Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu, ilgili kişinin veri sorumlusu nezdindeki son işleminin de bu tarih olduğu, ilgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, ilgili kişinin bu kapsamda yaptığı başvurunun veri sorumlusuna tebliğ edildiği, ancak veri sorumlusu tarafından ilgili kişiye cevabın mevzuatta belirlenen süre sonrasında iletildiği, veri sorumlusu tarafından verilen cevabın yetersiz olduğu, ilgili kişiye verilen cevapta kişisel verilerin yurt dışına aktarılabildiği hususuna yer verildiği, ancak bu konuda ilgili kişinin açık rıza vermediği ve veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesi kapsamında yurt dışına veri aktarım istisnalarından yararlanıldığına dair herhangi bir bilgiye de yer verilmediği, veri sorumlusu ile ilgili kişi arasında 2003 yılında kurulmuş olan sözleşmesel ilişkinin sona ermiş olmasına rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmemesinin ve ilgili kişiye ait bilgilerin 10 sene daha saklanmasının açıkça mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;
- İlgili kişinin kendilerine tebliğ edilen başvurusuna verilen cevabın sehven ilgili kişiye 2 gün gecikmeli olarak gönderildiği, yapılan bu hatayla ilgili veri sorumlusu bünyesinde gerekli tedbirlerin alındığı,
- İlgili kişinin veri sorumlusu nezdindeki müşteri numarasının 2003 yılında oluşturulduğu, bu yıl ilk kredi kartı girişinin yapıldığı, bu çerçevede ilgili kişi ile veri sorumlusu arasında 18/11/2003 tarihli Kredi Kartı Başvuru Formu ve Bankacılık İşlemleri Sözleşmesinin ve 14/11/2011 tarihli Bilgi Güncelleme, Kimlik Adres Tespit Tutanağı ve Bankacılık İşlemleri Sözleşmesinin mevcut olduğu,
- Veri sorumlusu nezdinde ilgili kişiye ait herhangi bir açık hesap ya da ürünün bulunmadığı, ilgili kişiye müşteri ilişkisi çerçevesinde hizmet sağlanamıyor olsa da 5411 sayılı Bankacılık Kanunu kapsamında yükümlülüklerinin halen devam ediyor olması sebebiyle ilgili kişinin bilgilerinin veri sorumlusunun veri tabanında saklandığı,
- 08/11/2019 tarihinde Gelir İdaresi Başkanlığının bildirimine istinaden ilgili kişinin veri sorumlusunda hak ve alacağının olmaması nedeniyle e-haciz uygulanamamış olduğu, aynı gün yine kurumdan gelen iptal bilgisine istinaden kayıtlara geçen haciz bilgisi iptal işleminin veri sorumlusu sisteminde kayıtlı bulunan cep telefonuna “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde yasal bilgilendirme içeren SMS’in gönderildiği,
- Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna istinaden 01/05/2015 tarihinden itibaren iletişim izni olmayan müşterilere pazarlama, temenni, kutlama içerikli elektronik iletilerin gönderilmemesi gerektiği, ayrıca Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliğinin 6 ncı maddesinin (2) numaralı fıkrası uyarınca iletilerin yasal bilgilendirme içermesi halinde bu konuda iletişim izni bulunmasına gerek olmadığı,
- Veri sorumlusu nezdinde, vergi dairelerinden dosya borçlusu kişiler aleyhine/adına gelen haciz bildirimleri için birbirini tetikleyen bir sürecin mevcut olduğu, bu süreçte bahse konu müşterilere konu hakkında bilgilendirme mesajlarının gönderilmesinin de yer aldığı, bu mesajların yasal bilgilendirme içeriyor olması sebebiyle de otomatik tetiklenen bilgilendirme SMS’lerinde müşterinin iletişim izni durumuna bakılmadığı,
- 5411 sayılı Bankacılık Kanununun “Belgelerin Saklanması” başlıklı 42 nci maddesi gereğince müşterilerin banka nezdinde yaptığı işlemlere ilişkin belgelerin, son işlem/talimat tarihinden itibaren 10 yıl süreyle saklandığı, 10 yıl hareketsiz kalan hesapların banka sistemlerinde taranarak 6 ayda bir periyodik silme işlemine tabi tutulduğu, bunun yanı sıra hesaba bağlı olmaksızın müşterilerden gelen talepler için de son işlem tarihinden itibaren 10 yıl geçmesi akabinde veri sorumlusu nezdindeki verilerin silindiği,
- İlgili kişinin veri sorumlusu nezdindeki son işleminin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu, 16/12/2019 tarihinde ise daha önce izni bulunan kampanya bilgilendirmesine yönelik iznini iptal ettiği,
- Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunluluk halinin devam ettiği, diğer bir ifadeyle Kanunun 5 inci ve 6 ncı maddelerinde sayılan işleme şartlarının tamamen ortadan kalkmamış olması sebebiyle ilgili kişiye ait verilerin ancak veri sorumlusu nezdindeki son işlem tarihinden itibaren 10 yıl sonra silinebileceği,
- İlgili kişinin verilerinin Kanunun 9 uncu maddesinde yer alan ve açık rıza gerektiren haller kapsamında yurt dışına aktarılmadığı,
- Veri sorumlusu nezdinde işlenen kişisel verilerin Kanunun 12 nci maddesi kapsamında güvenlik düzeyini sağlamaya yönelik idari ve teknik tedbirlerin alındığı,
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/358 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında ise, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümlerinin yer aldığı,
- Öte yandan Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesi gereğince herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğu,
- Somut olayda, ilgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,
- İlgili kişinin veri sorumlusuna yaptığı başvurunun veri sorumlusu tarafından Kanunda ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde (Tebliğ) öngörülen süre içerisinde cevaplanmadığı,
- İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin tevsik edici herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,
- Veri sorumlusu tarafından ilgili kişiye “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde olan iletinin gönderilmesi suretiyle kişinin telefon numarasının Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,
- İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,
- İlgili kişinin kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunulmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin Kanun kapsamında yaptığı başvurusuna, kendisine ulaşmasına rağmen 30 günlük yasal süre geçtikten sonra cevap vermesi sebebiyle veri sorumlusunun Kanunun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
- Veri sorumlusu tarafından söz konusu iletinin gönderilmesi suretiyle ilgili kişinin kişisel verisi olan cep telefonu numarasının işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayandığı, öte yandan ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
- İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
- İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.