İlgili kişinin şikâyetinde özetle;

• Nisan 2022 içerisinde ilgili kişinin şahsi e-posta hesabı olan *************@gmail.com’a yasal bahis platformu olan ******.com tarafından bir e-postanın gönderildiği ve söz konusu e-postada özetle “Sayın ******* ******, Üyelik işlemleriniz ile ilgili detayları aşağıda bulabilirsiniz: Üye Numaranız: ********. Üye numaranız, kullanıcı adınız, TC kimlik numaranız ile ******.com hesabınıza giriş yapabilirsiniz. Güvenlik önlemi olarak ******.com’a giriş şifrenizi belirli aralıklarla değiştirmenizi tavsiye ediyoruz.” denildiği, hemen ardından gelen ikinci bir e-posta ile ise “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği,
• İlgili kişi tarafından ******.com sitesine herhangi bir üyeliğin asla gerçekleştirilmediği, bu çerçevede konuya ilişkin veri sorumlusuna başvurarak şahsına ait herhangi bir bilginin işlenmiş olması halinde, bunların derhal yok edilmesi talebinde bulunduğu ayrıca veri sorumlusunun sisteminde kullanıcılar tarafından girilerek beyan edilen e-posta adreslerinin doğruluğunu herhangi bir surette kontrol edilip edilmediğine yönelik sorularını yönelttiği,
• Veri sorumlusunun ise “İletmiş olduğunuz talebinize istinaden E-posta adresiniz kayıtlı olduğu üyelikten kaldırılmıştır.” şeklinde cevap verdiği,
• Somut olayda 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) bakımından asıl sorunun veri sorumlusunun kişisel veriyi işlerken herhangi bir kontrol mekanizması oluşturmamış olması olduğu, üçüncü bir şahıs ilgili kişiye ait e-postayı sisteme üyelikte kullanmak istediğinde veri sorumlusunun bunu doğrudan geçerli ve doğru kabul ederek ilgili kişinin e-posta adresine e-postalar göndermeye başlamakla hata yaptığı

beyan edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Yapılan şikâyete istinaden başlatılan inceleme çerçevesinde veri sorumlusu yasal bahis platformunu işleten şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle;

• Şirketin ilgili mevzuat hükümleri uyarınca idareden aldığı yetki ile bizatihi idarenin düzenleyici olduğu bahis piyasasında faaliyet gösteren bir sanal ortam bayii olduğu,
• Şirketin yürüttüğü faaliyet kapsamında, kişisel verilerin korunmasına ilişkin mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu, bu yükümlülüklerden ilkinin 18 yaşından küçük kimselerin şirket tarafından bayiliği yürütülen oyunları oynamalarının engellenmesi olduğu, ikinci yükümlülüğün ise suç gelirlerinin aklanmasına dair mevzuata uyum göstermek olduğu, bu çerçevede şirketin kendi nezdinde yapılan her türlü işlemden önce işlemi yapanların kimliklerini tespit etme ve gerekli diğer tedbirleri alma yükümlülüğünün bulunduğu,
• İlgili mevzuat kapsamında her bir üyelik başvurusunda şirket tarafından müşterinin (i) adı-soyadı, (ii) uyruğu ve (iii) T.C. kimlik numarası veya yabancı kimlik numarası bilgilerinin İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü veri tabanından teyit edildiği,
• Nisan 2022 içerisinde ilgili kişinin şikâyetine konu edilen e-posta adresi kullanılarak şirketin platformu üzerinden ******** numaralı üyeliğin oluşturulduğu,
• Söz konusu üyelik oluşturulurken cep telefonu numarasının doğrulandığı, kimlik bilgilerinin ise MERNİS sistemi üzerinden doğrulandığı, buna karşın e-posta adresinin kayıt aşamasında doğrulanmadığı,
• Sonrasında şikâyet sahibi ilgili kişi tarafından şirkete e-posta vasıtasıyla ulaşıldığı, söz konusu e-postada ilgili kişinin şirketin platformunda hesap açmadığını bildirdiği ve e-posta adresine ileti gönderilmemesini talep ettiği, ilgili kişiden gelen bildirimin derhal işleme alındığı ve ilgili kişinin e-posta adresinin şirketin sistemlerinden kaldırıldığı,
• Akabinde ilgili kişiyle e-postasında paylaştığı telefon numarası üzerinden iletişime geçilerek konu hakkında bilgi verildiği, ayrıca ilgili kişinin talebi üzerine aynı bilgilerin yazılı olarak da ilgili kişiye gönderildiği,
• İlgili kişi tarafından Nisan 2022’de e-posta üzerinden şirkete yapılan talepte ilgili kişinin kimliğinin doğrulanmasını sağlayacak veri bulunmadığından tabii olarak taleplerinin tamamı hakkında ilgili kişiye bilgi verilemediği, bununla birlikte şirketin tabi olduğu mevzuat gereğince uyguladığı risk temelli veri politikasına uygun olarak aynı gün içerisinde e-posta adresinin şirketin veri tabanından silindiği,
• Dolayısıyla ilgili kişi her ne kadar şirkete başvururken kendi kimliğinin tanımlanmasına imkân verecek bilgi paylaşmamışsa da yapmış olduğu başvuruda yer alan talebin tamamen karşılandığı ve 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi gereği yanlış işlendiği iddia edilen verinin aynı gün içerisinde Şirket tarafından silindiği,
• İlgili kişi tarafından -karşılanmış olan talebine ilişkin olarak Kanun’un 14’üncü maddesinde yer alan koşullar mevcut olmamasına rağmen- Kurula şikâyette bulunulduğu, 
• Öncelikle ilgili kişinin veri sorumlusu sıfatıyla şirkete Nisan 2022 içerisinde göndermiş olduğu e-postada yer alan sorular kapsamındaki bilgilerin -ilgili kişi tarafından şirkete kimlik doğrulanmasına imkân verecek bir başvuru yapılmadığından- veri ihlâl riski nedeniyle paylaşılmadığı, bununla birlikte ilgili kişinin aslî talebi olan e-posta adresine bir daha gönderim yapılmaması talebinin şirketin veri yönetim politikası ile uyumlu olması nedeniyle derhal işleme alındığı ve ilgili kişinin talebinin aynı gün yerine getirildiği,
• İlgili kişi tarafından şirketin üye kaydı esnasında e-posta adresi verisini işlerken herhangi bir kontrol mekanizması işletmediğinin iddia edildiği, ayrıca e-posta adresinin bir iletişim verisi olduğunun ve kontrolsüzce kullanılmaya başlanmasının düşünülemeyeceğinin ifade edildiği,
• Öncelikle şirketin yürüttüğü faaliyetin ruhsata tabi bir faaliyet olduğunu, pek çok idari organın gözetim ve denetimi altında yürütüldüğünü ve özellikle de müşterinin kimlik doğrulaması ile ilgili olarak şirketin internet üzerinden servis sunan diğer veri sorumlularından ayrıştığını belirtmek istedikleri,
• Şirketin platformuna üye olabilmek için ilgili kişilerin ad soyad, doğum tarihi ve TC kimlik numarası verilerini doğru girmelerinin ve bu verilerin MERNİS üzerinden teyit edilmesinin zorunlu olduğu, dolayısıyla şirketin işlediği asgari sayıdaki veri içerisinde yer alan iletişim verilerinin kontrolsüzce işlenmediği, esasen pek çok çevrimiçi hizmet uygulaması üyeliğinin ötesinde bir kontrolden sonra toplandığı,
• Şirketin risk temelli veri güvenliği yaklaşımı uyarınca, üyelerin ana iletişim kanalı olarak cep telefonu numarasının kabul edildiği, bu nedenle de üyelik aşamasında öncelikle cep telefonu numarası verisinin doğrulamasının yapıldığı, sistemin ayrıca üyelik başvurusunda kullanılan cep telefonu ve/veya elektronik posta adresinin başka bir üyelikte kullanılıp kullanılmadığını da otomatik olarak kontrol ettiği,
• Şirket veya herhangi bir yetkili sanal ortam bayi sistemindeki üyenin MERNİS üzerinden doğrulanan TC kimlik numarası ile uyuşmayan bir banka hesabından para yüklemesi veya para çekimi işlemi yapılamayacağından şirket bakımından teyidi ve korunması öncelikli olan verilerin ad-soyad, doğum tarihi ve TC kimlik numarası verileri olduğu, iletişim verilerinin ikincil önemi haiz olduğu,
• Öncelikle cep telefonu verisinin doğrulanmasının sebebinin ise şirket tarafından herhangi bir problem halinde müşteri ile ilk temas noktasının müşteri iletişim stratejisi gereği telefon aramaları olduğu, e-posta verisinin ikincil nitelikte olduğu,
• Şikâyete konu olayda da cep telefonu numarasının doğrulandığı ama e-posta adresinin doğrulanmadığı, e-posta adresinin doğrulanmaması halinde ilgili kişiye şirket tarafından yalnızca “Hoşgeldiniz” bilgilendirmesinin gönderildiği ve sistem üzerindeki panelde kişinin e-posta adresinin “Doğrulama Bekleniyor” aşamasında kaldığı, buna ilave olarak e-posta doğrulaması yapılmamış bir hesaptan şirketin platformuna her giriş yapıldığında ilgili kişiye e-posta doğrulamasına ilişkin uyarı penceresinin gösterildiği,
• E-posta doğrulaması yapılıp yapılmadığından bağımsız olarak tüm üyelere ilk etapta yalnızca iki adet e-postanın gidebildiği, nitekim ilgili kişinin başvurusunda da bu iki e-postaya yer verildiği ve başkaca bir e-postanın sunulmadığı, bu nedenle kontrolsüzce e-posta ve hatta e-postalar gönderildiği iddiasının soyut ve dayanaktan yoksun olduğu,
• Şirket sistemi tarafından gönderilen e-postaların ilkinin “Hoşgeldiniz” bilgilendirmesi olduğu ve bu e-postanın üyeliğin başlatıldığına yönelik bilgilendirme içerdiği, “Hoşgeldiniz” bilgilendirmesinin içeriğinde yalnızca üyenin adı ve soyadı ile üyelik numarasının yer aldığı,
• Gönderimin amacının üyeliğin oluşturulduğuna dair bilgi vermek ve ilgili kişinin şirket hesabına nasıl giriş yapabileceğini açıklamak olduğu, ikinci olarak ise eğer üyelik başvurusu sırasında ilgili kişi ticari elektronik ileti gönderilmesine onay vermiş ise Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in 7’nci maddesinin (3) numaralı fıkrası uyarınca hukuki yükümlülüğün yerine getirilmesi adına ilgili kişiye ticari elektronik ileti onayının alındığı bilgisinin verildiği,
• Mezkûr madde uyarınca onayın elektronik ortamda alınması durumunda onayın alındığı bilgisinin -reddetme imkânı da tanınmak suretiyle- alıcının elektronik iletişim adresine 24 saat içinde iletilmesinin gerektiği, bu hükmün amacının esasen sehven bildirilen iletişim adreslerine ret imkânı sunmak olduğu,
• İkinci e-postanın bu kapsamda üyelik oluşturma sırasında ticari elektronik ileti gönderimine elektronik ortamda onay verilmiş olması sebebi ile iletildiği, nitekim gönderilen e-postada hatalı kayıt ihtimâline binaen çıkma hakkının tanındığı, bununla birlikte ticari elektronik iletinin alındığına ilişkin e-postada herhangi bir kişisel veriye yer verilmediği,
• Tekrar özetlemek gerekirse; şirketin platformuna üyelik başvurusu sırasında e-posta adresi verisi işlenirken öncelikle ilgili verinin şirket veri tabanında mevcut bir başka üye ile ilişkili olup olmadığının kontrol edildiği, eğer veri başka bir üyelik hesabı ile ilişkili değilse doğrulama zorunlu tutulmadan üyelik oluşturulduğu ve üyeye yalnızca yukarıda belirtilen iki bilgilendirme e-postasının iletilebildiği, üye ticari elektronik ileti onayı vermediyse kendisine yalnızca “Hoşgeldiniz” bildiriminin yapıldığı,
• E-posta doğrulama işlemlerinin ise üyelik panelinde ilgili alandan doğrulama talebi yapıldığında e-posta adresine yönlendirilen iletideli adımlar izlenerek yapılabildiği, bu doğrulamanın üyenin bilgilendirme e-postalarını alabilmesinin ön şartı niteliğinde olduğu, dolayısıyla ilgili kişinin şikâyetinde iddia edildiği üzere şirket tarafından kontrolsüzce veri işlenmediği,
• Şirketin sistemi üzerinde üyelik esnasında verilen e-posta adresi için üyenin doğrulamaya zorlanmamasının başlıca nedeninin hesaba MERNİS sistemi ile uyuşacak şekilde para transferi yapılmadığı müddetçe salt şirket platformu üyeliğinin hüküm ifade etmemesi olduğu, daha açık bir ifadeyle herhangi bir üyenin şirketin platformu üzerinde işlem yaparak oyun oynayabilmesi için öncelikle platformdaki hesabına para transferi yapmasının gerektiği, bu aşamada para aktarımının üye tarafından yapıldığına MERNİS kontrolü neticesinde emin olunduğu,
• Yapılan işin doğası ve şirketin risk politikası gereğince para çekme veya yatırma işlemlerinde üyeye şirket uygulamaları haricinde iletişim kanallarından bilgilendirme yapılmadığı, para yatırma veya çekme gibi işlemlerde hiçbir şekilde şirket tarafından e-posta gönderilmediği ve yalnızca kuponlara isabet eden ikramiyeyle ilgili bilgilendirmeler ile oyunlara dair çeşitli bilgilerin e-posta adresinin doğrulanmış olması halinde yapıldığı, bu bilgilendirme tercihlerinin de üyelik paneli üzerindeki ayarlar sekmesinden kolaylıkla güncellenebildiği,
• Gönderilen “Hoşgeldiniz” e-postasının üyelik oluşturma sırasında sehven yanlış girilen bir e-postaya iletilmesi halinde de iletiyi alan kişinin bu hatayı düzeltme imkânının bulunduğu, şöyle ki gönderilen e-posta içerisinde müşteri hizmetleri numarasının yer aldığı ve bu numara üzerinden müşteri hizmetlerinin her türlü soru, öneri ve şikâyet için 7 gün 24 saat hizmet vermekte olduğunun belirtildiği, nitekim şikâyet konusu olayda da ilgili kişinin şirkete e-posta vasıtası ile ulaşarak kendisinin şirketin platformu üzerinden hesap açmadığı bilgisini ilettiği ve e-posta adresine ileti gönderilmemesini talep ettiği,
• Şirket tarafından ilgili kişiden gelen bildirimin derhal işleme alındığı ve aynı gün ilgili kişinin e-posta adresinin şirket sistemlerinden kaldırıldığı, öte yandan yanlış e-posta adresi ile kaydolan üye bakımından ise durumun üyelik e-postasının gelmemesi ile fark edilebileceği,
• Huzurdaki incelemeye konu edilen şikâyeti kişisel verilerin korunması hukukuna hâkim ilkeler ışığında da ele almak istedikleri, bugün için kişisel verilerin korunması hukukunda veri sorumluları bakımından hâkim ilkenin “hesap verebilirlik” olduğunun kabul edildiği,
• Hesap verebilir olmanın bir diğer anlamının da veri sorumlularına proaktif bir özen yükümlülüğü yüklenmesi olduğu, Kurulun 2020/966 sayılı İlke Kararında da bu özen yükümlülüğünün özellikle vurgulandığı, burada veri sorumlusunun özen yükümlülüğünün sınırını çizerken veya 6698 sayılı Kanun’da geçen “gerekli her türlü teknik ve idari tedbir”, “makul önlemler” gibi ifadelerde yer alan sınırlayıcı gerekli veya makul gibi ifadelerin yorumlanmasında hesap verebilirlik ilkesinin özellikle dikkate alınmasının gerektiği,
• Kanun koyucunun veri sorumluları için getirdiği yükümlülüklerde “gerekli”, “makul” gibi sınırlamalar koyarken hesap verilebilirliği veri sorumlusunun faaliyetine bağlı olarak daralıp genişleyebilecek şekilde ölçülü olarak kurgulamayı amaçladığı, dolayısıyla veri sorumlusu tarafından alınacak önlemler veya uygulanacak teknik veya idari tedbirlerin veri sorumlusunun işlediği verilerle, tabi olduğu mevzuatla, iştigal konusuyla ve verilerin tabi olduğu riskle yakın ilgisinin bulunduğu,
• Somut incelemede şirketin suç gelirlerinin aklanmasına ilişkin mevzuat ve şans oyunları mevzuatı gereği sıkı bir kimlik kontrolü yükümlülüğü altında olduğunun dikkate alınması gerektiği, bu yükümlülükleri kapsamında şirkete MERNİS üzerinden gerçekleşen kimlik kontrolü olmaksızın üyeliğin mümkün olmadığı, ayrıca şirketin iştigal sahasının şans oyunları olması nedeniyle işlenen verinin mahremiyeti dikkate alınarak şirket politikası olarak e-posta veya SMS vasıtası ile üyelerle minimum iletişimde bulunulduğu, bu çerçevede şirket bakımından gerekli idari ve teknik tedbirler ile makul önlemlerin sınırının özellikle e-posta adresi verisi gibi asgari düzeyde işlenen veriler bakımından daraldığı,
• Şirket tarafından her türlü kişisel verinin işlenmesinde genel ilkelere uyulmasında azami özen gösterildiği, bu kapsamda geliştirme ve iyileştirme çalışmalarında kimlik verilerine odaklanılmış olmakla birlikte iletişim verilerine ilişkin doğrulama süreçlerinin geliştirilmesine de devam edildiği, bununla birlikte mevcut durumda doğrulanmamış iletişim bilgilerine kişisel veri içeren bilgilendirmelerin yapılmaması için gerekli tedbirlerin alındığı,
• Kurulun 2020/966 sayılı İlke Kararına değinilecek olursa; söz konusu kararda özellikle bahsedilen verilerin fatura, ekstre, rezervasyon belgesi gibi pek çok kişisel veriyi ihtiva eden ve eksik/yanlış veri girişi nedeniyle üçüncü kişilere gönderilmesi mümkün olan veriler olduğunun anlaşıldığı, şirket tarafından yapılan iletişimde bu ve benzeri kişisel verilerin üyelere gönderilmediğinin detayıyla izah edildiği, dolayısıyla Kurulun 2020/966 sayılı İlke Kararı ile şikâyete konu olay arasında doğrudan bağ kurulmasının da hukuken mümkün olmadığı,
• Yapılan inceleme kapsamında tartışılabilecek bir diğer hususun da şirketin gönderdiği “Hoşgeldiniz” e-postasında kişisel veri olup olmadığı konusu olduğu, 6698 sayılı Kanun’un 3’üncü maddesinde kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlandığı, bu tanım doğrultusunda öne çıkan hususun verinin bir kişiyi belirli ya da belirlenebilir kılması olduğu, veri kendi başına ilgili kişiyi tespit etmeye elverişli değilse ancak başka verilerle birleştirildiği takdirde kişi belirlenebiliyorsa belirlilikten değil belirlenebilirlikten bahis açıldığı ancak bu defa da kişinin elinde olmayan hangi veriler esas alınarak belirlenebilirliğin tartışılması gerektiği sorununun ortaya çıktığı, 
• Şirketin gönderdiği “Hoşgeldiniz” e-postasında yer alan isim soy isim verisi ile üye numarası verisinin yanlış bir e-postaya gönderilmesi halinde ortada “belirlenebilir” bir kişisel veri olup olmadığının tartışılmasının gerekeceği, ad soyad verisinin pek çok halde herhangi bir tartışmaya mahal bırakmaksızın ilgili kişiyi doğrudan belirlenebilir kıldığı, ancak yine de bu savın her durumda geçerli olmadığı, pek çok kişinin aynı isim ve soy ismi taşıyabildiği, bu halde üçüncü kişi bakımından ad soyad verisinin tek başına ilgili kişiyi belirleyebilecek nitelikte olmayabileceği, öte yandan üyelik numarasının ise üçüncü kişi bakımından ilgili kişiyi belirleyebilecek nitelikte olmadığı, zira bu numaranın üyeye özel, üye tarafından değiştirilemez harf veya rakamlardan oluşan dizin olarak yalnızca şirket sistemi için anlamlı olduğu, ad soyad verisinin ise yalnızca şirketin iç sistemi için anlam ifade eden üye numarası verisi ile birlikte “belirlenebilir” olduğunun söylenemeyeceği kanaatinde oldukları, dolayısıyla gönderilen “Hoşgeldiniz” e-postasında her ne kadar isim soy isim verisi yer alsa da bu verinin belirlenebilir olmaması sebebiyle kişisel veri niteliğini haiz olmadığı,
• Son olarak, 6698 sayılı Kanun’un en önemli ilkelerinden biri olan ve 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer yer alan “doğru ve gerektiğinde güncel olma” ilkesinin veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu,
• Kurum tarafından hazırlanan Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberinde de belirtilmiş olduğu üzere bu yükümlülüğün tesisindeki en önemli hususun her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalların açık tutulması olduğu, nitekim şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkânının bulunduğu

ifade edilmiştir.

Taraflarca dosyaya sunulan tüm bilgi ve belgeler dâhilinde konuya ilişkin yürütülen inceleme neticesinde, Kurulun 01/09/2022 tarihli ve 2022/853 sayılı kararı ile;

• 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında,  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
• Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesinin yer aldığı,
• İlgili kişinin şikâyeti kapsamında savunması istenen şirket tarafından “Şirketin ilgili mevzuat hükümleri uyarınca idareden aldığı yetki ile bizatihi idarenin düzenleyici olduğu regüle bahis piyasasında faaliyet gösteren bir sanal ortam bayii olduğu, yürüttüğü regüle faaliyet kapsamında kişisel verilerin korunmasına dair mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu ve sistemlerinin anılan yükümlülüklerle uyumlu olarak tasarlandığı”nın vurgulandığı, buna karşın şirketin faaliyet alanına ilişkin özel mevzuat hükümleri uyarınca çeşitli yükümlülüklerinin bulunmasının 6698 sayılı Kanun’dan kaynaklanan yükümlülüklerden muaf olmasını/tutulmasını sağlamayacağı,
• Bir gerçek kişinin kimliğini belirli veya belirlenebilir kılacak mahiyette olup da şirketin elektronik sistemlerinde kaydetme, depolama ve sair fiillere konu edilen isim-soy isim, e-posta adresi, telefon numarası, üyelik numarası gibi bilgilerin “kişisel veri” niteliğini haiz olduklarının açık olduğu, zira söz konusu bilgilerin şirket nezdinde üyelik hesabı bulunan herhangi bir kişinin kimliğini -Şirket veya herhangi bir diğer kişi tarafından kullanılabilecek makul tüm araçlar dikkate alındığında- şirket veya başka herhangi bir kişi için belirlenebilir kılmaya yeterli olduklarının kabul edilmesinin gerektiği, böyle bir kabulün de gerek 6698 sayılı Kanun’un 3’üncü maddesindeki “kişisel veri” tanımıyla gerek ülkemizin taraf olması vesilesiyle kişisel verilerin korunması mevzuatımızın bir parçası olan ve kamuoyunda “108 sayılı Sözleşme” olarak bilinen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin “Tanımlar” başlıklı 2’nci maddesindeki “Kişisel veriler: Kimliği belirli veya belirlenebilir bir gerçek kişi (ilgili kişi) hakkındaki tüm bilgileri ifade eder.” tanımıyla gerekse de Kurulun yerleşik uygulamalarıyla uyumlu olduğu, kaldı ki halen yürürlükte olmasa da 6698 sayılı Kanun’un yapım aşamasında örnek alınan düzenlemeler arasında bulunan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (Direktif) adlı Avrupa Birliği düzenlemesinin başlangıç/giriş bölümünde yer alan ve “kişisel veri” kavramına dair de açıklamalar içeren (26) numaralı resitalde/gerekçede de aynı hususun teyit edildiği,
• Her ne kadar şirket tarafından “ilgili kişiye gönderilen ‘Hoşgeldiniz’ mesajı içerisindeki verilerin somut olaydaki isim-soy isim bilgisinin yaygın olabileceğinden ve üyelik numarası bilgisinin de sadece şirket tarafından bilindiğinden bahisle kişisel veri niteliği taşımadığı” yönünde bir savunma yapılmışsa da söz konusu mesaj içerisinde beraber yer aldıkları görülen “isim-soy isim” ve “üyelik numarası” bilgilerinin somut olayda şirketin elektronik sistemine üye olan şahsı en azından şirket nezdinde belirlenebilir kılmaları dolayısıyla kişisel veri mahiyetinde oldukları, bununla birlikte belirli bir kişiye ait gibi görünen bilgilerin aslında yanlış olmaları (örneğin farklı bir kişiye ait olmaları) durumunda bu bilgilerin “kişisel veri” olma nitelikleri ortadan kalkmadığı için ilgili kişiye ait olduğu ama şirketin elektronik sistemine üyelik sahibi şahıs tarafından beyan edildiği anlaşılan e-posta adresi bilgisinin ilgili kişinin kişisel verisi olduğunun da unutulmaması gerektiği, 
• Somut olayda kişisel verilerin şirketin elektronik sistemlerinde kaydetme, depolama, paylaşma, sınıflandırma, aktarma ve sair fiillere konu edilmesinin birer “kişisel veri işleme faaliyeti” olarak adlandırılması gerektiği, bu durumda hem anılan kişisel verileri işleme faaliyetlerinin amaçlarını ve vasıtalarını belirleme gücünü haiz olduğu hem de veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu anlaşılan şirketin “veri sorumlusu” sıfatını taşıyacağı konusunda herhangi bir şüphenin bulunmadığı,
• Somut olayda veri sorumlusu tarafından ilgili kişinin e-posta adresine bilgisi ve rızası dışında iki adet e-postanın gönderildiğinin sabit olduğu, söz konusu gönderim kapsamında e-posta adresinin işlenmesinden ibaret olan kişisel veri işleme faaliyetlerinin öncelikle 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen hukuki şartlardan en az birine dayanmasının gerektiği, buna rağmen ilgili kişinin e-posta adresi kişisel verisinin üçüncü bir şahıs konumunda olan üyelik sahibi kişi tarafından veri sorumlusunun sistemine kaydedildiği dikkate alındığında veri sorumlusu tarafından ilgili kişi hakkında yürütülen mezkûr kişisel veri işleme faaliyetleri sırasında 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şarta dayanılmadığı, ayrıca somut olayda veri sorumlusunun elektronik sisteminde kaydı bulunan üyenin “isim-soy isim” ve “üyelik numarası” kişisel verilerinin ilgili kişiyle paylaşılmasından ibaret olan kişisel veri işleme faaliyeti açısından da anılan şartlardan herhangi birine dayanılmadığı,
• Şikâyete konu olayda asıl üyenin “isim-soy isim” ve “üyelik numarası” kişisel verilerinin 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şarta dayanılmadan ilgili kişi ile paylaşılmasının aynı zamanda bir “kişisel veri ihlali” niteliği taşıdığı göz önünde bulundurulduğunda; veri sorumlusu tarafından 6698 sayılı Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamındaki “ilgili kişiye ve Kurula bildirim yükümlülüğü”ne de uyulmadığı sonucuna ulaşıldığı,
• İlgili kişinin şikâyetinde yer verdiği iddialara cevaben, veri sorumlusunca “Şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkânının mevcut olmasının şirketin 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki ‘Doğru ve gerektiğinde güncel olma’ genel ilkesine uygun hareket ettiğini gösterdiği” yönünde bir savunma yapılmış olmasına karşılık; 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki “Doğru ve gerektiğinde güncel olma” genel ilkesinin veri sorumlularının uyması gereken bir zorunluluğa işaret ettiği ve bu konuda gerekli tedbirleri almamış ya da alamamış olan veri sorumlularının “mezkûr zorunluluğa uyumlarını ilgili kişilerin uhdesine/keyfiyetine bırakmış oldukları” veya “ilgili kişilere iletişim bilgisi görüntüleme, değiştirme, düzeltme ve güncelleme imkânı verilmesinin mezkûr zorunluluklarına uyduklarını gösterdiği” yönünde savunmalar yaparak sorumluluktan kurtulmalarının bahsi geçen düzenlemenin sözüne ve ruhuna aykırı olacağı,
• Zaten Kurulun 22/12/2022 tarihli ve 2020/966 sayılı İlke Kararındaki ifadelerin de veri sorumlularının 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki zorunluluğa uymak için aktif bir şekilde adımlar atması gerektiğine işaret ettiği, bu kapsamda kullanıma sunduğu sistem özelinde 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki “Doğru ve gerektiğinde güncel olma” genel ilkesinden kaynaklanan zorunluluğa uymak konusunda aktif adımlar atmadığı anlaşılan veri sorumlusunun somut olaydaki kişisel veri işleme faaliyetlerinin mezkûr genel ilkeye aykırı olduklarının açık olduğu,
• Veri sorumlusunun yukarıdaki bölümlerde “Şirketin kişisel veri işleme faaliyetleri sırasında ‘hesap verebilirlik’ yaklaşımını benimsediği, ilgili kişinin şikâyetinde atıf yaptığı Kurulun 2020/966 sayılı İlke Kararının -kararda özellikle bahsedilen verilerin fatura, ekstre, rezervasyon belgesi gibi pek çok kişisel veriyi ihtiva eden ve eksik/yanlış veri girişi nedeniyle üçüncü kişilere gönderilmesi mümkün olan veriler olması nedeniyle- somut olayda uygulama alanı bulmasının mümkün olmadığı” olarak özetlenen savunmasının da Kurulun 22/12/2022 tarihli ve 2020/966 sayılı İlke Kararında örnek kabilinden sayılan bilgi ve/veya belgelerin sınırlı sayıda olmaması, ilgili kişilerin hukuka aykırı kişisel veri işleme faaliyetleri sonucunda görebilecekleri zararların veri sorumlusunun öngörüsünün aksine sadece maddi değil manevi nitelik de taşıyabilecek olması, “6698 sayılı Kanun’un 15’inci maddesinin (6) numaralı fıkrasına dayanan ilke kararlarının şikâyet üzerine veya resen yapılan inceleme sonucunda ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul tarafından alınıp yayımlanan ‘yol gösterici’ mahiyette kararlar olması ve inceleme konusu bir şikâyet kapsamında 6698 sayılı Kanun’un 4’üncü maddesinin uygulama alanı bulabilmesi için Kurulun almış olduğu bir ilke kararına dayanmak zorunda olmaması nedenleriyle geçerli bir savunma olmadığı,
• Veri sorumlusunun ilgili kişinin şikâyetine ilişkin savunmaları içerisinde “Şirket tarafından işlenen kişisel veriler kapsamında iletişim verilerinin şirketin risk politikası gereğince MERNİS üzerinden doğrulanan bazı kimlik verilerine kıyasla ikincil öneme sahip olduğu, buna rağmen şirketin üyelerinin iletişim verilerinin kontrollü bir şekilde işlenmesi için gerekli mekanizmalara sahip olduğu” yönündeki ifadeler ele alınacak olursa; 6698 sayılı Kanun’da kişisel verilerin veri sorumluları için taşıdıkları önem dereceleri gözetilerek sınıflandırılması gerektiğini ifade eden bir düzenlemenin bulunmadığı, dolayısıyla veri sorumlusunun “kendisi için daha çok önem arz eden verileri daha çok denetlediği ama iletişim verileri bakımından böyle bir denetimin o kadar da gerekli olmadığı” anlamına gelebilecek savunmalarının da kabul edilebilir nitelikte olmadığı, ayrıca günümüzde “ilgili kişi” sıfatını haiz kişilerin iletişim verileri kullanılarak yürütülen ve “oltalama” gibi yöntemlere dayanan çeşitli illegal faaliyetler sonucunda bazı mağduriyetlerin yaşanabildiği göz önüne alındığında iletişim verilerinin güvenliklerinin sağlanmasının önemsiz olduğunun söylenemeyeceği, öte yandan bir üyesi tarafından yanlış ve/veya hatalı bildirilmesi nedeniyle “üçüncü kişi” konumundaki ilgili kişiye e-postalar gönderdiği sabit olan veri sorumlusu için “üyelerinin iletişim verilerinin kontrollü bir şekilde işlenmesi için gerekli mekanizmalara sahip olduğu” yönünde bir niteleme yapabilmenin de mümkün olmadığı,
• Veri sorumlusunun ilgili kişinin şikâyetine ilişkin savunmaları kapsamında “veri sorumlusunun üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı ve e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği, ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki beyanları karşısında; “veri sorumlusunun üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı” gibi bir savunmanın veri sorumlusu tarafından üyelerinin e-posta adresleri hakkında yürütülen kişisel veri işleme faaliyetleri bakımından kişisel verilerin korunması alanına hâkim olan ve 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkesi ile somutlaştırılan “veri minimizasyonu ilkesi”ne de uyulmadığını gösterdiği, zira ana iletişim kanalı olarak kullanılmayan ve aslında hiç işlenmemiş olsa da veri sorumlusunun üyelerine sunduğu hizmetleri aksatmayacağı anlaşılan bir iletişim verisinin veri sorumlusu tarafından işlenmesinin “veri minimizasyonu ilkesi”ne aykırı olacağı,
• Veri sorumlusunun “üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı ve e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği, ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunması karşısında ayrıca; ilgili kişilere hukuka aykırı kişisel veri işleme faaliyeti teşkil edecek şekilde tek bir e-posta gönderilmesinin yeterli olduğu bu anlamda e-posta sayısının hukuka aykırılığın mevcudiyeti açısından herhangi bir fark yaratmayacağı, ilaveten veri sorumlusunun mevcut sisteminin veri sorumlusuyla herhangi bir ilişkisi bulunmayan ilgili kişileri veri sorumlusundan bildirim e-postaları almamak için aktif eylemlerde bulunmaya zorluyor olması sebebiyle 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma” genel ilkesine uygun olmadığının da kabul edilmesi gerektiği, bu durumda veri sorumlusunun “hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunmasının da geçerli olmadığının açık olduğu,
• Veri sorumlusunca ilgili kişinin veri sorumlusuna kimliğinin doğrulanmasına imkân verecek bir başvuru yapmadığından bahisle “ilgili kişinin şikâyetinin 6698 sayılı Kanun’un 14’üncü maddesinde düzenlenen usule aykırı olduğu” yönündeki savunması karşısında; taraflarca dosyaya sunulan bilgi ve belgelerden ilgili kişinin veri sorumlusuna e-posta üzerinden yaptığı başvurunun yukarıdaki bölümde paylaşılan mevzuat hükümlerine uygun bir başvuru olmadığının anlaşıldığı, bununla birlikte söz konusu e-posta başvurusuna cevaben veri sorumlusu tarafından gönderilecek bir e-posta marifetiyle “başvurunun işleme alınabilmesi için mevzuata uygun şekilde yapılması gerektiği” yönünde ilgili kişinin bilgilendirilmesi ve yönlendirilmesi imkânı varken ilgili kişinin başvurusunun veri sorumlusunca sanki hukuka uygun bir başvuruymuş gibi ele alındığı (konu hakkında ilgili kişinin e-postasında paylaşmış olduğu cep telefonu numarası üzerinden ilgili kişiye bilgi verildiği, ayrıca talep edilen hususlardan biri hakkında ilgili kişinin e-postasına yazılı olarak cevap da iletildiği) dikkate alındığında konuya ilişkin Kurulca bir inceleme başlatıldıktan sonra “ilgili kişi tarafından veri sorumlusuna yapılan başvurunun hukuka aykırı olduğu” itirazının ileri sürülmesinin 4721 sayılı Türk Medeni Kanunu’nun 2’nci maddesinde düzenlenen ve 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesi çerçevesinde de her türlü veri işleme faaliyetinde esas alınması gerektiği şeklinde ifadesini bulan “dürüstlük kurallarına uygun hareket etme” yükümlülüğüne aykırı olacağı, dolayısıyla ilgili kişinin şikâyetine istinaden veri sorumlusu hakkında başlatılan incelemede usule dayanan herhangi bir hukuka aykırılığın bulunmadığı

değerlendirmelerinden hareketle;

• Veri sorumlusunun kişisel veri işleme faaliyetlerini yürüttüğü elektronik sistemi 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine uygun tasarlamamış/tasarlatmamış olmasından dolayı hem ilgili kişinin kişisel verisi olan e-posta adresini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın işlediği hem de bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından; veri sorumlusunun anılan fiillerinin 6698 sayılı Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği dikkate alınarak 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına,
• Veri sorumlusunun şikâyete esas elektronik sisteminin 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasındaki genel ilkelere aykırılık teşkil ettiği değerlendirildiğinden; doğrulanmamış iletişim kanalına kişisel veri içerikli herhangi bir gönderi yapılmaması bu kapsamda söz konusu sistemin 6698 sayılı Kanun’a uyumlu hale getirilmesini teminen Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı da dikkate alınarak gerekli çalışmaların yapılması ve sonuçtan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına,
• Şikâyete konu olayda asıl üyenin kişisel verilerinin şikâyetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde 6698 sayılı Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bildirim yapılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.