Kuruma intikal eden şikâyette özetle, ilgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle, İlgili kişinin bahsettiği tarihte başvurusunun bulunmadığı fakat başka bir tarihte kendilerine e-posta üzerinden bir şikâyet ilettiği ve aynı tarihte kendisi ile telefonla irtibata geçildiği fakat ilgili kişinin aramaları yanıtlamaması nedeniyle kendisine e-posta ile bilgi verilerek görüşme talebinde bulunulduğu ancak Banka tarafından iletilen e-postaya ilgili kişiden herhangi bir yanıt alınamadığı ancak aynı konulu başka tarihteki şikâyetlerinin Banka Genel Müdürlüğüne iletilerek başka bir tarihte yanıtlandığı, Banka ile kurumlar arasında imzalanan protokoller kapsamında kurumların fatura tahsilatlarına aracılık hizmetinin verildiği ve bu kapsamda ilgili kişinin imzalamış olduğu Bankacılık Hizmetleri Sözleşmesi çerçevesinde verdiği fatura ödeme talimatlarının yerine getirilebilmesi amacıyla fatura ödeme talimatı verilen kurumlarla müşteri işlem, Banka nezdinde kredi ürünlerine ilişkin olarak bankacılık sektörüne yönelik yasal düzenlemelere uyumun sağlanması, Bankanın risk izleme ve bilgilendirme yükümlülüklerinin yerine getirilmesi amacıyla Türkiye Bankalar Birliği Risk Merkezine kimlik, iletişim, müşteri işlem, Banka’nın acentesi olduğu …Sigorta A.Ş. nezdindeki sigorta poliçelerinin prim ödemeleri ile ilgili olarak söz konusu Şirkete müşteri işlem, ilgili kişinin yasal takipte izlenen kredilerinden kaynaklanan Bankanın alacaklarının tahsili amacıyla anlaşmalı hukuk bürosuna kimlik, iletişim, müşteri işlem, hukuki işlem bilgilerine ilişkin olarak her bir konu özelinde, ilgili amacın gerçekleştirilmesiyle kısıtlı olacak şekilde veri aktarımının gerçekleştirildiği, İlgili kişinin yurt dışına aktarılan kişisel verisinin bulunmadığı, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun Geçici 28’inci maddesinde Türkiye Cumhuriyet Merkez Bankası nezdinde izlenen risk verilerinin 5411 sayılı Kanun’a göre kurulmuş olan Risk Merkezine aktarılmasının düzenlendiği, aynı Kanun’un Ek 1’inci maddesinde ise, “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.” düzenlemesinin yer aldığı, anılan hükümler ve Türkiye Bankalar Birliği tarafından yayımlanan Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği ile üye bankaların Risk Merkezine bilgi paylaşımının kapsamı, biçimi ve içeriği ile tarafların yükümlülüklerinin düzenlendiği, İlgili kişinin talebi üzerine yapılan incelemede gerçek kişi tacir ilgili kişinin bireysel kredi kartı geri ödemelerinde gecikme olmamasına karşın ticari nitelikli kredi kartından kaynaklanan gecikme nedeniyle gecikme bildiriminin yapıldığının anlaşıldığı, Bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği, çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği, Güncelleme işlemlerinin Türkiye Bankalar Birliği Risk Merkezine ait portal üzerinden, kullanıcı ve onaylayıcı olarak yetkilendirilmiş Banka çalışanlarının Bankanın sistemindeki güvenlik kontrollerine uygun şekilde giriş yapması sonrasında gerçekleştirilebildiği, Portaldaki “Acil Güncelleme Sistemi”ne müşteri T.C. kimlik numarası bilgisinin girilerek gerekli düzeltmenin yapıldığı ve yetkilendirilmiş kullanıcının onayıyla sürecin tamamlandığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1107 sayılı Kararı ile, Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin,
a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı, Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı, Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinde, kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılamayacağının, özel nitelikli olmayan kişisel verilerin ancak Kanun’un 5’inci maddesinin (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde, özel nitelikli kişisel verilerin ise yeterli önlemler alınmak kaydıyla 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin düzenlendiği, Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişise