Bir Banka Tarafından Kurul Kararı ile Verilen Talimatların Gereğinin Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08/10/2020 Tarihli ve 2020/766 Sayılı Karar Özeti
İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11’inci maddesinde belirtilen hakları kapsamında yaptığı başvurusuna veri sorumlusu Banka tarafından verilen cevabı yetersiz bulduğuna; internet sayfasında aydınlatma metni yerine veri sorumlusunun Kişisel Verilerin İşlenmesi ve Korunması Politikasına link verdiğine, yirmi sayfalık söz konusu dokümanda ilgili kısımları bulabilmek için detaylı bir inceleme yapılması gerektiğine, aydınlatma yükümlülüğüne ilişkin Tebliğin birçok kuralına uyulmadığına, kişisel verilerin aktarıldığı kişiler listelenirken amaçlardan örnekler verildiğine ve bunlara benzer başka amaçların da olduğu izleniminin edinildiğine, kişisel verilerin işlenmelerindeki hukuki sebeplerden de bahsedilmediğine ilişkin Kişisel Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak savunması alınan veri sorumlusu Bankaya “aydınlatma metninde, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılması ve kişisel verilerin Kanunun 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin açıkça belirtilmemesi nedeniyle söz konusu metnin, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin birinci fıkrasının (g) ve (h) bentlerinde yer verilen hükümlere uygun olmadığı; söz konusu internet sitesinde yer alan aydınlatma metninin gözden geçirilerek “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in hükümlerine uygun hale getirilmesini teminen veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartlarına dayanılarak işlendiğine ayrıntılı şekilde yer verilmesi, gizlilik politikası metninin aydınlatma yerine geçmeyeceği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği hususlarında gerekli düzenlemelerin yapılması” gerektiği yönündeki talimatı içerir 06.02.2020 tarih ve 2020/98 sayılı Kurul Kararı tebliğ edilmiş olup, tebliğ edilen Kurul kararı sonrası veri sorumlusundan alınan bilgi ve belgelerin birlikte incelenmesinden:
- Veri sorumlusu tarafından Kurul Kararı tebligatı sonrası Kuruma gönderilen cevap metni ekinde yer alan aydınlatma metni örneğinde, taraflarına Karar Tebligatı yapılmadan önce aydınlatma amacıyla kullandığı Gizlilik Politikası metninden farklı olarak yeni bir aydınlatma metni hazırlandığı, bu aydınlatma metninde “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun olarak hangi kişisel verilerin işlendiğine kategorik bazda ve ayrıntılı bir şekilde yer verildiği, kişisel verilerin hangi ortamlarda ve hangi şekilde elde edildiği, neden işlendiği, aktarıldığı, hangi hukuki gerekçelerle hangi kurum ve kişilere aktarım yapıldığı ve verilerin ne kadar süre ile işlenip, saklandığına ilişkin net, anlaşılır ifadelere yer verilerek bilgi paylaşımında bulunulduğu,
- Ancak bahsi geçen aydınlatma metninde işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine dair Tebliğ hükümlerine uygun bir aydınlatma yapılmadığı,
- “Kişisel verilerinizi Hangi Hukuki Gerekçe ile İşliyoruz?” başlığı altında “6698 sayılı Kanun’un 5 ve 6’ncı maddeleri kapsamında, Bankamız tarafından kişisel verileriniz aşağıda belirtilen koşulların varlığı halinde işlenmektedir:
- Açık rızanızın bulunması,
- Kanunlarda veya yönetmelik, tebliğ, idari otorite kararı ve sair ikincil mevzuatta belirtilmiş hak veya yükümlülüklerimizin yerine getirilmesi,
- Bankamız ile akdettiğiniz sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla veri işlemenin gerekli olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru menfaati için veri işlemenin zorunlu olması.
Bununla birlikte, özel nitelikli kişisel verileriniz ancak açık rızanızın bulunması veya Bankamızın tabi olduğu kanunlarda açıkça öngörülmesi halinde işlenmektedir.” ifadelerine yer verildiği, veri sorumlusuna tebliğ edilen Karar’da açıkça “… veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartlarına dayanarak işlediklerine ilişkin ayrıntılı şekilde yer verilmesi, …” talimatı yer aldığı halde veri sorumlusu tarafından hazırlanan aydınlatma metninin bu husus kapsamında Tebliğ’e uygun olmadığı,
- Ayrıca veri sorumlusu tarafından Kuruma iletilen cevap metninde Kararda yer alan “… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin herhangi bir ifadeye ve tevsik edici belgeye yer verilmediği görülmüş olup internet sayfasında yapılan incelemede kredi kartı başvurusu yapılmak istenildiğinde “HEMEN BAŞVUR” butonu seçildiğinde yönlendirilen sayfada “Kişisel Verilerin Korunması Kanunu kapsamında hazırlanan Aydınlatma Metni’ni okudum.” ifadesinin yer aldığı, aydınlatma metni linki seçildiğinde ise ekranda beliren aydınlatma metninin veri sorumlusunun anasayfasında “Kişisel Verilerin Korunması” başlığı altında yer alan aydınlatma metninden farklı olduğu görülmekle birlikte bahsi geçen aydınlatma metninin de kredi kartı başvurusuna özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni olduğu, bu aydınlatma metninde de Bankanın ana sayfasında yer alan aydınlatma metni gibi veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ayrıntılı bir şekilde yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırı olduğu,
- Ayrıca veri sorumlusunun internet sayfasında konut kredisi başvurusu yapılmak istenildiğinde ise kredi kartı başvurusunda olduğu gibi bir uygulama ile karşılaşılmayıp yönlendirilen ilk sayfada sağ üst köşede “Gizlilik” butonunun yer aldığı, bu buton seçildiği takdirde “Gizlilik Politikası” sayfasına yönlendirildiği, “Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni” sekmesine girildiğinde ise Kurul Kararı ardından Kurumumuza gönderilen güncellenmiş olan ve ana web sayfasında yer alan aydınlatma metni ile karşılaşıldığı, dolayısıyla konut kredisi başvurusu için bu başvuruya özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni ile aydınlatma yapıldığı
tespit edilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;
- Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
- Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak cevap yazısı ile ekinde herhangi bir ifadeye ve tevsik edici belgeye yer verilmediği ve ayrıca veri sorumlusunun internet sayfasında çeşitli bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü hazırlanmamış genel bir aydınlatma metnine yer verildiği ve bu metinin de Tebliğe uygun hazırlanmadığı
dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmediği, bu çerçevede Kurul Kararı ile verilen talimatın yerine getirilmeyerek veri sorumlusu tarafından Kanunun 15’inci maddesinin (5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca veri sorumlusu hakkında 120.000 TL idari para cezası uygulanmasına karar verilmiştir.