine ait olduğunun kabul edildiği, veri sorumlusu ile üçüncü kişi arasında imzalanan sözleşmede ilgili kişinin numarasından farklı bir telefon numarasının olduğunun görüldüğü, veri sorumlusu tarafından üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasının bildirildiğine ilişkin herhangi bir kanıt sunulmadığı, ilgili kişiye ait telefonun 2019 yılından 2021 yılına kadar veri sorumlusu tarafından pek çok defa arandığı, bahse konu numaranın asıl borçlu olan  üçüncü kişiye ait olmayıp ilgili kişiye ait olduğunun öğrenilmesine rağmen ilgili kişinin silme talebinin reddedilmesi suretiyle ilgili kişinin aranmasına devam edildiği göz önüne alındığında, ilgili kişinin kişisel verisi niteliğindeki telefon numarasının Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarına aykırı olarak işlendiği,
• Ayrıca veri sorumlusunun Kuruma ilettiği cevap yazısında, Kurum tarafından gönderilen yazının ardından ilgili kişinin telefon numarasının hemen silindiğinin belirtilmesine karşın silme işlemini tevsik edici herhangi bir belge ibraz edilmediği

değerlendirmelerinden hareketle;

• Veri sorumlusunun Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olarak ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarından herhangi biri bulunmaksızın ilgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle kişisel verisi niteliğindeki telefon numarasını işlemeye devam ettiği göz önünde bulundurulduğunda, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak, hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
• İlgili kişinin başvurusunun cevaplandırılmamasının Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e aykırı olduğu değerlendirildiğinden, veri sorumlusunun kendisine yapılan başvurulara Kanun ve Tebliğ’in ilgili hükümlerine uygun şekilde cevap verilmesinde gerekli dikkat ve özeni göstermesi hususunda uyarılmasına, 
• İlgili kişinin kişisel verisinin silinmesi talebinin yerine getirildiğinin tevsik edilmemesi sebebiyle Kanun’un 7 ve 11’inci maddeleri ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin silinmiş olduğunu kanıtlayan belgeleri Kuruma iletmesi yönünde veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.