Kişisel Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/570 sayılı Karar Özeti

"İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi" hakkında Kişisel Verileri Koruma Kurulunun 11/04/2023 tarihli ve 2023/570 sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; bir kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği, veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

• Veri sorumlusunun kurduğu platform ile kripto para almak isteyenlerle satmak isteyenleri buluşturup aracılık yaptığı, kullanıcıların sitede hesap açmasının, “Temel Seviye” üyelik tipi ile başladığı, üyelik için hesap açarken adı, soyadı, T.C. kimlik numarası veya yabancı uyruklu olması halinde yabancı kimlik numarası ve uyruk, doğum tarihi, elektronik posta adresi ve cep telefon numarası kişisel verilerinin işlendiği, kullanıcıların bu üyelik tipi ile, Türk Lirası yatırma - çekme, alış-satış ve kripto para yatırma işlemi yapabildikleri,
• Kullanıcıların kripto para çekme aşamasında “İleri Seviye” üyeliğe geçtikleri, bu üyelik tipinde site içerisinde bulunan başvuru sayfasından kimlik, sürücü belgesi veya pasaportunun bir görseli ile kimlik veya sürücü belgesinin ön yüzünün, arka yüzünün ve başvuranın yüzünün net göründüğü elinde kimlik veya sürücü belgesinin ön yüzü ile birlikte üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın ve fotoğrafının pasaport ile başvurularda, pasaportun ön yüzü ve pasaportun ön yüzü ile birlikte üzerinde belirli bir ifadenin ve günün tarihi yazan bir kağıdın paylaşılmasının beklendiği, 
• Kripto varlık hizmet sağlayıcı olarak veri sorumlusunun, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in (Tedbirler Yönetmeliği) 4’üncü maddesi uyarınca suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla yükümlülüklerinin bulunduğu, ilgili Yönetmeliğin 6’ncı maddesi uyarınca ilgilinin; adının, soyadının, doğum tarihinin, T.C. kimlik numarasının ve kimlik belgesinin türü ve numarasına ilişkin bilgilerin doğruluğunun Türk uyruklular için T.C. nüfus cüzdanı, T.C. sürücü belgesi veya pasaport ile üzerinde T.C kimlik numarası bulunan ve özel kanunlarında resmi kimlik hükmünde olduğu açıkça belirtilen kimlik belgeleri üzerinden teyit edildiği,
• “İleri Seviye” üyeliğe geçişin ölçülülük ilkesi ile paralel olarak yalnızca kripto para çekme işlemlerinde, kripto para transfer işlemlerinin tamamen anonim olarak yapılması nedeniyle ve Yönetmelik kapsamındaki yükümlülükler doğrultusunda gerekli tedbiri alabilmek üzere gerçekleştirildiği, bu işlemin gerçek kullanıcı tarafından yapıldığının teyit edilmesi amacıyla bu belgelerin talep edildiği, eğer kripto para çekme işlemi yapılmayacak ise bu verilerin paylaşılmasına gerek olmadığı hususları 

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/04/2023 tarihli ve 2023/570 sayılı Kararı ile;

• Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin ikinci fıkrasının (a) bendinde “Kanunlarda açıkça öngörülmesi” hâlinde kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı, 
• Veri sorumlusunun kripto para alım satım işlemleri yapılmasına aracılık etme faaliyetinde bulunması itibarıyla Kripto Varlık Hizmet Sağlayıcısı olarak 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (5549 sayılı Kanun) ve buna dayanılarak çıkarılan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in “Yükümlü” başlıklı 4’üncü maddesinin 1’inci fıkrasının (ü) bendi kapsamında yükümlü olarak bu mevzuata tabi kılındığı,
• 5549 sayılı Kanun’un “Müşterinin tanınması” başlıklı 3’üncü maddesinde yükümlülerin, müşterinin tanınmasına ilişkin esaslar kapsamında; kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorunda olduğuna işaret edildiği, kimlik tespitine esas belge nevilerini belirlemeye Bakanlığın (Hazine ve Maliye Bakanlığı) yetkili olduğu, kimlik tespitini gerektiren işlem türleri, bunların parasal sınırları ile müşterinin tanınmasına ilişkin ve konuyla ilgili diğer usûl ve esasların yönetmelikle belirleneceği, 
• Müşterinin tanınmasına ilişkin detaylı düzenlemelerin Tedbirler Yönetmeliği’nin 5 ila 26/A maddelerinde yer aldığı, Mali Suçları Araştırma Kurulu (MASAK) tarafından yayınlanan Kripto Varlık Hizmet Sağlayıcıları Rehberinde müşterinin tanınması yükümlülüğü kapsamında alınması gerekli en önemli tedbirin “kimlik tespiti” olduğunun belirtildiği, Yönetmelikte hangi işlemlerde ve ne şekilde kimlik tespiti yapılacağının detaylı bir şekilde açıklandığı, buna göre kimlik tespiti yapılması gerekli olan işlemlerin, işlem tutarına bağlı olanlar ve olmayanlar şeklinde sınıflandırıldığı, diğer taraftan “Faaliyetlerini Münhasıran Elektronik Ortamda Gerçekleştiren Yükümlüler” olarak kripto varlık hizmet sağlayıcılarının 5 No’lu Mali Suçları Araştırma Kurulu Genel Tebliği’nin 2.2.10 maddesinde belirtilen şartları tamamlamaları halinde Basitleştirilmiş Tedbirlere ilişkin hükümlerden yararlanabilmesinin mümkün olduğu, ancak bunun için ilgili maddede yer verilen şartların tamamlanmasının gerektiği, 
• Veri sorumlusunun sunduğu hizmetlerden hesap açılmak suretiyle yararlanılabildiği, hesap açılması esnasında kullanıcılardan T.C. kimlik numarası ya da yabancı kimlik numarası, isim, soy isim, cep telefonu, doğum tarihi ve elektronik posta adres bilgilerinin istenildiği, bu suretle açılan hesaplarda belli bir limite kadar işlem yapılmasının serbest olduğu, belli limitin üzerindeki işlemlerin gerçekleştirilebilmesinin kullanıcıların üyelik seviyesini yükseltmelerine yani İleri Seviye olarak nitelendirilen hesaba sahip olmalarını gerektirdiği, kullanıcıların üyeliğinin yükseltilebilmesi için ise T.C. kimlik belgesinin ön ve arka yüzü ile fotoğrafıyla beraber üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın fotoğrafını paylaşmalarının gerektiği, veri sorumlusunun faaliyet alanında suç gelirlerinin aklanması olarak nitelendirilen kara para aklama faaliyetinin gerçekleştirilmesi ihtimali bulunduğundan kullanıcıların kimliğinin tespit edilmesinde kamusal bir menfaat bulunduğu, 
• Öte yandan ilgili kişinin kişisel verilerinin imha edilmesi talebine ilişkin olarak veri sorumlusuna başvurusunun incelenmesinden, kişisel verilerinin silinmesi-yok edilmesi yönünde bir talepte bulunmadığı, öte taraftan başvuruda bulunulan e-posta adresinin  kişisel verilerin korunmasına yönelik taleplere özgülenmediği anlaşıldığından ilgili kişinin bahsi geçen talebine yönelik olarak Kanun ve Tebliğ’de yer verilen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna başvuru yolunu tüketmediği,

değerlendirmelerinden hareketle; 

• Veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğu, bu itibarla veri sorumlusu tarafından kullanıcıların kimliğinin tespit edilebilmesi ve ilgili kullanıcı tarafından işlem yapıldığının tespit ve teyit edilebilmesi için kişisel verilerinin işlenmesinin Kanun’un 5’inci maddesinin 2’nci fıkrasının (a) bendi çerçevesinde “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığı, diğer yandan ilgili kişinin kişisel verilerinin silinmesi talebine ilişkin olarak ilgili kişinin bahsi geçen talebini Kanun ve Tebliğ’de belirlenen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna iletmediği, üyeliğinin devam etmesi nedeniyle kişisel verilerinin sözleşme kapsamında işlemeye devam edildiğinin anlaşıldığı dikkate alındığında ilgili kişinin şikayeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.