Banka Tarafından Gönderilen SMS ve Silme Talebinin Reddedilmesi
KVKK 13/04/2021 Tarihli 2021/358 Sayılı Karar Özeti

1. Vaka Özeti ve Şikâyet Konusu

İlgili kişi, bir banka nezdindeki müşteri ilişkisi 22/11/2003’te başlayan ve son işlemi de bu tarih civarında olan bir kredi kartı/hesap ilişkisi bulunduğunu; üzerinden yaklaşık 16 yıl geçmiş olmasına rağmen kişisel verilerinin hâlâ banka sistemlerinde tutulduğunu ve kendisine SMS ve telefon aramaları yapıldığını belirterek Kuruma şikâyette bulunmuştur.

Şikâyet dilekçesinde özetle;

• Banka ile ilişkisinin yıllar önce sona erdiği,
• Buna rağmen kişisel verilerinin hâlâ saklandığı ve kendisine SMS gönderildiği, kredi kartı talebi için arandığı,
• Bankaya yaptığı başvuruya Kanun’da öngörülen 30 günlük süre geçtikten sonra cevap verildiği ve cevabın yetersiz olduğu,
• Banka cevabında kişisel verilerin yurt dışına aktarılabildiğinden bahsedilmesine karşın bu konuda açık rıza vermediğini ve Kanunun 9. maddesindeki istisnalara dair somut bir açıklama olmadığını,
• 2003 yılında kurulmuş sözleşmesel ilişki sona ermesine rağmen kişisel verilerinin 10 yıl daha saklanacağının belirtilmesi ve silinip silinmeyeceğinin açıkça ifade edilmemesinin mevzuata aykırı olduğunu

belirterek, banka hakkında 6698 sayılı Kanun kapsamında gerekli işlemlerin yapılmasını talep etmiştir.

2. Bankanın Savunması ve Açıklamaları

KVKK Kurulu tarafından başlatılan inceleme kapsamında veri sorumlusu bankadan savunma istenmiş ve gelen cevabi yazıda özetle şu hususlar belirtilmiştir:

2.1. Başvuruya Süresinde Cevap Verilmemesi

• İlgili kişiye cevabın sehven 2 gün gecikmeli gönderildiği,
• Bu hatanın tekrarlanmaması için banka içinde gerekli tedbirlerin alındığı.

2.2. Müşteri İlişkisi ve Sözleşmeler

• İlgili kişinin müşteri numarasının 2003 yılında oluşturulduğu ve ilk kredi kartı girişinin bu yıl yapıldığı,
• 18/11/2003 tarihli Kredi Kartı Başvuru Formu ve Bankacılık İşlemleri Sözleşmesinin bulunduğu,
• 14/11/2011 tarihli Bilgi Güncelleme, Kimlik Adres Tespit Tutanağı ve Bankacılık İşlemleri Sözleşmesinin de sistemde yer aldığı.

2.3. Hesap Durumu ve Saklama Gerekçesi

• İlgili kişi adına açık hesap ya da aktif ürün bulunmadığı,
• Ancak 5411 sayılı Bankacılık Kanunu’ndan doğan yükümlülükler gereği müşteriye ait bilgilerin bankanın veri tabanında tutulmaya devam ettiği.

2.4. E-Haciz Süreci ve SMS Gönderimi

• 08/11/2019 tarihinde Gelir İdaresi Başkanlığının bildirimi üzerine ilgili kişiye ait hak/alacak olmadığı için e-haciz uygulanmadığı,
• Aynı gün gelen iptal bilgisi sonrası; sistemde kayıtlı cep telefonuna
  “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” içerikli bir yasal bilgilendirme SMS’i gönderildiği,
• Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca 01/05/2015’ten itibaren iletişim izni olmayan müşterilere pazarlama içerikli elektronik iletiler gönderilmediği,
• Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliği gereği yasal bilgilendirme içeren iletiler için ayrıca ticari iletişim iznine gerek bulunmadığı,
• Vergi dairesinden gelen haciz bildirimlerinde bankada otomatik tetiklenen bir bilgilendirme süreci olduğu ve bu süreçte iletilen SMS’lerin yasal bilgilendirme niteliğinde olduğu.

2.5. 10 Yıllık Saklama Yükümlülüğü ve Son İşlem Tarihi

• 5411 sayılı Bankacılık Kanununun 42. maddesi uyarınca; müşterilerin banka nezdindeki işlemlerine ilişkin belgelerin son işlem/talimat tarihinden itibaren 10 yıl saklandığı,
• 10 yıl hareketsiz kalan hesapların 6 ayda bir periyotla taranarak silme sürecine tabi tutulduğu,
• Hesaba bağlı olmayan talepler için de son işlem tarihinden itibaren 10 yıl geçmesi sonrasında verilerin silindiği,
• İlgili kişinin veri sorumlusu nezdindeki son işleminin 13/12/2013 tarihli kredi kartı kapatma işlemi olduğu,
• 16/12/2019’da ise kampanya bilgilendirmelerine ilişkin iletişim iznini iptal ettiği.

2.6. Hukuki Yükümlülük, Yurt Dışına Aktarım ve Güvenlik

• Bankanın, hukuki yükümlülüklerini yerine getirebilmesi için zorunluluk hâlinin devam ettiği, bu nedenle Kanunun 5 ve 6. maddelerindeki işleme şartlarının tamamen ortadan kalkmadığı,
• İlgili verilerin Kanunun 9. maddesindeki açık rıza gerektiren yurt dışı aktarım halleri kapsamında yurt dışına aktarılmadığı,
• Banka nezdinde işlenen kişisel veriler için Kanunun 12. maddesi uyarınca gerekli idari ve teknik tedbirlerin alındığı.

3. KVKK’daki İlgili Hukuki Çerçeve

Kurul, olayı değerlendirirken 6698 sayılı Kişisel Verilerin Korunması Kanununun aşağıdaki hükümlerine atıf yapmıştır:

3.1. Kişisel Verilerin İşlenme Şartları – Madde 5

Madde 5/1: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Madde 5/2: Aşağıdaki şartlardan en az biri varsa açık rıza aranmaksızın veri işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık hâlinde hayat veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması.

3.2. Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi – Madde 7

Madde 7/1: Kanuna uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebepler ortadan kalktığında, kişisel veriler resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

Madde 7/2: Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlardaki özel hükümler saklı tutulmuştur (örneğin bankacılık mevzuatındaki 10 yıllık saklama yükümlülüğü).

3.3. İlgili Kişinin Hakları – Madde 11

İlgili kişi, veri sorumlusuna başvurarak pek çok hakka sahiptir; bunlar arasında:

• Verilerinin işlenip işlenmediğini öğrenme,
• İşlenmişse buna ilişkin bilgi talep etme,
• İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içi veya yurt dışında aktarılan üçüncü kişileri bilme,
• Eksik/yanlış işlenmiş verilerin düzeltilmesini isteme,
• Madde 7 kapsamında kişisel verilerinin silinmesini veya yok edilmesini isteme,
• Düzeltme veya silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini talep etme,
• Kanuna aykırı veri işleme nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme

Kurul, somut olayda hem SMS gönderiminin dayandığı hukuki sebebi hem de silme/imha talebinin, Bankacılık Kanunu’ndaki saklama yükümlülüğü karşısındaki durumunu bu maddeler ışığında değerlendirmiştir.

4. Kurulun Değerlendirmesi

4.1. Kişisel Veri ve SMS Gönderimi

Kurul, ilgili kişinin banka nezdinde tutulan cep telefonu numarasının kişisel veri olduğunu, bu numaraya SMS gönderilmesi suretiyle de bir kişisel veri işleme faaliyeti gerçekleştiğini tespit etmiştir.

4.2. Başvuruya Geç Cevap Verilmesi

İlgili kişinin banka nezdinde yaptığı başvurunun, Kanunda ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen 30 günlük süre içerisinde cevaplanmadığı tespit edilmiştir.

Bu nedenle Kurul, bankanın süre uyumu ve başvuru yönetimi bakımından Kanun ve Tebliğ hükümlerine uygun davranması gerektiğini vurgulamış ve bu konuda talimatlandırma yapmıştır.

4.3. Telefon Aramaları İddiası

Şikâyette, SMS’lerin yanı sıra kredi kartı için telefon aramaları yapıldığı da iddia edilmiştir. Ancak:

• Şikâyet ekinde yalnızca bir adet SMS’e ilişkin görüntü yer aldığı,
• Telefon aramalarına dair herhangi bir tevsik edici belge sunulmadığı,
• Bankaya yapılan başvuruda da yalnızca SMS’lerin konu edildiği

dikkate alınarak, telefon aramaları iddiası inceleme kapsamına alınmamıştır.

4.4. SMS’in Hukuki Sebebi – Hukuki Yükümlülük

Gönderilen SMS’in içeriği; “hesap limitindeki e-haciz kısıtının, vergi dairesinin bildirimi üzerine kaldırıldığı” yönünde olup, Kurul bu SMS’i yasal bilgilendirme niteliğinde değerlendirmiştir.

Bu çerçevede:

• Cep telefonu numarasının işlenmesi, Kanunun 5/2’deki “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanmaktadır.
• SMS içeriğinde herhangi bir mal veya hizmet tanıtımı ya da pazarlama unsuru bulunmamaktadır.
• Bu nedenle, ilgili kişinin açık rızasının/iletişim izninin alınmasına gerek olmadığı değerlendirilmiştir.

Sonuç olarak, bu yasal bilgilendirme SMS’i üzerinden kişisel verinin işlenmesinde hukuka aykırılık bulunmadığı kanaatine varılmıştır.

4.5. Silme/İmha Talebi ve 10 Yıllık Saklama Süresi

Kurul, 5411 sayılı Bankacılık Kanunu’ndaki “Belgelerin Saklanması” hükmünü dikkate alarak:

• Bankaların müşteri işlemlerine ilişkin kayıtları son işlem tarihinden itibaren 10 yıl saklamakla yükümlü olduğunu,
• İlgili kişinin bankadaki son işlem tarihinin 13/12/2013 (kredi kartı kapatma) olduğunu,
• Dolayısıyla 2021 tarihli karar itibarıyla 10 yıllık sürenin henüz dolmadığını,
• Bu nedenle kişisel verilerin işlenmesini gerektiren sebeplerin tam olarak ortadan kalkmadığını

tespit etmiştir.

Bu sebeple Kurul, ilgili kişinin verilerinin silinmesi talebinin banka tarafından reddedilmesinin, Kanunun 7. maddesi hükümleri karşısında hukuka aykırı olmadığı sonucuna varmıştır.

4.6. Yurt Dışına Aktarım İddiası

İlgili kişi, banka cevabında verilerin yurt dışına aktarılabildiğine yer verildiğini, ancak bu konuda açık rıza vermediğini ve Kanunun 9. maddesindeki istisnalardan hangisine dayanıldığının açıklanmadığını belirtmiştir.

Ancak Kurul’a, fiilî bir yurt dışına aktarım yapıldığını gösteren tevsik edici bilgi veya belge sunulmadığı için, bu iddia yönünden işlem tesis edilmemesine karar verilmiştir.

5. Kurul Kararı ve Sonuç

Yapılan değerlendirmeler sonucunda KVKK Kurulu özetle şu sonuçlara ulaşmıştır:

• Bankanın, ilgili kişinin başvurusuna 30 günlük yasal süreden sonra cevap vermesi sebebiyle, Kanun ve Tebliğ hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına,
• İlgili kişiye gönderilen SMS ile cep telefonu numarasının işlenmesinin, Kanunun 5/2’deki “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayandığı; SMS’in yasal bilgilendirme niteliğinde olduğu ve herhangi bir pazarlama içeriği taşımadığı için açık rıza/iletişim iznine gerek bulunmadığına, bu nedenle veri işleme faaliyeti yönünden hukuka aykırılık olmadığına,
• İlgili kişinin son işlem tarihinin 13/12/2013 olması ve 10 yıllık saklama süresinin henüz dolmamış olması nedeniyle, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı; bu nedenle silme talebinin banka tarafından yerine getirilmemesinin hukuka aykırı olmadığına,
• İlgili kişinin kişisel verilerinin yurt dışına aktarıldığı iddiasına ilişkin Kurula sunulan somut bir belge bulunmadığından, bu iddia bakımından Kanun kapsamında yapılacak bir işlem olmadığına

karar vermiştir.

6. Uygulayıcılar İçin Notlar (Banka ve Veri Sorumluları Açısından)

Bu karar, özellikle bankalar ve benzer mevzuata tabi finans kuruluşları için önemli pratik sonuçlar içermektedir:

• Yasal bilgilendirme SMS’leri: Vergi dairesi, icra, e-haciz vb. süreçler kapsamında gönderilen, hukuki yükümlülüğe dayalı bilgilendirme mesajları ticari ileti sayılmadığı sürece açık rıza gerektirmeyebilir.
• Bankacılık Kanunu vs. KVKK: KVKK’nın 7. maddesindeki silme yükümlülüğü, Bankacılık Kanunu’ndaki saklama yükümlülüklerini bertaraf etmez. 10 yıllık saklama süresi dolmadan silme talebinin reddi, bu kararda olduğu gibi hukuka uygun kabul edilebilir.
• Başvuru yönetimi: İlgili kişilerin KVKK başvurularına en geç 30 gün içinde ve içerik olarak yeterli cevap verilmesi kritik önem taşır. Gecikme, doğrudan idari para cezası doğurmasa bile Kurul talimatına konu olabilir.
• Şeffaflık ve metinler: Bankaların, aydınlatma metinlerinde hem yasal saklama sürelerini hem de hangi verinin hangi işleme şartına dayanarak işlendiğini daha net ve anlaşılır şekilde belirlemesi beklenir.
• Yurt dışına aktarım iddiaları: Kurul nezdinde iddianın incelenebilmesi için somut bilgi/belge sunulması önemlidir. Aksi durumda, bu kararda olduğu gibi “işlem tesis edilmemesine” karar verilebilir.