EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2023/1050

2023/1050

15/06/2023

Konu: Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

Kararı Paylaşın

Karar Özeti:

Kişi, bankanın müşteri iletişim merkeziyle yaptığı görüşmede sanal kartının kopyalandığını ve kartının kullanıma kapatıldığını öğrenmiştir. Bu durum üzerine, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında, kopyalanan kişisel veriler ve bu verilerin hangi banka işlemiyle ilgili olduğunu öğrenmek amacıyla veri sorumlusuna başvuruda bulunmuştur. Ancak, yapılan başvuru yanıtsız bırakılmıştır. Daha sonra aynı konuda ikinci bir başvuru yaparak kişisel verilerinin işlenip işlenmediğini teyit etmek ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ait ses kaydını veya dökümünü talep etmiştir. Ancak bu başvuru da yanıtsız bırakılmıştır. Bu nedenle, kişi ilgili ses kayıt dökümünün tarafına sağlanmasını talep etmektedir. Kurulun değerlendirmeleri sonucunda; 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer alan “sır saklama yükümlülüğü,” müşteri ile ticari bağlantı nedeniyle elde edilen bilgilerin kanuni düzenlemelerin öngördüğü durumlar dışında üçüncü kişilere açıklanmamasını gerektirir. Aynı zamanda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesinin (1) numaralı fıkrasının (b) bendi, ilgili kişilerin kişisel verilerinin işlenip işlenmediğini öğrenme hakkını içerir. Bu hak, veriye erişim hakkını da kapsar ve ilgili kişilere kişisel verilerinin nasıl işlendiği hakkında bilgi alma imkanı tanır. Bu bağlamda, taraflar arasındaki görüşmeye dair doğrudan ifadeler içeren belgenin, ilgili kişi dışındaki kişisel verilerin çıkarılması veya maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi ve bu işlemler hakkında Bilgi Teknolojileri ve İletişim Kurumu’na bilgi verilmesi için Veri Sorumlusuna talimat verilmesi gerekmektedir. Ayrıca, Kanun kapsamında yapılan başvuruların, Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6. maddesi hükümlerine uygun bir şekilde, etkin, hukuka uygun ve dürüst bir şekilde gerekçe belirtilerek ve süresi içinde sonuçlandırılması gerektiği konusunda Veri Sorumlusuna hatırlatma yapılması kararlaştırılmıştır.

Ceza: Ceza verilmesini gerektiren bir durum söz konusu değildir. İlgili Kişi dışında başkalarına ait kişisel veriler varsa bunların çıkarılması/maskelenmesi gibi önlemlerin alınması yoluyla İlgili Kişiye gönderilmesi ve buna ilişkin yapılan işlemler hakkında Kurula bilgi verilmesi yönünde veri sorumlusu talimatlandırılmış ve ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Kuruma intikal ettirilen şikâyette özetle; ilgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği, buna istinaden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında, sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili tespit uyarınca hangi kişisel verilerinin kopyalanmış olabileceği ve hangi banka işlemi nedeniyle bu tespite ulaşıldığı hususlarında bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı, aynı konuya ilişkin olarak farklı bir tarihte ikinci kez veri sorumlusuna yaptığı başvuruda Kanun’un 11’inci maddesi kapsamında kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı ifade edilerek ilgili ses kayıt dökümünün tarafına sağlanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin, sanal kart ürününe ilişkin herhangi bir veri kopyalaması olup olmadığına dair başvurusu üzerine konu hakkında detaylı araştırmalar gerçekleştirilmesinin ardından, ilgili kişinin herhangi bir kişisel verisinin kopyalanmadığının tespit edildiği,
  • Herhangi bir veri kopyalaması söz konusu olmadığından, kopyalanan kişisel verilere ilişkin yazılı bir bilgilendirme yapılmamakla birlikte ilgili kişi ile müşteri iletişim merkezi arasında gerçekleşen görüşmede kart bilgilerinin risk altında olduğuna ilişkin olarak ilgili kişinin bilgilendirildiği,
  • İlgili kişi tarafından kendilerine yapılan ikinci başvurunun, ilgili kişinin e-posta adresine gönderilen içerik ile kapsamlı şekilde yanıtlandığı ve bu cevapta, ilgili kişinin sanal kartının provizyona kapatılma nedeninin riskli iş yeri olarak kabul edilen internet sitelerinden birinde söz konusu sanal kart ile işlem yapılması olduğunun tespit edildiğinin belirtildiği ve kartın kullanıma kapatılmasının kişinin kendi talebi ve iradesi ile Banka’nın iletişim kanalları üzerinden ilettiği talimata istinaden gerçekleştirildiği,
  • İlgili kişi ile Banka’nın müşteri temsilcisi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı ve bu kayda ilişkin ilgili dökümün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesi ile anılan Kanun’un ilgili maddesi kapsamında Bankacılık Düzenleme ve Denetleme Kurumunca çıkartılan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” kapsamında düzenlenen sır saklama yükümlülüğü uyarınca ilgili kişi ile paylaşılamadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarih ve 2023/1050 sayılı Kararı ile;

  • Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesinde, herkesin veri sorumlusuna başvurarak kendisiyle ilgili; (a) kişisel veri işlenip işlenmediğini öğrenme, (b) kişisel verileri işlenmişse buna ilişkin bilgi talep etme, (c) kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (d) kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, (e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, (g) işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, (ğ) kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı; talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği,
  • Bununla birlikte, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya Cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında veri sorumlusunun, bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği; (3) numaralı fıkrasında veri sorumlusunun, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği; (5) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracağı hükmünün düzenlendiği,
  • Veri sorumlusu tarafından Kuruma iletilen yazı ve ekinde yer alan belgeler incelendiğinde, ilgili kişi tarafından veri sorumlusuna yapılan ilk başvurunun veri sorumlusu tarafından yazılı bir şekilde yanıtlandırılmadığının anlaşıldığı, ikinci başvurunun ise, ilgili kişinin iddiasının aksine, veri sorumlusu tarafından cevaplandırıldığının görüldüğü, bununla birlikte söz konusu başvurunun Kanun’da düzenlenen otuz günlük sürenin geçirilmesinin ardından yanıtlandığının tespit edildiği,
  • İlgili kişinin, veri sorumlusu Banka’nın müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydı veya bu kaydın dökümünün ilgili kişi ile paylaşılmamasının gerekçesi olarak veri sorumlusunca ileri sürülen “sır saklama yükümlülüğü”nün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinde düzenlendiği, anılan maddenin (3) numaralı fıkrasında bankacılık hukukuna özgü bir kavram olan “müşteri sırrı” kavramının sınırlarının ortaya konulduğu ve bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceğinin düzenlendiği,
  • Diğer yandan, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”te banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşımı ve aktarımına ilişkin kapsam, şekil, usul ve esasların belirlenmesinin amaçlandığı ve sır saklama yükümlülüğünün kapsamı, bu yükümlülükten istisna tutulan hâller ile sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkelerin çerçevesinin çizildiği,
  • İlgili kişi ile veri sorumlusunun müşteri temsilcisi arasında gerçekleşen görüşmeye ilişkin olarak veri sorumlusu tarafından Kuruma iletilen döküm incelendiğinde, somut olayın veri sorumlusu tarafından belirtildiği şekilde gerçekleştiğinin anlaşıldığı,
  • 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta düzenlenen sır saklama yükümlülüğünün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesi kapsamında düzenlenen, ilgili kişilerin kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının söz konusu veriye erişim hakkını da kapsadığı

değerlendirmelerinden hareketle;

  • 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü”nün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişilerin, kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının da bilgi talep etme hakkını tamamlayarak ilgili kişilerin kişisel verileri üzerindeki haklarını kullanabilmeleri için kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmalarına imkân sağladığı dikkate alındığında, tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi ve buna ilişkin tesis edilen işlemler hakkında Kurula bilgi verilmesi yönünde Veri Sorumlusunun talimatlandırılmasına,
  • İlgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?