EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Banka" etiketli kararlar

2022/224

10/03/2022
Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

2021/1239

09/12/2021
Konu: Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda banka ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamaması gösterilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1069

21/10/2021
Konu: Bir bankanın avukatının borçlu yakını olan ilgili kişiye haciz ihbarnamesi göndermesi suretiyle ilgili kişinin kişisel verilerinin işlenmesi.

Kararı Paylaşın

Karar Özeti:

Bir banka avukatının kendisine haciz ihbarnamesi göndermesi suretiyle kişisel verilerinin açık rızası alınmaksızın ihbarnamede yer alan üçüncü kişilerle paylaşıldığını ve bu konuya ilişkin olarak hem bankaya hem de banka avukatına başvurduğunu belirterek ilgili kişinin kurula başvurmasına istinaden Kurulun yapmış olduğu inceleme sonucunda Bankanın somut olayda veri sorumlusu olmaması nedeniyle KVKK kapsamında hakkında yapılacak bir işlem olmadığına, Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da KVKK kapsamında tesis edilecek bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/670

06/07/2021
Konu: İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişiye gerekli aydınlatmalar yapılarak kişisel verilerinin işlendiği, ilgili kişinin şirket prensiplerine uygun olarak değerlendirilebilmesi için ve diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği, iş başvurusunun kabul edilmemesinin akabinde, işlenen kişisel verilerin ilgili kişinin talebi üzerine yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirmesine esas genel gerekçesinin muhafaza edildiği, saklama amacının ilgili kişiye iletildiği, ilgili kişinin sonraki başvurusunu müteakip ilgili kişiye ait kişisel verilerin ilk periyodik imha işleminde silineceği bilgisinin iletildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verinin işlenmesinin sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek resen imha işleminin bu duruma uygun olmayacağı, ilgili kişinin talebi üzerine imha işleminin gerçekleştirilmesinin gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/664

06/07/2021
Konu: İlgili kişinin, doğal haz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, müşterilerin ödemelerini veri sorumlusu vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdiği, abonelerden, sözleşme tanzim edilmesi işlemleri esnasında talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, bankadan veri sorumlusuna aktarıldığı, aktarılan verilerin veri sorumlusunun sisteminde yer aldığı, bu verilerin sözleşme kapsamındaki işlerin ifası için zorunlu olduğu, söz konusu verilerin sistemde yer almamasının şirketin meşru menfaatlerine zarar vereceği, otomatik ödeme talimatı ile fatura ödeyen abonelerin faturalarında gerekli düzeltmelerin yapıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili kişinin söz konusu banka adı bilgisinin faturada yer almasının hak ihlali yaratmadığı, faturada yapılan değişiklikler ile ilgili kişinin talebinin yerine getirildiğinin anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/424

27/04/2021
Konu: Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin 2017 yılında ev kredisi çekmek isterken daha önce kendisine yönelik olarak icra takibi başlatıldığı, yıllar içinde Varlık Yönetimi Şirketi tarafından sürekli olarak ilgili kişinin arandığı, ilgili kişinin o kişinin kendisi olmadığı bilgisini Şirkete iletmesine rağmen bu durumun sürdüğü, icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak icra takibinin başlatıldığı ve çeşitli bilgilendirmelerin, ispatların sürmesine karşın bankanın ilgili kişiyi mağdur ederek icra takibi yapmakta ısrar ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin banka tarafından düzeltildiği, ilgili kişiye ait kişisel verilerin veri sorumlusu banka tarafından veri sorumlusu Varlık Yönetim Şirketine aktarımının hukuka uygun olduğu, Varlık Yönetim Şirketinin ilgili kişi ve banka tarafından 2017 yılı içinde yapılan bildirimlere karşın ilgili kişinin dosyası hakkında bir şikayet kaydı oluşturmamasının, ilgili kişinin var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmesinin Kanunun 12’nci maddesini ihlal ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/358

13/04/2021
Konu: İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmiş olmasına rağmen, ilgili kişiye SMS’ler ve telefon aramalarının gittiği, ilgili kişinin buna ilişkin veri sorumlusuna yaptığı başvurunun mevzuatta belirlenen süre sonrasında cevaplanıp yetersiz kaldığı, verilen cevapta kişisel verilerin yurt dışına aktarılabileceği, ilgili kişinin buna yönelik açık rızasının bulunmadığı, KVKK’nın 9’uncu maddesindeki istisnaların da olayda yer almadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili iletiler kapsamında ilgili kişinin açık rızasına gerek olmadığı, veri sorumlusunun gerekli yasal bilgilendirmeyi yapması nedeniyle hukuka aykırılık bulunmamasıyla birlikte, ilgili kişinin kişisel verilerinin silinmesini talep etmesi nedeniyle veri sorumlusunun bunu kabul etmemesinin hukuka aykırı olduğu belirtilmiştir. Bu kapsamda, ilgili kişilerin başvurularını cevaplarken gerekli dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/361

13/04/2021
Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/205

09/03/2021
Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/190

04/03/2021
Konu: Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Bir müşterinin şikayeti üzerine banka tarafından yapılan inceleme neticesinde bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini iş sözleşmesine aykırı şekilde söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlenmesi, müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafınan üçüncü kişiyle paylaşılması suretiyle gerçekleştiği, olaya ilişkin olarak banka sistemleriyle ilgili bir güvenlik açığından değil çalışanın münferit davranışından kaynaklı olduğu, söz konusu ihlalin 1 (bir) müşterinin kimlik bilgilerinin yetkisiz kişiyle paylaşılmasından kaynaklandığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde; çalışan tarafından gerçekleştirilen eylem Kurul tarafından çalışana veri gizliliği ve güvenliği eğitimi sağlanmış olmasına rağmen Kişisel Veri Güvenliği Rehberinin Çalışanların Eğitilmesi ve Farkındalık Çalışmalarında belirtilen yükümlülükler açısından çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanmasına ilişkin yükümlülüğüne aykırılık teşkil ettiği, bankada takım lideri olarak çalışan personelin müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yapabilmesi Rehber’deki “İzin Verilmedikçe Her Şey Yasaktır” prensibine aykırılık teşkil ettiği, çağrı merkezi takım lideri olarak görev yapan çalışanların müşterilerin bilgilerine sınırsız sayıda sorgulama yaparak erişebilmesi Rehberin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği ve KVKK’nın 12’inci maddesinin 1 numaralı fıkrasına aykırı olduğu belirtilmiştir.

Ceza: 100.000-TL idari para cezası verilmesine karar verilmiştir.