Kuruma intikal eden şikâyette, ilgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta 15/11/2019 tarihinde veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun 19/11/2019 tarihinde verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal eden cevabi yazıda özetle, İlgili kişinin 2016 yılından bu yana beri  veri sorumlusu bankaya ait kredi kartını kullandığı, söz konusu kredi kartının 25/08/2018 tarihinden başlayarak gecikmeye girdiği, ilgili kişinin kartının gecikmeye girmesi sebebiyle kendisi ile görüşüldüğü, ilgili kişinin gecikmede olan kartı için 23/10/2018, 28/12/2018 ve 28/03/2019 tarihlerinde, ilgili kişinin vermiş olduğu iletişim numarasından arandığı ancak ulaşılamadığı, İlgili kişiye bünyelerindeki iletişim numarasından ulaşmak mümkün olmayınca, 23/10/2018 tarihinde, sistemlerinde alternatif numara olarak tutulan ***10 numaralı telefon ile 28/12/2018 ve 28/03/2019 tarihlerinde ise ***55 numaralı telefonların arandığı ve söz konusu numaralar ile yapılan görüşmelerde, ilgili kişinin kişisel verilerinin hiçbir şekilde üçüncü şahıslar ile paylaşılmadığı, sadece aranan kişilere, ilgili kişinin taraflarını geri araması için not bırakıldığı, yapılan görüşme kayıtlarına ilişkin dökümlerin yazıları ekinde Kuruma gönderildiği, Bankalarının tabi olduğu temel düzenleme olan 5411 sayılı Bankacılık Kanununun Ek 1 inci maddesinde " (…) Üye kuruluşlar, Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. (...) Risk Merkezi, nezdindeki her türlü bilgi alışverişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir." hükmünün yer aldığı,  Anılan madde kapsamında düzenlenen ve 10 Nisan 2012 tarihli, 28260 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren "Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği" hükümleri uyarınca Risk Merkezi, Risk Merkezinin kuruluş amaçları doğrultusunda kanunlarda özel hayat ve aile hayatının gizliliğine ilişkin hükümler saklı kalmak kaydıyla özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarıyla, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarıyla Kurulun uygun görüşüne istinaden bilgi alışverişine yönelik sözleşmeler imzalamaya yetkili olduğu, bu çerçevede, Risk Merkezi Yönetiminin, özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından aldığı bilgiler ile bilgi alışverişine yönelik imzalanan sözleşmeler kapsamında temin ettiği bilgileri, üyelerinin maruz kalacakları riskleri ölçmek, karşı tarafın mali gücünü düzenli olarak analiz etmek ve izlemek için ihtiyaç duydukları gerekli bilgileri dikkate alarak paylaştığı, Risk Merkezi ile veri sorumlusu Banka arasında bu çerçevede bir gizlilik sözleşmesi akdedilmiş olduğu bahsi geçen yasal düzenlemeler ile alt mevzuatın belirlediği kapsamla sınırlı ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, müşterilerinin, kredilendirme süreçlerinde kullanabilmek ve risk bilgilerini alabilmek amaçlar