Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı Karar Özeti


“Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı Karar Özeti

 

Karar Tarihi : 04/03/2022
Karar No : 2022/184
Konu Özeti : Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği; ilgili kişinin kişisel verilerinin ifşa edilmesinden ötürü ilgili alacak yönetim şirketinin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği; akabinde ilgili kişinin eşine ait hattın hukuk bürosu çalışanı olduğunu söyleyen bir şahıs tarafından arandığı, konuşma esnasında konuyu hukuk yoluyla değil konuşarak çözelim nedir durum neden dilekçe yazdınız şeklinde hitapta bulunduğu; sonrasında ilgili kişinin eşinin, kişisel verileri istedikleri gibi ifşa edemeyeceklerini, bunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca suç teşkil ettiğini, kendileri hakkında hukuki olarak gereken her türlü yasal yollara başvuracaklarını bildirdiği; ayrıca ilgili kişiye ait şahsi bilgilerin neden kendi telefonuna gönderilmediğinin sorulduğu ayrıca, istenildiği takdirde UYAP veya MERNİS’ten iletişim bilgilerine ulaşılabileceğinin söylendiği ve ilgili telefon numaralarına nasıl ulaşıldığı yönünde bilgi talep edildiğinde ise dolaylı yollardan bulduk, biz buluruz şeklinde cevap verildiği belirtilmiş; ilgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek Kanun kapsamında şikâyetçi olunduğu ifade edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu alacak yönetim şirketinden savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Bir telekomünikasyon şirketi ile arasında alacak devir sözleşmesinin akdedilmiş olması sebebiyle bahsi geçen şirket tarafından icra dosya bilgileri, müşterilere ait faturalar, müşteriler tarafından telekomünikasyon şirketine verilen iletişim bilgileri vb. bilgilerin taraflarına iletildiği,
  • İşlem yapılırken icra borçlularının telekomünikasyon firmasına ilettiği telefon numaralarının arandığı, taraflarınca herhangi bir iletişim bilgisi araştırma yükümlülüğünün olmadığı gibi, başkaca iletişim bilgisine ulaşma şanslarının olmadığı, ilgili kişi için de ifade edilen şekilde işlemlere başlanmış olduğu ve telekomünikasyon firmasının taraflarına ilettiği telefon numaralarının arandığı,
  • Akabinde şikâyet dilekçesinde belirtilen hatlardan şirketlerinin çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği ve sistem tarafından söz konusu telefon numaralarına otomatik olarak SMS gönderimi gerçekleştirildiği,
  • Taraflarınca hiçbir şekilde ilgili kişiye ait başka bir telefon numarası araştırması yapılmadığı gibi üçüncü kişilere de ulaşılmadığı ve üçüncü kişilere bilgi verilmediği, çağrı merkezini arayan kişilerin ilgili kişi olup olmadığı tespit edilemediğinden taraflarınca ilgili kişi sıfatıyla arandıkları telefon numaralarına işlem yapıldığı 

beyan ve iddialarına yer verilmiştir.

Şikâyet dilekçesinde belirtilen hatlardan çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği hususlarına ilişkin kanıtlayıcı nitelikte imza ve kaşeli belgelerin Kurum’a gönderilmesinin istenmesi üzerine; veri sorumlusunca telekomünikasyon şirketi ile aralarında imzalanan sözleşme ile alacak devri sözleşmesi örneklerine yer verilmekle birlikte ilgili kişinin telekomünikasyon şirketine ilişkin ödenmemiş faturası dolayısıyla borcu olduğunu ve icra takibi başlatıldığını gösterir kayıtlar ile veri sorumlusunun alacakların tahsili için kullandığı çağrı merkezi sistemi aracılığıyla borçlular ile icra takibi sürecinde iletişim kurulması sonrası ilgili görüşmeye ilişkin ayrıntıların kaydedildiği sistemin ekran görüntülerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde
zararın giderilmesini talep etme, haklarına sahiptir.

hükmünü amir olduğu,

  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ilgili kişinin kardeşi adına kayıtlı olan hatta ve eşine ait telefona ilgili kişinin telekomünikasyon şirketine olan borcunun süresinin dolacağına ilişkin bir SMS gönderildiği ifade edilerek rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığının beyan edildiğinin görüldüğü;
  • Veri sorumlusu tarafından Kurum’a gönderilen savunma ekindeki belgeler incelendiğinde ilgili kişinin şikâyet dilekçesinde belirttiği borcun süresinin dolacağına ilişkin SMS’in gönderildiği tarihten önceki bir tarihte ilgili kişinin kardeşi adına kayıtlı telefon numarasından veri sorumlusunun aranarak dosya numarasının öğrenildiği, yine aynı tarihte söz konusu borca itiraz edildiği ve itirazın onaylandığı bilgisinin paylaşıldığı iddiası ile ilgili kişinin kardeşi adına kayıtlı telefon numarasından tekrar veri sorumlusunun arandığına ilişkin imzalı ve kaşeli ekran görüntülerinin bulunduğu; bununla birlikte yine aynı tarihte ilgili kişinin eşine ait telefon numarasıyla görüşüldüğü, borç ve masraflarla ilgili bilgilendirme yapıldığının beyan edildiği;
  • Veri sorumlusu tarafından Kurum’a iletilen savunma yazısında taraflarınca işlem yapılırken icra borçlularının telekomünikasyon şirketinin ilettiği telefon numaralarının arandığı, taraflarınca herhangi bir iletişim bilgisi araştırma yükümlülüğünün olmadığı gibi, başkaca iletişim bilgisine ulaşma şanslarının olmadığı, ilgili kişi için de ifade edilen şekilde işlemlere başlanmış olduğu ve telekomünikasyon şirketinin taraflarına ilettiği telefon numaralarının arandığı, akabinde şikâyet dilekçesinde belirtilen ilgili kişinin eşi ve kardeşinin telefon numaralarından çağrı merkezinin arandığı ve ilgili kişi olarak dosya hakkında bilgi almak istendiği, kullanılan çağrı merkezi sistemi tarafından şikâyete konu telefon numaralarının, ilgili kişi sıfatıyla aranıldığı için sisteme herhangi bir işlem yapmadan otomatik olarak kaydedildiği ve sistem tarafından söz konusu telefon numaralarına otomatik olarak SMS gönderimi gerçekleştirildiğinin beyan edildiğinin görüldüğü; 
  • Bu kapsamda veri sorumlusu tarafından Kurum’a iletilen cevap yazılarından; veri sorumlusunun çağrı merkezini arayarak bir borç hakkında bilgi talep edilmesi halinde arayan kişiye herhangi bir bilgilendirme yapılmaksızın ve Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın arayan kişilerin telefon bilgilerinin sisteme otomatik olarak kaydedilmek suretiyle işlenmesi ve bu kişilerle başka şahısların kişisel verisi niteliğindeki borç bilgisine ilişkin bilgi paylaşımında bulunulduğu kanaatine varılması nedeniyle veri sorumlusunun Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı 

değerlendirmelerinden hareketle;

  • Veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunu bilgi almak amacıyla arayan kişilerin telefon numaralarının veri sorumlusu sistemlerine otomatik olarak borcu olan kişilerin iletişim bilgileri olarak kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.