Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı
Giriş
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu (“Kurum”), Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi’ni (“Rehber”) hazırlamış ve 5 Ağustos 2022 tarihinde yayımlamıştır. Bu Hukuk Postası makalesi kapsamında, Rehber’de yer verilen konular genel hatlarıyla açıklanacaktır.
Veri Sorumlusu ve Veri İşleyen
Rehber, bankaların 5411 sayılı Bankacılık Kanunu (“Bankacılık Kanunu”) m. 4 (Faaliyet konuları) kapsamında yürüttüğü işlemler bakımından veri sorumlusu olduğunu ifade eder. Ayrıca acente ve aracı kuruluş olduğu sigorta, bireysel emeklilik, yatırım ürünleri, uluslararası hızlı para transferi ile fatura, vergi ve harç ödeme faaliyetleri bakımından veri sorumlusu mu yoksa veri işleyen mi olduğunun tespiti için somut olayın özelliklerinin değerlendirileceğini belirtir.[1] Örneğin, bankaların bağlı ortaklıklarına verdiği hizmetler bakımından ayrı ayrı değerlendirme yapılacağı ifade edilir. Türkiye’de bulunan bir bankanın yurt dışında yerleşik bağlı ortaklığına bir kredi sözleşmesinin imzalanması için sağladığı hizmet bakımından veri işleyen sıfatını haiz olacağı değerlendirilir.[2] Başka bir örnek ise, bankaların acente sıfatıyla yerine getirdiği sigortacılık faaliyetleridir. Sigortacılık faaliyetlerinde hangi kişisel verilerin hangi amaçla işleneceğine, kişisel veri işleme faaliyetinin hangi vasıtalarla işleneceğine banka karar vermiyor; veri kayıt sisteminin kurulması ve yönetilmesinin sorumluluğu sigorta şirketlerinde bulunuyorsa, bankanın veri işleyen sıfatını haiz olacağı ifade edilir.[3]
Rehber, veri işleme faaliyetleri bakımından birden fazla veri sorumlusu olabileceğine dikkat çeker ve bankaların müşterek veri sorumlusu olduğu işlemler bakımından önem arz eden veri işleme sözleşmelerine yer verir: Veri işleme hükümlerine hizmet sözleşmesinde yer verilebileceği gibi ayrı bir düzenleme yapılmasının da mümkün olduğunu ifade eder. Bu kapsamda kararlaştırılacak asgari unsurları da listeler ve yazılı olmasını önerir.[4]
Veri İşleme Şartları
Rehber, ilk olarak, KVKK m. 5 ile düzenlenen veri işleme şartlarına atıfta bulunur ve açık rıza dışındaki şartlardan en az birinin mevcut olup olmadığının öncelikli olarak tespit edilmesini önerir. Bankacılık mevzuatı ile banka faaliyetleri yoğun şekilde düzenlendiğinden, bankaların veri işleme uygulamaları açısından hukuka uygunluk nedenlerine çoğunlukla dayanıldığını ifade eder[5] ve her bir veri işleme şartına ilişkin açıklama ve örneklere yer verir:[6]
Açık Rıza
Rehber, KVKK m. 3’e yaptığı atıf ile açık rıza kavramını “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlar ve açık rızanın bir şekil şartına bağlı olmadığını hatırlatır. Her ne kadar yazılı olma koşulu aranmasa da açık rıza alındığına ilişkin ispat yükümlülüğü bankada olduğundan, ispata elverişli alanlara örnekler sayar. Kullanıcıların şifre girmesiyle kimlik tespiti sağlanabildiği ve işlemlerin kayıt altında tutulabildiği internet ve mobil bankacılık, ispata elverişli alanlar olarak değerlendirir.[7] Bununla birlikte, tarafların süreç içerisinde karşılıklı eylemleri de açık rızanın varlığına işaret edebilir. 5378 sayılı Engelliler Hakkında Kanun ile Bankacılık Hizmetlerinin Erişilebilirliğine Dair Yönetmelik uyarınca bankalar, engellilik durumuna ilişkin bilgi ve belgeleri tutmakla yükümlüdür. Bu kapsamda bir belgeyi bankaya ibraz eden ve mevzuat uyarınca erişilebilirlik imkanlarından faydalanmak niyetini açıkça ortaya koyan ilgili kişinin açık rızasının olduğu değerlendirilebilir.
Ayrıca Rehber, açık rızanın özgür iradeyle açıklanmış olması gerektiğini vurgular ve açık rızanın bir ürün veya hizmetten faydalanmanın ön şartı yapılamayacağını vurgular. Son olarak, şube, ATM, mobil bankacılık, çağrı merkezi, SMS veya e-posta aracılığı ile açık rıza alınabileceği konusunda açıklamalara yer verir.
Kanunlarda Öngörülme ve Hukuki Yükümlülüğün Yerine Getirilmesi
KVKK m. 5 uyarınca bankalar, kanun veya ikincil mevzuatta açıkça hüküm varsa veya bankanın hukuki yükümlülüğünü yerine getirmesi için veri işlemesi zorunluysa, ilgili kişilerin açık rızasını almak zorunda değildir. Örneğin bankalar, finansal riskleri yönetmek amacıyla kredi kullandırdığı kişiler ve aynı risk grubunda olan diğer kişiler bakımından risk analizi yapar, bunun için gerekli bilgi ve belgenin temini için girişimde bulunabilir. Bankacılık Kanunu ve ilgili mevzuat uyarınca, bankacılık faaliyetlerini gerçekleştirmek amacıyla risk grubundaki kişilerin kişisel verileri, açık rıza alınmadan işlenebilir.[8]
Sözleşme Taraflarına Ait Kişisel Verilerin İşlenmesi
Bankalar müşteri veya müşteri adaylarına hizmet sunabilmek adına veri işleyebilir. Sözleşme kurulması aşamasında ise, açık rıza aranmaz. Örnek olarak kredi sözleşmelerinde kapsamında banka, taraflara bildirimde bulunabilmek üzere işlediği veriler için ilgili kişilerin açık rızasını almakla yükümlü değildir.[9]
Meşru Menfaat
Belirli koşulları sağlandığı takdirde, bankaların iktisadi ve hukuki menfaatleri, meşru menfaat olarak değerlendirilebilir ve bu durumda açık rıza aranmaz. Rehber, meşru menfaatin ölçülülük ilkesi ile belirleneceğini ifade eder; amaç, gereklilik ve orantılılık kriterlerinin karşılanması gerektiğine yer verir. Dolandırıcılık tedbirleri, müşteri gruplandırması, müşterilere uygun hizmet ve ürünün ulaştırılması, müşteri memnuniyetinin tesisi ve strateji geliştirilmesi meşru menfaate verilen örneklerdir.
Bir Hakkın Tesisi veya Korunması için Zorunlu Olma
Bankalar tarafından alacakların tahsili veya müşteri bilgilerinin üçüncü taraflarca elde edilmesinin engellenmesi amaçlarıyla kimlik doğrulaması yapılarak veri işlenmesi, Rehber ile yer verilen bir örnektir.[10]
Özel Nitelikli Kişisel Veriler
Rehber, bankaların faaliyetleri gereği yoğun şekilde özel nitelikli kişisel veri işlediğini belirtir ve bu kapsamda iyi uygulamalar örneklendirilir: Özel nitelikli veriler işlenmeden kimlik belgesinin ilgili sayfasında işlem yapılması veya özel nitelikli veri içeren kısımların karartılarak kimlik belgesinin kullanılması örneklerden birkaçıdır.[11]
Veri Aktarımı
Yurt İçinde Veri Aktarılması
Bankacılık Kanunu m. 73 (Sırların saklanması) uyarınca müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğünden istisna haller dışında, ilgili kişinin açık rızası halinde bile, müşterinin talebi veya talimatı olmaksızın yurt içinde veya yurt dışında aktarılamaz.[12] KVKK m. 8/3 uyarınca, kişisel verilerin üçüncü kişilere aktarımı bakımından diğer kanun hükümleri saklıdır ve bankalar, başta Bankacılık Kanunu olmak üzere, diğer kanunlar çerçevesinde veri aktarabilir. Örneğin Bankacılık Kanunu uyarınca bankalar, müşteri ve banka sırlarını kanunen yetkili kılınan mercilere açıklamakla yükümlüdür.[13] Yine 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile MASAK’a bildirim zorunluluğu öngörülür.[14] Ayrıca Rehber, bankanın kendi bünyesinde gerçekleştirdiği aktarımların üçüncü kişilere aktarım olmadığını vurgular. Şirketler topluluğunda yer alan bir bankanın, aynı topluluktaki diğer veri sorumlusu şirketlere veri aktarımlarını ise, üçüncü kişilere aktarım olarak değerlendirir.
Yurt Dışına Veri Aktarılması
Yurt dışı veri aktarımları bakımından Rehber, KVKK m. 9 ile öngörülen şartlara atıfta bulunur ve diğer kanun hükümlerinin saklı olduğunu tekrarlar. Rehber, müşteri sırrı niteliğindeki verilerin aktarımına ilişkin Bankacılık Kanunu hükümlerinin KVKK’ya göre özel hüküm niteliğini haiz olduğunu ifade eder.[15] Bu durumda, müşterinin açık rızası olsa da müşterinin talebi ya da talimatı olmaksızın müşteri sırları yurt dışına aktarılamaz.
Veri Sorumlusunun Yükümlülükleri
Aydınlatma Yükümlülüğü
Bankalar, veri işleme faaliyeti gerçekleştirdiği her durumda, aydınlatma yükümlülüğünü yerine getirmelidir. Bankacılık Kanunu m. 4 uyarınca, bankalar (i) müşteri edinme ve hesap açılışı, (ii) kredi ve (iii) yatırım işlemleri konularında faaliyet gösterir ve yapılacak aydınlatma veri işleme faaliyetine özgülenmiş olmalıdır.[16] Rehber, katmanlı aydınlatma yöntemini (önce kısa ve kolay anlaşılır bir metin sunma ve eş zamanlı metinle detaylı açıklamalara işaret etme) önerir.[17] Aydınlatma, şube, internet sitesi, internet şube, mobil şube ve mobil uygulama, çağrı merkezi/IVR, fiziki posta SMS ve ATM aracılığıyla yerine getirebilir; bu kapsamda Rehber, örnek metinlere de yer verir.[18]
Bunun yanı sıra Rehber, aydınlatma yükümlülüğünün yerine getirilmesine ilişkin özellik arz eden durumlara yer verir. Örneğin, tüzel kişilerin gerçek kişi temsilcilerinin, tüzel kişiler tarafından bilgilendirildikleri kabulüyle, bankaların amaçla sınırlı olarak veri işleme faaliyetleri yönünden temsilcileri ayrıca aydınlatmakla yükümlü değildir.[19] Başka bir örnek kredi başvurusunda bulunan ve risk grubunda bulunan ilgili kişiler içindir: Her bir işlem özelinde kişilerin tek tek aydınlatılması yerine, kolay erişilen genel bir aydınlatma yapılabileceği açıklanır.[20] Rehber, maaş ödeme anlaşmaları üzerinde de durur ve toplu hesap açılışıyla kişisel verilerin elde edilmesinden sonraki süreçte bankacılık faaliyetlerine ilişkin aydınlatma yükümlülüğünün bankalarda olduğunu belirtir.[21]
Veri Sorumluları Sicili’ne Kayıt ve Kişisel Veri İşleme Envanteri
Veri sorumlusu bankalar, Veri Sorumluları Sicili’ne (“Sicil”) kayıtla yükümlüdür ve Sicil’e kayıtla birlikte bildirimde bulunmalıdır. Bu bildirim, kişisel verileri işleme envanterine dayalı olarak yapılır. Rehber, bankacılığa özgü ve envanterde bulunması gereken veri kategorilerine, kişi gruplarına ve alıcı gruplarına yer verir.[22]
Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Yükümlülüğü
Rehber, bankaların bu yükümlülüğünü (i) bankacılık bilgilerinin saklanması, (ii) işleme amacının ortadan kalkması ve (iii) imha yöntemleri olmak üzere üç başlık altında işler. Bankacılık Kanunu uyarınca bankalar, gerçekleştirdiği işlemlerle ilgili belgeleri 10 yıl süreyle saklamakla yükümlüdür.[23] Her banka yapacağı değerlendirmeye uygun olarak saklama ve imha politikalarını ayrıca belirler.[24]
Veri Güvenliği
Veri sorumlusu bankaların hem KVKK hem tabi oldukları mevzuat uyarınca veri güvenliğine ilişkin yükümlülükleri birbirini pekiştirir niteliktedir. Rehber, bankaların bağlı oldukları ve denetim yükümlülüğünü düzenleyen mevzuatın KVKK’da öngörülen denetim yükümlülüklerini karşıladığını belirtir.[25]
Sonuç
Rehber, bankacılık mevzuatı kapsamında faaliyetlerini yürüten bankaların KVKK ve ikincil mevzuat kapsamında tabi olduğu usul ve esasları açıklar ve bu kapsamdaki yükümlülüklerine ilişkin örnekler sağlar. Böylece bankaların veri işleme faaliyetlerine açıklık kazandırmayı ve iyi uygulama örnekleri oluşturmayı amaçlar. Bunun yanı sıra Kurul’a yapılan şikâyet ve ihlal iddiaları karşısında yapılacak resen incelemelerde, somut olayın özelliklerine göre değerlendirme yapılacağı vurgulanır.
- Rehber, s. 19.
- Rehber, s. 25.
- Rehber, s. 27.
- Rehber, s. 21.
- Rehber, s. 30.
- Rehber, s. 31 vd.
- Rehber, s. 34.
- Rehber, s. 42.
- Rehber, s. 46.
- Rehber, s. 57 vd.
- Rehber, s. 64.
- Rehber, s. 74.
- Rehber, s. 77.
- Rehber, s. 80.
- Rehber, s. 87.
- Rehber, s. 94.
- Rehber, s. 94.
- Rehber, s. 102.
- Rehber, s. 102.
- Rehber, s. 103.
- Rehber, s. 105.
- Rehber, s. 108.
- Rehber, s. 110.
- Rehber, s. 111.
- Rehber, s. 125.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
