“Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1104 sayılı Karar Özeti
Karar Tarihi | : | 02/11/2021 |
Karar No | : | 2021/1104 |
Konu Özeti | : | Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi |
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunduğu, Banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal ettirilen cevabi yazıda özetle;
- Banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı, ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 03.08.2019 tarihinde kapatıldığı,
- İlgili kişinin Banka nezdinde demografik bilgilerinin (ad, soyadı, T.C. kimlik no, baba adı, anne adı, doğum tarihi, cinsiyet, doğum, doğum ülkesi, yerleşik ülke, vergi kimlik numarası, öğrenim bilgisi, medeni durum), meslek bilgisinin, anne kızlık soyadının, iletişim adreslerinin (telefon, cep telefonu, adres, e-posta), hesap numarası/IBAN bilgisi, banka tarafından üretilen müşteri numarası, kredi kartı müşterisi olması sebebiyle kredi kartı numarası gibi kişisel verilerinin işlendiği,
- • İlgili kişinin Bankadan almış olduğu ürün ve hizmetler nedeniyle kurduğu ilişki kapsamında; Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan; kanunlarda açıkça öngörülmesi, Banka ile imzalanan sözleşme veya bu sözleşmenin yerine getirilmesiyle doğrudan ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın oluşması, kullanılması veya korunması için veri işlemenin zorunlu olması ve aynı maddede düzenlenen müşterilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Bankanın meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle; özel nitelikli kişisel veriler için ise Kanun'un 6’ncı maddesinin (2) numaralı fıkrasına göre müşterilerin açık rızasının bulunması hukuki sebepleriyle kişisel verilerinin işlendiği,
- İlgili kişinin 06.01.2020 tarihinde Banka’ya başvurarak, Banka’nın kredi kartı müşterisi olduğu, kredi kaydını kapattırması sebebi ile Banka nezdindeki tüm kişisel verilerinin silinmesini talep ettiği,
- 6102 sayılı Türk Ticaret Kanunu'nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu'nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı,
- Banka nezdinde muhafaza edilen müşteri bilgilerine ilişkin 10 yıllık saklama süresinin henüz dolmadığı dikkate alınarak ilgili kişinin kişisel verilerinin silinmesi talebine olumlu yanıt verilemediği ancak kişisel verilerin ikincil amaçlarla işlenmemesi adına Banka nezdinde gerekli adımların atıldığı,
- 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4’üncü maddesinde yer verilen genel ilkelere uygun olarak kişisel verilerin saklama amacı dışında işlenmemesi için gerekli tedbirlerin alındığı, ilgili kişinin ticari elektronik ileti gönderilmesine ilişkin tüm tercihlerinin hiçbir kanaldan ulaşılmaması yönünde güncellendiği, verilerinin saklanması için gerekli hukuki sebep haricinde pazarlama gibi ikincil amaçlarla işlenmemesinin sağlanacağı yönünde ilgili kişiye cevap verildiği,
- İçişleri Bakanlığı'nın ve İl Hıfzıssıhha Kurullarının, Umumi Hıfzıssıhha Kanunu hükümleri doğrultusunda ve Banka’nın uymakla zorunlu olduğu tedbirler kapsamında özellikle pandeminin ülkemizde görüldüğü ilk aylardan itibaren sokağa çıkma yasağı kısıtlaması bulunan illerdeki Banka şubelerinin çalışma gün ve saatleri, genel olarak tüm şubelerinin çalışma saatleri, salgının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin geçmişte Bankadan hizmet almış eski müşterileri olmak üzere tüm müşterilerine duyurulması ve bu konuda bilgilendirme yapma ihtiyacının hasıl olduğu,
- Bu gerekçelerle ilgili kişi müşterinin Banka’da kayıtlı telefon numarasına koronavirüs salgınının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin duyurulduğu birtakım bilgilendirme SMS'lerinin gönderildiği,
- Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’e uygun olarak, Banka nezdinde yapılan zorunlu iletişim konularının; “ Ürün ve hizmetlerimize ilişkin değişiklik ve kullanıma yönelik iletiler, devam eden ürün ve hizmetlerle ilgili tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler, ilgili mevzuata göre bilgi verme yükümlülüğümüz bulunan durumlar” şeklinde tanımlandığı,
- Bankanın hukuken bilgi verme yükümlülüğünün bulunduğu durumlarda önceden onay alma zorunluluğunun bulunmadığı ve ilgili mevzuatta öngörülen bu durumlarda ilgili kişilerin de ret hakkını kullanamayacağının yukarıda sözü edilen Yönetmeliğin 9’uncu maddesinin 1’inci fıkrasında tekraren vurgulandığı, söz konusu hükme göre ilgili kişinin reddetme hakkını kullanmış olmasının hizmet sağlayıcı olarak Banka’nın tabi olduğu ilgili mevzuat hükümlerine göre alıcı sıfatını taşıyan kişilere gönderilmesi zorunlu olan bildirimlerin yapılmasına engel teşkil etmediği,
- Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen kanunlarda açıkça öngörülmesi ve (ç) bendinde düzenlenen Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerinin ilgili kişilerin açık rızası olmadan kişisel verilerinin işlenebileceği durumları düzenlediği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1104 sayılı Kararı ile;
- Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
- Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
- Kanun’un 5’inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanun’un 4’üncü maddesinde yer alan ilkelere de uygun hareket edilmesi gerektiği, aksi halde, kişisel verilerin işlenmesine ilişkin hukuki şartlar geçerli olsa dahi hukuka aykırı veri işleme durumunun söz konusu olacağı,
- Veri sorumlusunun, toplanan kişisel verilerin işlenme amacını açık ve kesin olarak belirlemesi ve ilgili kişiye belirtilen amaçlar dışında başka amaçlarla kişisel verileri işlememesi gerektiği, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması ve yine bu ilke uyarınca amaç için gerekli olan süreye uygun olarak da muhafaza edilmesi gerektiği, Kişisel Verilerin Korunması Kanunu’nun gerekçesinde “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı,
- Şikâyete konu SMS’lerin gönderildiği döneme ilişkin, yeni tip Covid 19 salgını ile mücadele kapsamında İçişleri Bakanlığı’nın 81 İl Valiliği’ne, büyükşehir statüsündeki 30 il ile Zonguldak’ta 30.04.2020 günü saat 24.00 ile 03.05.2020 günü saat 24.00 arasında sokağa çıkma kısıtlamasının uygulanacağına ilişkin 03.04.2020 tarih ve 6235 sayılı Sokağa Çıkma Kısıtlaması Genelgesini gönderdiği, genelgede bankalar başta olmak üzere yurt çapında yaygın hizmet ağı olan kurum, kuruluş ve işletmelerin bilgi işlem merkezleri ile çalışanlarının asgari sayıda olmak kaydıyla sokağa çıkma kısıtlamasından muaf tutulanlar listesinde belirtildiğinin görüldüğü,
- İlgili kişinin müşterisi olduğu Banka’ya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Banka nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Bankanın da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, veri sorumlusu tarafından başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği,
- Kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından birine dayanılması gerektiği ancak somut olayda bilgilendirme içerikli mesajların iletilmesi suretiyle ilgili kişinin kişisel verisinin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı, öte yandan işlemenin Kanun’un 4’üncü maddesinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna da aykırı olduğu dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı,
- Diğer taraftan, 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesinde; alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağının hükme bağlandığı,
- 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesine dayanılarak hazırlanan Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesinin (1) numaralı fıkrasında ise “Bankaların, müşterilerinden ve resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dahil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmünün yer aldığı,
- Dolayısıyla veri sorumlusu tarafından ilgili kişinin kişisel verilerinin silindiğine ilişkin herhangi bir beyanda bulunulmadığı, sadece hesapların kapatıldığı ve pazarlama amaçlı olarak kişisel verilerin işlenmeyeceğine yönelik ticari ileti iletilmesine dair tercihlerin hiçbir kanaldan ulaşılmaması yönünde güncellendiği bilgisinin verildiğinin anlaşıldığı,
- Öte yandan veri sorumlusunun sunduğu belgeler ile 5411 sayılı Kanun’un 42’nci maddesinde belirtilen 10 yıl saklama süresi hükmü ve 6698 sayılı Kanun’un 4’üncü maddesinde belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı
değerlendirmelerinden hareketle,
- İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına
karar verilmiştir.