“Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/776 sayılı Karar Özeti

“Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/776 sayılı Karar Özeti

Karar Tarihi : 03/08/2022
Karar No : 2022/776
Konu Özeti : Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi

 

Kuruma intikal eden dilekçede özetle; 

  • Pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderildiği, 
  • Bunun üzerine, velisi tarafından mektupta telefon numarası bulunan gerçek kişiye telefonla ulaşılarak 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığının sorulduğu, ancak yapılan bu görüşmede karşı tarafça kendisine bir bilgi verilmediği gibi kızının kişisel verileri ile ilgili herhangi bir işlemin yapılmadığı,
  • Bu çerçevede velisi tarafından çocuğun ev adresi ve ismi gibi kişisel verilerine nasıl ulaşıldığına ilişkin pazarlama şirketine başvuru yapıldığı, yapılan başvuru neticesinde yine herhangi bir bilgi verilmediği, 
  • Velinin çocuğun kişisel verilerinin işlenmesine ilişkin herhangi bir rızası olmadığı ve ticari amaçla tanıtım yapmak amacıyla açık rıza olmaksızın çocuğun kişisel verilerinin işlendiği

belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından başlatılan inceleme çerçevesinde pazarlama şirketinden savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • Şirketin sağlık ve güzellik ürünleri gibi ürünlerin satışını yapan bir doğrudan satış şirketi olduğu,
  • Satış yapan gerçek kişi ile şirket arasında, “Başvuru Kuralları ve Koşulları”na uygun olarak şirket ürünlerini satın alma ve satma opsiyonu veren bir sözleşme ilişkisinin olduğu, bu sözleşme kapsamında satış yapan kişinin bağımsız bir iş sahibi/serbest girişimci olarak hareket ettiği ve şirketten bağımsız olduğu,
  • Diğer bir ifade ile şirketin “Başvuru Kuralları ve Koşulları”na göre, serbest girişimcilerin şirket çalışanı, acentesi, temsilcisi, franchise (imtiyaz) alanı veya genel anlamda şirket ile bağımlı çalışan ilişkisi içerisinde faaliyet gösteren kişiler olmadığı,
  • Şirket ürünlerini satmak isteyen kişilerin, şirkete başvuruda bulunarak serbest girişimci olabildiği,
  • Serbest girişimcilerin yalnızca kendi menfaatleri doğrultusunda ve kendi programlarına göre faaliyet gösterdiği, bu kişilerin şirket ürünlerini tamamen kendi tercihlerine göre satın aldığı ve satış faturasının kendi müşterisine ibraz edildiği, doğrudan pazarlama amaçları da dahil olmak üzere, hizmet verdikleri müşterilerden elde ettikleri kişisel veriler bakımından serbest girişimcilerin tek başına ve bağımsız veri sorumlusu olarak hareket ettiği,
  • Bu faaliyet çerçevesinde şirketin rolünün; ürünlerin ithalatı, serbest girişimcilere ürünlerin satışı ve ürünlerin müşterilere tesliminden yani bir doğrudan satış şirketi- doğrudan satıcı ilişkisinden ibaret olduğu,
  • Somut olayda broşürün pazarlama şirketi tarafından gönderilmediği ve broşür göndermesi için serbest girişimciye şirket tarafından bir talimat verilmediği, broşürün daha önce bağımsız olarak topladığı kişisel veriler kullanılarak serbest girişimci tarafından gönderildiği,
  • Şirket tarafından ilgili kişiye ait herhangi bir kişisel verinin işlenmediği ve bu verilerin serbest girişimciye aktarılmadığı, 
  • Şirketin, serbest girişimcilerin işlediği kişisel veriler bakımından veri sorumlusu olmamakla birlikte serbest girişimcileri gözetim altında tuttuğu ve sözleşme kapsamındaki kurallara aykırılık halinde yaptırım uyguladığı, şikâyet üzerine yapılan araştırma neticesinde serbest girişimcinin geçmişte internetten satış yaptığı müşterilerine broşür gönderdiği, alışveriş yapan kişinin 8 yaşındaki bir çocuk olduğunu bilmediği için bir yanlışlık olduğunun belirtildiği 

ifade edilmiştir.

Akabinde konuya ilişkin olarak başlatılan inceleme çerçevesinde gerçek kişi serbest girişimciden  savunması istenilmiş olup alınan cevabi yazıda özetle; 

•    Kendisinin internetten satış yaptığı dönemde ilgili kişinin kişisel verilerini bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerinden temin ettiği, ilgili kişinin velisinin kendi kızı adına fatura hazırlattığı,
•    E-ticaret sitesi üzerinden kendi adres ve iletişim bilgilerini rızaen kendisiyle paylaşan ilgili kişinin velisinin her ne kadar adres ve telefon bilgileri olarak kendi bilgilerini vermiş olsa da velisi olduğu çocuğunun ismini kullanarak sipariş verdiği ve bu sipariş dahilinde kendisine bu broşürün gönderildiği,
•    Dolayısıyla söz konusu işlemenin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında istisna olarak değerlendirilmesi gerektiği, konunun yanlış anlaşılmadan kaynaklandığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/776 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlandığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği, 
  • Kanun’un 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
  • Somut olayda öncelikle veri sorumlusunun tespitinin yapılmasının gerektiği, bu çerçevede şirket ile serbest girişimci gerçek kişi arasındaki sözleşmede, müşterilerle ilgili kişisel verilerin işleme amacını ve aracını belirlemek ve geçerli veri koruma hukuki yükümlülüklerine uyma hususunda serbest girişimcinin yükümlü olduğunun, şirket ile serbest girişimci arasındaki ilişkinin temsilcilik, işçi-işveren ilişkisi gibi bağımlı bir ilişki olmadığı ve serbest girişimcinin bağımsız bir sözleşmenin tarafı olduğu hükümlerine yer verildiği, bu hükümler dikkate alındığında gerçek kişi serbest girişimcinin pazarlama kapsamında kişisel veri işleme faaliyetinde şirketten bağımsız olarak hareket ettiği, kişisel veri işleme amaç ve araçlarının serbest girişimci gerçek kişi tarafından belirlendiği ve ilgili kişi ile ilişkisinde gerçek kişinin tek başına veri sorumlusu sıfatını haiz olduğu, söz konusu kişisel veri işleme faaliyetinde şirketin bir rolünün bulunmadığı,
  • Veri sorumlusu tarafından bahse konu kişisel verilerin ilgili kişi tarafından veri sorumlusuna iletildiği ve broşürün iletilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (a)  bendinde yer alan “Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi” istisna hükmü kapsamında değerlendirilmesi gerektiğinin iddia edildiği ancak hükümdeki düzenlemenin aynı konutta yaşayan aile fertlerinin, yine aile içindeki bireylerin kişisel verinin işlemesine ilişkin olduğu, örneğin doğum günü gibi özel günlerde aile içinde çekilen fotoğrafların aile bireyleri tarafından işlenmesinin istisna kapsamında olduğu, incelemeye konu faaliyetin ise bir serbest girişimci tarafından broşür gönderimi suretiyle ilgili kişiye ait kişisel veri niteliğindeki isim ve adres bilgilerinin işlenmesi olduğu ve somut olayda aynı konutta yaşayan aile fertlerinin kişisel verilerinin yine aile bireyleri tarafından işlenmesi söz konusu olmadığından bu istisna hükmünün veri sorumlusu sıfatını haiz olan gerçek kişi bakımından uygulanamayacağı,
  • Gerçek kişi veri sorumlusu tarafından, ilgili kişinin velisinin daha önce ilgili kişinin isim ve adres bilgilerini kullanarak bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerine ilişkin sipariş oluşturduğu ve bu sipariş teslim edilirken broşürün de iletildiğine ilişkin iddiaları bakımından yapılan incelemede, 213 sayılı Vergi Usul Kanunu’nun (VUK) 231’inci maddesinin 5’inci bendinin “Fatura, malın teslimi veya hizmetin yapıldığı tarihten itibaren azami yedi gün içinde düzenlenir. Bu süreler içerisinde düzenlenmeyen faturalar hiç düzenlenmemiş sayılır.” hükmü ile Mesafeli Sözleşmeler Yönetmeliği’nin 16’ncı maddesinin somut olay tarihindeki birinci fıkrasında yer alan “Satıcı veya sağlayıcı, tüketicinin siparişinin kendisine ulaştığı tarihten itibaren taahhüt ettiği süre içinde edimini yerine getirmek zorundadır. Mal satışlarında bu süre her halükarda otuz günü geçemez.” hükmünü haiz olduğu, bununla birlikte ilgili kişiye e-ticaret sitesi üzerinden gönderilen sipariş ile broşür arasında dört buçuk aylık bir süre olduğu, broşürün e-ticaret sitesi üzerinden verilerin sipariş ile birlikte iletilmediği, öte yandan veri sorumlusu tarafından tanıtım ve pazarlama amaçlı olarak kişisel veri işlenebilmesi için açık rıza alındığına dair ispat edici bir belge ibraz edilemediği göz önüne alındığında veri sorumlusunun tanıtım ve pazarlama amacıyla broşür göndermesi suretiyle ilgili kişinin kişisel veri niteliğindeki isim ve adres bilgilerini işlemesinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı

değerlendirmelerinden hareketle;

  • İlgili kişiye broşürü gönderen gerçek kişinin şirketle imzalamış olduğu sözleşme koşullarına göre serbest girişimci olduğu, şirket ürünlerinin satışı konusunda müşterilerle hizmet ilişkisinde bulunurken şirketten bağımsız olarak hareket ettiği, dolayısıyla serbest girişimci gerçek kişinin, müşterilerine ait kişisel veri işleme faaliyetinde bulunurken şirketten bağımsız bir şekilde veri sorumlusu sıfatını haiz olduğu, bu çerçevede şirketin incelemeye konu kişisel veri işleme faaliyetine dair bir ilgisinin bulunmaması sebebiyle şirket hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
  • İlgili kişi adına mektup yolu ile tanıtım amaçlı broşürün gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğindeki isim ve iletişim bilgilerinin işlenmesinin veri sorumlusu tarafından ibraz edilen faturaya konu sipariş ile bir bağlantısı olmadığı, ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin Kanun’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği ve kabahate konu eylemin yalnızca bir kez gerçekleştirildiği kanaatine varıldığından, 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinin (2) numaralı fıkrası uyarınca işlenen kabahatin haksızlık içeriği ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına,
  • Tanıtım ve pazarlama amaçlarıyla kişisel verilerin işlenmesinde ilgili kişilerin açık rızalarının alınması ve Kanun hükümlerine riayet edilmesi gerektiğine ilişkin satış görevlilerinin bilgilendirilmesi gerektiği hususunun pazarlama şirketine bildirilmesine

karar verilmiştir.