Risk Merkezi Verilerinin Kötüye Kullanımı: Faktoring Şirketlerine 1,4 Milyon TL Ceza (Karar: 2020/191-194)

Kişisel Verileri Koruma Kurulu (Kurul), 03/03/2020 tarihli bu dört önemli kararıyla, finans sektöründe kritik öneme sahip olan Risk Merkezi verilerinin yetkisiz kişilerle paylaşılması ve amaç dışı sorgulanması olayını cezalandırmıştır. Karar, “Risk Merkezi” sistemine erişim yetkisi olan finansal kuruluşların, bu yetkiyi sadece kendi ticari işlemleriyle sınırlı ve ölçülü bir şekilde kullanmak zorunda olduklarını, aksi durumun ağır hapis ve para cezalarına (Bankacılık Kanunu ve KVKK uyarınca) tabi olduğunu tescil etmektedir.

---

1. Olayın Özeti: Olağandışı Sorgu Trafiği ve Veri İfşası

Olay: Türkiye Bankalar Birliği (TBB) Risk Merkezi Yönetimi, bazı faktoring şirketlerinin sorgu adetlerinde dikkat çekici ve olağandışı bir artış tespit etmiştir. Yapılan incelemede, bu şirketlerin çalışanlarının;

• Kuruluş amaçları ve kendi iç işlemleriyle ilgisi olmayan kişiler hakkında sorgulama yaptıkları,
• Elde edilen bu “sır” niteliğindeki risk bilgilerini kanunen yetkili olmayan üçüncü kişilerle paylaştıkları belirlenmiştir.

---

2. Hukuki Değerlendirme: “Bankacılık Sırrı” ve “KVKK İlkeleri”

Kurul, ihlali üç ana hukuk disiplini üzerinden analiz etmiştir:

A. Bankacılık Kanunu ve Sır Saklama Yükümlülüğü

5411 sayılı Bankacılık Kanunu uyarınca, Risk Merkezi verileri “sır” niteliğindedir.

• Amaca Bağlılık: Risk bilgileri sadece “belirlenen amaçlar ile sınırlı kalmak” koşuluyla paylaşılabilir.
• Yaptırım: Sırları yetkisiz kişilere açıklayanlar veya kendi yararına kullananlar için 1 yıldan 3 yıla kadar hapis cezası öngörülmüştür.

B. KVKK Genel İlkeleri (Md. 4)

Veri işleme faaliyeti; belirli, açık, meşru amaçlar için olmalı ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.

• İhlal: Faktoring şirketleri, sundukları hizmetle bağlantısı olmayan kişileri sorgulayarak “Ölçülülük” ve “Amaca Bağlılık” ilkelerini açıkça çiğnemiştir.

C. Veri İhlal Bildirimi (Md. 12/5)

Şirketler, bu ihlali öğrendikten sonra en geç 72 saat içinde Kurul’a ve ilgili kişilere bildirmekle yükümlüdür.

• Kusur: Şirketlerin bu ihlali bildirmeyerek saklamaya çalışmaları, ayrı bir idari yaptırım konusu yapılmıştır.

---

3. Karar Sonucu: Toplam 1,4 Milyon TL İdari Para Cezası

Kurul, ihlalin süresi ve etkilenen kişi sayısının fazlalığını dikkate alarak 4 farklı faktoring şirketi hakkında şu cezaları vermiştir:

1. Veri Güvenliği Yükümlülüğü (Md. 12/1): Gerekli teknik ve idari tedbirleri almayarak (yetki kontrolü, log izleme vb.) verilerin hukuka aykırı işlenmesine neden oldukları için toplam 950.000 TL,
2. Bildirim Yükümlülüğü (Md. 12/5): İhlali Kurul’a ve ilgili kişilere bildirmedikleri için toplam 450.000 TL,olmak üzere toplamda 1.400.000 TL (2020 yılı değerleri) idari para cezası uygulanmasına karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Finansal Veri, En Korumalı Kaledir”

Bilişim ve finans hukuku alanındaki tecrübemizde, Risk Merkezi sorgu yetkisinin bazen “eş-dost sorgulama” veya “piyasa istihbaratı” gibi amaç dışı işler için suistimal edildiğini görüyoruz. Bu karar, finans dünyasına çok sert bir uyarıdır: Risk Merkezi’nden yapılan her sorgu, dijital bir iz bırakır ve bu izler sadece sistem tarafından değil, artık KVKK tarafından da takip edilmektedir.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Finansal kuruluşlar, çalışanlarının Risk Merkezi erişimlerini “sadece aktif kredi/faktoring başvuruları” ile sınırlayan teknik engeller (maskeleme, onay mekanizmaları vb.) kurmalıdır. Bir çalışanın “merakından” yaptığı bir sorgu, şirketi milyonlarca liralık idari para cezasıyla ve TCK kapsamında hapis cezası riskiyle karşı karşıya bırakabilir.

---

Sıkça Sorulan Sorular

1. Risk Merkezi verilerim kimlerle paylaşılabilir?

Kredi kuruluşları ve finansal kuruluşlar (bankalar, faktoring, finansal kiralama vb.) sadece sizinle olan ticari işlemlerini (kredi başvurusu vb.) değerlendirmek amacıyla bu verilere erişebilir. Bunun dışındaki her türlü paylaşım izne tabidir.

2. Bir şirketin benim risk raporumu benden habersiz sorguladığını nasıl anlarım?

e-Devlet üzerinden veya TBB Risk Merkezi’nden “Risk Raporu” talep ederek, hangi kurumun hangi tarihte sizin hakkınızda sorgulama yaptığını görebilirsiniz. Eğer o kurumla hiçbir ticari ilişkiniz yoksa bu bir ihlaldir.

3. “Banka Sırrı” ve “Kişisel Veri” arasındaki fark nedir?

Banka sırrı daha geniş bir kavram olup kurumsal bilgileri de kapsayabilir; ancak müşteriye ilişkin her türlü “sır” aynı zamanda KVKK kapsamında bir kişisel veridir ve çifte koruma altındadır.

4. 1,4 Milyon TL ceza 2026’da ne kadar olur?

2020 yılındaki bu yüksek meblağlar, bugünün (2026) ekonomik koşullarında ve güncel yeniden değerleme oranlarıyla on milyonlarca liralık bir yükümlülüğe karşılık gelmektedir.

5. Veri ihlal bildiriminde 72 saat kuralı neden bu kadar kritiktir?

Çünkü finansal veriler sızdığında, ilgili kişilerin dolandırıcılık veya itibar kaybı gibi risklere karşı hızlıca önlem alması (şifre değiştirme, bloke koyma vb.) gerekir. Geciken bildirim, zararı büyütür.

---

Kaynaklar

• KVKK Kurumu – 2020/191-194 Sayılı Karar Özetleri
• 5411 Sayılı Bankacılık Kanunu (Ek Madde 1, Md. 73 ve 159)
• 6698 Sayılı KVKK (Madde 4, 12 ve 18)
• TBB Risk Merkezi Yönetmeliği

---

Etiketler

KVKK, Risk Merkezi İhlali, Faktoring Şirketi, Bankacılık Sırrı, Müşteri Sırrı, Veri İhlal Bildirimi, 72 Saat Kuralı, İdari Para Cezası, 2020/191 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Finansal Veri Güvenliği, TBB Risk Merkezi