İlgili kişinin Kuruma intikal eden şikâyet dilekçesinde özetle, şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edildiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilişikli başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı, bu çerçevede veri sorumlusuna başvuru yapıldığı ancak veri sorumlusu tarafından verilen cevabın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesine aykırılık teşkil ettiği ve yeterli olmadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle, İlgili kişinin 2015 yılından beri veri sorumlusunun müşterisi olduğu, ilgili sigorta şirketi ile veri sorumlusunun arasında sigorta acentelik sözleşmesinin bulunduğu, bu kapsamda veri sorumlusunun, sigorta şirketinin ürünlerinin satış ve pazarlanması noktasında yetkili acente olarak hizmet verdiği, 5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesi gereği bankaların hizmet ve destek hizmeti aldığı kuruluşlar ve finansal kuruluşlar ile müşteri sırrı niteliğindeki bilgi ve belgeleri yalnızca hizmetin kapsamı ile sınırlı olarak paylaşabildiği, bu durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki işleme şartlarına dayandığı ve bu nedenle bankaların acentesi oldukları sigorta şirketi ile olan bilgi paylaşımlarının da bu yasal düzenlemeler çerçevesince gerçekleştiği, İlgili kişinin veri sorumlusu tarafından kampanya, hizmet ve ürünlerle ilgili kısa mesaj, e-posta, posta ve arama şeklinde ticari elektronik ileti gönderilmesine yönelik izninin ve bu amaçla kişisel verilerinin işlenmesi konusunda rızasının bulunduğu, bu kapsamda konut sigortası için acentecilik yetkisi doğrultusunda ilgili kişinin aranarak ürün teklifinde bulunulduğunun anlaşıldığı,  6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddenin ikinci fıkrası gereği müşteriye ait iletişim bilgisinin onaylı veri sayıldığı,  Veri sorumlusu ile ilgili kişi arasında sözleşmesel ilişkinin mevcut olduğu, veri sorumlusunda halen açık ürün ve hesaplarının yer aldığı ve ilgili kişinin bu duruma ilişkin aksi yönde bir beyanının bulunmadığı,  Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına göre Kanun’un yayımı tarihinden önce oluşturulan sözleşmesel ilişki ile ilgili kişi tarafından, veri sorumlusunca sunulan ürün, hizmet ve avantajlardan yararlanmak için söz konusu hizmet ve pazarlamanın gerektirdiği kapsamda kişisel verilerinin işlenmesi ve buna dair iletilerin gönderilmesi konusunda onay verildiğinden bu durumun Kanun’un 5’inci maddesine aykırılık oluşturmadığı, ilgili kişinin Kanun’un geçiş süresi dahilinde aksi bir irade beyanında bulunmadığı
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarih ve 2022/768 sayılı Kararı ile, 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı, Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında,  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı, Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler, a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler