Kişisel Verileri Koruma Kurulu ("Kurul"), son olarak "Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi/bilgilendirme amaçlı aranması hakkında Kuruma yaptığı başvuru" ile ilgili 08/07/2019 tarihli ve 2019/204 sayılı kararını ("Karar") 2 Ağustos 2019 tarihinde resmi web sitesinde https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri yayınladı.

Kurul Kararı ne diyor?

Karar'da, şikayetçinin müşterisi olduğu personelin daha önce başka bir yatırım şirketinde çalıştığı, bu kurumun faaliyetlerine son verilip kapatılmasının ardından 2017 yılında bahse konu personelin yine aynı alanda faaliyet gösteren veri sorumlusu şirkette çalışmaya başladığı, dolayısıyla şikayetçinin telefon numarası bilgisine bu şekilde vakıf olunduğu ve sonrasında veri sorumlusunun bir personeli tarafından ilgili kişinin reklam ve bilgilendirme amacıyla arandığı açıklanıyor,

Bunun üzerine yapılan başvuruda, Kurul aşağıda belirtilen hususlar doğrultusunda karar veriyor:

  • Veri işleme şartlarının varlığı açısından yapılan incelemede Kişisel Verilerin Korunması Kanunu'nda ("Kanun") öngörülen şekilde açık rıza veya sair işleme şartı (sözleşmenin kurulması/ifası, meşru menfaat, hukuki hakkın tesisi, hukuki yükümlülüğün yerine getirilmesi gibi) tespit edilemediğinden, şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna varılıyor ve esasen veri güvenliğini düzenleyen Kanun'un madde 12/1-a bendi uyarınca Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek yükümlülüğüne aykırılıktan Kanun'un madde 18/1-b bendi (Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler) uyarınca şirket hakkında 75.000 TL idari para cezası kesiyor.
  • Şikayetçinin, ilgili personelin başka bir şirkette çalışırken müşterisi olan kişiye ait telefon bilgisini yeni çalıştığı şirkete aktarması iddiası ile ilgili olarak Türk Ceza Kanunu'nun "Verileri hukuka aykırı olarak verme veya ele geçirme" başlıklı 136. maddesi hakkında şikayetçiyi
  • Şikayetçi, veri sorumlusuna yönelik olarak kişisel verilerinin kimlerden ne şekilde elde edildiğine dair bilgi talep etmesine rağmen, veri sorumlusunun herhangi bir cevap vermiyor. Kurul bu açıdan da şirketi Kanun'a uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarıyor ve söz konusu hususlarda şikayetçiye bilgi verilmesi yönünde talimatlandırıyor.

Karar'dan çıkarılması gereken dersler nedir?

1. "Kanun'a uyum açısından çok bir şey yapmamıza gerek yok" yanılgısından kurtulmak gerek.

Karar yatırım kuruluşları için önemli bir karar. Zira Kanun'un uygulaması açısından, bu zamana kadar, yatırım kuruşlarının "Biz zaten birçok yasal düzenlemeye tabiiyiz ve bunları yerine getiriyoruz, bu Kanun'a uyum açısından çok bir şey yapmamıza gerek yok" gibi bir algı içinde olduğunu söylemek çok da haksızlık olmayabilir.

Kanun'un (her ne kadar bazı önemli hükümleri uzun geçiş sürelerine tabi idiyse de) yürürlüğe girişinde 3 seneden fazla süre geçti. Buna rağmen hala uyum projesine başlamak için bekleyen pek çok yatırım kuruluşu var. Oysa, Kanun'un yürürlüğe girmesi peşi sıra yayınlanan yönetmelikler, tebliğler, rehberler ve kararlar gösterdi ki bu Kanun'a herkes uymak ve uyumlu hale gelmek zorunda!

Kurul'un şikayet üzerine incelediği bu Karar da bizlere somut olarak bunu gösterdi. Bu nedenle de aslında yatırım kuruluşlarının "belki bu yükümlülüklerden kurtulabiliriz" beklentisiyle geç kalmak yerine, bir an önce Kanun'a uyum çalışmalarını tamamlamaları ve insan faktörünü de ciddiye almak gerekli. Kişisel verilerin korunması açısından "insan faktörü"ne dair son blog yazımıza Uyumda-insan-faktorunun-yonetiminin-onemi/ buradan ulaşabilirsiniz.

2. Karar'da cezai sorumluluklara dair Türk Ceza Kanunu hükümlerinin hatırlatılması çok önemsenmeli

Kurul'un daha önceki kararları incelendiğinde, "Şikayetçinin Türk Ceza Kanununun 136 ncı maddesi hakkında bilgilendirilmesine" yönünde bir hatırlatmayı ilk defa yapma gereği duyduğunun da altını çizelim. Karar ile, özellikle müşteri geliştirme ya da satış tarafında çalışan uzmanların "alışagelmiş davranış biçimlerinin" kurumlarına ve kendilerine ne kadar ciddi zararlar verebileceklerini bir kere daha görmüş olduk.

Karar'da, ilgili kurumda göreve başlayan uzmanın, daha önce çalıştığı kurumdaki müşteri portöfünü kendisinin portföyü olarak algılayarak yeni kurumuna aktarımı ya da müşteri verilerini ifşasının, suçun diğer unsurları da gerçekleşmek kaydıyla, Türk Ceza Kanunu'nun "Verileri hukuka aykırı olarak verme veya ele geçirme" başlıklı 136. Maddesinin ihlali sonucu doğurabileceği hatırlatılmıştır. Bu nedenle de Kurul tarafından şikayette bulunan veri sahibinin bu madde kapsamında bilgilendirilmesi kararı verilmiştir.

Bu itibarla, olayın ceza yargısına taşınma ihtimali olduğu gözönüne alınırsa, yatırım kuruluşları tarafından bu alandaki gelişmelerin yakından takip edilmesi yararlı olacaktır. Veri sahibinin şikayetçi olabilmesinin yanı sıra, Kurul her ne kadar bu karar özelinde yalnızca şikayetçiyi bilgilendirmekle yetinmiş olsa da, bundan sonra karşılaştığı ihlallerde, Kurul'un suç unsuru tespit etmesi halinde kendisinin doğrudan suç duyurusunda bulunma yetkisi (hatta zorunluluğu) olduğu da unutulmamalıdır.

Neler yapmalıyız? Nelere dikkat etmeliyiz?

1. Öncelikle, yatırım kuruluşlarının Kanun açısından veri sorumlusu durumunda olduklarını not etmek gerekli.

Zira, prensip olarak çalışanlar istihdam edildikleri şirket (veri sorumlusu) adına veri işliyorlar. Bu da kişisel veriler açısından ilgili kurumun sorumluluğunun olacağı anlamına geliyor. Elbette, çalışanın işverinin talimatları / bilgisi dışında kişisel verileri ifşa etmesi ve kanuna aykırı davranışlar içinde olması (hatta duruma göre veri sorumlusu dahi addedilebilmesi) mümkün. Ancak bu durumda dahi işverenin, veri sorumlusu olarak sorumluluklarından (ve idari ya da cezai yaptırımlardan) tamamen kurtulması mümkün değil.

2. Bu itibarla, genel olarak yatırım kuruluşları, bu zamana kadar ne yapmış olmalıydılar?

Veri sorumlusu olan kurumlar,

  • Kanun'a uyumlu olmanın, en genel ifadeyle, herkesin yükümlülüğü olduğunu bilerek hareket etmiş,
  • Kişisel veri işleme faaliyetlerinin, Kanun'un açıkça belirlemiş olduğu istisnalar haricinde, Kanun'a uygun bir biçimde gerçekleştirilmesini sağlamış ve
  • Veri sorumlusu olarak, bu yükümlülüklerini yerine getirebilmek için mutlak surette Kanun'a uyum projelerini tamamlamış ve Kurul tarafından yayınlan teknik ve idari tedbirleri de almış

olmalıdır.

Yeri gelmişken, Kanun'un uyarınca 30 Eylül 2019'a kadar,

  • Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları veya
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının

veri sorumluları siciline kayıt olması gerektiğini de hatırlatalım. Kayıt yükümlülüğüne dair düzenleme ve istisnalara dair detaylar için daha önce yayınlanan verbis-e-kayit-sureleri-dolmak-uzere/ ve veri-sorumlulari-siciline-ilk-kayit/ başlıklı blog yazılarımıza bakabilirsiniz.

3. Karar'daki idari para cezasının dayanağı olan Kanun'un 12. maddesi neden çok önemli?

Kurul'un websitesinde bugüne kadar yayınlanan karar özetleri incelendiğinde (bakınız https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri), idari para cezalarının ağırlıklı olarak Kanun'un 12. maddesine aykırılıktan kesilmiş olduğu görülecektir.

Bu madde başlığı her ne kadar "Veri Güvenliğine dair Yükümlülükler" başlığını taşısa da esasen bu güne kadar bu maddeye aykırılık dolayısıyla Kanun'un 18. maddesi uyarınca verilen idari cezalardan neredeyse yarısının veri ihlali nedeniyle, yarısının ise Kanun'un 4. (Genel İlkeler) ve 5. maddesine (Kişisel Verilerin İşlenme Şartları) aykırılıktan verildiği de görülmektedir.

O nedenle, Kanun'un 12. maddesi açısından sadece veri güvenliği sistemlerinin ya da yazılımlarının kullanılmasının yeterli olacağı gibi bir yanılgıya düşülmemesi gerekir. Teknik ve idari tedbirler çerçevesinde veri sorumlusu durumunda olan yatırım kuruluşları aynı zamanda

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
  • Kişisel verilerin muhafazasını sağlamak

zorundadırlar.

4. Karar özelinde neler yapılması gerekli?

Karar özelinde baktığımızda, yatırım kuruluşları

  • yeni istihdam ettikleri uzmanların kendi "portföyleri" olarak gördükleri müşteri verilerinin esasen ayrıldıkları kuruma ait veriler olduğu,
  • bu potansiyel müşteri verilerinin işlenebilmesi ya da Karar'da yer aldığı şekilde potansiyel müşterinin telefonla aranması için Kanun'da yer verilen işleme şartlarının gerçekleşmiş olması gerektiği (elbette buna ek olarak ticari elektronik ileti gönderilmesine dair mevzuata da uyulması gerekeceği unutulmamalıdır),
  • Kanun'un hem bireysel müşteriler, hem de kurumsal müşterilerinin gerçek kişi temsilcileri açısından da uygulanacağı

hususlarına dikkat etmelidirler.

Bu itibarla, Karar çerçevesinde yatırım kuruluşlarının, bunlarla sınırlı olmaksızın,

  • müşteri listelerinin güvenliğini sağlayıcı ve hukuka aykırı şekilde aktırımını önleyici tedbirler almaları,
  • yeni istihdam edilecek uzmanların iş sözleşmelerinde ve işten ayrılan uzmanların fesih evraklarında kişisel verilerin korunmasına dair hükümlere ve taahhütlere (ve hatta yaptırımlara) yer vermeleri ve
  • tüm personele müşteri verilerinin korunması için düzenli olarak gerekli eğitimleri vermeleri gerektiğini ve bunların veri sorumlusunun bir yükümlülüğü olduğunu önemle hatırlatırız.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.