Kişisel Verileri Koruma Kurulunun Yeni Yayımlanan Karar Özetleri

“Kişisel verilerin veri sorumlusu bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında” Kişisel Verileri Koruma Kurulunun 14.01.2020 Tarihli ve 2020/26 Sayılı Karar Özeti

Karar Tarihi     : 14/01/2020
Karar No     : 2020/26
Konu Özeti     : Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında

İlgili kişiden alınan şikayet dilekçesinde ve eklerinde özetle;

- Bankaya olan borcundan dolayı veri sorumlusu avukat tarafından İcra Dairesinde icra takibi başlatıldığı,

- İcra takibi başlatılmasından itibaren söz konusu avukatlık bürosu çalışanları tarafından münferit zamanlarda haciz işlemlerinin başladığına ilişkin arandığı ve mesajlar aldığı,

- Aynı içerikteki mesajın yıllardır görüşmediği kardeşine de gönderilmesi üzerine kardeşinin aldığı ekran görüntüsünü kendisine yolladığı,

- Bunun üzerine kişisel verilerinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenmek adına kendisine ait mail adresinden veri sorumlusu avukata e-posta gönderdiği,

- Avukatın verdiği cevapta Bankacılık Kanunu ve diğer mevzuatlar gereği borçluya ait telefon numarası veya ikamet adresi bilgilerinin tespit edilememesi ve ulaşılamaması durumunda başkaca tespit ettikleri telefon numarası veya adreslere bilgilendirme mesajı ve bilgilendirme mektubu gönderildiğinin belirtildiği, ancak veri sorumlusunun cevabında yer verilen şahsına ait bir telefon numarasına ulaşılmadığı bilgisinin doğru olmadığı, adına kayıtlı ve kullanmakta olduğu iki adet telefon numarası daha bulunduğu, bu numaralardan hiçbirine bilgilendirme mesajı gelmezken kardeşine ait telefon numarasına mesaj gitmesinin tarafını rencide etmeye yönelik olduğu,

- Ayrıca kardeşine gönderilen mesaja ilişkin ekran görüntüsünün mevcut olmasına rağmen, veri sorumlusu tarafından gönderilen mailin devamında kendisinin kullanmış olduğu telefon numarası dışında hiçbir kişi veya kuruluş ile irtibata geçilmediği yönünde beyanda bulunulduğu

ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmiştir.

Kurumumuz tarafından dilekçede belirtilen iddialar ile ilgili olarak veri sorumlusundan savunması istenilmiş, alınan cevabi yazıda özet olarak;

- Avukatlık mesleği itibariyle kişilerin kişisel verilerinin öğrenilmesinin veri işleme faaliyeti olmadığı ve hukuk bürosu olarak kimsenin verilerinin kendilerince işlenmediği,

- Kişisel Verilerin Korunması Kanununun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü gereğince avukatların da yargı makamı sayılması ve kanun kapsamından istisna tutulması gerektiği,

- İlgili kişinin T.C. kimlik numarası, adres, malvarlığı vb. bilgilerinin bankaya verilmesi suretiyle alenileştirilmiş olduğu,

- İlgili kişinin kardeşine SMS gönderim tarihinden önce ilgili kişinin yakını olduğunu söyleyen bir şahsın ofise geldiği ve borçla ilgili bilgi almak istediği, bu şahsa ilgili kişiye ulaşabilecekleri başka bir yöntem olup olmadığı sorulduğunda şikayete konu telefon numarasını verdiği ve ilgili numaranın da sistemlerine böylece girdiği, zaten ilgili kişinin kardeşiyle iletişime geçilmesinin akabinde talep üzerine telefon numarasının sistemden çıkarıldığı,

- Şikayetçinin müşteri sırrı kapsamındaki bilgi ve belgelerinin yasal mevzuat uyarınca yetkilendirilmiş kişi ve kurumlar hariç olmak üzere üçüncü kişiler ile paylaşılmamasına dair bankaya talimat vermemiş olduğu,

- Gönderilen SMS’in kullanılan kredi türü yahut borç miktarı gibi bir bilgiyi içermediği, tamamen borçluyu borcu ödemeye ve müvekkil banka ile uzlaşmaya davet etmekten ibaret olduğu,

ifade edilerek, Kişisel Verilerin Korunması Kanunu kapsamında hareket ederek, kişiye ilişkin hiçbir bilgi ve belge paylaşımı yapmadığı belirtilmiştir.

Konuya ilişkin Kurulca yapılan inceleme neticesinde alınan 14/01/2020 tarih ve 2020/26 sayılı Karar ile;

- Şikayete konu olayda, Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise veri işleme faaliyeti olduğu,

- Diğer yandan, Kanunda, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesaj içeriğinin, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği,

- Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanunun 5 inci maddesinin 2 numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı,

- Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5 inci maddesi hükümleri kapsamında değerlendirilemeyeceği,

- Avukat tarafından yapılan savunmada, büroya gelen kimliği belirsiz bir kişiden numaranın temin edildiği açıklamasının, Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin kardeşinin telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı,

- Veri sorumlusu avukat tarafından her ne kadar ilgili kişinin kardeşine ait telefon numarasının büroya gelen ve kimliği bilinmeyen bir kişi tarafından verildiği, bunun ilgili kişiye ait olmadığının tespitini takiben talep üzerine numaranın silindiği beyan edilmiş olsa da sair mevzuat gereğince ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen bir kişi vasıtasıyla edinilmesi üzerine, ilgili kişiye ait verinin bu numarayla paylaşılmasının Kanun hükümlerine aykırılık teşkil ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusunun Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı davrandığı,

- Avukat tarafından yapılan savunmada, Avukatlık Kanununun 1 inci maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, Kanunun 28 inci maddesi kapsamında bir istisnadan söz edebilmek için, veri işlemenin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olması; ayrıca veri işlemenin yargı makamları veya infaz mercilerince işlenmesi gerektiği, maddede belirtilen yargı makamlarının tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca, şikayete konu olayda, kişinin borcuna dair bilgilerin kardeşinin telefonuna kısa mesaj olarak iletilmesi; yani borcunu ödemeye ikna etmek amacıyla caydırıcı bir unsur oluşturmak niyetiyle bir yakınıyla paylaşılmasının, Kanunun 28 inci maddesinde sayılan soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin bir işlem olarak kabul edilmesinin mümkün olmadığı

değerlendirildiğinden, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.
 

***

“İlgili kişi ile veri sorumlusu şirket arasında gerçekleştirilen telefon görüşmelerine ilişkin kayıtların ilgili kişiye verilmesi yönündeki talebin reddedilmesi hakkında” Kişisel Verileri Koruma Kurulunun 14/01/2020 Tarihli ve 2020/13 Sayılı Karar Özeti

Karar Tarihi     : 14/01/2020
Karar No     : 2020/13
Konu Özeti     :Sermaye piyasası mevzuatı çerçevesinde, veri sorumlusu şirket ile ilgili kişi arasında imzalanan aracılık sözleşmesine ilişkin işlemlerle bağlantılı olarak ilgili kişiyle yapılmış olan telefon görüşmesi kayıtlarına erişim talebinin reddedilmesi hakkında.

İlgili kişi tarafından Kuruma yapılan şikâyet başvurusunda sermaye piyasası mevzuatı çerçevesinde alım-satıma aracılık faaliyeti kapsamında, veri sorumlusu ile imzalanan sözleşme uyarınca işlenen kişisel verilerinden, ilgili kişi ile yapılan telefon görüşmesi kayıtlarının tarafına verilmesi talebinde bulunulduğu ancak, söz konusu telefon görüşmelerine ilişkin kayıtların taraflarına verilmesi yönündeki talebinin reddedildiği belirtilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Korum Kurulunun 14/01/2020 tarih ve 2020/13 sayılı Kararı ile;

Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğuna

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığına,

Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimi, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığına,

Şikâyetçi ilgili kişinin, veri sorumlusu tarafından işlenen kişisel verilerinin içeriğine, içeriğin tam olarak anlaşılmasına imkan tanıyacak şekilde erişim hakkı ile veri sorumlusunun, teknolojik olarak müdahale ve tahrif edilerek aleyhe kullanılabilecek olan ve şikayetçi dışındaki kişilerin de hassas nitelikli verisini içeren konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin, ancak yasal makamlar tarafından talep edildiği taktirde teslim edilebileceği yönündeki, makul kabul edilebilecek açıklaması arasındaki dengenin, şikayetçi ilgili kişi tarafından veri sorumlusundan talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslimi suretiyle değil; ancak, talep edilen ses kayıtlarının dökümlerine, verilerin içeriğinin ilgili kişi tarafından tam olarak anlaşılmasına imkan tanıyacak şekilde, erişim hakkı sağlanarak gerçekleştirilebileceğine,

Bu çerçevede, Kanunun 15 inci maddenin 5 inci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca, şikâyet başvurusuna konu telefon görüşmesi kayıtlarına ilişkin dökümün, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülükler de dikkate alınarak, ilgi kişiye gönderilmesine ve tesis edilen işlemler hakkında da Kurula bilgi verilmesine

karar verilmiştir.

***


“Bir Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 14/01/2020 Tarihli ve 2020/20

Sayılı Karar Özeti
Karar Tarihi     : 14/01/2020
Karar No     : 2020/20
Konu Özeti     :Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 14/01/2020 tarih ve 2020/20 sayılı Kararı ile

Eğitim Kurumundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuz yazısının işyerinde daimi çalışana teslim edilmesine rağmen, veri sorumlusu tarafından gerek ilgili kişiye gerek Kurumumuza bahse konu başvuru kapsamında herhangi bir cevap verilmediği dikkate alınarak, mevcut bilgi ve belgeler bir bütün halinde değerlendirildiğinde; Eğitim Kurumu tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle, Kanun’un 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Eğitim Kurumu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.
***
Bir banka tarafından ilgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesine ilişkin Kişisel Verileri Koruma Kurulu’nun 16/01/2020 Tarih ve 2020/32 Sayılı Karar Özeti

Karar Tarihi     : 16/01/2020
Karar No     : 2020/32
Konu Özeti     :İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi.

İlgili kişi tarafından Kurumumuza intikal eden şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğu belirtilmekte olup, Banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Yapılan incelemede kişinin yenilenen kredi kartının Banka sisteminde kayıtlı bulunan birinci adresine Kurye tarafından dağıtıma çıkarıldığı ancak kişiye ulaşılamadığı, kayıtlı telefon numarasına da Kurye Şirketi tarafından bilgilendirme SMS’lerinin gönderildiği ancak telefon numarasının servis dışı olması sebebiyle SMS’lerin kişiye iletilemediği, birinci adrese teslimat sağlanamadığından Banka sisteminde kayıtlı bulunan ikinci adrese dağıtıma gidildiği ve kartın burada bir kişiye teslim edildiği ancak teslim statüsünün hatalı olması sebebiyle kişiye SMS ile bilgilendirme yapılmadığı, daha sonra kişinin müşteri iletişim merkezi ile yaptığı görüşmelerde kredi kartının aslında birinci adrese teslim edildiğinin sisteme işlendiği, bu adresin doğru olduğu ancak teslim edilen kişinin tanınmıyor olmasının beyan edilmesi üzerine kartın güvenlik altına alınarak kapatıldığı, kartın aslında kişinin ikinci adresi olan eski işyeri adresine teslim edildiği anlaşılmıştır.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 16/01/2020 tarih ve 2020/32 sayılı kararı ile,

- Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellememiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı, Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,

- Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı, söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve Kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan Kurye’nin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı,

- Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu,

- Öte yandan somut olayda Banka ile Kurye arasında imzalanan sözleşme kapsamında Kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun Banka ve Kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu,

- Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,

değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine

karar vermiştir.