Diğer Haberler
Kişisel Verileri Koruma Kurumu (KVKK), Borçlunun Akrabalarına Mesaj Gönderilmesini Cezalandırdı
Kişisel Verileri Koruma Kurumu (KVKK), bir GSM şirketinden kalan hat borcu için alacaklının akrabalarını arayıp icra tehditli kısa mesajlar atan avukatlık bürosunun sahibine, Kişisel Verileri Koruma Kanunu'na aykırı davrandığı gerekçesiyle 100 bin liralık ceza kesti.
Telefonuna, "Borcunuzu ödemediğiniz takdirde, hacze gelinecek ve evde olmamanız durumunda kapınız polis eşliğinde çilingirle açılacak ve işlemler yapılacaktır" ifadelerinin olduğu mesajlar gönderildiğini öğrenen vatandaş, bunun üzerine aynı gün kendisini ve babasını arayan numarayı arayarak görüşmeyi, karşı tarafa da haber vererek kaydetti.
Görüşmede, borçlu ile nasıl bağdaştırıldığını soran vatandaş, "Avukatlık sistemlerinin bulunduğu, burada borçlunun tüm yakınlarının ve akrabalarının numarası ile ev adresinin kayıtlı olduğu" yanıtını alması üzerine şikayet dilekçesi hazırlayarak, KVKK'ye başvurdu.
Başvuru üzerine 7 Ocak 2020'de inceleme başlatan KVKK, avukatlık bürosu sahibi M.A.'yı da 28 Ağustos 2020 tarihli yazıyla haberdar etti.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ilgili maddeleri hatırlatılıp şikayetçinin iddialarının sorulduğu avukat M.A.'dan, "Kişisel verilerin nasıl ve nereden elde edildiği, hangi hukuki gerekçeyle işlendiği, ihbarda geçen avukatlık sisteminin ne olduğu, kişisel verilerin yurt içinde veya yurt dışında kimlere hangi gerekçelerle aktarıldığı, kanunun 12. maddesi kapsamında kişisel verilere ilişkin uygun güvenlik düzeyini temin etmeye yönelik ne tür teknik ve idari tedbirlerin alındığına" yönelik bilgiler talep edildi.
M.A. da 28 Eylül 2020'de gönderdiği cevabi yazısında, ilgili kişinin hangi personeli tarafından ne sebeple arandığına dair bir çıkarımda bulunulamadığını belirterek, söz konusu telefon görüşmesinin 4 yıl önce yapılması nedeniyle somut bir savunma yapma olanağının olmadığını bildirdi.
Avukatlık bürosu olarak bankalara, GSM kurumlarına ve özel şirketlere hukuki hizmet verdiklerini, bu çerçevede gerek dava gerek icra dosyaları takip edildiği için hukuki işlem konusu olan kişilere ait kişisel verilerin müvekkilleri, bazen de bizzat şahıslar tarafından iletildiğini belirten avukat M.A., Ulusal Yargı Ağı Bilişim Sistemi'ni (UYAP) kullandıklarını kaydetti.
KVKK ayrıca, iletişim hizmeti sağlayan GSM şirketine de gönderdiği yazıda "kişisel verilerin güvenlik düzeyini temin etmeye yönelik ne tür teknik ve idari tedbirlerin alındığına" ilişkin bilgi talep etti.
GSM şirketi de gönderdiği yazıda, "Tahsilat ve yasal takip süreçlerinde birlikte çalışılan ve vekalet ilişkisi kapsamında hizmet alınan avukatlarla kanuna uygun olarak amaçla bağlantılı, sınırlı ve ölçülü şekilde borçlu abonelerin kişisel verilerinin paylaşıldığı, zorunlu olmayan kişisel verilerin hiçbir şekilde üçüncü taraflara aktarılmadığı, kişisel verilerin paylaşılması, ilgili kişilerin aranması ve SMS gönderilmesi vakalarıyla ilgilerinin bulunmadığı, tahsilat amacıyla abonelerin eşinin, eşinin annesinin, babasının kişisel verilerinin sisteme kaydedilmediği, kişiler hakkında mümkün olan tüm araştırmaların yapıldığı, ne UYAP kapsamında ne de yasal takip sisteminde ilgili kişilere ilişkin kayıtların bulunmadığı ve bu sebeple yasal takip başlatılmadığı kanaatinde olunduğu"na yer verildi.
Yazıda ayrıca, kendi sistemlerinde (Themis) incelenen kayıtlarda veri sorumlusuna yapılmış bir başvurunun bulunmadığı, ilgili kişinin veya eşinin borçlu olduğu bir dosyanın olmadığı belirtilerek, "İhbarda bulunan ilgili kişi ile eşi tarafından yasal bir süreç başlatılmadığı, sistemde yapılan incelemede arama yaptığı iddia edilen avukatın verdiği bilgiler doğrultusunda icra takibinin, yapılan aramalarının doğruluğu konusunda şüphe oluştuğu, Themis sistemi yazılımında ekranlar üzerinden SMS ve e-mail gönderimi yapılmasının mümkün olmadığı" kaydedildi.
KVKK, verdiği kararda, şikayet edilen avukatın GSM şirketinin belirttiği amaçlar kapsamında, kişisel veriler açısından "veri işleyen" olduğunun değerlendirildiğini belirterek, ödenmeyen faturaların tahsil edilmesi amacıyla aktarılan kişisel verilere ek olarak avukatın kendi iradesi sonucunda numara elde etmesi ve ilgili kişilere SMS gönderimi veya arama yapması faaliyeti açısından avukatın sorumlu olduğunun tespit edildiğini kaydetti.
Avukat M.A.'nın "veri sorumlusu" olduğunu ve Anayasa ile kanunun ilgili maddelerini ihlal ettiğine kanaat getiren KKVK, M.A.'nın kişisel veri işlemelerinin açıkladığı amaçlara uygun davranmadığı kararına vardı.
KVKK, Kişisel Verilerin Korunması Kanunu'na aykırı hareket eden avukat M.A. hakkında 100 bin lira idari para cezası uygulanmasına karar verdi.
Kurul ayrıca, ihbar eden vatandaş ile veri sorumlusu M.A adına çalışan kişi arasında gerçekleşen konuşmada belirtilen avukatlık sisteminin kullanıldığına ilişkin şüphe oluştuğu gerekçesiyle Türk Ceza Kanunu'nun (TCK) "nitelikli dolandırıcılık" suçunu düzenleyen 158. maddesi uyarınca durumun cumhuriyet başsavcılığına bildirilmesine hükmetti.