EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Bankacılık sektörü ile ilgili kararlar

PS/00500/2020

12/10/2022
Konu: Veri sorumlusunun onay almadan veri işlemesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusu ile ilişkisini 2014 yılında sonlandırmış olmasına rağmen, veri koruma otoritesine kişisel verilerini bir kredi puanlama şirketine aktardığını iddia ederek şikayette bulundu. Veri koruma otoritesi, aynı zamanda veri sorumlusunun müşterilerini nasıl profillendirdiğini araştırmaya karar verdi. Yapılan bir talebe yanıt veren banka, GDPR’ın 4(4) Maddesinde tanımlandığı şekilde müşterilerinin profilini iki şekilde çıkardıklarını açıkladı; birincisi müşterilerinin kredibilitesini belirlemek ve ikincisi de pazarlama amaçları. Bankanın açıklamalarına göre, müşterilerinin kredibilitesinin belirlenmesine yönelik profilleme, iflas ve kredi mevzuatından kaynaklanan yasal bir yükümlülüğe dayanıyordu. Pazarlama amaçlı profil oluşturma, rızaya dayanıyordu. Veri koruma otoritesi, veri sorumlusunun rıza alma şeklini inceledikten sonra, işlemeyle ilgili tüm bilgiler kredi sözleşmesinin koşullarına yerleştirildiğinden veri sorumlusunun ilgili kişiye profil oluşturma hakkında yeterli bilgi sağlamadığını tespit etti. Veri koruma otoritesi, veri sorumlusunun GDPR’ın 4(7) Maddesinde tanımlandığı gibi geçerli bir onay almadığı sonucuna varmıştır. Çünkü öncelikle, amaçlar bireysel olarak tanımlanmadığından veya kademeli olarak onaylanamayacağından spesifik değildir ikincisi, sağlanan bilgiler yeterli olmadığı için bilgilendirilmemiştir.

Ceza: 3,000,000 EURO para cezası verilmesine karar verilmiştir.

PS/00467/2020

12/10/2022
Konu: Veri sorumlusunun ilgili kişinin taleplerini gerçekleştirmemesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen başvuruya göre; ilgili kişi, veri sorumlusu olan kredi şirketinin herhangi bir hizmet sözleşmesi yapmadan bir banka adına bir borç ödenmesi gerektiğini söyledi ödenmesini talep ettiğini belirtti. Veri koruma otoritesi, sözleşmenin varlığını kanıtlamak için veri sorumlusundan belgelerini talep etti. Veri sorumlusu; sözleşmeyi, kişisel verileri ve banka verilerini sağladı, ancak imzalı bir sözleşme, kimlik fotokopisi veya sözleşmenin yapıldığı telefon görüşmesinin kaydını sağlayamadı. Veri koruma otoritesi, veri sahibinin sözleşmeyi geçerli bir şekilde imzaladığını kanıtlayamadığı için veri sorumlusunun GDPR 6’ncı Maddesini ihlal ettiği sonucuna varmıştır.

Ceza: 60,000 EURO para cezası verilmesine karar verilmiştir.

PS/00362/2021

12/10/2022
Konu: Veri sorumlusunun kişisel verilerin güvenliği için yeterince önlem almaması

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu, müşterilere yalnızca birkaç mağaza ve şirketten oluşan bağlı bir grup içinde kullanılabilecek bir kredi kartı olan ‘Affinity Cards’ sağladı. Bu kapsamda, bankanın sunduğu otomatik bilgi hattını arayan herhangi bir kişi, kart sahibinin kimlik numarası karşılığında bir kartın son işlemlerinin detaylarını alabiliyordu. Veri koruma otoritesine göre, yalnızca kimlik numarasını istemek, söz konusu ilgili kişinin kimliğini uygun şekilde doğrulamak için yetersizdir.Etkilenen müşteri sayısı, ödeme gücü ve işletmenin yüksek derecede sorumluluk derecesi göz önüne alındığında, veri koruma otoritesi bankaya 200.000 € para cezası verdi. Ancak, önceden gönüllü ödeme yapılması ve sorumluluklarının kabul edilmesi nedeniyle para cezası sonunda 120.000 €’ya düşürüldü.

Ceza: 120,000 EURO para cezası verilmesine karar verilmiştir.

PS/00427/2021

12/10/2022
Konu: Veri sorumlusunun kişisel verileri üçüncü kişiler ile paylaşması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen şikayete göre veri sorumlusu, ilgili kişiyi arayıp ödeme yapılmaması ve randevularla ilgili birkaç mesaj göndermişti. İlgili kişi, veri sorumlusundan bilgilerini silmesini istemişti ancak veri sorumlusu şikayette belirtilen telefon numarasına sahip kayıtlarında müşteri olmadığı için bunu yapamayacağını söyledi. Veri sorumlusu, müşterilerine bildirim göndermek için tasarlanmış bir aracın çalışmasını test ettiğini ve ilgili kişi tarafından alınan mesajların, boş bir telefon numarasına gönderdiğine inandığı hayali test bildirimleri olduğunu iddia etti. Veri sorumlusu ayrıca, durumu düzeltmek için uygun güvenlik önlemleri aldığını söyledi. Veri koruma otoritesi, veri sorumlusunun eylemlerinin, ilgili kişinin verilerini işlemek için yasal bir dayanağı olmadığı için yasallık ilkesini ihlal ettiğine karar verdi.

Ceza: 60,000 EURO para cezası verilmesine karar verilmiştir.

PS/00420/2021

12/10/2022
Konu: Veri sorumlusunun kişisel verilerin ihlalini önlemek için yeterince önlem almaması

Kararı Paylaşın

Karar Özeti:

Bir kiracı, ilgili kişinin hesabına kira ödemesi yaptı ve veri sorumlusundan bir makbuz istedi. Buna karşılık, veri sorumlusu kiracıya ilgili kişinin hesap bakiyesini içeren bir belge verdi.
İlgili kişi daha sonra veri koruma otoritesine şikayette bulundu. Soruşturma, kişisel veri güvenliği ihlali olarak kategorize edildi. Veri koruma otoritesi, ilgili kişinin hesap bakiyesini içeren bir belgeyi üçüncü bir tarafla paylaştığında veri sorumlusunun kişisel verilerin bütünlüğünü ve gizliliğini ihlal ettiğine karar verdi. Ayrıca, ihlal gerçekleştiğinde, ilgili kişinin hesap bakiyesinin ödeme kanıtı talep eden kişi tarafından görülmesini önlemek için teknik ve organizasyonel önlemlerin mevcut olmadığına karar verildi.

Ceza: 48,000 EURO para cezası verilmesine karar verilmiştir.

PS/00259/2020

12/10/2022
Konu: Veri sorumlusunun, ilgili kişinin taleplerine uymaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre; veri sorumlusuna karşı ticari iletişim alınmasına itiraz etme hakkını kullanmıştır. Ancak, bundan iki yıl sonra, ilgili kişi bankadan ticari iletişim içeren, bankanın hizmetlerini tanıtıcı ve bilgilendirici bir mektup almıştır. Banka, bunun ticari bir iletişim iletisi olmadığını, ofislerinde sergiledikleri, bankanın hizmetleri hakkında bilgi içeren posterler gibi standart bir zarf olduğunu ve içindeki mektubun, müşteriye hizmetlerle ilgili olarak gönderilen bilgilerden ibaret olduğunu iddia etti. Banka ayrıca, işlem mektubu göndermek için yapıldığından ve ticari mesajı içeren zarfın tesadüfi olduğunu, ancak verilerin bu amaçla işlenmediğini, müşterilerinin verilerini pazarlama amacıyla işlemediklerini iddia etti. Veri Koruma Otoritesi, veri sorumlusu tarafından gerçekleştirilen eylemlerin yine de pazarlama amaçlı ticari iletişimler olduğunu ve ilgili kişinin yasal bir menfaate güvenemeyeceği için bunu yapmak için yasal bir dayanağı olmadığını belirledi.

Ceza: 50,000 EURO para cezası verilmesine karar verilmiştir.

9784626

26/05/2022
Konu: Veri sorumlusunun ilgili kişiye ait banka verilerini, kişi reşit olmasına rağmen üst soyuna vermesi hakkında.

Kararı Paylaşın

Karar Özeti:

Daha evvelden İtalya’da bir bankanın muhasebe departmanında çalışmakta olan bir kişi çocuğu reşit olana dek banka bilgilerine erişim sağlayabilmekteydi. İlgili kişi reşit olduktan sonra ve babası bankadaki işinden ayrıldıktan sonra babası bankanın muhasebe departmanındaki kişiden ilgili kişi olan çocuğuna ait banka muhasebe verilerine erişmek istemiştir. Daha önce var olan bu ilişki, çalışanın muhasebe verilerine erişme yetkisinin hâlâ bulunduğuna inanmasına yol açmıştı. Böylece, banka iyi niyetle hareket etmiştir. İlgili kişi bu yasadışı işlemeye karşı şikayette bulunmuştur. İtalya Veri Koruma Otoritesi, ilgili kişinin hesap verilerini işlemek için yasal bir dayanak bulunmadığını belirtti. Bu nedenle Otorite, genel ilkeleri ihlal ederek gerçekleştirildiği için söz konusu işlemenin yasa dışı olduğuna karar vermiştir . Veri sorumlusu tarafından iddia edilenin aksine, Otorite iyi niyet muafiyetinin uygulanamaz olduğunu tespit etti. İyi niyet, ancak kaçınılmaz olduğunda sorumluluğu hariç tutabilir. Mevcut davada, çalışanın ilgili kişinin babasının hesap bilgilerine erişme yetkisinin hâlâ bulunup bulunmadığını kontrol etmesi gerekirdi. Otorite bu ihlaller için veri sorumlusuna para cezası verilmesine karar verilmiştir.

Ceza: 100.000 Euro para cezası verilmesine karar verilmiştir.

2022/224

10/03/2022
Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

2021/1239

09/12/2021
Konu: Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda banka ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamaması gösterilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1104

02/11/2021
Konu: İlgili kişinin verilerin silinmesi için veri sorumlusu Bankadan talepte bulunmasına rağmen Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen olayda banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı ve ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 2019 tarihinde kapatılmış ve ilgili kişinin, verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunmuştur. Banka, ilgili kişinin verilerinin 6102 sayılı Türk Ticaret Kanunu’nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu’nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı belirtilmiş ve ilgili kişinin kişisel verilerinin silinmesi talebine olumsuz yanıt vermiştir. Buna rağmen veri sorumlusu Banka tarafından ilgili kişiye bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerinin işlendiği tespit edilmiştir. Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin KVKK’nın 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alınarak KVKK’nın 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.