“Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2023 tarihli ve 2023/67 sayılı Karar Özeti

“Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2023 tarihli ve 2023/67 sayılı Karar Özeti

Karar Tarihi : 12/01/2023
Karar No : 2023/67
Konu Özeti : Bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi

 

İlgili kişi tarafından Kuruma intikal ettirilen dilekçede özetle;

  • Bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği,
  • Veri sorumlusuna yapılan başvuruya istinaden gönderilen cevabi yazıda üçüncü kişinin e-posta adresinin ilgili kişinin ortağı olduğu şirketin vekili tarafından 2017 yılında çek karnesi talebi için bankaya bildirildiği yönünde beyanda bulunulduğu, veri sorumlusu tarafından, 2018 yılına ilişkin bireysel emeklilik sözleşmesi teklifi ve 2020 yılına ilişkin hayat sigortası formlarında, söz konusu e-posta adresinin yer almasına karşın ilgili kişinin itiraz etmeksizin bu formlara onay verdiğinin öne sürüldüğü ve veri ihlali yaşanmadığının iddia edildiği,
  • Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerin asil tarafından yapılmış kabul edilmesi sebebiyle bu kişilere yapılacak aydınlatmanın kanunen yeterli görüldüğü ancak şirket vekilinin, ilgili kişinin şahsi vekili olmadığı, diğer taraftan uyuşmazlığa konu olan hususta, e-posta adresinin ilgili kişinin şahsına ait olduğu varsayımında dahi, yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, ayrıca gönderim yapılan e-posta adresi ilgili kişiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan rıza beyanının da batıl olduğu,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun)  4’üncü maddesi uyarınca kişisel verilerin doğru ve güncel olması gerektiği, bu hususta veri sorumlusunun aktif özen yükümlülüğünün bulunduğu, veri sorumlusu tarafından ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalların açık tutulması gerektiği, veri sorumluları tarafından üçüncü kişilerin telefon numarası, e-posta adresi gibi kanallarına, ekstreleri vb. kişisel veri içeren belgelerin gönderilmesini önlemek ve bu iletişim adreslerinin doğruluğunu teyit etmek amacıyla veri sorumluları tarafından gerekli idari ve teknik tedbirlerin alınmasının zorunlu olduğu, veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği,
  • Veri sorumlusu tarafından daha sonraki tarihlerde ilgili kişiye sunulan tüm sözleşme, teklif ve formlarda e-posta iletişim bilgisinin basılı olarak yer alması nedeniyle e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı

belirtilerek veri güvenliğinin ihlal edilmesi sebebiyle gereğinin yapılması talep edilmiştir.

Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • İlgili kişinin ortağı olduğu şirketin banka müşterilerinden biri olduğu, ilgili kişinin ortağı olduğu şirket için 2017 yılında çek karnesi talep edildiği ve o dönem çek karnesi için Findeks üyeliği gerektiğinden firmaya Findeks üyeliği oluşturulduğu, Findeks üyeliği oluşturmak için firma yetkililerinin iletişim bilgilerinin sisteme girilmesinin zorunlu tutulması nedeniyle ilgili kişinin hesabına, şikâyete konu olan e-posta adresinin tanımlandığı, Findeks üyelik formunun firma yetkililerinin banka sistemindeki iletişim bilgileri ile doldurulduğu ve firma yetkilileri tarafından imzalandığı,
  • Somut olayda Findeks üyelik formunda ilgili kişiye ait iletişim bilgilerinin, ilgili kişinin ortağı olduğu şirketin vekili tarafından bankaya ibraz edildiği, söz konusu formda bu adresin açıkça ekstreler ile hesap hareketlerinin gönderildiği e-posta adresi olarak belirtildiği ve evrakın vekil tarafından imzalandığının tespit edildiği,
  • İlgili e-posta adresi verisinin, Findeks üyelik sözleşmesinin ifası için alınması gereken zorunlu bir bilgi olduğu, bu kapsamda söz konusu kişisel verinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca işlendiği, dolayısıyla “açık rıza alınmadığı” şeklindeki iddiaların yersiz olduğu,
  • Türkiye Bankalar Birliği öncülüğünde sektör ve Kurul tarafından hazırlanmış olan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Kılavuz Taslağı'nda belirtildiği üzere; her bir kredi kullandırma işlemi özelinde “risk grubu”nda bulunan ilgili kişilerin tek tek aydınlatılması suretiyle değil, kolayca erişilebilecek şekilde ve sadece “Risk Grubu” faaliyetleri bakımından genel bir aydınlatma yapılabildiği,
  • Gayri nakdi kredi işlemi olan çek karnesi başvurusunda risk grubu içerisinde yer alan ilgili kişinin kişisel verisinin işlenmesine ilişkin aydınlatma yükümlülüğünün veri sorumlusunun internet sitesi aracılığıyla yerine getirildiği,
  • İlgili kişinin, e-posta adresinin silinmesi talebini bankaya iletmesi üzerine aynı gün içerisinde ilgili kişinin hesabına kayıtlı e-posta adresinin silindiği ve yeni e-posta adresinin eklendiği, EFT ve havale bilgilendirme e-postalarının ilgili kişi tarafından aktif hale getirildiği, 2020 yılında ilk EFT ve havale bilgilendirme e-postalarının gönderilmiş olduğu, bu tarihe kadar olan süreçte, söz konusu hatalı e-posta adresine gönderilen e-postalar incelendiğinde, gönderilen e-postaların müşterinin ortağı olduğu firmaya ait ekstre, EFT/havale transfer limit değişiklik bilgilerini içerdiği ve müşteriye ait herhangi bir kişisel veri içermediğinin görüldüğü, bu yüzden şikâyetçinin kişisel verilerinin hukuka aykırı şekilde üçüncü kişilerle paylaşıldığı iddiasının mesnetsiz olduğu,
  • İlgili kişinin onayı ve teyidi sonrası gönderilen e-postalar için Kanun’a ve Türk Ceza Kanunu’na (TCK) aykırılık iddiasının söz konusu olamayacağı, zira halihazırda Kanun’un 5’inci maddesinde yer alan hukuka uygunluk sebepleri çerçevesinde işlenmiş olan ve Kanun’un 11’inci maddesi çerçevesinde doğruluğu teyit edilmiş bir e-posta adresine gerekli tüm teknik ve idari tedbirler alınarak; veri sorumlusunun hukuki yükümlülüğü çerçevesinde, ilgili kişinin talebi doğrultusunda e-posta iletilmesinin hem Kanun hem de TCK kapsamında ihlal olarak değerlendirilemeyeceği,
  • İlgili kişinin kişisel verisinin yanlış ibrazından haberi olmadığı ve fark etme/düzeltme imkânı tanınmadığı iddiasının mesnetsiz olduğu,
  • Doktrinde de açıkça ifade edildiği gibi ana kuralın ilgili tarafından doğru veri iletilmesi olduğu ve Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesi hakkının kullanılabilmesi için veri sorumlusunun ilgili kişiye gerekli ortamı sağlama yükümlülüğünün bulunduğu,
  • Verinin doğruluğu ve güncelliği için ilgili kişiye her türlü imkânın sağlanarak başvuru kanalının açıldığı, ilgili kişinin imzaladığı evrakta gördüğü e-posta adresine işlem esnasında itiraz etme olanağının bulunduğu,
  • Veri sorumlusunun kayıtlarında yapılan incelemede, şikâyete konu olan e-posta adresine ilk e-posta gönderiminin 2018 yılında gerçekleştiği, son e-posta gönderiminin ise 2021 yılında gerçekleştiğinin tespit edildiği,
  • İlgili kişiye ilişkin hatalı e-posta adresine 2020 yılına kadar herhangi bir kişisel veri iletilmediği ve yalnızca tüzel kişiye ait bilgilerin iletildiği, bu yüzden Kanun kapsamında giren herhangi bir durumun söz konusu olmadığı, 2020 yılından sonra gönderilen e-postaların ise halihazırda onay ve teyit alınarak gönderildiği,
  • Yapılan incelemelerde gönderilen e-postaların tamamının müşterinin sisteminde kayıtlı olan adresine sistem tarafından gönderilen e-postalar olduğunun belirlendiği, söz konusu e-posta adresine sistem haricinde personel tarafından herhangi bir gönderim yapılmadığının tespit edildiği,
  • Tüm bu sebeplerle hukuka aykırı veri paylaşımı yapıldığı, ilgili kişiye kişisel verilerini düzeltme ve yanlışlığı fark etme imkânının tanınmadığı iddiasının gerçek dışı olduğu,
  • Kişisel verilerin işlenmesi noktasında her türlü önlemin alındığı, Kanun’un 4’üncü maddesinde yer alan ilkelere uygun davranıldığı ve taleplerine ilişkin olarak ilgili kişilerin her türlü kanaldan ulaşması için imkân sağlandığı

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/01/2023 tarih ve 2023/67 sayılı Kararı ile;

  • Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanun’un "Kişisel Verilerin İşlenme Şartları" başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
  • Kişisel verilerin işlenmesinde Kanun’un 4’üncü maddesi uyarınca temel ilkelere uyumluluğun zorunlu olduğu, “doğru ve gerektiğinde güncel olma” ilkesinin de veri sorumluları tarafından uyulması zorunlu bu temel ilkelerden bir tanesini teşkil ettiği, Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı’nda da “doğru ve gerektiğinde güncel olma” ilkesi doğrultusunda veri sorumlusunun makul önlemler alması gerektiğinin belirtildiği, anılan İlke Kararı ile veri sorumluları tarafından kendilerine bildirilen irtibat numaralarının doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına karar verildiği, kişisel verilerin doğru ve güncel bir şekilde tutulmasının, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusunun bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyması halinde geçerli olduğunun değerlendirildiği, bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği,
  • Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı göz önünde bulundurulduğunda, somut olaya konu olan işleme faaliyetinin hukuka uygun yürütülmesi bakımından veri sorumlusunun özen yükümlülüğü çerçevesinde hareket ettiği,
  • Öte yandan, hatalı e-posta adresine giden bildirimlerin kişinin hesap hareketlerinin üçüncü bir kişiye açıklanmasının yanı sıra olası dolandırıcılık olaylarında hesaptan, hesap sahibinin bilgisi dışında para çekilmesi gibi durumlardan haberdar olunamaması gibi sonuçlara yol açabileceğinin veri sorumlusu tarafından göz önünde bulundurulması gerektiği, ilgili kişi açısından para transferlerine ilişkin bilgilendirmelerin alınamamasının ve üçüncü kişiye gönderilmesinin hak kaybına sebebiyet verebileceği dikkate alındığında, veri sorumlusunun Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaları kurması gerektiği

değerlendirmelerinden hareketle

  • Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında şikâyet konusu ile ilgili olarak veri sorumlusu banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına

karar verilmiştir.