Karara Konu Olayın Özeti
İlgili kişinin bir elektronik eşya mağazasından satın almak için baktığı ürünün ödeme seçeneklerini sorduğu sırada mağaza görevlisince veri sorumlusu banka tarafından verilebilecek kredi vasıtasıyla taksit yapılabildiği bilgisinin kendisine iletildiği, bunun üzerine alabileceği kredi tutarını öğrenebilmek adına T.C. kimlik numarasını yazarak belirtilen numaraya SMS gönderdiği, veri sorumlusu banka tarafından verilen SMS yanıtında kredi limitinin belirtildiği, daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın kendisine yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun kendisine kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği, bu çerçevede veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği, başvurusuna usulüne uygun bir yanıt verilmediği ve kişisel verileri işlenirken kendisinden açık rıza alınmadığı yönündeki iddialarını içerir şikayeti üzerine başlatılan inceleme çerçevesinde Kurul tarafından veri sorumlusunun savunması istenmiştir.
Veri sorumlusunun savunması kapsamında (i) ilgili kişinin elektronik eşya mağazasında bulunduğu sırada almış olduğu bilgiye istinaden bankalarına ait numaraya T.C. kimlik numarası bilgisini göndererek kredi başvurusunda bulunduğu ve kayıtlarında daha önceden kendisine ait hiçbir bilgi ve belge olmadığı, (ii) kredi sürecini SMS göndermek suretiyle ilgili kişinin başlattığı ve talep ettiği bankacılık ilişkisi kurulmadan önce hukuki ve ticari risk analizleri yapabilmek, bankacılık mevzuatına göre bir risk grubuna ait olup olmadığını tespit edebilmek ve müşteri ilişkilerini yürütebilmek için kara paranın aklanmasına yönelik düzenlemeler dahil fakat bunlarla sınırlı olmamak üzere talep için gerekli olan kişisel verilerin işlenmesine ilişkin bilgilendirme metninin SMS yoluyla iletildiği, (iii) bu sürecin karar ağacı formatında olduğu ve her bir kademede başvuru sahibinin kredibilitesini ölçmeye yarayan, saniyeler içerisinde ve otomatik çalışan, öngörüsel modellere dayanarak oluşturulan kredi politika kurallarından oluştuğu, dolandırıcılık ihtimalini ve suistimali önlemek amacıyla başvuran kişiye ait telefon numarası ile SMS içeriğinde kimlik numarasının eşleşip eşleşmediğinin kontrol edildiği, bu işlemin ilgili kişiye gönderilen bilgilendirme metninde de belirtildiği üzere kişinin SMS gönderdiği telefon numarasının ve SMS içeriğinde yer alan kimlik numarasının Kredi Kayıt Bürosu'na aktarılması ile gerçekleştirildiği ve akabinde başvuru sahibine ait kimlik numarasının kredi sorgulaması amacıyla Türkiye Bankalar Birliği Risk Merkezi'ne iletildiği ve (iv) açıklanan nedenlerle ilgili kişinin iddialarının gerçeği yansıtmadığı hususları bildirilmiştir.
Kurul Kararı ve Yaptırımı
Kurul tarafından gerçekleştirilen inceleme kapsamında (i) ilgili kişiye öncelikle kişisel verilerinin korunması ile ilgili olarak bir SMS gönderildiği, bu SMS'te veri sorumlusunun aydınlatma metnine ulaşılmasını sağlayan bir bağlantının yer aldığı, ilgili kişinin iddiasının aksine veri sorumlusunun ilgili kişinin iradesiyle başlattığı veri işleme sürecini tamamlamadan evvel ilgili kişiye konuya ilişkin aydınlatmada bulunduğunun görüldüğü, (ii) veri sorumlusunun aydınlatma metninin KVKK'nın 10. maddesinde gösterilen asgari unsurları karşıladığı görülmekle birlikte Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e (“Aydınlatma Tebliği”) birtakım aykırılıklar içerdiğinin tespit edildiği, geçerli ve hukuka uygun bir aydınlatmanın gerçekleştirilebilmesinin ilgili kişinin en azından kategorik olarak kişisel verileri üzerindeki hakimiyetini yitirmemesine yani bu verilerin akıbetinden genel şekliyle haberdar olabilmesine bağlı olduğu, bunun da ancak işlenen veri kategorileri, bu kategorilerin hangi verileri içerdikleri, bu veri kategorilerinin işlenme / aktarılma amaçları ve hukuki mesnetleri arasındaki illiyet bağlarının veri sorumlusunca sunulan aydınlatma metninde gösterilmesi ile mümkün olabildiği, öte yandan şayet bir veri aktarımı yapılıyorsa aktarılan veri kategorilerinin hangi alıcı gruplarına aktarıldığının da aydınlatma metinlerinde sarih olarak ortaya konulmasının gerektiği, alıcı gruplarının resmi merciler, iş ortakları ve benzeri şekillerde sınıflandı-rılması mümkün olmakla birlikte bu alıcı gruplarının içerdiği üçüncü kişi ya da kurumların / kuruluşların da talep edildiği takdirde ilgili kişilerin sorularına yanıt verilebilmesini teminen veri sorumlusu nezdinde kayıtlı tutulmasının da büyük önem arz ettiği, (iii) veri sorumlusunun aydınlatma metninde hangi veri kategorisinin, hangi amaç ve hangi hukuka uygunluk sebebi kapsamında işlendiği arasında bir illiyet bağı kurulmadığı, hangi veri kategorisinin hangi alıcı gruplarına hangi amaç ve hukuka uygunluk sebebi kapsamında iletildiğine yer verilmediği, bu bilgilerin oluşturulmasının ve kamuoyuna aydınlatma metinleri vasıtasıyla sunulmasının veri sorumluları için bir külfet oluşturmadığı, (iv) veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası'na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi'ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı ve (v) ilgili kişinin başvurusuna istinaden hukuken muteber ve geçerli bir yanıt verilmiş ise de bu yanıtın aydınlatma yükümlülüğü ile ilgili arz edilen detaylardan yoksun olduğunun ve bu haliyle ilgili kişinin taleplerine yönelik tam ve eksiksiz bir yanıt sağlamaktan uzak olduğunun görüldüğü, örneğin veri sorumlusu ilgili kişinin kişisel verilerinin KVKK'nın 5. maddesinin (2) numaralı fıkrasında gösterilen şartlar dahilinde işlendiğini ifade etmekte ise de bu verilerin hangi veriler olduğunun ve ilgili maddede gösterilen hangi şarta dayalı olarak işlendiğinin meçhul olduğu ve bu sebeplerle veri sorumlusunun ilgili kişiye karşı tam ve eksiksiz aydınlatma ile ilgili arz edilen şartları sağlayan bir metinle yanıt verme yükümlülüğünü ihlal ettiğinin anlaşıldığı değerlendirmelerinde bulunulmuştur.
Söz konusu değerlendirmeler ışığında;
- ilgili kişiye KVKK'nın 10. maddesi uyarınca hukuken geçerli bir şekilde aydınlatmada bulunulduğu ve fakat bu aydınlatmada Aydınlatma Tebliği ile düzenlenen bazı hususlarda giderilmesi gereken eksiklikler bulunduğu dikkate alındığında, aydınlatma metninin Aydınlatma Tebliği'ne uygun hale getirilmesi ve sonucundan 30 günlük yasal süre içerisinde Kurul'a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve
- ilgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığında, veri sorumlusunun ilgili kişilerin başvurularına KVKK'ya ve Veri Sorumlusuna Başvuru Tebliği'ne uygun şekilde yanıt vermesi hususunda azami dikkat ve özeni göstermesi konusunda uyarılmasına
karar verilmiştir.
Söz konusu kararın tam metnine buradan ulaşabilirsiniz
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.