Kuruma intikal eden şikâyette özetle; veri sorumlusu şirket ile herhangi bir ticari faaliyette bulunulmamasına ve bu kapsamda iletişim onayı verilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rızası alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği, veri sorumlusuna yapılan başvurunun cevabında, ilgili kişiden yanlışlık için özür dilenerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtildiği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- İlgili kişinin pazar yeri olarak hareket eden bir satış platformundaki veri sorumlusunun mağazasından alışveriş yaptığı ve kendilerindeki bilgilerin kaynağının bu alışverişe istinaden kesilen faturadan kaynaklı olduğu,
- Veri sorumlusu şirkete ait olan firmalardan birinin internet sitesinde kendi rızasıyla e-posta ya da kısa mesaj alabilmek için onay veren müşterilerine/üyelerine gitmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığı, gönderilen mesajların bazılarının iletildiği bazılarının iletilemediği,
- İlgili yazılım firması ile görüşüldüğü ve hatalı gönderim yapılsa dahi kısa mesaj ve e-posta gönderilmemesi için gerekli önlemlerin alındığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/902 sayılı sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesine yer verildiği,
- Somut olayda veri sorumlusu firmaya ait internet sitesinden SMS/e-posta alabilmek için onay veren müşterilere gönderilmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilere gönderilmiş olduğu, yapılan yanlışın fark edilmesi ile iptal işlemi başlatılmışsa da bazı müşterilere kısa mesaj iletilmesine engel olunamadığı dikkate alındığında; veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisini işlediği, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak bu hususta veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim yapmadığı
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından verilen yanıtta firmalarına ait olan internet sitesinde kendi rızasıyla e-posta/SMS alabilmek için onay veren müşterilerine/üyelerine iletilmesi gereken mesajın sehven satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığının beyan edildiği dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını işlediği, bu çerçevede Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapmadığı kanaatine varıldığından Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına,
- Bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.