“Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/11/2021 tarihli ve 2021/1153 sayılı Karar Özeti
Karar Tarihi | : | 11/11/2021 |
Karar No | : | 2021/1153 |
Konu Özeti | : | Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi |
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin başvurusunda bulunması gereken zorunlu unsurların tamamının yer almadığı, gerekli bilgilerin bulunmaması sebebiyle kimlik doğrulaması yapılamadığı, her ne kadar usulüne uygun bir başvuru olmasa da hak ihlaline sebebiyet vermemek adına ilgili telefon numarasının mesaj gönderilmemesi amacıyla sistem üzerinden engellendiği ve talebine ilişkin olarak ilgili kişiye yanıt verilerek söz konusu işlemin hata ile ortaya çıktığının ve düzeltmelerin yapıldığının bildirildiği; ancak usulüne uygun olarak yapılmayan başvurudan kaynaklı şikâyet hakkının kullanılmasının mümkün olmadığı,
- Veri sorumlusu bünyesinde ilgili kişiye ait herhangi bir kayıt veya kişisel veri bulunmadığı, ilgili kişiye ait olduğu iddia edilen cep telefonu numarasının, veri sorumlusundan daha önce hizmet alan başka bir şahsın numarası olduğu ve bu cep telefonu numarasının reklam ve kampanya amaçlı bilgilendirme ve iletişim faaliyetlerinin yürütülebilmesi amacı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (1) numaralı fıkrasına uygun olarak açık rıza işleme şartı kapsamında işlendiği, bu kapsamda söz konusu numaraya bilgilendirme mesajları gönderilmesi hususunda hastaya yeterli bilgilendirmelerin yapıldığı ve kendisi ile iletişime geçilmesine yönelik ıslak imzalı dilekçe ile açık rızasının alındığı,
- İlgili kişinin başvurusu üzerine bahse konu telefon numarasının, bilgileri kayıtlı olan hastanın iletişim bilgileri kısmından silinerek taraflarınca gerekli düzeltmelerin yapıldığı, ilgili kişiye de hatanın düzeltildiği yönünde bilgi verilerek bu tarihten sonra kendisine herhangi bir elektronik ileti gönderilmediği ve ilgili kişinin başka bir kişisel verisinin işlenmediği,
- Kişisel Verileri Koruma Kurulu’nun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararına uygun şekilde SMS doğrulama sistemine geçildiği ve kimlik doğrulaması ile ilgili kişilerin kişisel verilerinin tespit edilerek buna uygun şekilde açık rızaları doğrultusunda kendilerine SMS gönderildiği; ancak ilgili kişinin telefon numarasının SMS doğrulama sisteminden önce yazılı ve ıslak imzalı bir açık rıza metni olması sebebi ile onayı olduğu varsayılarak sisteme eklendiği ve bu açık rızaya dayalı olarak mesaj iletildiği
ifade edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/11/2021 tarihli ve 2021/1153 sayılı Kararı ile;
- Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı, talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği,
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuruya Cevap” başlıklı 6’ıncı maddesinin (1) numaralı fıkrasında veri sorumlusunun bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun ve (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceğinin veya gerekçesini açıklayarak reddedeceğinin düzenlendiği,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7’nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceğinin; (2) numaralı fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun; (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenlendiğinin hükme bağlandığı,
- İlgili kişinin veri sorumlusuna ilettiği başvuru incelendiğinde ad, soyad, imza, adres ve iletişim bilgisine yer verildiği görüldüğünden ilgili kişinin veri sorumlusu nezdinde herhangi bir kaydı bulunmaması nedeniyle kimlik tespiti yapılamaması gibi bir durumun söz konusu olmayacağı,
- Kanun’un 13’üncü maddesi ile Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası hükümlerine istinaden veri sorumlusunun, ilgili kişinin başvurusunu gerekçesini açıklayarak reddetmemek suretiyle cevaplandırmış olduğu göz önünde bulundurulduğunda ilgili kişinin Kurula başvuru şartını yerine getirdiği ve usulüne uygun bir başvurunun Kurul tarafından incelemeye alındığı sonucuna varıldığı,
- Veri sorumlusundan daha önce hizmet aldığı iddia edilen şahsa ilişkin bir cihaz satış belgesinin Kuruma iletildiği, söz konusu belgenin üzerindeki bilgilerden bu satışın 2019 yılında gerçekleştirildiğinin ve iletişim bilgisi olarak ilgili kişinin cep telefonu numarasının yer aldığının anlaşıldığı,
- Söz konusu cep telefonu numarası bahsi geçen müşteri yerine ilgili kişiye ait olsa da veri sorumlusu tarafından bu durumun bilinmediği ve söz konusu numaranın anılan müşteriye ilişkin bir veri olarak işlendiği, dolayısıyla ilgili kişinin cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirilmiş bir veri olarak işlenmediği ve müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu kanaatine varıldığı,
- Veri sorumlusu tarafından belirtilen müşterinin imzalamış olduğu dilekçeden, reklam ve pazarlama amaçlı olarak kendisine elektronik ileti gönderilmesi hususunda açık rızasının bulunduğunun anlaşıldığı,
- Veri sorumlusunun Kuruma verdiği yanıtta, ilgili kişinin başvurusu üzerine söz konusu numaranın “kara liste”ye alındığı belirtilerek ilgili listeye ilişkin ekran görüntüsüne yer verilmişse de herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin kara listeye alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği ve bu anlamda ilgili kişinin şikâyetine konu kişisel verisinin Kanun’un 7’inci maddesine uygun olarak imha edilmediği sonucuna varıldığı
değerlendirmelerinden hareketle;
- İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
- Bununla birlikte, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.