“Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Karar Özeti

“Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Karar Özeti

Karar Tarihi : 10/03/2022
Karar No : 2022/224
Konu Özeti : Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu, akabinde veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği,  görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, ancak ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, işlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerinin aktarılmasına açık rıza göstermediği belirtilerek veri sorumlusu Banka hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle;

  • Çağrı Merkezi ile ilgili kişinin yapmış olduğu görüşmede kimlik verileri (adı, soyadı) iletişim verileri (telefon numarası) ve ses kaydı verisinin; Banka’nın internet sayfasında Bize Ulaşın bölümünü kullanarak ilettiği başvurusuna ilişkin kimlik verilerinin (adı, soyadı, TC kimlik numarası), iletişim verilerinin (telefon numarası ve e-posta adresi); Banka’nın şubesine ilettiği dilekçesinden ise söz konusu dilekçede yer alan bilgileri ile kimlik verilerinin (kimlik belge örneği) Banka tarafından işlendiği,
  • İşlenen kişisel verilerin müşteri ilişkileri yönetimi süreçlerinin yönetimi ile buna bağlı olarak talep ve şikâyetlerin takibi, ilgili iletişim faaliyetlerinin yürütülmesi, bu faaliyetlerin bağlı olunan mevzuatta öngörülen uygun içerik ve detayda yürütülmesinin sağlanması, kayıtlara ilişkin mevzuatta emredilen şekilde saklama ve arşiv faaliyetlerinin gerçekleştirilmesi ve genel olarak müşteri güvenliğinin sağlanması amaçları ile işlendiği, 
  • Banka’nın aydınlatma metninin internet sitesinde herkes tarafından erişime açık şekilde yer aldığı, internet sayfasında ‘Bize Ulaşın’ bölümünü kullanarak iletilen başvurularda "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğu ile, Çağrı Merkezi arandığında ilk olarak kayıp/çalıntı/şüpheli işlem bildirimi işlemleri ile birlikte Kişisel Verilerin Korunmasına ilişkin bilgi alınması hususundaki işlem menüsüne yönlendirildiği, ilgili kişiye çağrı merkezi kanalıyla KVKK aydınlatma metni sunulduğu, ancak müşterinin dinlememeyi tercih ettiği, ilgili kişinin "Çağrı Merkezi" kanalıyla ve Banka web sayfasında ‘Bize Ulaşın’ bölümünde oluşturduğu başvurusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesi gereğince verilerinin işlenmesi sürecine ilişkin olarak aydınlatma yükümlülüğünün yerine getirildiği,
  • İlgili kişinin, müşterilerinin bankomat kartını bulduğunu haber vermek amacıyla çağrı merkezleriyle yaptığı görüşmede müşteri temsilcisinin "kart sahibine kartı sizin bulduğunuzu ileteceğim şeklinde" yaptığı bilgilendirmeye "tamam" cevabını vermesi üzerine kart sahibi ile ilgiliye ait kişisel verilerin sözlü olarak paylaşıldığı,

ifade edilmiş, ayrıca yazı ekinde,  ilgili kişinin Çağrı Merkezi ile yaptığı görüşme kaydının yer aldığı CD sunulmuştur.  

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinde, veri sorumlusunun veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, anılan Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasında; d) bendinde; “Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.”e) bendinde; “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün yer aldığı, 
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerden; ilgili kişi, veri sorumlusunun internet sitesinde bulunan ‘bize ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği, bu anlamda veri sorumlusu Banka tarafından aydınlatma yükümlülüğünün yerine getirildiğinin anlaşıldığı,
  • Kanun’da kişisel veri işleme şartlarından biri olarak düzenlenen “açık rıza”nın, Kanun’un 3 üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı üzere, açık rızanın, “belirli bir konuya ilişkin olması”, “rızanın bilgilendirmeye dayanması” ve “özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu,  bu kapsamda, veri işlemek üzere alınan açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, ayrıca kişinin neye rıza gösterdiğini de bilmesi gerektiği,
  • Bu çerçevede, veri sorumlusu tarafından iletilen çağrı merkezi görüşme kaydı dinlendiğinde; görüşmenin son kısmında çağrı merkezi personelinin “... Kartın güvenliğini sağlıyorum. Gerekli bilgileri not aldım, müşterinin kendisi ile iletişime geçeceğim kartı sizin bulduğunuzu ileteceğim.” şeklindeki ifadesinin üzerine ilgili kişinin “tamam” şeklinde yanıt verdiğinin tespit edildiği,
  • Somut olayda verilen açık rıza değerlendirildiğinde; çağrı merkezi personelinin öncesinde kartın güvenliğini sağladığına ilişkin açıklamalarda bulunduktan sonra “... kart sahibine kartı sizin bulduğunuzu ileteceğim ...” şeklindeki ifadesinden ilgili kişinin ad, soyadı ve telefon numarası bilgisinin kart sahibi üçüncü kişiyle paylaşılacağı çıkarımında bulunulmasının makul bir beklentiye uygun olmadığı, aynı ifadeden kart güvenliğinin sağlanması ile birlikte bir vatandaş tarafından kartın bulunduğu bilgisinin paylaşılacağının anlaşılmasının daha beklenebilir bir durum olduğu,
  • Buna ek olarak, görüşme kaydının tamamı göz önünde bulundurularak değerlendirme yapıldığında, ilgili kişiye kart sahibinin bilgilerinin verilerek kartın ilgili kişinin kendisi tarafından teslim edilmesine ilişkin öneriye karşılık, olumsuz cevap verilmesinden de ilgili kişinin kişisel verilerinin paylaşılması yönünde bir rızasının bulunmadığı çıkarımında bulunulmasının mümkün olabileceği,
  • Sonuç olarak, ilgili kişinin kişisel verilerinin üçüncü kişiye açıklanması şeklinde gerçekleşen kişisel veri işleme faaliyetinin açık rızanın unsurlarını barındırmadığı, dolayısıyla veri sorumlusu tarafından Kanun’a aykırı olarak kişisel veri işleme faaliyetinde bulunulduğu kanaatine varıldığı,
  • Bu çerçevede veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi biri geçerli olmadan kişisel verilerin açıklanması suretiyle veri işleme faaliyetinde bulunulduğu anlaşıldığından Kanun’un 12’nci maddesinde yer alan “Kişisel verilere hukuka aykırı erişilmesini önlemek” ve “Kişisel verilerin muhafazasını sağlamak” yükümlülüğüne aykırı davranıldığı,

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğindeki ad, soyadı ve telefon numarası bilgilerinin Kanuna aykırı olarak üçüncü kişiyle paylaşılması nedeniyle veri ihlaline sebebiyet verildiği dikkate alındığında; Kanun’un 12’inci maddesi çerçevesinde veri sorumlusu Banka tarafından bünyesinde işlediği kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak adına yükümlülüklerinin gereği gibi yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesi kapsamında veri sorumlusu hakkında idari yaptırım uygulanmasına,
  • İlgili kişinin kişisel verilerinin işlenmesi sürecinde aydınlatma yükümlülüğünün yerine getirilmediği iddiasına ilişkin olarak; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesinde bulunan ‘Bize Ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği hususları dikkate alındığında, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.