İlgili kişi, müşterisi olduğu bankanın, kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)çerçevesinde gerekli işlemlerin yapılması talep etmiştir. Ayrıca, ilgili kişi ek dilekçe vererek, veri sorumlusu bankanın kendisine ait aynı kredi kartının ekstresini, kendisine ait olmayan bir e-posta adresine tekrar göndererek şahsına ait bilgileri tekrar üçüncü kişilerle paylaştığını belirterek, veri sorumlusundan şikayetçi olduğunu ifade etmiştir.
Veri sorumlusu yaptığı savunmasında, ilgili kişinin talebine istinaden tarafına kredi kartı tahsis edildiğini, müşterinin ayrıca “…. Adi Ortaklığı” firma unvanı ile firma ortağı olarak veri sorumlusunun ticari müşterisi olduğu, şikâyet yazısında üçüncü bir kişinin e-postası olarak ifade edilen “y…@gmail.com” e-posta adresinin, aynı zamanda veri sorumlusunun kayıtlarında müşterinin ortağı olduğu firmanın iletişim adresi olduğunu, firmanın talimatı doğrultusunda firmaya ve ortaklarına tahsis edilen ticari kredi kartlarının ekstrelerinin söz konusu e-posta adresine gönderilmekte olduğunu ifade etmiştir.
Ayrıca, mevcut durumda ilgili kişinin kredi kartı ekstrelerinin veri sorumlusu nezdinde kayıtlı “h…@gmail.com” e-posta adresine gönderilmekte olduğu, ilgili kişinin şikâyetinde belirttiği kredi kartı ekstresinin, “y…@gmail.com” e-posta adresine gönderilmesine ilişkin yapılan inceleme sonucunda; ilgili şube personelleri tarafından, başvuru sahibinin ortağı olduğu firma ve kendi adına düzenlenen ticari kredi kartlar için e-ekstre gönderimine yönelik tanımlamalar yapılırken, sehven müşterinin bireysel ürünü olan kredi kartı ekstresi için de e-ekstre talimatının güncellendiğinin belirlendiği, bu nedenle e-ekstre ortağı olduğu firma üzerinde tanımlı olan “y…@gmail.com” e-posta adresine gönderildiği, başvuru sahibinin şube aracılığıyla ulaşan talebi doğrultusunda e-posta adresinin güncelleme işleminin yapıldığı ve kendisinin sonraki dönemlere ait kredi kartı ekstrelerinin “h…@gmail.com” e-posta adresine yönlendirildiği, ilgili kişinin şikâyet başvurularının veri sorumlusu tarafından işleme alındığı ve ilgili birime yönlendirildiği, e-posta adres değişikliğinin ne şekilde yapıldığının belirlenmesinden sonra, ilgili kişinin şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiği, ancak e-posta güncelleme işleminin sehven atlandığının anlaşıldığı, şube tarafından e-ekstre gönderiminin “h…@gmail.com” e-posta adresine yapılması yönünde oluşturulan talep doğrultusunda gerekli güncellemenin yapıldığı ve başvuru sahibinin e-posta adresine ekstrenin gönderileceğine ilişkin bilgilendirmenin yapıldığının belirlendiği ifade edilmiştir.
Kurul tarafından yapılan incelemeler sonucunda verilen kararda;
- Veri sorumlusunun, ilgili kişinin şikâyet talebine yönelik cevabını, başvuru sahibini telefonla aramak suretiyle bildirmesinin Kanun’un “Veri sorumlusuna başvuru” başlıklı 13. maddesinin üçüncü fıkrası kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığı,
- İlgili maddede ifade edildiği üzere veri sorumlusunun cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmek ile yükümlü olduğu, bu kapsamda Kanun’un 15. maddesinin 5. fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca da ilgili kişilerin başvurularının değerlendirilmesi ve yanıtlanmasında Kanun 13. maddesi ve ilgili Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ hükümlerine azami dikkat ve özeni göstermesi hususunda veri sorumlusunun uyarılmasına,
- Veri sorumlusu bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki kişisel verilerini, Kanun’da saylan işleme şartları olmaksızın bireysel mail adresi yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek suretiyle Kanun’un 8. maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş olduğu
Tespit edilmiş olup; veri sorumlusu bankanın Kanun’un 12. maddesinin 1. fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından 60.000,00.-TL idari para cezası uygulanmasına karar vermiştir.
İlgili kişi tarafından Kurum’a intikal ettirilen şikayette; ilgili kişinin sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde belirli tarihler arasında çalıştığı ve çalışma ilişkisini veri sorumlusu ile mutabık kalarak sonlandırmak suretiyle başka bir şirkette işe başladığı, yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri sorumlusu tarafından ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin kendileri ile paylaşıldığı, ayrıca, ilgili kişinin aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddiaların kendilerine iletildiği belirtilerek ilgili kişinin cevabının talep edildiği,
ilgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki adet e-posta vasıtasıyla aktarıldığının öğrenildiği, bunun üzerine konuyla ilgili olarak veri sorumlusu şirkete ihtarname gönderildiği, ilgili kişinin yeni çalışmaya başladığı şirketin bir talebi olmamasına rağmen ilgili kişinin ailesi ve veri sorumlusu ile olan maddi ilişkilerinin, veri sorumlusu tarafından söz konusu şirkete aktarılmasına esas teşkil eden bir sebep bulunmaması veya ilgili kişinin çıkarları ve makul beklentilerinin göz önüne alınmamasının, bu konuda herhangi bir haklı gerekçeye dayanılmamasının, “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği, yine söz konusu şirket ile ilgili kişinin açık rızası olmaksızın kişisel verilerinin paylaşılmasındaki amacın anlaşılamadığı ve tüm şartlar göz önüne alındığında hukuken korunan meşru bir amaç güdülmediğinin de aşikâr olduğu, bu durumun “belirli, açık ve meşru amaçlar için işlenme ilkesi” ile uyumlu olmadığı, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 8. maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin üçüncü kişilere aktarılamayacağının hüküm altına alındığı, bu kapsamda ilgili kişinin kendisi ve ailesine ilişkin kişisel verilerinin üçüncü kişilerle paylaşılmasına yönelik açık veya zımni rızasının bulunmadığı,
İlgili kişinin rızası alınmaksızın yapılan bu veri aktarımının veri sorumlusu tarafından Kanun’un 5. maddesinde sayılan kişisel veri işleme şartlarından “ilgili kişinin kendisi tarafından alenileştirilmiş olma” koşuluna dayandırıldığı, ancak ilgili kişinin rızası olmaksızın paylaşılan kişisel verilerin ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış yani ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale getirilmiş bir bilgi niteliğini haiz olmadığı, söz konusu yeni işe başladığı şirket yetkililerinin ilgili kişinin çocukları ve eşinin yurt dışında yaşayıp yaşamadıklarını ve özel ödeme koşullarına ilişkin veri sorumlusu eski şirketin iddialarını teyit etmeye yönelik sorular sormalarının da söz konusu kişisel verilerin aleni olmadığının ve herkesçe bilinmediğinin göstergesi olduğu, ayrıca alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığının gerektiği ancak ilgili kişinin bu yönde bir iradesinin bulunmadığı,
Öte yandan Kanun’un 12. maddesi kapsamında, veri sorumlusunun Kanun’un kendisine yüklediği sorumluluklara aykırı davranarak, kişisel verilere erişme yetkisi olanlar tarafından yetkilerin kötüye kullanılması ile işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşması suretiyle Kanun’u ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı belirtilerek, konuya ilişkin gerekli yaptırımların uygulanması talep edilmiştir.
Veri sorumlusu savunmasında; ilgili kişinin yeni işvereni ile gerçekleştirdiği toplantıda gündeme gelen; eşinin ve çocuklarının yurtdışında yaşadığı ve kendisinin de bu ülkeye taşınacağı, ilgili kişinin maaş ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı şeklindeki bilgilerin neredeyse hiçbirinin veri sorumlusu tarafından yeni işveren ile paylaşılmadığı, pek çok sektörde olduğu gibi ilgili sektörde de yer alan insanların birbirlerini tanıdığı, sektörde yer alan şirketlere veya çalışanlara ilişkin gelişmelerin insanlar arasında konuşulabildiği, bu minvalde ilgili kişinin kendisi ile ilgili bilgileri sektörde yer alan diğer insanlara aktarmış olabileceği de göz önünde bulundurulduğunda; söz konusu toplantıda ilgili kişiye yöneltilen soruların, bu sorulara dayanak oluşturan verilerin ve bu verilerin kimden ne şekilde elde edildiğinin veri sorumlusunun bilgisi dâhilinde olmadığı, söz konusu verilerin şirketleri tarafından yeni işverene sağlandığı iddiasının tahmine dayalı ve şirketlerini zan altında bırakan bir iddia olduğu, ilgili kişi tarafından bu iddiaların gerçekliğini ortaya koyacak bilgi ve belgelerin tereddütsüz bir şekilde sunulması gerektiğini ifade etmiştir.
Bununla birlikte; ilgili kişinin yeni şirketinde çalışmaya başladığına ilişkin duyurunun yeni işveren şirketin kurumsal hesabından duyurulduğu, söz konusu duyuruda ilgili kişinin daha önce veri sorumlusu bünyesinde direktör seviyesinde çalıştığı bilgisine yer verildiğinin fark edildiği, bu verilerin ilgili kişinin kendi iradesiyle ve iradesine uygun olarak alenileştirilen ve bu vesileyle tüm tarafların bilgisinde olan bilgiler olduğu, ancak bu bilginin gerçeği yansıtmadığı, ilgili kişinin veri sorumlusu nezdinde hiçbir dönemde bu seviyede üst düzey bir pozisyonda çalışmadığı, bu nedenle ilgili kişinin gerçeğe aykırı beyanlarının sebep olduğu bu durumdan yeni işverenin e-posta yoluyla haberdar edildiği, veri sorumlusu tarafından yeni işveren ile paylaşıldığı belirtilen bu bilgiler (ilgili kişinin şirketlerinde daha önce direktör seviyesinde çalışmadığı ve işten ayrılış sebebi) dışında ilgili kişiye ilişkin kişisel verilerin yeni işvereni ile paylaşılmasının söz konusu olmadığı,
İlgili kişinin, veri sorumlusunun adını kullanarak etik olmayan, hukuka ve gerçeğe aykırı bir bilgi ile işvereni nezdinde kendisi lehine haksız bir menfaat sağlaması, veri sorumlusunun haklarını ve menfaatlerini ihlal etmesi nedeniyle; ilgili kişinin yeni işvereni ile yapılan bilgi paylaşımı ile yalnızca gerçeğe aykırı olarak beyan edildiği anlaşılan hususların açıklığa kavuşması, bu durumun düzeltilmesi ve hukuki etkilerinin ortadan kaldırılmasının amaçlandığı, dolayısıyla burada kamusal anlamda korunmaya değer daha üstün bir menfaat bulunduğu,
Söz konusu üçüncü kişilere veri aktarımının hukuki dayanağını Kanun’un 5. maddesinin (2) numaralı fıkrasında belirtilen kişisel veri işleme şartlarından “(e) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “(f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” nın oluşturduğunu beyan etmiştir.
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan incelemeler neticesind verilen kararda;
- İlgili kişi ve veri sorumlusu (eski işveren) arasında üçüncü kişilere veri aktarımından kaynaklanan şikâyetin temelini, ilgili kişinin eski işyerinde çalıştığı son iş pozisyonunu yeni işyerine yönetici pozisyonu olan “Etik Direktörü” olarak belirtmek suretiyle yanlış beyanda bulunması, ayrıca eski işyerine işten ayrılma sebebini yurtdışına taşınması olarak ifade etmesinin oluşturduğu,
- İlgili kişinin “çocuklarının ve eşinin uzun bir süredir yurtdışında yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin paylaşıldığı, ayrıca, ilgili kişinin veri sorumlusundan aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı” iddialarını doğrulayacak herhangi bir bilgi, belge ve benzeri dokümanın ilgili kişi tarafından Kurul’a sunulmadığı, yalnızca veri aktarımının telefon görüşmesi ve iki adet e-posta ile gerçekleştiği bilgisinin verildiği,
- İlgili kişinin eski işyerinde çalıştığı tarihler ve iş pozisyonları ile işten ayrılma sebebine ilişkin olarak, veri sorumlusu ile yeni işvereninin İnsan Kaynakları Departmanları arasında e-posta yazışmaları yoluyla sınırlı bir veri aktarımının yapıldığının anlaşıldığı,
- Veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanun’un 5. maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına dayandığı kanaatine varıldığı,
- Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen veri aktarımının Kanun’un 5. maddesinin (2) numaralı fıkrasının (d) bendinde öngörülen “ilgili kişinin kendisi tarafından alenileştirilmiş olma” kişisel veri işleme şartına uygun olduğunun değerlendirildiği,
- Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli, açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından iddia edildiği üzere “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve meşru amaçlar için işlenme ilkesi” ne aykırılık teşkil etmediğinin değerlendirildiği,
- İlgili kişinin “kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşarak Kanun’u ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı” yönündeki iddiası dikkate alındığında; e-posta yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle veri sorumlusunun Kanun’un 12. maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerini ihlal etmediği
Tespit edilmiştir. Buna istinaden; Kanun’un 8. maddesi kapsamında söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varılarak, veri sorumlusu hakkında herhangi bir yaptırım uygulamaya gerek olmadığına karar vermiştir.
İlgili kişi tarafından Kuruma intikal ettirilen şikayette; kendisine karşı İcra ve İflas Kanunu hükümlerine aykırı ve haksız bir şekilde icra takibine geçildiği, Tebligat Kanunu’na aykırı tebligat hileleri yapılarak ilgili kişi adına ödeme emrinin kesinleştirildiği, bunun üzerine şikayete konu bankaya birinci haciz ihbarnamesi gönderildiği ve bankanın şubelerinden birinde yer alan kiralık kasasına fiili haciz uygulandığı, ayrıca icra takibinde borçlu konumunda olan ilgili kişinin iş yaptığı kişi ve şirketler, çalışma arkadaşları, ortak olduğu şirketler, şirket bilgilerinin resmi olmayan yollarla ele geçirildiği, kimse tarafından bilinmeyen kişisel verisi olan banka hesap ve kiralık kasa bilgisinin paylaşıldığı hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11. maddesi kapsamında ilgili kişinin hesap ve kiralık kasa bilgilerinin işlenip işlenmediği, işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığı, yurt içi ve yurt dışındaki üçüncü kişilere aktarma yapılıp yapılmadığı hususlarının tespiti ile hukuka aykırılıklar nedeniyle veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Veri sorumlusu savunmasında; İlgili kişi hakkında İstanbul …. İcra Dairesince 2019/… sayılı dosya ile icra takibinin başlatıldığı, icra takibi sürecinde borçluların bankalar nezdindeki hak ve alacakları üzerine haciz tatbik etmek üzere İcra ve İflas Kanunu’nun (“İİK”) 89. maddesi uyarınca bankalara haciz ihbarnameleri gönderilmesi yönteminin uygulandığı, bu kapsamda yirmi iki banka ile birlikte kendi bankalarına da birinci haciz ihbarnamesi gönderildiği, bankalarının üçüncü kişi konumunda bulunduğu, icra takibinin haksız olduğu savının muhatabının kendileri olmadığı, bankanın icra takiplerinin haklılık ve hukukilik denetimini yapmak gibi bir sorumluluğunun bulunmadığı, bankanın borçlunun alacaklı tarafından bilinen bir hesabı olmaması halinde, sistemde kayıtlı bankalara icra dosyasından ihbarname gönderilebildiği, ilgili kişinin hesap bilgilerinin, takip alacaklısına banka tarafından iletilmesinin söz konusu olmadığı, birinci haciz ihbarnamesine cevap verildiği, birinci haciz ihbarnamesine cevap verilmesinin her gün binlercesi yapılan işlemlerden olduğu, ilgili kişinin hesaplarının yer aldığı banka şubesi çalışanlarının anılan işlem süreçlerine katılmadığı, kiralık kasa haczi ve çilingir marifetiyle açılma işlemleri için alacaklı tarafından altı banka nezdinde talepte bulunulduğu ve İcra Müdürlüğü tarafından iki bankada haciz kararı verildiği, İİK’nın 367. maddesi uyarınca bankanın yasal yükümlülüklerini yerine getirdiğini ifade etmiştir.
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen kararda;
- Kişisel verilerin işlenme şartlarının belirlendiği Kanun’un 5. maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkân tanındığı,
- İlgili kişinin başvurusunda belirttiği söz konusu İcra Hukuk Mahkemesi’nin haciz işleminden sonraki tarihte, tebligatın usulsüz olduğu ve itiraz ile takibin kaldırılması kararı dolayısıyla icra takibinin ve haczin yasal dayanağı olmadığı iddiasının, şikâyet edilen veri sorumlusunun yasal yükümlülüğünden kaynaklanan kiralık kasa bilgisinin paylaşılmasına ilişkin olmadığı, Kurul’un görev alanı ve kişisel verilerin korunması mevzuatı kapsamında bulunmadığı,
- İİK’nın “Borçlunun mevcudu hakkında malümat vermek mecburiyeti” başlıklı 367. maddesinin “İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malümatı hakiki ve hükmi her şahıs derhal vermeğe ve talep halinde mevcudu bu dairelere teslime mecburdur.” hükmü nedeniyle veri sorumlusunun borçlunun kişisel verilerini İcra Dairesine vermekle yükümlü olduğu, diğer bir ifade ile bankanın, bankacılık işlemleri anlamında ilgili kişinin kişisel verilerini işlediği, bu kapsamda veri sorumlusu sıfatını haiz olduğu ve kişisel veri olan hesap ve kiralık kasa bilgilerini İcra ve İflas Kanunu’nun ilgili hükmü dolayısıyla İcra Dairesine aktardığı dolayısıyla Kanun kapsamında hukuka aykırılığın olmadığı,
- Yine, İİK’nın “Taşınır ve taşınmaz malların haczi” başlıklı 85. maddesinde “Borçlunun kendi yedinde veya üçüncü şahısta olan taşınır mallarıyla taşınmazlarından ve alacak ve haklarından alacaklının ana, faiz ve masraflar da dahil olmak üzere bütün alacaklarına yetecek miktarı haczolunur.” hükmünün yer aldığı,
- Aynı İİK’nın 89. maddesi uyarınca da malı elinde bulunduran üçüncü şahsın bundan böyle taşınır malı ancak icra dairesine teslim edebileceği, bu çerçevede ve ilgili İİK’nın 367. maddesi hükmü nedeniyle, somut olayda veri sorumlusunun kiralık kasa bilgilerini icra dairesine aktarmasının ve haciz işlemi yapılmasının Kanun’da açıkça öngörülen bir yükümlülük olduğunun anlaşıldığı,
- Veri sorumlusunun cevap yazısından, ilgili kişi tarafından öne sürüldüğü şekliyle kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiği iddiasına karşılık; alacaklı vekili, icra memuru ve veri sorumlusunun Şube yöneticisi, Operasyon yetkilisi ve diğer personelin ilk kez haciz işlemi sırasında karşılaştığının, alacaklı vekili ve memur tarafından ilgili kişinin Şube nezdinde kiralık kasası olup olmadığının sorulması üzerine sistem üzerinden tespit yapıldığının ve polis nezaretinde kiralık kasanın çilingir marifetiyle açıldığının anlaşıldığı, bu noktada İcra ve İflas Kanunu’na ve yasal usule uygun hareket edildiği
Tepit edilmiş ve kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı, gerekçesiyle işlem yapılmasına yer olmadığına karar vermiştir.
Şikayetçiler tarafından Kurum’a intikal eden şikayet dilekçesinde özetle; çalışmakta oldukları mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından hazırlanan Vergi Tekniği Raporunda (“Rapor”), ilgili raporun şikayetçiler hakkında olmamasına rağmen şahıslarına ait kişisel verileri içeren banka hesaplarının vergi incelemesi kapsamında incelendiği ve mevduat bilgileri ile para yatırma ve çekme işlemlerinin, açık rızaları olmaksızın hukuka aykırı biçimde işlendiği belirtilmiştir. İlgili şikayete istinaden Kurul tarafından veri sorumlusu Bakanlıktan şikayetçilerin söz konusu vergi incelemesi bakımından ilgili kişi olup olmadıklarının bildirilmesi ve ilgili kişilerin inceleme konusu kapsamında olmaması halinde şikayetçilerin kişisel verilerinin hangi hukuki nedene dayanılarak işlendiğinin açıklanması istenmiştir. Bakanlık tarafından iletilen başvuru yanıtında özetle; vergi incelemesinin 2012 ve 2016 yılları arasındaki ihracat teslimleri nedeniyle yapılan KDV iadeleri hakkında olduğu, hazinenin zarara uğramaması bakımından incelemenin geniş kapsamlı yürütüldüğü ve hesap mükellef şirketin banka hesap hareketlerinde yapılan araştırmalar sonucunda banka hesaplarında mükellefin ortağı olan şahıs ve bu şahıs tarafından temsile yetkili olarak atanan şikayetçi ilgili kişilerce gerçekleştirildiği tespit edilen hayatın olağan akışı ve ticari hayatın gereklilikleri ile bağdaşmayan yüklü miktarlarda elden para yatırma işlemlerinin gerçekleştirildiği, ilgili kişilerce yatırılan paraların çek keşide edilmek sureti ile borç ödemesinde kullanıldığı, çekin borçluya verildiği gün birçok farklı firma tarafından ek elden çıkmış gibi ciro edildiği ve aynı gün para yatırılan banka şubesinden herhangi bir mükellefiyeti olmayan alakasız kişiler tarafından tahsil edildiğinin tespit edildiğinin tespit edildiği, ciro silsilesinde yer alan firmalar hakkında olumsuz tespitlerin bulunması nedeniyle “Vergi İncelemeleri ile İlgili Bilgi Taleplerinde Uyulacak Usul ve Esaslara İlişkin Yönerge” nin 6. madde hükmü gereğince ilgili şikayetçilerin sadece mükellef kurumun çek ödemesinde kullanılan banka hesaplarının hareketlerine dair inceleme yapıldığı, Vergi Müfettişleri tarafından yürütülen vergi incelemesinde bilgi talep etme hakkını haiz oldukları ve ilgili kişilerin söz konusu hesaplarının vergi incelemesi kapsamındaki mükellef firmanın işlemlerinde önemli bir yer teşkil ettiği bu nedenle yapılan incelemelerin alakasız 3. kişilerin hesapları üzerinde yapılmadığı ile incelemenin hukuka uygun olduğu belirtilmiştir. Kurul tarafından yapılan incelemelerde;
- 213 Sayılı Vergi Usul Kanunu’nun 3. maddesinin b fıkrası uyarınca; vergiyi doğuran olayın yemin dışında her türlü delil ile ispat edilebileceği ve olayın özelliğine göre mutat olmayan bir durumun söz konusu olması halinde ispat yükünün iddia edende olacağı,
- Anılan Kanun’da vergi incelemesine yetkili kişilerin, vergi müfettişleri, vergi müfettiş yardımcıları, ilin en büyük mal memuru veya vergi dairesi müdürleri olduklarının hükmolunduğu,
- “Vergi İncelemelerinde Uyulacak Usul ve Esaslar Hakkında Yönetmelik” de “Yürütülmekte olan incelemeler sırasında, görevlendirme yazısında belirtilenden farklı bir konu veya döneme ilişkin eleştiriyi gerektiren hususların tespiti durumunda söz konusu durum inceleme görevini verenlere bildirilir. Görevlendirme yazısında yer alan inceleme konusuna giren tespitlerin, bu yazıda yer almayan farklı vergi türlerine ilişkin olarak da rapor yazılmasını gerektirmesi durumunda, bu husus yeni bir görevlendirme gerektirmez.” Şeklinde düzenlemeye ye verildiği,
- Bu nedenle vergi incelemesi sırasında görevlendirmede yer alandan farklı konu veya döneme dair eleştiriyi gerektiren bir husus tespit edilirse yeni bir görevlendirmeye gerek duyulmaksızın o konu hakkında inceleme yapılabileceğinin düzenlendiği,
- Şikayetçilerin banka hesapları üzerinde yapılan incelemelerin bir kişisel veri işleme faaliyeti olduğu, bu faaliyet kapsamında Bakanlığın veri sorumlusu, vergi müfettişinin Bakanlık çalışanı olduğu,
- Veri sorumlusu Bakanlığın Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “İstisnalar” başlıklı 28. maddesinin 2. fıkrasının c bendi uyarınca veri sorumlusu Bakanlığın kısmi istisna kapsamında yer aldığı ve kişisel veri işleme faaliyetleri bakımından Kanun’un veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. Maddesi ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. maddesi ve zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. maddelerinin uygulama alanı bulmayacağı ancak Kanun’un diğer hükümleri ile bağlı olacağı,
- Bakanlık tarafından gerçekleştirilen vergi incelemesi kapsamında ilgili kişilerin sadece mükellef firma tarafından çek ödemesinde kullanılan banka hesaplarına dair yürütüldüğü ve genel ilkelerden olan ölçülülük ilkesine uygun hareket edildiği,
- Şikayetçilerin mükellef firmanın %100 ortağı şahıs tarafından yetkilendirildikleri ve şirketi temsile yetkili oldukları anlaşıldığından mükellefle ilgili kişi olarak değerlendirileceği ve bu bağlamda 213 Sayılı Vergi Usul Kanunu’nun “Vergi Mahremiyet” başlıklı 5. maddesinde düzenlenen vergi müfettişlerinin sır saklama yükümlülüğü kapsamında oldukları
Tespit edilmiştir. Anılan tespitlerden hareketle Kurul tarafından verilen 13.02.2020 tarihli ve 2020/120 Sayılı Kararda;
- Şikayetçilerin mükellefle ilgili kişi kapsamında oldukları ve bu nedenle veri sorumlusu Bakanlık tarafından gerçekleştirilen veri işleme faaliyetlerinin Kişisel Verilerin İşlenmesi Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5. maddesinin 2. fıkrasının ç bendi uyarınca hukuki yükümlülüğün yerine getirilmesi hukuki sebebi kapsamında değerlendirileceği,
- Şikayetçilerin sadece mükellef firma tarafından çek ödemelerinde kullanılan banka hesap hareketlerinin incelenmesinin Kanun’da öngörülen genel ilkelerden olan ölçülülük ilkesine uygun olduğu dolayısıyla hukuka aykırı bir işleme faaliyetinde bulunulmadığı,
- Bakanlık tarafından gerçekleştirilen veri işleme faaliyetlerinin Kanun’un “İstisnalar” başlıklı 28. maddesinin 2. fıkrasının c bendi kapsamında olduğuna
Karar verilmiştir.
Şikayetçi tarafından Kurum’a intikal eden şikayette; ilgili kişinin veri sorumlusu kargo şirketi nezdinde çalıştığı ancak iş akdine son verildiği, buna istinaden şikayetçi tarafından açılan işe iade davasında kargo firması tarafından Mahkemeye ilgili kişiye ait kamera görüntülerinin sunulduğu ve veri sorumlusunun kamera kayıtlarında yer alan kişisel verileri işlemek adına aydınlatma yükümlülüğünü yerine getirmediği ve açık rızasına başvurulmadığı belirtilmiştir. Şikayetçi, bu kapsamda veri sorumlusuna başvuruda bulunduğu ve kendisine gönderilen cevap yazısında işlemenin işe giriş esnasında imzalatılan bilgilendirme metnine dayanılarak gerçekleştirildiğinin bildirildiği ancak; şikayetçinin bu işleme faaliyeti bakımından açık rızasının bulunmadığı ve veri sorumlusu şirket nezdindeki kişisel verilerinin silinmesini talep etmiştir. Veri sorumlusu kargo firması tarafından Kurum’a iletilen cevap yazısında; ilgili kişinin işe girişinde imzalamış olduğu bilgilendirme metninde şirket içerisinde aktarma merkezinin kamera ile kayıt altına alındığının belirtildiği ve işlemenin bu metne dayanılarak hukuka uygun biçimde gerçekleştirildiği ve söz konusu kamera kayıtlarının şikayetçinin iş arkadaşına hakaret içerikli sözler sarf ettiği ve hatta fiziksel şiddet uyguladığı gerekçesiyle iş akdinin feshedildiği ve bunun Mahkeme önünde ispat edilebilmesi adına görüntülerin Mahkeme’ye sunulduğu belirtilmiştir.
Kurul tarafından yapılan verilen 25.06.2020 tarihli ve 2020/494 Sayılı kararda;
- Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında şikayetçinin kamera görüntülerinin kişisel nitelikli veri olarak nitelendirileceği,
- Kargo firması tarafından ilgili kişinin firmaya yapılan başvuruya cevap olarak gönderilen bilgilendirme metni incelendiğinde metinde işyerinin kamera ile kayıt altına alındığına dair açıkça bir bilgilendirme yapıldığı ve bu işleme faaliyetinin Kanun’un 5. maddesinin 2. fıkrasının (e) bendinde düzenlenen “bir hakkın tesisi, kurulması veya korunması için veri işlemesinin zorunlu olması” hukuki sebebine dayandırıldığının anlaşıldığı,
- Firma tarafından şikayetçi verilerinin Mahkemeye iddiaların ispatlanabilmesi adına delil olarak sunulduğu ve bu suretle Mahkeme ile paylaşıldığı,
- 6100 Sayılı Hukuk Muhakemeleri Kanun’u uyarınca, cevap dilekçesinde bulunması gereken unsurlardan olan savunmanın dayanağı olarak ileri sürülen vakıaların hangi delillerle ispat edileceği unsuru kapsamında veri sorumlusunun iddiasını ispat etmek adına kamera görüntülerini Mahkemeye sunduğu ve bu bağlamda Kanun’un 8. maddesi ve 5. maddesinin 2. fıkrasının (e) bendi kapsamında hukuka uygun bir veri işleme faaliyetinde bulunulduğu,
- Veri sorumlusu tarafından şikayetçiye sunulan bilgilendirme metninde kameralar ile kayıt alındığına dair bilgilendirme bulunmasına rağmen şikayetçinin açık rızasının alındığına dair ispat edici bir belge sunulmadığı ancak; veri sorumlusunun bir kargo şirketi olduğu göz önünde bulundurulduğunda Bilgi Teknolojileri ve İletişim Kurulu’nun 2016/DK – YED/517 Sayılı kararı ile onaylanan “Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar” düzenlemesinin “Posta gönderilerinin görüntüleme cihazları ile kontrolü” başlıklı 6. maddesinin 2. fıkrasında yer alan, “Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır.” hükmü gereğince veri sorumlusu kargo şirketinin, Kanun’un 5. maddesinin 2. fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” hukuki sebebine uygun olarak işleme yaptığı
Tespit edilmiş ve Kanun kapsamında yapılması gereken bir işlem bulunmadığına karar verilmiştir.
Şikayetçi tarafından Kurul’a intikal eden şikayette özetle; ilgili kişi tarafından veri sorumlusu havayolu şirketine yapılan başvuru ile kendisine ait çağrı merkezi kayıtlarının yazıya dökülerek e-posta aracılığı ile kendisine iletilmesinin talep ettiğini ancak; bu talebinin veri sorumlusu tarafından şirket politikalarına aykırı olduğu gerekçesi ile reddedildiğini belirtilerek ilgili kayıtlarının kendisine teslimi talebi ile Kurum’a başvurmuştur. Veri sorumlusu tarafından gönderilen cevap yazısında özetle; çağrı merkezi kayıtlarının ancak talep halinde idari ve adli merciiler ile paylaşıldığı, kayıtların çağrı merkezi çalışanı ve uçuş kayıt işlemlerini yapan yetkili görevliye ait verileri de içerdiği bu nedenle kayıtların olduğu gibi ilgili kişi ile paylaşılmasının KVKK (“Kanun”) kapsamında farklı veri ihlallerine yol açabileceği ve bu nedenle Kurum tarafından yayınlanan 2020/13 Sayılı Karar doğrultusunda ilgili kişi ile başvurusundan sonra üçüncü kişiler ait verilerin maskelenmek sureti ile kendisi ile paylaşıldığı dolayısıyla talebin yerine getirildiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucu verilen kararda özetle;
- Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesinde hükmolunduğu üzere; herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu,
- Bu hakkın ilgili kişilerin kendilerine ait kişisel verilerin işlenmesine dair bilgi isteme, bu verilerini inceleme ve gerektiğinde bu bilgilerdeki yanlışlıkların düzeltilmesini istemeyi de kapsadığı,
- Kanunda yer alan kişisel verilere erişim hakkının, ilgili kişiye ait kişisel verileri içeren sistemlerin ilgili kişiye açılması ve verinin doğrudan kişiye teslim edilmesi şeklinde yorumlanamayacağı ve bu bağlamda, veri güvenliğine dair yükümlülüklerin gerektirdiği fiziki ve teknik imkanlar doğrultusunda verinin muhtevasına makul biçimde erişilmesinin sağlanmasının yeterli olacağı,
- Ve bu bağlamda ilgili kişinin Kanun kapsamında verilerinin talep hakkını haiz olduğu ve havayolu şirketi tarafından verilerini içeren kayıtların e-posta aracılığı ile üçüncü kişilere ait olan kısımları maskelenerek paylaşılmasının Kanun’un 12. Maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere uygun olduğu
Tespit edilmiş ve Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.
İlgili kişi, yasal mirasçılık belgesi ile bir Kamu Kuruluşuna başvuruda bulunarak ölmüş babasına dair sağlık verilerinin tarafı ile paylaşılmasını talep etmiş ancak; bu talebinin KVKK (“Kanun”) 8. Maddesi ve Sosyal Güvenlik Kurumu Kanunu’nun 35. Maddesi ve Türk Medeni Kanunu gereğince intifa hakkı, sükna hakkı ve nafaka alacaklarının devredilemeyeceği gerekçe gösterilerek reddedildiğini belirtmiş ve talebi ile veri sorumlusu tarafından başvurusuna verilen yanıtın hiçbir alakasının bulunmadığı ve ölen kişinin tüm hak ve borçlarının mirası reddetmemiş yasal mirasçılara intikal edeceğini bu sebeplerle veri sorumlusu tarafından başvurusunun reddedilmiş olmasının Kanun ve sair mevzuat hükümlerine aykırı olduğundan Kurum’a işbu şikayette bulunmuştur. Veri sorumlusu tarafından ilgili kişiye gönderilen cevap yazısında özetle; Sosyal Güvenlik Kurumu Kanunu’nun 35. Maddesinde; “Bu Kanun ve diğer mevzuatla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati veya e-devlet uygulaması üzerinden kimlik teyidi ile verilen izni olmadan gerçek veya tüzel kişilerle paylaşamaz” şeklinde hükmolunduğu üzere başvurucunun babasına ait sağlık verilerinin başvurucu ile paylaşılamayacağı ve Kurum’un hukuk müşavirliği tarafından verilen mütalaada; “ölen kişinin mirasçılarına kişisel verilerinin verilmesinin hukuken mümkün olmadığı ancak dava konusu yapılması durumunda mahkeme kanalıyla istenmesi halinde verilmesinin uygun olacağı” şeklinde görüş belirtildiği ve bu nedenle başvurucunun babasına ait kişisel verilerin kendisine verilmesinin ancak bunun bir mahkeme tarafından talep edilmesi halinde mümkün olabileceği belirtilerek başvurusunun reddedildiği anlaşılmaktadır. İşbu şikayet dolayısıyla Kurul tarafında başlatılan incelemeler neticesinde verilen kararda;
- Kanun’da kişisel verinin, “kimliği belirli ya da belirlenebilir gerçek kişiye dair her türlü bilgi” olarak tanımlandığı ve Türk Medeni Kanun’u uyarınca kişiliğinde ölüm ile sona erdiğinin düzenlendiği,
- 21/06/2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Sağlık Verileri Hakkında Yönetmeliğin” “Ölünün sağlık verilerine erişim” başlıklı 11. maddesinin 1. fıkrasında; “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.”hükmünü amir olduğu,
- Kanun’da yer alan ilgili kişi tanımı dolayısıyla ölen kişinin kızının “ilgili kişi” olarak değerlendirilemeyeceği ancak, anılan yönetmelik uyarınca vefat eden babasına ait sağlık verilerini veri sorumlusu kurumdan talep edebileceği ancak şikayetçinin ilgili kişi olarak değerlendirilemeyecek olması nedeni ile başvurusunun Kanun kapsamında kabul edilemeyeceği
belirtilmiştir.
İlgili kişi tarafından Kurum’a intikal ettirilen şikayette; ilgili kişinin cep telefonuna veri sorumlusu havayolu şirketi tarafından uçuş bilgilerinin yer aldığı bir SMS gönderildiği; ancak ilgili kişi tarafından havayolu şirketinden herhangi bir rezervasyon yapılmadığı buna istinaden veri sorumlusu ile iletişime geçerek telefon numarası ve adını kullanarak kim tarafından rezervasyon yaptırıldığı sorulmuş olmasına karşın herhangi bir yanıt alamadığını bu nedenle de işbu şikayette bulunduğunu belirtmiştir. Buna istinaden veri sorumlusu havayolu şirketi tarafından gönderilen cevap yazısında ise; şikayetçi adına şikayet tarihinden sonra açılmış bir üyelik hesabının bulunduğu ve şikayetin gönderildiği tarihte herhangi bir üyeliğin bulunmadığı, ilgili kişiye gönderilen PNR kodunun ait olduğu üyeliğin ilgili kişiye ait olmadığı ve ilgili SMSte ilgili kişiye dair olan tek kişisel verinin cep telefonu numarası olduğu ve bu telefon numarasının da hesap sahibi kişi tarafından şirketçe zorunlu alan olarak sunulmamış “ücretli SMS gönderimi” alanı altına girildiğinin anlaşıldığı, şirketin sisteminde PNR numarası ile şikayetçinin telefon numarasının eşleşmediğinin görüldüğü; ilgili kişinin telefon numarasının girildiği bölümün zorunlu bir alan olmaması dolayısıyla bu alanda bir güvenlik kontrolü yapılmadığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde verilen kararda özetle;
- Veri sorumlusu şirket kanalından bilet satın alan üçüncü kişi tarafından ilgili kişinin telefon numarasının “ücretli SMS gönderimi” alanına sehven girildiğinin anlaşıldığı,
- Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği,
- Söz konusu alana veri girişlerinin manuel olarak yapıldığı ve buna cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme yahut veri tabanı bulunmadığı dikkate alındığında Kanun’un 12. maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma” yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığı
belirtilmiş ve veri sorumlusunun; ilgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Şikayetçi hastane; müşterilerine SMS gönderilmesi için sabit telefon hizmeti sağlayan bir firma (“1. STH”) ile sözleşme yapıldığı ve sözleşme kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastaneleri tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği ve taraflarına iletilen birçok hasta şikayetinde başka bir STH (“2. STH”) tarafından daha önceden hastanelerinde çalışan ancak şuan başka bir hastaneye geçiş yapmış olan bir doktora hasta yönlendirmek adına bu doktorun isim soy ismi ile geçiş yaptığı hastane bilgilerinin yer aldığı SMSlerin gönderildiğinin ve hastanelerinde tedavi gören hastalara ait çok sayıda telefon numarasının 1. STH tarafından 2. STH ile işbirliği yapmak suretiyle hukuka aykırı olarak işlendiğinin tespit edildiği iddia edilerek KVKK (“Kanun”) kapsamında gerekli işlemlerin yapılması talebi ile Kurum’a başvuruda bulunulmuştur. 1. STH cevap yazısında özetle iddiaların asılsız olduğu iddia etmiş ancak dayanak herhangi bir bilgi ve belge sunmamıştır. 2. STH tarafından gönderilen cevap yazısında ise; firmalarının başvuruya konu olayda yalnızca SMS trafiğini taşıma konusunda servis sağlayıcı hizmeti sunmakta oldukları, kendilerinin geçmişte olan bu işlemle ilgili yapmış oldukları incelemeler sonrasında şikâyete konu kişisel veri işleme faaliyetinin geçmişte alt bayileri olan ancak şu an bayileri olmayan 1. STH tarafından gerçekleştirildiği, gönderilen SMS’lerin numaralarının kime ait olduğu, nereden temin edildiği sorumluluğunun hem aboneye ait hem de alt bayilerinin sorumluluğunda olduğundan dolayı bu konuda sorumlu tutulamayacakları ve bu hususun Bayi Sözleşmesinde “Bayi Yükümlülükleri” bölümünde de belirlendiği ifade edilmiştir. Kurul tarafından yapılan incelemeler neticesinde verilen kararda;
- STH firmaları tarafından gerçekleştirilen SMS gönderimi işleminin 5/11/2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun”kapsamında ticari elektronik ileti gönderilmesi faaliyeti olduğu,
- Yine anılan kanunda yapılan ara hizmet sağlayıcısı tanımı; “Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişi,” şeklinde olduğu ve 2. STH firmasının ara hizmet sağlayıcısı sıfatını haiz olduğu ve ilgili kanun kapsamında aracı hizmet sağlayıcılarının hizmet sundukları elektronik ortamı kullanan gerçek veya tüzel kişiler tarafından sağlanan içerikleri araştırmak ve kontrol etmekle yükümlü kılınmadıkları ve dolayısıyla söz konusu olay bakımınsan 2. STH tarafından Kanun’a aykırı bir işleme faaliyetinde bulunulmadığı,
- Öte yandan aralarındaki anlaşma dolayısıyla şikayetçi hastane ve 1. STH arasında, hastanenin hastalarına SMS metinlerinin gönderilmesi faaliyeti kapsamında bir veri sorumlusu-veri işleyen ilişkisinin mevcut olduğu,
- Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. Maddesinde yer alan veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak açıklayamayacakları ve işleme amacı dışında kullanamayacaklarına dair hükme 1. STH tarafından hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle aykırı hareket edildiği,
- Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,
- 1. STH’nin Kanun’un 5. maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği,
belirtilmiş ve bu tespitlerden hareketle;
- Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde işlendiği ve 1. STH’nin Kanun’un 12. maddesinin 1. fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varıldığından Kanun’un 18. maddesinin 1. fıkrasının (b) bendi uyarınca 1. STH hakkında 125.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden şikâyette; ilgili kişi tarafından, bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşıldığı belirtilerek Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir. Buna istinaden veri sorumlusu bankanın sözleşmesi avukatından savunması istenmiş ve avukat tarafından iletilen savunma yazısında özetle; bankanın gecikmiş alacaklarının tahsili adına banka tarafından kendisine iletilen irtibat bilgileri ile iletişime geçtiği, kendisine iletilen bilgilerin borçluya ait olup olmadığına dair bir tespit yapmasının ilk aşamada mümkün olmadığı, irtibata geçilen kişinin borçlu olmadığı anlaşılması durumunda durumun bankaya bildirildiği ve bilgilerin bankanın sisteminden çıkartıldığı, banka ile arasında vekalet ilişkisi bulunduğu, bankanın borçluları ile iletişime geçilerek borçlarını ödemeleri yönünde ihtarda bulunduğunu ve süresi içinde borcunu ödemeyen borçlulara ait dosyanın bankanın çalıştığı diğer hukuk bürolarına gönderildiği, banka tarafından dosyaları hukuk bürosuna tevdi edilen müşterilere gerçekleştirilen ilk aramalarda hiçbir şekilde borçlu adı, borç miktarı yahut banka bilgisine yer verilmediği, otomatik aramalarda dinletilen metinlerin somut şikâyette olduğu gibi dosya ile ilgili olmayan bir kişiye ulaşılması ihtimalinde Kanun’u ihlal edici bir fiilin meydana gelmemesi amacıyla tasarlandığı, şikâyete konu iletişim numarasının banka tarafından ilgili kişinin iletişim bilgisi olarak sisteme kaydedildiği, ilgili kişinin dosyasının hukuk bürosuna tevdi edilmesi ile birlikte tarafınca dosya içerisinde yer alan tüm iletişim numaralarından borçluya ulaşılmaya çalışıldığı, gerçekleştirilen ilk otomatik arama akabinde numaranın ilgili kişiye ait olmadığının anlaşıldığı ve bankaya konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı, şahsı ve hukuk bürosunun mevcut olayda Kanun’u ihlal edici nitelikte hiçbir icrai yahut ihmali fiilinin bulunmadığı ve vekil sıfatı ile yürüttüğü işler kapsamında ilgili kişinin kız kardeşine ait olduğunu iddia ettiği numaranın sisteme kaydedilmiş olmasında hiçbir sorumluluğunun bulunmadığı belirtilmiştir. Bunun akabinde Kurum tarafından bankanın savunması istenmiş olup iletilen savunma yazısında özetle; bankanın alacaklarının tahsilatı için gerekli bilgilerin banka alacaklarının tahsilatına ilişkin avukatlık hizmetlerinin gerçekleştirilmesine ilişkin olarak sözleşmeli hukuk bürosuna aktarıldığı, ilgili kişinin kız kardeşine ait numaranın Yasal Takip Sistemine (“YTS”) diğer irtibat numarası olarak kaydedilmiş olduğunun tespit edildiği, yasal takip sürecindeki müşterilere ait bilgilerde YTS üzerinden avukatlar tarafından değişiklik ve ekleme yapılabildiği, banka tarafından çalıştıkları tüm hukuk bürolarına borçlulara ait kişisel verilerin 3. şahıslar ile paylaşılmaması, borçlu ve kefiller başta olmak üzere tüm taraflar ile iletişim kurulan tüm kanallarda kişisel verilerin gizliliğinin korunması yönünde gerekli tedbirlerin alınması hususlarında hassasiyet gösterilmesi konularında gerekli bilgilendirmelerin yapıldığı ve ilgili kişinin kız kardeşinin numaranın avukatlık bürosu tarafından YTS üzerinden 22.11.2019 tarihinde kaldırıldığı belirtilmiştir.
Kurul tarafından yapılan inceleme ve değerlendirmeler sonucunda verilen kararda;
- Şikayete konu iletişim numarasının bizzat banka tarafından işlerin takibinde kullanılan YTS sistemine kaydedilmiş olduğu, müşterilerin bankayı sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda ve müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında alternatif numaraların arandığının anlaşıldığı; bu çerçevede, bankanın kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu ve veri sorumlusu sıfatını haiz olduğu,
- Müşteri ödemelerinin gecikmesi ve müşterilere sistemde kayıtlı numaralarından ulaşılamadığında, alternatif numaralar aranarak hiçbir kişisel bilgi paylaşılmaksızın müşterilerinin bankayı araması hususunda not bırakıldığı anlaşıldığı ve söz konusu durumun Kanun’un 3.maddesinde unsurları belirtilen açık rızanın kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşıdığı dikkate alındığında ilgili kişinin kız kardeşine ait olan telefon numarasının bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, diğer taraftan Kanun’un 5. maddesinde yer alan diğer işleme şartlarından birine dayanılarak da yapılmadığı, bu kapsamda, ilgili kişinin kız kardeşine ait telefon numarasının banka tarafından hukuka aykırı olarak işlendiğinin değerlendirildiği,
- Banka tarafından borçlu kişilerde alacakların tahsil edilebilmesi adına borçlulara ait kişisel verilerin hukuk büroları ile paylaşılmasının Kanun’da yer alan hukuka uygunluk sebeplerinden “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veya “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kapsamında değerlendirildiği ve söz konusu işleme faaliyetlerinin hukuka uygun olduğu ancak; bu kapsamda işleme faaliyetinin yalnızca borçlulara ait veriler hakkında gerçekleştirilebileceği ve bu bağlamda ilgili kişinin kız kardeşine ait telefon numarasının paylaşılmasının hukuka aykırı olduğu,
- Avukatın, Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla bankanın verdiği talimatlar çerçevesinde onun adına kişisel verileri işlediği ve somut olayda veri işleyen sıfatını haiz olduğu ve
- Avukatın söz konusu Yasal Takip Sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği ve söz konusu durum anlaşıldığında da durumun bankaya bildirilip sistemden çıkartıldığı
değerlendirmelerinden hareketle Kurul tarafından;
- Banka tarafından ilgili kişinin kız kardeşinin cep telefonu numarasının YTS sistemine kaydedilmesi işleminin ilgili kişinin açık rızasının alınması şartına dayanılarak yapılmadığı anlaşıldığından söz konusu kişisel verinin elde edilmesinin Kanun’un 5. maddesine aykırı olduğu ve ilgili kişinin kız kardeşinin telefon numarasını avukat ile paylaşmasının da hukuka aykırı olduğu değerlendirilmekte olup, bu durumun Kanun’un 12. Maddesine aykırılık teşkil ettiği kanaatine varıldığından banka hakkında Kanun’un 18. maddesi uyarınca 175.000 TL idari para cezası uygulanmasına,
- Avukatın söz konusu YTS sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı dikkate alındığında avukat hakkında yapılacak bir işlem olmadığına
karar verilmiştir.