Kişisel Verileri Koruma Kurulu ("Kurul") 6 Kasım 2020 tarihinde, açık rıza olmaksızın bir dernek tarafından ilgili kişiye reklam içerikli SMS gönderilmesine ilişkin 10/09/2020 tarihli ve 2020/691 numaralı bir karar yayımlamıştır.

Bu karar bir dernek özelinde verilmiş olmakla birlikte Kurul'un kişisel verilerin korunması mevzuatı kapsamında çok temel değerlendirmelere yer vermesi itibariyle önem ifade ettiği görüşündeyiz. Kurul'un bu kararında özellikle üç temel hususu vurguladığını görüyoruz;

  • Kişisel verinin işlenmesinin hukuki sebebinin o kişisel verinin işlenmesinde en temel çıkış noktası olduğu;
  • Hukuki sebepten yoksun olan veri işleme faaliyetleri neticesinde elde edilen kişisel verilerin derhal imha edilmesinin hem Kanuni bir yükümlülük hem de teknik ve idari tedbir kapsamında olduğu;
  • Veri sorumlularının kendilerine başvuran ilgili kişileri cevapsız bırakılmasının mevzuata aykırılık teşkil ettiği hususları Kararda vurgulanıyor.

Bu anlamda veri sorumlularına önerilerimiz; yukardaki kriterleri göz önünde bulundurarak; hem saklama ve imha politikalarını ve ilgili kişi başvuru süreçlerini gözden geçirmeleri hem de özellikle aydınlatma metinlerini hukuki sebep yönünden tekrar gözden geçirerek, varsa VERBİS girişlerindeki Veri İşleme Amaçları kısmında belirtilen amaçlar ile örtüşen metinler olup olmadığını değerlendirmeleri yönünde olacaktır. Şikayet konusu olayda, ilgili kişi cep telefonuna gelen reklam içerikli mesajlardan rahatsız olmuş ve veri sorumlusu derneğin kendisine ait kişisel verileri nereden elde ettiği konusunda bilgisi olmadığından, 6698 Sayılı Kişisel Verileri Koruma Kanunu ("Kanun") uyarınca dernekten bilgi talebinde bulunmuştur. Veri sorumlusu, 30 günlük yasal süre içinde ilgili kişiye herhangi bir yanıt vermediğinden konuya ilişkin Kurul'a başvuruda bulunmuştur.

Kurul, ilgili kişinin iddialarına ilişkin veri sorumlusundan savunmasını talep etmiştir. Veri sorumlusu tarafından sunulan cevapta;

  1. Veri sorumlusu, SMS'lerin ilgili kişiye kendisi tarafından gönderildiğini ve bu gönderimin herhangi bir açık rızaya dayanmadığını kabul ederek ellerinde ilgili kişiye ilişkin telefon numarası dışında başka herhangi bir kişisel verisinin bulunmadığını ifade etmiştir.
  2. Açıklamada, bu telefon numarasının muhtemelen daha önce SMS bağışı yapılması sebebiyle ellerinde bulunduğu belirtilmiş, ilgili kişinin başvurusunu takiben bu numaranın derhal pasif konuma alındığı ve SMS gönderimlerinin durdurulduğu ifade edilmiştir.

Veri sorumlusu, ilgili kişinin bilgi edinme başvurusunun kendilerine tebliğ edilmiş olmasına rağmen idari bir sıkıntı sebebiyle cevabın tanzim ve tebliğ edilemediğini belirtmiştir.

Konuya ilişkin Kurul tarafından yapılan incelemede varılan sonuç şu şekildedir:

  1. Kanun'un 5. maddesinde, kişisel verilerin işlenme şartları açıkça düzenlenmiştir. Bu hükme göre, Kanun madde 5/2'de belirienen sınırlı sayıdaki haller haricinde kişisel veriler ilgili kişinin açık rızasız olmaksızın işlenemez. Kurul, somut olayda veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının işlenme sebebinin ortaya konmadığını, "ilgili kişinin daha önce SMS bağışı yapması sebebiyle numaranın ellerinde bulunduğu" şeklinde bir gerekçenin hukuki zemine oturmadığını belirterek; söz konusu veri işleme faaliyetinin Kanun'a aykırılık teşkil ettiğini ifade etmiştir.
  1. Bununla birlikte, veri sorumlusunun ilgili kişinin bilgi edinme talebine yanıt vermediği ve yanıt vermeme sebebinin "idari bir sıkıntı" şeklinde açıklanmasına ilişkin olarak Kurul, bu idari sıkıntının ne olduğuna ilişkin aydınlatıcı bir açıklama yapılmadığını belirtmiştir. Hem Kanun hem de "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ"deki düzenlemeler ışığında veri sorumlularının, kendilerine gelen herhangi bir başvuru karşısında yapabilecekleri iki tür hareket mevcuttur: başvuru veri sorumlusu tarafından kabul edilebilir ya da gerekçesi açıklanarak reddedilebilir. Somut olayda, veri sorumlusunun başvuru karşısında hiçbir harekette bulunmaması ve ilgili kişiyi cevapsız bırakması Kanun'a aykırılık teşkil etmektedir.
  1. Ayrıca, Kanun'un 7. maddesinde, "Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir" şeklinde açık bir düzenleme mevcuttur. Hukuki sebepten yoksun olarak işlenen kişisel veriler bu hüküm doğrultusunda derhal imha edilmelidir. Somut olay bakımından ise, telefon numarasının yalnızca pasif hale getirilerek SMS gönderim listesinden çıkarılması, kişisel verinin imha edilmesi anlamına gelmemektedir. Bu durum, hukuka aykırılığın devam ettiğini göstermekte olup, bahse konu telefon numarası derhal imha edilmelidir.

Bütün bu değerlendirmeler ışığında, Kurul, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varmış olup, veri sorumlusu hakkında Kanun madde 18/1/b uyarınca idari para cezası uygulanmasına karar vermiştir.

Ayrıca, veri sorumlusunun, ilgili kişilerin Kanun kapsamındaki başvurularının Kanunda yer verilen yasal süre içerisinde yanıtlanmasına azami dikkat ve özenin gösterilmesi ve İlgili kişinin halihazırda hukuka aykırı olarak elde edilmiş olan kişisel verisi niteliğindeki cep telefonu numarasının imha edilmesi hususlarında talimatlandırılmasına da karar verilmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.