EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Bankacılık sektörü ile ilgili kararlar

2023/1310

03/08/2023

Konu: Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

“Bir bankanın kurumsal hem kurumsal hem de bireysel müşterisi olan başvuran (ilgili kişi), mobil bankacılık uygulamasında kullandığı şifresini unutması üzerine mobil bankacılık uygulaması üzerinden “”şifremi unuttum”” adımlarını takip eder. Kurumsal hesabı için yeni şifre almaya çalışan başvuran, kurumsal hesaplar için sadece TC kimlik numarası ve devamında yüz okuma sistemi ile yeni şifre alabileceğini görür. Adımalrı takip eden kullanıcı, biyometrik verilerinin işlenmesini kabul etmediği seçeneğini işaretlediğinde işlemi gerçekleştiremeyip hata alıp ana ekrana geri dönmeye zorlanmıştır. Başvuran, hizmetin özel nitelikli kişisel veri işleme şartına bağlandığı gerekçesiyle şikayette bulunmuştur. Kuruma yapılan ilgili kişi şikayeti üzerine veri sorumlusu bankadan savunma talep edilmiştir.
Banka yaptığı savunmada; bireysel hesaplar için şifre yenileme seçenekleri arasında banka/kredi kartı ile de işlem yapılabildiğini ve kurumsal hesaplarda da bu seçeneklerin eklenmesi için geliştirmelerin devam ettiğini belirtmiştir. Ayrıca kurumsal hesaplar için müşteri hizmetleri telefon hattından ve şubeler aracılığıyla mobil bankacılık şifresinin değiştirildiğini, bu seçeneklerin de internet sitelerinde açıkça belirtildiği yönünde savunma yapılmıştır. Kişisel Verileri Koruma Kurumu yaptığı incelemede bankanın açıklamalarını haklı bulmuş ve diğer seçenekler göz önüne alındığında hizmetin herhangi bir veri işleme şartına bağlanmadığına karar vermiştir.

Bankaya ilgili biyometrik veri okuma aşamasında diğer seçenekleri belirten bir uyarı eklenmesi ve durumun açıklanması yönünde talimat verilmesine karar verilmiş olup idari para cezasına hükmedilmemiştir.”

Ceza: İdari para cezası verilmemiştir

İlgili GDPR kararlarını görmek ister misin?

2023/1234

20/07/2023

Konu: Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi

Kararı Paylaşın

Karar Özeti:

İnternet üzerinden bilet satışı ve araç kiralama hizmeti sunan aracı platform üzerinden araç kiralayan ilgili kişi, aracı almak için acenteye gittiğinde kendisinden depozito istenmiştir. Depozito için kredi kartını görevliye veren iligli kişinin telefonuna findex raporunun sorgulandığına ilişkin bir SMS gelmiştir. Bu işlemin yapılmasına rızası olmadığı söyleyen başvuran, personelden eğer buna izin vermezse aracı teslim etmeyeceklerine yönelik bir yanıt almıştır. Açık rızasını belirtmeyen başvurana araç teslim edilmemiştir ve platformdan rezervasyonunun iptal edildiğine yönelik bir SMS almıştır. Olay üzerine Kuruma başvuran ilgili, açık rızanın hizmet şartına başlandığı gerekçesiyle Kuruma şikayette bulunmuştur. Kurum hem kiralama şirketinden hem de aracı satış platformundan savunmalarını istemiştir. Araç kiralama şirketi findex taleplerinin olmadığı ve müşterinin yalan beyanda bulunduğunu, aracı platform ise kendilerinin sadece bir aracı platform olduklarını, böyle bir taleplerinin bulunamayacağını ve aracı olmalarından dolayı olayda veri sorumlusu sıfatına sahip olmadıklarını belirtmiştir. Kurum yaptığı incelemede; ilgili kişinin araç kiralama hizmetinden faydalandırılmasının, Findeks raporuna erişilmesine ilişkin açık rıza şartına bağlandığının, ilgili kişi tarafından açık rıza verilmemesi üzerine rezervasyonun iptal edildiğinin anlaşıldığı, Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasının ihlal edildiğine karar vermiştir. Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1050

15/06/2023

Konu: Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

Kararı Paylaşın

Karar Özeti:

Kişi, bankanın müşteri iletişim merkeziyle yaptığı görüşmede sanal kartının kopyalandığını ve kartının kullanıma kapatıldığını öğrenmiştir. Bu durum üzerine, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında, kopyalanan kişisel veriler ve bu verilerin hangi banka işlemiyle ilgili olduğunu öğrenmek amacıyla veri sorumlusuna başvuruda bulunmuştur. Ancak, yapılan başvuru yanıtsız bırakılmıştır. Daha sonra aynı konuda ikinci bir başvuru yaparak kişisel verilerinin işlenip işlenmediğini teyit etmek ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ait ses kaydını veya dökümünü talep etmiştir. Ancak bu başvuru da yanıtsız bırakılmıştır. Bu nedenle, kişi ilgili ses kayıt dökümünün tarafına sağlanmasını talep etmektedir. Kurulun değerlendirmeleri sonucunda; 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer alan “sır saklama yükümlülüğü,” müşteri ile ticari bağlantı nedeniyle elde edilen bilgilerin kanuni düzenlemelerin öngördüğü durumlar dışında üçüncü kişilere açıklanmamasını gerektirir. Aynı zamanda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesinin (1) numaralı fıkrasının (b) bendi, ilgili kişilerin kişisel verilerinin işlenip işlenmediğini öğrenme hakkını içerir. Bu hak, veriye erişim hakkını da kapsar ve ilgili kişilere kişisel verilerinin nasıl işlendiği hakkında bilgi alma imkanı tanır. Bu bağlamda, taraflar arasındaki görüşmeye dair doğrudan ifadeler içeren belgenin, ilgili kişi dışındaki kişisel verilerin çıkarılması veya maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi ve bu işlemler hakkında Bilgi Teknolojileri ve İletişim Kurumu’na bilgi verilmesi için Veri Sorumlusuna talimat verilmesi gerekmektedir. Ayrıca, Kanun kapsamında yapılan başvuruların, Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6. maddesi hükümlerine uygun bir şekilde, etkin, hukuka uygun ve dürüst bir şekilde gerekçe belirtilerek ve süresi içinde sonuçlandırılması gerektiği konusunda Veri Sorumlusuna hatırlatma yapılması kararlaştırılmıştır.

Ceza: Ceza verilmesini gerektiren bir durum söz konusu değildir. İlgili Kişi dışında başkalarına ait kişisel veriler varsa bunların çıkarılması/maskelenmesi gibi önlemlerin alınması yoluyla İlgili Kişiye gönderilmesi ve buna ilişkin yapılan işlemler hakkında Kurula bilgi verilmesi yönünde veri sorumlusu talimatlandırılmış ve ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/932

01/06/2023

Konu: İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi

Kararı Paylaşın

Karar Özeti:

ilgili kişi, cep telefonu numarası üzerinden online olarak veri sorumlusu Banka’ya müşteri olduğunu bildirmiş ve aynı gün bireysel kredi başvurusunda bulunmuştur. Ancak aynı gün içinde, hem ilgili Banka’ya verdiği telefon numarasına hem de adına kayıtlı ancak Banka işlemlerinde kullanılmayan başka bir telefon numarasına kredi başvurusuyla ilgili farklı içerikte kısa mesajlar gönderildiği belirtilmektedir. İlgili kişi tarafından yapılan ilk başvuruya verilen cevapta, Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığı belirtilmiştir. Ancak ikinci başvuruya verilen cevapta ise, şikayet konusu numaranın diğer bankalardan alındığı ifade edilmiştir. KKB’nin internet sitesinde yapılan araştırmada ise ilgili kuruluşta kayıtlı telefon numarasının, Banka’ya verilen telefon numarası ile aynı olduğu, yani şikayet konusu numaranın Banka’ya ait olmadığı belirtilmiştir. Veri sorumlusu, ilgili kişinin bildirmediği iletişim numarasını kredi işlemleriyle ilgili bilgilendirme yapmak amacıyla işlemiştir. Bu işlemin Kanun’un 5. maddesinin 2. fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir. KKB kayıtlarına ilişkin talep ve iddiaların KKB nezdinde ileri sürülmesi gerektiği ilgili kişiye hatırlatmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/570

11/04/2023

Konu: İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Bir kripto para alım satım uygulaması üzerinde belli limitlerin üzerinde işlem yapılması için “ileri seviye” üyelik gerektiği, bu üyeliğin ise kullanıcın kimiliğinin ön ve arka yüzünün fotoğrafını kendi yüzü ile beraber çekilmiş fotoğrafının talep edilmesinin Kanunun 5. maddesine gereğinden fazla kişisel veri talep edilmesi olduğu gerekçesiyle Kuruma başvurmuştur. Kurum yaptığı incelemede 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere çeşitli kanunlardaki ve MASAK tarafından yayınlanan tebliğler uyarınca bu bilgilerin gerektiğine ve kullanıcıların temel seviye üyelikte asgari işlemler olan kripto para alıp satmak, para çekip yatırmak işlemlerini yapabildikleri, ileri seviye üyeliğin anonim bir işlem olan kripto para gönderimi için gerekli olmasının kişisel veri talepleri açısından dengeli bir yaklaşım olduğuna karar vermiştir. İdari para cezası verilmemiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/224

10/03/2022

Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1239

09/12/2021

Konu: Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda banka ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamaması gösterilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/1104

02/11/2021

Konu: İlgili kişinin verilerin silinmesi için veri sorumlusu Bankadan talepte bulunmasına rağmen Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen olayda banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı ve ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 2019 tarihinde kapatılmış ve ilgili kişinin, verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunmuştur. Banka, ilgili kişinin verilerinin 6102 sayılı Türk Ticaret Kanunu’nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu’nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı belirtilmiş ve ilgili kişinin kişisel verilerinin silinmesi talebine olumsuz yanıt vermiştir. Buna rağmen veri sorumlusu Banka tarafından ilgili kişiye bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerinin işlendiği tespit edilmiştir. Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin KVKK’nın 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alınarak KVKK’nın 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1110

02/11/2021

Konu: Veri sorumlusu olarak bir holding bünyesinde faaliyet gösteren ikinci el araç satımı yapan şirketin icra takibi başlatılan müşterilerin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurula iletilen ihbar ile veri sorumlusu şirketin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde icra takibi başlatıldığı ve şirket tarafından icra takibi başlatılan müşterilerin T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı kişisel verilerin bir internet adresinde herkese açık bir şekilde paylaşıldığı ve bu bilgiler arasında araç plakası, şehir, ve ilçeye göre arama yapılabildiği tespit edilmiştir. Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının KVKK’nın 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak idari yaptırım uygulanmıştır.

Ceza: 200.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/1107

01/11/2021

Konu: İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerin üçüncü kişilerle paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen başvuruda, bireysel kredi kartı ödemesini geciktirmediği halde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde Risk Merkezi ile paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilmiştir. Kurul tarafından yapılan inceleme sonucu ilgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının KVKK’nın 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, KVKK’nın 12’nci maddesinin (1)numaralı fıkrasının (a) bendinde bulunan “…Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek…” yükümlülüğüne aykırı davranan veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 150.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 41234

Türkçe dilinde GDPR karar özetlerini görmek ister misin?