İlgili kişi tarafından Kuruma intikal ettirilen dilekçede özetle, Bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, Veri sorumlusuna yapılan başvuruya istinaden gönderilen cevabi yazıda üçüncü kişinin e-posta adresinin ilgili kişinin ortağı olduğu şirketin vekili tarafından 2017 yılında çek karnesi talebi için bankaya bildirildiği yönünde beyanda bulunulduğu, veri sorumlusu tarafından, 2018 yılına ilişkin bireysel emeklilik sözleşmesi teklifi ve 2020 yılına ilişkin hayat sigortası formlarında, söz konusu e-posta adresinin yer almasına karşın ilgili kişinin itiraz etmeksizin bu formlara onay verdiğinin öne sürüldüğü ve veri ihlali yaşanmadığının iddia edildiği, Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerin asil tarafından yapılmış kabul edilmesi sebebiyle bu kişilere yapılacak aydınlatmanın kanunen yeterli görüldüğü ancak şirket vekilinin, ilgili kişinin şahsi vekili olmadığı, diğer taraftan uyuşmazlığa konu olan hususta, e-posta adresinin ilgili kişinin şahsına ait olduğu varsayımında dahi, yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, ayrıca gönderim yapılan e-posta adresi ilgili kişiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan rıza beyanının da batıl olduğu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun)  4’üncü maddesi uyarınca kişisel verilerin doğru ve güncel olması gerektiği, bu hususta veri sorumlusunun aktif özen yükümlülüğünün bulunduğu, veri sorumlusu tarafından ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalların açık tutulması gerektiği, veri sorumluları tarafından üçüncü kişilerin telefon numarası, e-posta adresi gibi kanallarına, ekstreleri vb. kişisel veri içeren belgelerin gönderilmesini önlemek ve bu iletişim adreslerinin doğruluğunu teyit etmek amacıyla veri sorumluları tarafından gerekli idari ve teknik tedbirlerin alınmasının zorunlu olduğu, veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği, Veri sorumlusu tarafından daha sonraki tarihlerde ilgili kişiye sunulan tüm sözleşme, teklif ve formlarda e-posta iletişim bilgisinin basılı olarak yer alması nedeniyle e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı
belirtilerek veri güvenliğinin ihlal edilmesi sebebiyle gereğinin yapılması talep edilmiştir.
Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle, İlgili kişinin ortağı olduğu şirketin banka müşterilerinden biri olduğu, ilgili kişinin ortağı olduğu şirket için 2017 yılında çek karnesi talep edildiği ve o dönem çek karnesi için Findeks üyeliği gerektiğinden firmaya Findeks üyeliği oluşturulduğu, Findeks üyeliği oluşturmak için firma yetkililerinin iletişim bilgilerinin sisteme girilmesinin zorunlu tutulması nedeniyle ilgili kişinin hesabına, şikâyete konu olan e-posta adresinin tanımlandığı, Findeks üyelik formunun firma yetkililerinin banka sistemindeki iletişim bilgileri ile doldurulduğu ve firma yetkilileri tarafından imzalandığı, Somut olayda Findeks üyelik formunda ilgili kişiye ait iletişim bilgilerinin, ilgili kişinin ortağı olduğu şirketin vekili tarafından bankaya ibraz edildiği, söz konusu formda bu adresin açıkça ekstreler ile hesap hareketlerinin gönderildiği e-posta adresi olarak belirtildiği ve evrakın vekil tarafından imzalandığının tespit edildiği, İlgili e-posta adresi verisinin, Findeks üyelik sözleşmesinin ifası için alınması gereken zorunlu bir bilgi olduğu, bu kapsamda söz konusu kişisel verinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca işlendiği, dolayısıyla “açık rıza alınmadığı” şeklindeki iddiaların yersiz olduğu, Türkiye Bankalar Birliği öncülüğünde sektör ve Kurul tarafından hazırlanmış olan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Kılavuz Taslağı'nda belirtildiği üzere, her bir kredi kullandırma işlemi özelinde “risk grubu”nda bulunan ilgili kişilerin tek tek aydınlatılması suretiyle değil, kolayca erişilebilecek şekilde ve sadece “Risk Grubu” faaliyetleri bakımından genel bir aydınlatma yapılabildiği, Gayri nakdi kredi işlemi olan çek karnesi başvurusunda risk grubu içerisinde yer alan ilgili kişinin kişisel verisinin işlenmesine ilişkin aydınlatma yükümlülüğünün veri sorumlusunun internet sitesi aracılığıyla yerine getirildiği, İlgili kişinin, e-posta adresinin silinmesi talebini bankaya iletmesi üzerine aynı gün içerisinde ilgili kişinin hesabına kayıtlı e-posta adresinin silindiği ve yeni e-posta adresinin eklendiği, EFT ve havale bilgilendirme e-postalarının ilgili kişi tarafından aktif hale getirildiği, 2020 yılında ilk EFT ve havale bilgilendirme e-postalarının gönderilmiş olduğu, bu tarihe kadar olan süreçte, söz konusu hatalı e-posta adresine gönderilen e-postalar incelendiğinde, gönderilen e-postaların müşterinin ortağı olduğu firmaya ait ekstre, EFT/havale transfer limit değişiklik bilgilerini içerdiği ve müşteriye ait herhangi bir kişisel veri içermediğinin görüldüğü, bu yüzden şikâyetçinin kişisel verile