Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir.
Bugünkü yazımıza konu olan kurul kararında; İlgili kişi şahsi telefonundan bir sigorta şirketince pek çok kez arandığını, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edildiğini, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilişikli başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı, bu çerçevede veri sorumlusuna başvuru yapıldığı ancak veri sorumlusu tarafından verilen cevabın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesine aykırılık teşkil ettiği ve yeterli olmadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir. Kararın detaylarına bakacak olursak;
“Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması” hakkındaki Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/768 sayılı Karar Özeti
Karar Tarihi : 03/08/2022 Karar No : 2022/768 Konu Özeti : Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması İlgili kişinin Kuruma intikal eden şikâyet dilekçesinde özetle; şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edildiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilişikli başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı, bu çerçevede veri sorumlusuna başvuru yapıldığı ancak veri sorumlusu tarafından verilen cevabın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesine aykırılık teşkil ettiği ve yeterli olmadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin 2015 yılından beri veri sorumlusunun müşterisi olduğu, ilgili sigorta şirketi ile veri sorumlusunun arasında sigorta acentelik sözleşmesinin bulunduğu, bu kapsamda veri sorumlusunun, sigorta şirketinin ürünlerinin satış ve pazarlanması noktasında yetkili acente olarak hizmet verdiği,
- 5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesi gereği bankaların hizmet ve destek hizmeti aldığı kuruluşlar ve finansal kuruluşlar ile müşteri sırrı niteliğindeki bilgi ve belgeleri yalnızca hizmetin kapsamı ile sınırlı olarak paylaşabildiği, bu durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki işleme şartlarına dayandığı ve bu nedenle bankaların acentesi oldukları sigorta şirketi ile olan bilgi paylaşımlarının da bu yasal düzenlemeler çerçevesince gerçekleştiği,
- İlgili kişinin veri sorumlusu tarafından kampanya, hizmet ve ürünlerle ilgili kısa mesaj, e-posta, posta ve arama şeklinde ticari elektronik ileti gönderilmesine yönelik izninin ve bu amaçla kişisel verilerinin işlenmesi konusunda rızasının bulunduğu, bu kapsamda konut sigortası için acentecilik yetkisi doğrultusunda ilgili kişinin aranarak ürün teklifinde bulunulduğunun anlaşıldığı,
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddenin ikinci fıkrası gereği müşteriye ait iletişim bilgisinin onaylı veri sayıldığı,
- Veri sorumlusu ile ilgili kişi arasında sözleşmesel ilişkinin mevcut olduğu, veri sorumlusunda halen açık ürün ve hesaplarının yer aldığı ve ilgili kişinin bu duruma ilişkin aksi yönde bir beyanının bulunmadığı,
- Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına göre Kanun’un yayımı tarihinden önce oluşturulan sözleşmesel ilişki ile ilgili kişi tarafından, veri sorumlusunca sunulan ürün, hizmet ve avantajlardan yararlanmak için söz konusu hizmet ve pazarlamanın gerektirdiği kapsamda kişisel verilerinin işlenmesi ve buna dair iletilerin gönderilmesi konusunda onay verildiğinden bu durumun Kanun’un 5’inci maddesine aykırılık oluşturmadığı, ilgili kişinin Kanun’un geçiş süresi dahilinde aksi bir irade beyanında bulunmadığı
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarih ve 2022/768 sayılı Kararı ile;
- 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
- Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün yer aldığı,
- Ayrıca Kanun’un “Geçiş Hükümleri” başlıklı Geçici 1’inci maddesinin (3) numaralı fıkrasında; “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükümlerinin bulunduğu,
- Bu çerçevede, veri sorumlusunun Kanun’un 8’inci maddesi kapsamında kişisel verilerin aktarımı hususuna gerekçe gösterebileceği üç durum bulunduğu, somut olayda veri sorumlusunun ilgili veri işleme faaliyetini Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sıralanan veri işleme şartlarından birine dayandırmaması durumunda ilgili kişiden açık rıza alma yoluna gitmesi veya kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümleri gerekçe olarak sunması gerektiği,
- Bu bağlamda veri sorumlusunun Kuruma ilettiği savunmasında yer alan ilgili kişinin ticari elektronik ileti gönderimine izin verdiğini gösteren belgenin “Kampanya İletişim Tercihleri Talimatı” olduğu, ilgili talimatın incelenmesi neticesinde “Bankanızın tüm fırsat ve kampanyalarına ilişkin tüm kanallardan tanıtım iletisi almak istiyorum” seçeneğinin, “İleti almak istediğim kanal/kanallar” başlığı altındaki “Hepsi, SMS, telefon, E-mail, adres” seçeneklerinden “Hepsi” seçeneğinin , “İleti almak istediğim ürün/ürünler” başlığı altında “Elementer Sigortayı” (Hayat sigortası dışındaki sigortaların genel adı) da içerecek şekilde yine “Hepsi” ibaresinin seçili olduğunun tespit edildiği, ilgili kişinin şikâyet konusu özelinde kişisel verilerinin aktarılacağı bilgisinin kendisine sunulmadığı ve bu durumun açık rızanın “bilgilendirmeye dayanma” ilkesine aykırılık teşkil ettiği ve dolayısıyla ilgili belgenin kişisel verilerin aktarılması kapsamında açık rıza örneği teşkil etmediği,
- İlgili talimat ekranının en alt kısmında “İşbu formda yer alan “tüm kanal ve ürünler” seçeneğinin seçilmesi suretiyle izin verilen kanal ve ürünler, formun imzalanmasından sonraki bir tarihte Bankaca kullanılabilecek ve/veya tanımlanabilecek kanal ve ürünleri de kapsayacaktır.” ifadesinin yer aldığı, bu ifadenin açık rıza şartlarından “özgür iradeye dayanma” unsuruna uygun olmadığı, geleceğe yönelik muğlak bir ifade olduğu, aynı unsura aykırılık oluşturduğu izlenimi yaratan bir diğer hususun ise ilgili belgede kutucukların otomatik olarak doldurulduğunun gözlemlenmesi olduğu, bu kutucukların ilgili kişinin kendi iradesiyle doldurulduğunun şüphe barındırdığı, zira veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve bu kapsamda kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılmasının gerekli olduğu; veri sorumlusunun savunmasında ise, kutucukların ilgili kişi tarafından doldurulduğunu ispatlayıcı herhangi bir ifadeye yer verilmediği,
- Yukarıda izah olunan nedenlerle veri sorumlusu tarafından Kuruma sunulan savunmada yer verilen belge ve ifadelerin gerek genel anlamda gerek somut olay özelinde kişisel verilerin aktarımına yönelik ilgilinin açık rızasının bulunduğunu kanıtlar nitelik taşımadığı,
- Ek olarak, veri sorumlusunun Kuruma sunduğu savunmasında, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddesinin 2’nci fıkrası gereği ilgili kişiye ait iletişim bilgisini onaylı veri saydıkları, kişinin de 6698 sayılı Kanun’un geçiş süreci dahilinde aksi bir irade beyanında bulunmadığı ve dolayısıyla bu durumun Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına uygunluk teşkil ettiğinin belirtildiği ancak veri sorumlusunun bu noktadaki savunmasının asıl şikayet konusu olan ilgili kişinin kişisel verisinin aktarımı hususuna uygun bir hukuki gerekçe sunmadığı,
- Öte yandan 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinin göre “…bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.” şeklinde düzenlendiği,
- Yine ilgili Kanun’un “Tanımlar ve kısaltmalar” başlıklı 3’üncü maddesinde “Finansal Kuruluş” tanımının “Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya bu Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini ifade eder.” şeklinde yapıldığı,
- Bununla beraber, Bankacılık Kanunu’nun 73’üncü maddesine dayanılarak hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Yönetmelik’in “Sır saklama yükümlülüğü” başlıklı 4’üncü maddesinin (4)’üncü bendinin “Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir. Söz konusu verilere ilişkin birinci fıkra kapsamındaki yükümlülük, bu verilerin müşteri sırrı haline gelmesinden itibaren başlar.” ve “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5 inci maddesi “... (2) Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez: a) Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması…” hükümlerini içerdiği,
- Somut olayda, veri sorumlusunun savunmasında şikâyet konusu veri işleme faaliyetine yönelik Kanun kapsamında bir açık rıza aldığına dair ve kişinin şikâyet konusu veri işleme faaliyeti yönünde bir talimatının veya talebinin olduğuna dair kanıtlayıcı bilgi ve/veya belgeye rastlanılmadığı, yukarıda ifade edilen ilgili Yönetmelik uyarınca veri sorumlusunun sır saklama yükümlülüğünden istisna tutulabilmesi adına sadece belirtilen amaçlarla sınırlı kalınması şartıyla düzenlemesi gereken gizlilik sözleşmesine Kuruma sunulan bilgi ve belgeler arasında rastlanılmadığı, nihayetinde veri sorumlusunun ilgili kişinin kişisel verilerini ilgili sigorta şirketi ile paylaşması hususunda Kanun’un 8’inci maddesindeki şartları sağlamadığı
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verisi niteliğinde olan telefon numarasının, veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili sigorta şirketine Kanun’un 8’inci maddesine aykırı olarak aktarıldığı; bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasında öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünün yerine getirilmediği göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına
karar verilmiştir.
Sonuç olarak; Kişisel Verileri Koruma Kurumu, İlgili kişinin kişisel verisi niteliğinde olan telefon numarasının, veri sorumlusu tarafından kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili sigorta şirketine kanuna aykırı olarak aktarıldığı; bu minvalde Kanunda öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünün yerine getirilmediği göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına karar vermiştir.