Bankacılık Sırrı ve KVKK Çatışması: “Risk Grubu” Bilgisinin Paylaşımı (Karar: 2020/43)
Kişisel Verileri Koruma Kurulu (Kurul), 16/01/2020 tarihli bu kararıyla, bankaların “Bankacılık Kanunu”ndan kaynaklanan yükümlülüklerini yerine getirirken kişisel verilerin mahremiyetini nasıl korumaları gerektiğine dair çok önemli bir çizgi çekmiştir. Karar, “Risk Grubu” kavramının veri paylaşımı için sınırsız bir yetki vermediğini ve tazminat taleplerinin adresini netleştirmektedir.
1. Olayın Özeti: Babaya Verilen “Borçlu Oğul” Yazısı
Olay: Bir baba, bankaya kredi başvurusunda bulunur. Banka şubesi, babanın kredi talebini reddederken kendisine yazılı bir belge verir. Bu belgede; babanın oğluyla aynı “Risk Grubu”nda olduğu, oğlunun kredi ödemelerinde aksamalar bulunduğu ve bu nedenle babaya kredi kullandırılmadığı açıkça belirtilir.
Oğul (ilgili kişi), borç bilgilerinin babasıyla paylaşılarak mahremiyetinin ihlal edildiğini ve aile içinde huzursuzluk çıktığını belirterek bankadan 30.000 TL manevi tazminat talep eder. Bankadan yanıt alamayınca konuyu Kurul’a taşır.
2. Bankanın Savunması: “Hukuki Yükümlülüğümüzü Yerine Getirdik”
Banka savunmasında özetle şunları ileri sürmüştür:
- Risk Grubu Mevzuatı: 5411 sayılı Bankacılık Kanunu (Md. 49) uyarınca aile bireyleri aynı risk grubundadır. Birinin ödeme güçlüğü diğerini etkiler.
- Şeffaflık: Banka, müşterisine kredinin neden reddedildiğini açıklamak zorundadır (Md. 76).
- Aydınlatma: Bankanın internet sitesindeki aydınlatma metninde “Risk gruplarının tespiti için veri işlenebileceği” zaten ilan edilmiştir.
- İhlal Yok: Verilen bilgi geneldir, detay içermez ve kanuni zorunluluktur.
3. Kurulun Hukuki Değerlendirmesi: “Sır Saklama Yükümlülüğü”
Kurul, bankanın savunmasını KVKK, Bankacılık Kanunu ve Türk Ceza Kanunu (TCK) süzgecinden geçirerek şu sonuçlara varmıştır:
A. Risk Grubu Bilgisi İşlenebilir Ama İfşa Edilemez
Bankalar, risk limitlerini belirlemek için aile bireylerinin verilerini kendi iç sistemlerinde işleyebilir ve Risk Merkezi’ne aktarabilir (KVKK Md. 5/2-ç – Hukuki Yükümlülük). Ancak bu bilgiyi “üçüncü kişi” konumundaki babaya (veya bir başkasına) açıklamak, bu hukuki yükümlülüğün kapsamında değildir.
B. Müşteri Sırrı ve TCK Boyutu
Kurul, bankanın bu eyleminin sadece KVKK ihlali değil, aynı zamanda:
- Bankacılık Kanunu Md. 73: Banka ve müşteri sırrının açıklanması yasağına aykırılık,
- TCK Md. 239: Müşteri sırrının ifşası suçu,
- TCK Md. 136: Kişisel verileri hukuka aykırı olarak verme suçunu,oluşturabileceğine dikkat çekmiştir.
C. Tazminat Talebi Hakkında Karar
Kurul, şikayetçinin 30.000 TL’lik tazminat talebi hakkında şu hatırlatmayı yapmıştır:
- KVKK Madde 14/3 uyarınca; tazminat taleplerinin çözüm yeri genel mahkemelerdir. Kurul, idari bir otorite olup tazminata hükmetme yetkisi yoktur.
4. Karar Sonucu: Çifte Yaptırım ve BDDK Bildirimi
Kurul inceleme neticesinde:
- Tazminat Talebi: Bu hususun genel mahkemeler huzurunda dava edilmesi gerektiğine, Kurulca tesis edilecek bir işlem olmadığına,
- KVKK Cezası: Veri güvenliği yükümlülüklerini (Md. 12) ihlal eden banka ve ilgili personel hakkında idari işlem (ceza) tesis edilmesine,
- Mevzuat İhlali Bildirimi: Fiilin “Banka Sırrı” ve “Müşteri Sırrı” ihlali olması sebebiyle, konunun Bankacılık Kanunu kapsamında değerlendirilmesi için BDDK’ya (Bankacılık Düzenleme ve Denetleme Kurumu) bildirilmesine,karar vermiştir.
5. Özgür Eralp Perspektifi: “Mevzuat Bilmek Yetmez, Veri Koruma Kültürü Şarttır”
Bilişim ve bankacılık hukuku alanındaki tecrübemizde, kurumların “Bir kanun bana bu yetkiyi veriyor, o halde KVKK devre dışıdır” yanılgısına düştüğünü görüyoruz. Bu karar, Bankacılık Kanunu’ndaki “şeffaflık” yükümlülüğünün, başka bir müşterinin “sırrını” ifşa etme yetkisi vermediğini göstermektedir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Banka çalışanları, kredi reddini açıklarken “Oğlunun borcu var” demek yerine, “Risk grubu limitlerindeki uyumsuzluk” gibi daha genel ve kişisel veriyi ifşa etmeyen ifadeler kullanmalıdır. Aksi takdirde, banka sadece Kurul’un kestiği para cezasıyla değil, BDDK’nın yaptırımlarıyla ve personelin TCK kapsamında hapis cezası riskli yargılanmasıyla karşı karşıya kalabilir.
Sıkça Sorulan Sorular
1. Babamın kredi başvurusu sırasında benim borç bilgilerim ona söylenebilir mi?
Hayır. Bankacılık Kanunu’na göre aynı risk grubunda olsanız bile, banka sizin borç detaylarınızı babanıza (veya eşinize) yazılı veya sözlü olarak açıklayamaz. Bu, müşteri sırrının ihlalidir.
2. Bankadan tazminat almak için Kurul’a başvurmam yeterli mi?
Hayır. Kurul tazminata hükmedemez. Kurul’a “cezalandırma” için, mahkemeye “tazminat” için başvurmalısınız. Kurul’un vereceği ihlal kararı, mahkemede elinizi çok güçlendirir.
3. “Risk Grubu” neyi ifade eder?
Eşler, çocuklar ve bunların kontrol ettiği ortaklıklar bir risk grubunu oluşturur. Bankalar, toplam kredi limitini bu grup üzerinden hesaplar.
4. Aydınlatma metninde “veriniz işlenebilir” yazması bankayı kurtarır mı?
Hayır. Aydınlatma metni verinin işlenmesi (sistemde sorgulanması) için bilgi verir, verinin üçüncü kişilere ifşası için hukuki bir dayanak veya rıza yerine geçmez.
5. BDDK’nın bu konudaki rolü nedir?
BDDK, bankaların “Müşteri Sırrı” yükümlülüğüne uyup uymadığını denetler. Kurul, veri ihlalinin aynı zamanda bir bankacılık suçu olduğunu tespit ederse dosyayı BDDK’ya ve gerekirse savcılığa iletir.
Kaynaklar
- KVKK Kurumu – 2020/43 Sayılı Karar Özeti
- 5411 Sayılı Bankacılık Kanunu (Madde 49, 73, 76, 159)
- 6698 Sayılı KVKK (Madde 5, 12, 14)
- Türk Ceza Kanunu (Madde 136, 239)
Etiketler
KVKK, Banka Sırrı, Müşteri Sırrı, Risk Grubu, Veri İfşası, Tazminat Talebi, BDDK, 2020/43 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, TCK 136, TCK 239, Bankacılık Kanunu
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),