Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08/10/2020 Tarihli ve 2020/765 Sayılı Karar Özeti

Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08/10/2020 Tarihli ve 2020/765 Sayılı Karar Özeti

Karar Tarihi : 08/10/2020
Karar No : 2020/765
Konu Özeti : Bir banka tarafından Kurul kararı ile verilen talimatın gereğinin yerine getirilmemesi hakkında

 

İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 11’inci maddesinde belirtilen hakları kapsamında veri sorumlusu Banka’ya yaptığı başvuruya Kanun’da düzenlenen otuz günlük süre içerisinde cevap verilmediği ve Bankanın internet sayfasında yayımlanan aydınlatma metninin de Kurum tarafından yayımlanan tebliğe uygun olmadığı, metinde kişisel verilerin işlenmesindeki sebeplerin belirtilmediği, ayrıca kişisel verilerin işlenme amaçları için genel ifadeler kullanıldığına ilişkin Kişisel Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak savunması alınan veri sorumlusu Bankaya “internet sayfasında yer alan Kişisel Verilerin Korunması Kişisel Verileriniz Koruma Altında!” başlıklı metnin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun hazırlanmaması nedeniyle gözden geçirilmesi ve Tebliğ hükümlerine uygun hale getirilmesini teminen kişisel verilerin hangi kişisel veri işleme şartlarına dayanılarak işlendiğine metinde ayrıntılı şekilde yer verilmesi, bahse konu metnin aydınlatma yerine geçmeyeceği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği hususlarında gerekli düzenlemelerin yapılması” gerektiği yönündeki talimatı içerir 06.02.2020 tarih ve 2020/100 sayılı Kurul Kararı tebliğ edilmiş olup, bu çerçevede veri sorumlusundan alınan bilgi ve belgelerin birlikte incelenmesinden:

  • Veri sorumlusu tarafından aydınlatma metnine, işlenen kişisel verilerin işleme amaçları ile ilgili olarak “Bankamızdan alacağınız ürün ve hizmetler nedeni ile kuracağınız ilişki çerçevesinde; Kişisel verileriniz aşağıda belirtilen hukuki sebeplere dayalı olarak işlenmektedir. Kanun’un: 5/2 (a) maddesinde düzenlenen kanunlarda açıkça öngörülmesi; 5/2 (c) maddesinde düzenlenen Bankamızla imzalanan sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; 5/2 (ç) maddesinde düzenlenen Bankamızın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; 5/2 (e) maddesinde düzenlenen bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; 5/2 (f) maddesinde düzenlenen sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru menfaatleri için veri işlenmesinin zorunlu olması; son olarak özel nitelikli kişisel verileriniz ise; de 6/2 maddesine göre ancak açık rızanızla işlenebilmektedir.” şeklindeki paragrafın eklendiği,
  • Aydınlatma metninde veri sorumlusu tarafından işlenen kişisel verilere (kategorik olarak) ayrıca yer verilmediği gibi metinde kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin de ayrıntılı bir düzenleme yapılmadığı; yalnızca Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentleri ile Kanunun 6’ncı maddesinin (2) numaralı fıkrasındaki hükümlerin sıralandığı,
  • Aydınlatma metninde işleme amaçlarında bazı eklemeler yapılması ve başvuru sahiplerinin veri sorumlusuna başvurularını iletme yollarının yeniden düzenlenmesi dışında genel itibariyle aydınlatma metninin Tebliğe uygun hale getirilmesi amacıyla talimatta yer verilen ilgili değişikliklerin yapılmadığı,
  • Ayrıca veri sorumlusu tarafından savunma metninde; 5411 sayılı Bankacılık Kanununda belirlenmiş olan ve Bankacılık Düzenleme ve Denetleme Kurumu tarafından ayrıca izin alınmış olan faaliyetleri de kapsayacak şekilde kişisel verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin, kişisel verilerin elde edilmesi anında bilgilendirildiği ancak Bankanın yürüttüğü sosyal sorumluluk projeleri ve kurumsal marka çalışmaları ile reklam faaliyetleri gibi diğer faaliyetlerinde ise müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmekle birlikte bu hususta Kuruma tevsik edici herhangi bir belge sunulmadığı,
  • Bu kapsamda ilgili Karardaki “… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin olarak veri sorumlusunun internet sayfasında kredi kartı başvurusu yapılmak istenildiğinde “Kişisel verilerimin neden ve nerelerden toplandığı, nasıl kullanıldığı ve diğer haklarımla ilgili olarak Kişisel Verilerin Korunması Kanunu uyarınca yapılan bilgilendirmeyi okudum.” ifadesinin yer aldığı ve bilgilendirme linkinin seçilmesi halinde ise yönlendirilen sayfada “Kişisel Verilerin Korunması” başlıklı bir aydınlatma metninin yer aldığı, söz konusu aydınlatma metninin Bankanın anasayfasında Gizlilik Politikası sekmesi atında da yer alan genel aydınlatma metni olduğu ve “Kredi Kartı Başvurusu” sırasında gerçekleştirilen işleme faaliyetine özgülenmemiş, genel nitelikli bir aydınlatma metni olduğu,
  • Ek olarak “İhtiyaç Kredisi Başvurusu” nda bulunulduğunda da yine aynı genel aydınlatma metni ile karşılaşılmış olup, kredi kartı başvurusu ve ihtiyaç kredisi başvurusu sırasında bu başvurulara özgü, sadece o işlem kapsamında işlenen kişisel verilerin işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlarına yer verilmeyen aksine genel nitelikli bir metin ile aydınlatma yapıldığı,
  • Söz konusu aydınlatma metinlerinde de veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırılığın söz konusu olduğu

değerlendirilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;

  • Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
  • Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak tevsik edici belge sunulmamakla birlikte veri sorumlusunun savunma yazısında; kişisel verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin kişisel verilerin elde edilmesi anında bilgilendirildiği ve veri sorumlusunun müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde ise özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmekle birlikte web sayfasında farklı bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü hazırlanmamış genel bir aydınlatma metnine yer verildiği ve bu aydınlatma metninin de Tebliğe uygun olmadığı

dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmediği ve Kurul Kararı ile verilen talimatın yerine getirilmeyerek Banka tarafından Kanunun 15’inci maddesinin (5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 120.000 TL idari para cezası uygulanmasına karar verilmiştir.