“Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti
Karar Tarihi |
: |
09/06/2021 |
Karar No |
: |
2021/584 |
Konu Özeti |
: |
Sigortacılık ve Bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi |
Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu, başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle,
- Veri sorumlusu tarafından ilgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği, söz konusu sitede ilgili kişi gibi Baroya kayıtlı avukatların adı soyadı, telefon numarası ve e-posta adresi gibi iletişim bilgilerinin yer aldığı ve bu bilgilerin herkes tarafından ulaşılabilecek aleni veriler olduğu,
- Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren veri sorumlusunun, poliçelerinin tanıtım ve satışını yaparak satış sonrasında sigortacılık konusunda müşterilerine hizmet verdiği, ilgili kişinin cep telefonuna gönderilen SMS’in de şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı yapılmadan önce bu amaçla gönderildiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasında yer alan kişisel verilerin işlenmesine ilişkin ilkeler arasında yer aldığı üzere, şirketlerinin hukuka uygun bir şekilde “belirli, açık ve meşru amaçlar“ çerçevesinde kişisel veri işlediği ve mevzuattan kaynaklanan idari ve teknik tedbirleri aldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği (2) numaralı fıkrasının (d) bendinde ise “İlgili kişinin kendisi tarafından alenileştirilmiş olması” şeklinde kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğuna ilişkin düzenleme bulunduğu,
- Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendine ilişkin TBMM Kanun gerekçesinde “fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.” ifadelerinin yer aldığı, TBMM gerekçesinde söz konusu fıkra amacından bahsedilirken, temel ölçüt olarak sayısı belirsiz kişi tarafından görülebilecek durumda olma unsurunun kabul edildiği ve “herhangi bir şekilde” ibaresi kullanılarak alenileşmenin meydana gelmesi için başka bir şart aranmadığının ifade edildiği, ayrıca gerekçede alenileştirilen verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığının belirtildiği, zira artık ilgili kişinin kendisinin dahi verinin korunması için bir çaba sarf etmediği,
- Bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
- Öte yandan, Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği, veri sorumlusunun sigortacılık ve bireysel emeklilik alanında faaliyet gösteren, bu faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında veri sorumlusunun var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de veri sorumlusu için meşru bir menfaat olduğu, dolayısıyla şirketlerinin var olması için poliçe satışı yapmak zorunda olduğu, poliçe satışı yapmak için de teklif araması yapılması gerektiği ve teklif araması sırasında mesaj gönderilen kişinin ad, soyadı ve telefon numarası bilgilerinin önceden şirket uhdesinde bulunması zorunluluğunun da izahtan vareste olduğu, bu nedenle Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin de bu gibi durumlarda ilgili kişinin açık rızasının aranmasına gerek olmadığını belirttiği ve ticari hayatın olağan akışı içinde seyrine imkan tanıdığı, şirketlerinin meşru menfaatleri ve Kanunun meşru menfaat hükmü birlikte değerlendirildiğinde taraflarınca hukuka aykırı bir işlem yapılmadığı,
- İlgili kişi tarafından veri sorumlusuna yapılan başvuruya, verilerinin veri sorumlususun faaliyet alanı çerçevesinde meşru amaçlar çerçevesinde kendisine ürün tanıtımı ve pazarlaması yapılması amacıyla, hangi kanaldan elde edildiği de belirtilerek yanıt verildiği, ilgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan “Aranmayacaklar Listesi”ne alındığının, bunun ötesinde verilerinin hiçbir şekilde işlenmediği, yurt içinde veya yurt dışında üçüncü kişiler ile paylaşılmadığının ifade edildiği, söz konusu liste ile kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin engellendiği, bu şekilde veri sorumlusunun faaliyetlerine devam ederken uyması gereken bir diğer mevzuat olan Ticari Elektronik İleti mevzuatına da uygun hareket edildiği,
- Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin “İspat yükümlülüğü ve kayıtları saklama süresi” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince; hizmet sağlayıcıların onay kayıtlarının, onay geçerliliğinin sona erdiği tarihten; ticari elektronik iletilere ilişkin diğer kayıtların ise kayıt tarihinden itibaren üç yıl süreyle saklanması gerektiği, ayrıca talep edildiğinde ilgili kayıtların Bakanlığa sunulacağının düzenlendiği, buna ek olarak hizmet sağlayıcılara bildirilen “ret” bildirimlerinin de İleti Yönetim Sistemine 3 iş günü içinde bildirilmesi gerektiği, zira bu hakkın kullanılmasının 6698 sayılı Kanun kapsamında açık rızanın geri alınması ile eşdeğer olduğu, bahsi geçen “Aranmayacaklar Listesi” ile kendisine ticari elektronik ileti gönderimine onay vermeyen kişilerin yer aldığı listenin iç içe bir bütün olduğu ve veri sorumlusu tarafından bu listenin mevzuattan kaynaklanan yükümlülükler çerçevesinde saklandığı, mevzuat uyarınca saklama süreleri bittiğinde bu verilerin de Şirketleri tarafından imha edileceği, ayrıca veri sorumlusu tarafından alınan teknik ve idari tedbirler çerçevesinde ilgili listenin sadece yaptığı iş gereği erişimi zorunlu olan kişilere açılarak yetki verildiği,
- İlgili kişiye SMS gönderimi yapılan tarihte henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği,
- Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Kararı ile;
- Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin ikinci fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Öte yandan Kanunun ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7 inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı,
- Ayrıca, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
- Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
- Veri sorumlusu tarafından iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse dahi ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, bu bağlamda ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecek olup söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, alenileştirme eylemi, ilgili kişilerin kişisel verilerini kamuoyu ile paylaşma amacıyla sınırlı olup veri sorumlularının ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı, bu kapsamda ilgili kişinin kişisel verisi niteliğindeki telefon numarasına gönderilen kısa mesajlar incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı, içeriklerin reklam, pazarlama ve bilgilendirme amaçlı olduğu değerlendirilmekte olup bu çerçevede ilgili kişinin telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı,
- Veri sorumlusunun, faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında şirketin var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de şirketleri için meşru bir menfaat olması sebebiyle bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında ilgili kişinin kişisel verilerinin işlendiğine ilişkin açıklamaları ile ilgili olarak ise, veri sorumlusu tarafından reklam ve pazarlama amacıyla kişisel verilerin meşru menfaat kapsamında işlenmesinin kişilerin kişisel verileri üzerindeki denetiminin sağlanmasını engelleyeceği, öte yandan poliçe satışının gerçekleştirilmesi için kişisel veri işlenmesinin bir zorunluluk olmadığı ve başka yollarla da ticari anlamda kazanç sağlanmasının mümkün olduğu, ilgili kişilerin bu şekilde ilgilendikleri veya ilgilenmedikleri alanlarda reklam ve pazarlama amacıyla aranma ve kısa mesaj almaya maruz bırakılmasının temel hak ve hürriyetlerinin zarar görmesine yol açacağı, sonuç olarak salt ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
- Veri sorumlusu tarafından finansal güvence danışmanlarının müşteri adayları ile iletişime geçmeden önce kontrol etmesi gereken bir “Aranmayacaklar Listesi” oluşturulduğu, kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin böylelikle engellendiğinin iddia edildiği ancak herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği, bu anlamda, reklam ve pazarlama amacıyla gerçekleştirilen aramalardan kişisel verisi hukuka uygun olarak elde edilmiş ilgili kişiler bakımından rızanın/onayın geri çekilmesi durumunda kişisel verilerin bu listeye eklenmesi anlaşılabilir olmakla birlikte, kişisel verileri hukuka aykırı olarak elde edilmiş olan ilgili kişilerin kişisel verilerinin burada işlenmeye devam etmesi hususunun Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirilmesinin hukuka aykırılık barındırdığı, bu çerçevede Kanunun 11 inci maddesinin (e) bendi kapsamında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahip olduğu hükmü uyarınca ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği,
- İlgili kişiye SMS gönderimi yapılan 18.06.2020 tarihinde henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği, bu doğrultuda ilgili kişiye SMS’lerin iletildiği tarihte ticari elektronik ileti gönderilmesinde onay alınmasına ilişkin mevzuattan kaynaklanan zorunluluk bulunmadığı iddia edilse de ilgili kişilerden onay alınmak suretiyle kişisel verisi niteliğinde olan cep telefonu numarasının işlenmesini mümkün kılan Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 05.11.2014 tarihinde, söz konusu Kanuna dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin ise 15.07.2015 tarihinde yürürlüğe girdiği, bu kapsamda şikayete konu ticari elektronik iletinin gönderilmiş olduğu 18.06.2020 tarihinde ticari elektronik ileti gönderilmesine ilişkin onay alınması zorunluluğunun bulunduğu, onaya ilişkin hususlarla ilgili olarak herhangi bir ertelemenin söz konusu olmadığı, veri sorumlusu tarafından ilgili kişinin onayına istinaden ticari elektronik ileti gönderiminde bulunulduğu hususunu kanıtlayıcı herhangi bir bilgi ve belgenin mevcut olmadığı,
- Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuruya Cevap” başlıklı 6 ncı maddesinin (4) numaralı fıkrasında ise cevap yazısının; veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu, veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunluluğunun düzenlenmiş olduğu, ilgili kişinin başvurusuna veri sorumlusu tarafından 23.06.2020 tarihinde e-posta adresi aracılığıyla verilen cevapta Tebliğde yer alan T.C. kimlik numarası, adres gibi unsurların yer almadığı görülmekle birlikte veri sorumlusunda bu bilgilerin bulunmadığı dikkate alındığında bu hususta herhangi bir hukuka aykırılık olmadığı, öte yandan Tebliğde yer alan “başvuruya ilişkin açıklamalar” unsurundan ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına,
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına,
- Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına
karar verilmiştir.