Kişisel Verileri Koruma Kurulu (“Kurul”) 23 Mayıs 2022 tarihinde, veri sorumlusu bankaların amacı aşar şekilde banka müşterilerinin kişisel verilerini işlemesi ve üçüncü kişiler ile paylaşmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) aykırı olduğunun altını çizen ve bankacılık sektöründeki pratiği etkileyecek nitelikte iki adet karar yayımladı.
- 2021/1107 sayılı Karar Özeti: Kurul, ilgili kişinin kredi notunun veri sorumlusu banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılmasına ilişkin olarak, veri sorumlusu banka tarafından gerçekleştirilen veri ihlalini değerlendirdi. Kurul, banka tarafından ilgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin yanlış işlenmesinin ve Risk Merkezi’ne aktarılmasının Kanun’un 4. maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiğine ve Kanun’un 12. maddesinin 1. fıkrasının (a) bendinde bulunan “…Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek…” yükümlülüğüne aykırı olduğuna karar vermiştir. Kurul, veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması ve oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat hâlinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi gibi sebepleri göz önünde bulundurarak veri sorumlusuna Kanun’un 18. maddesinin 1. fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve ilgili kişi başvurularına Kanun ve ilgili tebliğde belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına hükmetmiştir.
- 2021/1104 sayılı Karar Özeti: Kurul, veri sorumlusu banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesine yönelik şikayete ilişkin olarak banka tarafından gerçekleştirilen veri ihlalini değerlendirdi. Kurul, ilgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen, banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlenmesinin Kanun’un 5. maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12. maddesinin 1. fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18. maddesinin 1. fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar vermiştir. Öte yandan, ilgili kişinin veri sorumlusu banka nezdindeki son işleminin 3 Ağustos 2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına hükmetmiştir.