II. Tarafların İddia ve Beyanlarının Özeti

06.08.2020 tarihli şikayet dilekçesinde özetle;

– 11.03.2020 tarihinde, Sosyal Güvenlik Kurumu Başkanlığı tarafından kendisine bağlanan ve başka bir bankadan aldığı yetim aylığını, şubesine taşımak üzere banka ile arasında sözleşme akdedildiği,

– Sözleşmenin kurulması ve ifası amacıyla güncel olarak kullandığı telefon numarasının da aralarında bulunduğu kişisel verilerinin banka ile paylaşıldığı,

– Sözleşmenin kurulduğu esnada, banka yetkililerince eski telefon numarasının kendisi tarafından halen kullanılıp kullanılmadığının sorulduğu, bu numaranın 2002 yılında banka aracılığıyla gerçekleştirilen para transferi için bir defaya mahsus açılan bir hesapta kullanıldığı, bu tarihten itibaren banka ile herhangi bir müşteri ilişkisine girmediği ve söz konusu hesabını da kapattığı,

– Bahsi geçen eski telefon numarasının kendisi ile hiçbir ilgisi ve yakınlığı bulunmayan üçüncü bir kişi tarafından kullanıldığı, bu numaranın kendisi tarafından kullanılmadığı ve kayıtlardan silinmesi gerektiğine ilişkin bankaya açık ve sözlü olarak bildirimde bulunduğu,

– Yapmış olduğu bilgilendirmeye rağmen güncel telefon numarasına, bahsi geçen eski telefon numarasının banka sistemlerine kayıt edildiğine dair kısa mesaj (SMS) gönderildiği, sonrasında bahsi geçen ve kendisiyle ilişkilendirilemeyecek olan telefon numarasına, adına yürütülen bankacılık işlemlerine ilişkin bilgi içeren çok sayıda SMS gönderildiği, adına çıkarılan banka ve kredi kartlarının son dört haneleri, kartları teslim alan kızının adı ve teslim aldığı bilgisi dahil pek çok bilginin üçüncü bir kişi tarafından kullanılan telefon numarasına iletildiği,

– 12.06.2020 tarihinde, bahsi geçen telefon numarasının sahibi olan üçüncü kişinin bankanın ilettiği mesajlarda yer alan kişisel verilerinden yola çıkarak kendisine ulaşarak durumdan haberdar ettiği,

– Aynı tarihte, bankanın (…) şubesine giderek tüm dava ve yasal hakları saklı kalmak kaydıyla hukuka aykırı işlenen verilerinin düzeltilmesi ve yanlışlığın giderilmesini talep eden bir dilekçe ile bankaya başvuruda bulunduğu,

– Bankanı veri sorumlusu olarak Kişisel Verilerin Korunması Kanununun (Kanun) 12’nci maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldugu,

– Durumun banka ile paylaşılan kişisel verilerinin Kişisel Verilerin Korunması Kanunu’nun öngördüğü şekilde doğru ve güncel olarak işlenmediğini gösterdiği, ısrarla yaptığı bildirim ve uyarılara rağmen telefon numarasının doğru işlenmemesinin hukuka ve dürüstlük kurallarına aykırı veri işlenmesini de gündeme getirdiği,

– Yıllar önce banka ile müşteri ilişkisini kesmesine rağmen eski numarasının halen banka kayıtlarında yer almasının Kişisel Verilerin Korunması Kanununun 4’üncü maddesinde belirtilen doğru ve gerektiğinde güncel olma ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme hususlarını da karşılamadığı, bunun da yine bir başka hukuka aykırılık hali olduğu,

– Ayrıca, somut olayda kişisel verilerinin hukuka aykırı olarak aktarıldığı, kişisel verilerin ancak ilgili kişinin açık rızası veya Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinde sayılan hukuka uygunluk nedenlerinden birinin varlığı halinde bir başka kişiye aktarılabileceği, somut olayda bu hukuka uygunluk nedenlerinden hiç birinin bulunmadığı ve bir bütün olarak bankanın kişisel verilerin korunması mevzuatına aykırı pek çok faaliyet yürüttüğü,

– Tamamen yabancı bir üçüncü kişiye gönderilen kişisel verilerin kötü niyetli kişiler elinde ekonomik mahvına yol açabileceği, bankanın somut olayda basiretli bir tacirden beklenecek gerekli özen ve dikkati göstermediği,

– Kişisel Verilerin Korunması Kanununun 11’inci maddesinin (ğ) bendi uyarınca bankadan tazminat talebinde bulunduğu,

– Buna ilişkin 26.06.2020 yazılı başvuruda bulunduğu ve başvurusunun mesaj numarası ile kayıt edildiği, başvurusunun 06.07.2020 tarihinde sonuçlandırıldığına ilişkin olarak 17.07.2020 tarihinde kendisine kısa mesaj gönderildiği ancak başvurusunun olumlu veya olumsuz sonucuyla ilgili herhangi bir bilgi verilmediği,

– Bunun üzerine 24.07.2020 tarihinde tekrar Sorgulama yaptığı ancak başvurusunun sonuçlandırıldığı bildirilerek yine sonuç hakkında bir bilgi verilmediği, 04.08.2020 tarihinde bankanızın resmi internet sitesi üzerinden referans numaralı iletişim formunu oluşturarak başvurusunun sonucu ile ilgili derhal bilgi verilmesini aksi yasal yollara başvuracağını bildirdiği,

– 06.08.2020 tarihinde, bankanın müşteri hizmetleri tarafından aranarak kişisel verilerine ilişkin yanlış hususların düzeltildiği ve tazminat talebinin reddedildiğini bildirildiği, 06.07.2020 tarihinde buna ilişkin yazılı cevabın gönderildiğinin ifade edildiği ancak bahsi geçen yazıluı cevabın tarafında kesinlikle tebliğ edilmediği, cevabın hangi posta şirketi ile gönderildiği ve posta referans numarasını öğrenme talebinin de yanıtsız bırakıldığı, cevabın e-posta ile gönderilmesi talebinin de gerçekleştirilmediği,

– Bankanın kişisel verilerini açıkça kişisel verilerin korunması mevzuatına aykırı şekilde işlediği ve mağduriyetin tartışmasız olduğu, bankanın süreci kötü niyetle uzatarak basiretli bir tacir gibi davranmadığı,
belirtilerek, kişisel verilerin hukuka aykırı olarak işlenmesi ve ilgisiz üçüncü kişilere aktarılması sonucu uğradığı manevi zarara karşılık kendisine manevi tazminat ödenmesine karar verilmesi, 11.03.2020 tarihinde doğru ve güncel olarak bildirdiği telefon numarasının hukuka uygun şekilde doğru ve güncel olarak işlenmiş veya aktarılmış ise hangi amaçla hangi gerçek ve tüzel kişilere aktarıldığının tarafına yazılı şekilde bildirilmek üzere bankanın talimatlandırılması ve kişisel verilerinin hukuka ve mevzuata aykırı şekilde işlenmesi nedeniyle banka hakkında idari yaptırım uygulanması talep edilmektedir.
Bu doğrultuda, konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) inceleme başlatarak, veri sorumlusu sıfatını haiz Şirket’i muhatap Kurum yazısı ile yürütülen inceleme hakkında haberdar edilmiştir. Söz konusu yazı ile Şirkete; Kanun’un “Tanımlar” başlıklı 3’üncü maddesi, “Genel İlkeler”i sayan 4’üncü maddesi, “Kişisel verilerin işlenme şartları”nı düzenleyen 5’inci maddesi, “İlgili kişinin hakları”ını sıralayan 11’inci maddesi, “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’inci maddesi, “Veri sorumlusuna başvuru” başlığını haiz 13’üncü maddesi ile birlikte “Kurula şikayet” hakkındaki 14’üncü maddesi ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümleri hatırlatılmış olup ilgili kişinin başvurusunda yer alan iddialar başta olmak üzere:

– Banka ve ilgili kişi arasında sözleşme ilişkisinin kurulduğu 11.03.2020 tarihinde, ilgili kişi tarafından doğru ve güncel olarak kullanılmakta olduğu telefon numarasını iletişim numarası olarak bildirmesine ve eski telefon numarasını artık kullanmadığını açık ve sözlü olarak ifade etmesine rağmen banka tarafından güncel olmayan telefon numarasına neden kısa mesaj gönderimi yapıldığı, bunun için yasal bir gerekçe bulunup bulunmadığı,
– İlgili kişinin 2002 yılında açtırdığı ancak daha sonra kapattırdığını beyan ettiği hesabı için bankaya bildirdiği kişisel verilerden olan güncel olmayan telefon numarasının yeni açılan hesap için kullanılması konusunda hangi yasal gerekçeye dayanıldığı,
– Müşteri bilgilerinin muhafaza edilmesine ilişkin bankacılık mevzuatında öngörülen yasal sürelerin ne kadar olduğu,
– Bankaca kişisel veri işleme faaliyetlerinde Kanunun 4’üncü maddesinde sayılan genel ilkelere uygun hareket edilip edilmediği, bu madde kapsamında ne tür idari ve teknik tedbirler alındığı,
– Eski telefon numarasına iletilen mesaj içeriklerinin neler olduğu, ilgili kişiye ait hangi veri kategorilerindeki bilgilerin üçüncü kişiye iletildiği,
– İletim yapıldı ise paylaşılan kişisel verilerin üçüncü kişi nezdinde silinmesi veya yok edilmesinin sağlanıp sağlanmadığı ve buna ilişkin bir teyit alınıp alınmadığı, alındı ise ne tür bir teyit alındığı,
– Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında ilgili kişinin kişisel verilerinin bukuka aykırı işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik alınan teknik ve idari tedbirlerin neler olduğu,
– İlgili kişinin başvurusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ in 6’ncı maddesi uyarınca yazılı olarak veya elektronik ortamda cevap verilerek en geç otuz günlük yasal süre içerisinde sonuçlandırılıp sonuçlandırılmadığı (sonuçlandırıldı ise tevsik edici belgelerin Kuruma sunulması),
– Bahse konu olay özelinde 6698 sayılı Kanun’un 12’nci maddesinin 5 numaralı fıkrası kapsamında Banka tarafından Kuruma veri ihlal bildiriminde bulunulup bulunulmadığı,

hususlarına ilişkin olarak Kurumumuza bilgi verilmesi talep edilmiştir.

Veri sorumlusunun Kurum kayıtlarına intikal eden cevabi yazısında özetle;

– İlgili Kişinin, şikayetinde belirttiği ve kendisine ait olmadığını beyan ettiği telefon numarasının Banka sistemine ilk olarak kendi talebi ile 22.11.2006 tarihinde eklendiği ve bankacılık iş ve işlemlerinin yürütülmesinde ve iletişim maksadı ile kullanıldığı 11.3.2020 tarihinde ise İlgili Kişi tarafından Banka sistemindeki telefon numarasının kaydı için yeni kullandığını beyan ettiği telefon numarasının Banka sistemine kayıt edildiği,
– İlgili Kişinin eski telefon numarasının Banka kayıtlarından silinmesine yönelik yazılı bir talep ve talimatının Banka kayıtlarında bulunmadığı, aynca Banka sisteminde bahsi geçen eski telefon numarasının başka herhangi bir müşteri bilgileri altında kayıtlı olmadığı,
– Banka ile şikayetçi İlgili Kişi arasındaki ürün ve hesap ilişkisi devam ettiğinden ve Banka ile İlgili Kişi arasındaki ilişki sadece hesap ilişkisi üzerinden olmadığından, mevduat hesabı haricinde de Banka müşterilerine 5411 sayılı Bankacılık Kanunu’nun 4’üncü maddesinde sayılan faaliyet alanları üzerinden ürün ve hizmet sunulabildiğinden, mevcut iş ilişkisi kapsamında iletişim numaralarının kullanılabildiği,
– 6102 sayılı Türk Ticaret Kanunu’nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumunun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına ilişkin Usul ve Esaslar Hakkında Yönetmeliğin 17’nci maddesi gereğince, bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlü oldukları, müşterilerinin ürün ve hesapları halen açık ve aktif konumda olduğu sürece yasal saklama süresinin de dolmadığı, bu hususta daha önce Kurumun 28.1.2019 tarihli ve 19462324-105.01.01-3724 sayılı kararı ile yasal saklama sürelerinin uygulanmasına yönelik Banka uygulamasının uygun görüldüğü,
– Cep telefonlarının sisteme kayıt edilmesinde mutlaka müşteriden yazılı talimat veya dijital onay alınmakta olduğu, yazılı bir talimat veya dijital onaylı talimat olmaksızın Banka bilgi sistemine herhangi bir kayıt gerçekleştirilemediği, telefon numarasının gerçekten müşteriye ait olduğunun teyidine yönelik operatör sorgusu ile doğrulama yapılmakta olduğu eğer operatör sorgulamasından doğrulanamayan bir cep telefonu olursa cep telefonunun kaydı için müşteriden alınan talimatın iki ayrı Banka personeli kullanıcı tarafından onaylandığı,
– Gerek Kanun’un 4’üncü maddesindeki genel ilkelere uyum gerek Bankanın veri kalitesinin güncel ve doğru tutulmasını sağlamak adına dönem dönem iletişim bilgilerinin doğruluğuna yönelik çalışmalar gerçekleştirildigi, Bankaca bu çalışmalar kapsamında kullanılan yazılımlarla, yazılım dahilindeki kurallara istinaden müşterilerin cep telefonu, e-posta adresi gibi belirli verilerinin kalitesinin belirlendiği, belirlenen kalite durumlarına göre ilgili verinin geçerli olup olmadığının saptandığı ve geçersiz olduğundan emin olunan e posta adresleri veya telefon bilgilerinin Banka bilgi sisteminden silindiği,
– Kalite kurallarının e-posta adresinde @ işaretinin olması, e-posta adresinde Türkçe karakter bulunmaması gibi olduğu, yazılım ölçümlemelerinin aylık olarak yapıldığı, 6 ay ve daha kısa aralıklarla Banka bilgi sisteminde biriken veri üzerinden stok temizliği gerçekleştirildiği,
– Müşterilere ait kişisel verilerin korunması için de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde belirtilen uygun güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirlerin de alınmakta olduğu, alınan idari ve teknik tedbirlere ilişkin detaylı açıklamalara cevabi yazılarının ekinde yer aldığı. Bankanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum sürecinde çok hassas, titiz ve özenli davrandığı,
– İlgili Kişiye talebine istinaden yasal süresi dahilinde 06.07.2020 tarihinde cevap verildiği, cevabın İlgili Kişinin Banka nezdinde kayıtlı olan adresine yazılı olarak iletildiği,
– Detaylı inceleme ile veri ihlali gerçekleştirildiğine dair kanaate varıldığı, araştırmanın sonuçlanmasıyla Kuruma veri ihlali bildiriminde bulunulacağı

hususları ifade edilmiştir.

Veri sorumlusu, şikayet konusu olaya ilişkin Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığına intikal eden yazısı ile veri ihlal bildiriminde bulunmuştur. Kurulun (…) sayılı kararı ile

İhlalden etkilenen kişisel verinin iletişim verisi olduğu,

İhlalden 1 müşterinin etkilendiği,

İlgili kişinin ihlalden haberdar olup, ihlali veri sorumlusuna kendisinin bildirmiş olduğu

İhlalden etkilenen kişisel veriler açısından ilgili kişi açısından olumsuz sonuç doğurma riskinin düşük olduğu

Ihlale sebebiyet veren çalışan hakkında Banka Teftiş Kurulu tarafından idari soruşturma süreci başlanıldığı,

İhlal ile ilgili olan çalışanların aldığı eğitimlere ilişkin bilgilerin en kısa sürede Kurumunuza iletileceğinin belirtildiği.

hususları dikkate alındığında; konu hakkında bu aşamada Kanunun 12 nci maddesi kapsamında yapılacak bir işlem olmadığına, öte yandan veri sorumlusunun bahse konu eğitimlere ilişkin bilgileri Kurumumuza göndermesi hususunda talimatlandırılmasına oybirliği ile karar verilmiştir.

Bu doğrultuda İlgili Kişinin şikayeti ve ekli belgeler ile Veri Sorumlusunun savunma yazısı birlikte incelenmiş ve değerlendirilmiştir. İlgili Kişi şikayetinde, Veri Sorumlusu hakkında üç hususta inceleme yapılmasını talep etmektedir:

a) Kişisel verilerin hukuka ve mevzuata aykırı işlenerek ilgisiz üçüncü bir kişiye aktarılması nedeniyle Veri Sorumlusu hakkında idari yaptırım uygulanması.

b) Kişisel verilerin hukuka aykırı olarak işlenmesi ve ilgisiz üçüncü kişilere aktarılması nedeniyle tarafina manevi tazminat ödenmesine karar verilmesi,

c) Kişisel verilerin doğru ve güncel olarak işlenip işlenmediğinin, işleme amacım ve hangi amaç ile gerçek veya tüzel kişi üçüncü kişilere aktarıldığının tarafına yazılı olarak bildirilmesi için Veri Sorumlusunun talimatlandırılmasına karar verilmesi.

III. İddia ve Beyanların Değerlendirilmesi ile Gerekçe

1. Bilindiği üzere, 6698 sayılı Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”, kişisel verisi işlenen gerçek kişi; “veri sorumlusu” ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bu çerçevede, şikayete konu olayda bankanın veri sorumlusu, şikayet edenin ise ilgili kişi olduğu değerlendirilmiştir.
2. Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
e) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayılmaktadır.

3. Kanun’un “Kişisel Verilerin işlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.

4. Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlanmıştır.

5. Buna ek olarak Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre ilgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurumun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ancak, başvurunun reddedilmesi. verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Kanunun “Kurula Şikayet” başlıklı 14’üncü maddesi kapsamında veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.

6. Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde, Kanunun 12 nei maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.0000 TL’ye kadar idari para cezası uygulanacağı hükme bağlanmıştır.

7. 5326 sayılı Kabahatler Kanununun 17’nci maddesinin yedinci fıkrasına göre idari para cezalarının her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanununun mükerrer 298’inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılması gerekmektedir. 6698 sayılı Kanunun 18’inci maddesinin birinci fıkrasının (b) bendi kapsamında uygulanabilecek idari para cezasını 2020 yılı için değerlenmiş alt limiti 27.040 TL, üst limiti ise 1.802.641 TL olarak hesaplanmaktadır.

8. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuruya cevap başlıklı 6’ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” (5) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7’nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.” (6) numaralı fıkrasında ise “İlgili kişinin talebinin kabul edilmesi halinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.” hükümlerine yer verilmiştir.
Kişisel Verilerin Hukuka ve Mevzuata Aykırı İşlenerek İlgisiz üçüncü Bir Kişiye Aktarıldığı iddiası Hakkında

9. Şikayete konu olayda, İlgili Kişi ve Veri Sorumlusu arasında sözleşme ilişkisinin kurulduğu 11.03.2020 tarihinde Veri Sorumlusu banka görevlileri tarafından banka kayıtlarında bulunan hattın İlgili Kişi tarafından kullanılıp kullanılmadığının sorulduğu, İlgili Kişinin bu numarayı artık kullanmadığını ve numaranın kayıtlardan silinmesi gerektiğini açık ve sözlü olarak ifade ederek güncel olarak kullanmakta olduğu numaralı hattını görevlilere bildirdiği ancak 11.03.2020 tarihinden başlayarak İlgili Kişinin durumdan haberdar olduğu 12.06.2020 tarihine kadar Veri Sorumlusu tarafindan İlgili Kişiye gönderildiği zannıyla eski ve güncel olmayan numaraya Ilgili Kişinin adı, soyadı, güncel telefon numarası, kredi kartının son dört hanesi, kızının ad ve soyadını da içerir birtakım bankacılık işlemleri ile ilgili kısa mesaj bildiriminde bulunulduğu anlaşılmaktadır.

10. Şikayete ilişkin Veri Sorumlusunun Kurumu muhatap 10.02.2021 tarihli yazısında “Şikayetçi müşterimizin şikayetinde belirttiği ve kendisine ait olmadığını beyan ettiği telefon numarası Bankamız sistemine ilk olarak kendi talebi ile eklenmiş ve Bankacılık iş ve işlemlerinin yürütülmesinde ve iletişim maksadı ile kullanılmıştır. 11.3.2020 tarihinde ise şikayetçi müşterimiz tarafından Bankamız sistemindeki telefon numarasının kaydı için yeni kullandığını beyan ettiği yeni telefon numarası Bankamız sistemine kaydedilmiştir. Şikayetçi müşterimizin eski telefon numarasının Bankamız kayıtlarından silinmesine yönelik yazılı bir talep ve talimatı Bankamız kayıtlarında bulunmamaktadır.” ifadeleri ile “Bankamız nezdinde cep telefonlarının sisteme kayıt edilmesinde mutlaka müşteriden yazılı talimat veya dijital onaylı alınmakta olup, yazılı bir talimat veya dijital onaylı talimat olmaksızın Banka bilgi sistemine herhangi bir kayıt gerçekleştirilememektedir.” açıklamalarına yer verilmiştir. Banka kayıtlarında İlgili Kişinin eski telefon numarasının silinmesine yönelik yazılı bir talep ve talimata rastlanmadığı beyan edilse de 11.03.2020 tarihinde görevlilerce eski telefon numarasının kullanılıp kullanılmadığı sorulmuş İlgili Kişi de numaranın artık kullanılmadığı ve banka kayıtlarından silinmesi gerektiği ile güncel telefon numarasını bildirmiştir. Dolayısıyla, sözleşme ilişkisinin kurulduğu sırada görevlilerce eski telefon numarasının banka kayıtlarından silinmesi için yazılı veya dijital onay verilmesi gerektiği hususunda İlgili Kişiye bilgi verilmesi ya da eski numaranın silinmesi için gerekli işlemlerin yapılması gerektiği ancak İlgili Kişinin telefon numarasına ilişkin bildiriminin ihmal veya dikkatsizlik sonucu görmezden gelinerek üçüncü bir kişiye İlgili Kişinin kişisel verilerini ihtiva eden mesajların gönderildiği değerlendirilerek durumun Kanunun 4’üncü maddesinin (2) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği, Kanunun 12’inci maddesinin (1) numaralı fıkrası kapsamındaki idari tedbir eksikliği olduğu ve Veri Sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (b) bendi kapsamında idari yaptırım uygulanması gerektiği kanaatine varılmıştır.

11. Kabahatler Kanununun 17 nci maddesinin (2) numaralı fıkrasında “İdari para cezası, kanımda alt ve üst sının gösterilmek suretiyle de belirlenebilir. Bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu birlikte göz önünde bulundurulur.” hükmüne yer verilmektedir. Bu kapsamda, İlgili Kişinin ad, soyad, telefon numarası, kredi ve banka kartlarının son dört hanesi, kızının ad, soyad bilgilerini içeren mesajların muhtelif tarihlerde üçüncü bir kişiye gönderildiği, mesaj içeriklerinde sifre, hesap bakiyesi, özeti vb. bilgilerin olmadığı, üçüncü kişiye iletilen bilgilerin Kanunun 6’ncı maddesinde sayılan özel nitelikli kişisel veri kapsamında olmadığı, Veri Sorumlusunun verilerin iletildiği üçüncü kişi ile iletişime geçip mesajların silinmesine yönelik bir girişimde bulunulduğuna dair bir bilgi, belge Kuruma sunulmadığı, Veri Sorumlusu tarafından 15.02.2021 tarihinde Kurum kayıtlarına intikal eden yazı ile veri ihlal bildiriminde bulunduğu hususları ve Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) kayıtlarında yer alan Veri Sorumlusu adına düzenlenmiş 31.12.2020 tarihli bağımsız denetim raporu verileri dikkate alınmıştır.

Kisisel Verilerin Hukuka Aykırı Olarak İşlenmesi ve İlgisiz Üçüncü Kişilere Aktarılması Nedeniyle İlgili Kisive Manevi Tazminat Ödenmesine Karar Verilmesi Talebi Hakkında

12. İlgili Kişilere, Kanunun 11 inci maddesinin (ğ) bendinde “Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme” hakkı tanınmış olmakla birlikle Kanunun 14 üncü maddesinin (3) numaralı fıkrasında yer alan ” Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebin genel mahkemeler huzurunda kullanılması gerekmekte olup Kanun ve ilgili alt düzenlemelerde Kurula bu yönde bir yetki ve görev tanınmamıştır.

Kişisel Verilerin Doğru ve Güncel Olarak İstenip İstenmediğinin, İşleme Amacının ve Hangi Amaç ile Gerçek veya Tüzel Kişi Üçüncü Kişilere Aktarıldığının Tarafına Yazılı Olarak Bildirilmesi için Veri Sorumlusunun Talimatlandırılmasına karar verilmesi Talebi

13. Şikayete ilişkin İlgili Kişinin 26.06.2020 tarihinde Veri Sorumlusuna yazılı başvuruda bulunduğu, başvurunun 01.07.2020 tarihinde kayıt edildiğinin İlgili Kişiye mesaj yolu ile bildirildiği, sonrasında başvurunun 06.07.2020 tarihinde sonuçlandırıldığına ilişkin 17.07.2020 tarihinde ligili Kişiye mesaj gönderildiği ancak mesajin talep içeriğiyle ilgili herhangi bir bilgi içermediği bunun üzerine İlgili Kişinin 24.07.2020 ve 04.08.2020 tarihlerinde yeniden bilgi almak amacıyla yeniden başvuruda bulunduğu 06.08.2020 tarihinde ise müşteri hizmetlerinden başvuruya ilişkin yazılı bildirimin 06.07.2020 tarihinde İlgili Kişiye gönderildiğine ilişkin bir yanıt verildiği beyan edilmiştir. Öte yandan, İlgili Kişi bahse konu yazılı cevabın kendisine tebliğ edilmediği, dairesine gelen bir posta görevlisi olmadığı ve posta referans numarası vb. bilgi taleplerinin yanıtsız bırakıldığı ifade edilmiştir. Veri sorumlusunun Kuruma sunduğu 10.02.2021 tarihli savunmasında İlgili Kişiye 06.07.2020 tarihli bir yazı ile cevap verildiği belirtilerek söz konusu yazının bir nüshası kuruma iletilmiştir.

14. Kuruma sunulan yazıda İlgili Kişinin adresinin (…) şeklinde yer aldığı İlgili Kişinin Kuruma beyan ettiği adres bilgisinin ise (…) şeklinde olduğu iki adres bilgisinde daire numaralarının farklı olduğu görülmektedir. Ayrıca, Veri Sorumlusu tarafından 06.07.2020 tarihli cevap yazılarının İlgili Kişi tarafından teslim alındığını veya cevap yazısının İlgili Kişiye gönderildiğine ilişkin tevsik edici herhangi bir belge de Kuruma sunulmamıştır. Diğer yandan, 06.07.2020 tarihli cevap yazısı içeriğinde İlgili Kişinin Veri Sorumlusuna ilettiği 26.06.2020 tarihli başvurusunda yer alan kişisel verilerinin doğru ve güncel olarak işlenip işlenmediği, işlenmiş ve aktarılmış ise banka nezdinde bulunan verilerinin ne için işlendiği, hangi gerçek ve/veya tüzel kişilere hangi amaç ile aktarıldığına ilişkin bilgi talebine hususu ile ilgili bilgi verilmediği değerlendirilmiştir. Bu çerçevede, Veri Sorumlusunun ilgili kişilerin Kanunun 11 inci maddesi kapsamındaki başvurularını etkin, hukuka ve dürüstlük kuralına uygun şekilde talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırılması hususunda azami dikkat ve özeni göstermesi gerektiği ile İlgili Kişinin 26.06.2020 tarihli yazısı ile Veri Sorumlusunda ilettiği konularda Ilgili Kişiye bilgi verilmesi ve söz konusu bilginin verildiğine dair Kurula bilgi sunulması hususunda Veri Sorumlusunun talimatlandırılması gerektiği değerlendirilmiştir.

IV. Kararın Hukuki Dayanağı

6698 sayılı Kanunun 4. 12. ve 18’inci maddeleri
Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğ’in 5 ve 6’ncı maddeleri

V. Sonuç
İlgili kişinin 06.08.2020 tarihli şikayetinin incelenmesi neticesinde;

– İlgili kişinin kişisel verilerinin Veri Sorumlusu tarafından üçüncü bir kişiye iletilmesinde, Kanunun 4’üncü maddesinde yer alan “Kişisel verilerin işlenmesinde doğru ve gerektiğinde güncel olma” ilkesi kapsamında gerekli özen ve yükümlülüğüne uygun hareket edilmediği ve herhangi bir işleme şartına dayanmadığı değerlendirilmiş olup Kanunun 12’nci maddesinin 1 numaralı fıkrası kapsamındaki yükümlülüklerin yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,

– Kanunun 11’inci maddesi kapsamındaki tazminat talepleri için Kanunun 14’üncü maddesi gereğince yargı merciine başvurulması hususunun İlgili Kişiye hatırlatılmasına,

– Veri sorumlusunun ilgili kişilerin Kanunun 11’inci maddesi kapsamındaki başvurularını etkin, hukuka ve dürüstlük kurallarına uygun şekilde talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırılması hususunda azami dikkat ve özeni göstermesi ile İlgili Kişinin 26.06.2020 tarihli yazısı ile Veri Sorumlusuna ilettiği konularda İlgili Kişiye bilgi verilmesi ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.