Yanlış Numaraya Gönderilen Borç Mesajı: 50.000 TL İdari Para Cezası (Karar: 2019/166)
Kişisel Verileri Koruma Kurulu (Kurul), 31/05/2019 tarihli bu kararı ile veri sorumlularının “sehven yapıldı” veya “bir rakam hatası oldu” şeklindeki savunmalarının, veri güvenliği ihlalini ortadan kaldırmadığını tescil etmiştir. Karar, özellikle borç takibi yapan hukuk bürolarının ve avukatların, iletişim bilgilerini güncel ve doğru tutma yükümlülüğünün ne kadar kritik olduğunu göstermektedir.
1. Olayın Özeti: Yeğenin Borç Bilgisi Amcaya Gitti
Olay: İlgili kişi, kendisine ait telefon numarasına, yeğeninin bir şirketler grubuna olan borç bilgilerini (ad, soyad, hizmet numarası) içeren bir SMS gelmesi üzerine veri sorumlusuna (avukata) başvurmuştur.
- Veri Sorumlusunun Savunması: Avukat, durumun personel hatasından kaynaklandığını, sisteme numara girişi yapılırken bir rakam hatası sonucunda SMS’in yanlış kişiye gittiğini ve hatanın derhal düzeltildiğini savunmuştur.
- İlgili Kişinin İtirazı: Şikayetçi, borçlu olan kişinin yeğeni olduğunu, kendi numarası ile yeğeninin numarası arasında sadece “bir rakam değişikliği” ile açıklanamayacak kadar fark olduğunu belirterek, verilerin usulsüz eşleştirildiğini iddia etmiştir.
2. Kurulun Hukuki Değerlendirmesi: Tek Hareket, Çift İhlal
Kurul, bu durumu “basit bir yazım hatası” olarak değil, iki yönlü bir veri güvenliği zafiyeti olarak değerlendirmiştir:
A. Borçlunun Verilerinin İfşası
Borçlu şahsa (yeğenine) ait ad, soyad ve hizmet numarası gibi kişisel veriler, borçla hiçbir ilgisi olmayan üçüncü bir kişiye (şikayetçiye) gönderilmiştir. Bu durum, borçlunun verilerinin yetkisiz kişilere ifşası anlamına gelir.
B. Şikayetçinin Verisinin Usulsüz İşlenmesi
Şikayetçinin telefon numarası, Kanun’da düzenlenen herhangi bir işleme şartına (rıza, sözleşme, kanuni yükümlülük vb.) dayanmadan bir borç takibi dosyasıyla ilişkilendirilmiştir. Bu, şikayetçinin iletişim verisinin hukuka aykırı işlenmesidir.
3. Karar Sonucu: 50.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Veri sorumlusu avukatın, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için gerekli teknik ve idari tedbirleri (doğrulama mekanizmaları, güncel veri kontrolü vb.) almadığı,
- Bu ihmal sonucunda veri güvenliği yükümlülüğünün (Md. 12/1-a) ihlal edildiği,Gerekçeleriyle, veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Hukukta ‘Sehven’ Kelimesi Sorumluluğu Silmez”
Bilişim hukuku alanındaki tecrübemizde, hukuk bürolarının ve alacak takip merkezlerinin devasa listelerle çalıştığını ve “bir rakam hatası” savunmasına çok sık sığındıklarını görüyoruz. Ancak KVKK’ya göre veri sorumlusu, verinin doğruluğundan ve güncelliğinden sorumludur. Bir başkasının borç bilgisini (mağduriyet yaratabilecek bir veriyi) yanlış numaraya göndermek, sadece bir hata değil, veri yönetim sisteminin disiplinsizliğidir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Özellikle hukuk büroları, borçlu datalarını sisteme aktarırken mutlaka telefon numarası ile borçlu kimliğini eşleştiren doğrulama algoritmaları kullanmalıdır. Kararda vurgulanan “tek hareketle iki ihlal” tespiti çok önemlidir; çünkü siz bir hata yaparak aynı anda hem borçlunun mahremiyetini ihlal ediyorsunuz hem de hiç ilgisiz bir vatandaşı “borçlu” gibi sisteminize kaydediyorsunuz. 50.000 TL’lik ceza (2019 yılı için), bu tür dikkatsizliklerin ağır bir bedeli olduğunu hatırlatır.
Sıkça Sorulan Sorular
1. Telefonuma başkasının borç mesajı gelirse ne yapmalıyım?
Öncelikle mesajı gönderen kurum veya kişiye başvurarak numaranızın neden o dosyada kayıtlı olduğunu ve derhal silinmesini talep edin. Eğer tatminkar bir cevap alamazsanız, Kurul’a şikayette bulunabilirsiniz.
2. “Bir rakam hatası” geçerli bir mazeret midir?
Kurul bu kararda olduğu gibi, bu tür hataları “gerekli teknik ve idari tedbirlerin alınmaması” olarak görür. Yani hatanın yapılmış olması, sistemin hata yapmaya açık olduğunun kanıtıdır ve ceza sebebidir.
3. Avukatlar bu tür cezaları şahsen mi öder?
Evet, baroya kayıtlı avukatlar “Veri Sorumlusu” sıfatıyla hareket ettikleri durumlarda cezai ve idari yaptırımlardan bizzat sorumludurlar.
4. Bu ihlal nedeniyle borçlu olan yeğen de şikayetçi olabilir mi?
Kesinlikle. Kendi özel borç bilgileri rızası dışında bir akrabasına (veya herhangi birine) sızdırılan borçlu da, verilerinin yetkisiz paylaşımı nedeniyle şikayetçi olabilir ve manevi tazminat davası açabilir.
5. Kurumlar bu tür hataları nasıl önleyebilir?
Veri tabanındaki numaraları periyodik olarak doğrulatmalı, toplu SMS gönderimlerinden önce rastgele örneklemelerle kontrol yapmalı ve sisteme her veri girişinde “çifte onay” veya “doğrulama” süreçlerini işletmelidirler.
Kaynaklar
- KVKK Kurumu – 2019/166 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Türk Ceza Kanunu (Madde 136 – Verileri Hukuka Aykırı Olarak Yayma)
Etiketler
KVKK, Yanlış SMS, Veri Güvenliği İhlali, Avukat Sorumluluğu, İdari Para Cezası, 2019/166 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Borç Bilgisi İfşası, Personel Hatası, Teknik ve İdari Tedbirler, Veri Doğruluğu
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),
