Turkey: Bankanın Müşteri Hizmetlerinin Aydınlatma Yükümlülüğünü Yerine Getirmeden Ve Açık Rızasını Almadan İlgili Kişiyi Telefonda Aramak Suretiyle Kişisel Verilerini İşlemesi Hakkında 01/09/2022 Tarihli Ve 2022/863 Sayılı Karar

Karara Konu Olayın Özeti

İlgili kişinin başka bir bankada bulunan hesabından veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para gönderdiği, akabinde kendisiyle iletişim kurulmasına ilişkin açık rıza vermediği ve tarafında herhangi bir aydınlatma yapılmadığı halde veri sorumlusu banka tarafından tanıtım amacıyla aynı gün telefonla arandığı, ilgili hususta veri sorumlusu bankaya başvurduğu ve posta gönderi takibinden banka tarafından başvurunun teslim alındığı görüntülenmişse de yasal süreç içerisinde cevap verilmediği yönündeki iddiaları içerir şikayeti üzerine Kurul tarafından veri sorumlusunun savunması istenmiştir.

Veri sorumlusunun savunması kapsamında (i) müşterilerin KVKK kapsamındaki talep ve şikayetlerini kimlik, tevsik edici belgeler ve talebi içeren dilekçe ile şubelere bizzat elden veya noter kanalıyla, KEP adresine, güvenli elektronik imza, mobil imza ya da bankaya daha önce bildirilen ve sistemlerinde kayıtlı bulunan elektronik posta adresleri kullanılmak suretiyle iletmeleri gerektiği ve ilgili kişinin Veri Sorumlusuna Başvuru Tebliği'nin 5. maddesine uygun olmayan başvurusu ile Kurul'a şikayet yoluna gitmesinin mümkün olmadığı, (ii) müşteri bildiriminin bankaya “posta” kanalı ile geldiği ve dolayısıyla müşteri kimlik doğrulaması yapılan kanallar ile başvuru bankaya iletilmediğinden KVKK kapsamında değerlendirilebilmesi için başvurunun iletilmesi gereken kanallar hakkında ilgili kişiye bilgi vermek amacıyla cevabın ilgili kişinin banka sisteminde kayıtlı olan posta adresine iletilerek ilgili bildirimin sonuçlandırıldığı, (iii) ilgili kişinin başvuru dilekçesinde yer alan posta ve e-posta adresinin banka kayıtlarında yer alan adreslerden farklı olduğu ve banka kayıtlarında bulunan resmi imza örnekleri ile başvuru dilekçesinde yer alan imzaların da uyuşmadığı görüldüğünden, banka cevabının müşterinin sistemde kayıtlı olan adresine gönderildiği ve adi posta ile gönderildiğinden cevabın müşteriye ulaşıp ulaş- madığının teyit edilemediği, (iv) banka tarafından ilgili kişiye iki konu için arama yapıldığı; ilk aramanın ilgili kişinin açık rıza beyanının öğrenilmesi için Banka Müşteri İletişim Merkezi tarafından gerçekleştirildiği, söz konusu görüşmede ilgili kişinin onay vermeyeceğinin öğrenildiği ancak müşteriyi doğrulamadan ret bilgisi banka tarafından sisteme kaydedilemeyeceğinden bilgi vermek için görüşmeye devam edilmek istendiği fakat ilgili kişi tarafından müşteri temsilcisinin konuşmasına fırsat verilmediği ve konuyla ilgili şubeden bilgi alabileceğinin belirtildiği esnada telefonun ilgili kişi tarafından kapatıldığı; ikinci aramanın ise internet bankacılığı ürünü sahibi olan ancak bu ürünü kullanmayan ve iletişim izni olan tüm müşterilere yapılan dış arama kapsamında gerçekleştirildiği, bu aramada müşterinin bir sorun yaşayıp yaşamadığının sorulduğu, şifresi yoksa şifre oluşturabileceği yönünde bilgi / hizmet verildiği, yeni bir ürün hizmet tanıtımı ya da satışının yapılmadığı, ancak ilgili kişinin detaylı bilgi vermeye fırsat vermeden onayı olmadan arandığı için şikayetini ilettiği ve (v) ilgili kişinin kişisel verilerinin banka tarafından işlenmesine yönelik hukuka aykırılığın bulunmadığı ve müşterilerin kişisel verilerinin de banka ile girmiş oldukları sözleşmesel ilişki ve yasal yükümlülükler sebebi ile işlendiği ifadelerine yer verilmiştir.

Kurul Kararı ve Yaptırımı

Kurul tarafından gerçekleştirilen inceleme kapsamında (i) ilgili kişinin KVKK ve Veri Sorumlusuna Başvuru Tebliği'ne uygun olarak veri sorumlusuna başvurduğu, veri sorumlusunun cevabının 30 günlük yasal süreden sonra gönderildiği ve bu cevabın da ilgili kişiye tebliğ edildiğinin veri sorumlusunca ispat edilememiş olduğu dikkate alındığında, Kurum'a şikayette bulunmasında usul açısından herhangi bir hukuka aykırılık görülmediği, (ii) ilgili kişilerin KVKK'nın 11. maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların adi posta ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve dolayısıyla güvenlik açığına sebebiyet verebileceği, (iii) ETK'nın 6. maddesi ile Ticari İletişim Yönetmeliği'nin 6. maddesi uyarınca, devam eden abonelik sebebiyle veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın ilgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, banka tarafından ilgili kişinin eksik olduğu anlaşılan açık rızasının alınmasına yönelik bilgilendirilmesi ile 12/01/2016'dan bu yana sahip olunan internet bankacılığı hizmeti ile ilgili olarak yine farklı bir ürün tanıtımı yapılmaksızın bilgilendirilmesi amacıyla aranmasının “kanunlarda açıkça öngörülme” hukuki işleme şartına dayalı olarak gerçekleştirildiği, (iv) ilgili kişinin cep telefonu numarası bilgisinin tanıtım amacıyla açık rızasına ya da KVKK'da yer alan diğer işleme şartlarına dayalı olarak işlendiği hususunda aydınlatıldığına dair Kurum tarafından talep edilmiş olmasına rağmen veri sorumlusunun herhangi bir bilgi vermemiş olması sebebiyle konu hakkında veri sorumlusunun web sitesi üzerinde inceleme yapıldığı, veri sorumlusunun web sitesinde “Bize Ulaşın” sekmesi altında “Kişisel Verilerin İşlenmesi ve Korunması Hakkında Bilgilendirme”nin bulunduğu, bu bölüme girildiğinde “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi kapsamında veri sorumlusunun kimliğine, kişisel verilerin hangi amaçla işleneceğine, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğine, kişisel veri toplamanın yöntemi ve hukuki sebeplerine, ilgili kişinin KVKK'nın 11. maddesinde sayılan haklarına yönelik asgari bilgilere yer vermek suretiyle genel aydınlatma yükümlülüğünün yerine getirildiği ve (v) ilgili kişinin kişisel verilerinin ilk elde edilişinin KVKK'nın yürürlük tarihi öncesi olduğu, ilgili kişinin iletişim izninin anılan tarihten itibaren evet olarak göründüğü, KVKK'nın yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksi yönde bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediğinin anlaşıldığı değerlendirmelerinde bulunulmuştur.

Söz konusu değerlendirmeler ışığında;

• ilgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin “kanunlarda açıkça öngörülme” hukuki işleme şartına dayalı olarak işlendiği kanaatine varıldığından, veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına,
• ilgili kişinin veri sorumlusuna posta yoluyla yazılı olarak ilettiği başvurusunun Veri Sorumlusuna Başvuru Tebliği'nde belirtilen zorunlu unsurları içerdiği ve ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında, kendisine yapılan başvurulara ilişkin Veri Sorumlusuna Başvuru Tebliği'ne uygun olarak hareket etmesi gerektiği yönünde veri sorumlusuna uyarıda bulunulmasına ve veri sorumlusunun ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici (KEP Delili, e-posta ekran görüntüsü veya APS alındısı niteliğindeki) belgeyle birlikte Kurul'a bilgi vermesi gerektiği yönünde talimatlandırılmasına,
• ilgili kişilerin KVKK'nın 11. maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların adi posta ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve dolayısıyla güvenlik açığına sebebiyet verebileceği değerlendirilmiş olduğundan, veri sorumlusunun Veri Sorumlusuna Başvuru Tebliği'nin 6. maddesine uygun olarak ilgili kişilere göndereceği kişisel bilgi içeren cevapları daha güvenilir ve takip edilebilir bir yöntemle iletmesi hususunda uyarılmasına ve
• ilgili kişinin KVKK'nın yürürlük tarihi öncesi olan 2015 yılından beri bankanın müşterisi olduğu, iletişim izninin evet olarak göründüğü, KVKK'nın yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksine bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediği hususları dikkate alındığında, ilgili kişinin aydınlatma yükümlülüğünün yerine getirilmediği iddiasına yönelik veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına

karar verilmiştir.

Söz konusu kararın tam metnine buradan ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.