Potansiyel Müşteri Listeleri ve İzinsiz Hesap Açma: Bankaya 210.000 TL Ceza (Karar: 2020/103)
Kişisel Verileri Koruma Kurulu (Kurul), 06/02/2020 tarihli bu kararıyla, bankacılık sektöründe “potansiyel müşteri kazanımı” adı altında yapılan veri toplama ve işleme faaliyetlerine çok sert bir sınır çizmiştir. Karar, üçüncü taraflardan satın alınan veya temin edilen listelerin, açık rıza olmaksızın sisteme kaydedilmesinin ağır yaptırımları olduğunu tescil etmektedir.
1. Olayın Özeti: Hiç Gitmediği Şehirde Adına Açılan Hesap
Olay: Bir vatandaş, 2018 yılında bir bankada hesap açtırmak istediğinde, sistemde 2016 yılında başka bir ildeki şubeden açılmış bir ticari hesabının olduğunu fark eder. Şahıs, söz konusu ile hiç gitmediğini ve hayatı boyunca hiçbir ticari faaliyette bulunmadığını belirterek, tüm kimlik bilgilerinin rızası dışında işlendiği gerekçesiyle Kurul’a şikayette bulunur.
Bankanın Savunması: Banka, “potansiyel müşteri kazanımı” çalışması kapsamında üçüncü bir taraftan temin edilen liste vasıtasıyla bu bilgilere ulaşıldığını, ancak ıslak imzalı sözleşme olmadığı için hesabın hiçbir zaman “aktif” hale gelmediğini savunmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Aktif Olmasa Bile Veri İşlemedir”
Kurul, bankanın savunmasını ve veri toplama yöntemini şu kriterlere göre mahkûm etmiştir:
A. İşleme Şartlarının Yokluğu (Md. 5)
Bir kişinin bilgilerinin “potansiyel müşteri” olarak sisteme kaydedilmesi ve bir müşteri numarası tanımlanması, o verinin işlenmesi anlamına gelir.
- İhlal: Kişinin açık rızası (Md. 5/1) alınmamıştır ve kanunda sayılan diğer istisnai hallerden (sözleşme ifası, kanun vb.) hiçbiri mevcut değildir. Çünkü ortada henüz bir müşteri ilişkisi yoktur.
B. Geçiş Hükümlerine Aykırılık (Geçici Md. 1)
Verilerin sisteme ilk giriş tarihi Ocak 2016’dır (KVKK öncesi). Ancak Kanun’un Geçici 1. maddesi uyarınca, bu tarihten önce işlenen verilerin 2 yıl içinde Kanun’a uygun hale getirilmesi veya silinmesi gerekiyordu.
- Kusur: Banka, Kanun yürürlüğe girdikten sonra da bu verileri tutmaya devam etmiş, silme veya anonim hale getirme yükümlülüğünü yerine getirmemiştir.
C. Veri Güvenliği Yükümlülüğü (Md. 12)
Bankanın, kaynağı belirsiz veya üçüncü şahıslardan gelen listelerle sisteminde veri oluşturması, kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik teknik ve idari tedbirlerin alınmadığını göstermektedir.
3. Karar Sonucu: 210.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Veri işleme şartı olmaksızın potansiyel müşteri datası oluşturulması,
- Genel ilkelere (Md. 4) aykırılık ve verilerin zamanında imha edilmemesi,
- Veri güvenliği yükümlülüğünün (Md. 12) ağır ihlali,Gerekçeleriyle, banka hakkında 210.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Satın Alınan Datalar Saatli Bombadır”
Bilişim ve finans hukuku alanındaki tecrübemizde, kurumların “pazar payını artırmak” için dışarıdan veri listeleri satın aldığını veya paydaşlarından data transferi yaptığını sıkça görüyoruz. Bu karar, “soğuk satış” (cold call) veya “potansiyel hesap” oluşturma süreçlerinde kullanılan o meşhur listelerin bankalar için ne kadar büyük bir hukuki risk taşıdığını kanıtlıyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bir kişinin TCKN ve anne kızlık soyadı gibi en mahrem verilerini “belki müşteri olur” diye sisteme kaydedip bekletmek, KVKK nezdinde affı olmayan bir ihlaldir. Hesabın “pasif” olması bankayı kurtarmaz; çünkü ihlal verinin saklanması ve işlenmesiyle başlar. Bankalar, kaynağını doğrulayamadıkları ve üzerinde açık rıza bulunmayan her türlü tarihsel veriyi sistemlerinden derhal temizlemelidir.
Sıkça Sorulan Sorular
1. Hiç gitmediğim bir bankada adıma “pasif” hesap açılmışsa ne yapmalıyım?
Bu bir veri ihlalidir. Bankaya başvurup verilerinizin kaynağını ve hangi hakla işlendiğini sorun. Gelen cevapta “potansiyel müşteri listesi” gibi bir ifade varsa, bu karar emsal gösterilerek şikayet yoluna gidilebilir.
2. Bankalar üçüncü şahıslardan müşteri listesi alabilir mi?
Hayır. İlgili kişilerin bu paylaşım için açık rızası yoksa, üçüncü bir taraftan liste satın almak veya bu listeleri işlemek hukuka aykırıdır.
3. 2016’dan önce açılan kayıtlar için banka sorumlu mu?
Evet. KVKK 2016’da çıktı ancak bankalara 2018’e kadar tüm eski kayıtlarını hukuka uygun hale getirmeleri için süre tanındı. Bu sürede silinmeyen her rızasız veri şu an ihlal kapsamındadır.
4. 210.000 TL ceza neden bu kadar yüksek?
Kurul, bankacılık sektöründeki veri güvenliği beklentisinin yüksekliği ve ihlalin sistematik olma ihtimali (liste usulü veri girişi) nedeniyle caydırıcı bir ceza takdir etmiştir. 2026 yılı güncel limitlerinde bu tutar milyonlarca liraya karşılık gelir.
5. Anne kızlık soyadımın bankada olması neden tehlikeli?
Anne kızlık soyadı, bankacılık işlemlerinde en kritik güvenlik doğrulamasıdır. Bu verinin rızasız şekilde bir banka sisteminde yer alması, kimlik hırsızlığı ve finansal dolandırıcılık riskini en üst seviyeye çıkarır.
Kaynaklar
- KVKK Kurumu – 2020/103 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 5, 12, 18 ve Geçici Madde 1)
- Bankacılık Mevzuatı (Müşterini Tanı – KYC Kuralları)
Etiketler
KVKK, Banka İhlali, Potansiyel Müşteri, Veri İşleme Şartı, Müşteri Numarası, İdari Para Cezası, 2020/103 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Üçüncü Taraf Verisi, Veri İmhası, Anne Kızlık Soyadı İfşası
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),