Banka Tarafından Müşteri Verilerinin Yakınlarla Paylaşılması – KVKK 2021/79 Karar Özeti

KVKK · Bankacılık Sırrı · Müşteri Verisi

Banka Müşteri Verisini Yakınları ile Paylaşabilir mi? – KVKK 2021/79 Kararı

03/02/2021 tarihli ve 2021/79 sayılı KVKK Kurul Kararı, bir bankanın müşterisinin kredi kartı borcuna ilişkin bilgilendirme amacıyla, müşterinin ablası ve babasına ait telefon numaralarını araması ve bu sırada müşterinin banka ile ilişkisinin yakınlarına ifşa edilmesi sebebiyle incelenmiştir.

Kurul; veri sorumlusu banka tarafından, Risk Merkezi üzerinden temin edilen telefon numaralarının kullanılması suretiyle ilgili kişinin banka müşterisi olduğuna dair bilginin yakınlarıyla paylaşılmasının, 6698 sayılı Kanunun 5 inci maddesinde yer alan herhangi bir kişisel veri işleme şartına dayanmadığını tespit etmiş ve bu nedenle bankaya idari para cezası uygulanmasına karar vermiştir.

Olayın Özeti Kurulun Hukuki Değerlendirmesi

İçindekiler 1. Kararın Konusu ve Olayın Özeti 2. Bankanın Savunması ve Risk Merkezi Kullanımı 3. Kurulun Hukuki Değerlendirmesi (KVKK m.5, m.12, Bankacılık Kanunu) 4. Nihai Karar ve Uygulanan Yaptırım 5. Bankalar ve Şirketler İçin Çıkarılacak Dersler 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Karar No: 2021/79
Karar Tarihi: 03/02/2021
Konu: Bankanın, müşterisine ulaşamadığında yakınlarına ait telefon numaralarını araması ve bu suretle müşterinin banka ile ilişkisinin ifşası.
Kurul Sonucu: Yakınların aranması ve bu esnada müşterinin banka ilişkisine dair bilginin paylaşılması KVKK’ya aykırı bulundu, idari para cezası uygulandı.

Bu karar, özellikle bankalar ve finans kuruluşları için, müşteri sırrı ve veri minimizasyonu ilkelerinin önemini vurgulayan emsal nitelikte bir değerlendirme sunmaktadır.

KVKK 2021/79 Banka & müşteri verisi Risk Merkezi

Kaynak notu: Bu içerik, Kişisel Verileri Koruma Kurumunun resmi internet sitesinde yayımlanan 2021/79 sayılı Karar Özeti esas alınarak hazırlanmıştır.
Resmi metin için: kvkk.gov.tr

1. Kararın Konusu ve Olayın Özeti

İlgili kişi, veri sorumlusu olan banka kredi kartını kullanan bir müşteridir. Şikâyete göre:

Banka, ilgili kişinin kredi kartı borcuna dair bilgilendirme yapmak amacıyla önce ilgili kişiyi aramış,
İlgili kişiye ulaşılamaması üzerine, ilgili kişinin ablası ve babasına ait telefon numaralarını aramıştır,
Bu aramalar üzerine ilgili kişi, 15/11/2019 tarihinde bankaya başvurarak:
- Ailesinin iletişim bilgilerinin nasıl elde edildiğini,
- Kendisine ait kişisel verilerin neden üçüncü kişilerle paylaşıldığını
sormuş ve açıklama talep etmiştir.

Bankanın 19/11/2019 tarihli cevabında; kart borcuna ilişkin bilgilendirme amaçlı aramalar yapıldığı, ilgili kişiye ulaşılamadığında alternatif telefon numaralarından da ulaşılmaya çalışıldığı, ilgili kişinin talebi üzerine sisteme “yakınlarının aranmayacağı” yönünde güncelleme yapıldığı belirtilmiştir.

İlgili kişi, bu uygulamanın kişisel verilerinin yakınları ile izinsiz paylaşılması anlamına geldiğini belirterek, veri sorumlusu banka hakkında KVKK kapsamında Kuruma şikâyette bulunmuştur.

2. Bankanın Savunması ve Risk Merkezi Üzerinden Elde Edilen Veriler

Kurul tarafından başlatılan inceleme kapsamında veri sorumlusu bankadan savunma istenmiş; bankanın Kuruma ilettiği cevapta özetle şu hususlar yer almıştır:

İlgili kişinin 2016 yılından beri bankaya ait kredi kartını kullandığı,
Kredi kartının 25/08/2018 tarihinden itibaren gecikmeye girdiği,
İlgili kişinin verdiği iletişim numarasının defalarca aranmasına rağmen kendisine ulaşılamadığı,
Bu nedenle 23/10/2018 tarihinde sistemde “alternatif numara” olarak tutulan ***10, 28/12/2018 ve 28/03/2019 tarihlerinde ise ***55 numaralı telefonların arandığı,
Yapılan görüşmelerde ilgili kişinin kişisel verilerinin detaylı şekilde paylaşılmadığı, sadece “ilgili kişinin bankayı geri araması için not bırakıldığı”,
Bankanın, 5411 sayılı Bankacılık Kanunu Ek 1 ve ilgili mevzuat uyarınca Türkiye Bankalar Birliği Risk Merkezi ile gizlilik ve bilgi paylaşımı çerçevesinde çalıştığı, Risk Merkezi üzerinden kredi risk bilgileri ve iletişim bilgilerinin temin edildiği,
İlgili kişinin Risk Merkezi üzerinden elde edilen telefon numaralarının, sadece kendisine ulaşmak için ve bu amaçla sınırlı olmak üzere kullanıldığı,
15/11/2019 tarihinde ilgili kişi ile yapılan görüşmeden sonra, ilgili kişinin talebi doğrultusunda, 18/11/2019 itibarıyla yakınlarına ait telefon numaralarından artık arama yapılmaması için sistemsel güncelleme gerçekleştirildiği

Banka, genel olarak yaptığı işlemin, kredi ilişkisinin yönetimi ve risklerin takibi kapsamında değerlendirilmesi gerektiğini, aile bireylerinin aranmasının da bu amaçla sınırlı olduğunu ileri sürmüştür.

Önemli nokta: Her ne kadar bankanın amacı alacak takibi ve risk yönetimi olsa da, Kurul değerlendirmesinde esas olan; bu amaç için hangi kişisel verilerin, kimlerle ve hangi hukuki dayanakla paylaşıldığıdır.

3. Kurulun Hukuki Değerlendirmesi

Kurul, olayı incelerken hem KVKK hükümlerini hem de Bankacılık Kanunu’ndaki sır saklama yükümlülüğünü dikkate almıştır.

3.1. KVKK m.5 – Kişisel Verilerin İşlenme Şartları

6698 sayılı Kanunun 5 inci maddesine göre kişisel veriler:

İlgili kişinin açık rızası ile, veya
Kanunda sayılan istisnai şartlardan (kanunlarda açıkça öngörülmesi, sözleşmenin kurulması veya ifası, hukuki yükümlülük, meşru menfaat, bir hakkın tesisi, alenileştirme vb.) en az birinin varlığı halinde

işlenebilir. Kurul, somut olayda ilgili kişinin:

Banka ile ilişkisine dair bilginin (kredi kartı müşterisi olması ve borç durumu), Risk Merkezi üzerinden temin edilen numaralar kullanılarak ablası ve babası ile paylaşılmasına,
KVKK m.5’te sayılan hiçbir veri işleme şartının açıkça dayanak oluşturmadığına

kanaat getirmiştir.

3.2. KVKK m.12 – Veri Güvenliği Yükümlülüğü

KVKK m.12 uyarınca veri sorumlusu, kişisel verilerin:

Hukuka aykırı işlenmesini önlemek,
Hukuka aykırı erişimini engellemek,
Ve verilerin güvenliğini sağlamak

için gerekli teknik ve idari tedbirleri almak zorundadır. Kurul, ilgili kişinin abla ve baba numaralarının aranması suretiyle müşterinin banka ile ilişkisinin üçüncü kişilere açıklanmasının, verilerin hukuka aykırı işlenmesi anlamına geldiği sonucuna varmıştır.

3.3. Bankacılık Kanunu m.73 – Müşteri Sırrı

5411 sayılı Bankacılık Kanununun 73 üncü maddesi;

Banka ve müşteri sırrı niteliğindeki bilgilerin,
Müşterinin açık rızası olsa dahi, belirli istisnalar dışında üçüncü kişilerle paylaşılamayacağını,
Ve bu bilgilerin yalnızca amaçla sınırlı, ölçülü ve yetkili mercilerle paylaşılabileceğini

düzenlemektedir. Kurul, bankanın Risk Merkezi üzerinden temin ettiği numaraları kullanarak, müşterinin borç durumuna ilişkin arama yapmasını; müşteri sırrı ve KVKK çerçevesinde ölçülü ve gerekli olmayan bir paylaşım olarak değerlendirmiştir.

3.4. Yakınların Aranması ve Paylaşımın Kapsamı

Banka, görüşmelerde yalnızca “ilgili kişinin bankayı araması gerektiğine dair not bırakıldığını” belirtmiş olsa da, Kurul şu noktaya dikkat çekmiştir:

Aramanın bankanın genel müdürlüğünden yapılması ve ilgili kişiden geri dönüş istenmesi, ilgili kişinin banka müşterisi olduğuna ve banka ile bir borç/ilişki bulunduğuna dair bir ifşa etkisi yaratmaktadır.
Bu durum, ilgili kişinin bankayla münasebetinin yakınları ile paylaşılması sonucunu doğurmakta ve kişisel veri işleme faaliyeti kapsamında değerlendirilmektedir.

4. Nihai Karar ve Uygulanan Yaptırım

Yapılan değerlendirmeler neticesinde Kişisel Verileri Koruma Kurulu, 03/02/2021 tarihli ve 2021/79 sayılı kararı ile özetle şu sonuca varmıştır:

Banka tarafından ilgili kişinin ablası ve babasının, Risk Merkezi vasıtasıyla temin edilen telefon numaraları üzerinden aranması suretiyle, ilgili kişinin banka ile münasebetinin ve borç durumunun dolaylı olarak yakınları ile paylaşılması,
KVKK m.5’te sayılı kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı bir veri işleme faaliyeti olarak değerlendirilmiştir.

Bu çerçevede:

Veri sorumlusu bankanın, KVKK m.12/1(a) kapsamında “kişisel verilerin hukuka aykırı işlenmesini önleme” yükümlülüğünü yerine getirmediği kabul edilmiş,
Banka hakkında, KVKK m.18/1(b) uyarınca idari para cezası uygulanmasına karar verilmiştir.

Özetle: Kurul, bankaların alacak takibi yaparken dahi müşterinin ilişkisinin, aile bireyleri de dahil olmak üzere üçüncü kişilerle paylaşılmasını KVKK ve bankacılık mevzuatı bakımından kabul edilebilir bulmamıştır.

5. Bankalar ve Diğer Şirketler İçin Çıkarılacak Dersler

Bu karar, yalnızca bankalar için değil; tüm alacak tahsilatı ve müşteri iletişimi süreçleri yürüten şirketler için önemli uyarılar barındırmaktadır.

5.1. Yakınların Aranması ve KVKK

Müşteriye ulaşılamadığı durumlarda aile fertlerini, komşuları veya iş arkadaşlarını aramak; ilgili kişinin ilişkisinin ifşası niteliğinde olabilir.
Bu tür aramalar, ancak çok sınırlı ve açık bir hukuki dayanak varsa (örneğin açık rıza veya zorunlu hukuki yükümlülük) yapılmalı; aksi halde KVKK ihlali ve idari para cezası riski doğar.

5.2. Risk Merkezi ve Benzeri Kaynaklardan Alınan Veriler

Risk Merkezi gibi sistemlerden elde edilen veriler, yalnızca ilgili mevzuatta tanımlanan amaçlarla ve ölçülülük ilkesine uygun olarak kullanılmalıdır.
“Veri elime geçti, o halde her amaçla kullanabilirim.” yaklaşımı, hem KVKK hem de sektörel mevzuat (Bankacılık Kanunu vb.) açısından ciddi riskler doğurur.

5.3. İletişim Tercihleri ve Sistemsel Güncellemeler

Müşterilerin “yakınlarım aranmasın”, “sadece şu kanaldan iletişim kurun” gibi talepleri hızlıca sistemlere yansıtılmalı ve kayıt altına alınmalıdır.
Çağrı merkezleri, tahsilat ekipleri ve saha çalışanları; bu tercihlere aykırı davranmamaları için eğitim ve denetim süreçleriyle desteklenmelidir.

KVKK karar özetleri Banka müşteri verisi Risk Merkezi Yakınların aranması

6. Sık Sorulan Sorular (SSS)

Banka, borcum için ailemi arayabilir mi?

KVKK Kurulunun 2021/79 sayılı kararında, müşterinin borcuna ilişkin bilgilendirme amacıyla aile fertlerinin aranması ve bu süreçte müşterinin bankayla ilişkisinin ifşa edilmesi hukuka aykırı bulunmuş ve idari para cezası uygulanmıştır. Genel kural, müşteri sırrının ve kişisel verilerin, açık bir hukuki dayanak olmadan üçüncü kişilerle paylaşılmamasıdır.

“Sadece geri arama notu bırakmak” da kişisel veri paylaşımı sayılır mı?

Evet, çoğu zaman sayılır. Banka tarafından “Genel Müdürlükten arıyoruz, müşteriniz bize geri dönsün.” denmesi bile, ilgili kişinin banka müşterisi olduğuna ve bir bankacılık ilişkisi bulunduğuna dair bir bilgi taşır. Bu bilgi, KVKK açısından kişisel veri niteliğindedir ve üçüncü kişiyle paylaşımı hukuki temele dayanmalıdır.

Risk Merkezi’nden alınan iletişim bilgileri nasıl kullanılabilir?

Risk Merkezi üzerinden elde edilen veriler; ilgili mevzuatta öngörülen amaçlarla, yani kredi riskinin ölçülmesi, izlenmesi ve raporlanması çerçevesinde ve sırrın saklanması yükümlülüğüne uygun şekilde kullanılmalıdır. Bu verilerin, müşterinin yakınlarının aranması gibi amaçlarla genişletilmesi, hem KVKK hem de Bankacılık Kanunu bakımından sorun yaratabilir.

Benzer bir durum yaşıyorsam ne yapabilirim?

Öncelikle veri sorumlusu bankaya KVKK m.13 uyarınca başvurarak; hangi verilerinizin kimlerle ve hangi hukuki gerekçeyle paylaşıldığını sorabilir, hukuka aykırı gördüğünüz bir paylaşım varsa düzeltilmesini veya durdurulmasını talep edebilirsiniz. Cevap yetersiz ise, Kişisel Verileri Koruma Kurumuna şikâyet yoluna gidebilirsiniz.

Bu karar tüm bankalar için bağlayıcı mıdır?

Kurul kararları doğrudan “içtihat” gibi bağlayıcı olmasa da, uygulamaya yön veren emsal kararlar niteliğindedir. Dolayısıyla bankalar ve diğer finans kuruluşları; benzer olaylarda aynı hukuki değerlendirme ile karşılaşabileceklerini dikkate alarak süreçlerini buna göre düzenlemelidir.

Bu metin hukuki danışmanlık yerine geçer mi?

Hayır. Bu metin, KVKK Kurulunun 2021/79 sayılı karar özetini, bilgilendirme amaçlı ve sadeleştirilmiş biçimde açıklamaktadır. Somut olaylarınız, sözleşmeleriniz veya uyum projeleriniz için mutlaka alanında uzman hukukçular ve veri koruma profesyonellerinden destek almanız gerekir.