Turkey: Veri Sorumlusu Bir Banka Tarafından İlgili Kişinin Para Transferleri Ile Hesap Bilgilerinin Üçüncü Kişiye Ait E-Postaya Gönderilmesi Hakkında 12/01/2023 Tarihli Ve 2023/67 Sayılı Karar

Karara Konu Olayın Özeti

İlgili kişinin banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin kendisinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle tüm para transferleri ile hesap bilgilerinin üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, her ne kadar veri sorumlusuna yapılan başvuruya istinaden gönderilen cevabi yazıda (1) bahse konu e-posta adresinin kendisinin ortağı olduğu şirketin vekili tarafından 2017 yılında çek karnesi talebi için bankaya bildirildiği, (2) 2018 yılına ilişkin bireysel emeklilik sözleşmesi teklifi ile 2020 yılına ilişkin hayat sigortası formlarında söz konusu e-posta adresinin yer almasına karşın itiraz etmeksizin bu formlara onay verdiği ve (3) dolayısıyla veri ihlali yaşanmadığı ileri sürülse de, hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerin asil tarafından yapılmış kabul edilmesi sebebiyle bu kişilere yapılacak aydınlatmanın kanunen yeterli görüldüğü ancak şirket vekilinin şahsi vekili olmadığı, e-posta adresinin şahsına ait olduğu varsayımında dahi yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, gönderim yapılan e-posta adresi ilgili kişiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan rıza beyanının da batıl olduğu, sistemde kayıtlı e-posta adresinin kendisine ait olup olmadığının teyit edilmediği ve veri sorumlusu tarafından daha sonraki tarihlerde kendisine sunulan tüm sözleşme, teklif ile formlarda e-posta iletişim bilgisinin basılı olarak yer alması nedeniyle e-posta adresindeki yanlışlığı fark etme ve düzeltme imkanının tanınmadığı yönündeki iddialarını içerir şikayet dilekçesi üzerine başlatılan inceleme çerçevesinde Kurul tarafından veri sorumlusunun savunması istenmiştir.

Veri sorumlusunun savunması kapsamında (i) ilgili kişinin ortağı olduğu şirketin bankanın müşterilerinden biri olduğu, söz konusu şirket için 2017 yılında çek karnesi talep edildiği ve o dönem çek karnesi için findeks üyeliği gerektiğinden şirkete findeks üyeliği oluşturulduğu ve findeks üyeliği oluşturmak için de şirket yetkililerinin iletişim bilgilerinin sisteme girilmesinin zorunlu tutulması nedeniyle ilgili kişinin hesabına şikayete konu olan e-posta adresinin tanımlandığı, (ii) findeks üyelik formunda ilgili kişiye ait iletişim bilgilerinin, ilgili kişinin ortağı olduğu şirketin vekili tarafından bankaya ibraz edildiği, söz konusu formda bu adresin açıkça ekstreler ile hesap hareketlerinin gönderildiği e-posta adresi olarak belirtildiği ve evrakın vekil tarafından imzalandığının tespit edildiği, (iii) e-posta adresi verisinin, findeks üyelik sözleşmesinin ifası için alınması gereken zorunlu bir bilgi olduğundan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartı uyarınca işlendiği ve dolayısıyla açık rıza alınmadığı şeklindeki iddianın yersiz olduğu, (iv) Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Kılavuz Taslağı'nda belirtildiği üzere her bir kredi kullandırma işlemi özelinde risk grubu kapsamında bulunan ilgili kişilerin tek tek aydınlatılması yerine ilgili kişilerin kolayca erişilebileceği şekilde sadece risk grubu faaliyetleri bakımından genel bir aydınlatma yapılmasının mümkün olduğu ve bu kapsamda gayri nakdi kredi işlemi olan çek karnesi başvurusunda risk grubu içerisinde yer alan ilgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatma yükümlülüğünün veri sorumlusunun internet sitesi aracılığıyla yerine getirildiği, (v) ilgili kişinin e-posta adresinin silinmesi talebini iletmesi üzerine aynı gün içerisinde hesabına kayıtlı e-posta adresinin silindiği ve yeni e-posta adresinin eklendiği, EFT ve havale bilgilendirme e-postalarının ilgili kişi tarafından aktif hale getirildiği, 2020 yılında ilk EFT ve havale bilgilendirme e-postalarının gönderilmiş olduğu, bu tarihe kadar olan süreçte hatalı e-posta adresine gönderilen e-postalar incelendiğinde gönderilen e-postaların müşterinin ortağı olduğu firmaya ait ekstre, EFT / havale transfer limit değişiklik bilgilerini içerdiği ve müşteriye ait herhangi bir kişisel veri içermediği ve bu sebeple şikayetçinin kişisel verilerinin hukuka aykırı şekilde üçüncü kişilerle paylaşıldığı iddiasının mesnetsiz olduğu ve (vi), doktrinde de açıkça ifade edildiği üzere ana kuralın ilgili kişinin doğru veri iletmesi olduğu ve kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesi hakkının kullanılabilmesi için veri sorumlusunun ilgili kişiye gerekli ortamı sağlama yükümlülüğünün bulunduğu, bu kapsamda verinin doğruluğu ve güncelliği için ilgili kişiye her türlü imkanın sağlanarak başvuru kanalının açıldığı ve ilgili kişinin imzaladığı evrakta gördüğü e-posta adresine işlem esnasında itiraz etme olanağının bulunduğu ifadelerine yer verilmiştir.

Kurul Kararı ve Yaptırımı

Kurul tarafından gerçekleştirilen inceleme kapsamında (i) veri sorumluları tarafından kendilerine bildirilen irtibat numaralarının doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına ilgili ilke karar kapsamında karar verildiği, (ii) kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün ise veri sorumlusunun bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyması halinde geçerli olduğunun değerlendirildiği ve bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği, (iii) şikayete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı ve ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı göz önünde bulundurulduğunda, işleme faaliyetinin hukuka uygun yürütülmesi bakımından veri sorumlusunun özen yükümlülüğü çerçevesinde hareket ettiği, (iv) hatalı e-posta adresine giden bildirimlerin kişinin hesap hareketlerinin üçüncü bir kişiye açıklanmasının yanı sıra olası dolandırıcılık olaylarında hesaptan, hesap sahibinin bilgisi dışında para çekilmesi gibi durumlardan haberdar olunamaması gibi sonuçlara yol açabileceğinin veri sorumlusu tarafından göz önünde bulundurulması gerektiği ve (v) ilgili kişi açısından para transferlerine ilişkin bilgilendirmelerin alınamamasının ve üçüncü kişiye gönderilmesinin hak kaybına sebebiyet verebileceği dikkate alındığında, veri sorumlusunun Kurul'un 22/12/2020 tarihli ve 2020/966 sayılı ilke kararı doğrultusunda banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaları kurması gerektiği değerlendirmelerinde bulunulmuştur.

Söz konusu değerlendirmeler ışığında;

• şikayete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı ve ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında, şikayet konusu ile ilgili olarak veri sorumlusu banka hakkında KVKK kapsamında yapılacak bir işlem olmadığına ve
• Kurul'un 22/12/2020 tarihli ve 2020/966 sayılı ilke kararı doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına

karar verilmiştir.

Söz konusu kararın tam metnine buradan ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.