“İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/06/2022 tarihli ve 2022/545 sayılı Karar Özeti

“İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/06/2022 tarihli ve 2022/545 sayılı Karar Özeti

Karar Tarihi : 02/06/2022
Karar No : 2022/545
Konu Özeti : İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi

 

İlgili kişinin şikâyetinde özetle;

  • Bir elektronik eşya mağazasından satın almak için baktığı ürünün ödeme seçeneklerini sorduğu sırada mağaza görevlisince veri sorumlusu banka tarafından verilebilecek kredi vasıtasıyla taksit yapılabildiği bilgisinin ilgili kişiye iletildiği,
  • Bunun üzerine ilgili kişinin alabileceği kredi tutarını öğrenebilmek adına T.C. kimlik numarasını yazarak belirtilen numaraya SMS gönderdiği, veri sorumlusu banka tarafından verilen SMS yanıtında ilgili kişinin kredi limitinin belirtildiği, 
  • İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği,
  • Bu çerçevede veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği, ilgili kişinin başvurusuna usulüne uygun bir yanıt verilmediği ve kişisel verileri işlenirken ilgili kişiden açık rıza alınmadığı

belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

  • İlgili kişinin elektronik eşya mağazasında bulunduğu sırada almış olduğu bilgiye istinaden, bankalarına ait numaraya T.C. kimlik numarası bilgisini göndererek kredi başvurusunda bulunduğu, kayıtlarında daha önceden kendisine ait hiçbir bilgi ve belge olmadığı,
  • Kredi sürecini SMS göndermek suretiyle ilgili kişinin başlattığı, talep ettiği bankacılık ilişkisi kurulmadan önce hukukî ve ticari risk analizleri yapabilmek, bankacılık mevzuatına göre bir risk grubuna ait olup olmadığını tespit edebilmek, müşteri ilişkilerini yürütebilmek için kara paranın aklanmasına yönelik düzenlemeler dâhil fakat bunlarla sınırlı olmamak üzere talebi için gerekli olan kişisel verilerinin işlenmesine ilişkin bilgilendirme metninin SMS yoluyla iletildiği, 
  • Veri sorumlusuna SMS göndermesinden sonra ilgili kişinin ilk olarak talebini değerlendiren ve sonrasında da limitini belirleyen kredi sürecinin başladığı, 
  • Bu sürecin karar ağacı formatında olduğu ve her bir kademede başvuru sahibinin kredibilitesini ölçmeye yarayan, saniyeler içerisinde ve otomatik çalışan, öngörüsel modellere dayanarak oluşturulan kredi politika kurallarından oluştuğu, dolandırıcılık ihtimalini ve suistimali önlemek amacıyla başvuran kişiye ait telefon numarası ile SMS içeriğinde kimlik numarasının eşleşip eşleşmediğinin kontrol edildiği, bu işlemin ilgili kişiye gönderilen bilgilendirme metninde de belirtildiği üzere, kişinin SMS gönderdiği telefon numarasının ve SMS içeriğinde yer alan kimlik numarasının Kredi Kayıt Bürosu’na aktarılması ile gerçekleştirildiği, akabinde başvuru sahibine ait kimlik numarasının kredi sorgulaması amacıyla Türkiye Bankalar Birliği Risk Merkezi’ne iletildiği, 
  • Bankanın kredi politikalarına uygun olan başvurular için ise kredi değerlendirme sistemi sayesinde söz konusu veriler ile her bir başvurunun risk seviyesi ve ödeyebileceği taksit tutarına göre kredinin ortalama 2,5 saniye içerisinde otomatik olarak hesaplandığı ve bunu müteakip başvurunun gerçekleştirildiği telefon numarasına sonucun iletildiği,  
  • Açıklanan nedenlerle ilgili kişinin iddialarının gerçeği yansıtmadığı 

hususları bildirilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 02/06/2022 tarihli ve 2022/545 sayılı Kararı ile;

“İlgili Kişiye Yapılan Aydınlatmanın Hukuka Uygunluğu" konusunda:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Veri sorumlusunun aydınlatma yükümlülüğü”nü düzenleyen 10’uncu maddesinin, “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Aydınlatma Tebliği) “Usul ve esaslar”ı düzenleyen 5’inci maddesinde yer alan (a) bendinde “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.” hükmünün, (e) bendinde “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün, (f) bendinde “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünün, (g) bendinde “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” hükmünün, (ğ) bendinde “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünün, (h) bendinde “Kanun’un 10’uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.” hükmünün, (ı) bendi ise “Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.” hükmünün yer aldığı,
  • Aydınlatma yükümlülüğünün amacının ilgili kişilerin kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hâkimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün şeffaflık ilkesinin bir gereği olduğu, şeffaflığın şartının ilgili kişinin anlaşılabilir bir şekilde bilgilendiriliyor olması olduğu, aydınlatma metinlerinin her veri işleme faaliyetini kapsayacak şekilde yazılması halinde bu metinlerin çok uzun ve karmaşık olması durumunun ortaya çıktığı, bu kapsamda çok aşamalı ve katmanlı, farklı hedef gruplara yönelik hazırlanmış ayrı aydınlatma metinlerinin bir çözüm alternatifi olarak görülebildiği, bu maksatla Kanun’un ilgili kişilere yönelik bir aydınlatmanın taşıması gereken asgari unsurları gösterdiği, “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde de “Kanun’un 4’üncü maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.” denilerek aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiğinin ifade edildiği, 
  • İlgili kişinin bahse konu numaraya SMS göndermek suretiyle kredi hesaplanması sürecini başlattığı, bu süreç devam ederken ilgili kişiye öncelikle kişisel verilerinin korunması ile ilgili olarak bir SMS gönderildiği ve bu SMS’te veri sorumlusunun aydınlatma metnine ulaşılmasını sağlayan bir bağlantının yer aldığı, sonrasında gelen SMS’te ise ilgili kişiye ait çekilebilecek kredi tutarının yer aldığının görüldüğü, şu hâlde ilgili kişinin iddiasının aksine veri sorumlusunun ilgili kişinin iradesiyle başlattığı veri işleme sürecini tamamlamadan evvel ilgili kişiye konuya ilişkin aydınlatmada bulunduğunun görüldüğü, veri sorumlusunun ilgili kişinin başvuru sürecini sona erdirmesinden önce ilgili kişiye aydınlatmada bulunması gerektiği, nitekim Aydınlatma Tebliği’nin “Aydınlatma yükümlülüğünün kapsamı” başlığını haiz 4’üncü maddesinde yer alan “Kanunun 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir.” şeklindeki hüküm uyarınca kişisel verilerin işlenmesi sırasında ilgili kişilere bilgilendirme yapılmasının hukuka uygun olduğu,  
  • Veri sorumlusunun aydınlatma metni incelendiğinde; Kanun’un 10’uncu maddesinde gösterilen asgari unsurları karşıladığı görülmekle birlikte Aydınlatma Tebliği’ne birtakım aykırılıklar içerdiğinin tespit edildiği, geçerli ve hukuka uygun bir aydınlatmanın gerçekleştirilebilmesinin ilgili kişinin en azından kategorik olarak kişisel verileri üzerindeki hâkimiyetini yitirmemesine yani bu verilerin akıbetinden genel şekliyle haberdar olabilmesine bağlı olduğu, bunun da ancak işlenen veri kategorileri, bu kategorilerin hangi verileri içerdikleri, bu veri kategorilerinin işlenme/aktarılma amaçları ve hukukî mesnetleri arasındaki illiyet bağlarının veri sorumlusunca sunulan aydınlatma metninde gösterilmesi ile mümkün olabildiği, öte yandan şayet bir veri aktarımı yapılıyorsa aktarılan veri kategorilerinin hangi alıcı gruplarına aktarıldığının da aydınlatma metinlerinde sarih olarak ortaya konulmasının gerektiği, alıcı gruplarının; resmî merciler, iş ortakları vb. şekillerde sınıflandırılması mümkün olmakla birlikte bu alıcı gruplarının içerdiği üçüncü kişi ya da kurum/kuruluşların da talep edildiği takdirde ilgili kişilerin sorularına yanıt verilebilmesini teminen veri sorumlusu nezdinde kayıtlı tutulmasının da büyük önem arz ettiği, 
  • Veri sorumlusunun aydınlatma metninde; hangi veri kategorisinin, hangi amaç ve hangi hukuka uygunluk sebebi kapsamında işlendiği arasında bir illiyet bağı kurulmadığı ve hangi veri kategorisinin hangi alıcı gruplarına hangi amaç ve hukuka uygunluk sebebi kapsamında iletildiğine yer verilmediği, bu bilgilerin oluşturulmasının ve kamuoyuna aydınlatma metinleri vasıtasıyla sunulmasının veri sorumluları için bir külfet oluşturmadığı,
  • Veri sorumluları siciline (VERBİS) kayıt yaptırmakla yükümlü olan veri sorumlusunun Veri Sorumluları Sicili Hakkında Yönetmelik’in “İlke, usul ve esaslar”ı düzenleyen 5’inci maddesinin (1) numaralı fıkrasının (ç) bedinde yer alan “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü doğrultusunda kişisel veri işleme envanteri hazırlamış olması ve hâlihazırda aydınlatma metninde yer alan eksiklikleri bu envanterde yer alan bilgiler doğrultusunda gidermiş olması gerekeceği, 
  • Bu minvalde, veri sorumlusunun ilgili kişiye yönelik aydınlatmada bulunduğu, bu aydınlatmanın Kanun’un 10’uncu maddesi uyarınca hukuken geçerli ve muteber olduğu, ancak içerisinde Aydınlatma Tebliği’nde düzenlenen detay konularda birtakım eksiklikler bulunduğu tespitinin yapıldığı,

“İlgili Kişinin Açık Rızası Olmaksızın Kişisel Verilerinin İşlenip İşlenmediği" konusunda:

  • Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı, 

“İlgili Kişiye Usulüne Uygun Bir Yanıt Verilmemesi” konusunda:

  • İlgili kişinin veri sorumlusuna yaptığı başvuruda; hangi kişisel verilerinin, hangi amaç ve hukukî sebeplere dayanılarak işlendiği, hangi tarihlerde işlenmeye başlandığı ve bu verilerin kimlerden temin edildiği, bu verilerin üçüncü kişilere aktarılıp aktarılmadığı, veri işlenmesi sırasında neden aydınlatma yükümlülüğünün yerine getirilmediği, ilgili kişinin kredi limiti hesaplanırken hangi kişisel verilerine, hangi yöntemler ve kurumlar vasıtasıyla ulaşıldığı, ilgili kişinin kişisel verilerinin işlenmesi hususunda veri sorumlusuna verdiği bir açık rıza bulunup bulunmadığı hususlarında bilgi talep ettiği,
  • Veri sorumlusunun ise verdiği yanıt içerisinde; ilgili kişinin kişisel verilerinin ilk olarak kendisi tarafından SMS gönderildiği tarihte işlendiği, bu SMS’te yer alan T.C. kimlik numarasının hukuki ve ticari risk analizleri yapabilmek amacıyla bankacılık mevzuatı uyarınca temin edildiği, ilgili kişiye SMS vasıtasıyla kademeli aydınlatma yapıldığı, ilgili kişinin verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan şartlar, 5411 sayılı Bankacılık Kanunu ve MASAK mevzuatı kapsamında işlendiği hususlarına yer verildiği, ayrıca ilgili kişinin bilgilerinin aktarıldığı kurum ve kuruluşlar hakkında bilgi verildiğinin görüldüğü,
  • Bu kapsamda, ilgili kişiye hukuken muteber ve geçerli bir yanıt verilmiş ise de bu yanıtın aydınlatma yükümlülüğü ile ilgili yukarıda arz edilen detaylardan yoksun olduğunun ve bu haliyle ilgili kişinin taleplerine yönelik tam ve eksiksiz bir yanıt sağlamaktan uzak olduğunun görüldüğü, örneğin veri sorumlusu ilgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında gösterilen şartlar dâhilinde işlendiğini ifade etmekte ise de bu verilerin hangi veriler olduğunun ve ilgili maddede gösterilen hangi şarta dayalı olarak işlendiğinin meçhul olduğu, bu sebeplerle veri sorumlusunun ilgili kişiye karşı tam ve eksiksiz aydınlatma ile ilgili arz edilen şartları sağlayan bir metinle yanıt verme yükümlülüğünü ihlâl ettiğinin anlaşıldığı

değerlendirmelerinden hareketle;

  • İlgili kişiye Kanun’un 10’uncu maddesi uyarınca hukuken geçerli bir şekilde aydınlatmada bulunulduğu fakat bu aydınlatmada Aydınlatma Tebliği ile düzenlenen bazı hususlarda giderilmesi gereken eksiklikler bulunduğu dikkate alındığında, aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına

karar verilmiştir.