Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/859 sayılı Karar Özeti


“İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/859 sayılı Karar Özeti

 

Karar Tarihi : 26/08/2021
Karar No : 2021/859
Konu Özeti : İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, internet hizmeti alımı talebini karşılamak amacıyla evine gelen internet hizmeti sağlayan şirket yetkilileri tarafından kimlik bilgilerinin sözleşme üzerine yazılmasına rağmen ayrıca kimlik fotoğrafının da çekilmesinin istendiği, kendisinin kimlik üzerine “Müstenidattır” yazısı ekleyerek fotoğraf çekmelerini istediyse de bunun firma tarafından kabul edilmediğinin ifade edildiği, bunun üzerine hizmet alımını reddetmesi sebebiyle yetkililerin evden ayrıldığı, ardından veri sorumlusundan kimlik bilgilerinin silinmesini talep ettiği, ancak talebinin şirketin daha sonraki olası işlemlerde kendisini hatırlaması amacıyla saklandığı hususları ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında konu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Şirket tarafından abonelere temel ve katma değerli elektronik haberleşme hizmetlerinin sunumu, faturalama, müşteri hizmetleri, şikayetlerin yanıtlanması gibi amaçlar için gerekli olan hallerde her bir kategori bazında kişisel verilerin işlenebildiği,
  • Kimlik bilgilerinin T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, medeni durum, cinsiyet, kimlik belgesi örneği, fotoğraf gibi kişisel verileri, iletişim bilgilerinin ise adres, telefon/faks numarası, e-posta adresi gibi kişisel verileri ifade ettiği,
  • Yukarıda sıralanan kişisel veri tiplerinin işlenme gerekçesinin temel olarak abonelerin şirketle yaptığı abonelik sözleşmesi kapsamında,  Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde ifade edilmiş olan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca olduğu,
  • Şirketin Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş ve temel iştigal alanının 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuat çerçevesinde elektronik haberleşme hizmetlerinin sunulması olduğu, bu kapsamda Şirketin tüm ürün ve hizmet süreçleriyle ilgili BTK düzenlemelerine uymakla yükümlü olduğu, 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bilgi Teknolojileri ve İletişim Kurumu, Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasının 

“...
(6) Abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmeci abonelik sözleşmesinin yanında;
a)    Bireysel aboneliklerde T.C. Kimlik Numarası ile kimlik belgesinin,
b)    Kurumsal aboneliklerde yetkili kişinin T.C. Kimlik Numarası ve kimlik belgesi ile temsile yetkili olduğuna dair belge ile imza sirkülerinin,
c)    Yabancı uyrukluların aboneliklerinde geçerlilik tarihi uygun pasaport, uluslararası geçerliliği olan muadili belge veya ulusal geçerliliği olan kimlik muadili belgenin, birer örneğini almakla yükümlüdür. Abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazı istenir. İşletmeci tarafından bu belgelerin örneği asılları üzerinden ve yalnızca uygun elektronik ortama aktarılarak alınır.
(7) İşletmeciler, abonelik sözleşmelerini ve sözleşmenin tesisi için gerekli bilgi ve belgeleri kuruluş şekline uygun olarak muhafaza etmekle yükümlüdür.”
hükümlerini içerdiği,

  • Bu kapsamda, abonelik sözleşmesi yapılması için kimlik fotoğrafının çekilmesi uygulamasının Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrası gereğince yükümlülük olduğu, 
  • Bu yükümlülüğün yerine getirilebilmesi için şirket tarafından özel bir uygulama geliştirilmiş olduğu ve kimlik belgesinin fotoğrafının ilgili çalışan tarafından şirketin bu özel uygulaması ile çekildiği, bu uygulama ile çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, herhangi bir cihaz içerisinde veya bayi sisteminde saklanmadığı, mevzuatın izin verdiği yahut yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı,
  • Uygulama üzerinden çekilen ve gönderilen fotoğrafın çalışanın cihazında muhafaza edilmesinin mümkün olmayıp, belge fotoğraflarının uygulama üzerinden ve usulüne uygun olarak gönderilip gönderilmediğinin evrak arşiv sistemlerinde düzenli olarak kontrol edildiği ve denetlendiği,
  • Bu kapsamda kimlik belgesinin fotoğrafının çekilmesine ilişkin hukuki gerekçenin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde ifade edilmiş olan “Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması.” hükmü olduğu, 
  • Öte yandan, kişisel verilerin, Kanun ve yukarıda sayılan mevzuat başta olmak üzere ve bunlarla sınırlı olmaksızın ilgili tüm mevzuata uygun olarak, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, taraflarınca re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği,
  • İlgili kişinin şikayetine ilişkin taraflarınca yapılan incelemelerde, ilgili kişinin talebi ile abonelik sözleşmesi yapılması için şirket yetkililerince evine gidildiği, ancak kimlik fotoğrafının çekilmesinin istememesi sebebiyle sözleşme kurulmadığı ve kimlik fotoğrafının çekilmediğinin anlaşıldığı,
  • Bununla birlikte ilgili kişinin kendisinin veya diğer resmi kurum/adli mercilerin şirketten bu kişiyle ilgili bilgi talep etmesi durumunda, ilgili kişinin şirkete başvurusunun incelenip ilgili bilgilere ulaşılabilmesi, başvuru sahibinin kimliğinin teyit edilmesi ve şikayet konusuyla eşleştirilmesi, bir başka deyişle ilgili kişinin “tanınabilmesi” için gerekli kişisel verilerinin saklanması gerektiği,
  • Şirketçe ilgili mercie şikayetçi bazında yanıt verilebilmesi ve bilgi/belge sunulabilmesi için ilgili kişilerin asgari olarak kimlik bilgilerinin tutulması gerektiği, Kurumun bilgi talepli yazısının cevaplanması için gerekli verilere ulaşılmasının dahi ilgili kişinin bu işlem için ihtiyaç olan kişisel verilerinin saklanması neticesinde mümkün olduğu, bu nedenlerle ilgili kişinin kişisel verilerinin silinmesine dair başvurusunun reddedildiği, ancak söz konusu verilerin bu işleme amaçları dışında işlenmesinin söz konusu olmayacağı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarih ve 2021/859 sayılı Kararı ile;

  • Kanunun Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,  “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasında yer alan hüküm uyarınca veri sorumlusu tarafından abonelik sözleşmesinin tesisi için gerekli kimlik belgelerinin asılları üzerinden elektronik ortama aktarılmasının zorunlu olduğunun anlaşıldığı, dolayısıyla ilgili kişilerin kimlik belgesinin fotoğrafının çekilmesi yönündeki kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü temelinde gerçekleştirildiği, bu anlamda söz konusu kişisel veri işleme faaliyetinde Kanuna aykırılık unsuru bulunmadığı, 
  • Somut olayda ise, veri sorumlusundan alınan cevap yazısında ilgili kişinin kimlik fotoğrafının çekilmediği ve yalnızca kimlik bilgilerinin ilgili kişi ile abonelik sözleşmesi yapılması için o aşamada işlendiğinin belirtildiği göz önünde bulundurulduğunda söz konusu kimlik bilgilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiğinin anlaşıldığı, 
  • Bununla birlikte ilgili kişinin sonraki aşamada sözleşme yapmaktan vazgeçmesi üzerine bilgilerinin silinmesini talep ettiği, veri sorumlusu tarafından ise ilgili kişinin tüketici sıfatını kazanması nedeniyle veri sorumlusu bünyesinde kişinin kimlik teyidinin yapılması adına asgari düzeyde kimlik bilgilerinin işlenmesinin söz konusu şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği,
  • Her ne kadar sözleşme taraflar arasında kurulmamış olsa dahi kişinin tüketici sıfatını kazanması nedeniyle şirket hakkında çeşitli mecralarda ileri sürebileceği şikayetlerin söz konusu olabileceği, bu anlamda veri sorumlusunun kendini savunma hakkının gündeme geldiği, Anayasanın 36 ncı maddesinde adil yargılanma hakkının; herkesin, meşru vasıta ve yollardan faydalanmak suretiyle yargı mercileri önünde davacı veya davalı olarak iddia ve savunma ile adil yargılanma hakkına sahip olması şeklinde düzenlendiği, savunma hakkının, suç islediği iddia edilen kişinin, devlet ya da bireyler tarafından kendi varlığına yöneltilen eylem ve işlemlere karşı kendisini korumak için yasal yollara başvurması veya yasal imkanlardan faydalanması olarak tanımlandığı,
  • Bu kapsamda, ilgili kişinin talebi üzerine, veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartının ortadan kalktığı,  bunun yanı sıra şikayet süreçlerinin sağlıklı yürütülmesi adına kimlik bilgilerinin işlendiği ve ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında savunma hakkının gereği gibi sağlanabilmesini teminen asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığı, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği

değerlendirmelerinden hareketle,

  • İlgili kişinin talebi üzerine veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle verilerin silinmesi talebinde bulunulduğu, ancak ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında sınırlı düzeyde kişisel verilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığına, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.