Kredi Kartının Yanlış Adrese ve Üçüncü Kişiye Teslimi: Bankaya 50.000 TL Ceza (Karar: 2020/32)
Kişisel Verileri Koruma Kurulu (Kurul), 16/01/2020 tarihli bu kararıyla, bankacılık sektöründe müşteri verilerinin güncelliği ve fiziki materyallerin (kredi kartı vb.) teslimat süreçlerindeki sorumluluk zincirini netleştirmiştir. Karar, veri sorumlusu olan bankanın, “müşteri adresini güncellememiş” savunmasının arkasına sığınamayacağını, verilerin doğruluğunu ve güvenliğini sağlama yükümlülüğünün devam ettiğini tescil etmektedir.
1. Olayın Özeti: Eski İş Yerine Teslim Edilen Kredi Kartı
Olay: Bir banka müşterisinin yenilenen kredi kartı, banka sisteminde kayıtlı olan adreslerine gönderilmiştir. İlk adreste müşteriye ulaşılamamış, iletişim bilgileri güncel olmadığı için SMS ile bilgilendirme de yapılamamıştır. Bunun üzerine kurye, müşterinin sistemdeki ikinci adresi olan eski iş yerine giderek kartı orada bulunan üçüncü bir kişiye teslim etmiştir.
Süreçteki Hatalar:
- Kartın teslim edildiği kişinin kimlik doğrulaması yetersiz yapılmıştır.
- Teslimat statüsü sisteme yanlış işlendiği için müşteriye doğru bilgi verilmemiştir.
- Banka, müşterinin güncel bilgilerine ulaşmak için makul çabayı göstermemiştir.
2. Kurulun Hukuki Değerlendirmesi: “Veri Sorumlusu Kim?”
Kurul, bu karmaşık teslimat sürecini tarafların sorumlulukları üzerinden analiz etmiştir:
A. Bankanın Sorumluluğu (Veri Sorumlusu)
Banka, müşteri bilgilerini kendi amaçları doğrultusunda işlediği için Veri Sorumlusudur.
- Veri Güncelliği: Kanun’un 4. maddesi uyarınca verilerin “doğru ve gerektiğinde güncel olması” ilkesi esastır. Kurul, bankanın müşterinin bilgilerini güncellemediği savunmasını yetersiz bulmuş; bankanın verilerin güncelliğini sağlamak için “makul çaba” göstermesi gerektiğini vurgulamıştır.
- Güvenlik Tedbirleri: Kartın üçüncü kişilere teslim edilmesi, kişisel verilere hukuka aykırı erişim riskini doğurduğu için bankanın yeterli idari ve teknik tedbirleri (Md. 12) almadığı kanaatine varılmıştır.
B. Kurye Şirketinin Sorumluluğu
- Zarfın İçeriği Bakımından: Kurye firması, zarfın içindeki kredi kartı numarası, son kullanma tarihi gibi verilere erişimi olmadığı ve bu verileri kendi sisteminde işlemediği için bu veriler bakımından veri sorumlusu değildir.
- Teslimat Verileri Bakımından: Kurye firması, Karayolu Taşıma Yönetmeliği gereği gönderici ve alıcının kimlik bilgilerini kaydetmek zorundadır. Bu sebeple, teslimat sırasında topladığı veriler açısından kendi mevzuatı çerçevesinde ayrı bir veri sorumlusudur.
C. Kurye ve Banka Arasındaki İlişki
Kuryenin, sözleşme hükümlerine aykırı olarak kartı yanlış kişiye teslim etmesi, banka ile kurye arasında Borçlar Kanunu çerçevesinde bir “sözleşmeye aykırılık” meselesidir. Ancak bu durum, bankanın KVKK nezdindeki idari sorumluluğunu ortadan kaldırmaz.
3. Karar Sonucu: 50.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yeterli tedbirlerin alınmaması,
- Verilerin güncelliğini sağlamak adına yeterli çabanın gösterilmemesi,Gerekçeleriyle, Kanun’un 12. maddesine aykırılıktan dolayı Banka hakkında 50.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Adres Bilgisi Güncel Değil Demek Yeterli Mazeret Değildir”
Bilişim ve bankacılık hukuku alanındaki tecrübemizde, kurumların sorumluluğu kullanıcıya atma eğiliminde olduğunu sıkça görüyoruz. Ancak bu karar, bankalara çok net bir mesaj veriyor: “Müşterin adresini güncellemediyse, sen de o kartın yanlış ele geçmesini engelleyecek mekanizmayı (doğru SMS bilgilendirmesi, kurye denetimi vb.) kurmak zorundasın.”
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, dış hizmet aldıkları kurye veya lojistik firmalarıyla yaptıkları sözleşmelere “teslimat güvenliği” maddelerini sadece sembolik olarak eklememeli, bu sürecin KVKK uyumunu bizzat denetlemelidir. Kuryenin yaptığı hata, günün sonunda bankanın bilançosuna “idari para cezası” olarak yazılmaktadır. Müşteri verisi, sadece dijital ortamda değil, kurye çantasındaki o kapalı zarfta da bankanın koruma kalkanı altındadır.
Sıkça Sorulan Sorular
1. Kredi kartım bilgim dışında başkasına teslim edilirse ne yapmalıyım?
Derhal bankanızı arayarak kartı işleme kapatın ve teslimatın kime, nasıl yapıldığına dair bilgi isteyin. Ardından bankaya KVKK Madde 11 kapsamında başvurarak veri güvenliğinizin ihlali nedeniyle açıklama talep edin.
2. Bankaya adresimi güncellemediğimi söyleyerek sorumluluktan kaçabilir mi?
Bu karar göstermektedir ki; hayır. Banka, müşterisine ulaşamadığında veya veri güncelliğinden şüphe duyduğunda teslimatı durdurmalı veya daha güvenli yöntemler denemelidir. “Eski adrese gönderdim, orada birine verdim” yaklaşımı hukuka aykırıdır.
3. Kurye firmasına neden ceza verilmedi?
Bu olayda şikayet banka üzerinden yürütülmüştür. Kurul, bankanın ana veri sorumlusu olduğunu vurgulamıştır. Ancak yanlış teslimat yapan kurye firması hakkında banka rücu davası açabilir veya banka ile kurye arasındaki sözleşme hükümlerine göre işlem yapılabilir.
4. 50.000 TL ceza az değil mi?
Karar 2020 yılına aittir. 2026 yılı güncel limitlerine göre bu tutar, bankanın büyüklüğü ve ihlalin yaygınlığına göre milyonlarca liraya kadar çıkabilmektedir.
5. Kurye T.C. kimlik numaramı sorma hakkına sahip mi?
Evet, Karayolu Taşıma Yönetmeliği uyarınca kurye firmaları teslimatı kime yaptıklarını ispatlamak için kimlik numarası kaydetmekle yükümlüdürler. Ancak bu veriyi sadece yasal zorunluluk kapsamında saklayabilirler.
Kaynaklar
- KVKK Kurumu – 2020/32 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 12 ve 18)
- Karayolu Taşıma Yönetmeliği
Etiketler
KVKK, Banka İhlali, Kredi Kartı Teslimatı, Veri Güncelliği, Kurye Sorumluluğu, Üçüncü Kişiye Teslim, İdari Para Cezası, 2020/32 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Güvenliği, Müşteri Hakları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),