Kişisel Verileri Koruma Kurulu (“Kurul”), şikayetçi ilgili kişinin (“Şikayetçi”) 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 11. maddesi uyarınca aydınlatma yükümlülüğünü gereği gibi yerine getirmeyen veri sorumlusu Bankaya (“Veri Sorumlusu”) yönelik şikâyeti sonucu, ilgili Bankanın aydınlatma metninde yer alan eksiklikleri düzeltmesini öngören bir önceki 06.02.2020 tarihli ve 2020/100 sayılı Kurul Kararına (“06.02.2020 Tarihli Karar”) uygun hareket etmemesine ilişkin 08.10.2020 tarihli ve 2020/765 sayılı kararı (“08.10.2020 Tarihli Karar”) verdi.
Kurul 06.02.2020 Tarihli Kararında, Bankanın internet sitesinde bulunan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği’ne (“Tebliğ”) uygun olmadığını, aydınlatma metninin Veri Sorumlusu Bankanın kişisel veri işleme şartlarına ayrıntılı şekilde yer vermediğini, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiğini belirtmiş; bu hususlara yönelik gerekli düzenlemelerin yapılmasını öngören talimatını Veri Sorumlusu Bankaya göndermiştir.
Kurul, Veri Sorumlusu Bankanın sunduğu bilgi ve belgeleri incelemesi sonucu, (i) Bankanın internet sitesinde bulunan aydınlatma metninin Banka tarafından işlenen kişisel verilere kategorik olarak yer vermediğini ve kişisel verilerin hangi veri işleme şartlarına dayanılarak işlendiğine dair ayrıntılı bilgi içermediğini; (ii) Veri Sorumlusu Bankanın 06.02.2020 Tarihli Kararda yer alan, aydınlatma metninde değişiklik yapılmasına yönelik talimatları yerine getirmediğini; (iii) Veri Sorumlusu Bankanın müşterisi olmayan gerçek kişilere yönelik sosyal sorumluluk projeleri ve kurumsal marka çalışmaları ile reklam faaliyetleri gibi diğer faaliyetler özelinde aydınlatma metni kullandığını belirtmesine rağmen destekleyici belge sunmadığını; (iv) Veri Sorumlusu Bankanın farklı bankacılık ürünlerine başvuru yapılması esnasında işlenen kişisel verilere özel ve ayrı bir aydınlatma metni kullanmadığını; (v) bunun yerine Veri Sorumlusu tarafından işlenen kişisel verilerin işleme şartlarına ayrıntılı şekilde yer vermeyen, yalnızca KVKK’nın 5. ve 6. maddelerinin ilgili fıkra ve bentlerine yer veren genel aydınlatma metnine yönlendirme yaptığını tespit etmiştir.
Kurul, söz konusu tespitleri akabinde, Veri Sorumlusu Bankanın aydınlatma metninin Tebliğ’e uygun olarak düzenlenmediği ve Veri Sorumlusu Bankanın Kurulun 06.02.2020 Tarihli Kararında yer alan talimatları yerine getirmediği gerekçesiyle Bankanın KVKK’nın 15. maddesinin 5. fıkrasına aykırı hareket ettiğine kanaat getirmiş ve Veri Sorumlusu Bankaya 120.000,- TL idari para cezası uygulanmasına karar vermiştir.
