Adalet Bakanlığı bünyesinde hizmet veren Kişisel Verileri Koruma Kurulu (KVKK), kişisel verileri amacı dışında kullananlara ceza yağdırıyor. Kredi kartının yenilenmesi talebinde bulunan müşterinin kartı, eski işyerinde tanımadığı bir kişiye teslim edildi.
Kişisel bilgilerinin ifşa edildiğini öne süren kart sahibi, KVKK’nın kapısını çaldı. Şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğunu belirten tüketici, banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep etti.
Mağdur tüketicinin şikayetini değerlendiren kurum, konunun tüm detaylarını masaya yatırdı. Kararda şu ifadelere yer verildi:
“Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellenmemiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı anlaşılmaktadır. Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği ortadadır. Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı anlaşılmaktadır. Söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan kuryenin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı belirtilmiştir. Somut olayda banka ile kurye arasında imzalanan sözleşme kapsamında kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun banka ve kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu ifade edilmiştir. Somut olay açısından bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği değerlendirilmiş, banka hakkında 50 bin lira idari para cezasına hükmedilmesine karar vermiştir.”