Turkey: Bir Tasarruf Finansman Şirketi Tarafından İlgili Kişinin Cep Telefonu Numarasının Herhangi Bir Veri İşleme Şartına Dayanmaksızın İşlenmesi Ve İlgili Numaraya Reklam İçerikli SMS Gönderilmesi Hakkında 10/02/2022 Tarihli Ve 2022/107 Sayılı Karar

Karara Konu Olayın Özeti

İlgili kişinin veri sorumlusu tasarruf finansman şirketi tarafından kendisine birkaç kez SMS gönderildiği, bunun üzerine kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurduğu, veri sorumlusu tarafından verilen cevapta özetle İleti Yönetim Sistemi (“İYS”) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığının, istenildiği zaman İYS'den çıkılabildiğinin, söz konusu mesaj içeriğinde ret imkanının bulunduğunun ve sistemde kayıtlı kendisine ait telefon numarasının SMS gönderimine kapatıldığının belirtildiği ve veri sorumlusu tarafından verilen cevapta belirtildiğinin aksine kendisinin İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay vermediği yönündeki iddialarını içerir şikayeti üzerine başlatılan inceleme çerçevesinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından veri sorumlusunun savunması istenmiştir.

Veri sorumlusunun savunması kapsamında (i) İYS'ye bildirdiği kayıtlar arasında ilgili kişinin telefon numarasına ilişkin kaydın da bulunduğu, ilgili kişinin Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik'te (“Ticari İletişim Yönetmeliği”) belirtilen 16/01/2021 tarihine kadar İYS üzerinden veya ayrı bir kanaldan aksi yönde bir beyanının tespit edilemediği ve Ticari İletişim Yönetmeliği uyarınca ilgili kişi tarafından verilmiş bu tarihten önceki onayın geçerli sayıldığı, (ii) Ticari İletişim Yönetmeliği'nin ilgili geçici maddesi uyarınca 16/01/2021 tarihine kadar bu izni kaldırdığını ispat yükünün ilgili kişinin üzerinde kaldığı, (iii) Ticari İletişim Yönetmeliği hükümlerine uygun olarak ilgili kişinin cep telefonu numarasının ticari ileti gönderilmek amacıyla “kanunlarda açıkça öngörülmesi” işleme şartına dayalı olarak işlendiği, (iv) ilgili kişiden gelen talep üzerine yalnızc SMS gönderim faaliyetine son verildiği ve ilgili kişiye verilen cevapta bu durumun açıkça belirtilmiş olduğu ve (v) kayıtlara bakıldığında ilgili kişinin şirketlerine başvurduğu tarihte henüz SMS ret talebinde bulunmadığı, Kişisel Verileri Koruma Kurumuna (“Kurum”) şikayette bulunduktan sonra dahi SMS onayı olduğunun görüldüğü ve ilgili kişi tarafından verilen onaya ilişkin retlerin sonraki tarihte sisteme girildiği ifade edilmiştir.

Kurul Kararı ve Yaptırımı

Kurul tarafından gerçekleştirilen inceleme kapsamında (i) şikayete konu mesajların iletilmesi için kullanılan iletişim numarasının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin kişisel verilerin korunması mevzuatına da uygun olması gerektiği, (ii) veri sorumlusu tarafından sunulan bilgi ve belgeler değerlendirildiğinde, ilgili kişinin cep telefonu numarasının İYS kaydının yapılmasına temel teşkil edecek nitelikte veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusunun sunduğu bilgi ve belgeler arasında ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğuna ilişkin tevsik edici bilgi veya belge olmadığının tespit edildiği ve (iii) ilgili kişinin şikayetinde kişisel verilerinin güvenliğinin sağlanması konusunda veri sorumlusunun yükümlülüklerini yerine getirmemesi (örn. kişisel verinin başkasına aktarılması) nedeniyle kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu'na (“KVKK”) aykırı işlendiği iddia edilmiş olsa da veri güvenliğine ilişkin bu hususun KVKK'nın 11. maddesi kapsamında olmadığı ve ihlale ilişkin tevsik edici bilgi ve belge sunulmadığı değerlendirmelerinde bulunulmuştur.

Söz konusu değerlendirmeler ışığında;

• veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alındığında, gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
• hukuka aykırı işlendiği tespit edilen söz konusu kişisel verinin başka bir işleme sebebi bulunmaması halinde KVKK'nın 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik (“İmha Yönetmeliği”) hükümlerine uygun şekilde imha ederek sonucundan Kurul'a bilgi vermesi hususunda veri sorumlusunun talimatlandırılmasına ve
• ilgili kişinin şikayetinde belirttiği veri sorumlusunun kişisel verilerinin güvenliğinin sağlanması konusundaki yükümlülüklerini yerine getirmediği iddialarının KVKK'nın 11. maddesi kapsamında olmadığı dikkate alındığında bu hususta KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Söz konusu kararın tam metnine buradan ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.