Konu Özeti : İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat
tarafından hukuka aykırı olarak işlenmesi ve açıklanması ile ilgili şikâyet
Karar Tarihi : 27/08/2020
Karar No : 2020/649
İlgili kişiden alınan şikayet dilekçesinde özetle;
Kamu görevlisi olarak görev yaptığı ilde kamuya ait bir sosyal tesiste konakladığı; banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibi başlatıldığı; 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tesiste ikamet etmekte olan sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerlerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyi üzerine kayıtlı cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği; konuya ilişkin olarak ayrıca Cumhuriyet Başsavcılığına başvurduğu belirtilerek avukat hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak 01.10.2019 tarih ve 2019/293 sayılı Kurul Kararı ile başlatılan inceleme çerçevesinde avukattan savunma sunması talep edilmiş, veri sorumlusu avukat savunmasında,
İkrar veya kabul anlamına gelmemek kaydı ile; şikayetçinin kişisel e-posta hesabı yerine içerisinde ofise günlük gelen yüzlerce e-postanın bulunduğu e-posta adresine gönderdiğini iddia ettiği başvurunun okunma ihtimalinin olmadığı, konudan Kurumumuzun savunma talepli yazısının tebellüğ edildiği tarihte haberdar olunduğu, bu nedenle 30 günlük yasal sürenin dolmasına karşın cevap alınamadığı iddiasının doğru olmadığı,
İlgili kişinin müvekkil Banka ile imzaladığı bireysel bankacılık hizmetleri sözleşmesine istinaden kredi kullandığı, kredi sözleşmesi kurulurken kimlik, adres, telefon ve maaş bilgilerini rızası ile paylaştığı,
Kullandığı kredinin taksitlerini vadenin dolmasına ve akabindeki ihtara rağmen yerine getirmekten kaçındığı için hakkında takip kararı alındığı; çıkarılan ödeme emrinin adresinde bulunamadığı için Adres Kayıt Sistemindeki adres Mahalle Muhtarlığına; Tebligat Yasasının 21 inci maddesi gereğince tebliğ edildiği, süresinde itiraz olunmadığından takibin kesinleştiği, dosyanın derdest olduğu,
Takibin üzerinden 5 yılı/60 ayı aşkın süre geçmesine ve aleyhindeki yasal takibe rağmen şikayetçinin aldığı krediyi ödemekten kaçınması ve bundan rahatsızlık duymaması; ancak gönderilen borç hatırlatma mesajından rahatsızlık duymasındaki samimiyetin düşündürücü olduğu; ayrıca söz konusu SMS’lerin, ilgili kişinin kendisini telefondan arayarak bizzat bilgi istemesi üzerine rızası ile gönderildiği,
5 yıllık süreçte farklı telefon numaraları üzerinden kendileriyle iletişime geçen ve aradığı değişik hatlar nedeni ile sistemde adına birden fazla bağlantı numarası olan şikayetçinin güncel bilgi talebi sonrasında sistemde kayıtlı numaralarına 27.11.2018 günü SMS gönderilmesini şikayet etmesinin hakkın kötüye kullanılması olduğu, - T.C. kimlik numarasına göre abonelik sorgulaması yapıldığında; beyanın doğruluğunun anlaşılacağı ve şikayetçi adına hayatın olağan akışına aykırı sayıda GSM hattı olduğunun ortaya çıkarılabileceği,
Şikayetçinin dilekçesine yazmakla birlikte alenileştirdiği T.C. kimlik numarasına göre telefon operatörlerinin borç sorgulama sayfasına girildiğinde; adına toplam 16 adet hat olduğunun görüldüğü, hatırlatma mesajının gönderildiği hat ve Cumhuriyet Savcılığında ifade verirken bildirdiği hat dikkate alındığında adına kayıtlı 18 hat bulunduğu,
07.04.2016 tarihli Resmi Gazetede yayımlanmasına ve avukat olmasına karşın ancak hakkında yapılan şikayet üzerine inceleme fırsatı bulduğu 6698 sayılı Kişisel Verilerin Korunması Kanunundan kamuoyunun henüz haberdar olmadığı; toplumda “kişisel veri” ve bunun korunmasına ilişkin bilincin oluşması için ilgililer tarafından yapılması gerekli çalışmaların yeterli olmadığı,
Kamuoyunun, 6698 sayılı Kanunu son yıllarda kanun koyucu tarafından ihdas olunan ve uygulaması artık yerleşen 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 4054 sayılı Rekabetin Korunması Hakkındaki Kanun, 6112 sayılı Radyo ve Televizyonların Kuruluşu Hakkındaki Kanun, 5411 sayılı Bankacılık Kanunu, 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu, Enerji Piyasası Düzenlenme Kanunu ve benzeri kanunlar kadar içselleştirmiş olmadığı,
Müeyyideleri oldukça ağır bu Kanuna ilişkin bilgilendirme ve uygulamaların zaman içerisinde Kurum Başkanı ve mensupları tarafından kamuoyuna aktarılacağı muhakkak olsa da; bu sürecin henüz tamamlanmadığının bir vakıa olduğu,
“Kanunu bilmemek mazeret sayılmaz” ilkesi genel bir kural olsa da; hukuk sistemimize tamamen yabancı ve uygulama için geçiş süresi tanınan bu Kanun ve onun uygulayıcısı Kurumun konulara daha toleransla yaklaşması gerektiği, Kuruma ait web sayfasında yayımlanan kararların sayısı ve içeriğinin bu iddiayı doğrulayacak istikamette olduğu,
Nitekim; Kurulun “Veri Sorumluları Siciline Kayıt Yükümlülüğü”ne ilişkin 27.12.2019 tarih ve 2019/387 sayılı süre uzatım kararından; kendi hukuk büroları statüsünde olanların; sicile kayıt zorunluluk süresinin 30.09.2020 tarihine ötelendiği,
Konunun Kurumun görev/inceleme alanından çıktığı, şöyle ki,
6698 sayılı Kişisel Verilerin Korunması Kanununun (3071 sayılı yasaya atıfta bulunan) 15 inci maddesinin (2) numaralı fıkrasındaki “Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar ve şikayetler incelemeye alınamaz” şeklindeki düzenlemenin belirttiği üzere 01.11.1984 gün 3071 sayılı yasanın madde 6(b) fıkrası gereğince; yargı mercilerinin görevine giren konularla ilgili dilekçelerin istisna kabul edilerek yasanın kapsamı dışına bırakıldığı,
Şikayet dilekçesinin kapsamından da anlaşılacağı üzere; şikayetçinin aynı konuda aynı gerekçelerle 29.11.2018 tarihinde Cumhuriyet Başsavcılığına başvurarak şikayetçi olması sonucu; Adalet Bakanlığından alınan soruşturma izni ile “özel hayatın gizliliğini ihlal etmek, kişilerin huzur ve sükununu bozmak” suçlarından hakkında 2019/3709 sayılı evrak üzerinden yürütülen soruşturmanın devam ettiği, vaki şikayet üzerine konunun yargıya intikal etmiş olduğu ve soruşturmanın devam ettiği dikkate alındığında konunun kurumun görev/kapsama alanından çıktığı,
Nitekim bu hususun Kurulun 24.12.2018 gün ve 2018/156 sayılı kararında, “… şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine ……” denilmek suretiyle açıkça ifade edildiği,
Bu yüzden dosyanın; konu hakkında karar verilmesine yasal olanak bulunmadığı gerekçesi ile kapatılmasının gerektiği,
USULE İLİŞKİN OLARAK
Başvuru yolunun henüz tüketilmediği,
info@... adresine gönderildiği iddia edilen e-postadan 02.01.2019 tarihinde değil ancak Kurumun savunma talep ettiği yazının tebliğ günü olan 16.12.2019 tarihinde haberdar olunduğundan; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/2 maddesindeki “…. 13. madde uyarınca başvuru yolu tüketilmeden şikayet yoluna başvurulamaz…” hükmü karşısında; bu konu ile ilgili şikayetin cevap verilmediği takdirde 17.01.2020 tarihinden itibaren yapılabileceği ve ilgiliye de 13.01.2020 tarihinde yasal süre içerisinde yanıt verildiği gözetilerek; henüz başvuru yolu tüketilmediği için yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetin süresinde yapılmadığı,
Şikayetçinin 02.01.2019 tarihinde gönderildiğini iddia ettiği e-postanın gönderilme günü ile Kuruma şikayet dilekçesi verdiği 06.02.2019 tarihi arasında 1 ay 4 gün yani 34 günlük sürenin geçtiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/1 maddesindeki “…. Başvuruya cevap verilmemesi hallerinde; ilgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içinde Kurula şikayette bulunabilir ………….” şeklinde düzenleme dikkate alındığında; 30 günlük yasal süre içinde başvuruda bulunmadığı anlaşılan şikayetçinin usulsüz başvurusunun reddine kadar verilmesi gerektiği,
Şikayetin reddedilmiş sayılması gerektiği,
Kurumun; uymak zorunda olduğu varoluş yasasının 15 inci maddesinin (4) numaralı fıkrasındaki “….. şikayet üzerine kurul talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş sayılır….” şeklindeki düzenleme göz önüne alındığında; Şikayet dilekçesinin Kuruma verildiği 06.02.2019 tarihi ile Kurumun inceleme kararı verdiği 01.10.2019 tarihi arasında 7 ay 25 gün geçtiği ve yasal 60 günlük süre içerisinde şikayetçiye cevap verilmediği anlaşıldığından; talebin reddedilmiş sayılması gerektiği,
ESASA İLİŞKİN OLARAK,
Verinin işlenmesinin açık rızaya dayandığı,
Şikayetçi ile Banka arasında sözleşme düzenlenirken şikayetçinin rızasıyla kimlik, adres, telefon ve maaş bilgilerini paylaşmış olduğu ve bunların banka kayıtlarına işlendiği,
Kredi sözleşmesinde öngörülen vadenin dolmasına ve akabinde çekilen ihtara rağmen geri ödemesi gerçekleştirilmeyen gecikmiş borcun tahsili açısından alacaklı bankanın adına vekalet vermesinin ardından icra takibi aşamasına geçildiği,
Kesinleşen icra takibinin ardından tahsilat aşamaları ilerletilirken; geri ödeme yapmayan borçlunun durumunun sorgulandığı ve müvekkil Bankaya olan ve ödenmeyen borç dışında başka dosyaların da olduğu, şikayetçi hakkında çok sayıda icra takibi bulunduğunun tespit edildiği,
İcra İflas Kanununun temel ilkelerinden birisinin, “Alacağın tahsili için yapılacak işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” ilkesi olduğu; diğer yandan avukatın müvekkilin çıkarlarını gözetmek zorunda olduğu, bu açıdan bakıldığında mezkur dosyada olduğu gibi “bırakınız krediden kaynaklanan alacağını tahsil etme üstüne bir de durmadan icraya gider yatırarak sürekli masraf yapılmasını olabildiğince engellemek” sorumluluğu altında olduğu,
Bu sorumluluğun yasal dayanağını oluşturan Avukatlık Kanununun 35/A maddesinde; “Avukatlar dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem sonucu elde edebilecekleri konularla inhisar etmek kaydıyla, müvekkilleriyle birlikte karşı tarafı uzlaşmaya davet edebilirler.” hükmünün düzenlendiği,
Metinden de anlaşılacağı üzere; avukatın, müvekkilinin haklarını himaye etmek amacı ile müvekkilinin de rızasını alarak karşı taraf ile iletişime geçebileceği, müvekkil bankanın tarafına sağlıklı iletişim kurma izni ile şikayetçinin borcunu icra takip masrafları ile arttırmaktan ziyade; kendisini Avukatlık Kanununun 35/A maddesi uyarınca uzlaşmaya yani belirli indirimler yaparak borcunu ödemede kolaylık sağlamaya davet etmesinin hukuka uygun olduğu,
Kaldı ki; uzlaşma sağlanmasının alacaklı olan müvekkil bankadan ziyade borçlu şikayetçinin lehine olduğu; zira; borçlu adına kayıtlı tapu ve araçlara haciz şerhi eklenip satış talep edilerek, üzerine kayıtlı tüm mal varlığını satma imkanı kanun nezdinde tarafına verilmişken; bu yola tevessül edilmeyecek kişileri borçları yüzünden daha fazla mağduriyet yaşatmamak adına, hiçbir malın satışı talep edilmeyip iletişim yolu ile borca taksitlendirmeler yaparak tahsilat sağlanmaya çalışıldığı,
Takibin her aşamasında borçlu ile iletişime geçme hak ve imkanının mevcut olduğu; belli bir süre sonra -ki bu dosyada takibin açılmasından 3 yıl yani 36 ay sonra- şikayetçi borçluyu öncelikli olarak telefonla arama ve yanıt verilmediğinden mesaj gönderme sureti ile ilgilisini haberdar etme yönteminin tercih edildiği ve böylelikle İcra İflas Kanunundaki borçlu üzerindeki külfetin gereksiz yere artırılmasını engelleyen amir hükme uygun davranıldığı,
Bu meyanda; genel olarak 5411 sayılı Bankacılık Kanunu ve 6098 sayılı Türk Borçlar Kanununun hükümleri çerçevesinde; alacaklı banka ve hukuk bürosu arasında akdedilen vekâlet ilişkisi gereğince alacakların tahsili çalışmalarına devam edildiği; ayrıca Avukatlık Kanununun 35/A maddesindeki yasal yükümlülük dikkate alınarak borçlulara ödemede sağlanacak kolaylıkların ve borcun ödenmemesi halinde karşı karşıya kalınabilecek hukuki risklerin bildirilmesi açısından SMS gönderilmesi yönteminin uygun olacağının düşünüldüğü,
- Devlet memuru olan şikayetçinin; maaş ve diğer sosyal haklarına ve aracına, iş yerine icra dairesi aracılığıyla sürekli haciz talebi gönderilmesinin mi, yoksa uzun aralıklarla telefonundan aranması veya SMS gönderilmesinin mi çıkarına olacağının, hangi durumda kişinin itibar güvenilirliğinin sarsılacağının Kurulun takdirinde olduğu,
Derdest olan dosyada; İcra Müdürlüğü’nün borçlunun verilerini işlemiş olması dikkate alınarak; üstelik arandığında görüşmeyi kabul ederek onaylaması ve bilgi talep etmesi üzerine ödemede sağlanacak kolaylıklar ve ödenmemesi halinde karşılaşabileceği hukuki risklerin SMS ile şikayetçi borçluya bildirildiği,
Şikayetçi borçlunun; banka ile bireysel kredi sözleşmesi imzalanırken veri işlemeye gösterdiği rızanın açık olduğu ve bu anlamda hukuka uygun olduğu,
Ayrıca Kanunun geçiş hükümlerini düzenleyen; Geçici 1 inci maddesinin (3) numaralı fıkrasında yer verilen “Ancak bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, bu kanuna uygun kabul edilir” şeklindeki hüküm dikkate alındığında bu süre içerisinde aksine beyanda bulunduğunu kanıtlayamayan şikayetçinin rızasının devam ettiğinin kabul edilmesi gerektiği,
Bu bağlamda şikayet hakkının bulunmadığı ve yersiz şikayetin reddine karar verilmesi gerektiği,
Kanunun 5 inci maddesinin 2 numaralı fıkrasının (e) bendi dikkate alındığında; işlenen veri açısından şikayetçi borçlunun açık rızasına da gerek bulunmadığı,
Şikayetçi borçlunun, bu verinin işlenmesine dair Banka ile imzalanan sözleşme sırasında verdiği ve tanınan bir yıllık geçiş süreci içinde de geri almadığı rızasına istinaden, geciktirilen geri ödeme nedeni ile alacağını tahsil etmek isteyen bankanın cebri icrada bulunabilmesi yani sözleşmeden doğan alacak hakkını kullanabilmesi için icra dosyasında borçlunun verilerinin işlenmesinin zorunlu olduğu,
Nitekim bu hususun Kurulun 31.05.2019 tarih ve 2019/159 sayılı kararında, “.... Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı kanunun 186. maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedeniyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına...” denilmek suretiyle açıkça ifade edildiği,
Rıza var kabul edildiğinden şikayetin reddine karar verilmesi gerektiği,
Verilmiş rızaya dayanarak işlenen verinin; 6698 sayılı Kişisel Verilerin Korunması Kanununun çizdiği çerçeve içinde kalınarak kullanılması halinde; hukuka aykırılıktan söz etmenin mümkün olmadığı,
Müvekkil bankanın bireysel kredi sözleşmesinden doğan meşru alacağını tahsil edebilmek amacıyla icra müdürlüğü tarafından işlenmiş veri kullanılarak, şikayetçi-borçluya üstelik kendi talebi ile SMS gönderilmesinin hukuka uygun olduğu,
Hiçbir şekilde ikrar anlamına gelmemek kaydıyla, 27.11.2018 tarihinde borçluya ait olduğu düşünülen hatlara, tek seferde yalnızca bir SMS gönderildiği,
Bu durumun, işlenmiş verinin, yasal ve somut bir alacağı tahsil edebilme amacı ile ölçülü ve sınırlı bir şekilde kullanıldığını yani Kanunda aranan dürüstlük kurallarına uyulduğunu ispatladığı,
Sonuç olarak gönderilen SMS’lerin, meşru temelli, makul sayıda ve ölçülü içerikte olup dürüstlük kuralları gözetilerek iletildikleri anlaşılacağından yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetçinin aradan geçen 5 yıllık sürede farklı GSM hatlarından büroyu birden fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği,
Ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı,
Şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği,
Bireysel kredi sözleşmesinde şikayetçi borçlu dışında buna kefalet veren biri olmadığından, yani meslektaşlarından veya ağabeyinden borcu hukuken tahsil etme şansı bulunmadığından; adı geçenlere SMS göndermekte (yapılan masrafın dışında) bir çıkarları olmadığı, bu açıdan bakıldığında adı geçenlere kasıtlı olarak SMS gönderildiğini iddia etmenin abesle iştigal olduğu, yegane amaçlarının borçluya ulaşmak ve onu bilgilendirmek olduğu; mesaj atılan iş arkadaşlarının ve ağabeyinin kullandığı cep telefonlarını araştırarak bulma ve SMS gönderme gibi özel bir kasıtla hareket edilmediği,
Yukarıda da açıklandığı üzere, T.C. kimlik numarasına göre abonelik araştırıldığında, hayatın olağan akışına aykırı sayıda GSM hattının adına kayıtlı olduğundan şüphe duyulan şikayetçinin, ofis arkadaşlarına ait hatlardan araması veyahut ekonomik durumu hakkında referans olmaları için meslektaşlarının numaralarını bildirmiş olmasının kuvvetle muhtemel olduğu,
Ayrıca GSM hattının adına kayıtlı kişi dışında, aile fertlerinden bir başkası tarafından kullanılmasına Türkiye’de sıkça rastlandığının gözden kaçırılmaması gerektiği,
Ofislerinde, …Takip Sistemi ve 118 80 bilinmeyen numaralar ile internet üzerinden herkesin kolaylıkla ulaşabildiği kimlik, adres ve telefon bilgileri sorgulayan.... dışında program kullanılmadığı, bu hususta yerinde inceleme yapılmasının da mümkün olduğu,
Kurumumuz
un yazısı ekinde gönderilen “Veri Sorumlusu Tanıtım Formu”nun 30.09.2020 tarihine kadar yasal süresi içerisinde doldurularak “Veri Sorumluları Siciline Kayıt Yükümlülüğü”nün yerine getirileceği
belirtilerek, konunun yargıya intikal etmiş olması, usule ilişkin itirazları, Kurul aksi kanaatte ise esasa ilişkin açıklamaları dikkate alınarak yersiz olarak nitelendirdiği şikayetin reddedilmesi talep edilmiştir. Avukatın savunmasında ayrıca, şikayetçinin T.C. kimlik numarasına göre adına kayıtlı cep telefonu aboneliklerinin olanak varsa sorgulanması yoksa iletişim şirketlerine yazı yazılması; bu minvalde 01.11.2018 - 31.12.2018 tarihleri arasında adına kayıtlı hattı arayanlar listesinin de GSM şirketinden getirtilmesi ve yapılacak incelemede değerlendirilmesi Kurumumuzdan talep edilmiştir.
Öte yandan, inceleme süreci devam ederken ilgili kişiden alınan ek beyanda, Kurumumuzun savunma istemesinden sonra şikayet ettiği veri sorumlusu avukat tarafından kendisine iletilen cevapta şahsına ait bir çok numaranın olduğu ve kişisel verilerini içeren mesajların atıldığı numaraların kendisine ait olduğunu düşündüğü ve bu amaçla bilgilendirme amaçlı mesaj attıklarını iddia ettiği, şahsına ait tüm hat dökümlerini abonelik başlangıç ve bitiş tarihleri ile tarafımıza sunduğu, kişisel verilerinin paylaşıldığı tarihte şahsına ait tek bir hattın olduğunun görüleceği; kişisel verilerinin banka ile yapmış olduğu sözleşme kapsamında alenileştirilmiş olduğu açıklamasının doğru olmadığı; mesaj atılan numaraların şahsına ait olduğunu düşündüğünü belirtmiş olmasına rağmen yazısı ekinde sunulan ekran görüntülerinden anlaşılacağı üzere ve Savcılıkta ifade veren iş arkadaşlarına gönderilen mesajlarda o dönem beraber görev yaptığı bir başka iş arkadaşının borç bilgilerinin de paylaşılmış olduğunun görülebileceği, hukuk bürosu çalışanları, söz konusu mesaj atılan numaraların şahsına ait olduğunu düşünüyor ise diğer kişinin borç bilgilerini neden aynı numaralara mesaj gönderdiklerinin sorgulanması gerektiği belirtilmiştir.
Bahse konu şikayet başvurusu ve ek beyanlar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunca alınan 28.05.2020 tarih ve 2020/429 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir.
Şikayete konu olayda, bankaya borcu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen şikayetçinin “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işlemesi gereken avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişinin iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise “veri işleme faaliyeti” olduğu değerlendirilmektedir. Diğer yandan Kanunda, kişisel veriler sınırlı sayma yöntemi ile belirlenmemiş, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirilmiştir. Bu bağlamda, ilgili kişinin ağabeyine ve iş arkadaşlarına gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesajın, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği anlaşılmaktadır.
Usule İlişkin Değerlendirme
Veri sorumlusunun iddiası, ilgili kişinin 02.01.2019 tarihli e-postasından haberdar olunmadığı, şikayetin varlığından Kurumumuzun bilgi belge talebi yazısı ile haberdar olunduğu, bu durumda ilgili kişiye cevap verme süresinin Kurumumuz yazısının tebellüğ tarihinden itibaren başladığı yönündedir. Ancak, Kanunun 13 üncü maddesinin (2) numaralı fıkrası, “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır” hükmünü amir olup, bu hükümde belirtilen 30 günlük sürenin Kurum yazısının tebellüğ tarihinden başlaması mümkün değildir.
Usule ilişkin bir diğer iddia, e-posta tarihinin 02.01.2019, Kurula şikayet tarihinin 06.02.2019 olduğu, bu durumun ise Kanunun 14 üncü maddesinin (1) numaralı fıkrası hükmüne uygun olmadığı yönündedir. Bilindiği üzere, Kanunun “Kurula şikâyet” başlıklı 14 üncü maddesi, “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.” hükmünü amirdir. Şikayete konu olayda başvuruya cevap verilmediği için başvurudan itibaren 60 günlük süre kuralı geçerli olacaktır ki, ilgili kişinin Kurumumuza başvurusu, veri sorumlusuna başvuru tarihinden sonra 34 üncü günde yapılmış olup, Kanunda belirlenen 60 günlük yasal süre içerisinde yapılmış bir başvurudur.
Son olarak, veri sorumlusu şikayetin üzerinden uzun zaman geçmiş olduğunu belirtmekte ve Kanunun 15 inci maddesinde yer alan “….. şikayet üzerine Kurul talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş sayılır….” hükmüne dayanarak şikayetin reddedilmiş sayılmasını talep etmektedir. Ancak, Kurumumuzun 03.04.2019 tarih ve 4485 sayılı yazısı ile, konuya ilişkin incelemenin sürdüğü ve sonuçlanmasını müteakip tarafına bilgi verileceği hususu ilgili kişiye tebliğ edilmiş olup, bu bilgilendirmenin yapılması hususunda Kanunun ilgili maddesinde belirtilen süre gözetilmiştir. Ayrıca, dosyaya ilişkin alınan 2019/293 sayılı ilk Kurul Kararı da ilgili kişiye tebliğ edilmiş olup, dosyanın safahat bilgileri ilgili ile paylaşılmıştır.
Bu değerlendirmeler ışığında, veri sorumlusunun usule ilişkin itirazlarının reddedilmesi kanaatine varılmıştır.
Esasa İlişkin Değerlendirme
Kanunun 5 inci maddesi, kişisel verilerin işlenme şartlarını düzenlemekte olup, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükme bağlanmıştır.
Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu değerlendirilmektedir.
Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerekmektedir. Bu kapsamda ne banka ile ne de avukat ile bağı olan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının işlenmesi ve akabinde şikayetçi ilgili kişiye ait kişisel verilerin bu üçüncü kişilere ifşası Kanunun 5 inci maddesinin (2) numaralı fıkrası hükümleri kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti değildir.
Somut olayda Avukat tarafından ilgili kişiye ait borç bilgilerinin ağabeyi ve iş arkadaşlarına kısa mesaj olarak gönderilmesi eylemi bakımından, ilgili kişinin ağabeyinin ve iş arkadaşlarının telefon numarasının hangi surette elde edildiği ve bu telefon numaralarının işlenmesinde Avukatın hangi hukuki gerekçeye dayandığının da değerlendirilmesi gerekmektedir. Avukat tarafından yapılan savunmada, şikayetçinin süreç içerisinde farklı GSM hatlarından büroyu birden fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği, ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı, şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği şeklindeki açıklamasının, söz konusu üçüncü kişilerin telefon numaralarının avukat tarafından işlenmesi bakımından Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı kanaatine varılmaktadır.
Ayrıca, veri sorumlusunun savunmasında, borçluya ait olduğu düşünülen telefon hatlarına aynı gün, yani 27.11.2018 tarihinde tek seferde yalnızca bir SMS gönderildiği belirtilmektedir. İlgili kişinin iş arkadaşlarının Cumhuriyet Başsavcılığında verdikleri ifadelerde kendilerine 27.11.2018 tarihinde SMS gönderildiği belirtilmekle birlikte, ilgili kişinin ağabeyi tarafından verilen ifadenin ekinde yer alan ekran görüntüsü çıktılarında söz konusu SMS’lerin bu kişiye muhtelif tarihlerde pek çok kez gönderildiği anlaşılmaktadır. Diğer yandan, ilgili kişinin iş arkadaşlarının telefon ekran görüntüsünde, ilgili kişi dışında bir başka şahsın borç bilgilerinin de avukata/hukuk bürosuna ait olduğu anlaşılan numaradan bu kişiler ile paylaşıldığı görülmektedir.
Kanunun 12 nci maddesinde yer alan hüküm gereğince veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.
Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılması Kanun hükümlerine aykırılık teşkil etmekte olup, bu suretle veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.
Öte yandan, veri sorumlusu avukatın savunmasında, ilgili kişinin hayatın olağan akışına aykırı şekilde fazla sayıda telefon hattı aboneliğine sahip olduğu belirtilerek, bu durumun, ilgili kişinin dilekçesine yazmak suretiyle alenileştirdiği T.C. kimlik numarası kullanılarak GSM operatörlerinin borç sorgulama sayfalarından tespit edildiği belirtilmiş ve bu sorgulamalara ilişkin internet sayfası çıktıları da savunmaya eklenmiştir. Öncelikle, veri sorumlusu avukatın görevi gereği edindiği veya ilgili kişinin veri sorumlusu avukata başvurmak amacıyla kendisine bildirmiş olduğu kişisel verilerin alenileştirilmiş veri olduğunu söylemek mümkün değildir. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinde de belirtildiği üzere, alenileştirmeden söz edilebilmesi için ilgili kişinin alenileştirme iradesinin bulunması ve ayrıca verinin alenileştirme amacı dışında kullanılmaması gerekmektedir. Ancak, avukatın başka bir vesile ile işlediği kişisel verileri kullanarak ilgili kişinin GSM aboneliklerini ve borçlarını sorgulaması bu bağlamda değerlendirilemeyecektir. Diğer yandan, bilindiği üzere, Kanunun genel ilkeler başlıklı 4 üncü maddesinde, kişisel verilerin işlenmesinde uyulması gereken ilkeler düzenlenmiş olup, maddenin (2) numaralı fıkrasında kişisel verilerin işlenmesinde “(c) belirli, açık ve meşru amaçlar için işleme, (ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması gerektiği hükme bağlanmıştır. Veri sorumlusunun icra işlemlerinde kullanmak üzere edindiği veya ilgili kişi tarafından kendisine bildirilen T.C. kimlik numarasını kullanarak GSM hattı sorgulaması yapmak suretiyle ikinci bir hukuka aykırı veri işleme eylemine sebebiyet verdiği değerlendirilmektedir.
Kanuna uyum konusunda genel değerlendirme
Veri sorumlusu avukat tarafından Kurumumuza iletilen savunmada, 6698 sayılı Kanun ve uygulamalarına ilişkin yanlış tespit ve değerlendirmeler olduğu anlaşılmış olup, bu hususta genel bir değerlendirme yapılması gereği hasıl olmuştur.
Kanunun kamuoyu tarafından bilinmediği, içselleştirilmediği şeklindeki açıklamaya karşılık olarak, Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş; geçiş hükümleri Kanunun Geçici 1 inci maddesinde düzenlenmiştir. Geçici 1 inci maddenin (3) numaralı fıkrasında “Kanunun yayımı tarihinden önce işlenmiş kişisel verilerin Kanunun yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirileceği belirtilmek suretiyle uyum için gerekli süre de hüküm altına alınmıştır. Söz konusu iki yıllık geçiş süresinin 7 Nisan 2018 tarihi itibari ile dolduğu dikkate alındığında, içinde bulunduğumuz tarih itibariyle, mesleği gereği mevzuat konularına hâkim olması gereken veri sorumlusu avukatın söz konusu açıklamasının kabul edilebilir olmadığı değerlendirilmektedir.
Öte yandan, Kurulca alınan karar sayısının az olduğu değerlendirmesine karşılık olarak, Kurul tarafından alınan her Kararın değil, sadece yayımlanmasına Kurulca karar verilen Kararların, Kanunun 12 nci maddesinin (5) numaralı fıkrası ile yine Kanunun 23 üncü maddesinin (5) numaralı fıkrası hükümlerine istinaden yayımlandığını belirtmekte fayda görülmektedir.
Öte yandan, veri sorumlusu avukat, Kurumun savunma talebi yazısı ekinde matbu olarak tüm veri sorumlularına iletilen Veri Sorumlusu Tanıtım Formunu doldurmamış, savunmasında yasal süre olan 30.09.2020 tarihi itibariyle formun doldurulacağı ve VERBİS’e kayıt yükümlülüğünün yerine getirileceğini belirtmiştir. Bilindiği üzere, Kanunun “Veri Sorumluları Sicili” başlıklı 16 ncı maddesinin (2) numaralı fıkrasında Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği düzenlenmiş olup, söz konusu hükmün verdiği yetki çerçevesinde Kurul tarafından alınan 02.04.2018 tarih ve 2018/32 sayılı Karar uyarınca “19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar” VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu anlamda, veri sorumlusunun bir avukat olduğu dikkate alındığında, avukatlık mesleği dışında bir veri sorumluluğu bulunup bulunmadığı ve VERBİS’e kayıt yükümlülüğü olup olmadığı tarafınca ayrıca değerlendirilmelidir.
Öte yandan, veri sorumlusunun savunmasında, ofislerinde kullandıkları bazı yazılımlardan söz edilmekte olup, bu hususta Kurul tarafından alınan “Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik” 18/10/2019 tarihli ve 2019/308 sayılı İlke Kararının veri sorumlusunca dikkate alınması gerektiği değerlendirilmektedir.
Bu minvalde, veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasının uygun olacağı sonucuna ulaşılmıştır.
Konunun yargıya intikal etmiş olmasına ilişkin değerlendirme
Gerek ilgili kişi tarafından sunulan belgeler gerek veri sorumlusu avukatın savunması ve sunduğu belgeler, konunun ilgili kişi tarafından yargıya intikal ettirilmiş olduğunu göstermektedir. 1136 sayılı Avukatlık Kanununun “Soruşturmaya yetkili Cumhuriyet Savcısı” başlıklı 58 inci maddesinde, “Avukatların avukatlık veya Türkiye Barolar Birliği ya da baroların organlarındaki görevlerinden doğan veya görev sırasında işledikleri suçlardan dolayı haklarında soruşturma, Adalet Bakanlığının vereceği izin üzerine, suçun işlendiği yer Cumhuriyet savcısı tarafından yapılır” hükmü düzenlenmiş olup, avukat hakkındaki işlemin bu hüküm çerçevesinde yürütüldüğü anlaşılmaktadır. Ancak, ilgili Cumhuriyet Başsavcılığı tarafından hazırlanan Adalet Bakanlığı Ceza İşleri Genel Müdürlüğünü muhatap fezlekenin “Netice ve Kanaat” bölümünde avukatın “kişilerin huzur ve sükununu bozma, görevi kötüye kullanma ve özel hayatın gizliliğini ihlal suçlarını işlediği hususunda yeterli şüpheye ulaşıldığı” ifadesi yer almakta olup, avukatın savunması ekinde de görüleceği üzere söz konusu suçlar arasında kişisel verilere ilişkin suçlar bakımından bir değerlendirmeye gidilmemiş olup, bu anlamda şikayete konu eylemde hukuka aykırı bir kişisel veri işleme faaliyeti olduğu değerlendirildiğinden konunun Kurulun görev ve yetki alanında olduğu sonucuna varılmaktadır. Ayrıca, ilgili kişinin ağabeyinin ve kendisiyle aynı yerde ikamet eden iş arkadaşlarının iletişim bilgilerinin kaydedilmesi ve bu kişilere SMS gönderilmesi şeklinde gerçekleşen kişisel veri işleme faaliyeti bakımından konunun yargıya intikal etmediği ve bu hukuka aykırı kişisel veri işleme faaliyetinin de Kurulun yetki ve görev alanında bulunduğu dikkate alındığında söz konusu şikayete ilişkin yapılan inceleme neticesinde Kurul tarafından Kanunda yer alan müeyyidelerin uygulanmasının önünde bir engel olmadığı değerlendirilmektedir.
Sonuç olarak,
Bankaya olan borcuna ilişkin bilgilerin, icra işlemlerini yürüten avukat tarafından kendisi gibi kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine SMS aracılığıyla gönderilmesi üzerine, ilgili avukatlık bürosuna başvuran ancak bir cevap alamayan ilgili kişinin şikayetinin incelenmesi neticesinde;
1. Veri sorumlusunun usule ilişkin itirazlarının yersiz olması nedeniyle reddedilmesine,
2. Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına,
3. Veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına,
karar verilmiştir.
Comments