"Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1310 sayılı Karar Özeti
Karar Tarihi | : | 03/08/2023 |
Karar No | : | 2023/1310 |
Konu Özeti | : | Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi |
Kuruma intikal eden şikâyette özetle; ilgili kişinin bir bankanın (veri sorumlusu) bireysel ve kurumsal müşterisi olduğu, 19.11.2022 tarihinde mobil bankacılık uygulamasını kullanarak unutmuş olduğu kurumsal hesabına ilişkin şifreyi sıfırlamak istediği, kurumsal parola belirleme alanına girdikten sonra T.C. kimlik kartının veya kredi/banka kartının hazır edilmesinin talep edildiği, T.C. kimlik numarası ile devam edildiğinde ise T.C. kimlik kartı ile dijital parola üretmenin tek seçenek olarak geldiği, kurumsal hesaba giriş yapılırken dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı, onay verilmediği durumda ise hizmetten faydalanılamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin başvurusu tarihinde kurumsal müşterilerin kredi/banka kartı ile dijital parola oluşturma süreci için sistem entegrasyon çalışmalarının sürmekte olduğu ve ilgili kişi başvurusuna da bu yönde cevap verildiği, 02.12.2022 tarihinde iş akışları tamamlanarak kurumsal müşterilere de biyometrik yüz verisi işlenmeksizin kredi/banka kartı seçeneği ile dijital parola oluşturma imkânı sağlandığı,
- İlgili kişinin şikayetine konu dönemde kurumsal hesaplar yönünden, (T.C. Kimlik Kartı seçeneği ve akabinde) yüz verileri işlenmeksizin mobil bankacılık uygulamasından dijital parola oluşturma imkânı mevcut olmamakla birlikte, Bankanın Şube veya telefon bankacılığı kanallarından işlemi gerçekleştirme imkanının mevcut olduğu,
- İlgili kişinin şikayetine konu dönemde yüz verilerinin işlenmesine rıza verilmediği durumda, (a) Bireysel müşterilerin Mobil Bankacılık kanalından alternatif olarak sunulan kredi/banka kartı seçeneği, Şubeler veya telefon bankacılığı kanalından işleme devam edebildiği, (b) Kurumsal müşterilerin ise Mobil Bankacılık kanalından devam edemediği, alternatif olarak işlemlerini Şubeler veya telefon bankacılığı kanallarından tamamlayabildiği, alternatif kanallara ilişkin bilgilendirmenin, Bankanın web sitesinde sağlandığı,
- Mevcut durumda Bankanın mobil şube dijital parola belirleme işlemlerinde müşterilerine “Kredi ve Banka kartı ile dijital parola üretmek istiyorum” ve “T.C. kimlik kartı ile dijital parola üretmek istiyorum” seçeneklerinin sunulduğu, mobil şube kanalı ile dijital parola üretmek için “T.C. kimlik kartı ile parola üretmek istiyorum” alanı seçildiğinde elektronik bankacılık hizmetlerinin sunulmasında işlem güvenliğini sağlamak adına kimlik doğrulama mekanizmalarından biri olan yüz izlerinin işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmü doğrultusunda, özel nitelikli biyometrik veri olan yüz izlerinin işlenebilmesi için mevzuat hükümleri çerçevesinde taraflarınca biyometrik verilerinin işlenmesi için müşterilerden açık rıza alındığı, talep edilen açık rızaya ilişkin olarak “Onaylamıyorum” seçeneğinin de müşterilere sunulduğu, ilgili seçenek işaretlendiğinde (hem bireysel hem kurumsal hesaplar yönünden) müşterilerin yüz izleri işlenemeyeceğinden işleme devam edilememekle birlikte alternatif seçenek olarak gerek kredi/banka kartı seçeneği ile gerekse Bankanın Şube/Dialog kanalları ile de dijital parola oluşturma imkanının sunulduğu,
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesi uyarınca müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması yükümlülüğünün bulunduğu, bu doğrultuda talep oluşturulan iki bileşenin; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçildiği, müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesinin esas alındığı, bu yönetmelik kapsamında iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğünün bankaya ait olduğu gözetilerek müşteriye özgü ve taklit edilemeyen biyometrik verinin müşterinin açık rızasının alınması halinde işlendiği
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1310 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak; “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin birinci fıkrasında ise; “özel nitelikli kişisel veriler”in, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak tanımlandığı, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) “Tanımlar” başlıklı 4’üncü maddesinde ise “biyometrik veri”nin, yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler olarak tanımlandığı, somut olayda bankanın “Veri Sorumlusu”, dijital parola belirleme işlemlerinde yüz verilerinin işlenmesinin “veri işleme faaliyeti”, yüz verilerinin de biyometrik veri olması dolayısıyla “özel nitelikli kişisel veri” olduğu,
- Kanun’un 6’ncı maddesinin ikinci ve üçüncü fıkrasının “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” hükmünü haiz olduğu,
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesinin birinci ve ikinci fıkralarının sırasıyla “(1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır. (2) Kimlik doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde birinci fıkranın gerekleri yerine getirilmiş sayılır.” hükümlerini amir olup bu maddenin diğer fıkralarında da bankalarca alınması gereken güvenlik tedbirlerine ilişkin usul ve esaslara yer verildiği,
- İlgili kişinin veri sorumlusuna başvuruda bulunduğu dönemde mobil bankacılık uygulamasında kurumsal müşterilerin de bireysel müşteriler gibi dijital parola üretme uygulamasında T.C. kimlik kartı veya kredi/banka kartı ile giriş sağlayabilmeleri hususunda çalışmaların devam ettiği, mobil şube kanalı ile dijital parola üretmek için yalnızca T.C. kimlik kartı kullanımının seçilebildiği ve bu seçenek tercih edildiğinde elektronik bankacılık hizmetlerinin sunulmasında işlem güvenliğinin sağlanması adına kimlik doğrulama mekanizmalarından yüz izlerinin işlenmesinin kullanıldığı, bu nedenle Kanun’un 6’ncı maddesinin ikinci fıkrası doğrultusunda, özel nitelikli biyometrik veri olan yüz izlerinin işlenebilmesi için, müşterilerden açık rıza beyanı alınmasının zorunlu olduğu, müşterilerin açık rızaya onay vermemesi durumunda ise dijital parola işleminin mobil şube kanalından sağlanamadığı, bu işlemlerin yapılabilmesine yönelik olarak herhangi bir bilgilendirmeye yer verilmeyerek sistemin başa döndüğü, konuya ilişkin olarak yüz verilerinin işlenmesine rızası bulunmayan ve mobil bankacılığın kurumsal müşteriler için dijital parola alma işleminden yararlanamamış olan ilgili kişinin veri sorumlusuna yaptığı başvuruya cevaben Veri Sorumlusunun biyometrik verilerin işlenmeyerek dijital parola edinme isteği halinde Bankanın Şube/Telefon Bankacılığı kanalları ile işlemin gerçekleştirilmesinin mümkün olduğu hususunda kişiyi bilgilendirdiği, veri sorumlusunun internet sitesinde dijital parolanın nasıl alınabileceğine dair bilgilendirmenin bulunduğunu beyan ve tevsik ettiği, 02/12/2022 tarihinden itibaren kurumsal müşteriler için de mobil bankacılıkta kredi/banka kartı seçeneği ile de dijital parola oluşturma imkanının sağlandığı,
- Bununla birlikte, Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği,
değerlendirmelerinden hareketle,
- Veri sorumlusu Bankanın hizmetleri kapsamında dijital parola oluşturmanın şikayet tarihinde mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verilerinin işlenmesi suretiyle gerçekleşebildiği ancak müşterilerin dijital parola alma hizmetinden Bankanın Şube ve Telefon Bankacılığı kanalları aracılığıyla da yararlanabildiği ve bu hususun Bankanın internet sitesinde belirtildiği dikkate alındığında, bu hizmetin şarta bağlandığı iddiasının yerinde olmadığı değerlendirildiğinden veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
- Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği anlaşıldığından, her ne kadar mevcut durumda şikayete konu hizmetin mobil bankacılıkta da alternatif bir yöntemle verilmesine başlanılmış olsa da, veri sorumlusu Bankanın hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetlerinde müşterileri tarafından yanlış anlaşılmaya sebebiyet verebilecek süreçler var ise ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi hususunda azami özeni göstermesini teminen uyarılmasına
karar verilmiştir.