Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun (6563 sayılı Kanun) 6 ncı maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) ilgili maddeleri kapsamında ilgili kişinin açık rızasına başvurmadığı ve veri sorumlusu tarafından Kanunun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin, tanıtım iletilerinden dolayı duyduğu rahatsızlığı dile getirmek üzere veri sorumlusuna yazılı başvuruda bulunduğu, ancak bu başvurunun cevabının gelmesinden önce veri sorumlusuyla çağrı merkezi üzerinden de iletişime geçerek tanıtım iletilerinin gönderilmesine konu olan kişisel verilerinin silinmesi talebini ilettiği, yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;
- Mobil uygulamaların, müşterilere yönelik pazarlama amaçlı tesis edilen bir iletişim kanalı olarak kullanıldığı ve bu uygulamaların ayarlarında, kullanıcıların ileti almamaya ilişkin tercih hakkının bulunduğu,
- Kullanıcıların akıllı telefonlarına uygulamayı indirdikten sonra, tanıtım iletisi gönderilmesi için tercihlerinin istenildiği ve izin verilmesi durumunda kendilerine pazarlama içerikli bildirimlerin gönderildiği,
- Kullanıcıların bu bildirimlere en başta izin vermeme veya herhangi bir zamanda bu bildirimleri kapatma haklarının her zaman mevcut olduğu,
- Şikâyete konu olayda, ilgili kişinin uygulama ayarlarını bildirim almaya izin verecek şekilde düzenlemesi neticesinde kendisine tanıtım iletilerinin gönderildiği,
- İlgili kişinin veri sorumlusuna yaptığı başvuruda Kanunun 11 inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca kişisel verilerinin silinmesini veya yok edilmesini istemesi üzerine, Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca işlem yapılabilmesi için ilgili kişinin hesabının ve kredi kartlarının kapatıldığı,
- İlgili kişiye ait kişisel verilerin, Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında işlendiği ve yine kendisinin talebi doğrultusunda silindiği,
- Hesabının kapatılması sonrasında ilgili kişinin veri sorumlusuna tekrar başvuruda bulunduğu ve kendisine yeniden hesap açıldığı,
- Hesabının kapatılması neticesinde ilgili kişi açısından bir zararın oluşmadığının tespit edildiği
bildirilmiştir.
Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/361 sayılı Kararı ile;
- 6698 sayılı Kanunun kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; (a) Hukuka ve dürüstlük kurallarına uygun olma, (b) Doğru ve gerektiğinde güncel olma, (c) Belirli, açık ve meşru amaçlar için işlenme, (ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, (d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
- Somut olayda cihazlarında Android işletim sistemi bulunan veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı,
- Zira hizmet sunucuları tarafından mobil uygulamalar üzerinden kullanıcılara anlık olarak gönderilen ve “push bildirim” olarak adlandırılan bu tarz bildirimlerin mobil uygulamaların varsayılan ayarlarında onaylı olarak bulunmasının hem 6563 sayılı Kanunda belirtilen elektronik iletilerin alıcıların onaylarına tabi olacağı düzenlemesiyle çeliştiği hem de Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenmesinde açık rızaya dayanma şartını ihlal ettiği,
- Çok sayıda yerel şubesinin ve müşterisinin yanı sıra yurt dışı iştirak şubeleri de bulunan veri sorumlusunun bahsi geçen tasarrufu sebebiyle hukuka aykırı kişisel veri işleme faaliyetinin yaygın bir biçimde meydana geldiği ve ilgili kişi olan müşteriler bakımından veri güvenliği riskinin mevcut olduğu,
- Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,
- Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği
değerlendirmelerinden hareketle;
- Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
- Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.