Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı

30.09.2022 Defne Pırıldar

Giriş

Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu (“Kurum”), Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi’ni (“Rehber”) hazırlamış ve 5 Ağustos 2022 tarihinde yayımlamıştır. Bu Hukuk Postası makalesi kapsamında, Rehber’de yer verilen konular genel hatlarıyla açıklanacaktır.

Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı
% 0

Veri Sorumlusu ve Veri İşleyen

Rehber, bankaların 5411 sayılı Bankacılık Kanunu (“Bankacılık Kanunu”) m. 4 (Faaliyet konuları) kapsamında yürüttüğü işlemler bakımından veri sorumlusu olduğunu ifade eder. Ayrıca acente ve aracı kuruluş olduğu sigorta, bireysel emeklilik, yatırım ürünleri, uluslararası hızlı para transferi ile fatura, vergi ve harç ödeme faaliyetleri bakımından veri sorumlusu mu yoksa veri işleyen mi olduğunun tespiti için somut olayın özelliklerinin değerlendirileceğini belirtir.[1] Örneğin, bankaların bağlı ortaklıklarına verdiği hizmetler bakımından ayrı ayrı değerlendirme yapılacağı ifade edilir. Türkiye’de bulunan bir bankanın yurt dışında yerleşik bağlı ortaklığına bir kredi sözleşmesinin imzalanması için sağladığı hizmet bakımından veri işleyen sıfatını haiz olacağı değerlendirilir.[2] Başka bir örnek ise, bankaların acente sıfatıyla yerine getirdiği sigortacılık faaliyetleridir. Sigortacılık faaliyetlerinde hangi kişisel verilerin hangi amaçla işleneceğine, kişisel veri işleme faaliyetinin hangi vasıtalarla işleneceğine banka karar vermiyor; veri kayıt sisteminin kurulması ve yönetilmesinin sorumluluğu sigorta şirketlerinde bulunuyorsa, bankanın veri işleyen sıfatını haiz olacağı ifade edilir.[3]

Rehber, veri işleme faaliyetleri bakımından birden fazla veri sorumlusu olabileceğine dikkat çeker ve bankaların müşterek veri sorumlusu olduğu işlemler bakımından önem arz eden veri işleme sözleşmelerine yer verir: Veri işleme hükümlerine hizmet sözleşmesinde yer verilebileceği gibi ayrı bir düzenleme yapılmasının da mümkün olduğunu ifade eder. Bu kapsamda kararlaştırılacak asgari unsurları da listeler ve yazılı olmasını önerir.[4]

Veri İşleme Şartları

Rehber, ilk olarak, KVKK m. 5 ile düzenlenen veri işleme şartlarına atıfta bulunur ve açık rıza dışındaki şartlardan en az birinin mevcut olup olmadığının öncelikli olarak tespit edilmesini önerir. Bankacılık mevzuatı ile banka faaliyetleri yoğun şekilde düzenlendiğinden, bankaların veri işleme uygulamaları açısından hukuka uygunluk nedenlerine çoğunlukla dayanıldığını ifade eder[5] ve her bir veri işleme şartına ilişkin açıklama ve örneklere yer verir:[6]

Açık Rıza

Rehber, KVKK m. 3’e yaptığı atıf ile açık rıza kavramını “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlar ve açık rızanın bir şekil şartına bağlı olmadığını hatırlatır. Her ne kadar yazılı olma koşulu aranmasa da açık rıza alındığına ilişkin ispat yükümlülüğü bankada olduğundan, ispata elverişli alanlara örnekler sayar. Kullanıcıların şifre girmesiyle kimlik tespiti sağlanabildiği ve işlemlerin kayıt altında tutulabildiği internet ve mobil bankacılık, ispata elverişli alanlar olarak değerlendirir.[7] Bununla birlikte, tarafların süreç içerisinde karşılıklı eylemleri de açık rızanın varlığına işaret edebilir. 5378 sayılı Engelliler Hakkında Kanun ile Bankacılık Hizmetlerinin Erişilebilirliğine Dair Yönetmelik uyarınca bankalar, engellilik durumuna ilişkin bilgi ve belgeleri tutmakla yükümlüdür. Bu kapsamda bir belgeyi bankaya ibraz eden ve mevzuat uyarınca erişilebilirlik imkanlarından faydalanmak niyetini açıkça ortaya koyan ilgili kişinin açık rızasının olduğu değerlendirilebilir.

Ayrıca Rehber, açık rızanın özgür iradeyle açıklanmış olması gerektiğini vurgular ve açık rızanın bir ürün veya hizmetten faydalanmanın ön şartı yapılamayacağını vurgular. Son olarak, şube, ATM, mobil bankacılık, çağrı merkezi, SMS veya e-posta aracılığı ile açık rıza alınabileceği konusunda açıklamalara yer verir.

Kanunlarda Öngörülme ve Hukuki Yükümlülüğün Yerine Getirilmesi

KVKK m. 5 uyarınca bankalar, kanun veya ikincil mevzuatta açıkça hüküm varsa veya bankanın hukuki yükümlülüğünü yerine getirmesi için veri işlemesi zorunluysa, ilgili kişilerin açık rızasını almak zorunda değildir. Örneğin bankalar, finansal riskleri yönetmek amacıyla kredi kullandırdığı kişiler ve aynı risk grubunda olan diğer kişiler bakımından risk analizi yapar, bunun için gerekli bilgi ve belgenin temini için girişimde bulunabilir. Bankacılık Kanunu ve ilgili mevzuat uyarınca, bankacılık faaliyetlerini gerçekleştirmek amacıyla risk grubundaki kişilerin kişisel verileri, açık rıza alınmadan işlenebilir.[8]

Sözleşme Taraflarına Ait Kişisel Verilerin İşlenmesi

Bankalar müşteri veya müşteri adaylarına hizmet sunabilmek adına veri işleyebilir. Sözleşme kurulması aşamasında ise, açık rıza aranmaz. Örnek olarak kredi sözleşmelerinde kapsamında banka, taraflara bildirimde bulunabilmek üzere işlediği veriler için ilgili kişilerin açık rızasını almakla yükümlü değildir.[9]

Meşru Menfaat

Belirli koşulları sağlandığı takdirde, bankaların iktisadi ve hukuki menfaatleri, meşru menfaat olarak değerlendirilebilir ve bu durumda açık rıza aranmaz. Rehber, meşru menfaatin ölçülülük ilkesi ile belirleneceğini ifade eder; amaç, gereklilik ve orantılılık kriterlerinin karşılanması gerektiğine yer verir. Dolandırıcılık tedbirleri, müşteri gruplandırması, müşterilere uygun hizmet ve ürünün ulaştırılması, müşteri memnuniyetinin tesisi ve strateji geliştirilmesi meşru menfaate verilen örneklerdir.

Bir Hakkın Tesisi veya Korunması için Zorunlu Olma

Bankalar tarafından alacakların tahsili veya müşteri bilgilerinin üçüncü taraflarca elde edilmesinin engellenmesi amaçlarıyla kimlik doğrulaması yapılarak veri işlenmesi, Rehber ile yer verilen bir örnektir.[10]

Özel Nitelikli Kişisel Veriler

Rehber, bankaların faaliyetleri gereği yoğun şekilde özel nitelikli kişisel veri işlediğini belirtir ve bu kapsamda iyi uygulamalar örneklendirilir: Özel nitelikli veriler işlenmeden kimlik belgesinin ilgili sayfasında işlem yapılması veya özel nitelikli veri içeren kısımların karartılarak kimlik belgesinin kullanılması örneklerden birkaçıdır.[11]

Veri Aktarımı

Yurt İçinde Veri Aktarılması

Bankacılık Kanunu m. 73 (Sırların saklanması) uyarınca müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğünden istisna haller dışında, ilgili kişinin açık rızası halinde bile, müşterinin talebi veya talimatı olmaksızın yurt içinde veya yurt dışında aktarılamaz.[12] KVKK m. 8/3 uyarınca, kişisel verilerin üçüncü kişilere aktarımı bakımından diğer kanun hükümleri saklıdır ve bankalar, başta Bankacılık Kanunu olmak üzere, diğer kanunlar çerçevesinde veri aktarabilir. Örneğin Bankacılık Kanunu uyarınca bankalar, müşteri ve banka sırlarını kanunen yetkili kılınan mercilere açıklamakla yükümlüdür.[13] Yine 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile MASAK’a bildirim zorunluluğu öngörülür.[14] Ayrıca Rehber, bankanın kendi bünyesinde gerçekleştirdiği aktarımların üçüncü kişilere aktarım olmadığını vurgular. Şirketler topluluğunda yer alan bir bankanın, aynı topluluktaki diğer veri sorumlusu şirketlere veri aktarımlarını ise, üçüncü kişilere aktarım olarak değerlendirir.

Yurt Dışına Veri Aktarılması

Yurt dışı veri aktarımları bakımından Rehber, KVKK m. 9 ile öngörülen şartlara atıfta bulunur ve diğer kanun hükümlerinin saklı olduğunu tekrarlar. Rehber, müşteri sırrı niteliğindeki verilerin aktarımına ilişkin Bankacılık Kanunu hükümlerinin KVKK’ya göre özel hüküm niteliğini haiz olduğunu ifade eder.[15] Bu durumda, müşterinin açık rızası olsa da müşterinin talebi ya da talimatı olmaksızın müşteri sırları yurt dışına aktarılamaz.

Veri Sorumlusunun Yükümlülükleri

Aydınlatma Yükümlülüğü

Bankalar, veri işleme faaliyeti gerçekleştirdiği her durumda, aydınlatma yükümlülüğünü yerine getirmelidir. Bankacılık Kanunu m. 4 uyarınca, bankalar (i) müşteri edinme ve hesap açılışı, (ii) kredi ve (iii) yatırım işlemleri konularında faaliyet gösterir ve yapılacak aydınlatma veri işleme faaliyetine özgülenmiş olmalıdır.[16] Rehber, katmanlı aydınlatma yöntemini (önce kısa ve kolay anlaşılır bir metin sunma ve eş zamanlı metinle detaylı açıklamalara işaret etme) önerir.[17] Aydınlatma, şube, internet sitesi, internet şube, mobil şube ve mobil uygulama, çağrı merkezi/IVR, fiziki posta SMS ve ATM aracılığıyla yerine getirebilir; bu kapsamda Rehber, örnek metinlere de yer verir.[18]

Bunun yanı sıra Rehber, aydınlatma yükümlülüğünün yerine getirilmesine ilişkin özellik arz eden durumlara yer verir. Örneğin, tüzel kişilerin gerçek kişi temsilcilerinin, tüzel kişiler tarafından bilgilendirildikleri kabulüyle, bankaların amaçla sınırlı olarak veri işleme faaliyetleri yönünden temsilcileri ayrıca aydınlatmakla yükümlü değildir.[19] Başka bir örnek kredi başvurusunda bulunan ve risk grubunda bulunan ilgili kişiler içindir: Her bir işlem özelinde kişilerin tek tek aydınlatılması yerine, kolay erişilen genel bir aydınlatma yapılabileceği açıklanır.[20] Rehber, maaş ödeme anlaşmaları üzerinde de durur ve toplu hesap açılışıyla kişisel verilerin elde edilmesinden sonraki süreçte bankacılık faaliyetlerine ilişkin aydınlatma yükümlülüğünün bankalarda olduğunu belirtir.[21]

Veri Sorumluları Sicili’ne Kayıt ve Kişisel Veri İşleme Envanteri

Veri sorumlusu bankalar, Veri Sorumluları Sicili’ne (“Sicil”) kayıtla yükümlüdür ve Sicil’e kayıtla birlikte bildirimde bulunmalıdır. Bu bildirim, kişisel verileri işleme envanterine dayalı olarak yapılır. Rehber, bankacılığa özgü ve envanterde bulunması gereken veri kategorilerine, kişi gruplarına ve alıcı gruplarına yer verir.[22]

Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Yükümlülüğü

Rehber, bankaların bu yükümlülüğünü (i) bankacılık bilgilerinin saklanması, (ii) işleme amacının ortadan kalkması ve (iii) imha yöntemleri olmak üzere üç başlık altında işler. Bankacılık Kanunu uyarınca bankalar, gerçekleştirdiği işlemlerle ilgili belgeleri 10 yıl süreyle saklamakla yükümlüdür.[23] Her banka yapacağı değerlendirmeye uygun olarak saklama ve imha politikalarını ayrıca belirler.[24]

Veri Güvenliği

Veri sorumlusu bankaların hem KVKK hem tabi oldukları mevzuat uyarınca veri güvenliğine ilişkin yükümlülükleri birbirini pekiştirir niteliktedir. Rehber, bankaların bağlı oldukları ve denetim yükümlülüğünü düzenleyen mevzuatın KVKK’da öngörülen denetim yükümlülüklerini karşıladığını belirtir.[25]

Sonuç

Rehber, bankacılık mevzuatı kapsamında faaliyetlerini yürüten bankaların KVKK ve ikincil mevzuat kapsamında tabi olduğu usul ve esasları açıklar ve bu kapsamdaki yükümlülüklerine ilişkin örnekler sağlar. Böylece bankaların veri işleme faaliyetlerine açıklık kazandırmayı ve iyi uygulama örnekleri oluşturmayı amaçlar. Bunun yanı sıra Kurul’a yapılan şikâyet ve ihlal iddiaları karşısında yapılacak resen incelemelerde, somut olayın özelliklerine göre değerlendirme yapılacağı vurgulanır.

Kaynakça
  • Rehber, s. 19.
  • Rehber, s. 25.
  • Rehber, s. 27.
  • Rehber, s. 21.
  • Rehber, s. 30.
  • Rehber, s. 31 vd.
  • Rehber, s. 34.
  • Rehber, s. 42.
  • Rehber, s. 46.
  • Rehber, s. 57 vd.
  • Rehber, s. 64.
  • Rehber, s. 74.
  • Rehber, s. 77.
  • Rehber, s. 80.
  • Rehber, s. 87.
  • Rehber, s. 94.
  • Rehber, s. 94.
  • Rehber, s. 102.
  • Rehber, s. 102.
  • Rehber, s. 103.
  • Rehber, s. 105.
  • Rehber, s. 108.
  • Rehber, s. 110.
  • Rehber, s. 111.
  • Rehber, s. 125.

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?
Hukuk Postası
Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?

Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...

Kişisel Verilerin Korunması 31.10.2022
GDPR ve Toplu Davalar
Hukuk Postası
GDPR ve Toplu Davalar

Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...

Kişisel Verilerin Korunması 31.08.2022
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Hukuk Postası
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı

Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...

Kişisel Verilerin Korunması 31.07.2022
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza
Hukuk Postası
Unutulma Hakkı
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
İlaç Sektöründen Gelen KVK Kılavuzu
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Kişisel Verilerin İmhası
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.