Kayseri'de yaşayan Avukat Ahmet Şahin, bir tasarruf finansman şirketi tarafından sürekli olarak pazarlama amaçlı kısa mesaj yağmuruna tutuldu ve ardından sesli aramalarla rahatsız edildi. Kendi onayı ve bilgisi dışında gerçekleşen bu durum karşısında harekete geçen Şahin, aydınlatma yükümlülüğünün yerine getirilmediği ve açık rızasının alınmadığı gerekçesiyle elindeki tüm dijital delilleri toplayarak KVKK'nın yolunu tuttu.
Kurumun başlattığı inceleme sonucunda ortaya çıkan tablo, vatandaşların verilerinin kurumlar arasında nasıl kontrolsüzce dolaşabildiğini gözler önüne serdi. Sürecin dikkat çeken detayları şu şekilde gerçekleşti:
Savunma Yetersiz Kaldı: Finansman şirketi, telefon numarasının sisteme başka bir müşteri tarafından eklendiğini iddia ederek sorumluluktan kaçmaya çalıştı.
Kanun İhlali Tespit Edildi: KVKK, bir verinin üçüncü şahıslar aracılığıyla temin edilmesinin hukuka aykırı olduğuna ve veri sahibinin doğrudan rızasının şart olduğuna hükmetti.
Ağır Yaptırım Uygulandı: İleti Yönetim Sistemi (İYS) kurallarını ve Kişisel Verilerin Korunması Kanunu'nu çiğneyen şirkete 1 Milyon TL idari para cezası kesildi.
DİJİTAL KİMLİĞİMİZ GÜVENDE Mİ?
Telefon numaralarından IP adreslerine, IBAN bilgilerinden ikametgah detaylarına kadar paylaştığımız her veri aslında dijital kimliğimizin birer parçası. Avukat Şahin'in de vurguladığı gibi, bu verilerin hukuka aykırı şekilde elde edilmesi, satılması veya yurt dışına aktarılması büyük güvenlik riskleri barındırıyor. Vatandaşların bu tür pazarlama tacizlerine sessiz kalmaması, şirketlerin veri işleme politikalarını yasal sınırlara çekmesi açısından önem taşıyor.

TELEFON NUMARASI KİŞİSEL VERİ SAYILIR MI?
T.C. kimlik numarası, e-posta adresi, IP adresi ve cep telefonu numarası gibi sizi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi kanun kapsamında kişisel veri olarak kabul edilmektedir.
AÇIK RIZA NEDİR? NASIL ALINIR?
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onaydır. Şirketler size SMS atmadan önce bu onayı tereddüde yer bırakmayacak şekilde almak zorundadır. Hizmet şartına bağlanmış veya önceden işaretlenmiş kutucuklarla alınan rızalar geçersizdir.
ŞİKAYET İŞLEMİ ÜCRETSİZ Mİ?
İstenmeyen SMS veya aramalar için e-Devlet, Ticaret Bakanlığı veya KVKK üzerinden yapacağınız şikayet başvuruları tamamen ücretsizdir.
Haber metinlerinde genelde atlanan en kritik yasal boşluk, şirketlerin Aydınlatma Metni ile Açık Rıza Beyanı kavramlarını kasıtlı olarak birbirine karıştırmasıdır. Birçok firma, internet sitelerine veya üyelik formlarına koydukları aydınlatma metinlerini okutmayı, kullanıcıdan pazarlama izni almakla eşdeğer tutar.
Oysa KVKK içtihatlarına göre aydınlatma yükümlülüğü sadece tek taraflı bir bilgilendirmedir; veri işleme veya SMS gönderme hakkı vermez. Şirketin SMS atabilmesi için aktif bir eylemle (örneğin boş bir kutucuğu kullanıcının kendi eliyle işaretlemesiyle) alınmış bağımsız bir açık rızaya ihtiyacı vardır. Kayseri'deki dosyada finans şirketinin 1 milyon lira gibi devasa bir ceza almasının temel sebebi, veriyi üçüncü şahıstan alıp bu "aktif onay" sürecini tamamen baypas etmiş olmasıdır.

VERİ TRANSFERİ VE İYS'NİN SINIRI
Pek çok tüketici, İleti Yönetim Sistemi (İYS) üzerinden "Red" butonuna basınca tüm sorunun çözüldüğünü sanıyor. Oysa Kayseri'deki olaydaki gibi şirketlerin üçüncü taraflardan (örneğin veri simsarlarından veya ortaklık kurulan diğer firmalardan) yasa dışı yollarla veri satın alması, İYS'nin denetim alanını aşan bir süreçtir. Şirketler, veriyi kendi veri tabanlarına işledikleri an, sistemlerinde "onaylı müşteri" statüsü oluşturuyorlar. Tüketici İYS üzerinden "Red" verse dahi, verisi hukuka aykırı şekilde işlendiği için şirket o veriyi "yedekleme" veya "işleme amacı" altında dijital arşivinde tutmaya devam edebiliyor.
Yani sorun sadece gelen SMS değil, o telefon numarasının şirket veri havuzuna "temiz bir veri" gibi girmesidir. Bu nedenle vatandaşın sadece İYS üzerinden onayını kaldırması yetmez, verisinin sistemden 'kalıcı olarak silinmesini' talep eden bir "Veri Silme Talebi" (KVKK Madde 11 uyarınca) dilekçesini de mutlaka şirkete göndermesi gerekir. Bu dilekçe, gelecekte açılacak olası tazminat davalarında 'ispat yükümlülüğü' açısından en güçlü kalkanınızdır.
İZİNSİZ SMS VE ARAMA ŞİKAYETİ NASIL YAPILIR?
Adım | İşlem | Açıklama |
1. Delil Toplama | Ekran Görüntüsü Alma | Gelen SMS içeriğinin, tarihinin ve gönderici kodunun (Örn: B001) net göründüğü ekran fotoğraflarını kaydedin. |
2. İYS Kontrolü | İleti Yönetim Sistemi Doğrulaması | e-Devlet üzerinden İYS paneline girerek söz konusu şirkete daha önceden onay verip vermediğinizi teyit edin. |
3. Kuruma Başvuru | KVKK veya Ticaret Bakanlığı | Delillerinizle birlikte Ticaret Bakanlığı Ticari Elektronik İleti Şikayet Sistemi veya KVKK resmi web sitesi üzerinden şikayetinizi oluşturun. |
