İstenmeyen Ekstre Gönderilmesine Kurul’dan 30.000 TL Ceza
Kişisel Verileri Koruma Kurulu Türkiye'nin en büyük bankalarından birine mahkemece istenmemesine rağmen davalının 6 aylık kredi kartı ekstresinin gönderilmesini Kişisel Verilerin Korunması Kanunu'na aykırı buldu. Kurul bankaya 30.000 TL idari para cezası verdi.
Av. Hasan Selçuk Turan'ın verdiği bilgilere göre süreç şöyle gerçekleşmiş. Müvekkilinin çocuklarının avuç izlerinin bir fitness centerda ebeveynin rızası olmadan alınması ve üyeliğin sona erdirilmesi ile ilgili tüketici mahkemesinde görülen davada mahkeme ücret iadesi ile ilgili bankadan bilgi istemiş. Bankanın ilgili şubesi mahkemenin talebinde "bilgi" dışında herhangi bir talep olmamasına rağmen müvekkilin altı aylık tüm kredi kartı harcamalarını gösteren ekstreleri herhangi bir kısmını gizlemeden mahkemeye göndermiş. Avukatlık Kanunu dava dosyalarının tüm avukatlar ve stajyer avukatlar tarafından incelemesine izin verdiğini hatırlatan Turan, ayrıca davacı konumundaki fitness center da dava dosyasına giren belgelere erişebildiği düşünüldüğünde, davalık olduğunuz birilerinin sizin özel hayatınıza ilişkin bilgilere ulaşmasının kabul edilemez olduğunu ifade etti.
Turan, bankanın ekstreleri mahkemenin talebi olmadan göndermesiyle Kişisel Verilerin Korunması Kanunu'na aykırı hareket ettiklerini tespit ettiklerini ve Kanun'en kişinin hak arama sürecinin ilk adımı olarak veri sorumlusu olan bankaya başvuruda bulunduklarını söyledi. Banka, 30 günlük cevaplama süresi içinde verdiği cevabında bankanın kişisel verilerin gizliliği konusunda azami hassasiyeti gösterdiklerini ve mahkemenin talebi üzerine ekstreleri gönderdiklerini ifade etmiş. Cevapta dayanak gösterilen kanun maddesinin belgelerinin gönderilmesi olduğu oysa ki mahkemenin sadece bilgi talebinde bulunduğunu ifade etti. Avukat ordusu çalıştırdığı müşterilerine imzalattıkları sözleşmelerin sayfa sayısına bakarak kolayca anlaşılan bankaların, "bilgi" ve "belge" arasındaki farkı bilmemeleri mümkün değil diyen Turan, cevabı tatmin edici bulmamaları sebebiyle Kişisel Verileri Koruma Kurumu'na şikayette bulunmuş.
Başvuruda bankanın hem "kişisel verilerin muhafazasını sağlama (Madde 12/1c)" hem de “veri sorumlusu olarak kendi kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yaptırması(Madde 12/3)" yükümlülüklerini yerine getirmemesi sebebiyle Kanunun kabahatleri düzenleyen ilgili maddesinde cezalandırılmasını talep ettiğini söyledi. Cezanın belirlenirken, Türkiye’nin en zengin bankalarından birinin maddi imkânları ve alabileceği hukuki yardım düzeyinin göz önünde bulundurularak cezanın tabandan değil daha yüksek kesilmesini talep ettiklerini söyledi.
Kişisel Verileri Koruma Kurulu uzun bir inceleme sonucunda da 8 Şubat'ta aldığı kararla bankanın kusurlu olduğuna karar vermiş. Ceza talep edilen ihlal iddialarının birinden 30.000 TL idari para cezası veren Kurul, bankanın Kurum'a göndermiş olduğu cevapta Kanun'a uyum süreci çerçevesinde bilgi sistemlerinde gerekli altyapı ve yazılım çalışmalarının devam ettiğini, personelin eğitimi yönünde çalışmalar yapıldığını, kurum içi bir Denetleme Komitesi'nce izlendiğini bildirdiğini bu sebeple ilave bir işlemde bulunmamaya karar vermiş.
"Kurul kararının, bankaların her gün yaptıkları sıradan görünen bir çok işlemin aslında Kişisel Verilerin Korunması Kanunu'na aykırı olduğunu gösterdi" diyen Av. Hasan Selçuk Turan "Yaptıklarının Kanun'a aykırı olduğunu bilmeyen banka şubelerinde çalışanlar her gün bir çok kişinin kişisel verisini e-postayla, faksla veya yazıyla birileriyle paylaşıyor. Kurul geçenlerde aldığı kararda da belirtiği üzere bankolarda her gün birilerinin kişisel verilerinin güvenliği tehlikeye atılıyor". Kanun'un popüler hale gelmesi ile Türkiye'de kişisel verilerin korunması uzmanı patlaması olduğunu söyleyen Turan, "Kurumlar kişisel verilerin korunması sürecinde çalışacakları danışmanları iyi seçmeliler. Her uzmanım diyene güvenmemeleri gerekir" dedi.
Bundan sonra izleyecekleri yolu da anlatan Av. Hasan Selçuk Turan, müvekkilinin talep etmesi durumunda bankaya manevi tazminat davası açacaklarını ve Kurul kararının da katkısıyla kazanacaklarını umduğunu söyledi. Ayrıca tüketici mahkemesine de Kurul kararını göndererek dava dosyasından kredi kartı ekstrelerinin çıkartılmasını ve karşı tarafın da ekstreleri yok etmesine dair karar talep edeceklerini söyledi.
7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu gerçek kişilerin kişisel verilerini hukuka aykırı işleyenlere 1 milyon TL'ye varan cezalar verilmesini öngörüyor. Kurum ve kuruluşların kişisel verilerini işledikleri kişileri aydınlatma yükümlülüklerine uygun olarak bilgilendirmeleri ve geçerli bir hukuki sebepleri yok ise kişinin açık rızalarını almaları gerekiyor. Kişisel verisinin hukuka aykırı işlendiğini düşünen kişiler, veri sorumlusu olan kurum ve kuruluşlara başvurarak bilgi edinebilirler. Hiç cevap verilmezse ya da verilen cevap yeterli bulunmazsa bu durumda Kişisel Verileri Koruma Kurulu'na şikayet edebilirler. Kurul bu olayda olduğu gibi kişinin haklarının ihlal edildiğine karar verirse veri sorumlusunu 1 milyon TL'ye varan idari para cezası ile cezalandırabilir.