Kişisel Verileri Koruma Kurulunun (“Kurul”) veri sorumlusu banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması iddiasına ilişkin 09.12.2021 tarihli ve 2021/1239 sayılı kararı (“Karar”) yayımlandı.
Kurula intikal eden Karara konu şikâyette:
- Banka olarak faaliyet gösteren veri sorumlusu ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen şikayetçiye ulaşılamaması gerekçe gösterilerek anne ve babasının sabit telefonları üzerinden ısrarla arandığı,
- Veri sorumlusu tarafından yapılan aramalarda ilgili kişinin ailesine, ilgili kişiye ve ilgili kişinin ortağı olduğu şirketin ortaklarına ulaşılamadığının beyan edildiği, ayrıca ortaklarının isimlerinin verildiği, görüşmelerin sonunda bir telefon numarası bırakıldığı ve ilgili kişinin bu numarayı araması gerektiğinin söylendiği, aranan numaranın ilgili kişinin ailesinin kullanımında olduğunu defalarca belirttiği, yapılan aramalar sonucu zor duruma düşüldüğü, ilgili kişiye ait hakların kişisel verilerin açık rızası olmaksızın veri sorumlusu tarafından kullanılması suretiyle ihlal edilmiş olduğu,
- Bu ihlal dolayısı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’) gereğince veri sorumlusuna başvuru yapıldığı ve başvurunun reddedildiğinin öğrenilmesi üzerine Kişisel Verileri Koruma Kurumu’na başvuru zorunluluğunun hasıl olduğu belirtilmiştir.
Konuya ilişkin yapılan incelemede Kurul:
- Aramaların ilgili mevzuat ve Kurulun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli yazısı doğrultusunda gerçekleştirildiği,
- Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve KVKK uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğunu değerlendirmiştir.
Yaptığı değerlendirmeler ışığında Kurul:
- Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına,
- Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.
Kurul kararının tam metnine aşağıdaki linkten ulaşabilirsiniz.