Kişisel Verileri Koruma Kurumu‘nun (KVKK), bir avukatlık bürosuna ceza vermesine yol açan olay, bilişim uzmanı Semih Zeyveli’nin, 19 Ekim 2016’da eşine ait olduğu söylenen telefon hattı borcu için aranmasıyla başladı.
Avukat M.A. adına aradığını söyleyen kişi, Zeyveli’nin eşi adına alınan telefon hattının borcu için icra takibi başlatıldığını belirtti.
Babasının da aynı kişiler tarafından arandığını ve telefonuna, “Borcunuzu ödemediğiniz takdirde, hacze gelinecek ve evde olmamanız durumunda kapınız polis eşliğinde çilingirle açılacak ve işlemler yapılacaktır.” ifadelerinin olduğu mesajlar gönderildiğini öğrenen Zeyveli, bunun üzerine aynı gün kendisini ve babasını arayan numarayı arayarak görüşmeyi, karşı tarafa da haber vererek kaydetti.
Görüşmede, borçlu ile nasıl bağdaştırıldığını soran Zeyveli, “Avukatlık sistemlerinin bulunduğu, burada borçlunun tüm yakınlarının ve akrabalarının numarası ile ev adresinin kayıtlı olduğu” yanıtını alması üzerine şikayet dilekçesi hazırlayarak, 5 Eylül 2019’da KVKK’ye başvurdu.
Avukatlık bürosu, verilerin kanun kapsamında işlendiğini bildirdi
Başvuru üzerine 7 Ocak 2020’de inceleme başlatan KVKK, avukatlık bürosu sahibi M.A.’yı da 28 Ağustos 2020 tarihli yazıyla haberdar etti.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ilgili maddeleri hatırlatılıp şikayetçinin iddialarının sorulduğu avukat M.A.’dan, “Kişisel verilerin nasıl ve nereden elde edildiği, hangi hukuki gerekçeyle işlendiği, ihbarda geçen avukatlık sisteminin ne olduğu, kişisel verilerin yurt içinde veya yurt dışında kimlere hangi gerekçelerle aktarıldığı, kanunun 12. maddesi kapsamında kişisel verilere ilişkin uygun güvenlik düzeyini temin etmeye yönelik ne tür teknik ve idari tedbirlerin alındığına” yönelik bilgiler talep edildi.
M.A. da 28 Eylül 2020’de gönderdiği cevabi yazısında, ilgili kişinin hangi personeli tarafından ne sebeple arandığına dair bir çıkarımda bulunulamadığını belirterek, söz konusu telefon görüşmesinin 4 yıl önce yapılması nedeniyle somut bir savunma yapma olanağının olmadığını bildirdi.
Avukatlık bürosu olarak bankalara, GSM kurumlarına ve özel şirketlere hukuki hizmet verdiklerini, bu çerçevede gerek dava gerek icra dosyaları takip edildiği için hukuki işlem konusu olan kişilere ait kişisel verilerin müvekkilleri, bazen de bizzat şahıslar tarafından iletildiğini belirten avukat M.A., Ulusal Yargı Ağı Bilişim Sistemi’ni (UYAP) kullandıklarını kaydetti.
GSM şirketinden “İlgili kişi veya eşinin borçlu olduğu bir dosya yok” açıklaması
KVKK ayrıca, iletişim hizmeti sağlayan GSM şirketine de 15 Aralık 2020’e gönderdiği yazıda “kişisel verilerin güvenlik düzeyini temin etmeye yönelik ne tür teknik ve idari tedbirlerin alındığına” ilişkin bilgi talep etti.
GSM şirketi de 31 Aralık 2020’de gönderdiği yazıda, “Tahsilat ve yasal takip süreçlerinde birlikte çalışılan ve vekalet ilişkisi kapsamında hizmet alınan avukatlarla kanuna uygun olarak amaçla bağlantılı, sınırlı ve ölçülü şekilde borçlu abonelerin kişisel verilerinin paylaşıldığı, zorunlu olmayan kişisel verilerin hiçbir şekilde üçüncü taraflara aktarılmadığı, kişisel verilerin paylaşılması, ilgili kişilerin aranması ve SMS gönderilmesi vakalarıyla ilgilerinin bulunmadığı, tahsilat amacıyla abonelerin eşinin, eşinin annesinin, babasının kişisel verilerinin sisteme kaydedilmediği, kişiler hakkında mümkün olan tüm araştırmaların yapıldığı, ne UYAP kapsamında ne de yasal takip sisteminde ilgili kişilere ilişkin kayıtların bulunmadığı ve bu sebeple yasal takip başlatılmadığı kanaatinde olunduğu”na yer verildi.
Yazıda ayrıca, kendi sistemlerinde (Themis) incelenen kayıtlarda veri sorumlusuna yapılmış bir başvurunun bulunmadığı, ilgili kişinin veya eşinin borçlu olduğu bir dosyanın olmadığı belirtilerek, “İhbarda bulunan ilgili kişi ile eşi tarafından yasal bir süreç başlatılmadığı, sistemde yapılan incelemede arama yaptığı iddia edilen avukatın verdiği bilgiler doğrultusunda icra takibinin, yapılan aramalarının doğruluğu konusunda şüphe oluştuğu, Themis sistemi yazılımında ekranlar üzerinden SMS ve e-mail gönderimi yapılmasının mümkün olmadığı” kaydedildi.
KVKK, idari para cezası verip olayı savcılığa bildirdi
KVKK, 16 Şubat’ta verdiği kararda, şikayet edilen avukatın GSM şirketinin belirttiği amaçlar kapsamında, kişisel veriler açısından “veri işleyen” olduğunun değerlendirildiğini belirterek, ödenmeyen faturaların tahsil edilmesi amacıyla aktarılan kişisel verilere ek olarak avukatın kendi iradesi sonucunda numara elde etmesi ve ilgili kişilere SMS gönderimi veya arama yapması faaliyeti açısından avukatın sorumlu olduğunun tespit edildiğini kaydetti.
Avukat M.A.’nın “veri sorumlusu” olduğunu ve Anayasa ile kanunun ilgili maddelerini ihlal ettiğine kanaat getiren KKVK, M.A.’nın kişisel veri işlemelerinin açıkladığı amaçlara uygun davranmadığı kararına vardı.
KVKK, Kişisel Verilerin Korunması Kanunu’na aykırı hareket eden avukat M.A. hakkında 100 bin lira idari para cezası uygulanmasına karar verdi.
Kurul ayrıca, ihbar eden Semih Zeyveli ile veri sorumlusu M.A adına çalışan kişi arasında gerçekleşen konuşmada belirtilen avukatlık sisteminin kullanıldığına ilişkin şüphe oluştuğu gerekçesiyle Türk Ceza Kanunu’nun (TCK) “nitelikli dolandırıcılık” suçunu düzenleyen 158. maddesi uyarınca durumun cumhuriyet başsavcılığına bildirilmesine hükmetti.