İyilik Yaparken Hukuktan Olmayın: Bir Derneğe SMS İhlali Cezası (Karar: 2020/691)
Kişisel Verileri Koruma Kurulu (Kurul), 10/09/2020 tarihli bu kararıyla, vakıf ve dernek gibi sivil toplum kuruluşlarının (STK) “bağış toplama” veya “bilgilendirme” amacıyla yaptıkları veri işleme faaliyetlerinin dokunulmaz olmadığını hatırlatmıştır. Karar, “Muhtemelen daha önce bağış yapmıştı” gibi varsayımların hukukta yerinin olmadığını ve şikâyet sonrası numarayı “pasife almanın” veriyi silmek anlamına gelmediğini tescil etmiştir.
1. Olayın Özeti: Nereden Geldiği Belirsiz Bir SMS
Olay: Bir vatandaş, kendisine bir dernekten reklam içerikli SMS gelmesi üzerine derneğe başvurarak; “Numaramı nereden buldunuz, açık rızam yok, verilerimi açıklayın” demiştir. Dernek, bu yasal başvuruya 30 gün içinde hiç cevap vermemiştir. Bunun üzerine konu Kurul’a taşınmıştır.
Derneğin Savunması:
- “İdari bir sıkıntı” nedeniyle cevap veremediklerini,
- Şikâyet gelince numarayı hemen “pasif” (gönderim yapılamaz) listeye aldıklarını,
- Kişinin açık rızasının kayıtlı olmadığını ancak “muhtemelen eskiden SMS ile bağış yaptığı için” numaranın sistemde kaldığını beyan etmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Varsayımlarla Veri İşlenemez”
Kurul, derneğin tutumunu KVKK’nın temel direkleri üzerinden incelemiştir:
A. Hukuki Sebep Yokluğu (Md. 5)
Bir veriyi işlemek için ya açık rıza ya da kanunda sayılan diğer istisnalar (sözleşme, meşru menfaat vb.) gerekir.
- İhlal: Dernek, rıza olduğunu ispatlayamamıştır. “Kuvvetle muhtemel bağış yapmıştır” ifadesi hukuki bir dayanak değildir. Verinin kaynağı ispatlanamıyorsa, o veri hukuka aykırı elde edilmiş sayılır.
B. Başvuruya Cevapsız Kalma Suçu (Md. 13)
KVKK uyarınca veri sorumluları, ilgili kişilerin başvurularını kabul etmek veya gerekçesini açıklayarak reddetmek zorundadır.
- Kusur: “İdari sıkıntı” mazereti, kanuni cevap verme yükümlülüğünü ortadan kaldırmaz. Sessiz kalmak, kanuna açık aykırılıktır.
C. Kara Liste (Pasife Alma) vs. İmha (Md. 7)
Dernek, şikâyetçinin numarasını “pasif listeye” (gönderim yapılmayacaklar listesi) aldığını savunmuştur.
- Kritik Tespit: Kurul, başlangıçtan beri hukuka aykırı işlenen bir verinin “kara listeye” alınarak sistemde tutulmaya devam edilmesini hukuka aykırılığın devamı olarak görmüştür. Eğer veri en baştan rızasız/hukuksuz işlenmişse, “pasife” alınmaz; derhal sistemden silinir/imha edilir.
3. Karar Sonucu: İdari Para Cezası ve İmha Talimatı
Kurul inceleme neticesinde şu yaptırımlara hükmetmiştir:
- İdari Para Cezası: Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik teknik ve idari tedbirleri (Md. 12) almayan derneğe para cezası uygulanmasına,
- Cevap Verme Talimatı: Bundan sonraki başvuruların yasal sürede yanıtlanması konusunda derneğin talimatlandırılmasına,
- Kesin İmha: Hukuka aykırı işlenen telefon numarasının “kara listede” tutulmayıp, sistemden tamamen imha edilmesi (silinmesi) talimatının verilmesine,karar verilmiştir.
4. Özgür Eralp Perspektifi: “Hayır İşlemek KVKK’dan Muafiyet Sağlamaz”
Bilişim hukuku ve STK danışmanlığı tecrübemizde, derneklerin “Biz kamu yararına çalışıyoruz, herkes bize destek olmak ister” düşüncesiyle geniş veri havuzları oluşturduğunu görüyoruz. Ancak Kurul’un bu kararı; iyiniyetin, veri güvenliği yükümlülüklerinin önüne geçemeyeceğini gösteriyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Dernekler, özellikle SMS bağışları sırasında aldıkları numaraları sadece o işlemle sınırlı tutmalıdır. “Bir kez bağış yaptı, artık her projeyi haber verebilirim” mantığı, “amaçla sınırlılık” ilkesine aykırıdır. Ayrıca, bir vatandaşın “Beni bir daha aramayın” talebi gelince onu listelerde “yasaklı” olarak tutmak yerine, eğer verinin tutulması için başka bir yasal sebep (yasal saklama süresi vb.) yoksa tamamen silmek en güvenli yoldur. Unutmayın; silmediğiniz her veri, potansiyel bir ceza dosyasıdır.
Sıkça Sorulan Sorular
1. Bir derneğe bir kez SMS ile bağış yaptım, bana sürekli mesaj atabilirler mi?
Hayır. Bağış yaparken “kampanyalardan haberdar olmak istiyorum” şeklinde bir onay (opt-in) vermediyseniz, numaranızın reklam amaçlı kullanılması hukuka aykırıdır.
2. “Numaramı pasife aldık” dediler, bu yeterli mi?
Eğer verinizin işlenmesi için en baştan rızanız yoksa, sistemde “engellenmiş” olarak bile durması ihlaldir. Tamamen silinmesini (imha) talep etme hakkınız vardır.
3. Derneğe yazdım ama 30 gün geçti cevap gelmedi. Ne yapmalıyım?
Cevap gelmemesi, Kurul’a şikâyet hakkınızın doğduğu anlamına gelir. 60 gün içinde Kurul’a başvurarak dernek hakkında inceleme başlatılmasını isteyebilirsiniz.
4. Derneklerin bu cezaları bağışlarla ödemesi yasal mı?
Dernekler tüzel kişiliktir ve cezalar derneğin kasasından ödenir. Ancak dernek yönetimi, bu zarara sebebiyet veren yöneticilere rücu edebilir veya genel kurulda hesap vermek zorunda kalabilir.
5. Bir SMS’ten ne kadar ceza çıkabilir?
Kurul, ihlalin niteliğine göre 2026 yılı güncel limitlerinde yüz binlerce lirayı bulan cezalar takdir edebilmektedir. Tek bir SMS, derneğin yıllık bütçesini sarsacak bir cezaya dönüşebilir.
Kaynaklar
- KVKK Kurumu – 2020/691 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 5, 7, 12, 18)
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
Etiketler
KVKK, Dernek İhlali, İzinsiz SMS, Açık Rıza Yokluğu, Kara Liste vs İmha, İdari Para Cezası, 2020/691 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Silme Yükümlülüğü, SMS Bağışı, Başvuruya Cevap Vermeme
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),