KVKK Kurul Kararı 2021/115 Borç Bilgisinin Yakına İletilmesi ve “Alternatif Numara” Riski
Bankacılık ve alacak tahsilatı süreçlerinde iletişim yönetimi, yalnızca operasyonel bir konu değil; doğrudan KVKK uyum ve itibar riski başlığıdır. KVKK Kurulu’nun 09/02/2021 tarihli ve 2021/115 sayılı kararı; bir bankanın oluşturduğu yasal takip sistemi üzerinden, borçlu müşteriyle ilişkilendirilmiş alternatif telefon numarası üzerinden yapılan SMS/arama temaslarının, üçüncü kişiye ait olması halinde hangi hukuki sonuçları doğurabileceğini netleştirmektedir.
Bu rehber; kararın olgu setini, Kurul’un KVKK m.5 (işleme şartları) ve KVKK m.12 (veri güvenliği yükümlülükleri) eksenindeki değerlendirmesini, veri sorumlusu–veri işleyen ayrımını ve kurumsal ölçekte uygulanabilir kontrol setini özetler.
Karar: Bankanın, borçluya ait olmayan (yakına ait) numarayı sisteme kaydetmesi ve avukata erişim yetkisi vermesi hukuka aykırı değerlendirildi.
Hukuki dayanak: Üçüncü kişiye ait numara bakımından KVKK m.5 şartları sağlanamadı; ayrıca süreç KVKK m.12/1-a ile ilişkilendirildi.
Sonuç: Banka hakkında 175.000 TL idari para cezası; avukat hakkında işlem tesis edilmedi.
Kritik risk: “Alternatif telefon” alanı ve doğrulama yapılmadan dış hizmet sağlayıcıya görünür kılınması.
Kurum içi yasal takip sistemlerinde veri minimizasyonu, doğrulama ve rol bazlı erişim şarttır.
1. Karar Ne Diyor? (Kısa Özet)
Şikâyet konusu olayda; bankaya borcu bulunan ilgili kişi, kız kardeşinin cep telefonu numarasının bankanın sözleşmeli avukatı tarafından aranması ve numaraya SMS gönderilmesi suretiyle kişisel verinin hukuka aykırı paylaşıldığını iddia ederek Kuruma başvurmuştur.
İnceleme sürecinde, bankanın yasal takip sisteminde ilgili kişiye ait numaranın “Diğer Telefonu / alternatif numara” şeklinde kaydedildiği; avukatın, banka adına gecikmiş alacakların idari/yasal takibi kapsamında bankanın sağladığı iletişim bilgileri üzerinden borçluya ulaşmaya çalıştığı, numaranın borçluya ait olmadığının anlaşılması üzerine sistemden kaldırıldığı yönünde savunmalar sunulmuştur.
Kurul’un Sonuca Esas Yaklaşımı
- Banka, işleme amaç ve vasıtalarını belirlediği ve sistemi yönettiği için veri sorumlusu olarak değerlendirildi.
- Yakına ait numaranın sisteme kaydı bakımından açık rıza (veya KVKK m.5’teki diğer şartlar) ortaya konulamadı.
- Avukata, borçlu dışındaki üçüncü kişiye ait numaraya erişim yetkisi verilmesi, somut olayda hukuka aykırı olarak değerlendirildi.
- Sonuç olarak bankaya 175.000 TL idari para cezası uygulandı; avukat hakkında işlem tesis edilmedi.
2. Taraflar ve Roller: Veri Sorumlusu – Veri İşleyen
Kararda; bankanın yasal takip sürecini yöneten sistemin kurulması ve yönetiminden sorumlu olması nedeniyle veri sorumlusu sıfatını haiz olduğu; sözleşmeli avukatın ise bankanın talimatları çerçevesinde onun adına kişisel verileri işlediği ve somut olayda veri işleyen olarak konumlandığı değerlendirilmiştir.
Bu Ayrım Neden Kritik?
Banka (veri sorumlusu) açısından temel risk, üçüncü kişiye ait bir iletişim verisinin “müşteriye ait veri” gibi sistemde konumlandırılması ve bu verinin, alacak takibi hizmeti sunan hukuk bürosu/avukat gibi dış paydaşlara erişilebilir kılınmasıdır.
| Taraf | Karardaki Rol | Kritik Sorumluluk |
|---|---|---|
| Banka | Veri sorumlusu | İşleme şartı (m.5), erişim yetkisi tasarımı, sistemsel kontroller ve veri güvenliği (m.12) |
| Sözleşmeli avukat / hukuk bürosu | Veri işleyen | Talimatlara uygun işleme, gizlilik, olayı fark ettiğinde bildirim ve kayıtların güncellenmesine katkı |
| Yakın (kız kardeş) | Üçüncü kişi | Bankayla borç ilişkisi bulunmayan kişiye ait iletişim verisi (minimizasyon ve doğrulama zorunluluğu) |
3. Hukuki Değerlendirme: KVKK m.5 ve m.12 Perspektifi
Kurul, üçüncü kişiye (yakına) ait telefon numarasının bankanın sistemine kaydedilmesi bakımından KVKK m.5 kapsamındaki işleme şartlarının ortaya konulamadığı; ayrıca bu numaranın avukata erişilebilir kılınmasının, veri güvenliği ve hukuka aykırı işlemenin önlenmesi yükümlülükleri yönünden KVKK m.12/1-a ile ilişkilendirildiği değerlendirmesine yer vermiştir.
Karardan Uygulamaya Yansıyan Kritik Noktalar
- Açık rıza varsayımı kurulamaz: Üçüncü kişiye ait numaranın “alternatif numara” olarak kaydı, açık rıza/işleme şartı ile ispatlanmalıdır.
- “Hakkın tesisi/kullanılması” sınırı: Tahsilat ve takip için veri işleme mümkün olsa da, bu kapsam borçluya ait veri ile sınırlı olmalıdır.
- Erişim yetkisi tasarımı: Dış paydaşların, borçlu dışındaki üçüncü kişilere ait numaralara erişimi, veri sorumlusu için ihlal riskini büyütür.
- Log ve kayıt yönetimi: Yanlış numaranın tespit edilmesi, kaldırılması, kim tarafından eklendiği ve hangi temasların kurulduğu denetlenebilir olmalıdır.
4. Operasyonel Risk Haritası: Alternatif Numara ve Yasal Takip Sistemleri
Karar, bankaların tahsilat süreçlerinde kullandığı “yasal takip” veya “tahsilat yönetimi” platformlarında yer alan alternatif iletişim alanlarının, doğrulama ve kısıtlama yapılmadığında nasıl bir uyumsuzluğa dönüşebileceğini göstermektedir.
En Sık Görülen Kök Nedenler
- Kaynak belirsizliği: Alternatif numaranın kim tarafından, hangi kaynaktan eklendiğinin izlenememesi.
- Doğrulama eksikliği: Numaranın gerçekten borçluya ait olduğunun (veya üçüncü kişi onayının) teyit edilmemesi.
- Aşırı erişim: Hukuk bürosu/avukat kullanıcılarının “numara ekle-çıkar” dahil geniş yetkilerle sisteme tanımlanması.
- Veri minimizasyonu ihlali: Tahsilat için gerekli olmayan veya doğrulanmamış verilerin sistemde tutulması.
- İletişim senaryosu kontrolsüzlüğü: SMS/arama içeriklerinin senaryo bazında KVKK riski açısından gözden geçirilmemesi.
| Risk Alanı | Somut Risk | Minimum Kontrol |
|---|---|---|
| Alternatif numara kaydı | Üçüncü kişiye ait numaranın borçlu kaydına bağlanması | Kaynak/ekleyen kullanıcı kaydı + doğrulama akışı + gerekçe alanı |
| Avukat erişimi | Üçüncü kişi verisine erişim ve temas kurulması | Rol bazlı erişim + maskeleme + yalnız “borçlu teyidi” sonrası görüntüleme |
| İlk temas mesajı | Dolaylı ifşa riski (yasal takip, banka, borç çağrışımı) | Senaryo metin onayı + KVKK kontrolü + kayıt altı iletişim politikası |
| Kayıt ve denetim | İspat yükü ve denetim izi zayıflığı | Log bütünlüğü + periyodik kontrol raporları + olay yönetimi |
5. Uyum Tedbirleri: Süreç, Sistem ve Sözleşme Seti
2021/115 sayılı karar perspektifinde, bankacılık/tahsilat süreçlerinde sürdürülebilir uyum için tedbirler “tek başlık” değil; süreç + sistem + sözleşme üçlüsüyle tasarlanmalıdır.
A) Süreç Tedbirleri
- Alternatif numara ekleme prosedürü: Numaranın kaynağı, doğrulama yöntemi, ekleme gerekçesi, onaylayan rol.
- Üçüncü kişi verisi politikası: Yakın/iletişim kişisi verilerinin işlenmesi için ayrı senaryo ve şart seti.
- İletişim senaryosu yönetimi: SMS/IVR metinleri için KVKK kontrolü, versiyonlama ve onay mekanizması.
- Olay yönetimi: Yanlış numara tespiti halinde hızlı aksiyon, kayıt silme/etiketleme ve tekrarı önleyici önlem (CAPA).
B) Sistem (Teknik) Tedbirler
- Rol bazlı erişim (RBAC): Hukuk bürosu kullanıcılarının erişimini “asgari yetki” prensibiyle sınırlandırın.
- Maskeleme ve kademeli görüntüleme: Numara görüntüleme/arama/SMS aksiyonlarını teyit adımına bağlayın.
- Loglama ve bütünlük: “Kim ekledi/kim sildi/kim erişti/kaç kez SMS gitti” kayıtlarını bütünlük korumalı şekilde saklayın.
- Veri doğrulama kontrolleri: Numara doğrulama, tekrar eden/şüpheli kayıt tespiti, anomali uyarıları (ör. aynı numaranın birden çok dosyada görünmesi).
C) Sözleşmesel Tedbirler (Veri İşleyen Yönetimi)
- Veri işleyen sözleşmesi / ek protokol: Erişim kapsamı, amaç sınırlaması, gizlilik, log paylaşımı, alt yüklenici yönetimi.
- SLA ve ihlal bildirimi: Yanlış kişiye temas/yanlış kayıt tespiti halinde bildirim süresi ve aksiyon adımları.
- Denetim hakkı: Bankanın sistem/uygulama kontrollerini denetleme ve raporlama maddeleri.
6. Sık Sorulan Sorular (SSS)
Bankanın avukata dosya aktarması KVKK’ya göre her zaman hukuka uygun mu?
Dosya aktarımı, gerekli şartlar sağlandığında hukuka uygun kurgulanabilir. Ancak aktarım kapsamı, amaçla sınırlı olmalı ve borçlu dışındaki üçüncü kişilere ait verilerin erişime açılmaması temel prensiptir.
“İlk aramada borç/isim geçmiyordu” savunması riski ortadan kaldırır mı?
Hayır. Risk yalnızca mesaj içeriği değil; üçüncü kişiye ait verinin hukuka uygun elde edilip edilmediği ve sisteme/üçüncü tarafa hukuka uygun şekilde açılıp açılmadığıdır.
Alternatif telefon numarası hangi şartlarda kaydedilebilir?
İşleme şartı ispatlanabilir olmalıdır (açık rıza veya ilgili diğer şartlar). Ayrıca kaynak bilgisi, doğrulama adımı ve amaç sınırlaması net biçimde kayıt altına alınmalıdır.
Veri sorumlusu–veri işleyen ayrımı bu kararda nasıl önem kazandı?
Banka sistemi kurup yönettiği için veri sorumlusu olarak değerlendirildi; avukat bankanın talimatlarıyla işlediği için veri işleyen olarak ele alındı. Bu ayrım, erişim yetkisi tasarımında sorumluluğun ağırlığını bankaya taşır.
Bu tür olaylarda en hızlı düzeltici aksiyon ne olmalı?
Hatalı numaranın erişimini derhal kaldırmak, temas kayıtlarını raporlamak, kök neden analizi yapmak, tekrarını önleyecek sistem/prosedür revizyonunu devreye almak ve gerekli ise ilgili kişi başvurularını mevzuata uygun yanıtlamak gerekir.
Kurumsal olarak nereden başlanmalı?
Yasal takip/tahsilat süreç haritalaması, veri envanteri güncellemesi, alternatif iletişim alanları için doğrulama ve erişim kontrolleri, veri işleyen sözleşmesi ve iletişim senaryoları (SMS/IVR) KVKK kontrolü ile başlanması önerilir.
