“Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında” Kişisel Verileri Koruma Kurulunun 06.02.2020 Tarihli ve 2020/103 Sayılı Karar Özeti
İlgili kişinin 2018 yılı sonunda bir Banka şubesinde mevduat hesabı açtırmak istediğinde aynı Bankanın başka bir ildeki şubesinde Ocak 2016’da açılan bir ticari hesabının olduğu, anne kızlık soyadı dahil tüm kimlik bilgilerinin bahsi geçen Banka şubesindeki hesapta görüldüğü bilgisini edinmesi karşısında, adına hesap açılan şubenin bulunduğu yere daha önce hiç gitmemiş olması ve yine hiç ticari faaliyet yürütmemesine rağmen Banka nezdinde kişisel verilerinin hukuka aykırı olarak işlenmesi suretiyle adına hesap açılması hakkında Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun Bankadan alınan bilgi ve belgelerle birlikte incelenmesi neticesinde:
Veri sorumlusu Bankanın, potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak, Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelemeyeceğinden ilgili kişinin müşteri numarasının da aktif bir hesap haline gelmediği beyanı karşısında;
Müşteri numarasının oluşturulduğunun iddia edildiği Ocak 2016’da 07.04.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) yürürlükte olmamakla birlikte, Bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap içeriğinden ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğu anlaşıldığından ilgili kişiye yönelik kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan açık rıza şartı yerine getirilmeksizin ve (2) numaralı fıkrada sayılan hallerden biri mevcut olmaksızın gerçekleştirilmiş olması sebebiyle Bankanın Kanuna aykırı veri işleme faaliyetinde bulunduğu, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasına aykırı şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle veri sorumlusu Bankanın Kanunun 4 üncü maddesindeki genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres bilgilerini işlediği,
hususları dikkate alınarak; anılan Bankanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendindeki kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (b) bendi kapsamında 210.000 TL idari para cezası uygulanmasına
karar verilmiştir.