KVKK Kurul Kararı 2020/78 – Bankanın Kredi Kartı Ekstresini Yanlış E-Posta Adresine Göndermesi

KVKK · Bankacılık · Veri İhlali

Bankanın Kredi Kartı Ekstresini Yanlış E-Posta Adresine Göndermesi – KVKK Kurul Kararı 2020/78

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, özellikle bankacılık ve finans sektöründe e-ekstre ve bildirim süreçlerinde yapılan basit görünen bir hata, kişisel veri ihlali olarak değerlendirilmekte ve idari para cezası ile sonuçlanabilmektedir. 30/01/2020 tarihli ve 2020/78 sayılı Kurul Kararı, veri sorumlusu bankanın ilgili kişinin kredi kartı ekstresini yanlış e-posta adresine göndermesi üzerine verilmiştir.

Bu içerikte; söz konusu Kurul kararının olay örgüsü, veri sorumlusunun savunması, Kurulun hukuki değerlendirmesi, uygulanan idari para cezası ve Türkiye’de faaliyet gösteren bankalar ile finans kuruluşları açısından KVKK uyumuna yönelik çıkarımlar detaylı şekilde ele alınmaktadır.

Kararın Özeti ve Konusu Bankalar İçin KVKK Önlemleri

İçindekiler 1. Kararın Konusu ve Temel Bilgiler 2. Olayın Gelişimi ve Bankanın Savunması 3. Hukuki Çerçeve: KVKK’nın İlgili Hükümleri 4. Kurulun Değerlendirmesi ve Tespit Edilen İhlaller 5. Bankalar ve Veri Sorumluları İçin Uyum Önerileri 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Karar No / Tarih: 2020/78 – 30/01/2020
Sektör: Bankacılık / Finans
Olay: Müşteriye ait kredi kartı ekstresinin, müşteriye ait olmayan e-posta adresine gönderilmesi ve bunun tekrar etmesi.
İhlal: Kanun’un 5 ve 8. maddeleri kapsamında hukuki dayanak olmaksızın kişisel veri aktarımı, Kanun’un 12. maddesi kapsamında yeterli teknik ve idari tedbir alınmaması.
Sonuç: Banka hakkında Kanun’un 18/1-(b) maddesi uyarınca 60.000 TL idari para cezası.

Karar, Türkiye’de faaliyet gösteren bankaların ve diğer veri sorumlularının, e-posta adresi güncelleme süreçlerini, e-ekstre talimatlarını ve ilgili kişi başvurularına yanıt mekanizmalarını KVKK’ya tam uyumlu şekilde tasarlamalarının önemini somut biçimde ortaya koymaktadır.

KVKK Kurul Kararı 2020/78 Bankacılıkta Veri İhlali Kredi Kartı Ekstresi Yanlış E-Posta Gönderimi

Not: Bu içerik, Kurul karar özetini esas alan bilgilendirici ve rehber nitelikli bir açıklamadır. Somut uyuşmazlıklarınız ve kurumunuza özel KVKK uyum projeleri için mutlaka alanında uzman profesyonel destek almanız tavsiye edilir.

1. Kararın Konusu ve Temel Bilgiler

30/01/2020 tarihli ve 2020/78 sayılı Kişisel Verileri Koruma Kurulu Kararı, veri sorumlusu bir bankanın, müşterisi olan ilgili kişiye ait kredi kartı ekstresini, ilgili kişiye ait olmayan bir e-posta adresine göndermesi ve bu yanlışlığın tekrar etmesi üzerine verilen bir karar özetidir.

İlgili kişi, müşterisi olduğu bankanın kendisine ait kredi kartı ekstresini, kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığını ve veri sorumlusuna hem e-posta hem dilekçe ile başvuru yapmasına rağmen, Kanun’da öngörülen süre içinde yazılı yanıt almadığını belirterek Kuruma şikâyette bulunmuştur.

Karar Tarihi	30/01/2020
Karar No	2020/78
Veri Sorumlusu	Bankacılık sektöründe faaliyet gösteren bir banka (veri sorumlusu banka)
Temel İhlal	İlgili kişiye ait kredi kartı ekstresinin, ilgili kişiye ait olmayan e-posta adresine gönderilmesi ve kişisel verilerin üçüncü kişilerle paylaşılması
Uygulanan Yaptırım	Kanun’un 18/1-(b) maddesi uyarınca 60.000 TL idari para cezası

İlgili Kişinin Şikâyetinin Özeti

İlgili kişi; kredi kartı ekstresinde yer alan kişisel verilerinin, bankanın hatalı işlemi sebebiyle üçüncü kişilerle paylaşıldığını, bankaya yaptığı başvurulara rağmen Kanun’un öngördüğü bir aylık süre içinde yazılı yanıt verilmediğini belirterek Kuruma başvurmuştur. Süreç içerisinde, aynı kredi kartı ekstresinin tekrar aynı yanlış e-posta adresine gönderildiği de Kurula iletilen ek dilekçe ile ifade edilmiştir.

Bu çerçevede Kurul, hem yanlış e-posta adresine veri aktarımı hem de ilgili kişi başvurusunun yanıtlanma usulü açısından veri sorumlusu bankanın yükümlülüklerini yerine getirip getirmediğini incelemiştir.

2. Olayın Gelişimi ve Bankanın Savunması

Kurul tarafından yürütülen inceleme kapsamında veri sorumlusu bankadan savunma istenmiş, bankanın cevabi yazısında olayın gelişimine ilişkin aşağıdaki hususlar özetle dile getirilmiştir:

İlgili kişinin talebine istinaden kendisine kredi kartı tahsis edildiği, ilgili kişinin ayrıca “… Adi Ortaklığı” unvanlı ticari müşterinin ortağı olduğu ve bankanın sisteminde ticari müşteri olarak da yer aldığı,
Şikâyette geçen y…@gmail.com e-posta adresinin, hem ilgili kişinin ortağı olduğu firmanın iletişim adresi olduğu hem de firma talimatı doğrultusunda firmaya ve ortaklarına tahsis edilen ticari kredi kartı ekstrelerinin gönderildiği adres olarak tanımlandığı,
İnceleme sonucunda, şube personelleri tarafından firma ve ortaklara ait ticari kartlar için e-ekstre gönderim tanımları yapılırken, sehven ilgili kişinin bireysel kredi kartı ekstresi için de aynı e-posta adresine e-ekstre talimatı güncellendiğinin tespit edildiği,
İlgili kişinin talebi üzerine e-posta adresinin güncellendiği ve sonraki dönemlerde kredi kartı ekstrelerinin veri sorumlusu nezdinde kayıtlı h…@gmail.com adresine yönlendirilmeye başlandığı,
Şikâyet başvurularının bankaca işleme alındığı, ilgili birimlere yönlendirildiği, e-posta adres değişikliğinin ne şekilde yapıldığının tespiti akabinde ilgili kişinin şube personeli tarafından telefon ile aranarak bilgilendirildiği ifade edilmiştir.

Bankanın Operasyonel Hata Savunması

Banka, olayın özünde operasyonel bir hata (sehven yanlış tanımlama) bulunduğunu; yanlış e-posta adresine yönlendirme tespit edildikten sonra gerekli güncellemenin yapıldığını ve e-ekstre gönderimlerinin ilgili kişinin kendi e-posta adresine yönlendirildiğini savunmuştur.

Ancak Kurul; bankanın kendi savunmasında da kabul ettiği bu “sehven” hatanın, sonuç itibarıyla kişisel veri aktarımı niteliğinde olduğunu ve Kanun’da öngörülen işleme şartlarından herhangi birine dayanmadığını değerlendirmiştir.

Pratik çıkarım: Kurul, “sehven” veya “operasyonel hata” şeklindeki açıklamaları; sonucu itibarıyla kişisel veri aktarımı gerçekleştiren, gerekli teknik ve idari tedbirleri almamış bir veri sorumlusunu hukuki sorumluluktan kurtaran bir gerekçe olarak kabul etmemektedir.

3. Hukuki Çerçeve: KVKK’nın İlgili Hükümleri

Kurul, kararında öncelikle Kanun’un temel kavramlarını ve ilgili hükümlerini hatırlatmıştır. Buna göre:

Kanun’un 3. maddesi uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi; kişisel verilerin otomatik ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
İlgili kişi; kişisel verisi işlenen gerçek kişiyi,
Veri sorumlusu ise; kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade etmektedir.

Genel İlkeler – KVKK m.4

Kanun’un 4. maddesi, kişisel verilerin işlenmesinde uyulması zorunlu genel ilkeleri düzenlemektedir. Buna göre kişisel veriler;

Hukuka ve dürüstlük kurallarına uygun olmalı,
Doğru ve gerektiğinde güncel olmalı,
Belirli, açık ve meşru amaçlar için işlenmeli,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kurul, kişisel verilerin işlenmesinde hangi işleme şartına dayanılırsa dayanılsın, bu genel ilkelere her koşulda uyulmasının hukuki bir zorunluluk olduğunu vurgulamaktadır.

Kişisel Verilerin İşlenme Şartları – KVKK m.5

Kanun’un 5. maddesinin 1. fıkrası uyarınca, kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın işlenemez. Aynı maddenin 2. fıkrasında ise açık rızanın aranmayacağı istisnai haller (kanunda açıkça öngörülme, sözleşmenin kurulması/ifası, veri sorumlusunun hukuki yükümlülüğü, meşru menfaat vb.) düzenlenmiştir.

Açık rızanın geçerli kabul edilebilmesi için:

Belirli bir konuya ilişkin olması,
Bilgilendirmeye dayanması,
Özgür iradeyle açıklanmış olması

gerekmektedir. Ayrıca, bir ürün veya hizmetin sunumunun sırf açık rızaya bağlanması ve tarafların eşit konumda olmaması gibi durumlarda rızanın özgür iradeye dayanıp dayanmadığının dikkatle değerlendirilmesi gerektiği belirtilmiştir.

Kişisel Verilerin Aktarılması – KVKK m.8

Kanun’un 8. maddesi, kişisel verilerin üçüncü kişilere aktarılmasına ilişkin hükümleri içermektedir. Kişisel verilerin aktarımında da m.5’te yer alan işleme şartları geçerli olup, bu şartlardan herhangi biri bulunmaksızın veri aktarımı yapılamaz.

4. Kurulun Değerlendirmesi ve Tespit Edilen İhlaller

Kurul, taraf beyanlarını ve banka savunmasını birlikte değerlendirerek, somut olayda aşağıdaki hukuka aykırılıkların bulunduğu sonucuna varmıştır:

Bankanın, ilgili kişinin bireysel kredi kartı ekstresini, ilgili kişiye ait olmayan y…@gmail.com e-posta adresine göndermesiyle birlikte, kredi kartı ekstresinde yer alan kişisel verilerin üçüncü kişilerle paylaşıldığı,
Bu paylaşımın Kanun’un 5. maddesinde düzenlenen kişisel veri işleme şartlarından herhangi birine dayanmadığı ve dolayısıyla Kanun’un 8. maddesine aykırı bir kişisel veri aktarımı niteliği taşıdığı,
Yanlış e-posta adresine gönderim işleminin, banka personelince e-ekstre tanımlarının sehven hatalı yapılandırılmasından kaynaklandığı, bu durumun Kanun’un 12. maddesi kapsamında veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin yeterince alınmadığını gösterdiği,
İlgili kişinin, veri sorumlusuna hem e-posta hem de dilekçe ile başvurduğu; buna rağmen Kanun’un 13. maddesinde öngörülen “yazılı veya elektronik ortamda” cevap verme yükümlülüğünün yerine getirilmediği, yalnızca telefonla bilgilendirmenin usule uygun bir yanıt olarak kabul edilemeyeceği

İlgili Kişi Başvurusunun Yanıtlanması – KVKK m.13

Kanun’un “Veri sorumlusuna başvuru” başlıklı 13. maddesinin 3. fıkrası; veri sorumlusunun ilgili kişinin talebini kabul veya gerekçesini açıklayarak reddetmesi ve cevabını yazılı olarak veya elektronik ortamda bildirmesi gerektiğini düzenlemektedir.

Kurul, veri sorumlusu bankanın ilgili kişiyi sadece telefonla aramak suretiyle bilgilendirmesini, Kanun’un 13. maddesi kapsamında usulüne uygun bir bildirim olarak kabul etmemiş ve bu konuda veri sorumlusunun, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine azami dikkat göstermesi yönünde talimatlandırılmasına karar vermiştir.

İdari Para Cezası – KVKK m.18/1-(b)

Kurul, veri sorumlusu bankanın:

Kişisel verileri, Kanun’da sayılan işleme şartları olmaksızın üçüncü kişilere aktarması suretiyle Kanun’un 8. maddesine aykırı veri aktarımı gerçekleştirdiği,
Kanun’un 12. maddesinin 1. fıkrası kapsamında öngörülen, kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı

kanaatine varmıştır. Bu kapsamda, Kanun’un 18. maddesinin 1. fıkrasının (b) bendi uyarınca veri sorumlusu banka hakkında 60.000 TL idari para cezası uygulanmasına karar verilmiştir.

5. Bankalar ve Veri Sorumluları İçin Uyum Önerileri

Karar, Türkiye’de faaliyet gösteren bankalar ve diğer veri sorumluları açısından, özellikle e-posta/e-ekstre süreçleri ve ilgili kişi başvurularının yönetimi hakkında önemli dersler içermektedir. Benzer ihlallerin önüne geçebilmek için aşağıdaki teknik ve idari tedbirlerin hayata geçirilmesi kritik önem taşır:

1. E-Posta ve E-Ekstre Süreçlerinin Güvenli Tasarımı

E-ekstre, hesap özeti ve benzeri belgelerin gönderiminde kullanılan e-posta adreslerinin; müşteri bazında doğrulanması, e-posta değişikliklerinin iki aşamalı kontrol mekanizmasına tabi tutulması ve değişikliklerin loglanması gerekmektedir. Ticari ve bireysel ürünler için tanımlanan adreslerin karışmasını önleyecek sistemsel ayrıştırmalar ve kontroller devreye alınmalıdır.

2. Yetki Matrisi ve Operasyonel Kontroller

Şube ve çağrı merkezi personelinin, e-posta adresi güncelleme, e-ekstre talimatı verme ve değiştirme yetkileri yetki matrisi üzerinden açıkça tanımlanmalı; yapılan her işlem kim tarafından, ne zaman, hangi kanaldan gerçekleştirildiğiyle birlikte kayıt altına alınmalıdır. Çift kontrol (four-eyes) prensibi, özellikle yüksek riskli değişikliklerde devreye sokulmalıdır.

3. Politika, Prosedür ve Eğitimlerin Güncellenmesi

Bankaların ve diğer veri sorumlularının, KVKK uyum politikalarını, veri aktarım prosedürlerini ve ihlal müdahale planlarını güncel tutmaları gerekir. Personelin, özellikle e-posta gibi hassas kanallarda yapılacak hataların veri ihlali ve idari para cezası ile sonuçlanabileceği konusunda düzenli olarak eğitilmesi önemlidir.

4. İlgili Kişi Başvurularının Yönetimi

Kanun’un 13. maddesi uyarınca ilgili kişilerin başvurularına en geç otuz gün içinde, yazılı veya elektronik ortamda yanıt verilmelidir. Telefonla bilgilendirme, süreçte tamamlayıcı bir unsur olabilir ancak tek başına Kanun’da öngörülen usule uygun yanıt olarak kabul edilemez. Bu nedenle:

Başvuru alma, değerlendirme ve yanıt süreçleri için standart iş akışları oluşturulmalı,
Yanıtların mevzuatta öngörülen şekil ve içerik şartlarına uygun olması sağlanmalı,
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun kurumsal şablonlar kullanılmalıdır.

5. Veri Güvenliği ve İhlal Yönetimi

E-posta gibi kanallar üzerinden gerçekleşen yanlış yönlendirmeler, veri ihlali olarak değerlendirilebilmektedir. Bu nedenle:

Veri güvenliği riskleri için düzenli risk analizi ve iç denetim yapılmalı,
İhlal tespiti hâlinde Kanun ve Kurul rehberleri doğrultusunda ihlalin bildirim prosedürü çalıştırılmalı,
Tekerrürü önleyecek düzeltici ve önleyici faaliyetler (DÖF) kayıt altına alınmalıdır.

KVKK bankacılık kararları E-posta ile veri aktarımı Kredi kartı ekstresi Veri güvenliği tedbirleri İlgili kişi başvurusu

6. Sık Sorulan Sorular (SSS)

Kredi kartı ekstresinin yanlış e-posta adresine gönderilmesi veri ihlali midir?

Evet. Kredi kartı ekstresi, ilgili kişinin kimliğini belirlenebilir kılan çok sayıda kişisel veri içerir. Bu belgenin ilgili kişiye ait olmayan bir e-posta adresine gönderilmesi, kişisel verilerin hukuki dayanağı olmaksızın üçüncü kişilere aktarılması anlamına geldiğinden veri ihlali olarak değerlendirilir ve Kanun’un 8. maddesine aykırılık teşkil eder.

Banka “sehven” hata yaptığını söylerse sorumluluktan kurtulur mu?

Hayır. Kurul, kararda da görüldüğü üzere, sehven veya operasyonel hata iddialarını, veri sorumlusunu sorumluluktan kurtaran bir gerekçe olarak kabul etmemektedir. Aksine, bu tür durumlar genellikle Kanun’un 12. maddesi kapsamında yeterli teknik ve idari tedbir alınmadığının göstergesi olarak yorumlanmaktadır.

İlgili kişi başvurusu telefonla yanıtlanırsa KVKK’ya uygun sayılır mı?

Hayır. Kanun’un 13. maddesi uyarınca veri sorumlusu, başvuruya ilişkin cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmekle yükümlüdür. Telefonla yapılan bildirim, tek başına mevzuata uygun bir yanıt yöntemi olarak kabul edilmez; en fazla ek bilgilendirme niteliği taşır.

Bankalar e-ekstre süreçlerini KVKK’ya uygun hale getirmek için ne yapmalı?

Bankalar; e-posta adresi tanımlama ve güncelleme süreçlerini çift kontrol mekanizması ile yürütmeli, bireysel ve ticari ürünlerde kullanılan e-posta adreslerini sistemsel olarak segmentlere ayırmalı, işlem loglarını detaylı tutmalı ve personeli düzenli KVKK farkındalık eğitimlerine tabi tutmalıdır.

Bu kararda neden 60.000 TL idari para cezası uygulanmıştır?

Kurul; hem Kanun’un 8. maddesine aykırı kişisel veri aktarımı yapıldığını hem de Kanun’un 12. maddesi kapsamında öngörülen uygun güvenlik düzeyinin sağlanmasına yönelik teknik ve idari tedbirlerin yeterli olmadığını tespit etmiştir. Bu nedenle Kanun’un 18/1-(b) maddesi uyarınca veri sorumlusu banka hakkında 60.000 TL idari para cezası uygulanmasına hükmedilmiştir.

Benzer bir durum yaşarsam hangi haklara sahibim?

Böyle bir durumda ilgili kişi olarak Kanun’un 11. maddesi kapsamındaki haklarınızı kullanabilirsiniz. Öncelikle veri sorumlusuna başvuru yaparak ihlalin giderilmesini talep edebilir, gerektiğinde Kuruma şikâyet yoluna gidebilirsiniz. Ayrıca, uğradığınız zararın tazmini için genel hükümler çerçevesinde yargı mercilerine başvurma hakkınız da saklıdır.