Bultenler

Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi

Kişisel Verilerin Korunması Hukuku

Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 Sayılı Kanun”) uygulanması ve ikincil mevzuata uygun olarak bankaların yönlendirilmesi ve uygulama örnekleri oluşturması amacıyla hazırlanmıştır.

Rehber, bankaları kişisel verilerin korunması alanında uyması gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklere ilişkin genel açıklamaları içermekte olup bankaların 6698 sayılı Kanun’a ve ilgili ikincil mevzuata uyum yükümlülüğü devam etmektedir. Bununla birlikte, Kişisel Verileri Koruma Kurulu kendisine intikal ettirilen şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen yapacağı incelemede somut olayın özelliklerini göz önünde bulundurarak değerlendirmesini yapacaktır.

  1. Veri Sorumlusu – Veri İşleyen İlişkisi

Bankalar gerçekleştirdikleri kişisel veri işleme faaliyetleri kapsamında veri sorumlusu veya veri işleyen sıfatını haiz olabilir. 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) 4. maddesi uyarınca Bankalar gerçekleştirdiği bankacılık faaliyetleri açısından veri sorumlusudur. Bankaların “veri sorumlusu” sıfatını haiz olduğu veri işleme faaliyetlerine Veri Sorumluları Sicili’nde yer verilir. Bu noktada veri sorumlusu ile veri işleyen sıfatı arasındaki ayrım veri işleme faaliyetlerini kimin yapabileceğine de açıklık getirmektedir.

Buna binaen veri işleme hükümlerine veri sorumlusu ile veri işleyen arasındaki hizmet sözleşmesi içeriğinde yer verilebileceği gibi, hizmet sözleşmesine ek mahiyette ayrı bir düzenleme yapılması da mümkündür.

Bankalar, destek hizmeti kuruluşlarından pazarlama desteği alabilmektedir. Uygulamada, hizmet alınan şirketler için bankaların veri işleyen gibi göründüğü durumlar mevcuttur.

Bankalar aynı zamanda BDDK’nın faaliyet genişlemesi iznine istinaden bağlı ortaklıklarına hizmet verebilmektedirler. Bu hizmetler yönünden verilen her hizmet özelinde değerlendirme yapılmalı ve tarafların veri sorumlusu- veri işleyen sıfatları yukarıdaki kıstaslar da uygulanarak belirlenmelidir.

  1. İşlenen Kişisel Veriler

Bankacılık sektöründe işlenen kişisel veriler özel nitelikli kişisel verileri de içerebilmektedir. Bu kapsamda kategorik bazda kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar gibi kişisel verilerin yanı sıra ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri ve sağlık bilgileri gibi özel nitelikli kişisel veri türleri de işlenebilmektedir.

Bu noktada veri sorumlusu bankalar 6698 Sayılı Kanun’un n 5’inci maddesine tabi olup, şartları lehe olarak değiştiremeyeceklerdir.

  1. Banka Kanallarına Özgü Uygulamalar

İlgili kişilerden alınacak olan açık rızanın “yazılı olma” koşulu bulunmadığı için bankanın ıslak imzalı ve yazılı bir metin temin etme zorunluluğu bulunmamakla birlikte açık rıza alındığının ispat yükümlülüğü veri sorumlusu bankadadır.

Şube söz konusu olduğunda ilgili kişilerden, ıslak imza veya onun yerini tutacak mevzuatın öngördüğü diğer yöntemlerle (dijital imza, e-imza vb.) açık rıza metinleri için onay alınabilir.

ATM’den ilgili kişilerden açık rıza alınmak istendiği takdirde kişinin ATM’ye giriş yapması sonrasında açık rıza metni için onayı alınabilecektir.

İnternet/mobil bankacılığı söz konusu olduğunda ilgili kişilerden açık rıza metinlerine onay alınması için kişilerin işaretleyebileceği kutu/buton vb. yöntemler kullanılabilmektedir. Bu kutu/buton vb. yöntemler ile gerçekleştirilen seçimlerde seçeneklerin önceden seçili olarak getirilmemesi gerekir.

Çağrı merkezinde, ilgili kişilere görüşmede tercihini bir tuşa basma veya müşteri temsilcisine sözlü olarak beyan etme imkânı sağlanarak açık rıza onayı alınabilir.

İlgili kişilerin bankada kayıtlı olan telefon numaralarına SMS aracılığı ile aydınlatma yapılarak ve SMS aracılığı ile doğrulama kodu gönderilerek kişisel verilerinin işlenmesi konusunda bir cevap vermesi yönünde yönlendirme yapılabilir.

  1. Bankacılık Sektöründe Özel Nitelikli Kişisel Verilerin İşlenmesi

6698 Sayılı Kanun’un 6’ncı maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Bu noktada uygulamada özel nitelikli kişisel verilerin işlenmesiyle karşılaşılmaktadır. Kişinin kimlik suretinin alınması, mevzuatı gereği kimlik tespitinin zorunluluğu nedeniyle öne çıkan özel nitelikli kişisel veridir. Bu noktada bankalar:

  • Kimlik belgesinde bulunan özel nitelikli verilerin açık rıza olmaksızın işlenmemesi gereklidir.
  • Mümkün olması haline kimlik belgesinde yer alan özel nitelikli verilerin işlenmeden sadece kimlik belgesinin ön yüzü/ilgili sayfası ile işlem yapılmalıdır.
  • Bankanın ilgili süreçlerinde kimlik belgesi suretinde yer alan özel nitelikli kişisel veriler, kimlik tespiti harici bir amaçla işleniyor ise, bu amaçla işlenmeye yönelik açık rızası temin edilemeyen kişiler açısından kimlik fotokopisindeki özel nitelikli veri hanelerinin karartılmasına ya da söz konusu verilerin kullanılmamasına yönelik teknik ve idari tedbirler alınmalıdır
  • Bankalar tarafından gerçekleştirilen işlemlerde kişilerden kimlik belgesi sureti alınması; Bankacılık mevzuatı gereği kimlik tespitinin zorunluluğu nedeni ile gerçekleştirilmekte olan faaliyetlerdendir.

Buna ek olarak sağlık verilerinin işlenmesi bakımından bankaların Kanun’daki şartları karşılayamaması nedeniyle süreç ancak ilgili kişinin açık rızası ile yürütülebilecektir. Bu kapsamda bankalar mevcut durumda sağlık verilerinin işlendiği süreçlerde ilgili kişinin açık rıza beyanının alınıp alınmadığının kontrolünü sağlamalıdır.

Biyometrik verilerin işlenmesi sırasında bankalar mutlaka ilgili kişilerin açık rızalarını almalıdır. Ek olarak veri sorumlularınca Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de belirtilen teknik ve idari tedbirler alınmalıdır.

 

  1. Veri Sorumlusunun Yükümlülüğü

Veri sorumlusunun aydınlatma yükümlülüğü, 6698 Kanun’un 10’uncu maddesinde düzenlenmiştir. Buna göre kişisel verilerin elde edilmesi sırasında veri sorumluları; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Her banka, kişisel veri kategorileri, veri toplama yöntemi, işleme amaçları ve hukuki gerekçeleri ile kişisel verilerin aktarıldığı taraflar kapsamında, kendi işleyiş ve sistemlerine uygun olarak kendi aydınlatma metinlerini oluşturabilecektir. Diğer taraftan aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Veri Sorumluları Sicil Bilgi Sistemi’nde (VERBİS) açıklanan bilgilerle uyumlu olmalıdır.

Bankanın veri işleme amaçlarının çok sayıda olması sebebiyle, bankalar aydınlatma metinlerini kendileri hazırlaması uygun olacaktır. Kişisel verilerin kimlere aktarılabileceğine yönelik zorunlu içerikte; destek hizmeti alınan kuruluşlar, iş ortakları, iştirakler, denetim kuruluşları, yetkili kamu kuruluşları vs. gibi üçüncü kişi gruplarına kategorik olarak yer verilebilecek ve bazı kurumların sayılması da tercih edilebilecektir.

Öte yandan bankalar verisini işledikleri gerçek kişileri (personel, ziyaretçi vb.) aydınlatmakla yükümlüdür. Bankacılık faaliyetleri kapsamında kişisel verilerin elde edildiği aşamalarda ilgili kişiye, amaca uygun ilave bir bilgilendirme yapılması önerilmektedir. Örneğin, kimlik doğrulamada biyometrik verilerin kullanılması ya da geniş kitleleri etkileyebilecek ve yeni teknolojilerin kullanıldığı ürün/süreçlerde veya yarışma/çekilişlere katılım gibi hususlarda somut duruma özgülenmiş aydınlatma yapılabilir. Aydınlatma yükümlülüğünün kural olarak veri sorumlusu tarafından kişisel verinin elde edilmesi aşamasında yerine getirilmesi gerekmektedir.

  1. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi

6102 sayılı Türk Ticaret Kanunu’nun 64, 65 ve 82’inci maddeleri ile 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesi uyarınca, bankaların gerçekleştirdiği işlemlerle ilgili belgeleri 10 yıl süreyle saklama yükümlülüğü bulunmaktadır. Bu noktada, Türk Borçlar Kanunu’nda düzenlenen zamanaşımı hükümleri göz önünde bulundurulur.

6698 sayılı Kanun uyarınca işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Bankacılık açısından işleme amacı genel olarak, Bankacılık Kanunu’nun 4’üncü maddesinde belirlenen faaliyetlerin gerçekleştirilmesi ve mevzuat ile belirlenen yasal saklama sürelerine uyulması olarak özetlenebilecektir. Müşterinin, hesaplarının kapatılarak, sürekli iş ilişkisine son verilmesi yönünde talebinin olması veya sürekli iş ilişkisinin sona ermesi, müşteri belgelerinin muhafazası konusunda yasal düzenlemelerden kaynaklanan saklama sürelerinin geçmiş olması durumlarında işleme amacının ortadan kalktığı kabul edilebilecektir.

İlgili kişilerin başvurusu durumunda bankalar verileri derhal silmelidir. Diğer taraftan her banka kendine özel imha, anonim hale getirme veya yok etme yönetimi belirleyebilecektir.

  1. Veri Sorumlusuna Başvuru

Veri sorumlusuna başvuru usul ve esasları Kanun’da ve 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de (“Tebliğ”) düzenlenmektedir. Tebliğ’in 5’nci maddesi başvuruda yer alması gereken unsurları düzenlemektedir. Diğer taraftan, veri sorumlusuna yapılacak başvuruların şekli konusunda Kanun’da iki temel hüküm bulunmaktadır. Bunlardan ilki yazılı başvuru olup, genel hükümler gereği ıslak imza içeren belge ile yapılan başvurudur. Buna ek olarak elektronik ortamda da başvuru yapılabilmektedir.

Veri sorumlusu başvuruda yer alan talepleri talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracak, ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecektir. 30 günlük süre, yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih itibariyle, diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih itibariyle başlayacaktır.

İlgili kişinin veri sorumlusuna başvurusu sonucunda veri sorumlusu tarafından;

  • Başvurunun reddedilmesi,
  • İlgili kişi tarafından verilen cevabın yetersiz bulunması,
  • Süresinde başvuruya cevap verilmemesi

halinde ilgili kişi Kurula şikayette bulunabilir. Kanun’un 14’üncü maddesi, Kurul’a şikâyet için altmış günlük bir süre öngörmüştür. Kurul 24.01.2019 tarihli ve 2019/9 sayılı kararıyla sürelerin ne zaman başlayacağı açığa kavuşturulmuş, ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine karar verilmiştir.

Rehberin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık 

info@zumbul.av.tr