Türkiye – Karar Özeti: Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi

Karar Tarihi	:	18/07/2024
Karar No	:	2024/1176
Konu Özeti	:	Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi

Kişisel Verileri Koruma Kurumuna (Kurum) iletilen bir şikâyette özetle;

• İlgili Kişinin internet taahhüt süresinin dolması sebebiyle, internet ortamında yeni tarifelere bakarken abonesi olduğu A Elektronik Haberleşme Şirketine ait (A Şirketi) internet sitesi ile aynı/çok benzer görselleri paylaşan bir siteye yanlışlıkla girdiği, sitedeki canlı yardım kutucuğuna yalnızca cep telefonu numarasını yazdığı, birkaç dakika içinde kendisini müşteri temsilcisi olarak tanıtan bir kişi tarafından arandığı, bu kişinin, sistemde kayıtlı verilere erişebilmek için T.C. kimlik numarasını istediği, cep telefonu numarası üzerinden sistemde kayıtlı verilere erişilemediğini düşünerek arayan şahsa T.C. kimlik numarasını da verdiği, T.C. kimlik numarasını verdikten sonra internetin kurulu olduğu ikamet adresi, tarifenin tipi, tarife başlangıç tarihi, taahhüt süresi gibi ancak A Şirketi müşteri temsilcilerinin erişebileceği bilgilerin tamamına bu şahsın erişim sağladığı, kendisine iletilen bu bilgilerin tamamının doğru olduğunu görünce A Şirketi müşteri temsilcisi ile görüştüğü zannına kapıldığı,
• Arayan şahsın, A Şirketi altyapısını kullanan X Markasına kiralanan, kullanılmadığı için boşta ve fazladan olan porta İlgili Kişiyi aktararak daha hızlı ve ucuz internet kullanabileceğini belirttiği, A Şirketinden memnun olduğunu ve şirketini değiştirmeyeceğini belirttiğinde şirketinin değişmeyeceğinin, yalnızca internet portunun değiştirileceğinin kendisine iletildiği, bunun üzerine A Şirketi müşteri temsilcisi ile görüşme yaptığını düşünerek işleme onay verdiği, akabinde aynı gün X Markasına geçtiği yönünde bir SMS aldığı ve arayan kişinin A Şirketi müşteri temsilcisi olmadığını, iradesinin sakatlanarak bilgilerinin hukuka aykırı şekilde elde edildiğini anladığı, önce A Şirketi müşteri temsilcisini arayarak durumu bildirdiği, aynı gün X Markası müşteri temsilcisini arayarak herhangi bir abonelik yaptırmadığını, adına abonelik ön müracaatı yapılmış ise bunun rızası dışında olduğunu belirterek iptal talebinde bulunduğu, buna rağmen birkaç gün sonra abonelik kurulumu için bulunduğu ildeki X Markası servisinin İlgili Kişiyi aradığı, abonelik yaptırmadığını ve abonelik müracaatının olmadığını, ellerindeki iş emrini iptal etmelerini X Markasının temsilcisine belirttiği,
• E-Devlet üzerinden Bilgi Teknolojileri ve İletişim Kurumunun (BTK) “Mobil/Sabit/İnternet/Kablo Tv/Uydu İşletmecilerinden Borç/Alacak Sorgulama ve Ödeme/İade işlemleri” sayfasından yaptığı sorgulamada, X Markasına 604***** numara ile aktif abone olduğunun göründüğü, bu durumun düzeltilmesine ilişkin şikayetini 18.06.2021 tarihinde telefon ile X Markasının müşteri hizmetlerine ilettiği, şikayeti için 601***** referans numarasının verildiği, 19.06.2021 saat 18:27’de “Talebiniz sonuçlanmıştır” şeklinde bir SMS aldığı, 25.07.2021 saat 23.45 itibariyle e-Devlet üzerinden yaptığı kontrolde “X Markası işletmecisinde 1 tanesi aktif, 0 tanesi pasif olmak üzere toplam 1 adet abonelik bilginiz bulunmaktadır. Aboneliklerinizin toplam borç tutarı 0,00 TL, toplam alacak tutarı 0,00 TL’dir. Detaylı Bilgi” şeklinde bilgi görüntülendiği, bunun üzerine 26/07/2021 tarihinde X Markası internet sitesi üzerinden dijital yolla şikâyet başvurusunda bulunduğu, bu başvuruya herhangi bir cevap verilmediği,
• 06.02.2022 tarihinde BTK’nin internet sitesi üzerinden 110****** no’lu şikayet başvurusunu yaptığı, gerek aktif gerek pasif olarak abone gözükmek istemediğini bildirdiği, kişisel verilerinin iradesi sakatlanmak suretiyle, hukuka aykırı olarak elde edildiği ve işlendiği, kendisine BTK üzerinden “Yaptığımız kontrollerde 31/03/2021 tarihinde 604***** abone numarasıyla 16 MB Limitsiz internet paketi olarak alınan başvurunuz için ilgili ekiplere yönlendirme sağlanarak gerekli düzenleme sağlanmıştır. E-Devlet veya bizim sistemlerimiz üzerimizden pasif abonelik olarak görüneceğini belirtmek isteriz.” şeklinde bir yanıt verildiği, sonraki bir tarihte e-Devlet üzerinden yaptığı kontrolde, aktif abonelik olarak görünen kaydın pasif aboneliğe çevrildiğini, ancak şirket sistemlerinden çıkartılmadığını gördüğü, bu defa 03.01.2023 tarihinde X Markasının internet sitesi aracılığıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri uyarınca açık rıza beyanı olmadan işlenemeyecek/muhafaza edilemeyecek olan kişisel verilerinin tamamının ilgili şirket sistemlerinden çıkartılmasını/silinmesini talep ettiği ve talebinin olumsuz şekilde neticelendiği ifade edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen şirket olan B Şirketi’nden savunması talep edilmiş olup şikâyet edilen tarafından verilen cevapta özetle;

• Sistemlerinde yapılan kontrollerde İlgili Kişi adına 31.03.2021 tarihinde “Doya Doya Limitsiz İnternet Kampanyası” kapsamında B Şirketinin bayisi olarak C Şirketi/Bayi  tarafından abonelik girişi yapıldığının tespit edildiği, bu giriş nedeniyle İlgili Kişiye 604***** no’lu abone numarasının atandığı, atanan abone numarasının, aboneliğe ilişkin talep sürecinden sonra ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi için kullanılmakta olan bir numara olduğu, 01.04.2021 tarihinde İlgili Kişinin abonelik talebinin olmadığını beyan etmesi üzerine abonelik aktivasyon ve kurulum işlemlerinin tamamlanmadığının tespit edildiği,
• Somut olayda İlgili Kişiye ait kişisel verilerin, abonelik talebi kapsamında C Şirketi/Bayi tarafından sistemlere eklendiğinin tespit edildiği, C Şirketi/Bayi’nin B Şirketi sistemlerinde kaydı bulunmayan İlgili Kişiyi, B Şirketi’nin talimatı veya bilgisi dâhilinde olmadan potansiyel abonenin verilerini bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisinin temin ederek ilgili sisteme aktardığı, bu bakımdan İlgili Kişiye ait kişisel verilerin hukuka uygun bir şekilde İlgili Kişiden temin edilmesi noktasında sorumluluğun C Şirketi/Bayi’de olduğu, 
• B Şirketi’nin D Şirketi’nin  tek pay sahibi olduğu, operasyonel işleyiş kapsamında D Şirketi’nin X Markası abonelerinin her türlü iş ve işlemleriyle ilgilendiği, platform abonelik süreçlerinin tamamının D Şirketi tarafından yürütüldüğü, BTK nezdinde uydu platform ve altyapı işletmeciliği hizmeti sunma yetkisinin D Şirketi üzerinde olduğu, bu sebeple abone veya potansiyel abonelere ilişkin BTK’den gelen taleplere ilişkin soru veya şikayetlerin  D Şirketi tarafından cevaplandırıldığı, kişisel verilerin işlenmesine ilişkin amaç ve vasıtaların veri sorumlusu sıfatıyla D  Şirketi tarafından belirlendiği, şikayete konu olay kapsamında ise İlgili Kişinin kişisel verilerinin işlenmesine ilişkin olarak D Şirketi veya B Şirketi’nin bir sorumluluğunun bulunmadığı, İlgili Kişinin kişisel verilerinin veri sorumlusu sıfatıyla C Şirketi/Bayi tarafından X Markası sistemlerine aktarıldığı, somut olayda İlgili Kişiye ait kişisel verilerin, abonelik talebi kapsamında B Şirketi’nin bayisi olan C Şirketi/Bayi tarafından, B Şirketi ile C Şirketi/Bayi arasında imzalanan çözüm ortaklığı sözleşmesi doğrultusunda B Şirketine ait sistemlere eklendiği, şikayete konu olayda C Şirketi/Bayi’nin, B Şirketinin sistemlerinde kaydı bulunmayan İlgili Kişiye ait kişisel verileri B Şirketinin talimatı veya bilgisi dâhilinde olmadan potansiyel abonenin verilerini bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisi temin ederek B Şirketinin sistemlerine aktardığı, yapılan kontrollerde İlgili Kişiye ait ad, soyadı, adres, e-posta adresi, telefon numarası, doğum tarihi, cinsiyet, talep edilen abonelik kapsamındaki bilgilerin iletişim faaliyetlerinin yürütülmesi, mal/hizmet satış süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, talep/şikayetlerin takibi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amaçlarıyla Kanun’un 5’inci maddesinin ikinci fıkrasının (c) ve (e) bentleri uyarınca işlendiği,
• İlgili Kişi ile B Şirketi arasında çağrı merkezi üzerinden 31.03.2021 tarihinde iki adet, 18.06.2021, 21.06.2021 ve 06.02.2022 tarihlerinde birer adet olmak üzere toplamda beş adet görüşme gerçekleştirildiği, söz konusu görüşmelerin İlgili Kişinin yaşamış olduğu olayın aktarılması, abonelik başvurusuna ilişkin iptal taleplerinin iletilmesi, e-Devlet üzerinde aboneliğinin durumu ve BTK’ye yapmış olduğu başvuruya ilişkin görüşmeleri içerdiği, İlgili Kişinin, abonelik iptal talebi ve abonelik bilgilerinin e-Devlet üzerindeki durumuna ilişkin olarak BTK üzerinden 06.02.2022 tarihinde iki adet şikayette bulunduğu, İlgili Kişiye bahse konu şikayetler kapsamında 06.02.2022 ve 12.02.2022 tarihlerinde cevap verildiği, yine İlgili Kişinin abonelik iptal talebine ilişkin olarak 19.06.2021 tarihinde SMS ile bilgilendirme yapıldığı, söz konusu yazışmalar haricinde X Markası internet sitesinde yer alan İletişim Formu da dahil olmak üzere İlgili Kişi ile B Şirketi arasında başkaca bir yazışma gerçekleşmediği ve farklı platformlar üzerinden iletişim kurulmadığı,
• İlgili Kişiye ait kişisel verilerin C Şirketi/Bayi tarafından temin edilerek B Şirketinin sistemlerine aktarılması sebebiyle İlgili Kişinin kişisel verilerinin İlgili Kişiden ilk kez talep edildiği noktada aydınlatma yükümlülüğünün C Şirketi/Bayi’de olduğu, İlgili Kişinin şikâyete konu olay kapsamında abonelik işlemlerine ilişkin iptal ve diğer taleplerini iletmek için B Şirketi ile iletişime geçtiği çağrı merkezi kanalı üzerinden Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) hükümleri uyarınca hukuka uygun bir şekilde aydınlatıldığı,
• İlgili Kişi tarafından X Markası internet sitesi üzerinden kişisel verilerinin silinmesine ilişkin herhangi bir talepte bulunulmadığı, bu bakımdan İlgili Kişinin kişisel verilerinin silinmesi talebinin olumsuz neticelendirildiği iddiasının gerçeği yansıtmadığı ve söz konusu kişisel verilere ilişkin olarak imha işlemi gerçekleştirilmediği, abonelik talebinde bulunup sonradan talebinden vazgeçen ilgili kişilere ait kişisel verilerin, ilgili kişinin kendisi, resmi kurumlar ile mahkemeler tarafından bilgi talep edilme ihtimaline karşı bahse konu ilgili kişinin kimliğinin tespit edilmesi, bu kişilerin şirket ile ilişkisinin anlaşılabilmesi ve talep konusu ile eşleştirilmesi amaçlarıyla bağlantılı olarak ve asgari süreyle sınırlı olarak Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendi uyarınca saklandığı, söz konusu verilerin, saklama süresinin dolması akabinde Kişisel Veri Saklama ve İmha Politikası dikkate alınarak imha edileceği,
• Abonelik talebinde bulunan potansiyel müşterilerden alınan aboneliğe ilişkin onayın ardından müşterilerin sistemlerde aktif abone olarak konumlandırıldığı, aboneliğe ilişkin talepte bulunan potansiyel müşterilere aktivasyon işlemlerinin (ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi) tamamlanması için bir numara atandığı, atanan bu numara sebebiyle İlgili Kişinin e-Devlet sisteminde aktif olarak görülmesinin muhtemel olduğu, ancak, bu süre zarfında potansiyel abonelerin X Markası sistemlerinde “ön aktivasyon aşamasında” göründüğü, müşterilerin aboneliklerinin iptal edilmesi veya aktivasyon sürecinde kurulum talep etmemeleri halinde aboneliklerinin sistemlerde pasif konuma alındığı, İlgili Kişinin 06.02.2022 tarihinde BTK kanalı ile iletmiş olduğu şikayeti üzerine ön aktivasyon bekleyen abonelik işlemi talepleri doğrultusunda 10.02.2022 tarihinde manuel olarak sisteme müdahale edilerek pasif konuma alındığı

hususları ifade edilmiştir.

Bunun üzerine, veri sorumlusu sıfatını haiz olabileceği değerlendirilen C Şirketi/Bayi’den savunma talep edilmiş olup söz konusu yazımıza C Şirketi/Bayi tarafından herhangi bir cevap verilmemiştir.

Akabinde, şikâyete konu olay bakımından veri sorumlusu sıfatını taşıyabileceği düşünülen diğer şirket olan D Şirketinden savunma talep edilmiş olup anılan şirket tarafından verilen cevapta özetle;

• B Şirketinin, D’nin tek pay sahibi olduğu, operasyonel işleyiş kapsamında D’nin, X Markası abonelerinin her türlü iş ve işlemleriyle ilgilendiği, platform abonelik süreçlerinin tamamının D Şirketi tarafından yürütüldüğü, konuya ilişkin bilgilendirmenin X Markası resmî internet sitesi üzerinde yer aldığı, kişisel verilerinin işlenmesine ilişkin amaç ve vasıtaların veri sorumlusu sıfatıyla D Şirketi tarafından belirlendiği, şikayete konu olay kapsamında İlgili Kişiye ait kişisel verilerin işlenmesinde B Şirketinin ya da D Şirketinin sorumluluğunun bulunmadığı, söz konusu kişisel verilerin bayi tarafından D Şirketi sistemlerine aktarıldığı,
• Yapılan kontrollerde İlgili Kişi adına 31.03.2021 tarihinde “Doya Doya Limitsiz İnternet Kampanyası” kapsamında D Şirketinin bayisi olan C Şirketi/Bayi tarafından abonelik girişi yapıldığı, bu giriş nedeniyle 604*****  abone numarasının atandığı, bahse konu abone numarasının, aboneliğe ilişkin talep sürecinden sonraki ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi için kullanıldığı, 01.04.2021 tarihinde İlgili Kişinin abonelik talebinin olmadığını beyan etmesi üzerine abonelik aktivasyon ve kurulum işlemlerinin tamamlanmadığının tespit edildiği, bu sebeple İlgili Kişi ile D Şirketi arasında geçmiş veya mevcut bir abonelik ilişkisinin bulunmadığı,
• İlgili Kişi ile D Şirketi arasında çağrı merkezi üzerinden 31.03.2021 tarihinde iki adet, 18.06.2021, 21.06.2021 ve 06.02.2022 tarihlerinde birer adet olmak üzere toplamda beş adet görüşme gerçekleştirildiği, söz konusu görüşmelerin, İlgili Kişinin yaşamış olduğu olayın aktarılması, abonelik başvurusuna ilişkin iptal taleplerinin iletilmesi, e-Devlet üzerinde aboneliğinin durumu ve BTK’ye yapmış olduğu başvuruya ilişkin görüşmeleri içerdiği, İlgili Kişinin, abonelik iptal talebi ve abonelik bilgilerinin e-Devlet üzerindeki durumuna ilişkin olarak BTK üzerinden 06.02.2022 tarihinde iki adet şikayette bulunduğu, kendisine bahse konu şikayetler kapsamında 06.02.2022 ve 12.02.2022 tarihlerinde cevap verildiği, İlgili Kişinin abonelik iptal talebine ilişkin olarak ise 19.06.2021 tarihinde SMS ile bilgilendirme yapıldığı, bunun haricinde İlgili Kişi ile D Şirketi arasında herhangi bir iletişim kurulmadığı,
• Şikayete konu olay kapsamında İlgili Kişiye ait kişisel verilerin, abonelik talebi kapsamında D Şirketi’nin bayisi olan C Şirketi/Bayi tarafından, iki Şirket arasında imzalanan “Çözüm Ortaklığı Sözleşmesi” kapsamında D Şirketinin sistemlerine eklendiği, C Şirketi/Bayi’nin potansiyel abone olan İlgili Kişinin verilerini, D Şirketinin talimatı veya bilgisi dâhilinde olmadan, bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisi temin ederek D Şirketinin sistemlerine aktardığı, İlgili Kişinin D Şirketi bünyesinde hiçbir zaman pasif veya aktif bir aboneliğinin olmadığı, bu sebeple İlgili Kişinin kişisel verilerinin İlgili Kişiden ilk kez talep edildiği noktada aydınlatma yükümlülüğünün C Şirketi/Bayi tarafından yerine getirilmesi gerektiği,
• İlgili Kişinin, abonelik işlemlerine ilişkin iptal ve diğer taleplerini iletmek için D Şirketi ile iletişime geçtiği çağrı merkezi kanalı üzerinden Tebliğ hükümleri uyarınca hukuka uygun bir şekilde aydınlatıldığı, aboneler başta olmak üzere kişisel verisi işlenen diğer tüm kişilerin de D Şirketine ait internet sitesi başta olmak üzere kişisel verilerin işlendiği diğer alanlarda hukuka uygun bir şekilde aydınlatıldığı,
• Yapılan kontrollerde İlgili Kişiye ait ad, soyadı, adres, e-posta adresi, telefon numarası, doğum tarihi, cinsiyet ve talep edilen abonelik kapsamındaki bilgilerin; iletişim faaliyetlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, talep/şikayetlerin takibi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amaçlarıyla ve “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartları kapsamında işlendiği,
• İlgili Kişi tarafından D Şirketine, X Markası internet sitesi üzerinden kişisel verilerin silinmesine ilişkin herhangi bir talepte bulunulmadığı, İlgili Kişinin Kanun’un 11’inci maddesindeki haklarını kullanmak için Kanun’un 13’üncü maddesi kapsamında D Şirketine iletilen bir başvurusu olmadığı, bu sebeple İlgili Kişinin kişisel verilerinin silinmesi talebinin olumsuz neticelendirildiği iddiasının gerçeği yansıtmadığı,
• Abonelik talebinde bulunup sonradan talebinden vazgeçen ilgili kişilere ait kişisel verilerin, ilgili kişinin kendisi ya da ilgili kurum ve kuruluşlar ile görevli mahkemeler tarafından bilgi talep edilme ihtimaline karşı ve bahse konu ilgili kişinin kimliğinin tespit edilmesi, D Şirketi ile ilişkisinin anlaşılabilmesi ve talep konusu ile eşleştirilmesi amaçlarıyla bağlantılı olarak ve asgari süreyle sınırlı olarak Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca saklandığı, bu sebeple İlgili Kişiye ait D Şirketi bünyesinde yer alan kişisel verilere ilişkin henüz imha işleminin gerçekleştirilmediği, İlgili Kişiye ait kişisel verilerin, İlgili Kişi ile D Şirketi arasındaki geçmiş ilişkiyi anlayabilmek ve ilgili kişinin kimliğini tespit edebilmek amacıyla Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendinde düzenlenen “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uyularak asgari süre ile D Şirketi sistemlerinde saklanacağı, ardından saklama süresinin dolması akabinde D Şirketinin Kişisel Veri Saklama ve İmha Politikası dikkate alınarak imha edileceği,
• Abonelik talebinde bulunan potansiyel müşterilerden alınan aboneliğe ilişkin onayın ardından müşterilerin şirket sistemlerinde aktif abone olarak konumlandırıldığı, aboneliğe ilişkin talepte bulunan potansiyel müşterilere ait aktivasyon işlemlerinin (ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi) tamamlanması için bir numara atandığı, atanan bu numara sebebiyle İlgili Kişinin e-Devlet sisteminde aktif olarak görülmesinin muhtemel olduğu, ancak, bu süre zarfında potansiyel abonelerin D Şirketi sistemlerinde “ön aktivasyon aşamasında” göründüğü, müşterilerin aboneliklerinin iptal edilmesi veya aktivasyon sürecinde kurulum talep etmemeleri halinde aboneliklerinin şirket sistemlerinde pasif konuma alındığı, İlgili Kişinin 06.02.2022 tarihinde BTK kanalı ile iletmiş olduğu şikayet üzerine D Şirketi sistemlerinde ön aktivasyon olarak bekleyen abonelik işleminin, İlgili Kişinin talepleri doğrultusunda 10.02.2022 tarihinde manuel olarak sisteme müdahale edilerek pasif konuma alındığı, İlgili Kişinin aboneliğine ilişkin durumunun D Şirketi sistemlerinde hiçbir zaman “aktif” pozisyonda konumlandırılmadığı, “ön aktivasyon” ve “pasif” pozisyonda konumlandırıldığı, İlgili Kişinin aboneliğine ilişkin durumun e-Devlet sistemlerinde “aktif” veya “pasif” olarak görünmesi noktasında D Şirketinin herhangi bir dahlinin veya sorumluluğunun bulunmadığı,
• Bayilerin, potansiyel abonelere bizzat kendileri ulaşarak veya ürün kurulum talepleri üzerine satış işlemlerini başlattığı, bayilerin, ürün kurulum talebinde bulunan potansiyel aboneyi, kurulum ve sözleşme süreçlerinin tamamlanması için arayarak randevu oluşturduğu, randevu oluşturulduktan sonra potansiyel abonenin kurulum yapılacak adresine ilgili birimlerin gittiği ve gerekli sözleşme akdetme ve kurulum işlemlerini gerçekleştirdiği, ardından abonelik aktivasyon süreçlerinin tamamlandığı, bayiler aracılığıyla talepte bulunan potansiyel abonelere ilişkin abonelik işlemlerinin bayiler tarafından sisteme bilgi girişi yapılarak gerçekleştiği, sistem tarafından bahse konu potansiyel aboneye aboneliğe ilişkin talep sürecinden sonra ürün kurulumu ve diğer işlemlerin gerçekleştirilmesi için bir numara atandığı, D Şirketi  sistemlerinde aboneliğe ilişkin “aktif” veya “pasif” kaydının bayiler tarafından veya ilgili kişiler tarafından verilen bilgiler doğrultusunda D Şirketi tarafından oluşturulduğu

hususlarına yer verilmiştir.

Alınan savunmaların incelenmesi neticesinde savunmalarını iletmeyen C Şirketi/Bayi’nin veri sorumlusu sıfatını haiz olabileceği değerlendirilmiş olup, anılan şirketin savunmaları yeniden talep edilmiştir. C Şirketi/Bayi’nin cevabi yazısında ise özetle;

• C Şirketi/Bayi’nin X Markasının satış bayisi olduğu, D Şirketi ile akdettiği sözleşme uyarınca internet sitesi üzerinden X Markası ile müşteriler arasında sözleşme kurulmasına aracılık ettiği ve müşterilere X Markası aboneliği satılması durumunda C Şirketi/Bayi’nin bu satıştan bir prim elde ettiği, C Şirketi/Bayi ile D Şirketi arasında veri sorumlusu-veri işleyen ilişkisi bulunduğu, C Şirketi/Bayi’nin D Şirketi’nin verdiği yetkiye dayanarak onun adına kişisel verileri işlediği ve veri işleyen sıfatını haiz olduğu, taraflar arasında bir protokolün de bulunduğu, C Şirketi/Bayi’nin X Markası internet sitesi üzerinden müşterilere ulaştığı, Google reklamları üzerinden C Şirketi/Bayi’nin internet sitesini gören ilgili kişilerin, belirtilen link üzerinden internet sitesine ulaşabildiği, internet sitesinde başvuru formunun bulunduğu, ilgili kişilerin C Şirketi/Bayi tarafından aranmak istemesi halinde bu forma ad, soyadı ve telefon bilgilerini girdiği, başvuru formunun bulunduğu bölümde bir aydınlatma metninin bulunduğu, ilgili kişilerin, kişisel verilerinin nasıl işlendiğine dair bilgi almak istemesi halinde ilgili link üzerinden aydınlatma metnine ulaşabildiği, aranma talebini ileten ilgili kişilerin, C Şirketi/Bayi çalışanları tarafından kendilerine teklif sunulması için arandığı, arama ile müşterilere bir teklif iletildiği ve müşterinin teklifi kabul etmesi durumunda sürece devam edildiği, 
• D Şirketi’nin ilgili kişilerden alınan bilgilerin kendi sistemlerine kaydedilmesini sağlamak amacıyla C Şirketi/Bayi’ye bir kullanıcı adı tanımladığı, ilgili kişilerden alınan kişisel verilerin, X Markasının kendi sistemine C Şirketi/Bayi çalışanları tarafından kaydedildiği, yapılan işlemin müşterilerle D Şirketi arasında sözleşme kurulmasına aracılık etmek olduğu, C Şirketi/Bayi’nin D Şirketinden aldığı yetki ile ilgili kişilerin kişisel verilerini yine D Şirketi’nin kendi veri kayıt sistemine işlediği, 
• İlgili Kişi ile C Şirketi/Bayi arasında herhangi bir hukuki ilişki bulunmadığı, C Şirketi/Bayi’nin, müşteriler ile kurulacak sözleşmenin tarafı olmadığı, C Şirketi/Bayi’nin yaptığı işlemin, müşterilerle D Şirketi arasında kurulacak sözleşmelere aracılık etmek olduğu,
• İlgili Kişiden ilk etapta veri sorumlusu sıfatıyla alınan kişisel verilerin; ad, soyadı ve telefon numarası bilgileri olduğu, bu bilgilerin, internet sitesindeki başvuru formunun İlgili Kişinin kendi rızasıyla doldurulması suretiyle C Şirketi/Bayi’ye iletildiği, söz konusu kişisel verilerin “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayalı olarak, müşteriye sözleşme teklifi sunulabilmesi amacıyla işlendiği, İlgili Kişinin sunulan teklifi kabul etmesi dolayısıyla kişisel verilerinin, sözleşme kurulması amacıyla D Şirketi’nin veri kayıt sistemine işlendiği, veri işleyen sıfatıyla internet aboneliği kurulabilmesi için D Şirketi’nin internet sitesine ad, soyadı, adres, T.C. kimlik numarası ve telefon numarası verilerinin işlendiği, bu verilerin, İlgili Kişi tarafından telefon görüşmesi esnasında C Şirketi/Bayi çalışanlarıyla paylaşıldığı ve D Şirketi adına D Şirketi’nin veri kayıt sistemine işlendiği,
• İlgili Kişiye karşı aydınlatma yükümlülüğünün yerine getirildiği, İlgili Kişinin başvuru formunu doldurmadan önce aydınlatma metninin linkiyle karşılaştığı, aydınlatma metninin okunup okunmamasının ilgili kişinin tercihi olduğu, İlgili Kişinin aranma talebinde bulunmadan önce aydınlatma metnine ulaştığı ve aydınlatma yükümlülüğünün yerine getirilmesi sebebiyle görüşme esnasında tekrardan bilgilendirme yapılmadığı, daha önce aydınlatma yükümlülüğünün yerine getirilmesi sebebiyle tekrardan İlgili Kişinin bilgilendirilmesine ihtiyaç bulunmadığı,
• D Şirketi adına işlenen kişisel verilerin D Şirketi’nin kontrolünde olduğu, bu verilerin C Şirketi/Bayi tarafından imha edilmesinin mümkün olmadığı, imha yükümlülüğünün veri sorumlusunda olduğu, başvuru formu yoluyla alınan verilerin ise kulanım amacının ortadan kalkması ile imha edildiği, 
• E-Devlet üzerindeki kayıtların C Şirketi/Bayi tarafından oluşturulmadığı, konu hakkında C Şirketi/Bayi’nin bir bilgisinin bulunmadığı, bu işlemlerin D Şirketi yetkilileri tarafından yapıldığının düşünüldüğü, İlgili Kişinin teklifi kabul etmesi sonrasında kişisel verilerin D Şirketi sistemine girilmesi ile C Şirketi/Bayi’nin veri işleme faaliyetinin sona erdiği, bu noktadan sonra yapılan işlemlerin C Şirketi/Bayi’nin sorumluluğunda ve bilgisi dahilinde olmadığı

hususlarına yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 18/07/2024 tarih ve 2024/1176 sayılı Kararı ile;

• Başvuruya konu olay bağlamında İlgili Kişinin, X Markası abonesi olmak istemediğini açıkça belirtmesine rağmen hizmet almış olduğu şirketin değişmeyeceği hususunda kendisinin aldatıldığını, bu sebeple işleme onay verdiğini, X Markasından hiç hizmet almadığını, bu bakımdan abonelik tesisi için kendisinden talep edilen kişisel verilerin işlenmesi bakımından açık rızasının bulunmasının mümkün olmadığını beyan ettiği,
• Veri Sorumlusunun ise X Markasının internet sitesi üzerinden müşterilere ulaşarak prim karşılığında D Şirketi ile potansiyel müşteriler arasında sözleşme akdedilmesi amacıyla aracılık faaliyeti gösterdiğini ve İlgili Kişiye ait kişisel verilerin de bu amaçla işlendiğini iddia ettiğinin anlaşıldığı,
• İlgili Kişinin şikâyete konu etmiş olduğu internet sitesi ile Veri Sorumlusu tarafından faaliyet gösterildiği beyan edilen internet adresinin aynı olmadığının, şikâyete konu olayda İlgili Kişi tarafından “Yandex” arama motoru üzerinden yapılan sorgulama neticesinde şikâyete konu internet sitesine ulaşıldığı, bununla birlikte söz konusu siteye artık erişim sağlanamadığının anlaşıldığı,
• Benzer şekilde “Yandex” ve “Yahoo” arama motorları üzerinden “A Şirketi kampanyaları” anahtar kelimesi ile farklı tarihlerde yapılan taramalarda, farklı web sitelerinin sonuçlar arasında yer aldığı, bu sitelerde “[…] Müşteri Temsilcisi” “Hoş Geldiniz. Size nasıl yardımcı olabilirim?” ve “Kampanyaları incelediğinizi görüyorum. Tarifeler Hakkında bilgi vermemi ister misiniz? Yeni Abonelik mi Düşünüyorsunuz ?” cümlelerinin standart olarak ekrana geldiği, bahse konu internet sitelerinin İlgili Kişinin hizmet almakta olduğu eski şirket ile çok benzer görsellere sahip olduğunun görüldüğü,
• Sorgu neticesinde çıkan web sitelerinin ana sayfalarına gidilmesi halinde ise sayfada yer alan “Online Başvuru” butonu tıklandığında “Potansiyel Müşteri Aydınlatma metnine ulaşmak için tıklayın. Paylaştığınız bilgiler size en uygun teklifleri sunmak üzere müşteri temsilcilerimize aktarılacaktır.” şeklinde bir metnin ve linkin görüntülendiği, Potansiyel Müşteri Aydınlatma metni görüntülendiğinde çıkan aydınlatma metninde ise “Veri Sorumlusu: C Şirketi” ifadelerine açıkça yer verildiğinin görüldüğü, 
• Söz konusu uygulamanın, D Şirketi ile C Şirketi/Bayi arasında akdedilen Çözüm Ortaklığı Sözleşmesinin muhtelif hükümlerine aykırılık içerdiği, bu suretle anılan şirketin D Şirketinin vermiş olduğu talimatların dışına çıkarak veri sorumlusu sıfatını kazandığı (bundan böyle C Şirketi/Bayi; veri sorumlusu olarak anılmıştır.), İlgili Kişiye yönelik olarak arama gerçekleştiren numaranın da Veri Sorumlusuna ait olduğu göz önüne alındığında Veri Sorumlusunun, başka bir firmaya ait görselleri yanıltıcı bir şekilde kullanarak potansiyel müşterilere ulaştığı, yasal bir dayanağı bulunmamasına karşın sözleşme ilişkisi kurulmasını sağlamak amacı ile sözleşme kurulana kadarki aşamada ilgili kişileri yanıltarak kişisel verilerini işlediği, söz konusu faaliyet bakımından Kanun’un 5’inci maddesinin ikinci fıkrasında düzenlenen işleme şartlarının somut olayda mevcut olmadığı, “açık rıza” işleme şartına dayanılabilmesi için ise “belirli bir konuya ilişkin olma”, “bilgilendirmeye dayanma” ve “özgür irade ile açıklanma” olmak üzere üç temel koşulun aynı anda gerçekleşmesi gerektiği, şikayete konu olayda İlgili Kişinin iradesinin aldatılmak suretiyle sakatlandığı, bu bakımdan alınan rızanın, Kanun’un 3’üncü maddesi anlamında “açık rıza” niteliğini haiz olamayacağı,
• Bu bakımdan söz konusu işleme faaliyetinin hukuki bir dayanağının bulunmadığı ve D Şirketi ile Veri Sorumlusu arasında akdedilen sözleşme hükümlerine aykırı şekilde aracılık ve kişisel veri işleme faaliyetinde bulunan Veri Sorumlusunun, kişisel veri işleme faaliyetinde bulunurken Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasının (a) bendinde öngörülen, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünü gereği gibi yerine getirmediği

değerlendirmelerinden hareketle;

• B Şirketi’nin, şikâyete konu olayda üçüncü kişi sıfatıyla yer alması sebebiyle anılan şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
• D Şirketi’nin, şikâyete konu olayda veri sorumlusu sıfatını kaybettiği yönündeki değerlendirmelerden hareketle, anılan şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
• C Şirketi/Bayi’nin, D Şirketi ile akdettikleri sözleşme uyarınca veri işleyen statüsünde, anılan şirketin emir ve talimatları ile sözleşme hükümleri çerçevesinde hareket etmesi gerektiği halde başka bir firmaya ait görselleri kullanarak potansiyel müşterileri yanılttığı ve bu suretle anılan şirketin İlgili Kişiye ait kişisel verileri temin ederek işlediği, söz konusu faaliyetin D  Şirketi ile C Şirketi/Bayi arasında akdedilen sözleşme hükümlerine aykırı olması sebebiyle C Şirketi/Bayi’nin somut olayda veri sorumlusu sıfatı ile hareket ettiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından herhangi birine dayandırılmadığı değerlendirmelerinden hareketle Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasının (a) bendinde öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünü yerine getirmediği gerekçesiyle Veri Sorumlusu hakkında Kanun’un 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca 450.000 Türk Lirası idari para cezası uygulanmasına,
• Aboneliğin tesis edilmesinin hukuka uygun olup olmadığı hususu başta olmak üzere şikayete konu olayın taraflarının, Türk Hukuku’nda tespit edilen zamanaşımı düzenlemeleri çerçevesinde birbirinden hak talebinde bulunabileceği göz önüne alındığında pasif kaydı da dahil olmak üzere İlgili Kişinin geçmiş aboneliğine ilişkin bilgilerin, sözleşme ilişkisinin son bulduğu tarihten itibaren genel zamanaşımı süresince işlenmesi bakımından hukuka aykırılık bulunmadığı yönündeki değerlendirmelerden hareketle anılan kaydın silinmesine yer olmadığına ve söz konusu hususa ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.