(Kişisel Verileri Koruma Kurulunun 07.11.2019 Tarihli 2019/332 Sayılı Kararı) Kişisel Verileri Koruma Kurulu 07.11.2019 tarihli 2019/332 Sayılı “Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine” ilişkin kendilerine iletilen şikayet hakkında karar vermiş olup, bu kararı 23.12.2019 tarihinde Sitesinde yayımlamıştır.
Söz konusu kararda, Kurula iletilen şikayet sonucu başlatılan incelemede veri sorumlusundan cevap ve savunmaya yönelik bilgi ve belge talebinde bulunulduğu, ancak veri sorumlusunun bu hususa ilişkin herhangi bir cevap vermediği, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmış ve işbu ihlalden ötürü veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
İşbu karara konu edilen şikayet ile ilgili olarak halihazırda Kişisel Verileri Koruma Kurulunun 16.10.2018 Tarihli ve 2018/119 Sayılı İlke Kararı 01.11.2018 tarihli 30582 sayılı Resmi
Gazetede de yayımlanmıştır. İlke Kararda da;
- İlgili kişilerin rızalarını almadan ve Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,
- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,
- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,
- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği’’
Açıkça belirtilmiştir. Kurul, yukarıda yer verilen 07.11.2019 tarihli 2019/332 sayılı kararı ile veri sorumlusu hakkında gerek Kanunun 18. Maddesi hükümleri çerçevesinde gerekse de İlke Kararı uyarınca işlem tesis etmişse de, Türk Ceza Kanunu kapsamında bir aksiyon alıp almadığı hususunda bir bilgilendirmede bulunmamıştır.
Kişisel Verilerin Korunması Kanununun 07.04.2016 tarihinde yürürlüğe girmesi ile birlikte veri sorumlusu olan gerçek ve tüzelkişilerin Kanuna uyum süreci kapsamında yerine getirmesi gereken birçok yükümlülük söz konusudur. Kanun işbu uyum süreci için veri sorumlularına iki yıllık bir zaman zarfı da öngörmüştür. Yine Kurul, yayımladığı gerek ilke kararlarla gerekse de bireysel şikayetleri konu alan kararları ile uygulamaya yönelik birçok soruna ilişkin yol haritası da çıkarmaya çalışmıştır. Ancak şu anki zaman dilimine ve Kurulun yayınladığı yeni kararlara yine yazımıza da konu olan karara bakıldığından çoğu veri sorumlusunun halen daha Kişisel Verilerin Korunması Kanununu özümseyemediği ve Kanunun veri sorumlusuna yüklediği yükümlülükleri usul ve esasa uygun bir şekilde yerine getiremediği ne yazık ki tespit edilmektedir. Veri işleme faaliyetinde bulunan gerçek ve tüzelkişilerin bir an evvel Kişisel Verilerin Korunması Kanununa uygun hareket etmesi önerilmekte olup, bu durum kişisel verisi işlenen ilgili kişilerin hukuka aykırı olarak kişisel veri işleme faaliyetine maruz bırakılmaması ve veri sorumlularının da cezai ve hukuki yaptırımlara tabi tutulmaması açısından da önem arz etmektedir.