KVKK, banka, muhasebe-finansman şirketleri, kargo şirketleri vb. kişisel veri barındıran tüm kurum ve kuruluşları ilgilendirecek yeni bir karara daha imza attı. Verilen karara göre bir şahsa ait kredi kartının rızası dışında üçüncü kişilere teslim edilmesi sebebiyle, işlemi yapan özel bankaya 50,000 TL para cezası uygulandı. İlgili kişinin mağduriyeti ve şikayeti sonucunda KVKK tarafından yapılan incelemede şahıs haklı bulundu.

Karara konu somut olayı inceleyecek olursak, özel bir bankanın müşterisi olan ilgili kişiye ait kredi kartı yenilenmiştir. Yenilenen kredi kartı kargo şirketi tarafından ilgili kişiye ulaştırılmak istenmiştir. Konuyla alakalı SMS ile bilgilendirilme yoluna gidilmiştir. Fakat kişinin telefon numarasına ulaşılamamıştır. Kişiye ulaşılamaması sebebiyle birinci adrese teslimat yapılamamıştır. Bankanın sisteminde kişiye ait ikinci bir adres daha bulunmaktadır. Banka kredi kartını, sisteminde kayıtlı bulunan ikinci adrese göndermiştir. Fakat teslimat ilgili kişiye değil başka bir şahsa yapılmıştır.

İlgili kişi konu ile alakalı banka ile görüşmüştür. Fakat banka tarafından kredi kartının aslında birinci adrese teslim edildiğinin sisteme işlendiği, bu adresin doğru olduğu ancak teslim edilen kişinin tanınmıyor olduğu tespit edilmiştir. Bu durum üzerine banka kredi kartını işleme kapatmıştır. Sonrasında ise kredi kartının aslında ilgili kişinin ikinci adresi olan eski iş yerine teslim edildiği açıklığa kavuşmuştur.

İlgili kişi bu durumla ilgili olarak mağdur olmuştur. Bu sebeple KVKK'ya müracaat etmiştir. KVKK yapmış olduğu incelemeler sonucunda banka hakkında 50.000 TL idari para cezası uygulamıştır. KVKK tarafından 16/01/2020'de verilen 2020/32 sayılı karar özetini incelediğimizde kişisel verileri işleme faaliyeti üzerinden işlem yapan banka, muhasebe ve finansman şirketleri, GSM operatörü gibi firmalar için KVKK kapsamında dikkat edilmesi gereken belli başlı unsurlar aşağıdaki şekildedir;

*Kurum ve kuruluşlar müşterilerinin gerekli adres güncellemelerini yapmalıdır. Gerek kargo şirketleri gerekse emtia sunan finans şirketleri KVKK'nın 4 üncü maddesi gereği tutulan kişisel verilerin doğru ve gerektiğinde güncel olma ilkesine riayet etmesi KVKK açısından büyük önem arz etmektedir.

*Bankalar kişisel verileri kendi veri kayıt sistemlerinde belirlenen amaç ve vasıtalar ile tutmaktadırlar. Bu konuda da en büyük sorumluluk veri sorumlusuna aittir. Dolayısıyla belirlenen amaç ve vasıtalar kontrol edilmeli, kişisel verilerin en güncel haliyle muhafaza edilmesi sağlanmalıdır.

*Kuryeler de Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahiptir. Bu yükümlülüğe dikkat edilmelidir. Yükümlülüğün ihmal edilmesi durumunda şirketlerle birlikte müştereken sorumluluk ortaya çıkacaktır.

*Kargo şirketleri ilgili mal ve hizmetin teslimi konusunda aracı durumundadır. Kurye şirketleri kişisel veri içeren mal ve hizmetlerin tesliminde teslimat yapılan kişinin doğru kişi olması konusunda çok daha dikkatli davranmalıdır. Gerekli kimlik tespitleri yapılmadan teslimat sağlanmamalıdır.

KVKK Kurul Kararı özeti aşağıdaki şekildedir;
 

 

Bir banka tarafından ilgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesine ilişkin Kişisel Verileri Koruma Kurulu’nun 16/01/2020 Tarih ve 2020/32 Sayılı Karar Özeti

 
Karar Tarihi : 16/01/2020
Karar No : 2020/32
Konu Özeti :İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi.


 

İlgili kişi tarafından Kurumumuza intikal eden şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğu belirtilmekte olup, Banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Yapılan incelemede kişinin yenilenen kredi kartının Banka sisteminde kayıtlı bulunan birinci adresine Kurye tarafından dağıtıma çıkarıldığı ancak kişiye ulaşılamadığı, kayıtlı telefon numarasına da Kurye Şirketi tarafından bilgilendirme SMS’lerinin gönderildiği ancak telefon numarasının servis dışı olması sebebiyle SMS’lerin kişiye iletilemediği, birinci adrese teslimat sağlanamadığından Banka sisteminde kayıtlı bulunan ikinci adrese dağıtıma gidildiği ve kartın burada bir kişiye teslim edildiği ancak teslim statüsünün hatalı olması sebebiyle kişiye SMS ile bilgilendirme yapılmadığı, daha sonra kişinin müşteri iletişim merkezi ile yaptığı görüşmelerde kredi kartının aslında birinci adrese teslim edildiğinin sisteme işlendiği, bu adresin doğru olduğu ancak teslim edilen kişinin tanınmıyor olmasının beyan edilmesi üzerine kartın güvenlik altına alınarak kapatıldığı, kartın aslında kişinin ikinci adresi olan eski işyeri adresine teslim edildiği anlaşılmıştır.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 16/01/2020 tarih ve 2020/32 sayılı kararı ile,
  • Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellememiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı, Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,
  • Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı, söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve Kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan Kurye’nin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı,
  • Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu,
  • Öte yandan somut olayda Banka ile Kurye arasında imzalanan sözleşme kapsamında Kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun Banka ve Kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu,
  • Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,
değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine

karar vermiştir.
Editör: TE Bilişim