---

Kişisel Verileri Koruma Kurulu (Kurul), 14/01/2020 tarihli bu kararı ile eğitim kurumlarının pazarlama faaliyetlerinde uyması gereken yasal sınırları bir kez daha hatırlatmıştır. Kararın en dikkat çekici yönü, veri sorumlusunun hem ilgili kişiye hem de Kurul’a karşı sergilediği “yanıtsız bırakma” tavrının, ihlalin tescillenmesinde oynadığı roldür.

---

1. Olayın Özeti: İzinsiz Reklam ve Cevapsız Tebligat

Olay: Bir vatandaş, kendi rızası dışında bir eğitim kurumu tarafından telefonuna reklam/bilgilendirme SMS’i gönderilmesi üzerine kuruma başvurmuş ancak yanıt alamamıştır. Konu Kurul’a intikal ettiğinde, Kurul’un savunma talebi de kurum çalışanına tebliğ edilmesine rağmen yanıtsız bırakılmıştır.

• İhlal Türü: Açık rıza olmaksızın pazarlama amaçlı veri işleme.
• Süreç Hatası: İlgili kişinin ve resmi makamların yazılarına cevap verilmemesi.

---

2. Kurulun Hukuki Değerlendirmesi: “Rıza Yoksa Ceza Var”

Kurul, mevcut belgeler ışığında eğitim kurumunun veri işleme faaliyetini şu esaslara göre mahkûm etmiştir:

A. İşleme Şartlarının Yokluğu (Md. 5)

KVKK Madde 5 uyarınca, kişisel verilerin işlenmesi için ya ilgili kişinin açık rızası olmalı ya da kanunlarda öngörülen istisnai haller (sözleşme ifası, hukuki yükümlülük vb.) bulunmalıdır.

• Değerlendirme: Eğitim kurumunun reklam amaçlı mesaj göndermesi, bu istisnaların hiçbirine girmemektedir. Bu tür bir faaliyet ancak net bir “açık rıza” ile mümkündür.

B. Veri Güvenliği Yükümlülüğü (Md. 12/1)

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için gerekli teknik ve idari tedbirleri almak zorundadır.

• Kusur: Kurumun, rızası olmayan kişilere SMS atması, veri işleme süreçlerinde kontrol mekanizmalarının (idari tedbirlerin) bulunmadığını kanıtlamaktadır.

C. Kurumsal İlgisizlik

Kurul’un bilgi ve belge talebinin “iş yerinde daimi çalışana” tebliğ edilmesine rağmen cevap verilmemesi, kurumun veri koruma mevzuatına uyum konusundaki hassasiyetinin eksikliğini ve denetim yükümlülüğünün ihlal edildiğini göstermiştir.

---

3. Karar Sonucu: 50.000 TL İdari Para Cezası

Kurul inceleme neticesinde;

• Hukuka aykırı veri işlenmesini önlemeye yönelik gerekli tedbirlerin alınmaması (Md. 12/1-a),
• İşleme şartı (açık rıza vb.) olmaksızın reklam mesajı gönderilmesi,Gerekçeleriyle, eğitim kurumu hakkında 50.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Kurulun Yazısı Masada Kalmamalıdır”

Bilişim hukuku alanındaki tecrübemizde, kurumların en büyük hatasının “gelen tebligatları önemsememek” olduğunu görüyoruz. Kurul, savunma gelmediği takdirde eldeki mevcut belgelerle (şikayetçinin sunduğu SMS görüntüsü vb.) doğrudan karar verme yetkisine sahiptir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Eğitim kurumları, pazarlama datalarını (lead listeleri) oluştururken mutlaka İleti Yönetim Sistemi (İYS) entegrasyonu sağlamalıdır. Kurul’dan gelen bir yazıyı cevapsız bırakmak, hukuk dilinde “suçlamayı kabul ediyorum” demektir. Özellikle eğitim gibi güven odaklı bir sektörde, bu tip cezalar sadece mali kayıp değil, marka itibarında da ciddi yaralar açar.

---

Sıkça Sorulan Sorular

1. Bir kurs veya okul bana izinsiz SMS atarsa ne yapmalıyım?

Önce veri sorumlusu kuruma yazılı başvuru yaparak verinizin kaynağını sorun ve silinmesini isteyin. 30 gün içinde yanıt alamazsanız Kurul’a şikayette bulunabilirsiniz.

2. “Bilgilendirme” mesajı reklam sayılır mı?

Evet. Eğer mesajın içeriği yeni bir kayıt dönemini, bir kursu veya bir hizmeti tanıtıyorsa, adının “bilgilendirme” olması onun “pazarlama” niteliğini değiştirmez ve rıza gerektirir.

3. Kurul’un gönderdiği yazıyı personel alıp yönetime iletmezse şirket sorumlu olur mu?

Kesinlikle. Kararda belirtildiği üzere “daimi çalışana” yapılan tebligat kurumu bağlar. Şirket içi iletişimin kopuk olması KVKK nezdinde bir mazeret değildir.

4. 50.000 TL ceza 2026’da ne kadar olur?

2020 yılındaki bu tutar, her yıl yeniden değerleme oranına göre artmaktadır. 2026 yılı güncel limitleriyle benzer bir ihlalin faturası yüz binlerce lirayı bulabilmektedir.

5. Eğitim kurumları rızayı nasıl almalı?

Rıza; kayıt sözleşmesinden bağımsız, “reklam ve tanıtım içerikli mesajları almayı kabul ediyorum” şeklinde bir seçenekle ve mümkünse dijital onay/ıslak imza ile alınmalıdır.

---

Kaynaklar

• KVKK Kurumu – 2020/20 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5, 12 ve 18)
• Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik

---

Etiketler

KVKK, Eğitim Kurumu İhlali, İzinsiz SMS, Reklam Mesajı, İdari Para Cezası, 2020/20 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Güvenliği, Açık Rıza, Kurul Tebligatı, Pazarlama İzinleri