Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
[email protected]
21 Ağustos 2019
A-
A+
Kişisel Verileri Koruma Kurulu (“Kurul”), son olarak “Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi/bilgilendirme amaçlı aranması hakkında Kuruma yaptığı başvuru” ile ilgili 08/07/2019 tarihli ve 2019/204 sayılı kararını (“Karar”) 2 Ağustos 2019 tarihinde resmi web sitesinde https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri yayınladı.
Kurul Kararı ne diyor?
Karar’da, şikayetçinin müşterisi olduğu personelin daha önce başka bir yatırım şirketinde çalıştığı, bu kurumun faaliyetlerine son verilip kapatılmasının ardından 2017 yılında bahse konu personelin yine aynı alanda faaliyet gösteren veri sorumlusu şirkette çalışmaya başladığı, dolayısıyla şikayetçinin telefon numarası bilgisine bu şekilde vakıf olunduğu ve sonrasında veri sorumlusunun bir personeli tarafından ilgili kişinin reklam ve bilgilendirme amacıyla arandığı açıklanıyor,
Bunun üzerine yapılan başvuruda, Kurul aşağıda belirtilen hususlar doğrultusunda karar veriyor:
Karar’dan çıkarılması gereken dersler nedir?
Karar yatırım kuruluşları için önemli bir karar. Zira Kanun’un uygulaması açısından, bu zamana kadar, yatırım kuruşlarının “Biz zaten birçok yasal düzenlemeye tabiiyiz ve bunları yerine getiriyoruz, bu Kanun’a uyum açısından çok bir şey yapmamıza gerek yok” gibi bir algı içinde olduğunu söylemek çok da haksızlık olmayabilir.
Kanun’un (her ne kadar bazı önemli hükümleri uzun geçiş sürelerine tabi idiyse de) yürürlüğe girişinde 3 seneden fazla süre geçti. Buna rağmen hala uyum projesine başlamak için bekleyen pek çok yatırım kuruluşu var. Oysa, Kanun’un yürürlüğe girmesi peşi sıra yayınlanan yönetmelikler, tebliğler, rehberler ve kararlar gösterdi ki bu Kanun’a herkes uymak ve uyumlu hale gelmek zorunda!
Kurul’un şikayet üzerine incelediği bu Karar da bizlere somut olarak bunu gösterdi. Bu nedenle de aslında yatırım kuruluşlarının “belki bu yükümlülüklerden kurtulabiliriz” beklentisiyle geç kalmak yerine, bir an önce Kanun’a uyum çalışmalarını tamamlamaları ve insan faktörünü de ciddiye almak gerekli. Kişisel verilerin korunması açısından “insan faktörü”ne dair son blog yazımıza Uyumda-insan-faktorunun-yonetiminin-onemi/ buradan ulaşabilirsiniz.
Kurul’un daha önceki kararları incelendiğinde, “Şikayetçinin Türk Ceza Kanununun 136 ncı maddesi hakkında bilgilendirilmesine” yönünde bir hatırlatmayı ilk defa yapma gereği duyduğunun da altını çizelim. Karar ile, özellikle müşteri geliştirme ya da satış tarafında çalışan uzmanların “alışagelmiş davranış biçimlerinin” kurumlarına ve kendilerine ne kadar ciddi zararlar verebileceklerini bir kere daha görmüş olduk.
Karar’da, ilgili kurumda göreve başlayan uzmanın, daha önce çalıştığı kurumdaki müşteri portöfünü kendisinin portföyü olarak algılayarak yeni kurumuna aktarımı ya da müşteri verilerini ifşasının, suçun diğer unsurları da gerçekleşmek kaydıyla, Türk Ceza Kanunu’nun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136. Maddesinin ihlali sonucu doğurabileceği hatırlatılmıştır. Bu nedenle de Kurul tarafından şikayette bulunan veri sahibinin bu madde kapsamında bilgilendirilmesi kararı verilmiştir.
Bu itibarla, olayın ceza yargısına taşınma ihtimali olduğu gözönüne alınırsa, yatırım kuruluşları tarafından bu alandaki gelişmelerin yakından takip edilmesi yararlı olacaktır. Veri sahibinin şikayetçi olabilmesinin yanı sıra, Kurul her ne kadar bu karar özelinde yalnızca şikayetçiyi bilgilendirmekle yetinmiş olsa da, bundan sonra karşılaştığı ihlallerde, Kurul’un suç unsuru tespit etmesi halinde kendisinin doğrudan suç duyurusunda bulunma yetkisi (hatta zorunluluğu) olduğu da unutulmamalıdır.
Neler yapmalıyız? Nelere dikkat etmeliyiz?
Zira, prensip olarak çalışanlar istihdam edildikleri şirket (veri sorumlusu) adına veri işliyorlar. Bu da kişisel veriler açısından ilgili kurumun sorumluluğunun olacağı anlamına geliyor. Elbette, çalışanın işverinin talimatları / bilgisi dışında kişisel verileri ifşa etmesi ve kanuna aykırı davranışlar içinde olması (hatta duruma göre veri sorumlusu dahi addedilebilmesi) mümkün. Ancak bu durumda dahi işverenin, veri sorumlusu olarak sorumluluklarından (ve idari ya da cezai yaptırımlardan) tamamen kurtulması mümkün değil.
Veri sorumlusu olan kurumlar,
olmalıdır.
Yeri gelmişken, Kanun’un uyarınca 30 Eylül 2019’a kadar,
veri sorumluları siciline kayıt olması gerektiğini de hatırlatalım. Kayıt yükümlülüğüne dair düzenleme ve istisnalara dair detaylar için daha önce yayınlanan verbis-e-kayit-sureleri-dolmak-uzere/ ve veri-sorumlulari-siciline-ilk-kayit/ başlıklı blog yazılarımıza bakabilirsiniz.
Kurul’un websitesinde bugüne kadar yayınlanan karar özetleri incelendiğinde (bakınız https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri), idari para cezalarının ağırlıklı olarak Kanun’un 12. maddesine aykırılıktan kesilmiş olduğu görülecektir.
Bu madde başlığı her ne kadar “Veri Güvenliğine dair Yükümlülükler” başlığını taşısa da esasen bu güne kadar bu maddeye aykırılık dolayısıyla Kanun’un 18. maddesi uyarınca verilen idari cezalardan neredeyse yarısının veri ihlali nedeniyle, yarısının ise Kanun’un 4. (Genel İlkeler) ve 5. maddesine (Kişisel Verilerin İşlenme Şartları) aykırılıktan verildiği de görülmektedir.
O nedenle, Kanun’un 12. maddesi açısından sadece veri güvenliği sistemlerinin ya da yazılımlarının kullanılmasının yeterli olacağı gibi bir yanılgıya düşülmemesi gerekir. Teknik ve idari tedbirler çerçevesinde veri sorumlusu durumunda olan yatırım kuruluşları aynı zamanda
zorundadırlar.
Karar özelinde baktığımızda, yatırım kuruluşları
hususlarına dikkat etmelidirler.
Bu itibarla, Karar çerçevesinde yatırım kuruluşlarının, bunlarla sınırlı olmaksızın,
gerektiğini ve bunların veri sorumlusunun bir yükümlülüğü olduğunu önemle hatırlatırız.
Yayınlara dön