Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Kişisel Verileri Koruma kurumu tarafından 24.04.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Bu kararlardan birini inceleyecek olursak;

“İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/10/2022 tarihli ve 2022/1072 sayılı Karar Özeti

Karar Tarihi : 07/10/2022
Karar No : 2022/1072
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edildiğine ilişkin veri sorumluna başvurarak e-posta adresinin ecza depoları vasıtasıyla paylaşıldığı bilgisini edindiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • E-posta gönderen şahsın şirkette kısa bir süre çalıştığı ve daha sonra istifa ettiği, bahse konu yazışmaların şirketin bilgisi ve onayı dahilinde yapılmadığı, Kurum tarafından şirkete tebliğ üzerine konudan haberdar olunduğu,
  • Söz konusu işlem, şirket eski çalışanı tarafından şirketin bilgisi ve onayı dışında yapılmış olduğundan hangi kişisel verinin hangi amaçla işlendiği konusunda bilgi sahibi olunmadığı,
  • Dolayısıyla ilgili kişinin açık rıza beyanına ilişkin tevsik edici bir belgenin de mevcut bulunmadığı

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 07/10/2022 tarih ve 2022/1072 sayılı Kararı ile;

İlgili Kişinin e-Posta Adresine Başka Abonelere Ait e-Faturaların Gönderilmesi İlgili Kişinin e-Posta Adresine Başka Abonelere Ait e-Faturaların Gönderilmesi
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin düzenlendiği,
  • Kurul tarafından “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen” alınan 16/10/2018 tarihli ve 2018/119 sayılı İlke Kararı’nda; “İlgili kişilerin rızalarını almadan veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanun’un 15’inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği; Kanun’un 12’nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu; belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği; bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanunu’nun ‘Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme’ başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanunu’nun 158’inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği” hususlarının karara bağlandığı,
  • Kanun’un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ve kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu ibaresinin yer aldığı,
  • Kanun’un 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu, bununla birlikte (2) numaralı fıkrasında; “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” ifadesi bulunurken (3) numaralı fıkrasında “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmünün yer aldığı,
  • Somut olaya konu reklam amaçlı e-postaların, somut olayın yaşandığı tarihte veri sorumlusu bünyesinde çalışan personel tarafından kurumsal e-posta adresi üzerinden ilgili kişinin elektronik posta adresine gönderildiği; veri sorumlusunun ilgili kişinin kişisel verisi niteliğindeki elektronik posta adresinin veri sorumlusunun çalışma alanı çerçevesinde reklam ve pazarlama amaçları doğrultusunda kullanıldığı ve ilgili kişinin açık rızasının alınmadığının anlaşıldığı, bu kapsamda ilgili kişinin e-posta adresine izinsiz reklam içerikli ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı

değerlendirmelerinden hareketle; 

  • Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
  • Somut olayda ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin, hukuka aykırı olarak işlendiği dikkate alındığında; Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak ilgili kişinin kişisel verisinin imha edilmesi ve söz konusu imha işlemlerini tevsik edici belgelerin Kurula iletilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

Sonuç olarak; Kişisel Verileri Koruma Kurumu, Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Editör: Elif Kosedag