Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/932 sayılı Karar Özeti

"İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/932 sayılı Karar Özeti

Kuruma intikal ettirilen şikâyette özetle; 

• İlgili kişinin cep telefonu numarası aracılığıyla online olarak veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün bireysel kredi başvurusunda bulunduğu, 
• Aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adına kayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği, 
• Bu konu ile ilgili olarak yaptığı ilk başvuruya verilen cevapta Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığını belirttiği, yaptığı ikinci başvuruya Banka tarafından verilen cevapta ise şikayet konusu numaranın diğer bankalarla yapılmış olan sözleşmelere istinaden başka bankalardan alındığının belirtildiği, 
• KKB’nin internet sitesinde araştırma yaptığında ise ilgili kuruluşta kayıtlı telefon numarasının Banka’ya vermiş olduğu telefon numarası ile aynı olduğu yani şikayet konusu numara olmadığı 

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

• Kredi Kayıt Bürosu AŞ’nin (KKB) 9 bankanın ortaklığında 1995 yılında kurulduğu, bankalar, tüketici finansman şirketleri, leasing, faktoring, sigorta şirketleri, varlık yönetim şirketleri başta olmak üzere 150'yi aşkın yakın üyesinin bulunduğu, üyeleri ile gizlilik hükümlerini de içeren veri aktarım sözleşmesi imzalamış olduğu, Türkiye Cumhuriyeti Merkez Bankası’nın (TCMB) geçmişte üstlendiği risk santralizasyon görevini devralan Türkiye Bankalar Birliği (TBB) Risk Merkezi'nin tüm operasyonel ve teknik faaliyetlerini vekaleten kendi bünyesinde barındırdığı, bu açıdan şikayet özelinde de bankaların kredilendirme süreçlerinde karar almasına teşkil edebilecek ilgili tüm veri akışını, kredi kuruluşlarına sağlayan ülkemizin resmi kredi bürosu niteliğinde kuruluşu olduğu,
• 5411 sayılı Bankacılık Kanunu'nda öngörüldüğü üzere (md.73/4), KKB'de üye statüsünde bulunan finansal kuruluşların, müşterilerine ait kredi bilgilerini Nisan 1999'dan bu yana birbirleriyle, amaçla sınırlı ve ölçülü şekilde paylaştığı, veri sorumlusu Banka’nın da KKB'ye üye statüsünde bir kurum olduğu,
• Bu kapsamda, ülkemizde yerel kredi bürosu işlevi gören KKB’nin; üye kurumlar arasında, kredi müşterilerine ait detaylı bilgileri, kredi riskinin minimize edilmesine olanak sağlamak üzere paylaştığı, söz konusu veri aktarımlarının çeşitli çerçeve sözleşme, protokol, genelge hükümlerine göre yürütüldüğü,
• Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği’nin 36’ncı maddesinin 1’inci fıkrasında; “Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar.” hükmüne, 2’nci fıkrasında ise; “Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.” hükmüne yer verildiği,
• Bu çerçevede, söz konusu alternatif iletişim bilgisine, ilgili yönetmelik kapsamında yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun KKB ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması suretiyle ve sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği,
• KKB kayıtlarında; kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisinden farklı bir numaranın tespit edildiği, bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve KKB'de kayıtlı en güncel iletişim bilgileri üzerinden ilgili kişi ile iletişime geçildiği, bu kapsamda KKB kayıtlarında yer alan alternatif iletişim numarasına, dolandırıcılık önleme amaçlı, genel bilgilendirme/uyarı mesajı iletildiği, iletilen mesajın içeriğinde kişisel veri ifşasına yer verilmediği,
• Nihayetinde ilgili kişinin KKB kayıtlarından elde edilen alternatif mobil iletişim numarasının; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmesi ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayalı olarak işlendiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/932 sayılı Kararı ile;

• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin 1’inci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• Veri sorumlusunun; ilgili kişinin kredi talebi sürecinde müşterinin beyan ettiği ve sistemleri aracılığıyla makul yöntemlerle (SMS OTP) doğrulanmış mobil iletişim bilgisinin kaydedildiği, söz konusu alternatif iletişim bilgisine, bankaların kanunen yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun Kredi Kayıt Bürosu (KKB) ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması suretiyle, sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği, 
• 5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesinin 4’üncü fıkrasında “Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.” hükmünün bulunduğu,
• Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in (Yönetmelik) “Kimlik Doğrulama ve İşlem Güvenliği” başlıklı 34’üncü maddesinde;” (1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.” düzenlemesinin yer aldığı,
• İlgili Yönetmelik’in 36’ncı maddesinin 1’inci fıkrasında “Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar.” hükmüne, 2’nci fıkrasında ise “Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.” hükmüne yer verildiği,
• İlgili kişinin alternatif telefon numarasına erişim sağlanan kanal olan KKB’nin söz konusu veri işleme faaliyetindeki rolüne ilişkin olarak ise; 5411 Sayılı Bankacılık Kanunu’nda yer alan Ek Madde 1 ile Türkiye Bankalar Birliği (TBB) nezdinde Risk Merkezi’nin (RM) kurulduğu, RM’nin görevinin kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak olduğu, Türkiye Cumhuriyet Merkez Bankası (TCMB) nezdindeki Risk Santralizasyon Merkezi’nin devri ile TBB Risk Merkezi’nin 28.06.2013 tarihinde faaliyete geçtiği, KKB’nin ise TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürüttüğü, ayrıca 185 Risk Merkezi üyesi finansal kuruluşa veri toplama ve paylaşım hizmeti verdiği,
• Bu çerçevede; ilgili kişinin, veri sorumlusunun online banka müşterisi olması akabinde 19.08.2022 tarihinde veri sorumlusuna kredi başvurusunda bulunduğu, öncelikle ilgili kişi tarafından Bankaya iletişim bilgisi olarak verilmiş olan telefonuna kredi işlemlerine ilişkin bir bilginin iletildiği, aynı zamanda KKB kayıtlarında kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisine rastlanmadığı, farklı numaraların varlığının tespiti halinde bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve ilgili kişiye ait KKB'de kayıtlı en güncel iletişim bilgileri üzerinden başvuru sahibi ile iletişime geçildiği, söz konusu telefon numarasının KKB kayıtlarından edinildiği, söz konusu mesajın KKB’de kayıtlı adrese iletilmesi suretiyle gerçekleştirilen işlemin, sahte bir kimlik ile beraber alternatif bir iletişim numarası kullanılarak gerçekleştirilebilecek bir kredi başvurusunun banka tarafından sehven onaylanması halinde hem bankanın ilave zarara maruz kalmamasına hem de gerçekte borç ile hiçbir ilişkisi olmayan bir müşterinin ilave maddi/hukuki yük altına girmesinin engellenmesine hizmet ettiği, söz konusu işlemlerin Bankacılık Kanunu ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca gerçekleştirildiği,
• İlgili kişi tarafından KKB risk merkezinde de bankaya verilen numaranın kayıtlı olduğu iddia edilmekle birlikte KKB nezdinde Banka tarafından yapılan sorgulamada ekranında KİŞİSEL BİLGİLER başlığı altında ilgili kişinin Cep Telefonu olarak şikayete konu telefon numarasının yer aldığı görülmekte olup bu anlamda ilgili kişinin Kredi Kayıt Bürosu’nun kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve Kredi Kayıt Bürosu tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle Kredi Kayıt Bürosu nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği

değerlendirmelerinden hareketle;

• Veri sorumlusu tarafından ilgili kişinin iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesinin Kanunun 5’inci maddesinin 2’nci fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
• İlgili kişinin KKB kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve KKB tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle KKB nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği hususunun ilgili kişiye hatırlatılmasına

karar verilmiştir.