Kişisel Verileri Koruma Kurulunun 31/08/2023 tarihli ve 2023/1509 sayılı Karar Özeti


"İlgili Kişinin Kişisel Verilerinin Bir Banka Tarafından Kredi Kayıt Bürosu AŞ’ye Aktarılması" hakkında Kişisel Verileri Koruma Kurulunun 31/08/2023 tarihli ve 2023/1509 sayılı Karar Özeti

 

Karar Tarihi : 31/08/2023
Karar No : 2023/1509
Konu Özeti : Konu Özeti : İlgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu AŞ’ye aktarılması

 

Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin kişisel verilerinin Kişisel Verilerin Korunması Kanunu’nun (Kanun) 8’inci maddesinin birinci fıkrası uyarınca kredi kuruluşları ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere kurulmuş olan KKB Kredi Kayıt Bürosu AŞ’ye (Şirket/KKB) aktarılması konusunda veri sorumlusu bankaya başvurduğu, söz konusu başvuruda kişisel verilerinin aktarılmasını kabul etmediğini ifade ettiği ve bu konudaki açık rızasını geri çekme talebinde bulunduğu, ancak talebinin reddedildiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

  • Müşterileri ve müşteri adayı ilgili kişiler yönünden, kredi/kredi kartı talepleri, talep edilmiş olan kredi ürünlerinin tahsis imkanının ve tahsis limitlerinin belirlenebilmesi, mevcut kredi ve risk grubu bilgilerinin sorgulanması amaçlarıyla Şirket ile veri paylaşımı yapıldığı, ilgili kuruluş nezdinde sorgu yapılabilmesi için kişilerin ad, soyadı ve T.C. kimlik numarası bilgilerinin paylaşıldığı,
  • Şikâyete konu olay özelinde ilgili kişinin ADK (Alternatif Dağıtım Kanalları-Mobil Bankacılık) kanalıyla başvuru yapmış olduğu, bu başvurularına istinaden Şirket nezdinde sorgularının otomatik olarak yapıldığı, ilgili kişinin kredi taleplerine ilişkin olarak adı, soyadı ve T.C. kimlik numarası verilerinin otomatik sorgu yoluyla Şirket’e aktarıldığı, bunun dışında başkaca bir paylaşımın söz konusu olmadığı,
  • Bazı Alacakların Yeniden Yapılandırılması ile Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve Diğer Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun (6111 sayılı Kanun) ile 5411 sayılı Bankacılık Kanunu’na (5411 Sayılı Kanun) eklenen Ek 1’inci Madde ile Türkiye Bankalar Birliği (TBB) nezdinde kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu’nca (BDDK) uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezi (RM) kurulduğu, söz konusu ek madde gereği kredi kuruluşları ile BDDK tarafından uygun görülecek finansal kuruluşların Risk Merkezine üye olmak zorunda olduğu, üye kuruluşların, Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermekle yükümlü olduğu,
  • Şikayete konu kişisel veri aktarımının yapıldığı Şirket’in 5411 Sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrasında öngörüldüğü üzere kredi kuruluşları (mevduat bankaları ile katılım bankaları) ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere dokuz banka tarafından kurulmuş bir şirket olduğu, TBB Risk Merkezine vekaleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra Risk Merkezi üyesi 185 finansal kuruluşa veri toplama ve paylaşım hizmeti vermekte olduğu ve zikredildiği üzere müşterilerinin kredi taleplerine istinaden Şirket ile paylaşım yapılmakta olduğu,
  • Kanun’un 8’inci maddesinin kişisel verilerin aktarılmasına ilişkin olarak ilgili kişinin açık rızasının varlığını esas olarak belirtmekle birlikte Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki şartlar altında ilgili kişinin açık rızası aranmaksızın da aktarılabileceği hükmünü amir olduğu, açıklanan amaçlarla KKB’ye veri aktarımı yapılmasının hukuki sebeplerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentleri kapsamında olduğu,
  • 5411 sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrasının “… gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kalınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişi... sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğünün dışındadır.” hükmünü amir olduğu,
  • Ayrıca, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde de benzer bir hükmün düzenlendiği,
  • Banka müşterilerinin aynı zamanda müşteri sırrı niteliğindeki verileri anılan mevzuat hükümleri doğrultusunda sır saklama yükümlülüğünün istisnaları kapsamında olduğundan kişilerin açık rızasının veya talep/talimatının alınmasına gerek bulunmadığı,
  • Şirket ile yapılan bilgi paylaşımının, 5411 sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrası ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında sır saklama yükümlülüğünden istisna tutulan hallerden olduğu, yine durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında kalmasından açık rıza alınmasına hukuken gerek bulunmadığı, Şirket ile yapılan veri paylaşımlarında açık rıza alınmasını gerektirecek nitelikte bir paylaşım da bulunulmadığı, ilgili kişiden bu kapsamda alınmış bir açık rızaya gerek bulunmadığından açık rızasının alınmadığı, ilgili kişinin mevcut olmayan ve hukuken alınmasına da gerek bulunmayan açık rızasını geri çekme talebinin anılan yasal düzenlemeler gereği olumlu karşılanmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 31/08/2023 tarih ve 2023/1509 sayılı Kararı ile;

  • Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinin birinci fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağının, ikinci fıkrasında kişisel verilerin 5 inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin, üçüncü fıkrasında kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun düzenlendiği,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinde veri sorumlusunun, Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun hükme bağlandığı,
  • 5411 sayılı Kanun’un “Risk Merkezi” başlıklı Ek 1’inci maddesi hükmünün “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur. Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşlar, Risk Merkezine üye olmak zorundadır. Üye kuruluşlar, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. Risk Merkezi, bu yükümlülüğe uymayanlara bilgi akışını durdurmaya yetkilidir... Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve bunlarla Kurulun uygun görüşüne istinaden bilgi alış-verişine yönelik sözleşmeler imzalamaya yetkilidir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşları Risk Merkezi yönetimi tarafından talep edilen bilgileri vermekle yükümlüdürler... Risk Merkezi, nezdindeki her türlü bilgi alış-verişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.” şeklinde düzenlendiği,
  • Mezkûr Kanun’un “Sırların saklanması” başlıklı 73’üncü maddesinin (4) numaralı fıkrasının “Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.” hükmünü havi olduğu,
  • Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’in “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5’inci maddesinin (2) numaralı fıkrasının (a) bendinin “Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması”nın sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği şeklinde hükme bağlandığı,
  • Şirket’in internet sitesinde; 5411 Sayılı Kanun’un Ek 1’inci maddesi ile TBB nezdinde kredi kuruluşları ile BDDK’ce uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezinin kurulduğu, Türkiye Cumhuriyet Merkez Bankası nezdindeki Risk Santralizasyon Merkezi’nin devri ile TBB Risk Merkezi’nin, 28 Haziran 2013 tarihinde faaliyete geçtiği, Şirket’in TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra Risk Merkezi üyesi 185 finansal kuruluşa veri toplama ve paylaşım hizmeti vermekte olduğu ve bankalar, tüketici finansman şirketleri, leasing, faktoring ve sigorta şirketleri olmak üzere hem Risk Merkezi hem de kendi üyelerini içeren 200’e yakın üyesi bulunduğu bilgilerinin yer aldığı,
  • Kişisel verilerin ilgili kişinin açık rızası veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları bulunmadan işlenemeyeceği, bununla birlikte, açık rıza ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları arasında hiyerarşik bir ilişki bulunmadığı, kişisel veri işleme faaliyeti Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamakla birlikte ilgili kişinin açık rızasının bulunmadığı veyahut açık rızasını geri aldığı itiraz ve beyanlarının da hukuken bir geçerliliğinin olmadığı, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının; ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla aldatıcı ve veri sorumlusunca hakkın kötüye kullanımı niteliğinde olacağı, nitekim, somut olayda da ilgili kişinin açık rızasına binaen bir işleme faaliyeti gerçekleştirilmediği, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentlerinde belirtilen işleme şartlarının somut olayda gerçekleştirilen kişisel veri işleme faaliyetinde mevcut olduğu,
  • Anılan mevzuat hükümleri ile tarafların Kurum’a sunduğu bilgi ve belgeler birlikte ele alındığında; bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince, veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin atfı ile 5’inci maddesinin (2) numaralı fıkrasına uygun olduğu,
  • Öte yandan, veri sorumlusu bankanın ilgili kişinin başvurusuna verdiği cevabi yazıda ilgili kişinin talebinin reddedilmesine ilişkin gerekçelere yer verilmediğinin görüldüğü

değerlendirmelerinden hareketle;

  • Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasına uygun olması sebebiyle veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına,
  • Kanun kapsamındaki başvuruların reddedileceği hallerde Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası uyarınca gerekçesi açıklanarak reddedilmesi gerektiğinin Veri Sorumlusuna hatırlatılmasına

karar verilmiştir.