“İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1243 sayılı Karar Özeti
Karar Tarihi | : | 09/12/2021 |
Karar No | : | 2021/1243 |
Konu Özeti | : | İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi |
Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği, ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden ve nasıl temin edildiği hakkında bir bilgiye sahip olmadığı, kişisel verilerinin bu çerçevede işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında tarafına bir bilgi verilmediği ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- Veri sorumlusunun her nevi konferans, anket, tanıtım, reklam, konser organizasyonları düzenlemek ve bu işler için eleman sağlamak, bu organizasyonlar için ara teknik donanım kiralamak, bu işleri başkalarına yaptırmak, benzin istasyonu işletmesi ve çalışan temini, AVM işletmelerine çalışan temin etmek, hastane vb. sağlık kurumlarına çalışan temin etmek, inşaat vb. işletmelere çalışan temin etmek, lojistik sektörüne çalışan temin etmek, gemi işletmelerine çalışan temini hizmetleri vermek ve diğer her türlü sektörde ihtiyaç duyulan elemanları temin etmek, reklam, gösteri, kongre, konferans, ticari fuar, anket çalışmaları, pazarlama faaliyetlerine eleman tedarik etmek ve benzeri nitelikteki etkinliklerin organizasyon faaliyetlerini yürüttüğü,
- İlgili kişiye ait e-posta adresinin veri sorumlusunca yürütülen ekonomik faaliyetler (anket ve tanıtım işleri) kapsamında edinildiği,
- Söz konusu e-posta adresinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (d) bendi kapsamında “İlgili kişinin kendisi tarafından alenileştirilmiş olması” şartına dayanarak işlendiği,
- Kişisel verilerin işlenmesinde Kanun kapsamında hareket edildiği, ilgili kişiye ilişkin hiçbir bilgi ve belge paylaşımının yapılmadığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/12/2021 tarih ve 2021/1243 sayılı kararı ile;
- Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde;
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
hükmüne yer verildiği,
- Veri sorumlusu tarafından ilgili kişiye ait e-posta adres bilgisinin ekonomik faaliyetleri çerçevesinde anket ve tanıtım işleri kapsamında edinildiği ve Kanun’un 5’inci maddesinin (d) bendi çerçevesinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında işlendiğinin ifade edildiği, ancak ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği,
- Bu anlamda veri sorumlusunun ilgili kişinin kişisel verilerinin nasıl elde edildiği ve hangi işleme şartı kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu, dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir hukuki işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu,
- Diğer taraftan Kanun’n “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7’nci maddesine göre kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkının düzenlendiği,
- Kanun’un 7’nci maddesinin (3) numaralı fıkrasına dayanılarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesinin “Kanunun 5 inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.” ve aynı maddenin (2) numaralı fıkrasının “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.” hükmünü haiz olduğu,
- Bu kapsamda ilgili kişinin e-posta bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına
karar verilmiştir.
Kaynak: KVKK