Boş bir arazide kimlik fotokopileri ve banka sözleşmeleri bulunmuştu: Mahkeme, ceza veri işleyenin dedi

İstanbul’da boş bir arazide vatandaşlara ait kimlik fotokopilerinin ve banka sözleşmelerinin bulunduğu olayla ilgili, Kişisel Verileri Koruma Kurumu’nun (KVKK) verdiği 300 bin TL’lik idari para cezası, veri sorumlusu banka tarafından veri işleyen şirketin üzerine yıkıldı. Mahkeme, bankanın ödediği cezanın tamamının, kişisel verilerin korunmasına ilişkin sözleşme yükümlülüklerini ihlal eden hizmet sağlayıcı tarafından tazmin edilmesine hükmetti.

Olay, bir bankanın kredi kartı ve bankacılık ürünlerine ilişkin başvuru evraklarının, saha hizmeti yürüten bir dış hizmet sağlayıcısı aracılığıyla toplanması sürecinde yaşandı. İstanbul’da boş bir arazide içinde kimlik fotokopileri, başvuru formları ve banka sözleşmeleri bulunan bir çuval bulundu. Bölge sakinlerinin belgelerdeki telefon numaralarını arayarak kişileri bilgilendirmesiyle durum Kişisel Verileri Koruma Kurumu'na bildirildi.

İddia: MHP'li milletvekili Levent Uysal'ın diploması da sahte

İçeriği Görüntüle

KVKK: Denetim yapılmadı, riskler öngörülmedi

KVKK tarafından yapılan incelemede, 35 kişiye ait kimlik fotokopilerinin ele geçirildiği, belgeler arasında özel nitelikli kişisel verilerin de yer aldığı tespit edildi. Kurul, banka tarafından denetim yükümlülüğünün gerektiği gibi yerine getirilmediğine, fiziksel veri güvenliğinin sağlanmadığına ve bu durumun kurumsal bir güvenlik zaafı oluşturduğuna hükmetti.

Kurul kararında şu ifadelere yer verildi:

“Müşterilerden fiziki kimlik fotokopisi temin edilmesi uygulamasına saha çalışanlarınca sık sık ve uzun bir zaman aralığında yer verilmesi, veri güvenliği riski doğuracak bir kurumsal kültür oluşturmuştur. Bu kültürden kaynaklanan ancak henüz ortaya çıkmamış başka ihlallerin de olabileceği göz ardı edilemez.”

Bu gerekçelerle veri sorumlusu bankaya 300.000 TL idari para cezası kesildi. Banka bu cezayı erken ödeme indirimiyle 225.000 TL olarak ödedi.

Mahkemeden emsal karar: Hizmet sağlayıcı kusurlu bulundu

Banka, cezanın ödenmesinin ardından, söz konusu veri ihlaline sebep olan dış hizmet sağlayıcısına karşı rücu davası açtı. Mahkeme, taraflar arasında imzalanan “Destek Hizmeti Alım Sözleşmesi”nde yer alan, kişisel verilerin korunmasına ilişkin hükümlere dikkat çekerek, hizmet sağlayıcının ihlallerden sorumlu olduğunu belirtti.

Mahkeme kararında, dış hizmet sağlayıcının ihmali ve kusurlu davranışıyla idari para cezasının doğmasına neden olduğuna ve sözleşme uyarınca oluşan tüm zararın kendisi tarafından karşılanması gerektiğine hükmedilerek, bankanın ödediği 225.000 TL’nin faiziyle birlikte tazmin edilmesine karar verildi.