Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi yayımlandı
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi yayımlandı
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bankalar ise bu verileri sıklıkla kullanan kurumlardan olmakla beraber bu verilerin korunması yüksek önem arz etmektedir. Bu bağlamda Kişisel Verileri Koruma Kurumu tarafından bankacılık sektöründe kişisel verinin kullanım esasları hususunda 5 Ağustos 2022 tarihinde Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (‘’Rehber’’) yayımlanmıştır. Rehberin amacı; bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kanuna ve bu Kanuna dayanılarak Kişisel Verileri Koruma Kurumu tarafından çıkartılan ikincil mevzuata uygun olarak gerçekleştirilmesi konusunda veri sorumlusu bankaları yönlendirmek ve bu kapsamda iyi uygulama örnekleri oluşturmaktır. Rehberin kapsamı ve düzenlenen esaslar aşağıdaki gibidir:
Veri Sorumlusu-Veri İşleyen İlişkileri: Rehber’de ilk olarak veri sorumlusu ile veri işleyen kavramlarının ayrımı yapılmıştır. Bankaların 5411 sayılı Bankacılık Kanununun 4. maddesi uyarınca gerçekleştirdikleri faaliyetler neticesinde veri sorumlusu oldukları kabul edilmiştir. Ancak bununla beraber bankaların acente veya aracı kuruluş olduğu sigorta, bireysel emeklilik, yatırım ürünleri gibi faaliyetler bakımından veri sorumlusu olup olmadığı somut olay bakımından farklılık gösterebilecektir. Ayrıca bankaların veri sorumlusu olduğu verilere ilişkin Veri Sorumluları Sicili’ne kayıt yaptırmaları gerektiği belirtilmiştir.
Rehber’de veri sorumlusu ile veri işleyen arasında yapılacak sözleşmenin yazılı olması önerilmiş ve sözleşmede bulunması gereken asgari unsurlardan bahsedilmiştir.
İlgili Kişi: İlgili kişi, Kişisel Verileri Koruma Kanununun 3. maddesinde belirtildiği üzere verisi işlenen gerçek kişi olarak tanımlanmıştır. Bankacılık sektöründe ise birçok meslekten çeşitli insanların kişisel verilerinin işletilebildiği belirtilmiştir.
İşlenen Kişisel Veriler: Bankacılık sektöründe kimlik, iletişim bilgileri, adres, özlük, mesleki deneyim gibi genel nitelikli kişisel verilerin yanında ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri ve sağlık bilgileri gibi özel nitelikli kişisel veri türleri de işlenebilmektedir.
Kişisel Veri İşleme Şartları: Kişisel verilerin işlenmesinin hukuka uygunluk halleri Rehber kapsamında öncelikle kişisel veri işleme şartlarına ilişkin 6698 sayılı Kanunun 5. maddesine atıfta bulunularak genel bir değerlendirme yapılmıştır. Devamında ise, bankacılık faaliyetlerinin kapsam ve sınırlarının büyük oranda mevzuat dahilinde belirlenmiş olması nedeniyle, bankaların yapmış oldukları veri işleme faaliyetlerinin çoğunlukla açık rıza dışındaki hukuka uygunluk sebeplerine dayalı olarak gerçekleştirildiği belirtilmiştir.
Rehber kapsamında her bir kişisel veri işleme şartına ilişkin yapılan değerlendirmelere aşağıda yer verilmiştir:
- Açık Rıza: Bahse konu Rehber ile her durumda ispat yükü bankada olmak kaydıyla açık rıza alınmasının şekle bağlı olmadığı, 6698 sayılı Kanunun 4. maddesinde bulunan genel şartlar kapsamında açık rızanın alındığı kabul edilebilecektir. Bununla beraber açık rıza; şube, ATM, çağrı merkezi, internet şubesi, elektronik posta gibi araçlar kullanılmak suretiyle alınabilecektir.
- Kanunlarda Öngörülmesi ve Hukuki Yükümlülüğün Yerine Getirilmesi: Her türlü kanuna uygun olarak kişisel verilerin işlenmesi gerektiği belirtilmiştir. İstisnai olarak ise hukuka uygunluk sebepleri bulunduğu takdirde açık rızanın alınmasının gerekmediği düzenlenmiştir. Bu istisnalar Rehber’de kredi işlemlerinden önce yapılan risk değerlendirmeleri, kanunlar uyarınca yapılması zorunlu olan bilgi paylaşımları, Suç Gelirlerinin Aklanmasının Önlenmesine ilişkin mevzuat uyarınca bankalara getirilen yükümlülükler ve çek karnesi talebinde bulunan ilgili kişinin çek yasaklısı olup olmadığının tespitine ilişkin işlemler olarak sıralanmıştır.
- Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesi: Rehber uyarınca bankalar ile sözleşme yapılacak taraf arasında sözleşme kurulana kadar olan işlemlerde açık rıza alınmasına gerek görülmemiştir.
- Meşru Menfaat: 6698 sayılı Kanun uyarınca amaç, gereklilik, orantılılık şartlarının gerçekleşmesi durumunda veri sorumlusunun menfaatinin tehlikeye düştüğü hallerde ilgili kişinin rızasının alınmasına gerek olmadığı belirtilmiştir.
- Bir Hakkın Tesisi ve Korunması İçin Zorunlu Olma: Bankanın ticari menfaatini güvende tutmak, alacaklarını tahsil etmek amacıyla kredi borçlusu müşteriyle iletişime geçebilmektedir.
- Bankalarca İstenen Özel Nitelikli Kişisel Veriler: Rehber’de bankaların yaptıkları işlemlerden dolayı özel nitelikli verilerin işlenmesinin mümkün olduğu ancak bankanın işbu Rehber ve Kanun kapsamında gerekli önlemleri alması gerektiği belirtilmiştir. Bazı başlıca özel nitelikli verilerin işlenmesi hususunda iyi uygulama örnekleri de Rehber’de kendine yer bulmuştur:
- Kimlik Belgesi Suretleri: Kimlik belgesi alındığında yalnızca ön yüzünün kullanılarak işlem yapılması, özel nitelikli verilerin karartılması ya da açık rıza alınması gerekmektedir.
- Sağlık Raporları: Kanundaki istisnalar haricinde sağlık verilerinin açık rıza olmadan işlenmesi mümkün olmamaktadır.
- Adli Sicil Kayıtları ve Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle İlgili Mahkeme Kararları: Kanundaki istisnalar haricinde açık rızanın aranacağı ilgili özel nitelikli veriler açısından Rehber’de düzenlenmiştir.
- Biyometrik Verilerin İşlenmesi: Bankaların uzaktan müşteri edinimi sırasında kullandıkları biyometrik veriler için Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik'in 8'inci maddesi uyarınca açık rıza alınması zorunluluğu bulunmaktadır.
Kişisel Verilerin Aktarılması: 6698 sayılı Kanunun 3. maddesinde kişisel verilerin aktarılması tanımlanmıştır. Yine aynı kanunun 8. maddesinde kişisel verilerin yurtiçine aktarılması düzenlenmişken 9. maddesinde ise yurtdışına kişisel veri aktarımı düzenlenmiştir.
- Yurtiçinde Veri Aktarımı: İlgili Kanunun 8. maddesinde açık rıza ile veri aktarımı yapılabileceği düzenlenmiş olsa da açık rıza tek başına hukuka uygunluk sağlamamaktadır. 5411 sayılı Bankacılık Kanununun 73. maddesi uyarınca veri aktarımı, kurumlara verilecek cevaplarla sınırlandırılmıştır. Bu kanun kapsamında ilgili maddedeki istisnalar haricinde veri aktarımından bankaların sorumlu tutulamayacağı düzenlenmiştir.
- Yurtdışına Veri Aktarımı: Verilerin yurtiçinde aktarılmasından farklı olarak yurtdışına veri aktarımında ilgilinin açık rızası mutlak olarak aranmaktadır. Ancak 6698 sayılı Kanun’un 9. maddesi uyarınca yine aynı kanunun 5. maddenin 2. fıkrası Ve 6. maddenin 3. fıkrasında aranan şartların sağlanması koşulu, verilerin gönderilecek ülkede yeterli korumanın bulunması, yeterli koruma bulunmuyorsa korumayı sağlayacağına ilişkin yazılı taahhüdü ve Kişisel Verileri Koruma Kurulu’nun izni ile açık rıza aranmadan da yapılacağı vurgulanmıştır.
Veri Sorumlusunun Yükümlülükleri:
- Aydınlatma Yükümlülüğü: Rehber’de bankacılık sektöründe kullanılan şube, internet sitesi, mobil şube, SMS gibi kanallar aracılığı ile açık ve sade bir dil kullanılarak uygun bir süre içinde Bankacılık Kanunu’nun 4. maddesinde düzenlendiği üzere; müşteri edinimi/hesap açılış, kredi ve yatırım işlemleri olarak üç gruba ayrılmış faaliyetleri kendilerine özgü bir biçimde aydınlatma metninin sunulması düzenlenmiştir.
- Verbis Sicile Kayıt ve Envanteri Hazırlama Yükümlülüğü: Bankalar, veri sorumlusu olarak VERBİS’e kayıt yapmakla ve kişisel veri işleme envanterini hazırlamakla yükümlüdür. Bu verilerin ise birbiriyle çelişmemesi gerekmektedir.
- Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Yükümlülüğü: Rehber’de yasal saklama sürelerinden bağımsız olarak verilerin imha edilmesi ve bu hususta uygulanması gereken usul vurgulanmıştır.
- Veri Güvenliğine İlişkin Yükümlülükler: Rehber’de başta 5411 sayılı Bankacılık Kanunu ve 5466 sayılı Banka Kartları ve Kredi Kartları Kanunu olmak üzere ilgili içtihat uyarınca veri güvenliğinin sağlanması gerektiği belirtilmiştir.
- İlgili Kişinin Hak ve Şikayetlerine İlişkin Yükümlülükler: Anayasa’nın 20. maddesi uyarınca kişisel verilerin korunmasını isteme hakkı Rehber’de anayasal bir hak olarak nitelendirilmiştir. Dolayısıyla veri sorumlusuna başvuru yolunun açık olduğu, aksi takdirde Kişisel Verileri Koruma Kurulu’na da başvuru yapılabileceği düzenlenmiştir.
Sonuç: Bankalar, milyonlarca müşterisi ile adeta bir kişisel veri denizidir. Dolayısıyla bu verilerin korunması son derece önemlidir. Bu kapsamda ilgili Rehber’in bankalara yönelik detaylı bir biçimde yol gösterici olması KVKK kapsamında olumlu sonuçlar doğuracaktır.