Kurul Talimatına Direnen Bankaya İkinci Darbe: 120.000 TL Ceza (Karar: 2020/765)
Kişisel Verileri Koruma Kurulu (Kurul), 08/10/2020 tarihli bu kararıyla, veri sorumlularının Kurul tarafından verilen talimatları “şeklen” yerine getirmesinin yeterli olmadığını, talimatın özüne ve mevzuatın ruhuna uygun hareket etmenin zorunlu olduğunu tescil etmiştir. Karar, özellikle bankacılık gibi çok kompleks veri işleme süreçleri olan sektörlerde “Genel Aydınlatma” devrinin kapandığını, “Faaliyet Bazlı Aydınlatma” döneminin başladığını göstermektedir.
1. Olayın Geçmişi: İlk Uyarı ve Yerine Getirilmeyen Talimat
İlk Karar (2020/100): Kurul, daha önce bir bankanın aydınlatma metnini incelemiş; metnin genel ifadeler içerdiği ve hangi verinin hangi hukuki sebebe dayandığının belli olmadığı gerekçesiyle bankayı talimatlandırmıştır. Bankadan;
- Aydınlatma metnini Tebliğ’e uygun hale getirmesi,
- “Faaliyet bazlı” (kredi başvurusu, kredi kartı başvurusu vb. özelinde) aydınlatma yapması istenmiştir.
İkinci İnceleme: Banka, Kurul’a “metni güncelledik” diyerek yeni halini sunmuştur. Ancak yapılan incelemede, bankanın sadece Kanun maddelerini (Md. 5/2-a, c, ç vb.) metne kopyalayıp yapıştırdığı, gerçek anlamda bir “faaliyet bazlı” ayrım yapmadığı tespit edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Kopyala-Yapıştır” Aydınlatma Sayılmaz
Kurul, bankanın güncellediği metni ve web sitesindeki uygulamalarını şu kriterlere göre hatalı bulmuştur:
A. Hukuki Sebeplerin Soyutluğu (Tebliğ Md. 5/1-h)
Aydınlatma Tebliği uyarınca, hangi kişisel verinin hangi işleme şartına dayandığı açıkça belirtilmelidir.
- Hata: Banka, sadece “Verileriniz 5/2-a, 5/2-c… maddelerine göre işleniyor” diyerek tüm maddeleri sıralamıştır. Oysa hangi veri kategorisinin (Örn: adres bilgisi) hangi maddeye (Örn: sözleşmenin ifası) dayandığı tek tek eşleştirilmelidir. Sadece kanun hükümlerini sıralamak aydınlatma yükümlülüğünü yerine getirmek değildir.
B. Faaliyet Bazlı Aydınlatma Eksikliği
Kurul, bankanın internet sitesinde testler yapmıştır:
- Bulgu: “Kredi Kartı Başvurusu” yapılırken de, “İhtiyaç Kredisi Başvurusu” yapılırken de kullanıcılar aynı **”Genel Aydınlatma Metni”**ne yönlendirilmektedir.
- İhlal: Kredi kartı süreci ile ihtiyaç kredisi süreci farklı veri türlerini ve amaçları içerebilir. Her faaliyetin kendine özgü, o işleme özel aydınlatma metni olması gerekir. Genel bir metne link vermek, “faaliyet bazlı aydınlatma” talimatının ihlalidir.
3. Karar Sonucu: 120.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Aydınlatma metninin Tebliğ hükümlerine (özellikle hukuki sebep-veri eşleştirmesi) uygun hale getirilmediği,
- Verilerin elde edilmesi anında o faaliyete özgü aydınlatma yapılmadığı,
- Dolayısıyla Kurul’un daha önce verdiği kararın (talimatın) gereğinin yerine getirilmediği,Gerekçeleriyle, banka hakkında KVKK Madde 18/1-c uyarınca 120.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Mevzuatla İnatlaşmanın Bedeli”
Bilişim ve finans hukuku tecrübemizde, kurumların Kurul kararlarını “hukuk departmanında birkaç kelime değiştirerek” savuşturabileceğini düşündüğü anlar görüyoruz. Bu karar, Kurul’un sadece metinlere değil, web sitesindeki “user journey” (kullanıcı yolculuğu) adımlarına da bizzat baktığını kanıtlıyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bankalar binlerce farklı işlem yapar. Her işlemin mutfağındaki veri akışı farklıdır. “Tek bir aydınlatma metni yazalım, içine de tüm kanun maddelerini koyalım, her yerde onu kullanalım” yaklaşımı hem dürüstlük kuralına hem de şeffaflık ilkesine aykırıdır. Kurul’dan bir “talimat” alındığında, bu bir tavsiye değil, yasal bir emirdir. Talimatı eksik yerine getirmek, ihlali “kasten devam ettirmek” olarak algılanır ve ceza kaçınılmaz olur. 2026 yılı güncel limitlerinde, Kurul kararına direnmenin maliyeti milyonlarca liraya ulaşabilmektedir.
Sıkça Sorulan Sorular
1. “Genel Aydınlatma Metni” artık yasak mı?
Tamamen yasak değil; sitenin altında genel bir bilgi olarak durabilir. Ancak bir hizmet (başvuru, üyelik vb.) sunulurken, sadece o hizmete özel verileri ve amaçları anlatan “Katmanlı Aydınlatma” veya “Faaliyet Bazlı Aydınlatma” yapılması zorunludur.
2. Banka aydınlatma metninde neden sadece madde numarası veremez?
Çünkü vatandaş hukukçu değildir. “Veriniz 5/2-e’ye göre işleniyor” demek, vatandaş için bir şey ifade etmez. Doğru olan; “Borç takibi yapabilmek (meşru menfaat) için telefon numaranız işleniyor” gibi açık ve anlaşılır bir dil kullanmaktır.
3. Kurul bir kez ceza kestikten sonra tekrar ceza kesebilir mi?
Evet. İlk ceza ihlal içindir, ikinci ceza (bu karardaki gibi) Kurul’un “düzelt” emrine uyulmadığı içindir. Sorun düzelene kadar Kurul denetimi ve yaptırımı devam edebilir.
4. 120.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki 120 bin TL, bugün (2026) milyonlarca liraya karşılık gelen bir yaptırım seviyesine ulaşmıştır.
5. Bir kredi başvurusunda doğru aydınlatma nasıl olmalı?
Onay kutucuğunun yanındaki linke tıklandığında açılan metin; sadece kredi başvurusu için alınan verileri, bu verilerin sadece kredi değerlendirme amacıyla kullanılacağını ve bu işlemin “sözleşme öncesi işlemler” hukuki sebebine dayandığını net bir şekilde anlatmalıdır.
Kaynaklar
- KVKK Kurumu – 2020/765 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 10, 15, 18)
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
Etiketler
KVKK, Banka İhlali, Kurul Talimatına Aykırılık, Aydınlatma Yükümlülüğü, Faaliyet Bazlı Aydınlatma, Tebliğ Uyumu, İdari Para Cezası, 2020/765 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Katmanlı Aydınlatma, Bankacılık Mevzuatı
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),