Kişisel Verileri Koruma Kurulunun (“Kurul”), banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hakkındaki 02.11.2021 tarihli ve 2021/1104 sayılı Kararı (“Karar”) yayımlandı.
İlgili kişinin Kişisel Verileri Koruma Kurumuna (“Kurum”) intikal eden şikâyetinde özetle; verilerinin silinmesi için veri sorumlusu bankadan (“Veri Sorumlusu”) talepte bulunduğu, Veri Sorumlusu tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Veri Sorumlusu’ndan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Veri Sorumlusu’na başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek Veri Sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan incelemede Kurul:
- İlgili kişinin müşterisi olduğu Veri Sorumlusu’na kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Veri Sorumlusu nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Veri Sorumlusu da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği,
- Somut olayda bilgilendirme içerikli mesajların iletilmesi suretiyle ilgili kişinin kişisel verisinin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan herhangi bir işleme şartının bulunmadığı, öte yandan işlemenin Kanun’da yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna da aykırı olduğu dikkate alındığında Kanun uyarınca Veri Sorumlusu’nun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı,
- Veri Sorumlusu tarafından ilgili kişinin kişisel verilerinin silindiğine ilişkin herhangi bir beyanda bulunulmadığı, sadece hesapların kapatıldığı ve pazarlama amaçlı olarak kişisel verilerin işlenmeyeceğine yönelik ticari ileti iletilmesine dair tercihlerin hiçbir kanaldan ulaşılmaması yönünde güncellendiği bilgisinin verildiğinin anlaşıldığı,
- Veri Sorumlusu’nun sunduğu belgeler ile 5411 sayılı Bankacılık Kanunu’nun 42. maddesinde belirtilen 10 yıl saklama süresi ve Kanun’da belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin Veri Sorumlusu nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin Veri Sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı değerlendirilmiştir.
Yaptığı değerlendirmeler ışığında Kurul:
- İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Veri Sorumlusu’nun kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Veri Sorumlusu tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’da yer alan yükümlülüklerini yerine getirmeyen Veri Sorumlusu hakkında Kanun kapsamında idari para cezası uygulanmasına,
- İlgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin Veri Sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.
Kurul Kararının tam metnine aşağıdaki linkten ulaşabilirsiniz.
