Kişisel verilere karşı verilen önemin artması ve insanların bu konuda bilinçlenmesiyle birlikte veri koruma üzerine farkındalık başlamış ve veri koruma otoritelerine yapılan başvuru sayısında artış görülmüştür. Ülkemizde de benzer gelişmeler yaşanmakta olup 2016 yılında kurulan Kişisel Verileri Koruma Kurumu veri ihlallerine ilişkin şikayetleri incelemektedir. Bu kapsamda Kişisel Verileri Koruma Kurulu dört yeni karar yayınladı. Bu yazımda herkesin sıklıkla maruz kaldığı cep telefonlarına gelen reklam amaçlı mesajlara ilişkin kararı ele alacağım.
Kişisel Verilerin Korunması Kanunu’na(Kanun) göre kişisel veriler ancak açık rıza ya da Kanun’un 5. maddesinin 2. fıkrasında sayılan işleme şartlarının mevcudiyeti durumunda ilgili kişinin açık rızası aranmaksızın hukuka uygun olarak işlenebilir. Kanun 5. maddesinin 2. fıkradasında sayılan şartlar:
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Ayrıca, Kanun’un 12. maddesinin (1) numaralı fıkrasının (a) bendi uyarınca veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla, gerekli teknik ve idari tedbirleri almak zorundadır. Kurul yayınladığı rehber üzerinden idari ve teknik tedbirlere birtakım örnekler vermiştir. Kişisel veri güvenliğine ilişkin idari tedbirlere örnek olarak mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması, veri işleyenler ile ilişkilerin yönetimi; teknik tedbirlere örnek olarak siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı ve kişisel verilerin yedeklenmesi gösterilmiştir.
Kişisel Verileri Koruma Kurulu’nun 14/01/2020 tarih ve 2020/20 sayılı Kararı’na konu olan olayda ilgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine ilgili kişi veri sorumlusuna başvuru yapmış ancak başvurusuna yanıt alamamıştır. Kişisel Verileri Koruma Kurulu ilgili kişinin şikayeti üzerine yaptığı değerlendirmede; veri işlemek için gereken ilgili kişinin açık rızası veya Kanun’un 5. maddesinin 2. fıkrasında yer alan diğer işleme şartları olmadığı halde kişinin cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle Kanun’un ihlal edildiğini tespit etmiştir. Kurul elindeki mevcut bilgi ve belgeler üzerinden yaptığı inceleme neticesinde eğitim kurumunun hukuka aykırılığı önlemek amacıyla gerekli teknik ve idari tedbir almadığı kanaatine ulaştığı için ilgili ihlalden dolayı Kanun’un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.
Kurulun yazıma konu olan kararına ve diğer kararlarına aşağıdaki link üzerinden ulaşabilirsiniz:
CODEƎRA 
1 comment