İlgili kişinin Kuruma intikal eden şikayetinde özetle; müşterisi olduğu bankanın, kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.
Söz konusu şikâyeti takip eden süreçte ilgili kişinin Kuruma intikal eden ek dilekçesinde ise özetle; veri sorumlusu bankanın kendisine ait aynı kredi kartının ekstresini, kendisine ait olmayan bir e-posta adresine tekrar göndererek şahsına ait bilgileri tekrar üçüncü kişilerle paylaştığı, kendisinin Kuruma göndermiş olduğu dilekçe aracılığıyla veri sorumlusundan şikâyetçi olduğu belirtilerek veri sorumlusu hakkında Kanun çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin talebine istinaden tarafına kredi kartı tahsis edildiği, müşterinin ayrıca “…. Adi Ortaklığı” firma unvanı ile firma ortağı olarak veri sorumlusunun ticari müşterisi olduğu, şikâyet yazısında üçüncü bir kişinin e-postası olarak ifade edilen y…@gmail.com e-posta adresinin, aynı zamanda veri sorumlusunun kayıtlarında müşterinin ortağı olduğu firmanın iletişim adresi olduğu, firmanın talimatı doğrultusunda firmaya ve ortaklarına tahsis edilen ticari kredi kartlarının ekstrelerinin söz konusu e-posta adresine gönderilmekte olduğu,
- Mevcut durumda ilgili kişinin kredi kartı ekstrelerinin veri sorumlusu nezdinde kayıtlı h…@gmail.com e-posta adresine gönderilmekte olduğu, ilgili kişinin şikâyetinde belirttiği kredi kartı ekstresinin, y…@gmail.com e-posta adresine gönderilmesine ilişkin yapılan inceleme sonucunda; ilgili şube personelleri tarafından, başvuru sahibinin ortağı olduğu firma ve kendi adına düzenlenen ticari kredi kartlar için e-ekstre gönderimine yönelik tanımlamalar yapılırken, sehven müşterinin bireysel ürünü olan kredi kartı ekstresi için de e-ekstre talimatının güncellendiğinin belirlendiği, bu nedenle e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderildiği, başvuru sahibinin şube aracılığıyla ulaşan talebi doğrultusunda e-posta adresinin güncelleme işleminin yapıldığı ve kendisinin sonraki dönemlere ait kredi kartı ekstrelerinin h…@gmail.com e-posta adresine yönlendirildiği,
- İlgili kişinin şikâyet başvurularının veri sorumlusu tarafından işleme alındığı ve ilgili birime yönlendirildiği, e-posta adres değişikliğinin ne şekilde yapıldığının belirlenmesinden sonra, ilgili kişinin şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiği, ancak e-posta güncelleme işleminin sehven atlandığının anlaşıldığı, şube tarafından e-ekstre gönderiminin h…@gmail.com e-posta adresine yapılması yönünde oluşturulan talep doğrultusunda gerekli güncellemenin yapıldığı ve başvuru sahibinin e-posta adresine ekstrenin gönderileceğine ilişkin bilgilendirmenin yapıldığının belirlendiği,
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Kararı ile;
- Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi olarak tanımlandığı,
- Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve buna göre kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu,
- Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise belirtilen şartlardan kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
- İlgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesinin zorunluluk arz ettiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının önem arz ettiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olmasının şart olduğu, açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanamayacağı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
- Kanunun “kişisel verilerin işlenmesi” başlıklı 5 inci maddesi ve “kişisel verilerin aktarılması” başlıklı 8 inci maddesi hükümleri çerçevesinde; tarafların Kuruma iletmiş oldukları yazılarında yer alan beyanları incelendiğinde; veri sorumlusunun, ilgili kişinin kendisine ait olan kredi kartı ekstresini kendisine ait olmayan bir mail adresine (y…@gmail.com) göndermek suretiyle ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına aksi yönde bir beyanının olmadığı, şube personellerinin sehven başvuru sahibinin bireysel ürünü olan kredi kartı ekstresinin, başvuru sahibinin e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderilmesi yönünde talimatlandırma yaptığının ifade edildiğinin görüldüğü, şikâyete konu olayda veri sorumlusunun ilgili kişinin kredi kartı ekstresinde yer alan kişisel verilerini, kendisine ait olmayan bir e-posta adresine göndermek suretiyle Kanunun 5 inci maddesinde düzenlenen kişisel veri işleme şartlarından biri bulunmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle Kanunun 8 inci madde hükmüne aykırı bir kişisel veri aktarımı gerçekleştirdiği sonucuna varıldığı,
- Ayrıca ilgili kişinin, veri sorumlusunun Genel Müdürlüğüne konuya ilişkin hem e-posta hem de dilekçe aracılığıyla başvuruda bulunduğunu, ancak belirtilen tarihin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığını iddia ettiği, veri sorumlusunun, başvuru sahibinin, şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiğini ifade ettiği görülmekle beraber bu noktada Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin üçüncü fıkrasında yer alan; “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” hükmünden hareketle, ilgili kişinin, veri sorumlusu Banka tarafından telefonla aranmak suretiyle bilgilendirilmesinin Kanunun ilgili hükmü kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığı
değerlendirmelerinden hareketle;
- Veri sorumlusunun, ilgili kişinin şikâyet talebine yönelik cevabını, başvuru sahibini telefonla aramak suretiyle bildirmesinin Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin üçüncü fıkrası kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığına, bu kapsamda Kanunun 15 inci maddesinin beşinci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca da ilgili kişilerin başvurularının değerlendirilmesi ve yanıtlanmasında Kanun 13 üncü maddesi ve ilgili Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ hükümlerine azami dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusu Bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki kişisel verilerini, Kanunda saylan işleme şartları olmaksızın bireysel mail adresi yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek suretiyle Kanunun 8 inci maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş olduğu ve bu yönüyle veri sorumlusu Bankanın Kanunun 12 nci maddesinin birinci fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca hakkında 60.000 TL idari para cezası uygulanmasına karar verilmiştir.