Spor Dergisinden Gıda Reklamına: “Amaçla Sınırlılık” İhlali ve 18.000 TL Ceza (Karar: 2020/34)

Kişisel Verileri Koruma Kurulu (Kurul), 16/01/2020 tarihli bu kararıyla, çağrı merkezleri ve veri sorumluları için hayati bir kuralı hatırlatmıştır: Bir veri hangi amaçla toplandıysa, sadece o amaçla kullanılabilir. Karar, “eski müşteri listelerinin” yeni iş kollarında reklam amaçlı kullanılmasının ağır bir hukuk ihlali olduğunu tescil etmektedir.

---

1. Olayın Özeti: Dergi Aboneliğinden Gıda Pazarlamasına

Olay: Bir vatandaş, bir gıda şirketi adına reklam amaçlı aranmıştır. Numaramı nereden buldunuz sorusu üzerine, aramayı yapan çağrı merkezi yetkilisi (gerçek kişi veri sorumlusu) ilginç bir savunma yapmıştır:

• Şikayetçinin numarası, 2013-2015 yılları arasında bir spor kulübünün dergi aboneliği işlemleri sırasında sisteme kaydedilmiştir.
• Çağrı merkezi yetkilisi, 2017 yılında bir gıda markasının pazarlama işini alınca, eski sistemdeki (server) kayıtları bu yeni işi için de kullanmıştır.
• Veri sorumlusu, sistemden numarayı silmeye çalıştıklarını ancak “teknik bir hata” sonucu aramanın gerçekleştiğini iddia ederek özür dilemiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “Amaçla Sınırlılık”

Kurul, veri sorumlusunun bu faaliyetini KVKK’nın temel ilkeleri (Md. 4) ve geçiş hükümleri üzerinden analiz etmiştir:

A. Amaçla Bağlantılı ve Sınırlı Olma İlkesi (Md. 4/ç)

Kişisel veriler ancak işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olabilir.

• İhlal: Spor dergisi aboneliği için verilen bir telefon numarasının, tamamen alakasız bir gıda şirketinin reklamı için kullanılması, verinin ilk işlenme amacından sapılmasıdır. Bu, KVKK’nın en temel ilkelerinden birinin ihlalidir.

B. Veri Saklama ve İmha Süreçleri (Md. 7)

İşlenmesini gerektiren sebepler ortadan kalktığında verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur.

• Kusur: Spor kulübü ile yapılan sözleşme 2015 yılında sona ermiştir. Bu tarihten sonra verilerin tutulmasını gerektiren amaç ortadan kalktığı için verilerin derhal silinmesi gerekiyordu. Verinin sistemde tutulmaya devam etmesi ve üstelik başka bir amaçla kullanılması hukuka aykırıdır.

C. “Sistem Hatası” Savunması

Veri sorumlusunun “silmek istedik ama sistem hata yapıp aradı” beyanı bir mazeret kabul edilmemiştir.

• Değerlendirme: Bu durum, veri sorumlusunun verilerin hukuka aykırı işlenmesini önlemek için gerekli teknik ve idari tedbirleri (Md. 12) tam ve düzgün bir şekilde almadığını kanıtlamaktadır.

---

3. Karar Sonucu: 18.000 TL İdari Para Cezası

Kurul inceleme neticesinde;

1. Verilerin toplama amacı dışında (spor dergisi yerine gıda reklamı) kullanılması,
2. Amacı sona eren verilerin zamanında ve usulüne uygun silinmemesi,
3. Veri güvenliği yükümlülüğünün ihlal edilmesi,Gerekçeleriyle, veri sorumlusu hakkında 18.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Müşteri Listesi Şahsi Servet Değildir”

Bilişim hukuku alanındaki tecrübemizde, çağrı merkezlerinin veya satış temsilcilerinin, bir işten diğerine geçerken “data portföyü” adı altında müşteri listelerini yanlarında taşıdıklarını görüyoruz. Bu karar, bu alışkanlığın ne kadar tehlikeli olduğunu gösteriyor. Bir veri sorumlusu, elindeki listeyi “her projede kullanabileceği bir joker kartı” sanmamalıdır.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, hizmet aldıkları çağrı merkezlerinin hangi datayı kullandığını sorgulamalıdır. Eski bir projeden kalan numaraları yeni bir reklam kampanyasına dahil etmek, sadece aramayı yapanı değil, o markayı da hukuki ve itibar riskine sokar. Unutulmamalıdır ki; “Hatalı arama” diye bir savunma yoktur; “Hatalı veri yönetimi” vardır.

---

Sıkça Sorulan Sorular

1. Bir dergiye abone oldum, numaramı başka şirketlere verebilirler mi?

Hayır. Abonelik sırasında “Verilerimin grup şirketleri veya çözüm ortaklarıyla paylaşılmasına rıza gösteriyorum” gibi bir onay vermediyseniz, veriniz sadece o abonelik amacıyla sınırlı kalmalıdır.

2. Şirket “Yanlışlıkla aradık, numaranızı sildik” derse ceza almaktan kurtulur mu?

Hayır. Kurul bu kararda olduğu gibi, “yanlışlıkla arama” durumunu bir sistem zafiyeti ve veri güvenliği ihlali olarak kabul etmektedir. Hata olmuş olması, kanunun ihlal edildiği gerçeğini değiştirmez.

3. “Amaçla sınırlılık” neden önemlidir?

Çünkü bu ilke, sizin bir hizmet almak için verdiğiniz bilginin (örneğin kargo için adres) daha sonra hiç istemediğiniz pazarlama faaliyetlerinde kullanılmasını engelleyen en büyük hukuki kalkandır.

4. 18.000 TL ceza 2026’da ne kadar olur?

Yeniden değerleme oranları ile 2020’deki 18.000 TL, bugün (2026) çok daha yüksek bir maliyete (yüz bin liranın üzerinde sınırlara) ulaşabilmektedir.

5. Bir şirket beni alakasız bir konu için aradığında ne yapmalıyım?

Aramayı yapan kişiye “Numaramı hangi veri tabanından aldınız ve hangi işleme şartına dayanıyorsunuz?” diye sorun. Aldığınız yanıtı kaydedin ve veri sorumlusuna yazılı başvuru yaparak KVKK haklarınızı kullanın.

---

Kaynaklar

• KVKK Kurumu – 2020/34 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 5, 7, 12 ve 18)
• 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

---

Etiketler

KVKK, Çağrı Merkezi İhlali, Amaçla Sınırlılık, Veri İmhası, Reklam Araması, İdari Para Cezası, 2020/34 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Müşteri Verisi Yönetimi, Veri Saklama Süreleri, Sistem Hatası Savunması