TÜRKİYE BÜYÜK MİLLET MECLİSİ KAMU DENETÇİLİĞİ KURUMU




               Vatandaşın  Kişisel  Verisinin Bankalar  Tarafından  Hukuka Aykırı  Olarak  Talep
               Edilmesi Uygulamasının Durdurulması

               Başvurucu tarafından, bir bankacılık işlemi (okul taksiti yatırma) için gittiği özel bir
               bankada, eski Başbakanlık tarafından, hali hazırda da Cumhurbaşkanlığı İletişim
               Başkanlığı  tarafından  tanzim  edilen  ve  yürürlükteki  mevzuata  göre  resmi  bir  kimlik
               belgesi niteliğinde olan sarı basın kartının, resmi kimlik belgesi olarak kabul edilmediği,
               yanı sıra cep telefonu numarasını paylaşmadığı gerekçesi ile bahse konu bankacılık
               işleminin yapılmadığı, cep telefonu bilgisinin, mer’i mevzuat uyarınca kişisel verisi
               kapsamında olduğu, hiç kimsenin baskı yolu ile kişisel verisini paylaşmak zorunda
               bırakılamayacağı iddia ve şikâyet edilerek bankalar tarafından, vatandaşın kişisel
               verisinin hukuka aykırı olarak talep edilmesi uygulamasının durdurulması ve bu
               kurumların yaptıkları işlemler sırasında, resmi bir kimlik belgesi niteliğinde olan sarı
               basın kartını da kabul etmelerinin sağlanması talep edilmektedir.

               Kurumumuzca yapılan inceleme sonucunda, basın kartının hukuki durumu ve
               özellikle  resmi  nitelikli  bir kimlik  belgesi olduğu  hususunun  bir kanun  metni
               ile değil, yönetmelik hükümlerine göre belirlendiği, dolayısıyla “basın kartının”,
               Tedbirler Yönetmeliği’nin 6’ncı maddesi ikinci fıkrası (a) bendi kapsamında bankacılık
               sektöründe  kimlik tespitinde geçerli belge  olarak kabul edilebilmesinin mümkün
               olmadığı değerlendirilmiştir.

               Bununla birlikte, bankacılık sektörünün, gerçek kişilerin kimliklerini tespite yönelik
               topladığı ilgili kişinin “adı, soyadı, doğum yeri ve tarihi, uyruğu, kimlik belgesinin türü
               ve numarası, adresi ve imza örneği, varsa telefon numarası, faks numarası, elektronik posta
               adresi, iş ve mesleğine ilişkin bilgiler ile Türk vatandaşları için bu bilgilere ilave olarak
               anne, baba adı ve  T.C. kimlik numarası” bilgisinin  sıradan basit bilgiler olmadığı,
               bunların, ancak 6698 sayılı Kişisel Verilerin Korunması Kanun hükümleri uyarınca
               toplanıp, işlenip, saklanıp, aktarılacak vs. türden fiiller olduğu, dolayısı ile bankacılık
               sektöründe yer alan tüm aktörlerin, 6698 sayılı Kanun’un öngördüğü usul ve esaslara
               uygun davranmasının kanuni zorunluluk olduğu, diğer yandan, 6698 sayılı Kanun’un
               öngördüğü ve kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi
               uyarınca, kişisel veri işleme faaliyetlerinin ilgili kişi (müşteri) tarafından açık bir şekilde
               anlaşılır olması, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak
               gerçekleştirildiğinin tespit edilmesi, kişisel veri işleme faaliyetinin ve bu gerçekleştirilme
               amacının belirliliğini sağlayacak detayda ortaya konulması gerektiği, belirtildiği gibi
               amacın  meşru  olması,  veri  sorumlusunun  işlediği  verilerin,  yapmış  olduğu  iş  veya
               sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına geldiği, farklı
               bir anlatım ile “toplanan ve işlenen verilerin” belirlenen amaçların gerçekleştirilmesine
               elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması
               muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemesi, burada
               önemli olanın, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun
               dışındaki gerekli olmayan veriyi işlemeden kaçınılması gerektiği, toplanıp işlenen



                                                                        2020 YILLIK RAPOR  469