sağlanamaması
Şikayet
Müşteri, bankanın kendine teslim ettiği belgelerin eksik olduğunu ve talebine tam ve
zamanında dönüş yapılmadığını iddia edebilir. KVK Kurulu/yetkili mahkeme bankadan ikinci bir grup evrak daha göndermesini talep edebilir.
İlgili kişinin veri sorumlusundan talep edeceği verilerin makul olup olmadığı her bir somut olay kapsamında değerlendirilmelidir. Ancak özenli bir değerlendirmeden sonra veri sorumlusu hangi bilgileri ilgili kişiye verebileceğine karar verebilir ve ilgili kişinin KVKK’ dan doğan hakkını kullanmasını engellememiş olur.
Değerlendirme
6
Ekler
Ekler
EK-1
AB üye ülkelerinin KVK uygulamalarında
dikkate aldıkları diğer yasal düzenlemelere örnekler
EK-2
Önemli AB KVK Karar özetleri
Ekler
PwC I GSG Hukuk • 51
EK-1
Avrupa Birliği üyesi ülkelerde KVK
uygulamalarında dikkate alınan diğer yasal düzenlemeler
• Finans kurumlarının işlemlerinde ihtiyaç duyulan belge, ilan ve bilgiler ile ilgili yasal yükümlülüklere bağlı olarak kişisel verilerin işlenebilmesi için özel KVK Kanunları dışında kalan düzenlemeler aşağıda listelenmiştir:
• Müşterinin mali durumu hakkında Menkul Ticaret Yasası
• Gelir Vergisi Kanunu: vergi yasalarının uygulanması amacıyla vergi otoritelerinden gelen soruları yanıtlamak amacıyla.
• Kara Para Aklama Yasası uyarınca, finansal kurumların, kimlik tespit yükümlülükleri kapsamında, belirli bir meblağ üzerindeki nakit tutarlara ilişkin mevduat verilerini depolaması gerekmektedir. Bu yasaya göre, bu veriler kara para aklamayla mücadele etmek ve ayrıca vergi işlemleri için kullanılabilir.
• Ticaret Kanunu: Genel muhasebe veya kayıt yükümlülükleri, ticari ve mali düzenlemelere göre veri işleme faaliyetlerini meşrulaştırabilmektedir.
• Medeni Kanun
• Borçlar Kanunu
• Kredi bilgi sistemler (SCHUFA vb.), sistemde yer alan endekslerden kişisel veri transferi yaparak özel endeks oluşturma ve yönetme de yetkilidir. Bu tür verilerin yetkili depolama süresi sınırlıdır.
• Bankacılık Kanunu ve Sigorta Denetleme Kanunu: Kredi, sigorta, pazar riskleri, veri yönetimi ve yasalarla uyumluluk ile ilgili olanlar da dahil tüm risk yönetimini idare etmek; çalışanlar, müşteriler ve/veya tedarikçiler tarafından sahtecilik, etik olmayan davranışlara dayalı riskleri idare etmek amacıyla.
• Veraset ve İntikal Vergisi Kanunu: Vefat eden bir banka müşterisi durumunda bankanın bildirim yükümlülükleri.
• Sosyal Güvenlik Kanunu: İş ve işçi bulma kurumunun işsizlik parası ödemeyi kabul etmeden önce, mali durumu ortaya koymaya yönelik araştırma kapsamında bilgi alma hakkı vardır.
• Sigortacılık Kanunu, Hayat Grubu Sigortaları ile Bireysel Kredilere ilişkin mevzuat
• Ceza Muhakemeleri Kanunu: Polis, savcı, mahkeme gibi ceza muhakemeleri kanunu uygulayıcılarından gelen sorulara yanıt vermek
Ekler
EK-2
Önemli AB KVK Karar özetleri
Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu 20 Kasım 2003
CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux
particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991’de olmuş bir olay için Ağustos 2002’de bir müşteriye kötü kreditör olarak kara listeye sokmuştur.
Veri işlemenin CNIL’e zamanında bildirilmemesi 6 Nisan 2004
Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL’e, çalışanın işten çıkarılmasından sonra bildirilmiş ve işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi işten çıkarmanın yasaya aykırı olduğuna karar vermiştir.
İzinsiz gönderilen ticari ileti 5 Mayıs 2004
Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, 22.000€
ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın verilmesine destek olmuşlardır.
Ekler
PwC I GSG Hukuk • 53
EK-2
Önemli AB KVK Karar özetleri
İspanya Veri Koruma Otoritesi (DPA) Gizlilik İhlallerine Karşı Sıkı Önlemler Alıyor 20 Aralık 2004
1 Ocak 2003 ile 1 Aralık 2003 arasında İspanya DPA tarafından toplam 541 soruşturma yürütülmüş olup, söz konusu soruşturmalar sonucunda bunların 198’ine yaptırım uygulanmış.
DPA, en büyük İspanyol bankalarından biri olan Santander Central Hispano bankasının belirli müşteri isimlerini hukuka aykırı şekilde bankanın kara listesine yazması sebebiyle bir soruşturma altında olduğunu ve bankanın 300.000€ ya kadar bir cezayla karşı karşıya olduğunu bildirdi.
Verilerin Korunması Komisyonu Doğrudan Pazarlama Davası Hakkında Karar Verdi 28 Kasım 2004
Avusturya Verilerin Korunması Komisyonu, 4 milyon’dan fazla Avusturya ferdinin, isimlerini, adreslerini ve ek olarak medeni hallerini, yaşlarını, satın alım güçlerini veya ailevi durumlarını gösteren bir CD-ROM’un
hazırlanmasını uygunsuz buldu. CD ‘dm-plus’ isimli bir şirket tarafından bir doğrudan pazarlama şirketi (Herold Marketing CD Private) için hazırlanmıştı. Mahremiyetin korunması ile ilgilenen ve kar amacı gütmeyen bir kuruluş olan Avusturya Verilerin Korunması Kuruluşu (Arge Daten) bazı üyeleri adına, Avusturya Verilerin Korunması Yasası 2000’in 26.maddesine ithafen araştırmalar gerçekleştirmiştir. Bu madde verileri ellerinde tutan kişilerin, verilerin konusu olan kişilerin toplanan ve işlenen veriler hakkında bilgilendirilmesini öngörmektedir. Dm-plus ve Herold ilgili verilerin kaynakları hakkında yeterli cevap veremediğinden, dm-plus ve Herold hakkında Avusturya Verilerin Korunması Kanunu’na ithafen hukuki işlemler başlatılmıştır.
Ekler
EK-2
Önemli AB KVK Karar özetleri
ABD’nin veri koruma düzeyinin yeterli düzeyde olmaması 20 Nisan 2004
Hollanda veri koruma otoritesi (CBP), Hollanda’nın Eğlence Sektöründeki Hakların Korunması Birliği’nin
(BREIN) veri işleme uygulamalarını soruşturduğunu duyurdu. CBP, isim, adres, banka hesap numarası IP adresi gibi bilgilerin korsana karşı çıkmak amacıyla toplanmasının hukuka uygun olduğunu ancak bu verilerin BREIN’ın ABD’deki farklı bölümlerine aktarmasının, ABD’deki o dönemdeki veri koruma seviyesinin yeterli görülmemiş olması sebebiyle, Hollanda Veri koruma yasasına aykırı olduğunu belirtmiştir.
İnternetten Veri Toplamaya Sınır 18 Mayıs 2005
Paris İstinaf Mahkemesi, internet gibi yollarla alenileştirilen kişisel verilerin internette bulunma amaçları dışında ve ilgili kişinin rızası olmadan toplanmasının veri koruma mevzuatına aykırı olduğuna karar vermiştir.
Birleşik Krallık Veri Koruma Otoritesi Bankaların Veri Güvenlik Uygulamalarını Soruşturuyor 13 Mart 2007
Birleşik Krallık Veri Otoritesi müşteri bilgilerinin açığa çıkartılması hakkındaki şikayetler üzerine yaptığı soruşturma sonucunda 11 banka ve finansal kuruluşun Veri Koruma Yasası’nı ihlal ettiğine karar verdi. Veri Otoritesi, 11 bankadan KVK yasası kapsamındaki ilkelere uygun davranmaları konusunda taahhütname imzalamalarını talep etti. Otorite, yasanın güvenlik gereksinimlerine aykırı davranan bu kurumların, güvenlik prosedürleri hakkında detaylı bir soruşturma başlatacağını belirtti.
Ekler
PwC I GSG Hukuk • 55
EK-2
Önemli AB KVK Karar özetleri
AB Vatandaşlarının Kişisel Verilerinin Güvenlik Açıkları Sebebiyle Korunamamasının AB Dışına Etkisi
Şubat 2007
Kredi kartını kullanarak online çocuk pornosu satın alınması sebebiyle hakkında soruşturma başlatılan bir Alman bankası olan Commerzbank’ın kredi kartı hamilinin (ilgili kişi) böyle bir satın alma işlemine dahil olmadığı ortaya çıkmıştır. Commerzbank’ın ihlalden haberdar olmasının üzerinden 1 yıl geçmiş olmasına rağmen ilgili kişiyi ancak soruşturmanın sona ermesinden sonra, ABD’deki Postbank’ın güvenlik ihlali sebebiyle kredi kartı verilerinin sızdığı hakkında bilgilendirmiştir.
Bunun üzerine ilgili kişi, ABD’de Postbank’ın iştiraki olan Commerzbank’a dava açmıştır.
Bu dava AB vatandaşlarının verilerinin güvenlik açıkları sebebiyle korunamaması gibi KVK ihlallerinde AB haricinde de hukuki sonuçlara sebep olabileceğini ve bireyleri bu nevi ihlaller hakkında zamanında
bilgilendirmemenin taşıdığı yasal riskleri gözler önüne sermiştir.
Fransız Veri Koruma Otoritesi Merkezi Veri Tabanı Oluşumuna İzin Vermedi.
8 Mart 2007
Fransız Veri Koruma Otoritesi (CNIL), banka ve finansal kuruluşların, müşterilerine ve kredilendirme araçlarına ait bilgileri paylaşacakları bir merkezi veri tabanı oluşumuna yetki vermeyi reddetti.
Söz konusu kararda, red kararının sebepleri ise özetle:
• Bankalardan veri işleyenlere veri aktarımını yasallaştıracak hukuki temelin yokluğu
• İşleme ve amacı arasındaki orantısızlık; özellikle detaylı bilgilerin açıklanması, profil yaratma riski ve uzun saklama süreleri ve
• Kredi başvurusunda bulunanların konu hakkında tamamen bilgilendirilmeden bankacılık korumalarının kaldırılmasına dair hükmü imzalaması olarak ifade edilmektedir.
Ekler
EK-2
Önemli AB KVK Karar özetleri
Fransız Veri Koruma Otoritesi Kara Para Aklama ve Terörizmi Finansmanı İle Mücadele Kapsamında Veri Aktarımına İzin Verdi.
25 Nisan 2007
Fransız Veri Koruma Otoritesi (CNIL) Fransa’daki finansal hizmetler sağlayan şirketin birimleri arasında yapılan konuşmalardaki, şüpheli para transferlerine ilişkin bilgilerin, Tracfin’e (Fransa Ekonomi Bakanlığı’na bağlı kara para aklama ile mücadele eden birim) verilmesine karar verdi.
Ek olarak kara para aklama ve terörizmin finansmanı ile mücadele de kullanılan kişisel verilerin AB, Avrupa
Ekonomik bölgesi ve Komisyon’un belirlediği, taraf olacak ülkenin belli bir bölgesinde, gerekli korumayı sağlamak ve önlemleri almak amacıyla o ülkenin finansal yetkililerinden Fransız Banka Komisyonu ile karşılıklı anlaşmaya varılması ile, ilgili şirketlerin çalışanları arasındaki bilgilerin daha rahatça aktarılmasına izin verilmiştir.
Bu karar AU-003 kararındaki (Karar no: 2005-297, Karar tarihi 1 Aralık 2005) sadeleştirilmiş yetkiyi
değiştirmiştir, ancak ilgili karardaki yetki aynı şirket grubunda bulunan şirketler nezdinde bulunan şüpheli verinin aktarılmasına imkan vermemektedir.
Fransız Veri Koruma Otoritesi Credit Agricole’ü Müşterilerini Hatalı Olarak Kara Listede Tutması Sebebiyle Cezalandırdı
28 Nisan 2007
CNIL, 23 Eylül 2006 tarihinde verdiği 2006-245 sayılı kararında, Banque de France tarafından yönetilen Credit Agricole’e, müşterilerini hatalı bir şekilde kara listeye alınması nedeniyle 20.000 Avroluk bir ceza verdi.
Dava konusu somut olay ödeme sorununun yaşandığı zamandan 16 yıl sonra kara listeye eklenen birkaç birey hakkındadır. CNIL ilgili kişilerin kara listeden sulh yoluyla çıkarılmasını istemiştir. Ancak banka ilgili kişileri ikinci bir defa yanlışlıkla kara listeye koymuştur. Benzer hataların ileride oluşmaması için CNIL tarafından yapılan
organizasyon ve teknik düzenleme çağrılarına cevap vermekte banka başarısız olmuştur.
Ekler
PwC I GSG Hukuk • 57
EK-2
Önemli AB KVK Karar özetleri
Lloyds TSB BANK kararı
Lloyds TSB BANK Plc («Banka»)’nin davalı olduğu Smith v. Lloyds davasında («Dava»), davacı Terrence William Smith («Smith»), 1998 yılına ait İngiltere Veri Koruma Yasası’nın («KVK Yasası») 7. Bölümü uyarınca, Banka’ya bildirdiği ve Banka tarafından Smith’e ilişkin tutulan kişisel verilerinin yer aldığı çeşitli belgelerin kullanılmadan önce kendisine bildirilmediğini ileri sürmüştür.
Smith, DEL («Şirket») ve Banka arasında yapılan anlaşma uyarınca hem Smith’in hem de Şirketin borçlarına karşılık Smith’in evine ipotek tesis edilmiştir. Banka’nın, kredilerin tahsilini talep etmesi ve , Del ile Smith’in iflas etmeleri üzerine taraflar arasında birçok dava ve takip süreçleri işlemiştir.
Smith, Banka ile aralarındaki sözlü anlaşmayı destekleyen bilgi ve belgelerin KVK Yasası uyarınca kişisel veri niteliğinde olduğu ve KVK Yasası’nda tanımlandığı üzere bağlantılı dosyalama sistemi (“relevant filing system”) ile verilerin kullanıldığını iddia etmiştir.
Mahkeme Smith’in iddia ettiği bilgi ve belgelerin “kişisel veri” niteliğinde olup olmadığının tespitinde
• Dava konusu talebin yapıldığı tarih,
• Kişisel verilerin işlendiği sistem
• Kişisel verilerin bulunduğu belgelerin niteliği gibi hususları göz önünde bulundurmuştur.
Bu bağlamda mahkeme, dava konusu bilgi ve belgelerin dava konusu talebin yapıldığı tarihte otomatik donanımla işlenmediğini, fiziki ortamda tutulan bilgilerin de bağlantılı dosyalama sisteminde tutulmadığını, böylelikle
Smith’e ait olan bilgilerin kolaylıkla bulunamayacağı için kişisel veri olarak değerlendirilemeyeceği, diğer yandan dava konusu bilgi ve belgeler tamamıyla DEL’e verilen kredilere ilişkin olması sebebiyle Smith’e ilişkin kişisel veri olarak kabul edilemeyeceği kanaatine varmıştır.
Ekler
EK-2
Önemli AB KVK Karar özetleri
Weltimmo Davası 1 Ekim 2015
Slovakya’da faaliyet gösteren ve küçük ölçekli bir şirket olan Weltimmo, Macaristan’da bulunan gayrimenkullere ilişkin ilanlara yer verilen bir internet sitesi işletmektedir. Bir aylık ücretsiz ilan verme hakkı dolan Macar
kullanıcıları, Weltimmo’ya emlak ilan sitesinde yayımlanan ilanlarının ve kişisel verilerinin silinmesini talep etmişlerdir. Weltimmo Macar kullanıcıların bu taleplerini reddetmesinin yanında ücretlerini ödemeyen kullanıcıların kişisel verilerini icra dairesi ile paylaşmıştır. Macar kullanıcılarının, KVK Hukukuna aykırı davranışlarda bulunan Weltimmo’yu Macar KVK Otoritesine şikayet etmeleri üzerine, Otorite,
• Weltimmo’nun kişisel verileri Macaristan’dan elde etmesi,
• İdari süreçlerde Weltimmo’nun temsil edilmesi adına Macar vatandaşı olan bir kişiyi görevlendirmesi
sebeplerini Macar KVK Hukuku’nu uygulamak için yeterli bulmuştur ve Weltimmo’yu Macar KVK’sını ihlal etttiği gerekçesiyle yaklaşık 32.000 Avro idari para cezasına çarptırmıştır.
Macaristan Yüksek Mahkemesi ABAD’a Macaristan veri koruma otoritelerinin yetkili olup olmadığını ve Macar hukukunun uygulanabilirliğini sormuştur. Her ne kadar AB Yönergesi, veri sorumlusunun faaliyetlerinin
gerçekleştirildiği yer KVK Kanunu’nun uygulanacağını belirtiyor olsa da ABAD kararında, Emlak sitesinin Macar dilinde olması, Macaristan’da yaşayan kişilere fatura kesmesi ve onlardan alacağını tahsil etmesi, kişisel verilerini işlemesi vb., veri sorumlusu konumunda olan Weltimmo’nun Macaristan’da da faaliyetlerini etkili bir şekilde yürüttüğü anlamına geleceğini ifade etmiştir.