İlgili kişinin Kuruma intikal eden dilekçesinde özetle; 

• İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı,
• İlgili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği,
• Bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı,
• Konuya ilişkin olarak avukatlık ortaklığına ve GSM operatörüne başvurduğu, verilen cevaplarda bilgi amaçlı gönderilen kısa mesajın maskelenerek paylaşıldığı belirtilmiş ise de ilgili kişiye ait kişisel verilerin, ilgili kişinin ortağı olduğu şirket hatlarına hangi amaçla iletildiğinin açıklanamadığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde öncelikle ilgili avukatlık ortaklığından savunması istenilmiş olup alınan cevabi yazıda özetle;

• GSM operatörü tarafından kendilerinin abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak hizmet sözleşmesi ve vekâlet ilişkisi kapsamında yetkilendirildiği, GSM operatörü tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip oldukları, bu doğrultuda taraflarının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak gerçekleştirilen kısa mesaj gönderme faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ğ) bendi uyarınca veri işleyen konumunda olduğu, ilgili kişinin avukatlık ortaklığına başvuru hakkı bulunmadığı ve şikâyetinin usulden reddinin gerektiği,
• Nitekim söz konusu şirket ile aralarında imzalanan sözleşmede de avukatlık ortaklığının veri işleyen sıfatı ile sorumlu olacağına ilişkin hükme yer verildiği,
• Avukatlık ortaklığı olarak vekili oldukları şirket adına, müvekkillerinin haklarını ve menfaatlerini korumak amacıyla ve bu anlamda Avukatlık Kanunu'ndan doğan yükümlülüklerini ve yürütmekte olduğu icra işlemleri bakımından 2004 sayılı İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebepleri çerçevesinde işledikleri,
• Belirtilen 4 farklı telefon numarasının ilgili kişinin iletişim numarası olarak avukatlık ortaklığına veri sorumlusu GSM operatörü tarafından iletildiği ve avukatlık ortaklığının da "veri işleyen" sıfatıyla bu numaralara bilgilendirme kısa mesajı gönderdiği, bu bağlamda avukatlık ortaklığının söz konusu şirket tarafından erişim imkânı sağlanan borçlulara ait iletişim numaralarının kaynağını sorgulama yetkisinin bulunmadığı,
• İlgili kişinin iletişim numarası olarak bildirilen numaralara yalnızca bir kez kısa mesaj gönderimi yapıldığı, bu kısa mesajın içeriğinde ise ilgili kişiye ilişkin kişisel verilerin paylaşılmadığı ve ilgili kişinin isminin maskelenerek paylaşıldığı

ifade edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu GSM operatöründen de savunması istenilmiş olup alınan cevabi yazıda özetle;

• Veri sorumlusu olarak avukatlık ortaklığı ile hukuki ilişkileri kapsamında ve borcun tahsili amacıyla yalnızca ilgili kişi borçluya ilişkin kimlik, iletişim ve borç bilgilerini içeren verilerin paylaşıldığı,
• Şikâyete konu telefon numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/78 sayılı kararı ile;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
• Şikâyete konu olayda avukatlık ortaklığı tarafından sunulan savunmada veri sorumlusu müvekkilleri ile aralarındaki sözleşme gereği veri sorumlusu sıfatını haiz olmadıkları belirtilmişse de veri sorumlusu sıfatını tayin etmede Kanun çerçevesinde yapılacak değerlendirme için bu sözleşmede yer alan nitelendirmenin esas alınamayacağı; bununla birlikte ilgili kişiye ilişkin kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan, ilgili kişinin ortağı olduğu şirkete ait iletişim numaralarını borcun tahsili amacı ile avukatlık ortaklığı ile paylaşan GSM operatörü şirketin, “veri sorumlusu”; veri sorumlusunun verdiği talimat çerçevesinde ilgili kişiye ait olduğu belirtilen iletişim numaralarına borcun tahsili amacıyla kısa mesaj gönderen avukatlık ortaklığının ise veri işleyen olarak tanımlanabileceği, 
• Her ne kadar avukatlık ortaklığı tarafından ilgili kişi borçlunun soyadının yıldızlı bir şekilde yazıldığı ifade edilse de adının tamamı ve soyadının baş harfinin yer alması ile mesajın ilgili kişinin ortağı olduğu şirkete ait telefon numaralarına gönderilmesinin ilgili kişiyi belirlenebilir kıldığı,
• Kanun’da, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği; bu kapsamda, ilgili kişinin şirket hattı olan cep telefonu numaralarına gönderilen adı, soyadı, borçlu olduğu firma ve hakkında icra takip işlemlerinin başlatılacağı bilgilerini ihtiva eden kısa mesajın ilgili kişiye ait kişisel verileri içerdiğinin anlaşıldığı,
• Avukatlık ortaklığının savunmasında, veri sorumlusu ile arasındaki vekâlet ilişkisine binaen müvekkilinin alacaklarının takibini gerçekleştirdiği, ilgili kişiye ilişkin tüm iletişim numaralarının veri sorumlusu tarafından irtibat bilgisi olarak paylaşıldığının belirtildiği; veri sorumlusunun savunmasında ise alacağın tahsili için zorunlu olan veriler dışında avukatlık ortaklığına başkaca kişisel veri aktarılmadığının, şikâyete konu GSM numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğunun ifade edildiği,
• İlgili kişinin ortağı olduğu şirkete ait kurumsal iletişim numaralarının Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında veri sorumlusu ile arasındaki bireysel sözleşmelere ilişkin iletişim numarası olarak da kullanılabileceğine dair ilgili kişinin açık rızasının alındığını tevsik eden bilgi ve belgeye savunma ekinde rastlanmadığı,
• Her ne kadar Kanun kapsamında tüzel kişiye ait telefon numaraları kişisel veri olmasa da veri sorumlusu tarafından ilgili kişinin ortağı olduğu şirkete ait kurumsal telefon numaralarının ilgili kişinin iletişim numarası olarak avukatlık ortaklığı ile paylaşılmasının, Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendine aykırı olarak ilgili kişiye ilişkin kişisel verilerin doğru bir şekilde işlenmediği şeklinde değerlendirileceği, bu nedenle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı

değerlendirmelerinden hareketle;

• İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının  veri sorumlusu tarafından Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 85.000 TL idari para cezası uygulanmasına,
• Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.