EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Kredi Merkezleri/Siteleri sektörü ile ilgili kararlar

21/02504

01/02/2022

Konu: Veri sorumlusunun yasal dayanağı olmadan kredi derecelendirmesi yapması .

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi; gizlilik politikalarında, kendilerini GDPR gereğince veri sorumlusu olarak bildiren özel bir soruşturma şirketi hakkında, kredi derecelendirilmesi yapılan bir ilgili kişiden şikayet almıştır. Veri sorumlusu olan şirketin çalışanı, ilgili kişinin eski ortağı tarafından işe alınmıştır. İlgili kişiye karşı mali bir iddiası olduğunu iddia etmesinin ardından veri sahibi buna itiraz etmiştir. Devamında ise veri sorumlusu tarafından, iddialarını doğrulamak için ilgili kişiye ait kredi derecelendirmesi yapılmıştır. İlgili kişinin şikayetinin ardından Veri Koruma Otoritesi konu hakkında inceleme başlatmıştır. Otorite, veri sorumlusunun yasal dayanağa sahip olmadan kredi derecelendirmesi yaptığı ve hesap verilebilirlik ilkesini ihlal ettiği gerekçeleriyle veri sorumlusuna ceza verilmesine karar vermiştir.

Ceza: 4,900 Euro ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020020909

04/10/2021

Konu: Veri sorumlusunun güncellik ilkesine uygun davranmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, Kredi şirketine verilen faaliyet iznine göre, 4 yaşından eski bilgilere dayanarak kredi puanı vermesine izin verilmemektedir. Temerrüde düşen veri sahibinin bilgileri banka tarafından 2 yıl sonra kredi şirketinin temerrüt siciline kaydedilmiştir. Bu kayıda dayanarak, Kredi Şirketi veri sahibine negatif bir kredi puanı verdi. Veri sahibi, kredi puanının hesaplandığı bilgilerin 4 yıldan eski olduğunu iddia ederek, silinmesini talebinde ve şirket hakkında şikayette bulunmuştur. Ancak Kredi Şirketi, söz konusu bilgilerin 4 yıldan daha kısa bir süre önce Banka tarafından tescil edilmiş olması nedeniyle hala geçerli olduğunu ileri sürerek bu talebi reddetti. Veri Koruma Otoritesi yaptığı araştırmada temerrüt kararınının tarihini esas almak gerektiğini düşünerek Kredi Şirketi’nin GDPR kurallarına uymadığı sonucuna vardı ve bu nedenle veri sahibinin verilerini silmesini emretti.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020010708

27/04/2021

Konu: Veri sorumlusunun kişisel verileri meşru menfaatine uygun işlemesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından reddedilen başvuruda, bir veri sahibi, hakkındaki kişisel bilgilerin bir kredi şirketi tarafından, kredi notuna ilişkin raporların hazırlanmasına ve işlenmesine ilişkin daha önceki temerrütler hakkındaki bilgileri kullanmış olduğunu ancak önceki temerrütlerine ilişkin bilgileri güvenilmez ve yanıltıcı bulduğu için değerlendirmenin düzeltilmesini ve durdurulmasını talep etmiştir. Kredi şirketine göre, bireysel borçlara ilişkin bilgilerin dört yaşına geldiğinde silinmesi gerekir ancak bilgileri üç yıl daha saklayabilir çünkü kredi notu, gelecekteki olaylar için istatistiksel tahminler, iadeler ve ödeme geçmişi gibi geçmiş bilgilere dayanmalıdır. Şikayetin yapıldığı tarihte şikayetçinin kredi notunu etkileyen önceki kayıtlar dört yıldan daha eskiydi. Veri Koruma Otoritesinin vardığı sonuç, kredi şirketinin bir kredi derecelendirmesi yaparken, veri sahibinin temerrüt sicilindeki önceki kayıtlarına ilişkin bilgileri işlemesinin, 6698 sayılı Kanuna uygun olduğudur. Veri sahibinin kendisi hakkındaki bilgilerin işlenmesinin durdurulması talepleriyle ilgili olarak, böyle bir iddianın yerine getirilemeyeceğine karar vermişti.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020010678

17/08/2020

Konu: Veri sorumlusunun verileri işlerken şeffaflık, amaç sınırlaması ve veri minimizasyonu ilkelerine uygun hareket etmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından reddedilen başvuruda, veri sahibi, kişisel verilerinin, kredi bilgisi hakkında rapor hazırlamak amacıyla kredi kuruluşu tarafından işlenmesi nedeniyle şikayette bulunmuştur. Veri sahibi, kredi derecelendirmesinin, geçici mali zorluklarına ilişkin bilgiler de dahil olmak üzere dört yıla kadar olan bilgilere dayanması nedeniyle, derecelendirmenin yapılmasıyla ilgili işlemlerin veri koruma kurallarına uygun olmadığını savundu. Veri Koruma Otoritesi, kredi şirketinin, veri sahibinin, kredi notu hakkında bir raporun hazırlanması için bilgilerin işlenmesinde meşru bir menfaati olduğundan işlemenin yasal olarak uygulandığına karar vermiştir. Ayrıca, bu davada şeffaflık, amaç sınırlaması ve veri minimizasyonu ilkelerinin uygulandığına karar vermiştir.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020010738

12/03/2020

Konu: Veri sorumlusunun kanun gereği meşru menfaatlerine uygun veri işlemesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından reddedilen başvuruda, veri sorumlusu kredi şirketinin, kredi notu verirken ödeme geçmişi bilgilerini kullanma yetkisinin bulunmadığını ileri sürmektedir. İlgili Mahkeme, bu konu hakkında Veri Koruma Kanunu’nun uygulanması gerektiğini vurguladı. Ayrıca, yürürlükteki İzlanda kanunu, tüketici kredisi verilmeden önce bir tüketicinin kredi itibarının değerlendirilmesi için kayıt tarihinden itibaren dört yıl içindeki finansal bilgi veri tabanlarından gelen bilgilerin kullanılabileceğini belirtir. Veri Koruma Otoritesi, veri denetleyicisinin, veri sahibinin temel hak ve özgürlüklerinden daha ağır basan meşru menfaatlerine göre ödeme geçmişi verilerini işlemeye yetkili olduğuna karar verdi.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?