“Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Karar Özeti

“Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Karar Özeti

Karar Tarihi : 09/12/2021
Karar No : 2021/1239
Konu Özeti : Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

 

Kuruma intikal eden şikâyette özetle; 

  • Banka olarak faaliyet gösteren veri sorumlusu ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamamasının gösterildiği, 
  • Veri sorumlusu tarafından yapılan aramalarda ilgili kişinin ailesine, ilgili kişiye ve ilgili kişinin de ortağı olduğu Şirketin ortaklarına ulaşılamadığının beyan edildiği, ayrıca ortaklarının isimlerinin verildiği, görüşmelerin sonunda bir telefon numarası bırakıldığı ve ilgili kişinin bu numarayı araması gerektiğinin söylendiği, ilgili kişinin aranan numaranın ailesinin kullanımında olduğunu müteaddit kez belirttiği, yapılan aramalar sonucu zor duruma düşüldüğü, ilgili kişiye ait kişisel verilerin açık rızası olmaksızın veri sorumlusu tarafından kullanılması suretiyle ihlal edilmiş olduğu, 
  • Bu ihlal dolayısı ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 14 üncü maddesinin (2) numaralı fıkrası gereğince veri sorumlusuna başvuru yapıldığı, Banka tarafından vekaletnamede Kanun kapsamında talepte bulunma yetkisinin olmadığı gerekçesiyle vekile bilgi verilmeyeceği, cevapların şikayetçi müvekkile tebliğ edileceğinin beyan edildiği, sonrasında cevabın hazır olduğu 10 gün içerisinde tebliğ edileceğinin şikayetçiye bildirildiği ancak herhangi bir tebligat yapılmadığı, bunun üzerine tekrar Kanun kapsamında talepte bulunmaya ilişkin yetki içerir vekaletname ile yeni bir başvuru yapıldığı, bu başvurunun da reddedildiğinin öğrenilmesi üzerine Kuruma başvuru zorunluluğunun hasıl olduğu

belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Banka nezdinde bireysel müşteri kaydı bulunduğu, bunun yanı sıra ilgili kişinin hakim ortağı olduğu (…) Anonim Şirketi’nin de Bankada ticari müşteri kaydının yer aldığı, (…) Anonim Şirketi için kredi teklifi yapılabilmesi amacıyla şirkete ticari müşteri kaydı oluşturulurken alınan kredi başvuru formunda, anılan şirketin hakim ortağı ve aynı zamanda yönetim kurulu başkanı olması nedeniyle ilgili kişiye ait bazı bilgilerin de alındığı, kredi başvuru süreçleri aşamasında şirkete limit çalışması ve ticari kart başvurusu yapılması kapsamında ilgili kişinin de hakim ortak olarak Risk Merkezi bilgisinin sorgulandığı, Risk Merkezi'nden alınan ev telefonu numarasının Banka veri tabanına kaydedildiği, ilgili kişinin bireysel müşteri kayıtlarının içerisinde e-posta adresinin yer almaması nedeni ile cevabî yazının “resmi adres ve ev adresi” olarak kayıtlı olan adresine PTT aracılığıyla iadeli taahhütlü posta olarak gönderildiği,
  • 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ile alt düzenlemelerin belirlediği kapsamla sınırlı olacak şekilde ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, Banka müşterilerinin kredilendirme süreçlerinde kullanılmak üzere risk bilgilerini alabilmek amaçları ile Türkiye Bankalar Birliği Risk Merkezi’nden (Risk Merkezi) sorgulamalar yapılmakta olduğu, yapılan aramalarda müşteriye ulaşılamaması durumunda müşterilere ulaşabilmek amacıyla Risk Merkezi sorgulamasından elde edilen ve sistemlere “alternatif numara” olarak kaydedilmiş olan iletişim numaralarının da aranabildiği, bununla birlikte söz konusu alternatif numaraların aranması ve bu aramalara müşteri dışında üçüncü kişilerin yanıt vermesi durumunda üçüncü kişilerle hiçbir şekilde bilgi paylaşımı yapılmayıp, kendisine ulaşmak istenilen müşterilerin Bankayı geri araması hususunda not bırakıldığı,
  • İlgili kişinin hakim ortağı ve yönetim kurulu başkanı olduğu (…) Anonim Şirketi’nin Banka nezdinde kullandığı kredilerde gecikme oluşması nedeniyle, bu müşteri için yapılan aramaların başlamış olduğu, ilgili kişinin Banka sisteminde kayıtlı olan cep telefonu üzerinden muhtelif tarihlerde defalarca yapılan aramalara rağmen kendisi ile temas kurulamadığı, kendisinin Risk Merkezi nezdinde ev telefonu numarası olarak kayıtlı olan telefon numarasından çeşitli tarihlerde arama yapılarak görüşme sağlandığı, bu tarihlerde yapılan hiçbir aramada ilgili kişiye ya da kendisinin hakim ortağı ve yönetim kurulu başkanı olduğu şirkete ilişkin olarak üçüncü kişilere herhangi bir bilgi paylaşımı yapılmadığı, bu aramalarda ilgili kişiye iletilmesi için üçüncü kişilere sadece not bırakıldığı, ilgili kişinin yakınının bırakılan notu kendisine ileteceğini ifade ettiği ve Banka tarafından bu hususla ilgili olarak aranmak istemediklerine ilişkin bir talep iletmedikleri,
  • İlgili kişinin Bankayı araması ile yapılan görüşmede, aranan numarayı Bankaya vermediği ve ailesinin nasıl arandığını sorması üzerine, müşteri temsilcisi tarafından kendisine ulaşım sağlanamadığı zaman sistem tarafından otomatik olarak alternatif numaradan arama yapıldığı, Banka şubelerinden konuya ilişkin bilgi alınabileceği ve bununla ilgili olarak aranmak istemediği numaraları Banka kayıtlarından sildirebileceğinin belirtildiği, ilgili kişinin talebi üzerine kendisi ile görüşmeyi gerçekleştirmiş olan müşteri temsilcisinin söz konusu telefon numarasını, sistem üzerinde bu numaranın bir daha aranmamasını sağlayıcı aksiyon olarak “yanlış numara” şeklinde belirtmesi gerektiği halde, bu şekilde işlem yapmaması nedeni ile şikayet konusu telefon numarasına yapılan aramaların devam ettiği, ilgili personelin konu hakkında uyarıldığı, sonraki bir tarihte ilgili kişinin yakınının bu telefon numarasından aranmak istemediğini belirtmesi üzerine telefon numarasının arama engelli listesine eklendiği,
  • Şikâyete konu alternatif telefon bilgisinin, Risk Merkezi’nden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı

belirtilmiş ve risk merkezi üzerinden yapılan sorgulama sonuçlarında şikâyete konu telefon numarasının “ev telefon numarası” olarak görünen şekilde Banka sistemine yansımasına ilişkin ekran görüntüsü paylaşılmıştır.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, 6111 sayılı Kanun ile, 5411 sayılı Bankacılık Kanunu’na ek 1 inci madde ve geçici 28 inci maddenin ilave edildiği, ek 1 inci madde ile Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulduğu, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyelerin, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamakla sorumlu tutulduğu, ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca; “(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz. (2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır” hükmünün düzenlendiği, bu doğrultuda, Risk Merkezinde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanun’un 159’uncu maddesinde öngörülen yaptırımların uygulanacağının belirtildiği,
  • Öte yandan, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usullerin düzenlendiği, Risk Merkezi’ndeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususlarının da ayrı bir yönetmelik kapsamında düzenlendiği,
  • İlgili kişinin hakim ortak olduğu (…) Anonim Şirketi ile veri sorumlusu arasında kredi sözleşmesi olduğu, veri sorumlusu Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı ve Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan Risk Merkezi sisteminde aynı zamanda “ev telefon numarası” şeklinde kayıtlı olan numaradan aramalar yapıldığı, bu aramaların ilgili mevzuat ve Kurulun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli yazısı doğrultusunda gerçekleştirildiği, ilgili kişinin anne-babasının kullandığı belirtilen telefon numarasına çeşitli  tarihlerde veri sorumlusunca yetkilendirilmiş kişilerce arama yapıldığı,
  • İlgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, bu durumun Kuruma sunulan evraklardan da anlaşıldığı, ilgili kişinin başvurusuna binaen cevabî nitelikli yazı gönderildiği, yazıda kısaca ilgili mevzuattan bahsedilip bahis konusu telefon numarası ile ilgili gerekli aksiyonun alındığını da kapsayan özür ifadesinin yer aldığı, veri sorumlusu tarafından Kuruma gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği ve (…) Anonim Şirketinin ortaklarının isimlerinin verildiği,
  • Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon numarasına yapılan aramalar hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği, veri sorumlusu tarafından ilgili personelin uyarıldığı,

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.