EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Banka sektörü ile ilgili kararlar

2023/1509

31/08/2023

Konu: lgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu AŞ’ye aktarılması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Bankacılık hizmetleri ve kişisel veri işleme konularında yapılan bir başvuruya dair alınan karar metni, Kişisel Verilerin İşlenme Şartları, Kişisel Verilerin Aktarılması, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, 5411 sayılı Kanun ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik hükümlerine dayanarak açıklanmıştır. Karar metni, Kişisel Verilerin İşlenme Şartları’nı düzenleyen 5. maddeye atıfta bulunarak, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtir. Ayrıca, açık rızanın yanı sıra belirli şartlara dayalı olarak da kişisel verilerin işlenebileceğine dikkat çekilmiştir. Bu şartlar arasında, hukuki yükümlülüklerin yerine getirilmesi, sözleşme kurma veya ifa etme, hayati tehlikenin önlenmesi gibi durumlar bulunmaktadır. Kişisel Verilerin Aktarılması’nı düzenleyen 8. maddeye atıfla, kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı vurgulanmış, ancak belirli şartlar sağlandığında açık rıza aranmaksızın aktarımın mümkün olduğu ifade edilmiştir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre, veri sorumlusunun başvuruları etkin, hukuka uygun ve dürüstlük kurallarına uygun bir şekilde sonuçlandırmak üzere gerekli tedbirleri alması gerektiği belirtilmiştir. 5411 sayılı Kanun’un “”Risk Merkezi”” başlıklı Ek 1. maddesine atıfla, Risk Merkezi’nin kuruluş amacı ve işleyişi detaylı bir şekilde açıklanmıştır. Ayrıca, bu maddenin bankalar ve finansal kuruluşlar arasında bilgi alışverişini düzenlediği ifade edilmiştir. Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, sır saklama yükümlülüğünden istisna tutulan halleri düzenlerken, özellikle bankalar arasındaki bilgi alışverişini bu istisna kapsamında değerlendirmiştir. Karar metni, şirketin internet sitesindeki bilgileri de referans alarak, bankaların Risk Merkezi’ne üye olma zorunluluğunu ve bilgi paylaşımının bu çerçevede gerçekleştiğini belirtmiştir.

Sonuç olarak, ilgili başvurunun, bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve yasal düzenlemelere uygun olarak gerçekleştirildiği gerekçesiyle veri sorumlusu hakkında herhangi bir işlem tesis edilmemesine karar verilmiştir. Ancak, başvurunun reddedilmesi durumunda gerekçenin açıklanması gerektiği hususu da vurgulanmıştır.”

Ceza: Veri sorumlusu hakkında tesis edilecek bir işlem bulunmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/67

12/02/2023

Konu: Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet yazısında özetle; Veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, şirket vekilinin ilgili kişinin şahsi vekili olmadığından bahisle yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, gönderim yapılan e-posta adresi şikayetçiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan açık rıza beyanının geçersiz olduğu,veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği, daha sonraki tarihlerde yapılan işlemlerde veri sorumlusu tarafından şikayetçiye e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı belirtilmiştir. Kurul yapmış olduğu inceleme sonucunda şikayete konu yanlış e posta adresinin ilgili kişi talebi üzerine hemen değiştirilmesine imkan sağladığı için veri sorumlusunun özen yükümlülüğünü yerine getirdiğine, kişilerin iletişim bilgilerini belirli periyotlara güncel tutmadığı için veri sorumlusunun uyarılmasına, Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/863

01/09/2022

Konu: Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve açık rızasını almadan ilgili kişiyi telefonla aramak suretiyle kişisel verilerini işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

İlgili Kişinin Kuruma ilettiği başvuruda özetle; ilgili kişinin başka bir bankada bulunan hesabından veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para transferi yapıldığı, akabinde kendisiyle iletişim kurulmasına ilişkin rıza vermediği ve tarafına herhangi bir aydınlatma yapılmadığı halde veri sorumlusu banka tarafından tanıtım amacıyla aynı gün telefonla arandığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, devam eden müşteri ilişkisi sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, kullanılmakta olan hizmete ilişkin bilgi verilmek amacıyla kullanıldığı anlaşıldığından ve ilgili kişinin 6698 sayılı Kanun’un yürürlük tarihi öncesi olan 2015 yılından beri bankanın müşterisi olduğu, iletişim izninin evet olarak göründüğü, Kanun’un yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksine bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediği hususları dikkate alındığında, ilgili kişinin aydınlatma yükümlülüğünün yerine getirilmediği iddiasına yönelik veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/768

03/08/2022

Konu: Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin, şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edilidiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilgili başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin telefon numarasının, veri sorumlusu tarafından Kanunda yer alan işleme şartlarından herhangi birine dayanmadan ilgili sigorta şirketine aktarıldığı, bu minvalde gerekli idari ve teknik tedbirlerin alınmadığı da göz önünde bulundurularak 250.000 TL idari para cezası verilmiştir.

Ceza: 250.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?