Kişisel verilerin veri sorumlusu bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında Kişisel Verileri Koruma Kurulu kararı (2020/26)

Konuya ilişkin Kurulca yapılan inceleme neticesinde alınan 14/01/2020 tarih ve 2020/26 sayılı Karar ile;

  • Şikayete konu olayda, Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise veri işleme faaliyeti olduğu,
  • Diğer yandan, Kanunda, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesaj içeriğinin, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği,
  • Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanunun 5 inci maddesinin 2 numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı,
  • Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5 inci maddesi hükümleri kapsamında değerlendirilemeyeceği,
  • Avukat tarafından yapılan savunmada, büroya gelen kimliği belirsiz bir kişiden numaranın temin edildiği açıklamasının, Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin kardeşinin telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı,
  • Veri sorumlusu avukat tarafından her ne kadar ilgili kişinin kardeşine ait telefon numarasının büroya gelen ve kimliği bilinmeyen bir kişi tarafından verildiği, bunun ilgili kişiye ait olmadığının tespitini takiben talep üzerine numaranın silindiği beyan edilmiş olsa da sair mevzuat gereğince ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen bir kişi vasıtasıyla edinilmesi üzerine, ilgili kişiye ait verinin bu numarayla paylaşılmasının Kanun hükümlerine aykırılık teşkil ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusunun Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı davrandığı,
  • Avukat tarafından yapılan savunmada, Avukatlık Kanununun 1 inci maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, Kanunun 28 inci maddesi kapsamında bir istisnadan söz edebilmek için, veri işlemenin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olması; ayrıca veri işlemenin yargı makamları veya infaz mercilerince işlenmesi gerektiği, maddede belirtilen yargı makamlarının tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca, şikayete konu olayda, kişinin borcuna dair bilgilerin kardeşinin telefonuna kısa mesaj olarak iletilmesi; yani borcunu ödemeye ikna etmek amacıyla caydırıcı bir unsur oluşturmak niyetiyle bir yakınıyla paylaşılmasının, Kanunun 28 inci maddesinde sayılan soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin bir işlem olarak kabul edilmesinin mümkün olmadığı,

değerlendirildiğinden, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına, karar verilmiştir.