“İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti
Karar Tarihi | : | 12/01/2021 |
Karar No | : | 2021/32 |
Konu Özeti | : | İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması |
İlgili kişi adına vekilinden alınan şikâyette, ilgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Bankadan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin başvurusu üzerine Bankanın ilgili iş birimince gereken incelemenin yapıldığı, Şube Operasyon Yetkilisi’nin, eşi ve aynı zamanda Bankanın müşterisi olan ilgili kişinin istihbarat sorgusunu yaparak sonuçlarını ilgili kişinin bilgisi ve isteği dışında, katılma alacağı davasına ilişkin mahkemeye sunduğunun tespit edildiği, bu süre zarfında, ilgili kişinin avukatı ile iletişime geçilerek Bankanın ilgili birimi nezdinde inceleme başlatılmış olduğu,
- Banka tarafından yapılan inceleme sonucunda, İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4…. Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeni ile; mahkemenin bu veriye ulaşmak istediği takdirde Bankadan temin edebileceği ve eşler arasında zaten bilinen bir konunun diğer eşin avukatı marifetiyle -konuyla ilgisiz üçüncü kişilere açık etmeksizin- mahkemeye sunması hususları bir arada değerlendirilerek, diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği ve yazı ile müşteri başvurusunun yanıtlandığı, bu itibarla başvurucunun talebi doğrultusunda Kuruma başvurulmadan önce Banka tarafından gerekli işlemler tesis edildiğinden, Kuruma yapılan başvuruya ilişkin talebin konusuz kaldığı ve başvurunun haklı ve yasal dayanağının bulunmadığı,
- Bankanın müşterisi olan ilgili kişinin kişisel verilerinin Banka tarafından, kişisel verilerin işlenmesine dair hukuka uygunluk nedenleri çerçevesinde hukuka uygun olarak işlendiği ve kişisel verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı,
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi şeklinde ortaya çıkan veri güvenliği ihlallerinin, veri sorumlusu sıfatını haiz Banka ya da yurtiçi iştirakinin yetkili veya çalışanları değil, bu verilere yetkisiz ve hukuka aykırı olarak erişen üçüncü kişiler tarafından gerçekleştirilebileceği, bu verilere görevinden kaynaklı olarak erişim yetkisi bulunmakta olan Banka personeli diğer eşin hukuka aykırı bir erişiminin söz konusu olmadığı,
- Diğer eşin şahsi görevinden kaynaklanmayan sebeplerle ilgili kişinin kişisel verilerine ulaşarak mahkemeye sunmasında Bankanın bir kusuru olmadığı ve bunun da ötesinde, Bankanın objektif olarak alabileceği bir güvenlik önleminin de bulunmadığı,
- Sonuç itibariyle, Bankanın kişisel verilerin korunmasına ilişkin mevzuatı uygulama konusundaki azami dikkat ve hassasiyeti ile şikâyete konu ilgili kişinin talep doğrultusunda gerekli araştırmanın yapıldığı, Bankanın kişisel verilerin işlenmesinde hukuka aykırı herhangi bir iş ve işleminin bulunmadığı ve öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getiren Bankanın bir kusuru ve dolayısıyla sorumluluğu bulunmadığı
belirtilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 12/01/2021 tarih ve 2021/32 sayılı Kararı ile;
- Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak; hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebildiği,
- Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkân tanındığı, buna göre; a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,
- Kanunun 12 inci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmünün, (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği ve Kurulun gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükmünün yer aldığı,
- Kurulun 31/05/2018 tarih ve 2018/63 sayılı Kararı ile bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine karar verildiği,
- Ayrıca, Kurul, 24.01.2019 tarih ve 2019/10 sayılı Kararı ile Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verildiği,
- Somut olayda ilgili kişiye ait kişisel veri niteliğinde bilgilerin veri sorumlusu bünyesinde çalışan diğer eş tarafından sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu iddiasının Banka bünyesinde yapılan inceleme sonucunda veri sorumlusu Banka tarafından da kabul edildiği ve bu kapsamda, Bankanın İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4... Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeniyle veri sorumlusu tarafından Banka çalışanı diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği,
- Veri sorumlusu Banka tarafından ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiği ve Kanunun 12 nci maddesi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı, veri sorumlusu bünyesinde çalışan diğer eşin görevinden kaynaklı olarak erişim yetkisi bulunduğu ve şikâyet konusuna ilişkin olarak Bankanın objektif olarak alabileceği bir güvenlik önleminin bulunmadığı, Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uyum ve uygun veri güvenliği düzeyini temin etmeye ilişkin olarak düzenlemelerin hazırlandığı ve veri sorumlusu bünyesinde çalışan personele farkındalıklarının artması için eğitim verildiği hususları belirtilmekle birlikte Kişisel Verilerin Korunması Uygulama Esas ve Usulleri başlıklı idari ve teknik tedbirlerin listelendiği bir bölüme yer verilmesi dışında isimleri geçen düzenlemeler, personele verilen eğitimler ve veri sorumlusu nezdinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirin alındığına ilişkin herhangi bir tevsik edici belgenin Kuruma sunulmadığı,
- Veri sorumlusu Banka tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki ihlalin varlığından haberdar olunmasına rağmen Kanunun 12 inci maddesinin (5) numaralı fıkrası uyarınca ve Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı kapsamında ilgilisine ve Kurula herhangi bir veri ihlal bildirimi yapılmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına
- Veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda tevsik edici belgeleri Kuruma iletmesi hususunda talimatlandırılmasına,
- Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm gereği bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına,
- Ayrıca, 5237 sayılı Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine
karar verilmiştir.