BANKANIN KİŞİSEL VERİLERİ KORUMA KURULUNA ŞİKAYET EDİLMESİ

Bankalar devletin yoğun denetimi ve müdahalesi altında bulunan ve kendileri için belirlenmiş özel ilkelere uymak şartıyla faaliyet gösterebilen kuruluşlardır. Bankacılık sektörüne özgü bu durum, bankalarla muhatap olan geniş halk kitlelerinin bankalara karşı özel bir güven duygusu beslemelerine yol açmaktadır.

Bankaların güven kurumu olarak nitelendirmelerinin sebebi devlet denetimi altında faaliyet göstermeleri ve verdikleri hizmetin Bankacılık Kanunu 6. madde uyarınca BDDK tarafından verilecek bir ruhsata tabi olmasıdır.
Banka hesap bilgileri ve hesap hareketlerinin, müşterinin izni olmadan 3. kişilerle paylaşılması, kişisel verilerin korunması hakkını ihlal edecektir.

Avrupa İnsan Hakları Sözleşmesinin "Özel Hayatın ve Aile Hayatının Korunması" başlıklı 8. maddesinde, herkesin özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahip olduğu, Birleşmiş Milletler Medeni ve Siyasi Haklar Sözleşmesinin "Mahremiyet Hakkı" başlıklı 17. maddesinde de, hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemeyeceği; onuru veya itibarının hukuka aykırı saldırılara maruz bırakılamayacağı, herkesin bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahip olduğu belirtilmiştir.

Anayasamızın " Özel Hayatın Gizliliği ve Korunması " başlıklı 20. Maddesi şöyledir; " Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. ... Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. "

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Tanımlar" başlıklı 3. Maddesinin d) fıkrası şöyledir; " Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi " ifade eder. Aynı yasanın "Kişisel Verilerin Aktarılması" başlıklı 8. Maddesinin 1. Fıkrası şöyledir; " Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. ". Aynı Yasanın " Kurula Şikayet(Kişisel Verileri Koruma Kurulu) başlıklı 14. Maddesinin 3. Fıkrası şöyledir; " Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır. " Aynı yasanın "Şikâyet üzerine veya resen incelemenin usul ve esasları" başlıklı 15. Maddesinin 1. Fıkrası şöyledir; " Kurul(Kişisel Verileri Koruma Kurulu), şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

" Aynı yasanın "Suçlar" başlıklı 17. Maddesi şöyledir; " Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. " Aynı yasasın "Kabahatler" Başlıklı 18. Maddesinin 1. fıkrasında idari para cezası öngörülmüşken 3. Fıkrası şöyle düzenlenmiştir; " Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. "

Türk Ceza Kanunu'nun "Verileri hukuka aykırı olarak verme" başlıklı 136. Maddesi şöyledir; " Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. " Aynı yasanın "nitelikli haller" başlıklı 137. Maddesi ise şöyledir; " suçların; Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır. "

Türk Ceza Kanunu'nun "Gizliliğin ihlali" başlıklı 285. Maddesi şöyledir; " Soruşturmanın gizliliğini alenen ihlal eden kişi, bir yıldan üç yıla kadar hapis veya adli para cezası ile cezalandırılır. "

Yargıtay Ceza Genel Kurulunun, 04.07.2017 tarihli ve 2017/829 E., 2017/363 K. sayılı kararı aynen şöyledir; " Kişisel verileri bir başkasına verme" seçimlik hareketinde, maddede geçen "başkası" gerçek bir kişi olabileceği gibi tüzel kişi de olabilecek, veriler bu kişilere elden, posta ya da internet üzerinden elektronik posta ile vb. şekillerde verilebilecektir. Türk Dil Kurumu Büyük Türkçe Sözlüğünde "vermek"; "üzerinde, elinde veya yakınında olan bir şeyi birisine eriştirmek, iletmek, düşünce veya bilgi anlatan şeyleri başkalarına iletmek, bildirmek" şeklinde açıklanmıştır. Bu seçimlik harekette verilerin hukuka uygun ya da aykırı yöntemle elde edilmiş olmasının önemi bulunmamakta olup, önemli olan husus verme eyleminin hukuka aykırı olmasıdır. Bu suçta herhangi bir neticenin gerçekleşmesi aranmadığından maddede sayılan seçimlik hareketlerin yapılmasıyla suç oluşacaktır. Bu açıdan TCK'nun 136. maddesindeki "verileri hukuka aykırı olarak verme veya ele geçirme" soyut tehlike suçudur. "

Anayasa Mahkemesi'nin 2018/73 Esas sayılı kararına göre; " Bireyin sadece adı, soyadı, doğum tarihi, doğum yeri gibi kimliğini ortaya koyan bilgilerin değil; telefon numarası, araç plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kaydı, parmak izi, IP adresi, e-posta adresi, hobileri, tercihleri, banka bilgileri, etkileşimde bulunduğu kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri" gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler de kişisel veridir. "

Kişisel Verileri Koruma Kurulu(KVKK) tarafından benzer olaylarda verilen ihlal kararları şöyledir;

1. " Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına " ( KVKK, Karar No:2020/559 Karar Tarihi: 22.7.2020)

2. " şikayetçiye ait ait borç bilgilerinin, şikayetçinin ağabeyi ve iş arkadaşları ile paylaşılmasının Kişisel Verilerin Korunması Kanunu hükümlerine aykırılık teşkil ettiğinden 125.000 TL idari para cezası uygulanmasına " (KVKK, Karar No: 2020/429 Karar Tarihi: 28.5.2020)

3. " Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğundan, Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet edilmesi nedeniyle 60.000 TL idari para cezası uygulanmasına " (KVKK, K. 2020/355 T. 7.5.2020)

4. " ihbara konu kişisel veri işleme faaliyetlerinde; Kanunun 4 üncü maddesinde sayılan genel ilkelere riayet edilmediği; söz konusu faaliyetlerin Kanunun 12 inci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak yükümlülüklerine aykırılık teşkil ettiği tespit edilmiş ve veri ihlalinin süresi, veri ihlalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak 950.000 TL idari para cezası uygulanmasına " (KVKK, K. 2020/191 T. 3.3.2020)

5. " Şikayetçi tarafından cep telefonu bilgisinin rızası dışında paylaşılmasının hukuka, hakkaniyete ve ölçülülük ilkesine uygun olmadığından bahisle veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir. Şikayetin hukuka aykırı bir veri işleme faaliyeti olduğu bu itibarla Kanunun 12 nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına " KVKK, K. 2020/196 T. 3.3.2020)

6. " Kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir. Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun ifade edildiği, bu doğrultuda veri sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığının anlaşıldığı ve bu çerçevede Kanunun 12 nci maddesi ile veri sorumlusuna yüklenmiş olan yükümlülükleri yerine getirmediği kanaatine varıldığı, hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde kapsamında 22.500 TL idari para cezasının uygulanmasına "

7. " ilgili kişiye ait verilerin bir Banka tarafından rızası olmaksızın babası ile paylaşıldığı, yapılan incelemede Kanunun 12 nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18 inci maddesinin hükmü kapsamında işlem tesis edilmesine " (KVKK, K. 2020/43 T. 16.1.2020)

8. " İlgili kişi tarafından Kurumumuza intikal eden şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğu belirtilmekte olup, Banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir. Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği, değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine " (KVKK, K. 2020/32 T. 16.1.2020)

9. " Mimar Sinan Güzel Sanatlar Üniversitesinde sınava girmiş kişilerin sınav sonuçlarının Yükseköğretim Kurulunun sınav sonuçlarına ilişkin düzenlemeleri çerçevesinde alenen duyurulduğu ve sonuçların internette aramaya açık biçimde yayınlandığı, kamu kuruluşu olarak değerlendirilen Mimar Sinan Güzel Sanatlar Üniversitesinde görev yapan sorumlular hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına " (KVKK, K. 2019/188 T. 1.7.2019)

10. " Sağlık verisinin, eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması nedeniyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır. " (KVKK, K. 2018/143 T. 5.12.2018)