Kişisel Verileri Koruma Kurulu (“Kurul”), şikayetçi ilgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 11. maddesi uyarınca aydınlatma yükümlülüğünü gereği gibi yerine getirmeyen veri sorumlusu Bankaya (“Veri Sorumlusu”) yönelik şikâyeti sonucu, ilgili Bankanın aydınlatma metninde yer alan eksiklikleri düzeltmesini öngören bir önceki 06.02.2020 tarihli ve 2020/98 sayılı Kurul Kararına (“06.02.2020 Tarihli Karar”) uygun hareket etmemesine ilişkin 08.10.2020 tarihli ve 2020/766 sayılı (“08.10.2020 Tarihli Karar”) kararı verdi.
Kurul 06.02.2020 Tarihli Kararında, Veri Sorumlusunun internet sitesinde bulunan aydınlatma metninde başka kişisel veri işleme amaçlarının gündeme gelebileceği izleniminin yaratılmasından ve aydınlatma metninin KVKK uyarınca belirlenmiş işleme şartlarından hangilerine dayanılarak işleneceğinin açıkça belirtilmemesinden dolayı Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği’nin (“Tebliğ”) ilgili düzenlemelerine uygun olmadığını, Veri Sorumlusunun internet sitesinde yer alan gizlilik politikasının aydınlatma yerine geçmeyeceğini, aydınlatma yükümlülüğünün kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiğini belirtmiş; bu hususlara yönelik gerekli düzenlemelerin yapılmasını öngören talimatını Veri Sorumlusuna tebliğ etmiştir.
Kurul, Veri Sorumlusu Bankanın 06.02.2020 Tarihli Karar sonrası sunduğu bilgi ve belgeleri incelemesi sonucu;
- Veri Sorumlusu tarafından Kurulun tebligatı sonrası yeni bir aydınlatma metni hazırlandığını, söz konusu metinde kategorikolarak ve ayrıntılı şekilde hangi kişisel verilerin işlendiği, kişisel verilerin hangi ortamlarda ve ne şekilde elde edildiği, neden işlendiği, aktarıldığı, hangi hukuki gerekçelerle hangi kurum ve kişilere aktarım yapıldığı ve verilerin ne kadar süre ile işlenip, saklandığına ilişkin net, anlaşılır ifadelere yer verildiğini,
- Bununla birlikte, aydınlatma metninin Veri Sorumlusunun hangi kişisel veri işleme şartlarına dayanarak kişisel veri işlendiğine ilişkin aydınlatma yapmak yerine, Tebliğ’e aykırı şekilde yalnızca KVKK’nın 5. ve 6. maddelerinin ilgili fıkra ve bentlerine yer verdiğini,
- Veri Sorumlusunun yürüttüğü farklı faaliyetler bakımından, kredi kartı başvurusu hizmetinde farklı aydınlatma metni kullanılsa da, faaliyetlere özgü işlenen kişisel verileri (kategorik olarak), işleme amaçlarını, işlemenin dayandığı hukuki sebebi ve diğer unsurları ayrıntılı şekilde içeren bir aydınlatma metnine yer verilmediğini, mevcut metnin de Tebliğe uygun olarak hazırlanmadığını; konut kredileri hizmeti için ise bu faaliyete özgülenen bir aydınlatma metni yerine Banka’nın genel aydınlatma metninin kullanıldığını
tespit etmiştir.
Kurul, söz konusu tespitleri akabinde, Veri Sorumlusunun aydınlatma metnini Tebliğ’e uygun olarak düzenlemediği ve 06.02.2020 tarihli Kararda yer alan talimatları yerine getirmediği gerekçesiyle KVKK’nın 15. maddesinin 5. fıkrasına aykırı hareket ettiğine kanaat getirmiş ve Veri Sorumlusuna 120.000,- TL idari para cezası uygulanmasına karar vermiştir.
08.10.2020 Tarihli Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.
https://www.kvkk.gov.tr/Icerik/6849/2020-766
