Başlığımız blogumuzu yakından takip eden okuyucularımıza tanıdık gelebilir. 2024 yılının son aylarında, Kişisel Verileri Koruma Kurumu’nun Türkiye Bankalar Birliği ile işbirliği içerisinde yayımladığı Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) ve sektörün düzenleyici otoritesi olan Bankacılık Düzenleme ve Denetleme Kurumu’nun (“BDDK”) çıkarttığı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Genelge (“Genelge”) hakkında oldukça detaylı bir blog yazısı kaleme almıştık.
Önceki yazımızda verilerin nasıl ele alınacağının tüm sektörler için büyük önem taşıdığına, ancak bankacılık sektöründe konunun yalnızca kişisel verilerin korunması mevzuatı açısından değil, aynı zamanda finansal regülasyonlar kapsamında da ayrı bir hassasiyet gerektirdiğine değinmiştik. Zira bankalar yandan kişisel verilere ilişkin düzenlemelere, diğer yandan ise banka ve müşteri sırrına ilişkin düzenlemelerle uyumlu hareket etmekle yükümlü.
Kısa bir süre önce, Kişisel Verileri Koruma Kurumu, Kişisel Verileri Koruma Kanunu (“KVKK”) ve ikincil mevzuatında yaşanan son değişiklikleri de göz önüne alarak Rehber’i güncelledi[1]. KVKK cephesine yaşanan bu değişiklikleri de dikkate alarak “bankacılık sektöründe veri” meselesindeki gelişmeleri sizler için mercek altına alıyoruz!
Kişisel Verilerin Korunması Mevzuatı Kapsamında Bankalar Nasıl Konumlanıyor?
Hatırlamamız gerekirse, Rehber KVKK kapsamında veri sorumlusu veya veri işleyen statülerinin nasıl belirleneceğine dair yol gösteriyor.
Bankaların, Bankacılık Kanunu’nun 4. maddesi kapsamında gerçekleştirdikleri faaliyetler bakımından veri sorumlusu sıfatını haiz oldukları belirtilirken, somut olay özelinde değerlendirilecek olmakla birlikte, Türkiye’de bulunan bankanın yurtdışında yerleşik bağlı ortaklığının sözleşme süreçlerine destek olacak hizmetler sunmaları veya acente sıfatıyla hareket ettikleri durumlar ise veri işleyen olarak nitelendirilebilecekleri senaryolara örnek gösteriliyor.
Banka Çalışanlarına Ait Veriler Nasıl Nitelendirilmeli?
Genelge’ye göre, banka çalışanlarından işçi-işveren ilişkisi kapsamında elde edilen kişisel bilgiler, banka sırrı niteliğindeki bir veri ile birlikte işlenmediği sürece, KVKK kapsamında kişisel veri olarak değerlendiriliyor. Bu kapsamda örneğin çalışanların özel nitelikli kişisel veri olarak kabul edilen sağlık verilerinin işlendiği durumlarda özel nitelikli veriler için Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması gerekiyor. Güncellenen Rehber’de, KVKK’nın 6. maddesinde yapılan değişiklikler uyarınca özel nitelikli kişisel verilerin işlenmesine imkân tanıyan hallerin genişletildiği görülüyor. Her halükârda ilgili kişilerin, KVKK’nın 10. maddesi ve Aydınlatma Yükümlülüğü Tebliği’ne uygun şekilde bankalar tarafından kişisel verilerin işlenmesi hakkında aydınlatılması gerektiği belirtiliyor.
Banka çalışanlarına ait insan kaynakları verileri gibi kimi veriler ise bankanın mali durumu, bankanın temel faaliyetlerine ilişkin banka yönetim esasları ve bankanın uyguladığı teknik yöntemler ile banka potansiyeli hakkında bilgiler barındırabileceğinden, bu nitelikteki verilerin banka sırrı olarak nitelendirilmesinin mümkün olduğu değerlendiriliyor. Bununla beraber, eğer çalışan aynı zamanda bankanın müşterisi ise bu veriler, kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde müşteri sırrı olarak değerlendiriliyor.
Bankaların Veri Aktarımları Nasıl Değerlendiriliyor?
Rehber, KVKK’daki genel düzenlemeler ve Bankacılık Kanunu ve ilgili ikincil mevzuatta yer alan düzenlemeler arasındaki ilişkiyi özel norm-genel norm ilişkisi olarak değerlendiriyor ve Bankacılık Kanunu hükümlerinin uygulama alanı bulacağını belirtiyor. Bu kapsamda, güncellenen Rehber’de de aynı yaklaşım korunuyor ve müşteri sırrı niteliğindeki bilgilerin KVKK kapsamında müşterinin açık rızası alınsa dahi, talep/talimat şartı sağlanmadığı takdirde gerek yurt içinde gerekse yurt dışına aktarılmasının mümkün olmayacağı belirtiliyor.
Güncellenen Rehber’de ayrıca yurt dışına gerçekleştirilen veri aktarımlarına ilişkin bölümün de de kişisel verilerin yurt dışına aktarılmasını düzenleyen KVKK’nın güncel 9. maddesi dikkate alınarak gözden geçirildiği ve genişletildiği görülüyor. Bu kapsamda yeterlilik kararı (örn. bir ülkenin tamamı için olmasa dahi sadece bankacılık sektörü için yeterlilik kararı alınabileceği); yeterlilik kararının bulunmaması durumunda bakılacak uygun güvenceler (örn. aktarımın yapılacağı ülkede etkin hak arama yollarının bulunması); hem yeterlilik kararı hem uygun güvencelerin olmadığı ancak yurt dışına veri aktarımının elzem olduğu durumlarda ise arızi hallerle (örn. sınırlı olmak kaydıyla yapılacak veri transferlerine ilişkin açıklamalar getiriliyor.
Bankalar için mümkün olan arızi hallere aşağıdaki örnekler veriliyor:
- Türkiye’de kurulu “A” bankasının, para gönderme talebini karşılamak üzere ilgili müşterinin kişisel verilerini Etiyopya’da kurulu “B” bankasına göndermesi ilgili kişinin bir yeterlilik kararının ve uygun güvencelerin yokluğundan ötürü doğacak risklere ilişkin muhakkak bilgilendirilmesinden sonra açık rızasına başvurularak, aktarımın düzenli olmaması, süreklilik göstermemesi ve nadiren gerçeklemesi ve Bankanın mutat işlemleri arasında yer almaması kaydıyla gerçekleştirilebilecektir.[2]
- Bir banka tarafından dava sürecini yürütmek amacıyla kişisel verileri yurt dışına aktarması da yalnızca bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olduğu hallerde ve yukarıdaki örneğe benzer şekilde düzenli, sürekli veya mutat bir işlem olmamak kaydıyla gerçekleştirilebilecektir.[3]
Bu noktada, Etiyopya’ya para transferi işlemine ilişkin örnek ile ilgili olarak şu notu düşmekte yarar görüyoruz: İlgili örnekte doğası gereği müşteri sırrı niteliğinde olan bilgilerin paylaşılması için “müşterinin açık rızası” alınacağı belirtiliyor. Rehber’de aynı zamanda Bankacılık Kanunu’nun özel norm niteliğinde olduğu da vurgulanıyor. Dolayısıyla, Rehber’de yer verilen bilgilerin aslında bankacılık mevzuatındaki düzenlemelere uygun paylaşılabilmesi, bunun için ayrıca bir açık rıza aranmaması gerekiyor. Bu kapsamda Rehber’de verilen örneğin tartışmaya açık noktaları olduğunu söyleyebiliriz.
Öte yandan, her ne kadar Rehber’de KVKK karşısında özel norm olan Bankacılık Kanunu hükmünün uygulama alanı bulacağı belirtilse de veri işleme faaliyetinin işleme amacı ile bağlantılı, sınırlı ve ölçülü olması ilkesi hatırlatılıyor. Bankalar tarafından gerçekleştirilecek kişisel veri paylaşımlarında paylaşılan bilgilerin taleple sınırlı tutulması veya bu mümkün değil ise paylaşılan içeriklerdeki kişisel verilerin silinmesi/maskelenmesi/anonimleştirilmesi iyi uygulama örnekleri olarak paylaşılıyor.
Peki Bankalar Ne Yapmalı?
BDDK tarafından yayımlanan Yönetmelik ve Genelge’nin bankaların günlük operasyonları bakımından birçok konuya ışık tuttuğunu da bir kez daha belirtelim. Bu konuların içerisinde SWIFT işlemlerine ilişkin veya ana ortaklıkla yapılacak veri paylaşımının nasıl gerçekleşeceği, bağımsız denetim raporlarıyla alenileştirilmiş verilerin aktarımının mümkün olup olmadığı, gizlilik sözleşmelerinin BDDK’ya raporlanma zamanı ve hukuk hizmetlerinin alımında verilerin ne şekilde paylaşılabileceği konuları da yer alıyor. Bunların yanı sıra müşteri talep ve talimatının alım şekli, ortak müşteri kavramı gibi birçok husus da açıklığa kavuşuyor.
Bu hususlarda güncellenen Rehber’in yeni bir düzenleme getirmemesi sebebiyle, ilgilileri konunun detayları için önceki yazımıza davet ediyoruz.
Öte yandan, Kişisel Verileri Koruma Kurumu’nun bankacılık sektörü özelinde birbiri ardına yayımladığı Rehberler, konu kişisel veri olduğunda Genelge ve Yönetmeliğin tek başına yeterli uyumu temin edemeyeceğini açıkça ortaya koyuyor.
Bankaların sektörel düzenlemelerin yanı sıra KVKK’nın mevzuat değişikliklerini ve aydınlatıcı rehberlerini inceleyerek, faaliyetlerini veri odaklı faaliyetlerini yönlendirmeler ve iyi örnekler ışığında kontrol etmeleri ve uyumlu hale getirmeleri önem arz ediyor. KVKK’nın güncellediği son Rehber de bankaların kişisel verilerin korunması kapsamındaki yükümlülüklerini iyi uygulama örnekleri ile somutlaştırması nedeniyle sektör için yararlı bir kaynak işlevi görüyor.
[1]Bkz. https://www.kvkk.gov.tr/Icerik/8148/Kisisel-Verilerin-Korunmasina-Iliskin-Bankacilik-Sektoru-Iyi-Uygulamalar-Rehberi-Guncellendi
[2] Rehber, s. 88-89.
[3] Rehber, s. 89.
