Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1050 sayılı Karar Özeti


"Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi" hakkında Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1050 sayılı Karar Özeti

 

Karar Tarihi : 15/06/2023
Karar No : 2023/1050
Konu Özeti : Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

 

Kuruma intikal ettirilen şikâyette özetle; ilgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği, buna istinaden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında, sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili tespit uyarınca hangi kişisel verilerinin kopyalanmış olabileceği ve hangi banka işlemi nedeniyle bu tespite ulaşıldığı hususlarında bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı, aynı konuya ilişkin olarak farklı bir tarihte ikinci kez veri sorumlusuna yaptığı başvuruda Kanun’un 11’inci maddesi kapsamında kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı ifade edilerek ilgili ses kayıt dökümünün tarafına sağlanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin, sanal kart ürününe ilişkin herhangi bir veri kopyalaması olup olmadığına dair başvurusu üzerine konu hakkında detaylı araştırmalar gerçekleştirilmesinin ardından, ilgili kişinin herhangi bir kişisel verisinin kopyalanmadığının tespit edildiği,
  • Herhangi bir veri kopyalaması söz konusu olmadığından, kopyalanan kişisel verilere ilişkin yazılı bir bilgilendirme yapılmamakla birlikte ilgili kişi ile müşteri iletişim merkezi arasında gerçekleşen görüşmede kart bilgilerinin risk altında olduğuna ilişkin olarak ilgili kişinin bilgilendirildiği,
  • İlgili kişi tarafından kendilerine yapılan ikinci başvurunun, ilgili kişinin e-posta adresine gönderilen içerik ile kapsamlı şekilde yanıtlandığı ve bu cevapta, ilgili kişinin sanal kartının provizyona kapatılma nedeninin riskli iş yeri olarak kabul edilen internet sitelerinden birinde söz konusu sanal kart ile işlem yapılması olduğunun tespit edildiğinin belirtildiği ve kartın kullanıma kapatılmasının kişinin kendi talebi ve iradesi ile Banka’nın iletişim kanalları üzerinden ilettiği talimata istinaden gerçekleştirildiği,
  • İlgili kişi ile Banka’nın müşteri temsilcisi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı ve bu kayda ilişkin ilgili dökümün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesi ile anılan Kanun’un ilgili maddesi kapsamında Bankacılık Düzenleme ve Denetleme Kurumunca çıkartılan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” kapsamında düzenlenen sır saklama yükümlülüğü uyarınca ilgili kişi ile paylaşılamadığı

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarih ve 2023/1050 sayılı Kararı ile;

  • Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesinde, herkesin veri sorumlusuna başvurarak kendisiyle ilgili; (a) kişisel veri işlenip işlenmediğini öğrenme, (b) kişisel verileri işlenmişse buna ilişkin bilgi talep etme, (c) kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (d) kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, (e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, (g) işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, (ğ) kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği, 
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı; talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği, 
  • Bununla birlikte, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya Cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında veri sorumlusunun, bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği; (3) numaralı fıkrasında veri sorumlusunun, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği; (5) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracağı hükmünün düzenlendiği,
  • Veri sorumlusu tarafından Kuruma iletilen yazı ve ekinde yer alan belgeler incelendiğinde, ilgili kişi tarafından veri sorumlusuna yapılan ilk başvurunun veri sorumlusu tarafından yazılı bir şekilde yanıtlandırılmadığının anlaşıldığı, ikinci başvurunun ise, ilgili kişinin iddiasının aksine, veri sorumlusu tarafından cevaplandırıldığının görüldüğü, bununla birlikte söz konusu başvurunun Kanun’da düzenlenen otuz günlük sürenin geçirilmesinin ardından yanıtlandığının tespit edildiği,
  • İlgili kişinin, veri sorumlusu Banka’nın müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydı veya bu kaydın dökümünün ilgili kişi ile paylaşılmamasının gerekçesi olarak veri sorumlusunca ileri sürülen “sır saklama yükümlülüğü”nün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinde düzenlendiği, anılan maddenin (3) numaralı fıkrasında bankacılık hukukuna özgü bir kavram olan “müşteri sırrı” kavramının sınırlarının ortaya konulduğu ve bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceğinin düzenlendiği, 
  • Diğer yandan, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”te banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşımı ve aktarımına ilişkin kapsam, şekil, usul ve esasların belirlenmesinin amaçlandığı ve sır saklama yükümlülüğünün kapsamı, bu yükümlülükten istisna tutulan hâller ile sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkelerin çerçevesinin çizildiği,
  • İlgili kişi ile veri sorumlusunun müşteri temsilcisi arasında gerçekleşen görüşmeye ilişkin olarak veri sorumlusu tarafından Kuruma iletilen döküm incelendiğinde, somut olayın veri sorumlusu tarafından belirtildiği şekilde gerçekleştiğinin anlaşıldığı,
  • 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta düzenlenen sır saklama yükümlülüğünün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesi kapsamında düzenlenen, ilgili kişilerin kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının söz konusu veriye erişim hakkını da kapsadığı

değerlendirmelerinden hareketle;

  • 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü”nün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişilerin, kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının da bilgi talep etme hakkını tamamlayarak ilgili kişilerin kişisel verileri üzerindeki haklarını kullanabilmeleri için kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmalarına imkân sağladığı dikkate alındığında, tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi ve buna ilişkin tesis edilen işlemler hakkında Kurula bilgi verilmesi yönünde Veri Sorumlusunun talimatlandırılmasına,
  • İlgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.