Kurumumuza intikal eden bir başvuruda ilgili kişiye ait verilerin bir Banka tarafından rızası olmaksızın babası ile paylaşıldığı, veri sorumlusu Banka tarafından düzenlenen belgede babasına, ilgili kişi ile risk grubu oluşturduğu ve ilgili kişinin kredi aksamaları bulunması sebebiyle kendisine kredi kullandırılmadığına ilişkin bir yazı verildiği, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı, bu nedenle de Kurumumuza başvuru yapma gereğinin hasıl olduğu belirtilmiştir.

Konuya ilişkin veri sorumlusu Bankanın savunması istenilmiş, alınan cevabi yazıda;

• İlgili şubenin yaptığı istihbarat sorgulamasının, ilgili kişi ile aynı evde ikamet eden ve 5411 sayılı Bankacılık Kanununun 49 uncu maddesi kapsamında adı geçen ile aynı risk grubunda yer alan oğlunun kredi aksamaları bulunması sebebiyle olumsuz olarak sonuçlandığı, müşteriye de istihbarat olumsuzluğu sebebiyle kredi talebinin uygun görülmediği yönünde şifahi olarak bilgi verildiği,
• 5411 sayılı Bankacılık Kanununun “Risk Grubu” başlıklı 49 uncu maddesinde yer alan “Bir gerçek kişi ile eşi ve çocukları, bunların yönetim kurulu üyesi veya genel müdürü oldukları veya bunların ya da bir tüzel kişinin birlikte veya tek başlarına, doğrudan ya da dolaylı olarak kontrol ettikleri ya da sınırsız sorumlulukla katıldıkları ortaklıklar bir risk grubunu oluşturur. … Bu maddenin uygulanmasında aralarında birinin ödeme güçlüğüne düşmesinin diğer bir veya birkaçının ödeme güçlüğüne düşmesi sonucunu doğuracak boyutta kefalet, garanti veya benzeri ilişkiler bulunan gerçek ve tüzel kişiler ilgili risk gruplarına dahil edilir.” hükmü gereğince ilgili kişinin babasının kredi talebinin reddedilmesinin sebebinin aynı evde ikamet ettiği ve aynı risk grubunda yer alan oğlunun kredilerindeki aksamalar olduğu ve oğluna ilişkin genel nitelikteki aksama bilgisinin babasının kredi talebinin reddedilmesi olarak gösterilmesinin zorunlu olduğunun değerlendirildiği,
• Diğer yandan, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin 2 nci fıkrasının (a) bendinde de belirtildiği üzere kanunlarda açıkça öngörülmesi durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
• Ayrıca Banka internet sitesi aracılığıyla kamuoyuna duyurulan “…..Bankası Kişisel Verilerin Korunmasına ve İşlenmesine İlişkin Aydınlatma (Bilgilendirme) Metni”nin “Risk Gruplarının Tespiti ve Değerlendirilmesine İlişkin Özel Durum” başlıklı bölümünde de risk grubu kapsamına girecek kişiler –müşteri olmasalar dahi- bankacılık mevzuatına göre bir risk grubuna kullandırılacak kredi sınırlarının tespiti için dahil olunacak risk grubunun belirlenebilmesi, izlenebilmesi, raporlanabilmesi, kontrol edilmesi amacıyla kişisel verilerin işlenebileceği açıkça belirtilip, ilan edilerek ilgili kişilerin bu hususta da aydınlatılması yoluna gidildiği,
• Dolayısıyla müşterinin kredisinin reddine dayanak oluşturacak bilgiyle sınırlı olarak aynı risk grubunda bulunanlara ilişkin aksama bilgisinin detay içermeyecek şekilde verilmesinin 6698 sayılı Kanun kapsamında veri ihlali olmadığının düşünüldüğü

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde alınan Kişisel Verileri Koruma Kurulunun 16/01/2020 tarih ve 2020/43 sayılı Kararı ile;

• 6698 sayılı Kişisel Verilerin Korunması Kanununun “kişisel verilerin işlenme şartları” 5’inci maddesi gereğince kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ancak;

a) Kanunlarda açıkça öngörülmesi,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olduğu,

• Risk grubunun 5411 sayılı Bankacılık Kanununda tanımlandığı, 5411 sayılı Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin ikinci fıkrasının (ç) bendi uyarınca bankaların hukuki yükümlülüklerinin yerine getirilmesi kapsamında olduğunun değerlendirilmesi gerektiği,
• Kişisel Verilerin Korunması Kanununun 12 nci maddesinde “veri güvenliğine ilişkin yükümlülükler” belirlenmiş olup, maddenin 1 numaralı fıkrasında, veri sorumlusunun, (a) “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek”, (b) “kişisel verilere hukuka aykırı olarak erişilmesini önlemek”, (c) “kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” zorunda olduğunun düzenlendiği, aynı maddenin 4 numaralı fıkrasında ise, veri sorumluları ile veri işleyenlerin, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağının hüküm altına alındığı,
• Bankacılık Kanununun 76 ncı maddesinde “bankalar, müşterilerinin, verilen hizmetlerden kaynaklanan her türlü sorularına cevap verecek bir sistem kurmakla ve bu hizmetle ilgili bilgiyi müşterilerine bildirmekle yükümlüdür. Bankalar, kredi sözleşmelerinin onaylı bir örneğini müşterilerine vermek zorundadır. Talepleri hâlinde müşteri ile yapılan diğer işlemlere ilişkin her türlü belgenin bir örneği de müşterilere verilir.” hükmü düzenlenmiş olmakla birlikte Bankanın, söz konusu borç bilgisini paylaşmasının, kanun gereğince hizmetle ilgili bilgiyi müşterilerine bildirme yükümlülüğünü yerine getirmesi olarak değerlendirilmesinin uygun olmayacağı,
• Zira Bankacılık Kanununun 73 üncü maddesinin (3) numaralı fıkrası gereğince “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar.” hükmü düzenlenmiş olup aynı husus Bankacılık Kanununun 159’uncu maddesinde de “Bu Kanunun 73’üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır” şeklinde düzenlendiği,
• Aynı zamanda Bankacılık Kanununun Ek 1’inci maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesine yer verildiği,
• Söz konusu verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması durumunda bu fiili gerçekleştiren kişiler için Türk Ceza Kanununun 136’ncı maddesi gereğince kişisel verilerin hukuka aykırı olarak verilmesi suçunun vücut bulacağı, ayrıca Türk Ceza Kanununun 239/1’inci maddesinde “Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.” hükmü gereğince somut olayda müşteri sırrının ifşasının da söz konusu olacağı

hususlarından hareketle,

• İlgili kişinin başvurusunda manevi zarara uğradığı yönünde bir iddia ve buna ilişkin bir tazminat talebinin söz konusu olduğu dikkate alınarak, Kanunun 14 üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiğinden, bu hususta Kanun kapsamında Kurul tarafından tesis edilecek bir işlem bulunmadığına,
• Diğer yandan, ilgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de, yapılan incelemede Kanunun 12 nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18 inci maddesinin hükmü kapsamında işlem tesis edilmesine,
• İlgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan ve bu fiiller Bankacılık Kanunu ve Türk Ceza Kanununun ilgili hükümlerinde de düzenlenmiş olduğundan, ilgili Banka ve personel hakkında Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında işlem tesis edilmesi hususunun değerlendirilmesini teminen konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine

karar verilmiştir.