15/04/2020 Tarihli 2020-103 Sayılı KVK Kurul Kararı Hk.
Kişisel Verilerin Korunması Kanununa Uygunluğun Sağlanamaması Veri İhlallerine Sebebiyet Vermektedir.
Kişisel Verileri Koruma Kurulu, “Bir bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak yapılan başvuru” hakkında vermiş olduğu 06.02.2020 tarihli ve 2020/103 sayılı kararının[1] özetini 15.04.2020 tarihinde internet sitesinde yayımlamıştır.
İşbu kararda, Kurula iletilen şikâyet neticesinde Kurul tarafından başlatılan incelemede veri sorumlusunun savunması istenilmiş olup, veri sorumlusuna ait cevabı yazıda özetle, veri sorumlusu Bankanın, potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaşılarak müşteri numarasının oluşturulduğu ancak, Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarasının aktif hale gelemeyeceğinden bahisle ilgili kişinin müşteri numarasının da aktif bir hesap haline gelmediğinin beyan edildiği belirtilmiştir. Bu bağlamda müşteri numarasının Ocak 2016’da oluşturulduğu ve 07.04.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) o tarihte henüz yürürlükte olmadığı, Bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap içeriğinde ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğunun anlaşıldığı, dolayısıyla ilgili kişiye yönelik kişisel veri işleme faaliyetinin 6698 sayılı Kanunun 5. Maddesinin 1. fıkrasında yer alan açık rıza şartı yerine getirilmeksizin ve yine aynı maddenin 2. Fıkrasında sayılan hallerden herhangi biri mevcut olmaksızın gerçekleştirilmiş olduğu, bu nedenlerle veri sorumlusu Bankanın, 6698 sayılı Kanuna aykırı veri işleme faaliyetinde bulunduğu, öte yandan geçiş süreci ile ilgili 6698 sayılı Kanunun Geçici 1. Maddesinin 3. Fıkrasında yer alan düzenlemeye aykırı bir şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu bağlamda veri sorumlusu Bankanın 6698 sayılı Kanunun 4. Maddesinde yer alan genel ilkelere de aykırı bir şekilde ilgili kişiye ait kişisel verileri işlediği hususları doğrultusunda veri sorumlusu Banka aleyhine 6698 sayılı Kanunun 12. Maddesindeki veri güvenliğine ilişkin yerine getirmesi gereken yükümlülüklerine aykırı davrandığı gerekçesiyle idari para cezası yaptırımı öngörülmüştür.
Karara konu edilen olayda Kurul’un KVKK’ya uyum sürecinde getirilen düzenlemelere yönelik uygulamasına ilk kez şahit olunmuştur. Şöyle ki kararda, somut olayın Kanun’un yürürlüğe girmesinden önce mevcut olması dolayısıyla Kanun’a uyum süreci kapsamında Geçici 1. Maddeye değinildiği ve o çerçevede yapılan değerlendirme sonucunda rızası bulunmayan ilgili kişiye ait kişisel verilerin derhal silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiği ancak veri sorumlusu tarafından bu konuda herhangi bir aksiyon alınmadığı ve söz konusu kişisel verilerin saklanmasına devam edildiğinin tespit edildiği ve bu bağlamda veri sorumlusu tarafından Kanun’a aykırı olarak kişisel veri işleme faaliyetinin gerçekleştirildiği hususları vurgulanmıştır. Hatırlanacağı üzere Kurul tarafından 06.04.2018 tarihinde Kanuna Uyum Süreci (Geçici 1. Madde) ile ilgili olası karışıklığı giderebilmek adına kamuoyu duyurusu[2] yayınlanmış idi. Söz konusu kamuoyu duyurusunda da belirtildiği üzere Kanunun geçici 1. Maddesinin 3. Fıkrasında, “Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren iki yıl içinde (7 Nisan 2018) Kanun hükümlerine uygun hale getirileceği, Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği veya anonim hale getirileceği, ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızaların, bir yıl içinde (7 Nisan 2017) aksine bir irade beyanında bulunulmaması halinde, bu Kanuna uygun kabul edileceğinin hükme bağlandığı” belirtilmişti. Söz konusu karar ile bir kere daha Kanun’a uygunluğun ve uyum sürecinin ne kadar önemli olduğu, veri sorumlularınca mevzuat hükümlerine aykırı bir davranışın söz konusu olması halinde veri sorumluları açısından ciddi sonuçların doğabileceği, kişisel verilerin Kanun’a aykırı elde edilmesi hallerinde imha edilmesinin önemi gözler önüne serilmiş bulunmaktadır.
Her ne kadar kararda belirtilmemişse de işbu karar özelinde Türk Ceza Kanunu açısından bir incelemenin yapılıp yapılmadığı da akla gelmektedir. Zira üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaşılarak müşteri numarasının oluşturulması söz konusudur. Bu eylemin şartları oluşmuş ise Türk Ceza Kanunun 135. ve 136. Maddeleri kapsamında suç teşkil ettiği ortadadır. Kurul tarafından daha önce yayımlanan kararlarında suç teşkil eden iş ve eylemlerin tespiti halinde Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği belirtilmekteydi. Burada kararın bu yönde bir incelemeye tabi tutulup tutulmadığı belirsizdir. Yine bu hususun yargı mercilerinin görevine giren bir konu olması halinde akla 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddenin 1. Fıkrasındaki düzenleme gelecektir ki, kanaatimiz bu halde bu maddenin somut olaya uygulanmasının mümkün olmadığı yönündedir. Zira buradaki inceleme 2016 yılında yaşanan kişisel verilerin hukuka aykırı bir şekilde temin edilmesi olayı değil, 2018 yılında hala o verilerin hukuka aykırı bir şekilde veri sorumlusu nezdinde tutulması eylemidir. Bu haliyle bu hususun Kişisel Verileri Koruma Kurulunun görev alanına girdiği düşünülmektedir.
Yine Kararda, veri sorumlularınca ilgili kişiye ait kişisel verilerin hukuka uygun olarak işlenmesi bağlamında kural olarak ilgili kişinin açık rızasına ihtiyaç duyulduğu, ancak söz konusu veri işleme faaliyetinin Kanun’un 5. Maddesinin 2. Fıkrasında yer alan durumlardan biri kapsamında olması halinde açık rızanın varlığına ihtiyaç duyulmaksızın gerçekleştirilecek olan faaliyetin hukuka uygun olacağı hususuna değinilerek somut olay nezdinde istisna kapsamında değerlendirilebilecek bir durumun söz konusu olmadığı ve ilgili kişinin açık rızasının alınmadığının da altı çizilmiştir. İçinde bulunduğumuz dönemde, özellikle bankalar açısından, bireylerin potansiyel müşteri olarak değerlendirildiği kuşkusuzdur. Dolayısıyla bireylere ait kişisel veriler bir tür hizmet/ürün pazarlama aracı olarak kullanılmakta ve bu bağlamda işlenmekte veya saklanmaktadır. Kanaatimizce, Kişisel Verilerin Korunması Kanunu ile kişisel verilerin sınırsız ve gelişigüzel elde edilmesi, üçüncü kişilere ifşa edilmesi ve elde edilen verilerin kötüye kullanılmasının önlenmesinde verilen bu Kararların ve idari yaptırımların büyük bir etkisinin olacağı kuşkusuzdur.