“Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğinin ihbar edilmesine ilişkin” Kişisel Verileri Koruma Kurulunun 03/03/2020 Tarihli ve 2020/191, 2020/192, 2020/193 ve 2020/194 Sayılı Karar Özeti
Karar Tarihi | : | 03/03/2020 |
Karar No | : | 2020/191, 2020/192, 2020/193, 2020/194 |
Veri Sorumlusu | : | Muhtelif faktoring şirketleri |
Konu Özeti | : | Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında |
Kuruma intikal eden ihbarda özetle; sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamaların kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Konu hakkında başlatılan inceleme çerçevesinde;
- 5411 sayılı Bankacılık Kanununun “Risk Merkezi” başlıklı Ek 1 inci maddesinde;
“(1) Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.
(2) Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşlar, Risk Merkezine üye olmak zorundadır. Üye kuruluşlar, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. Risk Merkezi, bu yükümlülüğe uymayanlara bilgi akışını durdurmaya yetkilidir.
(…)
(4) Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve bunlarla Kurulun uygun görüşüne istinaden bilgi alış-verişine yönelik sözleşmeler imzalamaya yetkilidir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşları Risk Merkezi yönetimi tarafından talep edilen bilgileri vermekle yükümlüdürler. Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin onay vermesi koşuluyla, Risk Merkezi ile bilgi alış-verişi sözleşmesi imzalayan özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarına kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarına verilecek, müşterilerin bu kuruluşlar nezdindeki risk bilgileri Kanunun 73 üncü maddesinin dördüncü fıkrası kapsamında değerlendirilir.
(…)
(9) Risk Merkezinin bütün işlem ve kayıtları gizlidir. Sır sahibinin bilgilerinin açıklanması konusunda açık rızasının bulunması durumunda belirlediği kişiye risk bilgileri verilir. Kişinin rızasına dayanan bilgilerin verilmesine ilişkin usul ve esaslar, Kurulun ve Merkez Bankasının uygun görüşü, Türkiye Katılım Bankaları Birliğinin ve Kurulun belirleyeceği kurum ve kuruluşların görüşü alınarak Türkiye Bankalar Birliğince belirlenir ve Resmi Gazetede yayımlanır.
(10) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159 uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.
(11) Risk Merkezi, nezdindeki her türlü bilgi alış-verişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.”
hükmüne yer verilmiş, bu çerçevede, Risk Merkezi tanımlanarak anılan merkezde yapılacak işlemler, sır saklama yükümlülüğü ve gizlilik gibi hususlara ilişkin ayrıntılar ilgili madde kapsamında düzenlenmiştir.
5411 sayılı Kanun’un 159 uncu maddesi ise sırların açıklanmasına ilişkin düzenlemeleri içermektedir. İlgili hüküm kapsamında;
“(1)Bu Kanunun 73 üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır.
(2) Yukarıdaki fıkrada belirtilen kimseler sırları kendileri ya da başkaları için yarar sağlamak amacıyla açıklamış olursa verilecek cezalar altıda bir oranında artırılır. Ayrıca, fiilin önemine göre sorumluların bu Kanun kapsamına giren kuruluşlarda görev yapmaları, iki yıldan aşağı olmamak üzere geçici veya sürekli olarak yasaklanır.”
denilmek suretiyle anılan kanuna aykırı olarak sırları ifşa edenler hakkında ağır yaptırımlar öngörülmüş olup; sırların kendileri ya da başkaları için yarar sağlamak amacıyla açıklanmış olması durumunda da cezaların altıda bir oranında artırılacağı vurgulanmıştır.
Benzer şekilde, 5411 sayılı Kanunun 73 üncü maddesi sır yükümlülüğünü düzenlemektedir. “Sırların saklanması” başlıklı 73 üncü madde;
“ (1) Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.
(…)
(3) Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. (…)
(4) Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.”
hükmünü amirdir. Anılan maddenin dördüncü fıkrasında yer alan hüküm ile sır saklama yükümlülüğünün istisna olduğu durumlar, “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” söz konusu olmaktadır. Yani, amacı dışında işlenecek her türlü veri, istisna kapsamı dışında değerlendirilecektir. Nitekim söz konusu ihbara konu olan eylemlerde de ihlale sebebiyet verdiği iddia olunan kişiler, belirtilen amaçlar ile sınırlı kalmaksızın birçok gerçek ve tüzel kişiye ilişkin verilere erişmiş; üstelik bazıları bu verileri de yetkisiz üçüncü kişilere aktarmışlardır. Anılan sebeplerle, söz konusu eylemlerin 5411 sayılı Kanunu da ihlal ettiği değerlendirilmektedir.
- Benzer şekilde, Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği (Risk Merkezi Yönetmeliği), TBB Risk Merkezinin kuruluşuna, faaliyetine ve çalışmasına, Türkiye Bankalar Birliği Risk Merkezi yönetiminin oluşumuna, toplanmasına ve karar almasına, Türkiye Bankalar Birliği Risk Merkezine verilen bilgilerin kapsam, biçim ve içeriğine ve bunların paylaşılmasına, paylaşılacak bilgilerin kapsam ve içeriğine, ücretlendirilmesine ve üyelerce ödenecek aidatların belirlenmesine ilişkin usul ve esasları düzenlemektedir. Risk Merkezi Yönetmeliği’nin “Tanımlar” başlıklı 3 üncü maddesinin birinci fıkrasının (j) bendi uyarınca üye; “kredi kuruluşları ile Türkiye Bankalar Birliği Risk Merkezine Kurul tarafından üye olması uygun görülen her bir finansal kuruluş” olarak tanımlanmıştır. Bu kapsamda, ihbara konu olan faktoring şirketlerinin her biri üye niteliğini haizdir. Yine, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyeler, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamak ile sorumlu tutulmuştur. Ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca;
“(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz.
(2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır.”
hükmü düzenlenmiştir. Bu doğrultuda, Risk Merkezi’nde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanunun 159 uncu maddesinde öngörülen yaptırımların uygulanacağı belirtilmiştir.
Ayrıca, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usuller düzenlemektedir. Diğer bir ifade ile, Risk Merkezindeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususları da ayrı bir yönetmelik kapsamında düzenlenmektedir.
- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Bu ilkelerden kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Ölçülülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Kanundaki düzenlemede yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkeleri ile 5411 sayılı Kanunun 73 üncü maddesinin dördüncü fıkrasında yer verilen “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” şartı benzerlik göstermektedir. Dolayısıyla, somut olay değerlendirilirken anılan kişisel verilerin işlenmesine ilişkin ilkeler özellikle önem teşkil edecektir.
- Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (ç) bendi uyarınca ilgili kişi; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade etmektedir. Buna göre, ihbara konu olan faktoring şirketleri veri sorumlusu niteliğini haiz olup ihlal iddiasına konu eylemler bakımından şirket çalışanı kişisel veri işleme faaliyetinde bulunmuştur. Bu veri işleme faaliyetinin de yetki sınırını aşmak suretiyle hukuka aykırı bir şekilde gerçekleştiği değerlendirilmektedir.
- Kanunun 12 nci maddesinin beşinci fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. Ayrıca, Kurumumuz resmi internet sitesinde yayımlanan 24.01.2019 tarih ve 2019/10 sayılı Kurul kararıyla “en kısa sürede” ibaresinin “72 saat” olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verilmiştir.
Bu itibarla;
Risk Merkezi üzerinden yapılan sorgu adetlerinde dikkat çekici değişiklik gözlenen Faktoring Şirketleri hakkında Kurulumuza yapılan ihbarın incelenmesi neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde; Kanunun 4 üncü maddesinde sayılan genel ilkelere riayet edilmediği; söz konusu faaliyetlerin Kanunun 12 inci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak yükümlülüklerine aykırılık teşkil ettiği tespit edilmiş ve veri ihlalinin süresi, veri ihlalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak; Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/191, 2020/192, 2020/193, 2020/194 kararları ile söz konusu 4 şirket hakkında
- Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 950.000 TL,
- Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca ihlale ilişkin Kuruma ve ilgili kişilere bildirim yapılmadığı gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 450.000 TL
idari para cezası uygulanmasına karar verilmiştir.