Site Yönetiminde Telefon Numarası Paylaşımı KVKK’ya Aykırı mı? KVKK Kurulu 2021/359 Karar Özeti

KVKK Kurul Kararı · Site Yönetimi · Mobil Uygulama · Açık Rıza

Site Yönetiminde Telefon Numarası Paylaşımı KVKK Kurulu 2021/359 Kararı Ne Söylüyor?

Site yönetimleri, aidat takibi, duyuru, bakım-onarım ve finansal raporlama gibi hizmetleri yürütürken sıklıkla telefon numarası, daire bilgisi ve iletişim tercihleri gibi kişisel verileri işlemek zorunda kalır. Ancak bu verilerin yönetim hizmetinin sınırlarını aşacak şekilde isteğe bağlı bir mobil uygulamaya aktarılması veya uygulama üyeliğini teşvik etmek amacıyla kullanılması, KVKK bakımından doğrudan risk yaratır.

Kişisel Verileri Koruma Kurulu’nun 13/04/2021 tarihli ve 2021/359 sayılı kararında; site yönetim hizmeti sunan şirketin, bir mobil uygulama kapsamında ilgili kişiye ait telefon numarasının açık rıza olmaksızın paylaşılması/aktarılması “hukuka aykırı veri işleme” olarak değerlendirilmiş ve veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmıştır.

Kararın Özeti Uyum ve Önlemler

İçindekiler 1. Olayın Özeti ve Şikayet Konusu 2. Veri Sorumlusu ve Veri İşleyen Ayrımı 3. Kurulun Hukuki Değerlendirmesi (KVKK m.5) 4. Kararın Sonucu ve İdari Para Cezası 5. Site Yönetimleri ve Uygulama Sağlayıcıları İçin Uyum Yol Haritası 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Karar: KVKK Kurulu 2021/359 (13/04/2021)
Konu: Site yönetiminin, telefon numarasını mobil uygulama ile açık rıza olmadan paylaşması
Kritik nokta: Uygulamaya katılım, site yönetim hizmetinden ayrı ve isteğe bağlı bir amaçtır
Sonuç: KVKK m.12/1’e aykırılık → 100.000 TL idari para cezası

Yönetim amaçlı toplanan veri, farklı bir platforma yönlendirme/üyelik yaratma amacıyla kullanılıyorsa açık rıza aranmaktadır.

KVKK m.5 Açık Rıza Veri Sorumlusu

Not: İçerik, paylaşılan Kurul karar özetine dayalı bilgilendirme amaçlıdır. Kurumunuzun rolü (site yönetimi, temsilciler kurulu, uygulama sağlayıcı), veri akışı ve sözleşmesel mimarisi birlikte değerlendirilerek uyum planı çıkarılmalıdır.

1. Olayın Özeti ve Şikayet Konusu

İlgili kişi, ikamet ettiği sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını, yönetim hizmetleri kapsamında kullanılan bir mobil uygulama aracılığıyla rızası dışında paylaştığını ve uygulama üzerinden kendisine bilgilendirme mesajı (SMS) gönderildiğini belirterek Kuruma şikayette bulunmuştur.

İnceleme kapsamında Kurul; (i) site yönetim hizmetini sunan şirketten, (ii) uygulama/bulut hizmeti sağlayan şirketten savunma istemiş; taraflar arasındaki hizmet sözleşmeleri ile KVKK protokolü dahil olmak üzere dokümantasyonu incelemiştir.

Şikayetin odak noktası

Telefon numarasının yeni bir uygulamaya aktarımı ile ilgili kişinin bilgilendirilmesi,
Aktarımın site yönetimi hizmetinin sınırlarını aşıp aşmadığı,
İkinci uygulamaya katılımın isteğe bağlı olması nedeniyle “işleme şartı”nın ne olacağı,
Açık rıza alınmadan yapılan işlemin KVKK’ya uygun olup olmadığı.

Uyum mesajı: “Sitede yönetim hizmeti veriyorum” gerekçesi, her veri aktarımını otomatik olarak meşrulaştırmaz. Amaç değişiyorsa (ör. yeni uygulama üyeliği), hukuki sebep ve yükümlülük seti de değişir.

2. Veri Sorumlusu ve Veri İşleyen Ayrımı

Kararın en kritik boyutlarından biri; somut olayda veri sorumlusu ve veri işleyen rollerinin netleştirilmesidir. Kurul, bu tespiti yaparken Site Temsilciler Kurulu ile yönetim firması arasındaki sözleşmeleri, yönetim firmasının üçüncü kişilerle sözleşme yapabilme yetkisini, uygulama sağlayıcıyla imzalanan hizmet sözleşmesini ve KVKK protokolünü birlikte değerlendirmiştir.

Taraf	Rol	Gerekçe / Özet
Yönetim Hizmeti Sunan Şirket	Veri Sorumlusu	Kişisel verilerin işlenme amaç ve yöntemini belirleyen; uygulama ile sözleşme yapan ve protokolde veri sorumlusu olduğu belirtilen taraf.
Uygulama Hizmeti Sunan Şirket	Veri İşleyen	Veri sorumlusunun verdiği yetki kapsamında, onun adına bulut/uygulama hizmetini sağlayan taraf.

Bu ayrım; sorumluluğun “tek başına uygulama sağlayıcıda olduğu” yaklaşımını zayıflatmış; esasen amaç ve yöntemi belirleyen yönetim firmasının veri sorumlusu olarak KVKK yükümlülüklerinden kaçınamayacağını ortaya koymuştur.

Kurumsal ders: “Biz sadece yönetim programı kullanıyoruz” veya “sistem otomatik SMS gönderiyor” savunmaları, veri sorumluluğunu ortadan kaldırmaz. Veri akışı yetkilendiriliyorsa sonuçlarından veri sorumlusu sorumludur.

3. Kurulun Hukuki Değerlendirmesi (KVKK m.5)

Kurul; KVKK’nın 5. maddesi uyarınca, kural olarak kişisel verilerin açık rıza olmaksızın işlenemeyeceğini, ancak m.5/2’deki şartlardan birinin varlığı halinde açık rıza aranmaksızın işleme yapılabileceğini hatırlatmıştır.

Kararda belirleyici olan nokta: “Amaç ayrışması”

İncelemede; ikinci uygulamaya katılımın site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu kanaatine varılmıştır. Bu nedenle, ilgili kişilerin ikinci uygulamaya katılımını sağlamak amacıyla telefon numarasının işlenmesi/aktarılması; KVKK m.5/2’deki “işleme şartları”na dayandırılamamış, ancak ilgili kişinin açık rızasıyla mümkün görülmüştür.

Taraf beyanlarının çakışması nasıl çözüldü?

Yönetim firması, aktarım yapmadığını ve ilgili kişinin kendi iradesiyle uygulamaya kaydolduğunu ileri sürerken; uygulama sağlayıcı şirket, platform değişikliği/ek platform kullanımında ilk uygulamadaki verilerin ikinci uygulamaya otomatik aktarıldığını ve bunun için yönetim firması tarafından yetkilendirme yapıldığını belirtmiştir. Kurul, ayrıca taraflar arasındaki protokol maddelerini de dikkate alarak aktarımın mümkün ve fiilen gerçekleşmiş olduğu sonucuna yaklaşmıştır.

Uygulama mesajı: Birinci sistemden ikinci sisteme “otomatik veri aktarımı” gibi teknik süreçler, hukuki sebep ihtiyacını ortadan kaldırmaz. Eğer yeni platformun amacı “isteğe bağlı üyelik / farklı hizmet” ise açık rıza ve şeffaf bilgilendirme zorunluluğu gündeme gelir.

4. Kararın Sonucu ve İdari Para Cezası

Kurul, ikinci uygulamaya katılımın site yönetimi hizmetinden bağımsız ve isteğe bağlı olduğuna; bu nedenle kişisel verilerin bu kapsamda işlenmesinin açık rıza olmaksızın hukuka uygun kabul edilemeyeceğine karar vermiştir.

Bu değerlendirme çerçevesinde; KVKK’nın 12/1 hükmüne aykırı hareket ettiği kanaatine varılan veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında, KVKK’nın 18/1-(b) bendi uyarınca 100.000 TL idari para cezası uygulanmıştır.

Başlık	Özet
Karar Tarihi / No	13/04/2021 – 2021/359
İhlal Teması	Telefon numarasının isteğe bağlı uygulamaya aktarımı / paylaşımı (açık rıza yok)
Rol Tespiti	Yönetim firması: veri sorumlusu · Uygulama sağlayıcı: veri işleyen
Sonuç	KVKK m.12/1’e aykırılık → 100.000 TL idari para cezası

Kurumsal risk notu: Site yönetimi sektöründe (İstanbul/Ankara/İzmir başta olmak üzere) mobil uygulama kullanımı yaygınlaştıkça, “amaçla sınırlılık” ve “açık rıza” ihlalleri daha sık görülmektedir. Veri akışınızı sözleşme/protokol seviyesinde değil, sistem seviyesinde de kontrol altına alın.

5. Site Yönetimleri ve Uygulama Sağlayıcıları İçin Uyum Yol Haritası

Bu karar, site yönetim hizmeti için toplanan verilerin “kolay iletişim / kampanya / yeni uygulama üyeliği” gibi farklı amaçlarla kullanılmasının açık rıza gerektirebileceğini açık şekilde göstermektedir. Aşağıdaki adımlar, pratikte uyum riskini ciddi ölçüde düşürür.

1. Amaç ve Kapsamı Netleştirin

“Aidat ve yönetim duyuruları” ile “isteğe bağlı uygulama/ek hizmet” ayrımını yazılı hale getirin. İsteğe bağlı hizmetin amacı, kapsamı, veriye ihtiyaç seviyesi ve alternatif kanallar ayrıca tanımlanmalıdır.

2. Açık Rıza Gerektiren Noktaları Ayırın

İkinci uygulamaya yönlendirme, pazarlama/kampanya bildirimi veya üyelik oluşturma gibi amaçlar varsa; ilgili kişiden ayrı ve özgür iradeye dayalı açık rıza alın. Rıza ile yönetim hizmetini “şarta bağlamayın”; rıza verilmediğinde hizmetin olumsuz etkilenmemesi kurgusunu sağlayın.

3. Aydınlatma Metinlerini “Şeffaf ve Spesifik” Hale Getirin

Site sakinlerine; hangi verilerin (ör. telefon numarası), hangi amaçla, hangi uygulama/sağlayıcıyla, hangi süreyle işlendiği ve kimlere aktarılabileceği açıkça anlatılmalıdır. “Muğlak/genel” ifadeler hem güveni düşürür hem de denetimde zayıf görünür.

4. Veri Aktarımını Teknik Olarak Kontrol Edin

“Otomatik aktarım” senaryoları için, yönetim firmasının yetkilendirmesiyle oluşan entegrasyonları envantere alın. Kimin hangi sistemde hangi yetkilerle eriştiği, log kayıtları ve veri aktarım tetikleyicileri denetlenebilir olmalıdır.

5. Veri İşleyen Sözleşmeleri ve KVKK Protokolünü Güçlendirin

Veri işleyenin talimat dışı işlem yapmaması,
Alt yüklenici kullanımı, erişim kısıtları ve denetim hakkı,
Veri güvenliği tedbirleri (şifreleme, erişim, log, yedek, olay yönetimi),
İade/İmha süreçleri ve saklama süreleri

açık ve ölçülebilir şekilde düzenlenmelidir. “Protokol açık rıza yerine geçer” yaklaşımı uygulamada yüksek risklidir; açık rıza gerekiyorsa mutlaka ilgili kişiden alınmalıdır.

KVKK 2021/359 site yönetimi KVKK telefon numarası paylaşımı veri sorumlusu veri işleyen açık rıza zorunluluğu

Hızlı kontrol listesi: (1) Amaç ayrışması yapıldı mı? (2) İsteğe bağlı uygulama için açık rıza alındı mı? (3) Aydınlatma metni uygulama bazında güncel mi? (4) Otomatik aktarım/entegrasyon envanteri var mı? (5) Veri işleyen sözleşmeleri denetlenebilir mi?

6. Sık Sorulan Sorular (SSS)

Site yönetimi telefon numaramı “duyuru” için kullanabilir mi?

Yönetim hizmetinin ifası için zorunlu iletişim (ör. aidat hatırlatma, bakım duyurusu) belirli şartlarda mümkün olabilir. Ancak amaç genişleyip “isteğe bağlı uygulama üyeliği / kampanya” noktasına giderse açık rıza gündeme gelir.

Uygulamaya kendim kayıt olduysam yine de sorun olur mu?

Kayıt sürecine ilişkin verinin sisteme nasıl düştüğü kritiktir. Eğer telefon numarası otomatik aktarım yoluyla uygulamaya taşınmış ve SMS ile davet/aktivasyon yapılmışsa, bu süreç açık rıza ve şeffaf bilgilendirme yönünden ayrıca değerlendirilir.

Veri sorumlusu kim sayılır: site yönetimi mi uygulama şirketi mi?

Kararda; amaç ve yöntemi belirleyen, uygulama ile sözleşme yapan ve işleme talimatını veren yönetim firması veri sorumlusu; uygulama/bulut hizmeti sunan taraf veri işleyen olarak değerlendirilmiştir.

“KVKK protokolünde rıza yerine geçer” yazarsa yeterli mi?

Hayır. Protokol, veri sorumlusu ile veri işleyen arasındaki sorumlulukları düzenler; ilgili kişinin açık rızası gerekiyorsa bu rıza ilgili kişiden alınmalıdır.

Otomatik veri aktarımı yapan entegrasyonlar riskli midir?

Evet; çünkü veri aktarımı görünmez hale gelebilir. Entegrasyonların kayıt altına alınması, yetkilendirmelerin sınırlanması, logların tutulması ve aktarım amaçlarının hukuki sebebe bağlanması gerekir.

Bu karar özel siteler için de geçerli mi?

Karar, site yönetimi bağlamında genel prensipleri ortaya koyar: amaçla sınırlılık, açık rıza gerektiren durumların ayrıştırılması ve veri sorumlusu/veri işleyen rol tespiti. Bu prensipler, uygulamaya göre farklı detaylarla özel sitelerde de yön gösterir.