Makalemizde Hukuk Büroları Tarafından Kişisel Verilerin İhlali Kararlarına Bakış konusunu inceleyeceğiz.
KİŞİSEL VERİLERİN ÖNEMİ VE HUKUK BÜROLARI TARAFINDAN KİŞİSEL VERİLERİN İHLALİ KARARLARINA BAKIŞ
1. GİRİŞ
Kişisel verilerin korunması ile ilgili ilk çalışmalar Avrupa Birliği uyum süreci kapsamında 1989 yılına kadar gitmektedir. 2000’li yıllarda pek çok defa komisyonlar kurulmuş, çalışmalar yapılmıştır. Fakat 2008 yılında ilk defa kanun tasarısı TBMM’ye sunulmuş ve bu taslak yıllar boyunca yasalaştırılmamıştır.
Birçok sektörü içinde barındıran ve etkileyen Kişisel Verilerin Korunması Kanunu (KVKK) 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. 6698 sayılı Kişisel Verilerin Koruması Kanunu (KVKK) m.3’e göre kişisel veri, belirli veya belirlenebilir bir kişiye ait tüm bilgilerin elde edilmesidir. Bu tanımdan anlaşılacağı gibi, kişisel veriden bahsedebilmek için bir gerçek kişi, bir veri ve bu verinin belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilir olması gerekir.
2. HUKUK BÜROLARI KAPSAMINDA KİŞİSEL VERİLERİN ÖNEMİ
Karşılıklı iletişim modern hayatın en önemli değerlerinden bir tanesidir. Günlük hayatta, devlet kurumları, özel kuruluşlar, hukuk büroları, muayeneler gibi pek çok yer kişiler hakkında önemli sayılabilecek veriyi toplamakta, saklamakta ve istemektedirler. Teknolojinin gelişmesi ile, kişilerin verilerini paylaşma oranı artmış akabinde yasa dışı kullanımının da artmasına sebebiyet vermiştir.
6098 sayılı Kişisel verilerin korunması kanununun (KVKK) kabulü ile ülkemizde yeni bir dönem başlamış ve kanun ile vatandaşların, veri sorumlularının birtakım hakları ve yükümlülükleri olduğu tespit edilmiştir. 19.07.18 tarih 2018/87 sayılı Kişisel Verileri Kuruma Kurulu kararına göre avukatlar VERBİS’e kayıt ve bildirim yükümlüğünden muaftır. Ancak, bu muafiyetin yasa karşısında bir muafiyet olduğu algısı oluşmamalıdır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.
Kişisel veri, kanuna göre; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” kapsamaktadır. Böylelikle kişinin sadece isim, soy isim, doğum tarihi değil buna ilaveten ailevi, ekonomik, sosyal tüm özelliklerine ilişkin verileri ile özgeçmişi, pasaport bilgileri, fotoğrafı gibi veriler de kişisel veri olarak anılmıştır. Bu verilerin işlenmesinden kasıt ise, verilerin elde edilmesinden başlayarak, bu veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Özellikle hukuk bürolarında avukat-müvekkil, personel-müvekkil ilişkilerinin kişisel veri niteliği taşıdığı tartışmasız bir konudur. Bunun yanında hukuk bürolarında borçlu olarak anılan kişilerinde pek çok kişisel verisi bulunmakta bunları hukuka ve yasaya en uygun şekilde tutup, kullanmakta yarar vardır. Bu noktada müvekkillerin ve borçluların tabi oldukları yükümlülüklerin tespitinin iyi yapılması ve aktarılması büyük önem taşımaktadır.
Bu yükümlülüklerin yerine getirilebilmesi için müvekkillerin kullanacak oldukları veri kayıt sistemlerinin oluşturulması sırasında gerekli departmanlar ile sağlıklı iş birliklerinin sağlanması ve mevcut kullanımda olan sistemlerin KVKK kapsamındaki yükümlülüklere uyumlu hale getirilmesi gerekmektedir. Hukuka uygun olması açısından da veri sorumlusu bünyesindeki tüm departmanlara farkındalık eğitimlerinin verilmesi ve eğitimlerin belli aralıklarla tekrarlanmasının sağlanması gerekmektedir.
i.KİŞİSEL VERİLERİ KORUMA KURULUNUN 14.01.2020 TARİHLİ ve 2020/26 SAYILI KARAR ÖZETİ “Kişisel Verilerin Veri Sorumlusu Bir Avukat Tarafından Kısa Mesaj Yoluyla Üçüncü Kişilere İfşa Edilmesi Hakkında”
Karar Tarihi: 14.01.2020
Karar No: 2020/26
Konu Özeti: Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişileri ifşa edilmesi hakkında ilgili kişiden alınan şikâyet dilekçesinde ve eklerinde özetle;
- Bankaya olan borcundan dolayı veri sorumlusu avukat tarafından İcra Dairesinde icra takibi başlatıldığı,
- İcra takibi başlatılmasından itibaren söz konusu avukatlık bürosu çalışanları tarafından münferit zamanlarda haciz işlemlerinin başladığına ilişkin arandığı ve mesajlar aldığı,
- Aynı içerikteki mesajın yıllardır görüşmediği kardeşine de gönderilmesi üzerine kardeşinin aldığı ekran görüntüsünün kendisine yolladığı,
- Bunun üzerine kişisel verilerinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenmek adına kendisine ait e-posta adresinden veri sorumlusu avukata e-posta gönderdiği,
- Avukatın verdiği cevapta Bankacılık Kanunu ve diğer mevzuatlar gereği borçluya ait telefon numarası veya ikamet adresi bilgilerinin tespit edilememesi ve ulaşılamaması durumunda başkaca tespit ettikleri telefon numarası veya adreslere bilgilendirme mesajı ve bilgilendirme mektubu gönderildiğinin belirtildiği ancak veri sorumlusunun cevabında yer verilen şahsa ait bir telefon numarasına ulaşılmadığı bilgisinin doğru olmadığı, adına kayıtlı ve kullanmakta olduğu iki adet telefon numarası daha bulunduğu, bu numaralardan hiçbirine bilgilendirme mesajı gelmezken kardeşine ait telefon numarasına mesaj gitmesinin tarafını rencide etmeye yönelik olduğu,
- Ayrıca kardeşine gönderilen mesaja ilişkin ekran görüntüsünün mevcut olmasına rağmen, veri sorumlusu tarafından gönderilen mailin devamında kendisinin kullanmış olduğu telefon numarası dışında hiçbir kişi veya kuruluş ile irtibata geçilmediği yönünde beyanda bulunulduğu ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmiştir.
Kurumumuz tarafından dilekçede belirtilen iddialar ile ilgili olarak veri sorumlusundan savunması istenilmiş, alınan cevabı yazıda özet olarak;
- Avukatlık mesleği itibariyle kişilerin kişisel verilerinin öğrenilmesinin veri işleme faaliyeti olmadığı ve hukuk bürosu olarak kimsenin verilerinin kendilerince işlenmediği,
- Kişisel Verilerin Korunması Kanunu’nun 28. Maddesinin 1 numaralı fıkrasının d bendi hükmü gereğince avukatların da yargı makamı sayılması ve kanun kapsamından istisna tutulması gerektiği,
- İlgili kişinin T.C. Kimlik numarası, adres, malvarlığı gibi bilgilerinin bankaya verilmesi suretiyle alenileştirilmiş olduğu,
- İlgili kişinin kardeşine SMS gönderim tarihinden önce ilgili kişinin yakını olduğunu söyleyen bir şahsın ofise geldiği ve borçla ilgili bilgi almak istediği, bu şahsa ilgili kişiye ulaşabilecekleri başka bir yöntem olup olmadığı sorulduğunda şikâyete konu telefon numarasının verdiği ve ilgili numaranın da sistemlerine böylece girdiği, zaten ilgili kişinin kardeşiyle iletişime geçilmesinin akabinde talep üzerine telefon numarasının sistemden çıkarıldığı,
- Şikayetçinin müşteri sırrı kapsamındaki bilgi ve belgelerinin yasal mevzuat uyarınca yetkilendirilmiş kişi ve kurumlar hariç olmak üzere üçüncü kişiler ile paylaşılmamasına dair bankaya talimat vermemiş olduğu,
- Gönderilen SMS’in kullanılan kredi türü yahut borç miktarı gibi bir bilgiyi içermediği tamamen borçluyu borcu ödemeye ve müvekkil banka ile uzlaşmaya davet etmekten ibaret olduğu, ifade edilerek Kişisel Verilerin Korunması Kanunu kapsamında hareket ederek, kişiye ilişkin hiçbir bilgi ve belge paylaşımı yapmadığı belirtilmiştir.
Konuya ilişkin Kurulca yapılan inceleme neticesinde alınan 14.01.2020 tarih ve 2020/26 sayılı karar ile;
- Şikayete konu olayda, Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen ilgili kişi, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen avukatın veri sorumlusu, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise veri işleme faaliyeti olduğu,
- Diğer yandan, Kanun’da, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesaj içeriğinin, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği,
- Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu banka adına, bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birimlere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanunun 5. Maddesinin 2 numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı,
- Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5. Maddesi hükümleri kapsamında değerlendirilemeyeceği,
- Avukat tarafından yapılan savunmada, büroya gelen kimliği belirsiz bir kişiden numaranın temin edildiği açıklamasının, Kanunun 5. Maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin kardeşinin telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı,
- Veri sorumlusu avukat tarafından her ne kadar ilgili kişinin kardeşine ait telefon numarasının büroya gelen ve kimliği bilinmeyen bir kişi tarafından verildiği, bunun ilgili kişiye ait olmadığının tespitini takiben talep üzerine numaranın silindiği beyan edilmiş olsa da sair mevzuat gereğince ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen bir kişi vasıtasıyla edinilmesi üzerine, ilgili kişiye ait verinin bu numarayla paylaşılmasının Kanun hükümlerine aykırılık teşkil ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusunun Kanunun 12. Maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı davrandığı,
- Avukat tarafından yapılan savunmada, Avukatlık Kanunu’nun 1. Maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, Kanun’un 28. Maddesi kapsamında bir istisnadan söz edebilmek için, veri işlemenin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olması, ayrıca veri işlemenin yargı makamları veya infaz mercilerince işlenmesi gerektiği, maddede belirtilen yargı makamları tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca şikayete konu olayda, kişinin borcuna dair bilgilerin kardeşinin telefonuna kısa mesaj olarak iletilmesi, yani borcunu ödemeye ikna etmek amacıyla caydırıcı bir unsur oluşturmak niyetiyle bir yakınıyla paylaşılmasının, Kanun’un 28. Maddesinde sayılan soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin bir işlem olarak kabul edilmesinin mümkün olmadığı, değerlendirildiğinden ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanun’un 12. Maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanun’un 18. Maddesinin 1 numaralı fıkrasının b bendi kapsamında 50.000,00 TL idari para cezası uygulanmasına karar verilmiştir.” denilmiştir.
Benzer başka bir karar da ise;
ii. “Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi” hakkında Kişisel Verileri Koruma Kurulu’nun 11/03/2021 tarihli ve 2021/228 sayılı karar özeti
Karar Tarihi: 11/03/2021
Karar No: 2021/228
Konu Özeti: Hukuk Bürosu tarafından kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi
Kuruma intikal eden şikayette özetle ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde muhatabı ve tarafı olmadığı icra dosyası ilgili hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikayette bulunulduğu belirtilmiştir.
Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusunun tespit edilebilmesini teminen alacaklı telekomünikasyon şirketi ve hukuk bürosundan savunması istenilmiştir.
Şikayet edilen telekomünikasyon şirketinden alınan cevabı yazıda özetle;
- İlgili kişinin telefon numaralarına mesajlar ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi akdedildiği, bahsi geçen Avukatlık Sözleşmesi uyarınca avukatın, bu sözleşme ve yasal takip prosedürleri kapsamında şirkete dair her türlü icra, dava, tahsilat ve takip işlemlerini yürüttüğü ve buna istinaden taraflarca sözleşmede belirlenen ücrete hak kazandığı ve avukat ile paylaşılan tek bilginin borçlu tüzel kişi bilgili ile borç bilgisi olduğu,
- Avukatın, hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla veri işleme faaliyetini gerçekleştirdiği, dolasıyla şirket ile avukat arasında akdedilen vekalet sözleşmesi uyarınca faaliyetlerini yürüten avukatın ayrı bir veri sorumlusu sıfatını haiz olup, 6698 sayılı Kanun ve ikincil düzenlemeleri kapsamında gerçekleştireceği veri işleme faaliyetleri kapsamında şirketleri ile aynı yükümlülüklere sahip olduğu,
- İlgili kişinin başvurusuna cevap verilmemesine ilişkin şirketin web sitesinde yer alan ve Kanunu 10. Maddesi kapsamında oluşturulmuş aydınlatma metninde ilgili kişilerin Kanunun “ ilgili kişinin hakları” başlıklı 11. Maddesi kapsamında başvurularını iletebilecekleri adreslere yer verildiği, ilgili kişinin söz konusu aydınlatma metninde belirtilen adreslerine ilgili kanallarına herhangi bir başvurusunun bulunmadığının tespit edildiği, bu sebeple bahse konu taleplerinin değerlendirilemediği, ifade edilmiştir.
Şikayet ile ilgili olarak Kurumca istenilen savunmasına istinaden alacaklı telekomünikasyon şirketi adına hareket ettiği belirtilen avukat tarafından Kuruma intikal ettirilen cevap yazısında ise özetle;
- İlgili kişi tarafından usulüne uygun olarak yapılan ve taraflarına tebliğ edilmiş bir başvurunun bulunmadığı, Tebligat Kanunu’nun 32. Maddesinde yer aldığı üzere tebliğ usule aykırı olmuş olsa dahi muhatabın tebliği öğrenmesi halinde tebliğin geçerli olacağı ancak taraflarına usulüne uygun bir tebligat yapılmadığından Kuruma şikayette bulunulmayacağı ve şikayetin incelenmesinin hukuken mümkün olmadığı,
- Borcun alacaklısı şirket ile aralarında vekalet ilişkisi bulunduğu, bu itibarla alacaklı şirketin avukatlığı görevinin taraflarınca yürütüldüğü, aralarındaki vekalet ilişkisi sebebiyle alacakların tahsil edilebilmesi için taraflarınca icra takipleri başlatıldığı ve avukat-müvekkil ilişkisi çerçevesinde tüm hukuki işlemlerin yürütüldüğü, avukatlık mesleği gereğince Avukatlık Kanunu ve ilgili diğer tüm mevzuat çerçevesinde avukatların vekil olarak müvekkillerinin her türlü hak ve menfaatlerini gözetmek durumunda olduğu,
- Şikayete konu icra dosyası ve borcun tahsili açısından dosya borçlusu şirket hakkında yapılan araştırma neticesinde Ticaret Sicil Gazetesi üzerinden borçlu şirketin ortağı olarak ilgili kişinin ismine ulaşıldığı, Bilgi Teknolojileri Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan bir kuruluşun sunduğu hizmetten yararlanarak ilgili kişinin telefon numaralarına ulaşıldığı ve borçlu şirket yetkililerine borcun bildirildiği, kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında hiçbir zaman bulunulmadığı yalnızca şirket borcundan dolayı şirket yetkililerine borç bildirildiği, söz konusu telefon numaralarının Avukatlık Kanununun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı ve mesaj gönderildiği bununla birlikte, müvekkilin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği hususları belirtilmiştir.
iii. Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/228 sayılı kararı ile;
- Kanunun “tanımlar” başlıklı 3. Maddesinde “kişisel verinin” kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusunun”, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesinin” ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5. Maddesinin 1 numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2 numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasının açıklayamayacak durumda bulunan veya rızasına hukuki gerçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaateleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun 12. Maddesinde (1) Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, (b) kişisel verilere hukuka aykırı erişilmesini önlemek, (c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekil denetimleri yapmak veya yaptırmak zorundadır.” hükümlerine yer verildiği,
- Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı,
- Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikayetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu,
- Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birimi/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5. Maddesinin 2 numaralı fıkrası çerçevesinden ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu,
- İlgili kişinin borçlu şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesi’nden ilgili kişinin borçlu şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesinin devrettiği ve şirket ortaklığının son bulduğunun değerlendirildiği, borçlu şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesi’nde ilan edildiği,
- İncelemeye konu olayda, ilgili kişinin borçlu şirket ortaklığının son bulduğu bilgisinin 31/03/2015 tarihinde Ticaret Sicil Gazetesi’nde ilan edildiği ancak borçlu şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
- İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçesinin tebliğine ilişkin PTT gönderi takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiği anlaşıldığı, değerlendirmelerinden hareketle;
- Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına,
- Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5. Maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12. Maddesinin 1 numaralı fıkrasının (a) bende kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18. Maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
- İlgili kişilerin başvurularına Kanunun ilgili maddeleri ilgi Veri Sorumlusuna Başvuru ve Esasları Hakkında Tebliğe uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına, karar verilmiştir.
İş bu kararlar emsal niteliğinde olup, özellikle icra ağırlıklı çalışan hukuk büroları açısından bir hayli önem arz etmektedir. Zaman zaman tahsilat odaklı yaklaşılarak, dosya ile hiçbir bağlantısı olmayan kişilere bildirim yapılmaktadır. Bunun sonucunda ise çok ciddi idari para cezaları ile karşılaşılmaktadır. 19.07.18 tarih 2018/87 sayılı Kişisel Verileri Kuruma Kurulu kararına göre avukatlar VERBİS’e kayıt ve bildirim yükümlüğünden muaftır. Ancak, bu muafiyetin yasa karşısında bir muafiyet olduğu algısı oluşmamalıdır. denilerek aslında üstü örtülü şekilde ve yukarıdaki emsal kararlar doğrultusunda avukatlarında (hukuk bürolarının) veri sorumlusu olduğuna dikkat çekilmiştir.
3. KİŞİSEL VERİLERİN İHLALİNDE BİLDİRİMİN ÖNEMİ
Diğer önemli bir husus ise kişisel verilere hukuka aykırı olarak erişimin engellenmesidir. Aksi durumda veri ihlalinin varlığından söz edilecektir. Kişisel verilerin korunması Kanunu’nun 12. Maddesine göre veri ihlali …işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde… olarak tanımlanmıştır. AB mevzuatının da ise Genel Veri Koruma Regülasyonuna (GDPR) veri ihlali; …iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali.. olarak tanımlanmıştır.
Her iki tanıma bakıldığında KVKK ve GDPR arasında farklılıklar olduğu açıktır. GDPR’a göre verilere üçüncü kişilerce ulaşılmasa dahi silinmesi, değiştirilmesi hallerinde veri ihlalinden söz etmek ve bildirimde bulunmak için yeterli sayılmıştır. Fakat her iki düzenleme için de bildirimi gereken bir veri ihlali olması durumunda, bildirimin en erken sürede yapılması gerektiği tartışmasız bir konu olmuştur.
4. SONUÇ
Kişisel verilerin korunması her geçen gün daha da önemli bir konu haline gelmiştir. Kişilik haklarının bir parçası olan kişisel veriler KVKK başta olmak üzere diğer kanunlarda da yer almaktadır.
Bu bağlamda, avukatların ve hukuk bürosu çalışanlarının, KVKK hakkında yeterli bilgiye sahip olması ve bu konuda farkındalığın artması gerekmektedir. Tarafların birbirlerinin açık rızası olmadan diğerinin kişisel verisini elde etmesine, kaydetmesine, müvekkili veya vekili ile paylaşmasına ve işlenmesine izin vermemesi gerekir. Bu noktada avukatlar ve hukuk büroları müvekkil ya da borçlu bilgilerini muhafaza ederlerken Kurul’un öngördüğü kararları dikkate alıp ona göre hareket etmeleri yerinde olacaktır.
KVKK alanındaki tüm Blog yazılarımıza bağlantıdan ulaşabilirsiniz.
Hukuk ve Bilişim Dergisi’nin yeni sayısına ulaşmak için bağlantıya tıklayınız.
Yazar: DENİZ MÜJDE GÖK / Hukuk İşleri Sorumlusu, Ekonomi Hukuku Yüksek Lisans Öğrencisi
KAYNAKÇA
Ankara Barosu, Avukatlar İçin Kişisel Verilerin Korunması Kanunu Rehberi, 2020. (Erişim tarihi: 12.02.2022) chrome
extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=http%3A%2F%2Fwww.ankarabarosu.org.tr%2FSiteler%2F2012yayin%2F2011sonrasikitap%2Fakvkkr.pdf&clen=987768&chunk=true
Özer/Deniz, Miray; Kişisel Verilerin Korunması Kanunu ile Arabuluculuğa Hakim Gizlilik İlkesinin Birlikte Değerlendirilmesi, Kişisel Verileri Koruma Dergisi, 2020. (Erişim tarihi: 12.02.2022) chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=https%3A%2F%2Fdergipark.org.tr%2Fen%2Fdownload%2Farticle-file%2F1187014&chunk=true
https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri?&page=3
……