REGISTER LOGIN

Takip Teknolojileri, Bankacılık Verisi, Pazarlama, Veri İhlali; DI-2021–5544 sayılı Avanza Bank Kararı

02.12.2024
Canpolat Legal

Contents

İsveç Veri Koruma Otoritesi (“IMY”), yakın zamanda DI-2021–5544 numaralı kararında (“Karar”), Avanza Bank AB’nin (“Avanza Bank/Banka”), platformlarında kullanılan Meta Pikseli’nin iki fonksiyonunun yanlışlıkla aktive edilmesi sonucu 12 Kasım 2019 ile 2 Haziran 2021 tarihleri arasında yaklaşık 500.000–1 milyon kişinin kişisel verilerinin META’ya aktarılmasını veri ihlali olarak değerlendirdi ve Banka’ya 1.320.000 Euro’luk para cezası verdi.

Karar, birçok konunun yanında özellikle

  • ▪️ Takip teknojilerinin özensiz yürütülmesinin veri sorumluları açısından yarattığı riskler ve

  • ▪️ Dahili denetim ve süreç dokümanlarının sadece yürürlükte olmasının değil, aynı zamanda şirket içi süreçlerde aktif olarak kullanılması gerekliliğini ortaya koyması bakımından önemli noktalar içeriyor.

Karara Konu Olay

Karara konu olayda, veri sorumlusu statüsündeki Avanza Bank, elektronik bankacılık kanalı olarak kullandığı Avanza Bank web-sitesindeki ve mobil uygulamasında (“Platformlar”) META reklamlarının etkinliğini ölçmek için META’nın analiz aracı olan Meta Pikseli’ni kullanmaktadır.

Banka’nın ilgili aracı kullanmasındaki amaç Avanza Bank Platformlarındaki müşterilerin hangi sayfaları ziyaret ettiğini tespit ederek pazarlama aktivitelerini optimize etmektir. Nitekim, Meta Pikseli, normal şartlar altında ziyaretçilerin sadece ziyaret bilgisi, IP adresini ve web-sitesindeki aramaları gibi belirli tekil olaylar hakkında bilgi toplamaktadır.

Ancak, Avanza Bank, Meta Pikseli’nin iki yeni alt fonksiyonu olan Otomatik Gelişmiş Eşleştirme (AAM) ve Otomatik Olaylar (AE) fonksiyonlarını yanlışlıkla etkinleştirmiştir. Bu iki fonskiyonun etkinleştirilmesi ise müşterilerin ziyaret ve IP bilgisi gibi kişisel verileri dışındaki -doğrudan banka müşterisi olmaları sebebiyle- bankanın haiz olduğu bilgilerin META’ya aktarılmasına neden olmuştur.

AAM fonksiyonu etkisi

AAM Fonksiyonu, Platform’daki ad, soyad ve e-posta gibi form alanlarına (recognizable form fields) girilen verileri hashlenmiş biçimde META’ya aktarmıştır. Bununla birlikte, müşteriler oturum açtığında ve pazarlama çerezlerini kabul ettiğinde; kişisel kimlik numarası, iletişim bilgileri, mevcut kredilerdeki mevcut kredilerdeki kredi tutarları, işverenler, istihdam türü ve hesap numaraları dahil olmak üzere kişisel veriler de AAM tarafından toplanarak META’ya aktarılmış ve müşterilerin daha ayrıntılı bir profilinin çıkartılabilmesi için veri elde edilmiştir. Bu eylemin hedefli reklamcılıkla sonuçlanıp sonuçlanmadığı bilinmemektedir.

AE fonksiyonu etkisi

AE fonksiyonu kapsamında ise, Meta Pikseli, müşterilerin veri sorumlusunun web sitesinde ve mobil uygulamasında hangi butonlara bastığını analiz etmiş ve bu verileri düz metin olarak META’ya iletmiştir. Bununla birlikte, veri sorumlusu görsel alanları web sitesinde ve mobil uygulamasında buton olarak kategorize ettiğinden, AE aracılığıyla; menkul kıymetler ve değeri, kredi tutarları, hesap numarası ve e-posta adresi ve sosyal güvenlik numarası dahil olmak üzere ilgili kişilerin kişisel verileri toplanmıştır ve META’ya aktarılmıştır.

Avanza Bank’ın İhlali Bildirimi ve Savunması

Avanza Bank, 15 Kasım 2019 ile 2 Haziran 2021 tarihleri arasında Meta Pikseli’nin yanlışlıkla etkinleştirilen iki fonksiyonu nedeniyle 500.000 ila 1 milyon kişinin kişisel verilerinin META’ya aktarıldığını harici bir kaynaktan öğrenmiş ve bu durumu 8 Haziran 2021’de IMY’ye ihlal bildiriminde bulunarak açıklamıştır.

Yaptığı ihlal bildiriminde, Banka şu savunmaları dile getirmiştir:

  • ▪️ Mahremiyet Etki Analizi: META ile iş birliğine başlamadan önce gerekli mahremiyet etki analizi çalışmalarını yaptığını belirtmiştir.

  • ▪️ Hataların Tespiti: AAM ve AE fonksiyonlarının kimin tarafından ve nasıl etkinleştirildiğini tespit edemediğini ifade etmiştir.

  • ▪️ META’nın Veri Kullanımı: META’nın ilgili verileri kendi amaçları için kullanmadığını ileri sürmüştür.

  • ▪️ Verilerin Silinmesi: Banka, META’nın, kendilerinin talebi üzerine söz konusu verileri sildiğini ve bu nedenle veri aktarımının ilgili kişiler açısından bir risk teşkil etmediğini savunmuştur.

IMY’nin Kararı

IMY, yaptığı inceleme sonucunda şu değerlendirmelerde bulunmuştur:

  • ▪️ İzinsiz veri aktarımı: AAM ve AE fonksiyonlarının yanlışlıkla aktif hale getirilmesi, kişisel verilerin izinsiz olarak META’ya aktarılmasına yol açmıştır.

  • ▪️ Hassas nitelikli veriler: Aktarılan veriler arasında bankacılık sırrı gibi hassas nitelikte veriler bulunması ve çok sayıda kişiyi etkilemesi ihlalin ciddiyetini artırmıştır.

  • ▪️ Düz metinle aktarılan veriler: Verilerin büyük bir kısmının düz metin olarak aktarılması, ilgili kişiler açısından daha büyük risk teşkil etmektedir.

  • ▪️ Sorumlusu tespit edilemeyen kusur: Veri sorumlusu olarak Avanza Bank, ilgili işlevlerin kim tarafından ve nasıl etkinleştirildiğini tespit edememiştir. Bu durum, Banka’nın sorumluluğu olarak değerlendirilmiştir.

  • ▪️ Prosedürlerin takip edilmemesi: Banka, yeni veri işleme süreçlerinden önce yürütmesi gereken resmi prosedürlere sahip olmasına rağmen, bu prosedürleri etkin bir şekilde uygulamamıştır.

  • ▪️ Ek mesleki gizlilik yükümlülükleri: İhlale konu verilerin Banka’nın ana işinin bir parçası olarak işlenmesinin ve ilgili sürecin bankacılık mevzuatı kapsamında müşteri sırrı gibi ek bir gizlilik yükümlülüğe tabi olması ihlali daha ciddi bir boyuta taşımaktadır.

  • ▪️ İhlalin tespiti: Veri ihlali, Banka’nın kendi kontrol mekanizmalarıyla değil, harici bir kaynak tarafından yapılan bildirim yoluyla tespit edilmiştir.

Bu değerlendirmeler ışığında IMY, Avanza Bank’ın bir veri sorumlusu olarak Avrupa Veri Koruma Tüzüğü (GDPR) kapsamında yükümlülüklerini yerine getirmediğini tespit etmiştir. IMY özellikle, veri sorumlularının veri ihlallerini düzenli kontrollerle tespit edebilmek için sistematik bir güvenlik programına sahip olunması gerektiğini vurgulamıştır.

Yukarıdaki gerekçeler ışığında, IMY, Avanza Bank’ın yükümlülüklerini yerine getirmemesi ve aktarılan verilerin hassasiyeti göz önüne alınarak, 1.320.000 Euro idari para cezası uygulanmasına karar vermiştir.

İlgili Karar Neden Önemli?

Takip Teknolojileri Bakımından

Teknolojinin hızla gelişmesiyle birlikte takip teknolojileri oldukça karmaşık yapılar haline gelmiştir. Ülkemizde çerez ve takip teknolojileri süreçleri, KVKK’da açıkça düzenlenmemesi ve Avrupa Birliği’nde olduğu gibi özel bir mevzuata tabi olmaması nedeniyle, genellikle veri sorumluları tarafından göz ardı edilmekte veya diğer süreçler kadar önemsenmemektedir.

Ancak bu karardan da görüleceği üzere, takip teknolojilerine ilişkin süreçlerin özensiz yönetilmesi ve gerekli kontrol mekanizmalarının işletilmemesi ciddi veri ihlallerine yol açabilmektedir.

Takip teknolojilerinin karmaşık yapısı nedeniyle yalnızca IP adresi, ziyaret bilgisi gibi temel veriler değil, ziyaretçilerin formlar içerisine serbest biçimde yazdığı bilgiler dahi bu ihlallere konu olabilmektedir.

Bu nedenle, veri sorumlularının takip teknolojilerinin yönetimi açısından gerekli kontrolleri, diğer süreçlerle eşit derecede önemli görerek titizlikle yürütmesi gerektiği açıkça ortaya çıkmaktadır.

Dahili Dokümantasyonlar ve Bu Dokümanların İşletilmesi Bakımından

Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de -Avrupa Birliği’ne kıyasla- görece yeni bir düzenleme olduğundan, veri sorumluları KVKK uyarınca alınması gereken idari ve teknik tedbirleri ne yazık ki şekli olarak yerine getirmenin yeterli olduğu algısına sahipler. Bu algı doğru olmasa da mevcut uygulamalarda sıklıkla karşımıza çıkmaktadır.

Uyum projeleri sonrasında veri sorumluları tarafından hazırlanan dokümanlar genellikle şirket içerisinde yürürlüğe alınsa da, bu dokümanların güncel süreçlerde ne kadar aktif olarak kullanıldığı sıkça tartışma konusudur. Avanza Kararı, bu konuda önemli bir ders niteliğindedir. Teknik ve idari tedbirlerin yalnızca şeklen yerine getirilmesinin, veri sorumluları açısından yeterli koruma sağlamadığı açıkça görülmüştür.

IMY, Avanza Bank’ın, teknik ve idari tedbirlere ilişkin gerekli dahili dokümanları yürürlüğe almış olmasına rağmen, bu dokümanları pratikte uygulamadığını ve bu nedenle sorumlu olduğunu belirtmiştir.

Ayrıca, IMY bir adım daha ileri giderek, Avanza Bank’ın “Meta Pikseli’nin canlı ortama alınmadan önce gerekli etki analizi ve uyum çalışmasının yapıldığı” yönündeki savunmasını yeterli bulmamıştır. Kurum, bu denetim süreçlerinin, ürünün canlı ortama alınmasından sonra da devam etmesi gerektiğini ve bu süreçlerin yürütülmesi halinde ihlalin önlenebileceğini vurgulamıştır.

Müşteri Sırrı Bakımından

Avanza Bank Kararı’nın bir diğer önemli yönü, mesleği gereği ek gizlilik yükümlülüklerine tabi olan veri sorumlularının ihlallerinin, diğer veri sorumlularının ihlallerine kıyasla daha ciddi sonuçlar doğurabileceği gerçeğidir.

IMY, kararında, Avanza Bank’ın bir banka olarak, bankacılık düzenlemelerindeki ek gizlilik yükümlülüklerine tabi olduğunu ve bu durumun ihlalin ciddiyetini artırdığını açıkça belirtmiştir. Bu bağlamda, IMY, Avanza Bank nezdinde gerçekleşen veri ihlalinin, diğer veri sorumlularının ihlallerine oranla daha ağır bir sorumluluk doğurması gerektiğine işaret eden bir karar almıştır.

Sonuç

Avanza Bank kararı, takip teknolojilerinin doğru yönetiminin, dahili dokümantasyonların aktif olarak uygulanmasının ve mesleki gizlilik yükümlülüklerinin veri sorumluları açısından ek yük doğurduğunun önemini bir kez daha vurgulamaktadır.

Veri sorumluları, yalnızca mevzuata uyum sağlamakla yetinmemeli, süreçlerini etkili bir şekilde kontrol etmeli ve uygulamalıdır.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.
th

Popular Articles on Fintech

Guide to Open Banking Services is Published
First Payment on Digital Turkish Lira Network Successfully Made
Açık Bankacılık Hizmetlerine İlişkin Rehber Yayımlandı
Dijital Türk Lirası Ağı Üzerindeki İlk Ödeme İşlemi Başarıyla Gerçekleşti
Uzaktan Kimlik Tespitine Kısaca Bakış ve Bankalarca Kullanılan Uzaktan Kimlik Tespiti Yöntemleri ve Elektronik Ortamda Sözleşme İlişkisi Kurulmasına Dair Kritik Değişiklikler

Latest Insights from Canpolat Legal

Takip Teknolojileri, Bankacılık Verisi, Pazarlama, Veri İhlali; DI-2021–5544 sayılı Avanza Bank Kararı
2025 Yılı Cumhurbaşkanlığı Yıllık Programı Finteklere İlişkin Neler İçeriyor?
TCMB, "Kartlı Harcama Tercihlerinde Son Dönem" Yazısında Kartlı Harcama Bakiyesinde Gözlenen Reel Artışı İnceledi
SPK, Kripto Varlıklara İlişkin Yeni İlke Kararını Yayımladı; NFT, P2P'ler ve Staking'e İlişkin Kurallar Belirlendi
BigTech ve Dijital Cüzdanlar - FCA ve PSR'den Dijital Cüzdanların Ödeme Ekosistemine Etkisini Değerlendirmek İçin Sektörel Çağrı
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent