TR
  2. Anasayfa
  3. Mevzuat
  4. Kurul Kararları ve Duyurular
  5. Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/664 sayılı Karar Özeti

Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/664 sayılı Karar Özeti

“İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi” hakkında Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/664 sayılı Karar Özeti

 

Karar Tarihi : 06/07/2021
Karar No : 2021/664
Konu Özeti : İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; kendisinin de abonesi olduğu doğal gaz dağıtım hizmeti veren şirketin (veri sorumlusu) düzenlediği faturalarda “Otomatik Ödeme Talimatı” bölümünde kişilerin ödeme yaptığı banka adı bilgisine yer verildiği, faturada bu bilgiye yer verilmesi sebebiyle ilgili kişinin hangi bankada hesabının bulunduğunun açıkça anlaşıldığı, söz konusu bilginin kişisel veri niteliğini haiz olduğu, faturada bu bilgiye yer verilmesinin ilgili kişinin kişisel verisinin üçüncü kişilerle paylaşılması anlamına geldiği, bahsi geçen bilginin kötü niyetli kişilerin eline geçmesi halinde dolandırıcılığa yol açabileceği,  bu çerçevede düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik olarak veri sorumlusuna başvuruda bulunmuş olmasına rağmen veri sorumlusu tarafından olumsuz yanıt verildiği ifade edilerek 6698 sayılı Kişisel Verileri Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • EPDK’nın Doğal Gaz Piyasası Dağıtım ve Müşteri Hizmetleri Yönetmeliğinin ilgili hükümlerine göre hizmet sunulan müşteriler ile “müşteri sözleşmesi” imzalandığı, müşterilerce gerçekleştirilen tüketimlerin taraflarınca faturalandırıldığı, müşterilerin ise ödemelerini veri sorumlusunun vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdikleri, müşterilerce banka kanalıyla gerçekleştirilen ödeme işlemlerinin de ilgili bankalara ait ATM, vezne ya da otomatik ödeme yöntemlerinden herhangi biri ile gerçekleştirildiği, 
  • Abonelerden, sözleşme tanzim edilmesi işlemleri esnasında “Otomatik Ödeme” ya da banka bilgisi talep edilmediği, talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, banka ile veri sorumlusu arasındaki sistem entegrasyonu kapsamında veri sorumlusuna aktarıldığı ve aktarılan bu bilgilerin Kanunun 4 üncü maddesi ile 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında veri sorumlusunun sistemlerinde yer aldığı, söz konusu verilerin sistemlerinde yer almasının, sözleşme kapsamındaki işlerinin ifası için zorunlu olduğu, aksi durumda bazı sorunların oluşacağı,
  • Bankaya verilen otomatik ödeme talimatı sonrasında ilgili bankanın veri sorumlusunun sisteminden talimat sahibi abonenin borç bilgisini anlık olarak çektiği ve faturanın son ödeme tarihinde abonenin hesabından tahsilatı yaparak, tahsilat bilgisini veri sorumlusunun sistemine aktardığı, bu işlemlerin yapılması için ilgili bankaların, veri sorumlusu şirketin veri tabanında kendi bankalarına ait koda ve veriye teknik olarak gereksinim duyduğu, dolayısıyla söz konusu verinin veri sorumlusunun sistemlerinde yer almaması halinde, ilgili bankaların sistemsel sıkıntılar yaşayacağı ve ödenemeyen borçlar sebebiyle müşterilerin gaz arzının durdurulması sonucunun doğacağı, bu durumun bir yandan abonelerin mağduriyet yaşamasına yol açacağı, diğer yandan da veri sorumlusu şirketin işinin ifasında sıkıntı oluşturarak meşru menfaatlerine zarar vereceği, 
  • Diğer taraftan, ilgili kişinin faturada “Otomatik Ödeme Talimatı” başlığı karşısında yer alan banka bilgisinin kaldırılması talebinin veri sorumlusu tarafından tüm müşterileri kapsayacak şekilde yerine getirildiği, faturalarını otomatik ödeme talimatı vermek suretiyle ödeyen tüm abonelerin faturalarında banka talimatı bölümünde banka adı yazma uygulamasının kaldırıldığı ve talimat varsa sadece “VAR” ifadesi yazılacak şekilde gerekli düzeltmelerin yapıldığı 

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/664 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işleneceği, amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işleneceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesine imkan tanındığı, buna göre; 
    a) Kanunlarda açıkça öngörülmesi,
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 
    hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,
  • İlgili kişinin şikâyetine konu olan veri sorumlusu tarafından adına düzenlenen faturada yer verilen kişisel veri niteliğindeki banka adı bilgisinin, doğrudan ilgili kişiden elde edilmediği, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla banka tarafından veri sorumlusu şirkete aktarıldığı görüldüğünden; bu kapsamda söz konusu banka adı bilgisinin veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” şartı uyarınca veri sorumlusu tarafından işlenmesinin Kanuna uygun olduğu,
  • Öte yandan, ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle hâlihazırda herhangi bir hak ihlali yaşamadığı,
  • İlgili kişinin düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik veri sorumlusuna yaptığı başvuruya veri sorumlusu tarafından olumsuz yanıt verildiği iddiasına ilişkin olarak, Kuruma iletilen fatura örnekleri incelendiğinde veri sorumlusunca talep sonrası düzenlenen hiçbir faturada banka adı bilgisine yer verilmediği, banka talimatı bölümünde banka bilgisine yer verilmeyip sadece “VAR” ifadesinin kullanıldığının görüldüğü bu kapsamda ilgili kişinin talebinin yerine getirildiği kanaatine varıldığı 

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğinde olan banka adı bilgisinin, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” işleme şartına dayanılarak işlendiği; öte yandan ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle herhangi bir hak ihlali yaşadığının tespit edilemediği ve veri sorumlusunun ilgili kişinin talebini yerine getirdiği hususları dikkate alındığında bu aşamada şikayete konu iddialar ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.