KVKK TARAFINDAN YAYINLANAN BANKACILIK SİSTEMİ VE EĞİTİM KURUMLARINA İLİŞKİN 2023 KARAR ÖZETLERİ İNCELEMESİ

KVKK TARAFINDAN YAYINLANAN BANKACILIK SİSTEMİ VE EĞİTİM KURUMLARINA İLİŞKİN 2023 KARAR ÖZETLERİ İNCELEMESİ

Kişisel Verileri Koruma Kurumu, 27/12/2023 tarihinde kurumun internet sitesi üzerinden karar özetleri yayınlamıştır. Yayınlanan özetler arasında özellikle eğitim kurumları ve bankalar açısından oldukça önemli kararlar göze çarpmaktadır. Kararların detaylı özetlerini ve incelemelerimizi metnin devamında erişim bağlantıları ile birlikte inceleyebilirsiniz.

BİR E-TİCARET SİTESİNDEN ALIŞVERİŞ YAPILABİLMESİ İÇİN KREDİ/BANKA KARTI BİLGİLERİNİN KAYDEDİLMESİNİN ZORUNLU TUTULMASI HAKKINDA 11/04/2023 TARİHLİ 2023/567 SAYILI KARAR ÖZETİ

İçindekiler

Şikâyete konu olay: İlgili kişi, e-ticaret sitesi üzerinden yaptığı alışverişinde ödeme ekranında “kredi/banka kartı ekle” ekranında kart bilgilerinin kaydedilmesinin talep edildiğini ve bu talebi kabul etmediği takdirde alışverişini tamamlamasının mümkün olmadığını belirtmiştir. Ek olarak ilgiliye bu işleme dair bir aydınlatma da yapılmamıştır. İlgili kişi, bilgilerinin kaydedilmesine yönelik geçerli bir şartın ya da açık rızanın da bulunmadığını öne sürerek şikayetini Kişisel Verileri Koruma Kurulu’na (“Kurul”) iletmiştir.

Veri sorumlusu, savunmasında ödeme işlemlerinin tamamlanabilmesi için fatura adresi, kredi/banka kartı numarası, kart sahibinin adı, soyadı ve son kullanma tarihinin işlendiğini, bu işlemlerin ise Kişisel Verilerin Korunması Kanunu (“Kanun”) 5. Maddesinin (2) numaralı fıkrasının “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamına dayandığını iddia etmiştir. Bu verilerin kaydedilmesiyle dolandırıcılığı ve suistimali tespit ettiklerini ve bilgilerin ilgili kişiler tarafından istenildiği takdirde silinebileceğini de eklemiştir.

Kurul, incelemesi sonucunda sistemi test ederek alışverişi tamamlayabilmek adına kart bilgilerinin kaydedilmesinin zorunlu tutulduğunu teyit etmiştir. Kart bilgileri sonrasında ilgili tarafından silinebiliyor olsa dahi, alışveriş tamamlandıktan sonra bilgiler kendiliğinden silinmediği için veri sorumlusunun veri işlemeye devam ettiği ve bunun ancak kanuna uygun açık rıza olduğu takdirde yapılabileceği belirtilmiştir. Kurul, açık rıza olmadığı halde işleme faaliyetinin devam ediyor olmasının “hukuka ve dürüstlük kuralına uyma, belirli, açık ve meşru amaçla işleme ve işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiğine dikkat çekmiştir.
Ayrıca veri sorumlusunun faaliyetleri incelendiğinde kart bilgisinin işlenmesinin Kanun’un 5. Maddesinde yer alan geçerli bir işleme şartına dayanmadığı kanaatine varılmıştır.

Kurul, (i) Kanun’un 12/1 hükmünde düzenlenen veri güvenliğine ilişkin yükümlülükleri yerine getirmediği tespit edilen veri sorumlusu hakkında Kanun’un 18/1/b maddesi uyarınca 500.000 TL idari para cezası uygulanmasına, (ii) veri sorumlusunun kart bilgilerini hesaba kaydedebilmesi için ilgili kişilerin aktif olarak rızasını alacağı bir sistem geliştirmesine ve aydınlatma hükümlerine düzenleyerek Kurul’a bilgi vermesi yönünde karar vermiştir.

Karar veri sorumlularının açık rıza verilmesini hizmetin verilmesine ilişkin önkoşul olarak sunmasının hukuka aykırılığını da bir kez daha teyit etmiştir.

KVKK TARAFINDAN YAYINLANAN BANKACILIK SİSTEMİ VE EĞİTİM KURUMLARINA İLİŞKİN 2023 KARAR ÖZETLERİ İNCELEMESİ

BİR ÜNİVERSİTE BÜNYESİNDE ÇALIŞANLARIN ÖZLÜK BİLGİLERİNİN TÜM PERSONELLE PAYLAŞILMASI HAKKINDA 27/04/2023 TARİHLİ 2023/646 SAYILI KARAR ÖZETİ

Şikâyete konu olay: Fakülte dekanının imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin ve tüm öğretim üyelerinin birçok kişisel verisi fakültenin idari ve akademik personeliyle paylaşılmıştır. İlgili bu paylaşımın herhangi bir gerekçesi ya da açıklaması olmadığını iddia ederek Kanun kapsamında gereğinin yapılmasını talep etmiştir.

Veri sorumlusu, savunmasında ilgili kişinin izin kullanma tarihlerinin tüm diğer personelle birlikte belli, açık ve meşru amaçlar için işlendiğini, ilgili personelin konuyla alakalı gereken hassasiyeti göstermemesine dayanarak uyarı mahiyetinde verilerin paylaşıldığını belirtmiştir. Veri sorumlusu, bu gibi durumlarda rıza aranmandan verilerin işlenebileceğini ve hukuka aykırılık bulunmadığını vurgulamıştır.
Kurul, her ne kadar şikâyete konu paylaşımın uyarı amaçlı yapılmış olsa da somut olayda Kanun’un 5. Maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılamayacağı kanısına varmıştır. İlgili kişinin uyarılması amacıyla, verilerinin tüm personelle paylaşılmış olmasının gereklilik arz etmediğini belirtmiştir.

Kurul tarafından, açıklanan sebeple Kanun’un 18. Maddesi 3. Fıkrası gereğince ilgili veri sorumlusu personel hakkında disiplin hükümlerince işlem yapılması ve Kurul’a bilgi verilmesine karar verilmiştir.

Karar, daha önce uygulayıcılar tarafından defalarca belirtildiği üzere kişisel veri içeren toplu e-posta gönderimlerinin Kanun’daki istisnalar kapsamında değerlendirilemeyeceğini bir kez daha belirtmiş olması sebebi ile oldukça önemlidir. Toplu e-posta gönderimlerinde özellikle kişisel veri içeren bir içeriğin olmamasına dikkat edilmelidir.

BİR ÜNİVERSİTE TARAFINDAN İLGİLİ KİŞİLERİN KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN YER ALDIĞI BELGENİN E-POSTA EKİNDE ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI HAKKINDA 01/06/2023 TARİHLİ 2023/928 SAYILI KARAR ÖZETİ

Şikâyete konu olay: İlgili kişi, üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ekinde bulunan dosyada ilgili kişilere ve üçüncü kişilere ait şahsi telefon numaralarının, e-posta adreslerinin, adres bilgilerinin, HES kodlarının, aşı bilgilerinin risk durumu vb. kişisel ve özel nitelikteki verilerinin alenileştirilerek üçüncü kişilere aktarıldığı belirtmiş, Kanun’un 11. Maddesine dayanarak veri sorumlusuna işlenen verilerin kapsamına ilişkin sorular yöneltildiği ve imhasının talep edildiğini ve e-posta ekinin ilgililerden silindiğine dair geri bildirim alındığını eklemiştir. Ancak şikâyete konu e-posta gönderisinden önceki bir e-posta ekinde de ilgili kişilere ait kişisel verilerin alenileştirildiği vurgulanmıştır. İlgili kişi bu duruma dayanarak işlemin yanlışlıkla yapılmış olmasının mümkün olmadığını ve Kanun kapsamında gerekli işlemlerin yapılmasını talep ettiğini bildirmiştir.

Veri sorumlusu, savunmasında tıbbi güvenlik tedbirleri çerçevesinde aşı olmayan kişilerin PCR testi yaptırmasına yönelik e-posta gönderildiğini ve söz konusu verileri içeren dosyanın yanlışlıkla iletildiğini belirtmiştir. Ek olarak e-postada yer alan kişilerin personelin idari amiri konumunda olduğunu, üçüncü kişi konumunda olmadığını eklemiştir. İletilen dosyanın ise ilgililerden imha edildiğini vurgulamıştır.

Kurul, değerlendirmesi sonucunda (i) kişisel verileri barındıran dosyanın paylaşılmasının Kanun’da geçerli sayılan işleme şartlarına dayanmadığını, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek adına gerekli tedbirleri almak konusunda yeterli özeni göstermediğini belirtmiştir. Şikâyete konu veri işleme faaliyetinin veri ihlali niteliği taşıdığı ancak veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmadığının tespit edildiği, bu durumun Kanun’un 12’nci maddesinin beşinci fıkrasında düzenlenen Kurul’a bildirimde bulunma yükümlülüğüne aykırılık teşkil ettiği gerekçesiyle sorumlular hakkında disiplin hükümlerince işlem yapılarak Kurul’a bilgi verilmesine, (ii) gelecekte gerçekleşebilecek veri ihlalleri bakımından Kurul’a bildirim yapılması gerekliliğinin veri sorumlusuna hatırlatılmasına karar vermiştir.

BİR ÜNİVERSİTE TARAFINDAN, ÖĞRENCİSİ OLAN İLGİLİ KİŞİNİN ELEKTRONİK POSTA ADRESİNE GÜNLÜK ELEKTRONİK POSTALAR GÖNDERİLMESİ HAKKINDA 01/06/2023 TARİHLİ 2023/938 SAYILI KARAR ÖZETİ

Şikâyete konu olay: İlgili kişi, öğrencisi olduğu üniversite tarafından kendisinin e-posta adresine kendisiyle doğrudan alakası olmayan, ilgi alanına girmeyen günlük elektronik postalar gönderildiği ve üniversitesine bu e-postaları almak istemediğine dair birçok defa başvuruda bulunduğunu belirtmiştir. Buna rağmen üniversitenin kişisel verisi niteliğindeki e-posta adresini işlemeye ve listede tutmaya devam ettiğini vurgulayarak Kanun kapsamında gereğinin yapılmasını talep etmiştir.

Veri sorumlusu, savunmasında ilgili kişinin almak istemediği e-postaların günlük olarak sistem tarafından otomatik gönderildiğini ve akademik/idari duyuruların, etkinliklerin kişilerin öğretim hakkı ile doğrudan ilgili bildirimler içerdiği iletilmiştir. Ek olarak gönderilerin öğrencilere okul tarafından tahsis edilen e-posta adresine gönderildiği ve bu e-posta listelerinden çıkarılmaları halinde çeşitli risklerin meydana geleceği belirtilerek çıkarılma sürecinin iptal edilme nedenini açıklamıştır.

Kurul, incelemesi sonucunda üniversite tarafından ilgili öğrenciye farklı tarihlerde e-postalar gönderildiği tespit edilmiştir. Veri sorumlusunun savunmasında belirttiği kullanılan e-posta adresinin ilgili kişinin kurumsal üniversite e-posta adresi olmasının kişisel veri mahiyetinde bir fark yaratmadığı vurgulanmıştır. Bununla birlikte (i) veri sorumlusu tarafından gerçekleştirilen işleme faaliyetinin Kanun’un 5. Maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında değerlendirileceği, dolayısıyla Kanun kapsamında yapılacak işlem bulunmadığı, (ii) öğrencilere e-posta üzerinden yapılacak duyuruların aydınlatma metninin güncellenmesi ve Kurul’a konuyla ilişkin bilgi verilmesine karar vermiştir.

İLGİLİ KİŞİNİN BANKAYA İLETEİŞİM NUMARASI OLARAK BİLDİRMEDİĞİ TELEFON NUMARASININ KREDİ İŞLEMLERİ İLE İLGİLİ OLARAK BİLGİLENDİRME YAPILMASI SURETİYLE İŞLENMESİ HAKKINDA 01/06/2023 TARİHLİ 2023/932 SAYILI KARAR ÖZETİ

Şikâyete konu olay: İlgili kişi cep telefonu numarası ile çevrimiçi olarak müşterisi olduğu bankaya bireysel kredi başvurusunda bulunduğunu, karşılığında hem bankaya iletmiş olduğu cep telefonu numarasına hem de banka ile paylaşmadığı telefon numarasına kredi başvurusuna ilişkin farklı kısa mesajlar iletildiğini belirtmiştir. Veri sorumlusuna olan başvurusu sonucunda şikâyete konu numaranın Kredi Kayıt Bürosu (“KKB”) üzerinden alındığını öğrenmiştir. Anca ilgili kişi kendi araştırması sonucunda KKB sisteminde de banka ile paylaştığının numaranın yer aldığını, şikâyete konu numaranın orada da mevcut olmadığını fark etmiştir. Bu sebeplere dayanarak Kanun kapsamında gereğinin yapılmasını talep etmiştir.

Veri sorumlusu, savunmasında bankanın KKB’ye kayıtlı bir üye olduğunu ve risk yönetimi açısından üye kurumların müşterilerine ilişkin bilgileri sınırlı amaçlarla paylaştığını belirtmiştir. KKB kayıtlarında, ilgili kişinin belirttiğinden farklı bir numaranın tespit edildiğini ve bu durumunun bir güvenlik tehdidi, dolandırıcılık ihtimali olarak algılandığını, bu sebeple bir kısa mesaj iletildiğini beyan ederek amacın güvenliği korumak olduğunu vurgulamıştır.

Kurul, incelemesi sonucu banka tarafından yapılan işlemin hem bankanın hem de ilgili kişinin güvenliğini sağlamak amacıyla yapıldığını ve Kanun’un 5. Maddesinin (2) numaralı fıkranın (a) ve (ç) hükümlerine dayandığını tespit etmiştir. Bu sebeple veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, ilgili kişiye KKB kayıtlarında güncelleme yapılmasına ilişkin taleplerini KKB nezdinde ileri sürmesi gerektiğinin hatırlatılmasına karar vermiştir.

KVKK TARAFINDAN YAYINLANAN BANKACILIK SİSTEMİ VE EĞİTİM KURUMLARINA İLİŞKİN 2023 KARAR ÖZETLERİ İNCELEMESİ

VERİ SORUMLUSU BANKANIN MÜŞTERİ TEMSİLCİSİ İLE İLGİLİ KİŞİ ARASINDA GERÇEKLEŞTİRİLEN GÖRÜŞMEYE İLİŞKİN SES KAYDI DÖKÜMÜNÜN İLGİLİ KİŞİYE SAĞLANMASI YÖNÜNDEKİ TALEBİ YERİNE GETİRMEMESİ HAKKINDA 15/06/2023 TARİHLİ 2023/1050 SAYILI KARAR ÖZETİ

Şikâyete konu olay: İlgili kişi, veri sorumlusu bankanın müşteri hizmetleri ile yaptığı görüşmede sanal kartının kopyalandığını ve tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrenmiştir. Bu sebeple bankanın işlemine neden olan veri kopyalanmasının nasıl tespit edildiğine ve hangi verilerinin kopyalandığına dair bilgi edinmeyi talep etmiştir. Banka tarafından başvurusu yanıtsız bırakılmıştır. İkinci başvurusunda verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisiyle yaptığı görüşmenin ses kaydını talep etmiştir. İkinci talebi de yanıtsız kalan ilgili kişi ses kayıt dökümünün tarafına sağlanmasını talep etmiştir.

Veri sorumlusu, savunmasında ilk başvuru üzerine gerçekleştirilen detaylı araştırmalar sonucunda herhangi bir kopyalanmanın yaşanmadığının tespit edildiğini bu nedenle yazılı bir bildirim de yapılmadığını belirtmiştir. İlgili kişinin ikinci başvurusuna istinaden kapsamlı bir e-posta ile açıklama yapıldığını ancak ses kayıt dökümünün 5411 sayılı Bankacılık Kanunu kapsamında “sır saklama yükümlülüğü” uyarınca ilgili kişi ile paylaşılmasının mümkün olmadığını beyan etmiştir.

Kurul, incelemesi sonucunda bankanın ilk başvuruya yanıt vermediği, ikinci başvuruya ise Kanun’da belirtilen 30 günlük süre tamamlandıktan sonra cevap verildiğini tespit etmiştir. Bu nedenle (i) bankaya, ilgili kişilerce yapılan başvuruların Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi uyarınca etkin, hukuka uygun ve dürüstlük kuralına uygun şekilde, gerekçe göstererek ve süresi içinde sonuçlandırılması gerektiğinin veri sorumlusu Banka’ya hatırlatılmasına, (ii) ses kayıt dokümanının Kanun’un 11. Maddesinin (1) numaralı fıkrasının (b) hükmüne istinaden gerekli güvenlik önlemleri alınarak ilgili kişiye iletilmesine ve kurula bilgi verilmesine dair karar vermiştir.

BANKA MOBİL UYGULAMASINDA DİJİTAL PAROLA BELİRLERKEN YÜZ VERİSİNİN İŞLENMESİ SURETİYLE KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA 03/08/2023 TARİHLİ 2023/1310 SAYILI KARAR ÖZETİ

Şikâyete konu olay: İlgili kişi, müşterisi olduğu bankanın, mobil bankacılık sistemi üzerinden unuttuğu kurumsal hesap şifresini sıfırlamak istemiştir. Ancak kurumsal parola belirleme alanına girdikten sonra T.C. kimlik kartının veya kredi/banka kartının hazır edilmesinin talep edildiği, T.C. kimlik numarası ile devam edildiğinde ise T.C. kimlik kartı ile dijital parola üretmenin tek seçenek olarak geldiği, kurumsal hesaba giriş yapılırken dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı, onay verilmediği durumda ise hizmetten faydalanılamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu, savunmasında ilgili kişinin başvurusu esnasında sistem entegrasyon çalışmalarının devam etmekte olduğunu ve ilgili kişinin de bu hususta bilgilendirildiğini belirtmiştir. 02/12/2022 tarihinde ise kurumsal müşterilere de yüz verisi işlenmeksizin kredi/banka kartı seçeneği ile dijital parola oluşturma imkânı sağlandığını eklemiştir. Aynı şekilde öncesinde de yüz verisinin işlenmesinin istenilmediği durumlarda bankanın şube veya telefon bankacılığı kanallarından işlemi gerçekleştirmelerinin mümkün olduğu belirtilmiştir. Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik kapsamında elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin verilerin gizliliğini sağlayacak önlemleri sağlayacak nitelikte olması gerektiği vurgulanmıştır. Bu doğrultuda iki bileşenin müşterinin “bildiği, sahip olduğu, biyometrik karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçildiği ve açık rıza alınması halinde işlendiğini de beyan etmiştir.

Kurul, şikâyete konu olayın yaşandığı tarihte mobil bankacılık aracılığıyla dijital parola oluşturulmasında yüz verilerinin işlenmesinin zorunlu olduğu ancak banka şubesi ve telefon bankacılığı aracılığıyla da işlemin gerçekleştirilebileceği, dolayısıyla hizmetin şarta bağlandığı iddiasının yersiz olduğunu tespit etmiştir. Bu sebeple kanun kapsamında yapılabilecek herhangi bir işlem bulunmadığını belirtmiştir. Ancak yine de veri sorumlusunun hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetleri kapsamında müşterilerin yanlış anlamasına sebebiyet verecek süreçlerden kaçınması hakkında gereken özeni göstermesi adına uyarılmasına karar vermiştir.

İLGİLİ KİŞİNİN KİŞİSEL VERİLERİNİN BİR BANKA TARAFINDAN KREDİ KAYIT BÜROSU AŞ’YE AKTARILMASI HAKKINDA 31/08/2023 TARİHLİ 2023/1509 SAYILI KARAR ÖZETİ

Şikâyete konu olay: İlgili kişi, kişisel verilerinin KKB’ye aktarılması konusunda veri sorumlusu bankaya başvurduğunu ve kişisel verilerinin aktarılmasını kabul etmediğini, bu konudaki açık rızasını geri çekme talebinde bulunduğunu belirtmiştir. İlgili kişi, başvurusunun reddedilmesine ilişkin kanun kapsamında gereğinin yapılmasını talep etmiştir.

Veri sorumlusu, savunmasında ilgili kişilere ait çeşitli sorguların gerçekleştirilebilmesi için Kredi Kayıt Bürosu’na (KKB) ad, soyad ve T.C. kimlik numarası gibi bilgilerin paylaşıldığını, ilgili kişinin mobil bankacılık aracılığıyla yaptığı başvuru üzerine KKB tarafından otomatik olarak sorguların yapıldığını ifade etmiştir. Bu bilgilerin otomatik olarak KKB’ye aktarıldığını belirtmiş, KKB’nin kredi ve finansal kuruluşlar arasında bilgi alışverişi sağlamak amacıyla dokuz banka tarafından kurulduğunu vurgulamıştır. Ayrıca, müşterilerin kredi talepleri çerçevesinde KKB ile bilgi paylaşımı yapıldığı, bu paylaşımın ilgili kanun maddeleri doğrultusunda değerlendirileceği ifade edilmiştir. Savunmada, KKB ile yapılan bilgi paylaşımının sır niteliğindeki bilgilerin paylaşılmasıyla ilgili düzenlemelerden istisna tutulduğu belirtilmiş, bu nedenle ilgili kişiden açık rıza alınmasının gerekli olmadığı ifade edilmiştir. Açık rızanın geri çekilme talebinin yasal düzenlemeler nedeniyle olumlu karşılanmadığı belirtilmiştir.

Kurul, işleme faaliyetinin Kanun’un 5. Maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentlerinde mevcut işleme şartlarına uygun olduğunu dolayısıyla Kanun kapsamında yapılacak bir işlem bulunmadığına ancak veri sorumlusuna Kanun kapsamında reddedilecek başvurulara dair gerekçelerin açıklanması gerektiğinin hatırlatılmasına karar vermiştir.