Verilerin nasıl ele alınacağı, tüm sektörler için büyük önem taşımakla birlikte, bankacılık sektöründe yalnızca kişisel verilerin korunması mevzuatı açısından değil, aynı zamanda finansal regülasyonlar kapsamında da ayrı bir hassasiyet gerekiyor. Bir yandan kişisel verilere ilişkin yükümlülükleri olan bankalar, aynı zamanda banka sırrı ve müşteri sırrına ilişkin düzenlemelerle de uyumlu hareket etmek durumunda.

Bu kapsamda, Kişisel Verileri Koruma Kurumu’nun yayımladığı Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) ve sektörün düzenleyici otoritesi olan Bankacılık Düzenleme ve Denetleme Kurumu’nun (“BDDK”) çıkarttığı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Genelge (“Genelge”) sektörde verilerin nasıl ele alınacağına dair rehberlik yapıyor.

Rehber, bankaların kişisel verilerin korunması alanında uyması gereken yükümlülüklerini iyi uygulama örnekleri ile somutlaştırırken, Genelge ise Yönetmelik’e ilişkin olarak uygulamada yaşanabilecek tereddütlerin giderilmesini amaçlıyor.

Kişisel Verilerin Korunması Mevzuatı Kapsamında Bankalar Nasıl Konumlanıyor?

Rehber, bankaların 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) kapsamında veri sorumlusu veya veri işleyen statülerinin nasıl belirleneceğine dair yol gösteriyor.

Bankaların, Bankacılık Kanunu’nun 4. maddesi kapsamında gerçekleştirdikleri faaliyetler bakımından veri sorumlusu sıfatını haiz oldukları belirtilirken, somut olay özelinde değerlendirilecek olmakla birlikte, Türkiye’de bulunan bankanın yurtdışında yerleşik bağlı ortaklığının sözleşme süreçlerine destek olacak hizmetler sunmaları veya acente sıfatıyla hareket ettikleri durumlar ise veri işleyen olarak nitelendirilebilecekleri senaryolara örnek gösteriliyor.

Banka Çalışanlarına Ait Veriler Nasıl Nitelendirilmeli?

Genelge’ye göre, banka çalışanlarından işçi-işveren ilişkisi kapsamında elde edilen kişisel bilgiler, banka sırrı niteliğindeki bir veri ile birlikte işlenmediği sürece, KVKK kapsamında kişisel veri olarak değerlendiriliyor. Bu kapsamda örneğin çalışanların özel nitelikli kişisel veri olarak kabul edilen sağlık verilerinin işlendiği durumlarda özel nitelikli veriler için Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması gerekiyor.

Banka çalışanlarına ait insan kaynakları verileri gibi kimi veriler ise bankanın mali durumu, bankanın temel faaliyetlerine ilişkin banka yönetim esasları ve bankanın uyguladığı teknik yöntemler ile banka potansiyeli hakkında bilgiler barındırabileceğinden, bu nitelikteki verilerin banka sırrı olarak nitelendirilmesinin mümkün olduğu değerlendiriliyor. Bununla beraber, eğer çalışan aynı zamanda bankanın müşterisi ise bu veriler, kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde müşteri sırrı olarak değerlendiriliyor.

Bankaların Veri Aktarımları Nasıl Değerlendiriliyor?

Rehber, KVKK’daki genel düzenlemeler ve Bankacılık Kanunu ve ilgili ikincil mevzuatta yer alan düzenlemeler arasındaki ilişkiyi özel norm-genel norm ilişkisi olarak değerlendiriyor ve Bankacılık Kanunu hükümlerinin uygulama alanı bulacağını belirtiyor. Bu kapsamda, müşteri sırrı niteliğindeki bilgilerin talep/talimat şartı sağlanmadığı takdirde, gerek yurt içinde gerekse yurt dışına aktarılmasının mümkün olmayacağını belirtiyor.

Her ne kadar Rehber’de KVKK karşısında özel norm olan Bankacılık Kanunu hükmünün uygulama alanı bulacağı belirtilse de veri işleme faaliyetinin işleme amacı ile bağlantılı, sınırlı ve ölçülü olması ilkesi hatırlatılıyor. Bankalar tarafından gerçekleştirilecek kişisel veri paylaşımlarında paylaşılan bilgilerin taleple sınırlı tutulması veya bu mümkün değil ise paylaşılan içeriklerdeki kişisel verilerin silinmesi/maskelenmesi/anonimleştirilmesi iyi uygulama örnekleri olarak paylaşılıyor.

Ana Ortaklıkla Veri Paylaşımı Nasıl Olmalı?

Yönetmelik uyarınca, risk yönetimi ve konsolidasyon amacı ile ana ortaklıkla müşteri bilgisi paylaşılması mümkün olmakla birlikte, Genelge’de söz konusu paylaşımların ölçülü olmasının beklendiği vurgulanıyor. Eğer bilgisi paylaşılacak müşteri aynı zamanda ana ortaklığın da müşterisi, yani ortak müşteri değilse paylaşılacak müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmamasının gerektiğinin altı çiziliyor.

Genelge ile uyum riski nedeniyle ortak müşteriye ait olmayan bilgilerin kimliksizleştirilmeden ana ortak ile paylaşımında BDDK’ya yapılacak başvuruda yer verilmesi gereken bilgiler de netliğe kavuşuyor. Buna göre bu kapsamda yapılacak bir başvuruda aşağıdaki bilgilere yer verilmesi gerekiyor:

  • Yapılacak paylaşımların içeriği, paylaşım amacı ve mevzuat çerçevesinde gerekliliği,
  • Bilgi Paylaşım Komitesinin ölçülülük ve uygunluk görüşü.

Benzer şekilde, BDDK’ya yapılacak başvuruda, ana ortağın talep ettiği bilginin mevzuattan ileri gelen bir yükümlülükten kaynaklanıyor olduğu ve bu bilginin sunulmaması halinde ana ortağın yaptırıma uğrama riskinin bulunduğu, söz konusu paylaşım taleplerinin uyum riski olarak kapsamında değerlendirileceği hususlarının somut bir şekilde ortaya konması gerekiyor.

Yabancı Otoritelerin Bilgi Talep Etmesi Halinde Veri Paylaşımı Nasıl Olmalı?

Yurtdışındaki bir otoritenin Türkiye’deki bir bankanın ana ortaklığından veya ana ortaklığın bir iştirakinden bilgi talebinde bulunması ve bu teşebbüslerin bu bilgi talebi kapsamında Türkiye’deki bankadan birtakım bilgiler talep etmesi durumunda (one-off bilgi paylaşımı), aşağıdaki durumlardan birinin varlığı halinde söz konusu paylaşımdan önce BDDK’dan izin alınması gerekiyor:

  • Bilgi talebinin ana ortaklığın dünya genelindeki tüm iştiraklerine yönelik değil, sadece Türkiye’deki iştiraklere yönelik özel bir talep niteliğinde olması veya
  • Bilgi talebinin ilgili otoritenin yaptırımına tabi tutulma riski bulunmayan bir talep niteliğinde olması (uyum riski kapsamında bulunmayan bir talep niteliğinde olması).

Swift İşlemlerine İlişkin Veri Paylaşımı Nasıl Olmalı?

Genelge’de ana ortaklığın aracılık ettiği SWIFT işlemleri için gerçekleştirilecek işlem sonrası kontroller kapsamında bankadan talep edilecek sır niteliğindeki bilgilerin de uyum riski olarak değerlendirilmesinin mümkün olduğu açıklığa kavuşturuluyor. Bununla beraber, burada ölçülülük ilkesinin de dikkate alınması gerektiği ifade ediliyor.

Genelge, bahse konu paylaşımlarda talep/talimat mekanizmasına da dayanılabileceğini belirtiyor. Yönetmelik uyarınca, işlemin doğası gereği yurt dışında kurulu sistemlerle etkileşimin gerekli olduğu ve bilgilerin paylaşımının zorunlu olduğu hallerde, işlemin başlatılmasına yönelik müşteri emri girilmesi, “talep/talimat” yerine geçiyor. Bu kapsamda, bilgi paylaşımının alınan talimata istinaden, ayrıca kimliksizleştirme tedbiri uygulanmadan yapılabileceği anlaşılıyor.

Bağımsız Denetim Raporları ile Alenileştirilmiş Verilerin Aktarımı Mümkün mü?

Genelge’de bağımsız denetim raporları ile banka sırrı niteliğindeki verilerin alenileştirilmesinin mümkün olmadığı ve dolayısıyla bu raporlardaki verilerin paylaşılması için ayrıca bir yönetim kurulu kararı gerekmediği belirtiliyor.

Gizlilik Sözleşmeleri BDDK’ya Ne Zaman Raporlanmalı?

Yönetmelik m. 5/9 uyarınca, banka sırrı veya müşteri sırrının paylaşımı öncesinde, aktarımın yapılacağı taraflarla yapılacak gizlilik sözleşmelerinin altı aylık periyotlarla BDDK’ya raporlanması öngörülmekteydi. Genelge ile Yönetmelik’in yürürlük tarihinden[1] itibaren geçerli olmak üzere, Temmuz – Aralık raporlama dönemi için 31 Ocak; Ocak-Haziran raporlama dönemi için 31 Temmuz tarihlerine kadar BDDK tarafından uygun görülen format ve içerikte söz konusu bildirimlerin yapılmasının gerektiği belirtiliyor.

Hukuki Hizmet Alımlarında Veri Paylaşımı Nasıl Olmalı?

Genelge hukuki danışmanlık hizmeti kapsamında yapılacak veri paylaşımlarına ilişkin aranan müşteri talep/talimatına yönelik bir ayrıma gidiyor:

  • Yönetmelik madde 5/7 kapsamında bankanın taraf olduğu bir uyuşmazlık var ise ve paylaşım yapılan taraf ile banka arasında temsil ilişkisi var ise bu paylaşımlar için yalnızca gizlilik sözleşmesi aranıyor, müşteri talep/talimatı aranmıyor.
  • Bir uyuşmazlık kapsamında henüz banka ile bir temsil ilişkisi bulunmayan bir taraf ile (mevcut uyuşmazlık kapsamında belge ve kayıtları incelemek ve görüş almak üzere) paylaşım yapılıyor ise müşteri talep/talimatı aranıyor.
  • Bir uyuşmazlık bulunmaksızın hukuki danışmanlık alınıyor ise gizlilik sözleşmesi ve müşteri talep/talimatı aranıyor.
  • Temsil ilişkisi bulunmasa dahi hukuki danışmanlık alınan taraflar ile paylaşılan bilgiler kimliksizleştirilmiş ise müşteri talep/talimatı aranmıyor.

Müşteri Talep ve Talimatı Nasıl Alınmalı?

Genelge’de banka tarafından belirlenecek açık ve anlaşılır örnek metinler üzerinden müşteri talep ya da talimatının alınmasının mümkün olduğu belirtiliyor. Bu örnek metinlerin sözleşme metninden açıkça ayırt edilebilir şekilde olması ve müşterinin aktif rol alacağı şekilde bir talimata dönüştürülmesi gerekiyor.

Ortak Müşteriler Deyince Ne Anlaşılmalı?

Yönetmelik uyarınca sır niteliğindeki müşteri bilgilerinin açık bir şekilde paylaşılabilmesi için ortak müşteri olma şartı zorunlu tutulmakta. Genelge ile ortak müşteri kavramı açıklığa kavuşturuluyor. Bu kapsamda, bir müşterinin ortak müşteri kabul edilmesi için (i) aynı gerçek ya da tüzel kişinin (ii) eş zamanlı olarak (iii) hem Türkiye’deki bankanın hem de ana ortağın/hakim ortağın/grup şirketinin müşterisi olması gerekiyor.

Teknik ve İdari Tedbirlerden Ne Anlamak Gerekiyor?

Rehber veri sorumlularının yükümlülüklerine değinirken genel nitelikli yükümlülüklerin yanı sıra, bankacılık sektörü özelinde çeşitli uygulamalara da değiniyor. Örneğin, Rehber’de kişisel verilerin imha yöntemi, teknik tedbirler, uygulanabilecek teknikler ile söz konusu tekniklerin avantaj ve dezavantajları, muhtemel riskler ve örnek uygulamalara tablolar içerisinde detaylıca yer veriliyor. Söz konusu tedbirler aslen veri sorumlusunun yükümlülüğünde olmakla birlikte, bu hususlara ilişkin kararların veri işleyenlere bırakılmasının mümkün olduğunun da altı çiziliyor.

Yönetmelik ise, bankalarca paylaşılacak sır kapsamındaki bilgilerin gizliliği ve güvenliğinin sağlanmasına yönelik olarak gerekli teknik ve idari tedbirlerin alınması gerektiği düzenleniyor. Genelge’nin 2.7 numaralı başlığı altında, bu teknik ve idari tedbirlerin alınması koşulunun nasıl yerine getirileceğine ilişkin açıklama getiriliyor. Buna göre bu ifadeden, genel anlamda veri gizliliği ve güvenliğinin sağlanmasına yönelik olarak Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te (“BSEBY”) düzenlenen hükümlerin anlaşılmasının gerektiği açıklanıyor. Bununla birlikte, sır niteliğindeki verilerin paylaşıldığı karşı tarafça BSEBY’de düzenlenen bu hükümlere birebir uyulmasının beklenmediği ve veri gizliliği ve güvenliği konusunda genel kabul görmüş standart ve çerçevelerin esas alınması ve aktarımın yapılacağı karşı tarafça alınabilecek teknik ve idari tedbirler ile de BSEBY hükümlerinin karşılanmasının mümkün olduğu açıklığa kavuşturuluyor.

Peki Bankalar Ne Yapmalı?

BDDK tarafından yayımlanan Genelge, Yönetmelik hükümlerinin uygulanmasına ilişkin bankacılık çevrelerinde yankılanan soruları açıklığa kavuşturmak bakımından oldukça önem arz ediyor ve sektör paydaşları için aydınlatıcı nitelikte. Benzer şekilde, Rehber de bankaların kişisel verilerin korunması kapsamındaki yükümlülüklerini iyi uygulama örnekleri ile somutlaştırması nedeniyle sektör için yararlı bir kaynak işlevi görüyor. Bankaların Genelge ve Rehber’i inceleyerek, veri odaklı faaliyetlerini yönlendirmeler ve iyi örnekler ışığında kontrol etmeleri ve uyumlu hale getirmeleri önem arz ediyor.

[1] 01.07.2022

Şimdi kayıt olun
Son blog yazılarımızı e-posta ile alın.
Gönder
, , , , , , , , , ,
Bora İkiler

Bora İkiler

Bora İkiler rekabet hukuku, şirketler hukuku, ticaret hukuku, veri koruma hukuku ve sözleşme hukuku alanlarında engin bir deneyime sahiptir. Bora, yerli ve yabancı şirketlere, günlük faaliyetlerinde, hukuka uyum süreçlerinde ve birleşme ve satın alma işlemlerinde danışmanlık sağlamaktadır. Bora, rekabeti sınırlayıcı anlaşma ve uygulamalar için Rekabet Kurumu’na yapılan bildirim ve muafiyet başvurularının hazırlanması, inceleme sürecinin yürütülmesi ve sonuçlandırılması konularında müvekkillerine destek olmaktadır. Kendisi birleşme ve devralmaların kontrolü, pişmanlık süreçleri ve Rekabet Kurumu tarafından yürütülen ön araştırma ve soruşturma süreçlerinde çok sayıda müvekkili temsil etmiştir. Sağlık, otomotiv, perakende gibi dikey ilişkilerin yoğun olduğu ve rekabet hukuku açısından hassas sektörlerde yoğun bir tecrübeye sahiptir. Bunun yanında, bankacılık, içecek, çimento, biletleme ve televizyon yayıncılığı sektörlerinde de projelerde yer almıştır.

Tam biyografi

Gediz Cinar

Gediz Cinar

Gediz Çınar ağırlıklı olarak otomotiv, telekomünikasyon, enerji, altyapı ve Kamu Özel Ortaklığı projeleri, üretim ve perakendecilik ve teknoloji sektörlerinde faaliyet gösteren yerli ve yabancı şirketlere rekabet hukuku ve enerji hukuku alanlarında hukuki danışmanlık vermektedir.

Tam biyografi

Furkan Kaya

Furkan Kaya

İLGILI MAKALELER