Bankanın KKB Kayıtlarından Numara Alarak SMS Göndermesi: 2023/932 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 01/06/2023 tarihli ve 2023/932 sayılı kararı ile bankaların “güvenlik ve dolandırıcılığı önleme” gerekçesiyle, müşterinin o anki işlemde beyan etmediği ancak sistemde (KKB) kayıtlı olan diğer numaralarına ulaşarak mesaj göndermesinin hukuka uygunluğunu incelemiştir.
Olayın Özeti: “Bildiğim Numara Değil, Ama Mesaj Geldi”
İlgili kişi, bir bankaya online olarak müşteri olmuş ve kredi başvurusunda bulunmuştur. Ancak banka, kredi başvurusu ile ilgili mesajları hem kişinin beyan ettiği numaraya hem de bankaya hiç bildirmediği, sadece adına kayıtlı olan başka bir numaraya daha göndermiştir.
- İlgili Kişinin İddiası: Banka, bu numarayı rızası dışında ele geçirmiş ve işlemiştir. KKB kayıtlarındaki numarasının da güncel olduğunu, bankanın iddia ettiği alternatif numaranın orada olmadığını savunmuştur.
- Bankanın Savunması: Banka, Kredi Kayıt Bürosu (KKB) kayıtlarında başvuru sırasında verilen numaradan farklı numaralar gördüklerini, bunun bir dolandırıcılık riski (sahte kimlikle başvuru ihtimali) oluşturduğunu, yasal mevzuat gereği bu durumu teyit etmek için KKB’deki en güncel alternatif numaraya uyarı mesajı gönderdiklerini belirtmiştir.
Kurulun Hukuki Değerlendirmesi: Dolandırıcılığı Önleme Yükümlülüğü
Kurul, bankanın bu işlemini incelerken bankacılık mevzuatına atıfta bulunmuştur:
- Bankacılık Mevzuatı ve Güvenlik: Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, bankalara sahtekarlık amaçlı veya dolandırıcılık riski taşıyan işlemleri tespit etme ve önleme yükümlülüğü yüklemektedir (Md. 36).
- KKB ve Risk Merkezi’nin Rolü: Bankaların kendi aralarında risk yönetimi ve dolandırıcılığı önleme amacıyla bilgi paylaşımı yapması 5411 sayılı Bankacılık Kanunu (Md. 73) kapsamında “sır saklama yükümlülüğü” dışındadır ve yasaldır.
- İşleme Şartları: Bankanın, KKB kayıtlarından ulaştığı numaraya “erken uyarı” amaçlı mesaj göndermesi;
- Kanunlarda açıkça öngörülme (KVKK Md. 5/2-a) ve
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (KVKK Md. 5/2-ç) şartlarına dayanmaktadır.
Karar Sonucu: İşlem Hukuka Uygundur
Kurul; bankanın alternatif numaraya mesaj göndermesinin hem bankanın zarar görmesini hem de gerçek mağdurun (adına sahte başvuru yapılan kişinin) maddi yük altına girmesini engellemeye hizmet ettiğine karar vermiştir. Veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına hükmedilmiştir.
Özgür Eralp Perspektifi: “Bankalar Sizi Korumak İçin ‘Görünmeyen’ Verilerinize Bakabilir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, dijital bankacılığın en büyük kabusunun “identity theft” (kimlik hırsızlığı) olduğunu gördük. Bir bankanın, verdiğiniz numaradan şüphelenip KKB’deki diğer kayıtlarınıza bakması sizi rahatsız edebilir; ancak bu durum aslında sizin adınıza çekilecek sahte bir krediyi önlemenin tek yoludur.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bankalar sadece sizin verdiğiniz verilerle değil, ekosistemin paylaştığı (KKB gibi) verilerle de çalışır. Eğer KKB kayıtlarınızda çok eski veya yanlış numaralar varsa, bu durum bankalar nezdinde “şüpheli işlem” alarmı verilmesine neden olabilir. Haklıyken haksız duruma düşmemek ve dolandırıcılık radarına girmemek için e-Devlet veya bankalar üzerinden iletişim bilgilerinizi güncel tutmanız hayati önemdedir. Bu kararla Kurul, “güvenlik” amacının “veri mahremiyeti” ile nasıl dengeleneceğini göstermiştir.
Sıkça Sorulan Sorular
1. Banka benim numaramı başka bir bankadan alabilir mi?
Evet, 5411 sayılı Bankacılık Kanunu ve KKB (Kredi Kayıt Bürosu) protokolleri çerçevesinde bankalar, risk yönetimi ve dolandırıcılığı önleme amacıyla bu bilgileri paylaşabilirler.
2. KKB’deki bilgilerim yanlışsa ne yapmalıyım?
Banka veriyi KKB’den almaktadır. Eğer KKB kayıtlarınızda hatalı bir numara görünüyorsa, doğrudan KKB’ye veya bilginin KKB’ye iletildiği ilgili finans kuruluşuna başvurarak düzeltme talep etmelisiniz.
3. Bankanın bu SMS’i göndermesi “Açık Rıza”ya tabi değil mi?
Hayır. Dolandırıcılığı önleme faaliyeti bankanın yasal yükümlülüğü olduğu için KVKK Madde 5/2-ç uyarınca açık rıza aranmaksızın bu veri işlenebilir.
4. KKB her türlü kişisel verimi bankalara verir mi?
KKB sadece kredi limitleri, borç durumları ve bu işlemlerle ilişkili doğrulanmış iletişim bilgileri gibi “finansal risk” ile sınırlı verileri paylaşır.
5. Bu mesajlar reklam amaçlı kullanılabilir mi?
Kesinlikle hayır. KKB’den elde edilen veriler sadece dolandırıcılığı önleme ve risk tespiti için kullanılabilir. Bu numaranın pazarlama/reklam için kullanılması ağır bir ihlal oluşturur.
Kaynaklar
- KVKK Kurumu – 2023/932 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 5, 12, 18)
- 5411 Sayılı Bankacılık Kanunu (Madde 73 ve Ek Madde 1)
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),