KVKK Telefon Numarasının Elektrik Şirketi Tarafından İşlenmesi Kararı

Okuma Süresi: 5 Dakika

Makalemizde KVKK Telefon Numarasının Elektrik Şirketi Tarafından İşlenmesi Kararı konusunu inceleyeceğiz.

 İlgili Kişinin İrtibat Numarasının Bir Elektrik Dağıtım Şirketi Tarafından Herhangi Bir İşleme Şartına Dayanılmaksızın İşlenmesi” Hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli Ve 2020/66 Sayılı Kararı”

          Giriş ve İlgili Kişinin İrtibat Numarasının Herhangi Bir Veri İşleme Şartına Dayanmaksızın İşlenmesi

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

Kurum şikayet üzerine yapmış olduğu incelemede; veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden 100.000 TL idari para cezası uygulanmasına ve •            İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına karar vermiştir.

            İlgili Kişinin KVKK Şikâyeti

İlgili kişi, KVKK’ya yaptığı şikâyette, bir elektrik dağıtım firması tarafından irtibat numarasına, kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiğini, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediğini, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesini ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesini talep etmiştir.

Yine ilgili kişi Kurum’a yaptığı şikâyette veri sorumlusuna, abone numarası sayısı kadar başvuruda bulunulduğunu belirtmiştir. Ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığını, kendisine cevap verilmediğini ve hatta irtibat numarasına hâlen bilgilendirme mesajı gönderildiğini ifade etmiştir.

            Veri Sorumlusunun Savunması

Konuya ilişkin başlatılan inceleme çerçevesinde Kurumca veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda; ilgili kişi adına kayıtlı olan irtibat numarasında güncelleme yapıldığı ifade edilmiş ancak bu durumu tevsik edici herhangi bir doküman gönderilmemiştir.

            Veri Sorumlusu Şirketin KVKK İhlalleri ve Karar

Kanunun 13 üncü maddesinin (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir”   hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne istinaden ilgili kişinin başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,

Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,

İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına karar verilmiştir.

         Değerlendirmeler

            “Doğru ve Gerektiğinde Güncel Olma İlkesi” Kişisel Verileri Koruma Kurumu’nun değerlendirmelerinde dikkate aldığı temel ilkelerinden biridir. Bu ilke kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulamaktadır. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusu ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerlidir.

Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. İncelemesini yapmış olduğumuz kararda da diğer ilkelerle birlikte bu ilkeye aykırılık nedeniyle veri sorumlusuna idari yaptırımlar uygulanmıştır. Kurumun en çok üzerinde durduğu hususlardan biri verilerin güncel olmasının sağlanması ve bu sayede ilgili kişilerle ilgili ortaya bir sonuç konması halinde bu sonucun asıl muhataba ulaşması ve veri korumasının sağlanmasıdır. Kişisel verileri işleme amaçlarının sadece veri sorumlusu bakımından bilinmesi ya da tahmin edilebilir olması bu ilkeye aykırıdır. [1]

Kararda idari para cezası yaptırımının dayanağı bir diğer husus ise veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiğidir. Bu ilke, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

Yine kurumun idari para cezası yaptırımı uygularken; veri sorumlusunun Kanunun 12. maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiğinden bahisle hareket ettiği görülmektedir.

Bu kapsamda; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması, veri işleyenler ile ilişkilerin yönetimi, kişisel veri güvenliğine ilişkin teknik tedbirler, siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemleri tedariki, geliştirme ve bakımı ve kişisel verilerin yedeklenmesi gibi idari ve teknik tedbirlerin alınması gerektiği vurgulanmıştır. Ancak veri sorumlusunun idari ve teknik tedbirleri almakla zorunlu kılınmasının da yine özünde “doğru ve gerektiğinde güncel olma” ilkesi ile ilişkili olduğu kanaatindeyiz. [2]

Çağrı merkezi kanalıyla abonelerine, müşterilerine ulaşmaya çalışan sektörlerin tümünde sıkça karşılaşılan problemlerden biri ilgili kişi verilerinin doğruluğunu ve güncelliğini sağlamaktır. Gerek enerji sektörü, gerek bankacılık sektörü gerekse telekomünikasyon sektöründe; hizmet sözleşmelerinde, abonelik sözleşmelerinde vatandaşlar(ilgili kişiler) tarafından verilen bilgilerin güncel kalmasının sağlanması yahut bilgilerin doğruluğunun teyit edilmesi önünde birçok engelle karşılaşılmaktadır. Bir yandan sektörlerin uymakla yükümlü olduğu kanun maddeleri ve yönetmeliklerin getirdiği zorunluluk ve kısıtlamalar bir yandan ilgili kişilerin abonelik/hizmet/ürün sözleşmelerinin kurulma aşamasında veri paylaşırken gerekli özeni göstermiyor oluşu, veri sorumlularının Kişisel Verileri Koruma Kurumu ilkelerine uygun şekilde veri işleme faaliyeti gerçekleştirmelerini zorlaştırmaktadır. İlgili kişilerin verilerinin korunmasının, meşru faaliyetler kapsamında ölçülü bir şekilde işlenmesinin ve ilgili kişi taleplerinin kanunda belirtiği şekilde hızlıca karşılık bulmasının sağlanabilmesi için Kurum tarafından; güncel, sektörel gelişmelere uygun ve veri sorumlularını da gözeten bir bakış açısıyla kolaylaştırmalar yapılmasının gerekli ve kaçınılmaz olduğu kanaatindeyiz.

Makalemizde KVKK Telefon Numarasının Elektrik Şirketi Tarafından İşlenmesi konusunu inceledik.

Mevcut Karar: https://kvkk.gov.tr/Icerik/6873/2020-66

Tüm karar incelemelerimizi bağlantıdan okuyabilirsiniz.

Yazarın diğer yazılarını okumak için bağlantıya tıklayınız.

Kaynakça

 [1]  https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler

[2]  https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf