2023/1509
31/08/2023
- Sektör: Banka
- Kanun Maddesi
“Bankacılık hizmetleri ve kişisel veri işleme konularında yapılan bir başvuruya dair alınan karar metni, Kişisel Verilerin İşlenme Şartları, Kişisel Verilerin Aktarılması, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, 5411 sayılı Kanun ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik hükümlerine dayanarak açıklanmıştır. Karar metni, Kişisel Verilerin İşlenme Şartları’nı düzenleyen 5. maddeye atıfta bulunarak, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtir. Ayrıca, açık rızanın yanı sıra belirli şartlara dayalı olarak da kişisel verilerin işlenebileceğine dikkat çekilmiştir. Bu şartlar arasında, hukuki yükümlülüklerin yerine getirilmesi, sözleşme kurma veya ifa etme, hayati tehlikenin önlenmesi gibi durumlar bulunmaktadır. Kişisel Verilerin Aktarılması’nı düzenleyen 8. maddeye atıfla, kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı vurgulanmış, ancak belirli şartlar sağlandığında açık rıza aranmaksızın aktarımın mümkün olduğu ifade edilmiştir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre, veri sorumlusunun başvuruları etkin, hukuka uygun ve dürüstlük kurallarına uygun bir şekilde sonuçlandırmak üzere gerekli tedbirleri alması gerektiği belirtilmiştir. 5411 sayılı Kanun’un “”Risk Merkezi”” başlıklı Ek 1. maddesine atıfla, Risk Merkezi’nin kuruluş amacı ve işleyişi detaylı bir şekilde açıklanmıştır. Ayrıca, bu maddenin bankalar ve finansal kuruluşlar arasında bilgi alışverişini düzenlediği ifade edilmiştir. Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, sır saklama yükümlülüğünden istisna tutulan halleri düzenlerken, özellikle bankalar arasındaki bilgi alışverişini bu istisna kapsamında değerlendirmiştir. Karar metni, şirketin internet sitesindeki bilgileri de referans alarak, bankaların Risk Merkezi’ne üye olma zorunluluğunu ve bilgi paylaşımının bu çerçevede gerçekleştiğini belirtmiştir.
Sonuç olarak, ilgili başvurunun, bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve yasal düzenlemelere uygun olarak gerçekleştirildiği gerekçesiyle veri sorumlusu hakkında herhangi bir işlem tesis edilmemesine karar verilmiştir. Ancak, başvurunun reddedilmesi durumunda gerekçenin açıklanması gerektiği hususu da vurgulanmıştır.”