Kişisel Verileri Koruma Kurulu tesis yönetim şirketlerini, site yönetimlerini ve yönetim yazılımı şirketlerini yakından ilgilendiren çok güncel bir kararı kamuoyu ile paylaştı. Site yönetimi veya yönetim şirketleri kat maliki ve kiracıların kişisel verilerini “açık rıza” gerekmeksizin site yönetim işlerine ilişkin amaçlarla işleyebilir, bu amaçla kullanılan bir site yönetim yazılımına veya bu amaçla kullanılan mobil uygulamaya aktarabilir!
Aşağıdaki Kişisel Verileri Koruma Kurulu kararının detaylarını incelemeden önce kararın bir yanlış anlamaya mahal vermemesi için kararda belirtilen durumu özetleyelim. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında kişisel veriler, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmakta olup kişilerin isim, soy ismi ve telefon numaraları da kişisel veridir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 5 uyarınca kişisel veriler kural olarak ilgili kişinin açık rızası ile işlenebilmektedir. Bununla birlikte, açık rızanın istisnaları takip eden ikinci fıkrada belirtilmiştir. Bu çerçevede; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi mümkündür. Burada sayılan istisna halleri, kişisel verilerin aktarımı bakımından da geçerlidir. Bu kapsamda, kişisel verilerin Apsiyon veya benzeri programlara sağlanan yönetim hizmetleri çerçevesinde girilmesi, KVVK kapsamındaki tanımı ile “aktarılması” yukarıda sayılan istisnalar kapsamında değerlendirilecektir.
Apartman veya toplu yapı yönetimleri veya genel kurulları, toplu yapı temsilciler kurulları veya toplu yapı yönetim kurulları ile akdedilmiş sözleşmeler kapsamında Site Yönetim Şirketleri (“veri sorumlusu”) site yönetim işlerine ilişkin amaçlarla kişisel veri işlerlerse ve/veya yazılım kullanımı ile aktarırlarsa açık rıza gerekmeyecektir. Kanaatimizce, eğer açık rıza gerekeceğine dair Kişisel Verileri Koruma Kurulu’nun bir öngörüsü olsa idi, “aşağıdaki kararda açıkça yönetim işlerinden ayrı bir amaca hizmet etme” ifadesi geçmezdi.
Apartman ve site yönetimleri, yöneticileri Kişisel Verileri Koruma Kanunu açısından sorumlu mu?
Apartman ve Site Yönetimlerinde KVKK (Kişisel Verilerin Korunması Kanunu)
Apartman ve site yönetimlerinin bu kişisel bilgileri toplaması 1774 Sayılı Kimlik Bildirme Kanunu’na (“KBK”) ve “Kimlik Bildirme Kanununun Uygulanması İle İlgili Yönetmeliği” (“KBKUY”)’ne yine 7201 Sayılı Tebligat Kanunu’na göre yasal yükümlülükleridir.
Site Yönetimi veya Yönetim Şirketleri Kat Maliki ve Kiracıların Kişisel Verilerini Bina Girişine, İlan Panosuna, Kapılara Asmamalı, Whatsapp Gruplarında İlan Etmemelidir!
Bununla beraber 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında toplanan bu bilgilerin apartman ve site yönetimleri tarafından kişisel veri olduğunun kabul edilmesi gerekmektedir. Bu bilgilerin hukuka aykırı olarak yayılması, WhatsApp gruplarında ilan edilmesi, bina giriş panolarına asılması, satılması 5237 Sayılı Türk Ceza Kanunu (“TCK”) m. 136 kapsamında suç teşkil edebilecektir. Aidat borç listelerindeki isim, soy ismi ve borç miktarı ile blok, daire numarası ve benzeri bilgiler “kişisel veri” kapsamına girmektedir.
TCK’nın “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136/1 maddesi: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” düzenlemesi yer almaktadır. Bu kapsamda; kişisel verilerin hukuka aykırı olarak işlenmesi hem cezai hem de idari yaptırımla karşılaşılmasına neden olabilecektir.
Kişisel Verileri Koruma Kurulu kararına yansıyan olayda, bir sitede ikamet eden kişi oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiğini belirtilerek KVKK kapsamında gerekli yaptırımın uygulanması talep edilmiştir. Konu Kişisel Verileri Koruma Kurulu bünyesinde tartışılmış ve 13/04/2021 tarihli ve 2021/359 numaralı kararında irdelenmiştir.
Kişisel Verileri Koruma Kurulu tarafından konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (“Site Yönetim Hizmeti Sunan Şirket”) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (“Uygulama Hizmeti Sunan Şirket”) savunmaları istenilmiştir. Yönetim Hizmeti Sunan Veri Sorumlusu Sıfatını Haiz Şirket ile Uygulama Hizmetini Sunan Veri İşleyen Sıfatını Haiz Şirket’in savunmalarında “her ne kadar Yönetim Hizmeti Sunan Şirket kişisel verileri ikinci uygulama ile paylaşmadığını ifade etmiş ise de Uygulama Hizmetini Sunan Şirket, Yönetim Hizmeti Sunan Şirket için ikinci uygulamaya yetki tanındığı ve kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığını ifade etmiştir.
Karara konu olayda özetle; Uygulama Hizmeti Sunan Şirket tarafından, hali hazırda işlediği kişisel verileri Yönetim Hizmeti Sunan Şirketin onayıyla başka bir uygulamaya aktararak yeni uygulamaya giriş için ilgili kişilere SMS göndermiş ve ilgili kişi de açık rızasının bulunmadığı gerekçesiyle Kurul’a başvurmuştur.
Yönetim Hizmeti Sunan Şirket hakkında idari para cezası kesilmesinin gerekçesi, ikinci uygulamaya katılımın site yönetim işlerinden ayrı bir amaca hizmet etmesi ve bu uygulamaya katılımın isteğe bağlı olması şeklinde belirtilmiştir. Anılan sebeple de KVKK’nın m.5/2’de sayılan istisnalara dayanarak açık rıza almaksızın veri işlemenin mümkün olamayacağı, ikinci uygulama ile kişisel verilerin paylaşılmasının açık rıza alınmasına tabi olduğu ve ancak ilgili kişilerin açık rızalarının alınmadığı tespit edildiğinden veri sorumlusu olan Yönetim Hizmeti Sunan Şirket hakkında 100.000,00 TL idari para cezası uygulanmasına karar verilmiştir.
Hem site yönetimi ile Yönetim Hizmeti Sunan Şirket arasındaki sözleşme kapsamında Yönetim Hizmeti Sunan Şirketin üçüncü kişilerle sözleşme yapabiliyor olması hem de Yönetim Hizmeti Sunan Şirketin ile Uygulama Hizmeti Sunan Şirket arasındaki sözleşmede Yönetim Hizmeti Sunan Şirketin veri sorumlusu olduğunun belirtilmiş olması sebebiyle Yönetim Hizmeti Sunan Şirketin veri sorumlusu sıfatını haiz olduğu kabul edilir.
Site yönetimi kişisel verilerin işlenmesine ilişkin yetkisini açıkça devretmese bile, yönetim şirketleri kişisel verilerin işleyişine ilişkin koşullara kendisi karar veriyor ve/veya kendisi kişisel verileri ilgilendiren sözleşmeler yapıyorsa, yönetim şirketi veri sorumlusu kabul edilebilecektir.
Uygulama Hizmetini Sunan Şirketin, Yönetim Hizmeti Sunan Şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştirdiği için veri işleyen sıfatını haiz olduğu kabul edilir. Bu durumda, Uygulama hizmeti sunan şirket veri sorumlusu olmadığından site sakinlerinden açık rıza alma ve aydınlatma yapma yükümlülükleri eğer Site Yönetim Şirketi veri sorumlusu ise yönetim şirketinde, site yönetim şirketi yoksa veya yukarıdaki sözleşme ilişkisi bulunmuyorsa veri sorumlusu site yönetimi olacağından site yönetiminde olacaktır.
Kişisel Verileri Koruma Kurulu, 22.07.2020 tarihli ve 2020/560 sayılı Kararı ile “veri sorumlusu”na ilişkin tanımın, pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiğini ve bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceğini belirtmiştir. Bununla birlikte, aynı kararda, kat malikleri kurulunun veri sorumlusunun yükümlülüklerinin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceğini değerlendirmiş ve her halükarda, kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için, her somut olay bakımından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiğine karar vermiştir. Bu çerçevede, Site Yönetimleri; veri sorumlusu sıfatını haiz olabilir ve Yönetim Hizmeti Sunan Şirketler ise; site genel kurulu veya yönetim kurulu / temsilciler kurulu veya toplu yapı yönetim kurulu ile akdedilmiş sözleşmeler kapsamında veri sorumlusu sıfatını haiz olabilirler.
Her durumda, Site Yönetimleri ve/veya Yönetim Hizmeti Sunan Şirketlerin, Uygulama Hizmeti Sunan Şirketler ile aralarında kişisel verilerin işlenmesine ilişkin hususları da içeren bir hizmet sözleşmesi bulunması önerilmektedir. 634 sayılı Kat Mülkiyeti Kanunu’ndan (“KMK”) kaynaklı borç ve yükümlülüklerin gerekliliklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesi zorunlu olup bu kapsamda yaşayan sakinlerde açık rıza aranması söz konusu değildir. Bununla birlikte, site yönetimi uygulama platformlarındaki site sakinlerine ait kişisel verilerin kendi açık rızaları olmadan indirim, kampanya, hizmet sunum veya başka amaçlı olarak başka uygulamalara, yazılımlara aktarımlarının yapılmaması gerekmektedir.
Site Yönetimleri ve Site Yönetim Şirketleri kullandıkları “site yönetim yazılımı”nı sağlayan Uygulama Hizmetini Sunan Şirketler ile sözleşmelerinde veri aktarımları hususuna dikkat etmeli, yazılım veya uygulamanın emsalleri ile düşük bedel veya ücretsiz sunulması durumunda “verilerin aktarımının” Uygulama Hizmetini Sunan Şirketlere gelir amaçlı yapılıp yapılmadığını araştırmalıdırlar. Veri İşleyen Sıfatını Haiz Uygulama Hizmetini Sunan Şirketler, site sakinlerinin uygulamaya kendileri kaydolup uygulamayı kullanmadan ve site sakinlerine ait kişisel verileri kendi açık rızaları olmadan indirim, kampanya, hizmet sunum veya başka amaçlı olarak başka uygulamalara, yazılımlara aktarmamalıdırlar.
Site Yöneticisi Kiracının Aidat Borcunu Ev Sahibi ile Paylaşabilir Mi?
1.802.000 TL Ceza! (Apartman ve Sitelerde KVKK)
Sonuç olarak; kurulun önceki kararlarında veri sorumlusu olarak kabul edilen site yönetiminin bu kapsamda, site sakinlerinin “kişisel verilerinin” “açık rıza gerekmeksizin” Apsiyon veya benzeri programlara girilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’daki tanımı ile aktarılması, yukarıda sayılan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 5/2 uyarınca istisnalar kapsamında değerlendirileceği hususunun da yakın zamanda açıklığa kavuşturulacağı kanaatindeyiz.
Kurul Kararına Ulaşmak İçin: “İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/359 sayılı Karar Özeti
Kararın tam metnini aşağıdan okuyabilirsiniz.
Karar Tarihi: 13/04/2021
Karar No: 2021/359
Konu Özeti: İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması. İlgili kişinin Kuruma intikal eden şikayetinde özetle; oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli yaptırımların uygulanması talep edilmiştir. Konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (Site Yönetim Hizmeti Sunan Şirket) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (Uygulama Hizmeti Sunan Şirket) savunmaları istenilmiştir. Bu kapsamda Yönetim Hizmeti Sunan Şirketten alınan cevabi yazıda özetle;
- İlgili kişinin ikamet ettiği Sitenin Temsilciler Kurulu ile Şirketleri arasında hizmet sözleşmesinin bulunduğu, mezkur sözleşme kapsamında yükümlülüklerinin Kat Mülkiyeti Kanunu ve Site Yönetim Kurulu kararlarına uygun olacak şekilde; sitenin ortak alanlarında çalışacak personelin tahsisi ve çalıştırılması, site yönetim faaliyetlerine danışmanlık verilmesi, sitenin finansal durumunun analizi ve bilanço hazırlanması, site denetim kurulunun denetim işlemleri sırasında refakat edilmesi, sitenin gelir-gider muhasebe işlemlerinin usule uygun olarak yapılması olduğu,
- Dolayısıyla Şirketlerinin, bir yönetim firması olduğu ve yönetim firması olması sebebiyle hizmetlerini sunarken birçok yönetim programından yararlanıldığı, kişisel verilerin aktarıldığı iddia edilen uygulamanın da Şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğu, site sakinlerinin kişisel verilerinin kesinlikle üçüncü kişilerle paylaşılmadığı, muhtemel olarak ilgili kişinin kendisinin programa kaydolduğundan SMS ile bilgilendirme aldığı,
- Söz konusu uygulamayı sunan Şirket ile aralarında hizmet sözleşmesi bulunduğu, ilgili kişiye ait kişisel verilerin mezkur uygulamaya aktarılması ya da uygulamaya kaydının taraflarınca yapılması gibi bir durumun söz konusu olmadığı, Şirketlerine üçüncü bir taraftan gelen yüksek meblağlı bir ürünle ilgili indirimin site sakinlerince yönetim hizmetlerinin gerçekleştirilmesi için hali hazırda kullanılan bir uygulama (ilk uygulama) üzerinden site sakinlerine bilgi verme amaçlı olarak bildirildiği, kişisel verilerin aktarıldığı iddia edilen yeni uygulamaya (ikinci uygulama) üye olmayı gerektiren bu indirimden yararlanabilmenin tamamen ilgili kişinin inisiyatifinde olduğu, ilgili kişinin kendi seçimi ile yeni uygulamaya/ikinci uygulamaya kaydolduğu, bu çerçevede aydınlatılmanın söz konusu uygulama ve ilgili kişinin arasında bir durum olduğu,
- İlgili kişinin mezkur uygulamaya kaydının Şirketlerince yapılmadığı, ilgili kişinin uygulamaya kendi özgür iradesiyle kayıt olduğu şeklinde açıklamalara yer verilmiş ve yazıları ekinde hem halihazırda kullanılan ilk uygulama hizmetini sunan şirket hem de şikayet konusu kişisel verilerin aktarıldığı iddia edilen ikinci uygulama hizmetini sunan şirket ile imzalanan hizmet sözleşmelerine ve taraflar arasındaki KVKK Protokolüne yer verildiği görülmüştür.
- Yönetim Hizmeti Sunan Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında bu Şirkete bulut hizmeti sağlandığı, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin Yönetim Hizmeti Sunan Şirket tarafından oluşturulduğu, bu sebeple kendilerinin veri sorumlusu sıfatını haiz olmadığı, sağlanan bulut hizmetinin kapsamı gereği veri işleyen sıfatını haiz oldukları,
- Sunulan bulut program hizmetinin bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olduğu, ilgili kişinin ikamet ettiği sitede 634 sayılı Kat Mülkiyeti Kanunundan kaynaklanan borç ve yükümlülüklerin gereklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesinin zorunlu olduğu,
- İlgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi çerçevesinde işlenebileceği, bu kapsamda açık rıza aranması durumunun söz konusu olmadığı, böyle bir rızanın aranacağı düşünülse bile söz konusu aydınlatma ve açık rızanın alınması yükümlülüğünün Yönetim Hizmeti Sunan Şirkete ait olduğu,
- İlgili kişinin kişisel verilerinin Yönetim Hizmeti Sunan Şirket tarafından bulut sistemine girilmesi suretiyle elde edildiği, bu kapsamda ilgili kişiye ait kişisel verilerin Yönetim Hizmeti Sunan Şirket tarafından elde edilerek bulut sisteme girişinin yapıldığı, Yönetim Hizmeti Sunan Şirket tarafından ilgili kişinin girişinin yapılmasının ardından bulut programının otomatik olarak ilgili kişiye kayıt mesajı gönderdiği,
- Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi kapsamında gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; halihazırda yönetim hizmetlerinin ifası için kullanılan ilk uygulamada kayıtlı verilerin şikayete konu edilen ikinci uygulamaya aktarılabilmesi için Yönetim Hizmeti Sunan Şirketin bilgisi ve isteği dahilinde Şirketlerine ilk uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin ikinci uygulamaya otomatik olarak aktarıldığı,
- Yönetim Hizmeti Sunan Şirket tarafından ilk uygulamaya kaydı yapılan kullanıcıların bilgi aktarımının otomatik olarak ikinci uygulamaya yapıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’i gönderildiği açıklamalarına yer verilmiştir. Söz konusu iddialar, tarafların savunmaları ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/359 sayılı Kararı ile;
Öncelikle somut hadisede ilgili kişinin şahsına ait telefon numarasının rızası dışında uygulama ile paylaşıldığı iddiası kapsamında veri sorumlusunun tespit edilmesi gerektiği, veri sorumlusunun tespit edilebilmesi adına Site Temsilciler Kurulu ile Yönetim Hizmeti Sunan Şirket arasındaki sözleşmelerin de incelendiği, bu doğrultuda Yönetim Hizmeti Sunan Şirketin Site Temsilciler Kurulu ile akdettiği sözleşme kapsamında ilgili kişinin ikamet ettiği sitede yönetim hizmetleri verdiği, bu anlamda söz konusu hizmetlerin ifası gereği Yönetim Hizmeti Sunan Şirketin 3. kişilerle sözleşme yapabileceği, bu sözleşmeler kapsamında sorumluluğun Yönetim Hizmeti Sunan Şirkete ait olduğu, Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen uygulama/ikinci uygulama ile hizmet sözleşmesi akdettiği ve bu sözleşmenin eki niteliğinde olan KVKK Protokolünde hizmet sözleşmesinde Yönetim Hizmeti Sunan Şirketin veri sorumlusu sıfatını haiz olduğuna yer verildiği dikkate alındığında Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen ikinci uygulama ile yaptığı sözleşme kapsamında kişisel verilerin işlenme amaç ve yöntemini belirleyen kişi olarak veri sorumlusu sıfatını taşıdığı
- Uygulama Hizmetini Sunan Şirketin ise Yönetim Hizmeti Sunan Şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştiren veri işleyen sıfatını haiz olduğu
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5. maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı
- Diğer taraftan veri sorumlusu Şirket ve veri işleyen Uygulama Hizmeti Sunan Şirket arasında akdedilmiş olan Protokolün “Protokol Koşulları” başlıklı maddesinde;
- Yönetim Hizmeti Sunan Şirketin hizmet sözleşmesi kapsamında uygulamayı kullanarak uygulama ile yazılı olarak, elektronik ortamda veya sair şekillerde bilgi, belge ve veri paylaşacağı,
- Yönetim Hizmeti Sunan Şirketin uygulama ile paylaşacağı her türlü verinin sözleşme ilişkisi kapsamında uygulamaya aktarıldığını ve KVKK anlamında gerekli kabul edilmesi halinde Protokolün paylaşılacak her türlü kişisel veri bakımından açık rıza niteliğinde olduğunu kabul, beyan ve taahhüt edeceği,
- İlgili kişilerin KVKK kapsamında açık rıza vermesi gerekli ise ilgili kişilerin verilerinin uygulama ile paylaşılması hususunda ilgili kişilerden açık rıza aldığını kabul beyan ve taahhüt edeceği hususlarına yer verildiği,
- Bununla birlikte, şikayet konusu kapsamında Uygulama Hizmetini Sunan Şirketten alınan cevap yazısından; Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi ile birlikte gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; Yönetim Hizmeti Sunan Şirketin kullandığı ilk uygulamada kayıtlı verilerin ikinci uygulama ile paylaşılabilmesi için veri sorumlusu Şirketin bilgisi ve isteği dahilinde ikinci uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin otomatik olarak ikinci uygulama ile paylaşıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS'i gönderildiği,
- Bu kapsamda, veri sorumlusu Yönetim Hizmeti Sunan Şirket her ne kadar ilgili kişinin kişisel verilerini ikinci uygulama ile paylaşmadığını iddia etse de, bu uygulama ile aralarında akdedilmiş olan Protokol maddelerine ve Uygulama Hizmeti Sunan Şirketten alınan cevap yazısına göre taraflar arasında söz konusu kişisel veri paylaşımı hususunun mümkün olduğu; keza Uygulama Hizmeti Sunan Şirketten alınan cevap yazısından da veri sorumlusu Şirketin kullanmış olduğu ilk uygulamada mevcut verilerin ikinci uygulama ile paylaşılması kapsamında veri sorumlusu Yönetim Hizmeti Sunan Şirket tarafından ikinci uygulamaya yetki tanındığı, bu yetki çerçevesinde aralarında ilgili kişinin de bulunduğu ilk uygulamadaki kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığı,
- İkinci uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğunun anlaşıldığı, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, diğer taraftan somut hadisede ise ilgili kişinin açık rızasının alınmadığı hususları göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlendiği kanaatine varıldığı değerlendirmelerinden hareketle;
- Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede Kanunun 12. maddesinin (1) numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.