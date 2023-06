ARTICLE

Your LinkedIn Connections with the authors

To print this article, all you need is to be registered or login on Mondaq.com.

Karara Konu Olayın Özeti

İlgili kişinin şahsi e-posta hesabına yasal bahis platformu tarafından bir e-postanın gönderildiği, söz konusu e-postada özetle “Sayın ******* ******, Üyelik işlemleriniz ile ilgili detayları aşağıda bulabilirsiniz: Üye Numaranız: ********. Üye numaranız, kullanıcı adınız, TC kimlik numaranız ile ******.com hesabınıza giriş yapabilirsiniz. Güvenlik önlemi olarak ******.com'a giriş şifrenizi belirli aralıklarla değiştirmenizi tavsiye ediyoruz.” ve hemen ardından gelen ikinci bir e-posta ile ise “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği, platforma herhangi bir üyeliğinin asla gerçekleştirilmediği, bu çerçevede konuya ilişkin veri sorumlusuna başvurarak şahsına ait herhangi bir bilginin işlenmiş olması halinde bunların derhal yok edilmesi talebinde bulunduğu ve ayrıca veri sorumlusunun sisteminde kullanıcılar tarafından girilerek beyan edilen e-posta adreslerinin doğruluğunu herhangi bir surette kontrol edilip edilmediğine yönelik sorularını yönelttiği, veri sorumlusunun ise “İletmiş olduğunuz talebinize istinaden E-posta adresiniz kayıtlı olduğu üyelikten kaldırılmıştır.” şeklinde cevap verdiği ve somut olayda KVKK bakımından asıl sorunun veri sorumlusunun kişisel veriyi işlerken herhangi bir kontrol mekanizması oluşturmamış olması olduğu ve üçüncü bir şahıs kendisine ait e-postayı sisteme üyelikte kullanmak istediğinde veri sorumlusunun bunu doğrudan geçerli ve doğru kabul ederek e-posta adresine e-postalar göndermeye başlamakla hata yaptığı yönündeki iddialarını içerir şikayeti üzerine başlatılan inceleme çerçevesinde Kurul tarafından veri sorumlusunun savunması istenmiştir.

Veri sorumlusunun savunması kapsamında (i) bahis piyasasında faaliyet gösteren bir sanal ortam bayii olarak şirketin kişisel verilerin korunmasına ilişkin mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu, bu yükümlülüklerden ilkinin 18 yaşından küçük kimselerin bayiliği yürütülen oyunları oynamalarının engellen- mesi olduğu, ikinci yükümlülüğün ise suç gelirlerinin aklanmasına dair mevzuata uyum göstermek olduğu ve bu çerçevede kendi nezdinde yapılan her türlü işlemden önce işlemi yapanların kimliklerini tespit etme ve gerekli diğer tedbirleri alma yükümlülüklerinin bulunduğu, (ii) ilgili mevzuat kapsamında her bir üyelik başvurusunda müşterinin adı – soyadı, uyruğu ve T.C. kimlik numarası veya yabancı kimlik numarası bilgilerinin İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü veri tabanından teyit edildiği, (iii) şikayet konusu üyelik oluşturulurken cep telefonu numarasının doğrulandığı, kimlik bilgilerinin ise MERNİS sistemi üzerinden doğrulandığı ve buna karşın e-posta adresinin kayıt aşamasında doğrulanmadığı, (iv) ilgili kişiden gelen bildirimin derhal işleme alındığı, ilgili kişinin e-posta adresinin sistemlerinden kaldırıldığı, ilgili kişiyle e-postasında paylaştığı telefon numarası üzerinden iletişime geçilerek konu hakkında bilgi verildiği ve aynı bilgilerin yazılı olarak da gönderildiği, (v) ilgili kişinin Nisan 2022 içerisinde göndermiş olduğu e-postada yer alan sorular kapsamındaki bilgilerin – ilgili kişi tarafından kimlik doğrulanmasına imkan verecek bir başvuru yapılmadığından – veri ihlal riski nedeniyle paylaşılmadığı, bununla birlikte ilgili kişinin asli talebi olan e-posta adresine bir daha gönderim yapılmaması talebinin şirketlerinin veri yönetim politikası ile uyumlu olması nedeniyle derhal işleme alındığı ve ilgili kişinin talebinin aynı gün yerine getirildiği, (vi) risk temelli veri güvenliği yaklaşımı uyarınca üyelerin ana iletişim kanalı olarak cep telefonu numarasının kabul edildiği, bu nedenle üyelik aşamasında öncelikle cep telefonu numarası verisinin doğrulamasının yapıldığı ve sistemin ayrıca üyelik başvurusunda kullanılan cep telefonu ve/veya elektronik posta adresinin başka bir üyelikte kullanılıp kullanılmadığını da otomatik olarak kontrol ettiği, (vii) üyenin MERNİS üzerinden doğrulanan TC kimlik numarası ile uyuşmayan bir banka hesabından para yüklemesi veya para çekimi işlemi yapılamayacağından teyit ve korunması öncelikli olan verilerin ad-soyad, doğum tarihi ve TC kimlik numarası verileri olduğu ve iletişim verilerinin ikincil önemi haiz olduğu, (viii) e-posta adresinin doğrulanmaması halinde ilgili kişiye yalnızca “Hoşgeldiniz” bilgilendirmesinin gönderildiği ve sistem üzerindeki panelde kişinin e-posta adresinin “Doğrulama Bekleniyor” aşamasında kaldığı ve e-posta doğrulaması yapılmamış bir hesaptan platforma her giriş yapıldığında ilgili kişiye e-posta doğrulamasına ilişkin uyarı penceresinin gösterildiği, (ix) her türlü kişisel verinin işlenmesinde genel ilkelere uyulmasında azami özen gösterildiği, bu kapsamda geliştirme ve iyileştirme çalışmalarında kimlik verilerine odaklanılmış olmakla birlikte iletişim verilerine ilişkin doğrulama süreçlerinin geliştirilmesine de devam edildiği ve mevcut durumda doğrulanmamış iletişim bilgilerine kişisel veri içeren bilgilendirmelerin yapılmaması için gerekli tedbirlerin alındığı, (x) gönderilen “Hoşgeldiniz” e-postasında her ne kadar isim – soy isim verisi yer alsa da bu verinin belirlenebilir olmaması sebebiyle kişisel veri niteliğini haiz olmadığı ve (xi) şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkanının bulunduğu ifadelerine yer verilmiştir.

Kurul Kararı ve Yaptırımı

Kurul tarafından gerçekleştirilen inceleme kapsamında (i) şirketin faaliyet alanına ilişkin özel mevzuat hükümleri uyarınca çeşitli yükümlülüklerinin bulunmasının KVKK'dan kaynaklanan yükümlülüklerden muaf olmasını sağlamayacağı, (ii) her ne kadar şirket tarafından ilgili kişiye gönderilen “Hoşgeldiniz” mesajı içerisindeki verilerin somut olaydaki isim-soy isim bilgisinin yaygın olabileceğinden ve üyelik numarası bilgisinin de sadece şirket tarafından bilindiğinden bahisle kişisel veri niteliği taşımadığı yönünde bir savunma yapılmışsa da söz konusu bilgilerinin üye olan şahsı en azından şirket nezdinde belirlenebilir kılmaları dolayısıyla kişisel veri mahiyetinde oldukları, ve belirli bir kişiye ait gibi görünen bilgilerin aslında yanlış olmaları (örn. farklı bir kişiye ait olmaları) durumunda bu bilgilerin kişisel veri olma niteliklerini ortadan kaldırmadığı, (iii) veri sorumlusu tarafından ilgili kişinin e-posta adresine bilgisi ve rızası dışında iki adet e-postanın gönderildiğinin sabit olduğu, ilgili kişinin e-posta adresi kişisel verisinin üçüncü bir şahıs konumunda olan üyelik sahibi kişi tarafından veri sorumlusunun sistemine kaydedildiği dikkate alındığında veri sorumlusu tarafından ilgili kişi hakkında yürütülen mezkur kişisel veri işleme faaliyetleri sırasında herhangi bir işleme şartına dayanılmadığı ve ayrıca somut olayda veri sorumlusunun elektronik sisteminde kaydı bulunan üyenin isim – soy isim ve üyelik numarası kişisel verilerinin ilgili kişiyle paylaşılmasından ibaret olan kişisel veri işleme faaliyeti açısından da herhangi bir işleme şartına dayanılmadığı, (iv) söz konusu verilerin herhangi bir işleme şartına dayanılmadan ilgili kişi ile paylaşılmasının aynı zamanda bir kişisel veri ihlali niteliği taşıdığı göz önünde bulundurulduğunda, veri sorumlusu tarafından ilgili kişiye ve Kurul'a bildirim yükümlülüğüne de uyulmadığı, (v) veri sorumlusunca “şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme / düzeltilme / güncellenme imkanının mevcut olmasının şirketin ‘doğru ve gerektiğinde güncel olma' genel ilkesine uygun hareket ettiğini gösterdiği” yönünde bir savunma yapılmış olmasına karşılık, anılan ilkenin veri sorumlularının uyması gereken bir zorunluluğa işaret ettiği ve bu konuda gerekli tedbirleri almamış ya da alamamış olan veri sorumlularının “mezkur zorunluluğa uyumlarını ilgili kişilerin uhdesine / keyfiyetine bırakmış oldukları” veya “ilgili kişilere iletişim bilgisi görüntüleme, değiştirme, düzeltme ve güncelleme imkanı verilmesinin mezkur zorunluluklarına uyduklarını gösterdiği” yönünde savunmalar yaparak sorumluluktan kurtulmalarının bahsi geçen düzenlemenin sözüne ve ruhuna aykırı olacağı, (vi) kullanıma sunduğu sistem özelinde “doğru ve gerektiğinde güncel olma” genel ilkesinden kaynaklanan zorunluluğa uymak konusunda aktif adımlar atmadığı anlaşılan veri sorumlusunun somut olaydaki kişisel veri işleme faaliyetlerinin mezkur genel ilkeye aykırı olduklarının açık olduğu, (vii) veri sorumlusunun yukarıdaki bölümlerde “şirketin kişisel veri işleme faaliyetleri sırasında ‘hesap verebilirlik' yaklaşımını benimsediği” yönündeki savunmasının da Kurul'un 22/12/2022 tarihli ve 2020/966 sayılı ilke kararında örnek kabilinden sayılan bilgi ve/veya belgelerin sınırlı sayıda olmaması, ilgili kişilerin hukuka aykırı kişisel veri işleme faaliyetleri sonucunda görebilecekleri zararların veri sorumlusunun öngörüsünün aksine sadece maddi değil manevi nitelik de taşıyabilecek olması, ilke kararların şikayet üzerine veya resen yapılan inceleme sonucunda ihlalin yaygın olduğunun tespit edilmesi halinde Kurul tarafından alınıp yayımlanan yol gösterici mahiyette kararlar olması ve inceleme konusu bir şikayet kapsamında KVKK'nın 4. maddesinin uygulama alanı bulabilmesi için Kurul'un almış olduğu bir ilke kararına dayanmak zorunda olmaması nedenleriyle geçerli bir savunma olmadığı, (viii) KVKK'da kişisel verilerin veri sorumluları için taşıdıkları önem dereceleri gözetilerek sınıflandırılması gerektiğini ifade eden bir düzenlemenin bulunmadığı, dolayısıyla veri sorumlusunun “kendisi için daha çok önem arz eden verileri daha çok denetlediği ama iletişim verileri bakımından böyle bir denetimin o kadar da gerekli olmadığı” anlamına gelebilecek savunmalarının da kabul edilebilir nitelikte olmadığı ve günümüzde ilgili kişi sıfatını haiz kişilerin iletişim verileri kullanılarak yürütülen ve oltalama gibi yöntemlere dayanan çeşitli illegal faaliyetler sonucunda bazı mağduriyetlerin yaşanabildiği göz önüne alındığında iletişim verilerinin güvenliklerinin sağlanmasının önemsiz olduğunun söylenemeyeceği, (ix) veri sorumlusunun “üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği ve bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı” yönündeki savunmasının veri sorumlusu tarafından üyelerinin e-posta adresleri hakkında yürütülen kişisel veri işleme faaliyetleri bakımından “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkesi ile somutlaştırılan “veri minimizasyonu” ilkesine de uyulmadığını gösterdiği, zira ana iletişim kanalı olarak kullanılmayan ve aslında hiç işlenmemiş olsa da veri sorumlusunun üyelerine sunduğu hizmetleri aksatmayacağı anlaşılan bir iletişim verisinin veri sorumlusu tarafından işlenmesinin “veri minimizasyonu” ilkesine aykırı olacağı, (x) veri sorumlusunun “e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği ve ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunması bakımından, ilgili kişilere hukuka aykırı kişisel veri işleme faaliyeti teşkil edecek şekilde tek bir e-posta gönderilmesinin yeterli olduğu, e-posta sayısının hukuka aykırılığın mevcudiyeti açısından herhangi bir fark yaratmayacağı ve veri sorumlusunun mevcut sisteminin veri sorumlusuyla herhangi bir ilişkisi bulunmayan ilgili kişileri veri sorumlusundan bildirim e-postaları almamak için aktif eylemlerde bulunmaya zorluyor olması sebebiyle “hukuka ve dürüstlük kurallarına uygun olma” genel ilkesine uygun olmadığının da kabul edilmesi gerektiği ve (xi) ilgili kişinin veri sorumlusuna kimlik doğrulanmasına imkan verecek bir başvuru yapmadığı yönündeki savunması bakımından, taraflarca dosyaya sunulan bilgi ve belgelerden ilgili kişinin veri sorumlusuna e-posta üzerinden yaptığı başvurunun ilgili mevzuat hükümlerine uygun bir başvuru olmadığının anlaşıldığı, bununla birlikte söz konusu e-posta başvurusuna cevaben veri sorumlusu tarafından gönderilecek bir e-posta marifetiyle “başvurunun işleme alınabilmesi için mevzuata uygun şekilde yapılması gerektiği” yönünde ilgili kişinin bilgilendirilmesi ve yönlendirilmesi imkanı varken ilgili kişinin başvurusunun veri sorumlusunca sanki hukuka uygun bir başvuruymuş gibi ele alındığı (konu hakkında ilgili kişinin e-postasında paylaşmış olduğu cep telefonu numarası üzerinden ilgili kişiye bilgi verildiği, ayrıca talep edilen hususlardan biri hakkında ilgili kişinin e-postasına yazılı olarak cevap da iletildiği) dikkate alındığında, konuya ilişkin Kurul tarafından bir inceleme başlatıldıktan sonra ilgili kişi tarafından veri sorumlusuna yapılan başvurunun hukuka aykırı olduğu itirazının ileri sürülmesinin 4721 sayılı Türk Medeni Kanunu'nun 2. maddesinde düzenlenen ve KVKK'nın 4. maddesi çerçevesinde de her türlü veri işleme faaliyetinde esas alınması gerektiği şeklinde ifadesini bulan “dürüstlük kurallarına uygun hareket etme” yükümlülüğüne aykırı olacağı ve dolayısıyla ilgili kişinin şikayetine istinaden veri sorumlusu hakkında başlatılan incelemede usule dayanan herhangi bir hukuka aykırılığın bulunmadığı değerlendirmelerinde bulunulmuştur.

Söz konusu değerlendirmeler ışığında;

veri sorumlusunun kişisel veri işleme faaliyetlerini yürüttüğü elektronik sistemi “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine uygun tasarlamamış / tasarlatmamış olmasından dolayı; hem ilgili kişinin e-posta adresini herhangi bir işleme şartına dayanmaksızın işlediği hem de bir üyesinin isim – soy isim ile üyelik numarasını herhangi bir işleme şartına dayanmaksızın üçüncü şahıs konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından, anılan fiillerin KVKK'nın veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12. maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği dikkate alınarak veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına,

veri sorumlusunun şikayete esas elektronik sisteminin genel ilkelere aykırılık teşkil ettiği değerlendirildiğinden, doğrulanmamış iletişim kanalına kişisel veri içerikli herhangi bir gönderi yapılmaması ve bu kapsamda söz konusu sistemin KVKK'ya uyumlu hale getirilmesini teminen Kurul'un 22/12/2020 tarihli ve 2020/966 sayılı ilke kararı da dikkate alınarak gerekli çalışmaların yapılması ve sonuçtan Kurul'a bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına ve

şikayete konu olayda asıl üyenin kişisel verilerinin şikayetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili kişilere ve Kurul'a bildirim yapılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

Söz konusu kararın tam metnine buradan ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.