Portföy Transferi mi, Veri Hırsızlığı mı? Yatırım Şirketine 75.000 TL Ceza (Karar: 2019/204)

Kişisel Verileri Koruma Kurulu (Kurul), 08/07/2019 tarihli bu kararı ile iş dünyasında çok yaygın olan bir “etik ve hukuki” soruna nokta koymuştur: Bir çalışanın, eski iş yerindeki müşteri listesini (portföyünü) yeni iş yerine taşıması KVKK kapsamında suç mudur? Karar, personelin beraberinde getirdiği verilerin “meşru” sayılamayacağını ve bu verileri kullanan şirketin ağır bedeller ödeyeceğini göstermektedir.

---

1. Olayın Özeti: Eski Müşteriyi Yeni Şirketten Aramak

Olay: Bir yatırımcı, kendisinin hiçbir ilişkisi bulunmayan bir yatırım ve menkul değerler şirketi tarafından reklam amaçlı aranmıştır. Vatandaş, “Numaramı nereden buldunuz?” diyerek şirkete başvurmuş ancak tatmin edici bir yanıt alamayınca konuyu Kurul’a taşımıştır.

Savunma: Yatırım şirketi, aramayı yapan personelin daha önce başka bir yatırım şirketinde çalıştığını, o şirket kapanınca personelin kendilerinde işe başladığını ve şikayetçinin bu personelin “eski müşterisi” olması sebebiyle numarasının sistemde yer aldığını beyan etmiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “Personelin Portföyü Şirketin Verisidir”

Kurul, iş hayatındaki bu alışkanlığı KVKK’nın 5. maddesindeki veri işleme şartları üzerinden süzgeçten geçirmiştir:

• Veri İşleme Şartı Yokluğu: Şirketin, şikayetçinin numarasını işlemesi için ne bir açık rızası vardır ne de bir sözleşme ilişkisi. “Personelim daha önce bu kişiyle çalışıyordu” gerekçesi, Kanun’un 5. maddesindeki istisnalardan (kanun, sözleşme, hukuki yükümlülük vb.) hiçbirine girmemektedir.
• Hukuka Aykırı Aktarım: Müşteri verileri, o verinin toplandığı şirketin mülkiyetindedir. Bir personelin işten ayrılırken bu listeyi dijital veya zihinsel olarak kopyalayıp yeni iş yerine taşıması, verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması anlamına gelir.
• Veri Güvenliği İhlali (Md. 12/1): Veri sorumlusu şirket, personeli tarafından getirilen bu verileri sorgulamadan sistemine dahil ederek ve pazarlama amaçlı kullanarak “kişisel verilerin hukuka aykırı işlenmesini önleme” yükümlülüğünü ihlal etmiştir.

---

3. Karar Sonucu: 75.000 TL Ceza ve TCK Hatırlatması

Kurul inceleme neticesinde şu kararları vermiştir:

1. İdari Para Cezası: Herhangi bir veri işleme şartına dayanmadan hukuka aykırı veri işleyen yatırım şirketine 75.000 TL (2019 yılı değeri) idari para cezası uygulanmasına,
2. Suç Duyurusu Bilgilendirmesi: Verileri hukuka aykırı şekilde yeni iş yerine taşıyan personel ve bu verileri işleyenler hakkında Türk Ceza Kanunu Madde 136 (Verileri hukuka aykırı yayma) kapsamında şikayetçi olabileceği hususunda ilgili kişinin bilgilendirilmesine,
3. Bilgi Talebi Talimatı: Şikayetçinin “Verilerimi nereden buldunuz?” sorusunu cevapsız bırakan şirketin, bu konuda dürüstçe bilgi vermesi için talimatlandırılmasına,karar verilmiştir.

---

4. Özgür Eralp Perspektifi: “Müşteri Kimsenin Tapulu Malı Değildir, Verisi İse Kanunla Korunur”

Bilişim hukuku ve iş hukuku kesişiminde en çok karşılaştığımız “gri alan” budur. Satış personeli iş değiştirirken “Müşterilerim benimle gelir” diye düşünür. Ancak hukuk buna “portföy hırsızlığı” ve “veri ihlali” der. Bir şirketin, yeni işe aldığı personelin elindeki “hazır listeye” iştahla bakması, aslında 75.000 TL’lik (ve bugünün rakamlarıyla çok daha yüksek) bir riski satın almasıdır.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, işe aldıkları personelin “hazır müşteri listesiyle” gelmesini bir avantaj değil, bir hukuki bomba olarak görmelidir. Personelin eski iş yerinden getirdiği her telefon numarası, şirketi hem KVKK cezasıyla hem de TCK kapsamındaki hapis cezası riskiyle karşı karşıya bırakır. Müşteri sadakati veriye değil, güvene dayalı olmalıdır. Eğer o müşteriyle yeniden çalışmak istiyorsanız, verisini personelden değil, yasal yollardan elde etmeli veya müşterinin size kendi rızasıyla ulaşmasını beklemelisiniz.

---

Sıkça Sorulan Sorular

1. Eski çalıştığım danışmanım yeni şirketinden beni arayabilir mi?

Eğer siz numaranızı o danışmana “şahsi” olarak değil, “şirket çalışanı” sıfatıyla verdiyseniz, danışmanınızın o bilgiyi yeni şirketine taşıması yasaktır. Araması durumunda veri ihlali oluşur.

2. Personel verileri “kafasında tuttuğunu” iddia ederse ne olur?

Verinin zihinde tutulması veya bir kağıda yazılması fark etmez. Eğer bu bilgi, bir veri kayıt sisteminin (şirket rehberi, Excel, CRM vb.) parçası haline getirilip kullanılıyorsa KVKK devreye girer.

3. Bu durumda sadece şirkete mi ceza kesilir?

KVKK kapsamında para cezası “Veri Sorumlusu” olan şirkete kesilir. Ancak veriyi hukuka aykırı sızdıran personel hakkında TCK 136 uyarınca 2 yıldan 4 yıla kadar hapis cezası istemiyle dava açılabilir.

4. Yatırım şirketi neden personeli suçlamasına rağmen ceza aldı?

Çünkü şirket, o personelin getirdiği veriyi kendi sisteminde kullanarak “Veri Sorumlusu” sıfatını kazanmış ve ihlale ortak olmuştur. Denetim yükümlülüğünü yerine getirmemiştir.

5. “Verilerimi nereden buldunuz?” sorusuna şirket cevap vermek zorunda mı?

Evet. KVKK Madde 11 uyarınca her vatandaş, verisinin işlenip işlenmediğini ve kaynağını öğrenme hakkına sahiptir. Şirketin bu soruya “bilmiyoruz” veya “personel getirmiş” gibi kaçamak cevaplar vermesi Kurul tarafından uyarı ve talimat sebebidir.

---

Kaynaklar

• KVKK Kurumu – 2019/204 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5, 12 ve 18)
• Türk Ceza Kanunu (Madde 136)

---

Etiketler

KVKK, Yatırım Şirketi, Müşteri Portföyü, Veri Aktarımı, Personel Hatası, İdari Para Cezası, 2019/204 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Reklam Araması, TCK 136, Veri Güvenliği, İşten Ayrılan Personel