Kuruma intikal ettirilen şikâyette özetle, hizmet alımı esnasında yaşadığı ihtilaf nedeniyle ilgili kişinin veri sorumlusuna ait kayıtlı elektronik posta (KEP) adresi üzerinden veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarının talebine ilişkin başvuru gerçekleştirdiği, 25.08.2011 tarihli ve 28036 sayılı Resmi Gazetede yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 12 nci maddesinin ikinci fıkrası uyarınca iletinin okunduğunun kabul edildiği tarihten itibaren otuz gün içerisinde kendisine cevap verilmediği, bunun üzerine müşteri hizmetleri ile görüştüğü, görüşmede sözleşmenin (ses kayıtlarının) bir örneğinin tarafına verilmesi gerektiği ancak verilmediğini, bu verilerin ilgili kişiye ait kişisel veriler olduğunu, veri sorumlusunun hangi tarihte kaç kere aradığına dair kayıtlarının da tutulduğunu, ayrıca, bunların da kişisel veri niteliği taşıdığını, bu verileri bilmeye hakkı olduğunu belirterek bu sebeple, tarafına iletilmesini talep ettiği ancak verilmediği, müşteri hizmetleri ile yapılan görüşmede Cumhuriyet Savcılığına başvurulması gerektiği ve söz konusu kişisel verilerin kendisine verilemeyeceğinin belirtildiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin başvurusunu yaptığı KEP adresinin kişisel verilere ilişkin başvuruların yapılması amacıyla tahsis edilmiş bir KEP adresi olmadığı, kişisel verilerle ilgili talep ve soruların ana ortaklığın KEP adresine veya kendilerine ait https://www…….net/tr/gizlilik-ve-guvenlik linkinden iletilebileceği,
- Veri sorumlusu ve ilgili kişi arasında abonelik sözleşmesi kurulduğu, ilgili kişiye ait kişisel verilerin abonelik sözleşmesinin kurulmasıyla elde edildiği, abonelere ait kişisel verilerin abonelik ilişkisinin yanı sıra sunulan hizmetler kapsamında abonelik sözleşmesi, bayiler ve sair yüz yüze kanallar, çağrı merkezi, web sitesi, mobil uygulamalar, kısa mesaj, elektronik posta, sesli yanıt sistemi kanallarıyla elde edildiği,
- İlgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin ikinci fıkrasının (c) bendi kapsamında işlendiği,
- Müşteri Hizmetleri ile abonelerin yapmış olduğu görüşmelerin ses kayıtlarının müşterilere iletilmesi durumunda müşteriler tarafından farklı amaçlarla kullanıldığı, sosyal medyada yayımlandığı, soruşturmalar kapsamında ve adli makamlara üzerinde tahrifat yapılarak iletilmesi gibi güvenlik risklerinin oluşabileceği, müşteri hizmetleri ile yapılan görüşmelerin ses kayıtlarının görüşmeyi gerçekleştiren müşteri hizmetleri çalışanının da kişisel verileri içerdiği düşünüldüğünde söz konusu kayıtların ilgili kişilere iletilmesinin bu kişilerin hakkını da zedeleyebilecek ve bu kişiyi ifşa edebilecek şekilde kullanılması riskini de doğuracağının değerlendirildiği,
- Somut olayda ilgili kişinin müşteri hizmetleri ile gerçekleştirdiği görüşmeleri yanlış anlaması nedeniyle bir kampanyaya taahhüt vererek sözleşmenin kurulmuş olduğunu zannettiği ancak, esasen kurulmadığının kendisine daha sonra yapılan görüşmelerde izah edildiği, sonuç olarak aradaki yanlış anlamanın giderilerek ilgili kişinin veri sorumlusunca sunulan … Kampanyası’na kendi isteği ile tekrar taahhüt verdiği ve hâlihazırda hizmet almaya devam ettiği,
- Veri sorumlusunun Kanun gereğince uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alma yükümlülüğünün bulunduğu, bununla birlikte, veri sorumlusunun yükümlülüklerine uygun olarak ticari faaliyetlerini devam ettirme yönündeki genel prensibi uyarınca müşteri hizmetleri ile abonelerin yapmış olduğu görüşmelerin (ses kayıtları) sadece yetkili adli ve idari merciler tarafından yöneltilen yasal talepler çerçevesinde yetkili merciler ile paylaşıldığı
ifade edilmiştir.
Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/746 sayılı Kararında;
- Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinin ikinci fıkrasında elektronik iletişim araçlarıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında olduğunun ifade edildiği, Avrupa Birliği Elektronik Ticaret Direktifi’nde olduğu gibi 6563 sayılı Kanunda da elektronik sözleşmenin tanımının yapılmadığı, ancak, “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde, ticari elektronik iletinin, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri” kapsadığı, bu doğrultuda, 6563 sayılı Kanunun 2 nci maddesinde yer alan ticarî elektronik ileti tanımından hareketle, telefon aracılığıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında elektronik sözleşme olarak kabul edildiğinin anlaşıldığı, dolayısıyla, veri sorumlusu ve ilgili kişinin telefon aracılığıyla sözleşme kurmaya yönelik yaptıkları görüşmede Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan hüküm çerçevesinde kişisel verilerin işlenebileceği,
- 2010 yılında 5982 sayılı Kanunla Anayasanın 20 nci maddesine eklenen fıkra ile herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olarak teminat altına alındığı, bu bağlamda, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği,
- Diğer taraftan, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde,
“(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükümlerine yer verildiği,
- Bu doğrultuda, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkını, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağlaması gerektiği,
- Ancak bu hakkın, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinin de dikkate alınması suretiyle, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine makul bir şekilde ulaşılabilmesine imkân tanınarak kullanılması gerektiği,
- İlgili kişinin erişim hakkı ile veri sorumlusunun konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin ancak yasal makamlar tarafından talep edildiği takdirde teslim edilebileceği yönündeki makul kabul edilebilecek açıklaması arasındaki dengenin talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslim edilmeden dökümlerine erişim hakkı sağlanarak gerçekleştirilebileceği,
- Diğer taraftan, Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince, veri sorumlusunun ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre ve en geç otuz gün içerisinde sonuçlandırması gerektiği, öte yandan, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasında, “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, ayrıca, Tebliğin 6 ncı maddesinin (2) numaralı fıkrasında, veri sorumlusunun başvuruyu kabul edeceği ya da gerekçesini açıklayarak reddedeceği, üçüncü fıkrasında ise, cevabın ilgili kişiye yazılı olarak veya elektronik ortamda bildirileceği
değerlendirmelerinden hareketle;
- Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- İlgili kişilerin Kanun kapsamındaki başvurularına Kanunun ilgili hükümleri ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri uyarınca süresi içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- İlgili kişilerin Kanun kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına, karar verilmiştir.