Kurumumuza intikal eden şikayette ilgili kişinin bir gıda şirketi adına 053.….. nolu telefonundan arandığını, şirketin internet sitesinin “bize ulaşın” bölümünden kişisel verisinin nasıl elde edildiğine ilişkin başvuruda bulunduğunu ancak kendisine herhangi bir geri dönüşte bulunulmadığını, bunun üzerine ticari işletmeye aynı taleple yazılı olarak da başvurduğunu, çağrı merkezi işiyle iştigal eden bir gerçek kişiden gelen cevabi yazıda;
- Kendisinin 2008 yılından beri yetki aldığı firmaların ürünlerinin çağrı merkezi işi ile uğraştığını, 2013-2014-2015 yıllarında bir spor kulübünün kendisine verdiği yetki uyarınca dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştirdiğini,
- Şikayetçinin söz konusu spor dergisi abonesi olması dolayısıyla server sisteminde telefon bilgisinin yer aldığı, ilgili kişinin telefon bilgisinin dergi aboneliğinin gerçekleştiği tarihte 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanununun 10. maddesine uygun olarak saklandığı, veri sorumlusunun 2017 yılından bu yana bir gıda markasıyla çeşitli doğal gıda ürünlerinin internet üzerinden satış ve pazarlama işini yürüttüğü,
- Veri sorumlusunun kullanmakta olduğu server arama sisteminin hata sonucu ilgili kişinin numarasının silinmesine karşın sistemin numarayı aradığının tespit edildiği, yapılan yanlışlık akabinde ilgili kişiye yazılı özür cevabı verilerek Kanunun 7 inci maddesi uyarınca kişisel verisinin geri dönülmez şekilde yok edildiği
bilgisinin verildiği, bu çerçevede söz konusu dergiye yapmış olduğu aboneliği kapsamında sisteme kaydedilen verilerin amacı dışında kullanıldığı ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 16/01/2020 tarih ve 2020/34 sayılı Kararı ile,
- 6698 sayılı Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,
a)Hukuka ve dürüstlük kurallarına uygun şekilde,
b) Belirli, açık ve meşru amaçlar kapsamında,
c) Doğru ve gerektiğinde güncel olma şartıyla,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
ilkelerine uygun işlenebileceği,
- Kanunun kişisel verilerin işlenme şartlarına ilişkin 5 inci maddesinin (1) numaralı fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, (2) numaralı fıkrasında ise “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”. hükümlerine yer verildiği,
- Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
- Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında “(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği,
- Kanunun yürürlük tarihinden önce ilgili kişi tarafından spor dergisi aboneliği sırasında paylaşılan kişisel verilerin o dönemde söz konusu spor kulübü adına dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştiren kişi (veri sorumlusu) tarafından işlendiği, veri sorumlusu tarafından kayıtlarında yer alan bilgilerin başka bir tarihte yine veri sorumlusu tarafından bu kez bir başka Şirket adına işlenerek arandığı, dolayısı ile verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanunun 4 üncü maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği kanaatine varıldığı,
- Öte yandan Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir” hükmü kapsamında söz konusu verilerin Kanunun yayınlanma tarihinden sonraki iki yıl içerisinde Kanuna uygun hale getirilmesi amacıyla; spor dergisi aboneliği için çağrı merkezi hizmeti vermeye ilişkin veri sorumlusu ile ilgili spor kulübü arasında imzalanan sözleşmenin 2015 yılında bitmesinin ardından söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin veri sorumlusu tarafından farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise de ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediğinin anlaşıldığı,
- Her ne kadar veri sorumlusu tarafından ilgili kişinin numarasının silinmesine karşın sistemin numarayı bir hata sonucu aradığı beyan edilse de ilgili kişinin numarasının aranmasının silinme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesi olduğu ve bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davrandığının değerlendirildiği
hususlarından hareketle veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 18.000 TL idari para cezası uygulanmasına karar verilmiştir.