“İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 10/09/2020 tarihli ve 2020/691 Sayılı Karar Özeti

Kişisel Verileri Koruma Kurumundan:

KİŞİSEL VERİLERİ KORUMA KURULU KARARI

“İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 10/09/2020 tarihli ve 2020/691 Sayılı Karar Özeti

Karar Tarihi : 10/09/2020

Karar No : 2020/691

Konu Özeti : İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında

Kurumumuza intikal eden şikayette ilgili kişinin cep telefonu numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, ilgili kişinin bu tür mesajlardan rahatsız olması, derneğin kendisine ait kişisel verileri nereden elde ettiğini bilmemesi ve kişisel verilerinin kendisinin açık rızası olmaksızın kullanılması nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca dernekten bilgi talebinde bulunduğu, söz konusu bilgi alma talebine 30 günlük yasal süre içinde herhangi bir yanıt verilmediği belirtilerek, veri sorumlusu dernek nezdinde gerçekleşen tüm usulsüzlüklerin ortaya çıkarılması ve gerekli yaptırımların uygulanması talep edilmiştir.

Söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

• Şikayetçinin bilgi edinme başvurusunun kendilerine tebliğ edilmiş olmasına rağmen, idari bir sıkıntı sebebiyle cevabın tanzim ve tebliğ edilemediği,

• Şikayetçinin başvurusunu müteakip Şikayetçi adına kayıtlı olan telefon numarasının, derhal “pasif” konuma, diğer bir deyişle “gönderim yapılamaz” hale getirildiği,

• Şikayetçinin dernek nezdinde SMS reklamlarına yahut bildirimlerine onay verdiğine ilişkin bir rızasının tespit edilemediği,

• Dernek uhdesinde şikayetçinin telefon numarasından başka herhangi bir kişisel verisinin mevcut olmadığı,

• Şikayetçinin telefon numarasının evvelce SMS bağışı yapması sebebiyle ellerinde bulunuyor olmasının kuvvetle muhtemel olduğu,

• Söz konusu SMS’in şikayetçiye dernek tarafından gönderildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 10/09/2020 tarihli ve 2020/691 sayılı Kararı ile,

• Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olduğu; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,

• Hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel verilerin öncelikle Kanunun 5 inci maddesindeki şartlardan birine dayanılarak işlenmesi gerektiği, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanunun 4 üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülüklerinden olduğu, somut olayda; veri sorumlusu dernek tarafından şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının işlenme sebebinin tevsik edilemediği gibi bu hususa ilişkin netlik içeren herhangi bir açıklama da yapılmadığı, veri sorumlusu tarafından yapılan “İlgili kişinin evvelce SMS bağışı yapmış olduğunun kuvvetle muhtemel olduğu” şeklindeki açıklamanın ise hukuki zemine oturan bir açıklama olmadığı gibi geçerli bir açıklama olarak da kabul edilemeyeceği, veri sorumlusu tarafından ilgili kişinin SMS gönderimine ilişkin açık rızasının tespit edilemediğinin açıkça belirtildiği, bu çerçevede şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının elde edilmesi ve reklam içerikli SMS gönderimi için kullanılması şeklide gerçekleşen kişisel veri işleme faaliyetinin Kanuna aykırılık teşkil ettiği, bu durumun ise veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğinin göstergesi olduğu,

• Bununla birlikte, şikayete konu olayda, veri sorumlusu konumundaki derneğin ilgili kişinin bilgi edinme talebine yanıt vermediği ve yanıt vermeme sebebinin de “idari bir sıkıntı” şeklinde belirtildiği fakat bahsedilen idari sıkıntının ne olduğuna ilişkin aydınlatıcı bir açıklama yapılmadığı, Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğdeki düzenlemeler ışığında veri sorumlularının herhangi bir başvuru karşısında yapabileceği iki tür hareketin bulunduğu ve bu kapsamda söz konusu başvurunun veri sorumluları tarafından kabul edilmesinin ya da gerekçesinin açıklanarak reddedilmesinin gerektiği, somut olayda derneğin ilgili başvuru karşısında hiçbir harekette bulunmaması dolayısıyla derneğin ilgili kişinin başvurusuna cevap vermemesinin Kanuna aykırılık teşkil ettiği,

• Öte yandan, Kanunun 7 nci maddesinin birinci fıkrasının; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmünü amir olduğu, söz konusu hükmün kanunlara uygun şekilde işlenmiş olan kişisel verilerin daha sonraki süreçte silinmesi, yok edilmesi, anonim hale getirilmesi için açıklama getirdiği, bununla birlikte başlangıçtan itibaren hukuki sebepten yoksun olması dolayısıyla hukuka aykırı kişisel veri işlemenin söz konusu olması halinde bu kişisel verilerin derhal silinmesi gerektiği, zira başlangıçtan itibaren vuku bulmaması gereken ve halihazırda hukuka aykırılık arz eden bu durumun derhal ortadan kaldırılarak hukuka uygunluğun en kısa sürede tesis edilmesi gerektiği,

• Şikayete konu olay bakımından, bahse konu telefon numarasının kara listeye alınmasının hukuka aykırı olarak işlenen kişisel verinin silindiği anlamına gelmediği, hiçbir hukuki sebebe dayanmaksızın işlenen kişisel verinin halihazırda derneğin sistemlerinde kara listeye alınmış bir şekilde bekliyor oluşunun hukuka aykırı durumun devam ettiğini gösterdiği, söz konusu hukuka aykırılığın devam etmemesi adına bahse konu telefon numarasının imha edilmesi gerektiği

değerlendirmelerinden hareketle;

• Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varıldığından, veri sorumlusu sıfatını haiz dernek hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,

• Veri sorumlusu dernek tarafından ilgili kişilerin Kanun kapsamındaki başvurularının Kanunda yer verilen yasal süre içerisinde yanıtlanmasına azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına,

• İlgili kişinin halihazırda hukuka aykırı olarak elde edilmiş olan kişisel verisi niteliğindeki cep telefonu numarasının imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.