“İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı Karar Özeti

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda; incelemeye konu talep değerlendirilmiş olup ilgili kişi adına kayıtlı olan irtibat numarasında güncelleme yapıldığı ifade edilmiş ancak bu durumu tevsik edici herhangi bir doküman gönderilmemiştir.

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/66 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,  (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
  • Yukarıda aktarılan “kişisel veri” tanımına istinaden cep telefonu numarasının kimliği belirli bir gerçek kişiye ulaşılmasını sağladığından, şikâyette bulunanın ilgili kişi sıfatını ve şikâyet edilen elektrik dağıtım şirketinin veri sorumlusu sıfatını haiz olduğu,
  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde, “herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
    a)Kişisel veri işlenip işlenmediğini öğrenme,
    b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
    ” hükmüne yer verildiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruda talebi, her ne kadar cep telefonu numarasının kendisine ait olmayan aboneliklere yönelik veri işleme faaliyetlerine ilişkin olarak silinmesi olarak belirtilse de, yukarıda aktarılan Kanunun 11 inci maddesi bağlamında bu talebin “kişisel verilerin eksik ya da yanlış işlenmiş olması halinde düzeltilmesini isteme” hakkıyla örtüştüğü, zira Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesinin, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir” şeklinde tanımlandığı bu bakımdan, ilgili kişinin veri sorumlusunun dağıtımını üstlendiği elektrik hizmetinden yararlanmaya devam eden bir sözleşmesinin olup olmadığı bilinemediğinden ve veri sorumlusunun, kendisinden istenilen bilgi ve belge talebinde bu hususta bir açıklama yapmadığından talebin Kanun kapsamındaki silme işlemi değil “…düzeltilmesini isteme” olarak değerlendirilmesi kanaatine varıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” (2) numaralı fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” (5) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” düzenlemelerine yer verildiği,
  • Veri sorumlusunun ilgili kişinin Tebliğ hükümlerine göre yaptığı başvuruya kendisine tanınan 30 günlük süre içerisinde cevap vermediğinden Tebliğin 6 ncı maddesinin (2) ve (5) numaralı fıkralarına aykırılık ortaya çıktığı, ilgili kişinin başvurusuna neden cevap verilmediğinin veri sorumlusuna gönderilen bilgi, belge yazısında sorulduğu, ancak veri sorumlusunun bu hususta herhangi bir cevap vermediği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, kişisel verilerin
    a)Kanunlarda açıkça öngörülmesi,
    b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    d)İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
     şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • İlgili kişinin irtibat numarasının kendisine ait olmayan aboneliklerde kullanıldığına dair veri sorumlusu tarafından Kuruma herhangi bir açıklama yapılmadığı, ayrıca Kuruma intikal eden cevabi yazısında belirttiği hususa dair destekleyici bir doküman sunulmadığı, bu sebeple ilgili kişinin irtibat numarasının işlenmesine ilişkin Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarının bulunup bulunmadığının tespitine imkân tanınmadığı, ancak mezkûr cevabi yazıda ilgili kişi adına sistemde kayıtlı olan telefon numarasında güncelleme yapıldığı açıklamasından hareketle, veri sorumlusu tarafından ilgili kişinin irtibat numarasının kişisel veri işleme faaliyetine dâhil edildiği,
  • Kanunda belirtilen veri işleme ilkelerinden “Doğru ve Gerektiğinde Güncel Olma İlkesi” uyarınca, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği, bu ilkenin aslında kişisel verilerin düzeltilmesini isteme hakkıyla ilişkili olduğu, bu bakımdan, ilgili kişinin dilekçe ile yaptığı başvuruların işleme alınmasında zorluk çıkarılması ve kabul edildikten sonra süresi içinde ilgili kişiye talebine ilişkin olarak dönüş yapılmamasının bu ilkeye aykırı olarak hareket edildiğinin ve ilgili kişinin hakkını kullanamamasına yol açtığının bir göstergesi olduğu

değerlendirmelerinden hareketle 

  • Kanunun 13 üncü maddesinin (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir”   hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne istinaden ilgili kişinin başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
  • Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına 

karar verilmiştir.

Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr

Open chat