Bankada “Amaçla Sınırlılık” İhlali: Eşe Ulaşmak İçin Müşteriyi Aramak (Karar: 2019/277)
Kişisel Verileri Koruma Kurulu (Kurul), 18/09/2019 tarihli bu kararı ile bankaların müşteri bilgilerini “her türlü iletişim” için kullanamayacağını tescil etmiştir. Karar, bir verinin hangi amaçla toplandıysa sadece o çerçevede kullanılması gerektiğini (Amaçla Sınırlılık) ve müşteri başvurularına verilen “Bizi arayın, anlatalım” şeklindeki kaçamak cevapların hukuken geçersiz olduğunu vurgulamaktadır.
1. Olayın Özeti: Banka İşlemi Değil, “Eş Bulma” Araması
Olay: Bir banka müşterisi (şikâyetçi), banka personeli tarafından telefonla aranmıştır. Personel, şikâyetçinin eşinin bir şirkette müdür olduğunu, eşine ulaşamadıklarını ve iletişim kurabilmek için şikâyetçiden yardım istediklerini belirtmiştir.
Müşteri, bankaya verdiği telefon numarasının sadece kendi bankacılık işlemleri için kullanılması gerektiğini, eşiyle ilgili bir ticari meseleye alet edilmesinin usulsüz olduğunu belirterek bankaya başvurmuştur. Banka ise yazılı cevap vermek yerine müşteriye e-posta atarak “Size ulaşamadık, detayları öğrenmek için müşteri hizmetlerimizi arayın” demiştir.
2. Kurulun Hukuki Değerlendirmesi
Kurul, bankanın hem veri işleme yöntemini hem de şikâyet yönetimi sürecini kusurlu bulmuştur:
A. Amaçla Sınırlılık ve Ölçülülük İlkesi (Md. 4)
KVKK Madde 4, kişisel verilerin “belirli, açık ve meşru amaçlar için” işlenmesini ve bu amaçla “bağlantılı, sınırlı ve ölçülü” olmasını emreder.
- İhlal: Şikâyetçi, numarasını bankaya kendi finansal işlemleri için vermiştir. Bankanın bu numarayı kullanarak üçüncü bir kişiye (eşine) ulaşmaya çalışması, verinin veriliş amacını aşan, ölçüsüz ve hukuka aykırı bir veri işleme faaliyetidir.
B. Başvuru Usulüne Aykırılık
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, veri sorumlusu ilgili kişinin taleplerine yazılı veya elektronik ortamda açıklayıcı bir cevap vermelidir.
- Kusur: Bankanın “Detaylar için bizi arayın” demesi, Kanun’un aradığı “cevap verme” yükümlülüğünü karşılamaz. Banka, müşterinin sorularına net ve somut yanıtlar vermek zorundadır.
C. Veri Güvenliği Yükümlülüğü (Md. 12/1)
Müşteri verisinin banka personeli tarafından amacı dışında bir sorgulamaya konu edilmesi, bankanın kişisel verilerin hukuka aykırı işlenmesini önlemek için gerekli idari tedbirleri (personel yetkilendirmesi, denetim, eğitim) almadığını göstermektedir.
3. Karar Sonucu: 100.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Veri Güvenliği İhlali: Telefon numarasının toplama amacı dışında kullanılması ve veri güvenliği tedbirlerinin yetersizliği nedeniyle banka hakkında 100.000 TL (2019 yılı değeri) idari para cezası uygulanmasına,
- Usul Hatası: Müşteri başvurularına Tebliğ’e uygun, açıklayıcı ve yazılı cevap verilmesi konusunda bankanın uyarılmasına,karar vermiştir.
4. Özgür Eralp Perspektifi: “Müşteri Bilgisi, Bankanın Sosyal Rehberi Değildir”
Bilişim hukuku alanındaki tecrübemizde, kurumsal yapıların “zaten numara sistemimizde var, arayıp soruverelim” rahatlığıyla hareket ettiğini görüyoruz. Oysa KVKK’ya göre her veri işleme faaliyeti bir “amaç” ile mühürlenmiştir. Müşterinin eşine, ortağına veya borçlusuna ulaşmak için banka sistemindeki “iletişim” verisini çekmek, o mühre zarar vermektir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bankalar ve büyük kurumlar, çalışanlarının CRM ekranlarında gördükleri her numarayı her amaçla kullanabileceklerini sanmalarının bedelini ağır öderler. Ayrıca şikâyet yönetimi bir “geçiştirme” sanatı değildir. İlgili kişiye “Gel konuşalım” veya “Ara anlatalım” demek hukuki bir cevap değil, bir idari yaptırım davetiyesidir. Veri sorumluları, ihlali kabul edip özür dilemek ve süreci yazılı açıklamak yerine topu taca attıklarında, Kurul’un cezai yaptırımıyla karşılaşmaları kaçınılmazdır.
Sıkça Sorulan Sorular
1. Bankaya verdiğim numara üzerinden başka biri için beni arayabilirler mi?
Hayır. Acil durum kişisi olarak özellikle belirtmediğiniz sürece, banka sizin iletişim bilgilerinizi sadece sizinle olan sözleşme ve işlemler kapsamında kullanabilir.
2. Bankaya yaptığım başvuruya “Müşteri hizmetlerini arayın” yanıtı gelirse ne yapmalıyım?
Bu cevap KVKK mevzuatına aykırıdır. Bankaya talebinizi yineleyerek yazılı ve açıklayıcı cevap vermeleri gerektiğini hatırlatın. Cevap gelmezse 30 günün sonunda Kurul’a şikâyet hakkınızı kullanın.
3. “Amaçla sınırlılık” ilkesi neden bu kadar önemli?
Çünkü bu ilke olmazsa, bir amaçla verilen veri (örneğin kargo teslimi için telefon) sonsuz amaçla (reklam, istihbarat, profil oluşturma) kullanılabilir. Bu da bireyin verisi üzerindeki kontrolünü tamamen yok eder.
4. 100.000 TL ceza sadece bir telefon araması için mi?
Evet. Kurul, ihlalin niteliğine ve bankanın ciddiyetine (veri güvenliği yönetimindeki zafiyet) bakarak bu tutarı belirlemiştir. 2026 yılındaki güncel limitlerle bu ceza çok daha yüksek seviyelerdedir.
5. Banka çalışanı şahsi telefonundan ararsa durum değişir mi?
Hayır. Çalışan bankanın sistemindeki veriye erişerek bu aramayı yapıyorsa, “veri sorumlusu” sıfatıyla banka yine sorumludur. Ayrıca çalışan hakkında “verileri hukuka aykırı ele geçirme” suçundan adli süreç de işleyebilir.
Kaynaklar
- KVKK Kurumu – 2019/277 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 12 ve 18)
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
Etiketler
KVKK, Banka İhlali, Amaçla Sınırlılık, Ölçülülük İlkesi, Veri Güvenliği, İdari Para Cezası, 2019/277 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Müşteri Hakları, Veri Sorumlusuna Başvuru, İletişim Bilgileri İhlali
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),