22.12.2020 tarihinde Kişisel Verilerin Korunması Kurumu (Kurum) tarafından Kişisel Verilerin Korunması Kurulu’nun (Kurul) 08.10.2020 tarihli ve 2020/765 sayılı kararı internet sitesinde yayımlanmıştır. Karar, Kurul kararı ile verilen talimatın banka tarafından yerine getirilmemesi ile ilgili olup karar detayları aşağıdaki gibidir:
İlgili kişi tarafından veri sorumlusu sıfatını taşıyan Banka’ya başvuru yapılmış ancak Banka tarafından Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca cevap verilmesi gereken 30 günlük süre içerisinde cevap verilmemiştir. Bankanın internet sitesinde yayımlanan aydınlatma metninin Kurum tarafından yayımlanan tebliğe uygun olmadığı, metinde kişisel verilerin işlenme nedenleri belirtilmediği ve amaçlar için de genel ifadeler kullanıldığı iddia edilmiştir.
Bunun üzerine Kurul tarafından 06.02.2020 tarihli ve 2020/100 karar sayılı karar ile Bankaya internet sitelerinde bulunan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) hükümleri uyarınca hazırlanması gerektiği, veri işlemenin hangi şartlara dayanılarak yapıldığına ilişkin metinde bilgilendirme olması gerektiği, mevcut metnin aydınlatma yerine geçmeyeceği bildirilmiştir. Ayrıca Kurul bu kararında aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiğini de belirtmiştir.
Veri sorumlusu Banka tarafından sunulan aydınlatma metni incelendiğinde veri sorumlusu tarafından işlenen kişisel verilere (kategorik olarak) ayrıca yer verilmediği, metinde kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin de ayrıntılı bir düzenleme yapılmadığı; yalnızca Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentleri ile Kanunun 6’ncı maddesinin (2) numaralı fıkrasındaki hükümlerin sıralandığı görülmüştür.
Bankaya Kurul tarafından gönderilen karar akabinde Bankanın aydınlatma metnini amaçlara bazı eklemeler yapması ve başvuru iletme yolları hakkında düzenleme dışında genel anlamda Tebliğ’e uygun hale getirmediği tespit edilmiştir.
Ayrıca Banka tarafından sunulan savunma metninde yürüttüğü sosyal sorumluluk projeleri ve kurumsal marka çalışmaları ile reklam faaliyetleri gibi faaliyetleri için müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmiş olmakla birlikte buna ilişkin herhangi bir belge sunulmamıştır.
Banka tarafından çeşitli kredi hizmetleri verilmekle birlikte her hizmet için aynı aydınlatma metninin kullanıldığı ve böylece gerçekleştirilen işleme faaliyetine özgülenmemiş aydınlatma metinlerinin kullanıldığı anlaşılmış, Kurul tarafından daha önce verilen karar uyarınca Bankanın gerekli işlemleri yapmamış olduğu, aydınlatma metinlerinin Tebliğ ile uyumlu hale getirilmediği sonucuna varılmıştır.
Dolayısıyla Kanun ve Tebliğ birlikte değerlendirilerek Kurul tarafından;
- Veri sorumlusu Bankanın aydınlatma metninde Tebliğ hükümlerine uygun bir şekilde ayrıntılı bilgiye yer verilmediği,
- Kurul tarafından verilen karar uyarınca aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yapılması gerektiğine ilişkin talimata uygun bir şekilde aydınlatma metinlerinin düzenlenmediği ve bu hususta belge sunulamadığı, farklı farklı hizmetler için aynı aydınlatma metninin kullanılmasının Kanun ve Tebliğe aykırı olduğu,
gerekçeleriyle Kanun’un 18. Maddesinin 1 numaralı fıkrasının c bendi uyarınca 120.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bu anlamda,
- Aydınlatmanın kişisel verilerin elde edilmesi sırasında (en geç) ve faaliyet bazlı olarak yapılması gerektiğini,
- Aydınlatma metninin Tebliğ’e uygun olması gerektiğini, bu metinlerde sadece kanun maddelerine yer vermenin yeterli olmadığını,
- Kurul tarafından verilen kararlara uyulmaması halinde Kurul tarafından idari para cezasına hükmedilebileceğini,
önemle belirtmek gerekmektedir.
İlgili karara aşağıdaki linkten ulaşabilirsiniz.
Kommentare