“Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti
Karar Tarihi | : | 03/02/2021 |
Karar No | : | 2021/79 |
Konu Özeti | : | Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması |
Kuruma intikal eden şikâyette; ilgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta 15/11/2019 tarihinde veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun 19/11/2019 tarihinde verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal eden cevabi yazıda özetle;
- İlgili kişinin 2016 yılından bu yana beri veri sorumlusu bankaya ait kredi kartını kullandığı, söz konusu kredi kartının 25/08/2018 tarihinden başlayarak gecikmeye girdiği, ilgili kişinin kartının gecikmeye girmesi sebebiyle kendisi ile görüşüldüğü, ilgili kişinin gecikmede olan kartı için 23/10/2018, 28/12/2018 ve 28/03/2019 tarihlerinde, ilgili kişinin vermiş olduğu iletişim numarasından arandığı ancak ulaşılamadığı,
- İlgili kişiye bünyelerindeki iletişim numarasından ulaşmak mümkün olmayınca, 23/10/2018 tarihinde, sistemlerinde alternatif numara olarak tutulan ***10 numaralı telefon ile 28/12/2018 ve 28/03/2019 tarihlerinde ise ***55 numaralı telefonların arandığı ve söz konusu numaralar ile yapılan görüşmelerde, ilgili kişinin kişisel verilerinin hiçbir şekilde üçüncü şahıslar ile paylaşılmadığı, sadece aranan kişilere, ilgili kişinin taraflarını geri araması için not bırakıldığı, yapılan görüşme kayıtlarına ilişkin dökümlerin yazıları ekinde Kuruma gönderildiği,
- Bankalarının tabi olduğu temel düzenleme olan 5411 sayılı Bankacılık Kanununun Ek 1 inci maddesinde ” (…) Üye kuruluşlar, Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. (…) Risk Merkezi, nezdindeki her türlü bilgi alışverişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.” hükmünün yer aldığı,
- Anılan madde kapsamında düzenlenen ve 10 Nisan 2012 tarihli, 28260 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği” hükümleri uyarınca Risk Merkezi, Risk Merkezinin kuruluş amaçları doğrultusunda kanunlarda özel hayat ve aile hayatının gizliliğine ilişkin hükümler saklı kalmak kaydıyla özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarıyla, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarıyla Kurulun uygun görüşüne istinaden bilgi alışverişine yönelik sözleşmeler imzalamaya yetkili olduğu, bu çerçevede, Risk Merkezi Yönetiminin, özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından aldığı bilgiler ile bilgi alışverişine yönelik imzalanan sözleşmeler kapsamında temin ettiği bilgileri, üyelerinin maruz kalacakları riskleri ölçmek, karşı tarafın mali gücünü düzenli olarak analiz etmek ve izlemek için ihtiyaç duydukları gerekli bilgileri dikkate alarak paylaştığı,
- Risk Merkezi ile veri sorumlusu Banka arasında bu çerçevede bir gizlilik sözleşmesi akdedilmiş olduğu bahsi geçen yasal düzenlemeler ile alt mevzuatın belirlediği kapsamla sınırlı ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, müşterilerinin, kredilendirme süreçlerinde kullanabilmek ve risk bilgilerini alabilmek amaçları ile Risk Merkezinden sorgulamalar yapıldığı, bu çerçevede, ilgili kişinin bünyelerinde kayıtlı olan telefon bilgilerinin, Risk Merkezinden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı,
- 15/11/2019 tarihinde ilgili kişi ile yapılan görüşme sonucunda, ilgili kişinin talebi üzerine, ilgili kişi ile yakınlarının kişisel verisi olan ***10 ve ***55 telefon numaralarından iletişime geçilmemesi için, 18/11/2019 tarihinde gerekli sistemsel güncellenmelerin gerçekleştirildiği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/79 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
- 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde, (Değişik üçüncü fıkra: 13/2/2011-6111/146 md.) “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. (Ek cümleler:20/2/2020-7222/10 md.) Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı haline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan haller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir…” hükmüne yer verildiği,
- Bankacılık Kanununun Ek 1’inci maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesinin yer aldığı,
- Bu çerçevede; veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının birkaç kere arandığı iddiası ile ilgili olarak, veri sorumlusundan alınan cevabi yazı ve ekindeki açıklamalar dikkate alındığında veri sorumlusu tarafından ilgilinin kişinin ablası ve babasının arandığı ikrar edilerek yapılan görüşme kayıtlarına ilişkin dökümlerin de ekte yer aldığı ve söz konusu kayıtlarda; ilgili kişinin ablasının bir defa, babasının ise iki defa arandığı, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğünden ilgili kişinin ablası ve babasının Risk Merkezi üzerinden temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiği
değerlendirmelerinden hareketle,
- Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına
karar verilmiştir.