“Kişisel verilerin veri sorumlusu bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında” Kişisel Verileri Koruma Kurulunun 14.01.2020 Tarihli ve 2020/26 Sayılı Karar Özeti
İlgili kişiden alınan şikayet dilekçesinde ve eklerinde özetle;
- Bankaya olan borcundan dolayı veri sorumlusu avukat tarafından İcra Dairesinde icra takibi başlatıldığı,
- İcra takibi başlatılmasından itibaren söz konusu avukatlık bürosu çalışanları tarafından münferit zamanlarda haciz işlemlerinin başladığına ilişkin arandığı ve mesajlar aldığı,
- Aynı içerikteki mesajın yıllardır görüşmediği kardeşine de gönderilmesi üzerine kardeşinin aldığı ekran görüntüsünü kendisine yolladığı,
- Bunun üzerine kişisel verilerinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenmek adına kendisine ait mail adresinden veri sorumlusu avukata e-posta gönderdiği,
- Avukatın verdiği cevapta Bankacılık Kanunu ve diğer mevzuatlar gereği borçluya ait telefon numarası veya ikamet adresi bilgilerinin tespit edilememesi ve ulaşılamaması durumunda başkaca tespit ettikleri telefon numarası veya adreslere bilgilendirme mesajı ve bilgilendirme mektubu gönderildiğinin belirtildiği, ancak veri sorumlusunun cevabında yer verilen şahsına ait bir telefon numarasına ulaşılmadığı bilgisinin doğru olmadığı, adına kayıtlı ve kullanmakta olduğu iki adet telefon numarası daha bulunduğu, bu numaralardan hiçbirine bilgilendirme mesajı gelmezken kardeşine ait telefon numarasına mesaj gitmesinin tarafını rencide etmeye yönelik olduğu,
- Ayrıca kardeşine gönderilen mesaja ilişkin ekran görüntüsünün mevcut olmasına rağmen, veri sorumlusu tarafından gönderilen mailin devamında kendisinin kullanmış olduğu telefon numarası dışında hiçbir kişi veya kuruluş ile irtibata geçilmediği yönünde beyanda bulunulduğu
ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmiştir.
Kurumumuz tarafından dilekçede belirtilen iddialar ile ilgili olarak veri sorumlusundan savunması istenilmiş, alınan cevabi yazıda özet olarak;
- Avukatlık mesleği itibariyle kişilerin kişisel verilerinin öğrenilmesinin veri işleme faaliyeti olmadığı ve hukuk bürosu olarak kimsenin verilerinin kendilerince işlenmediği,
- Kişisel Verilerin Korunması Kanununun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü gereğince avukatların da yargı makamı sayılması ve kanun kapsamından istisna tutulması gerektiği,
- İlgili kişinin T.C. kimlik numarası, adres, malvarlığı vb. bilgilerinin bankaya verilmesi suretiyle alenileştirilmiş olduğu,
- İlgili kişinin kardeşine SMS gönderim tarihinden önce ilgili kişinin yakını olduğunu söyleyen bir şahsın ofise geldiği ve borçla ilgili bilgi almak istediği, bu şahsa ilgili kişiye ulaşabilecekleri başka bir yöntem olup olmadığı sorulduğunda şikayete konu telefon numarasını verdiği ve ilgili numaranın da sistemlerine böylece girdiği, zaten ilgili kişinin kardeşiyle iletişime geçilmesinin akabinde talep üzerine telefon numarasının sistemden çıkarıldığı,
- Şikayetçinin müşteri sırrı kapsamındaki bilgi ve belgelerinin yasal mevzuat uyarınca yetkilendirilmiş kişi ve kurumlar hariç olmak üzere üçüncü kişiler ile paylaşılmamasına dair bankaya talimat vermemiş olduğu,
- Gönderilen SMS’in kullanılan kredi türü yahut borç miktarı gibi bir bilgiyi içermediği, tamamen borçluyu borcu ödemeye ve müvekkil banka ile uzlaşmaya davet etmekten ibaret olduğu,
ifade edilerek, Kişisel Verilerin Korunması Kanunu kapsamında hareket ederek, kişiye ilişkin hiçbir bilgi ve belge paylaşımı yapmadığı belirtilmiştir.
Konuya ilişkin Kurulca yapılan inceleme neticesinde alınan 14/01/2020 tarih ve 2020/26 sayılı Karar ile;
- Şikayete konu olayda, Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise veri işleme faaliyeti olduğu,
- Diğer yandan, Kanunda, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesaj içeriğinin, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği,
- Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanunun 5 inci maddesinin 2 numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı,
- Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5 inci maddesi hükümleri kapsamında değerlendirilemeyeceği,
- Avukat tarafından yapılan savunmada, büroya gelen kimliği belirsiz bir kişiden numaranın temin edildiği açıklamasının, Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin kardeşinin telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı,
- Veri sorumlusu avukat tarafından her ne kadar ilgili kişinin kardeşine ait telefon numarasının büroya gelen ve kimliği bilinmeyen bir kişi tarafından verildiği, bunun ilgili kişiye ait olmadığının tespitini takiben talep üzerine numaranın silindiği beyan edilmiş olsa da sair mevzuat gereğince ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen bir kişi vasıtasıyla edinilmesi üzerine, ilgili kişiye ait verinin bu numarayla paylaşılmasının Kanun hükümlerine aykırılık teşkil ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusunun Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı davrandığı,
- Avukat tarafından yapılan savunmada, Avukatlık Kanununun 1 inci maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, Kanunun 28 inci maddesi kapsamında bir istisnadan söz edebilmek için, veri işlemenin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olması; ayrıca veri işlemenin yargı makamları veya infaz mercilerince işlenmesi gerektiği, maddede belirtilen yargı makamlarının tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca, şikayete konu olayda, kişinin borcuna dair bilgilerin kardeşinin telefonuna kısa mesaj olarak iletilmesi; yani borcunu ödemeye ikna etmek amacıyla caydırıcı bir unsur oluşturmak niyetiyle bir yakınıyla paylaşılmasının, Kanunun 28 inci maddesinde sayılan soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin bir işlem olarak kabul edilmesinin mümkün olmadığı
değerlendirildiğinden, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına
karar verilmiştir.