• EN

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“ KVKK ”), birçok kişi ve kurumu bağlayan düzenlemeler içermektedir.  Bankalar, binlerce müşteriye ilişkin önemli kişisel verileri işleyen ve bünyesinde saklayan kurumlar olduğundan, KVKK’nın kişisel verilere ilişkin öngördüğü düzenlemeler, bankacılık sektörü açısından da büyük önem taşımaktadır. Bu makalede, KVKK ve alt mevzuatının bankacılık sektörüne etkileri açıklanacaktır.

KVKK açısından, bankalar, "veri sorumlusu" sıfatını haizdirler. Bunun sonucunda, veri sorumlularının KVKK uyarınca riayet etmesi gereken düzenlemeler bankalar için bağlayıcı niteliktedir:

  • İlgili kişinin açık rızası olmadan kişisel veri işlenememesi (KVKK madde 5) (İSTİSNA: Madde 5/2)
  • İlgili kişinin, verilerinin işlenme, aktarılma, saklanma ve yok edilme süreçlerine ilişkin olarak aydınlatılması (KVKK madde 10)
  • İlgili kişiye, KVKK madde 11 kapsamında kullanabileceği hakların anlatılması
  • Kişisel veriyi işleme sebebi ortadan kalktığında, kendiliğinden veya ilgili kişinin talebi üzerine o verinin yok edilmesi, silinmesi veya anonimleştirilmesi
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi
    • Kişisel verilerin muhafaza edilmesi, bu amaca ilişkin gerekli tüm idari ve teknik tedbirin alınması
    • Kişisel verilerin hukuka aykırı biçimde işlenmesinin önlenmesi
    • Kişisel verilere hukuka aykırı erişimin önlenmesi
    • Kişisel verilerin işlenmesinin bir veri işleyen vasıtasıyla yapıldığı durumlarda veri işleyenin kişisel verilerin korunması mevzuatına uyumlu bir biçimde veri işlediğini denetlemek (KVKK madde 12)

Tüm bu sorumluluklara ek olarak, veri sorumluları, KVKK uyarınca, ‘Veri Sorumluları Sicil Bilgi Sistemi’ne (‘VERBİS’) kayıt olmakla yükümlülerdir. (Kişisel Verileri Koruma Kurumu, 02.04.2018 tarihinde vermiş olduğu 2018/32 sayılı kararda, KVKK uyarınca VERBİS’e kayıt olma yükümlülüğüne getirilen istisnalara ilişkin bir liste hazırlamıştır. Bankalar, bu listede bulunmamaktadır.)

VERBİS’e kaydolunmasına ilişkin esaslar, 30.12.2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanmış olan ‘Veri Sorumluları Sicili Hakkında Yönetmelik’te (‘Yönetmelik’) detaylı biçimde düzenlenmiştir. Bankaların, Yönetmelik uyarınca,

  • Sicile Yönetmelik’te öngörülen sürelerde kaydolması,
  • Kişisel Verileri Koruma Kurumu ile banka arasındaki iletişimi sağlayabilmesi amacıyla bir ‘irtibat kişisi’ belirleyip bu kişiyi sicile kayıt başvurusu sırasında Kurum’a bildirmesi,
  • Yönetmelik madde 11’de düzenlenmiş olan veri sorumlusunun yükümlülüklerine riayet etmesi

gerekmektedir.

Bankaların, kendilerinden kişisel verilerin temini istendiğinde, gerekli olandan daha fazla veriyi göndermemesi önemlidir.

Örneğin, bir dava tarafının banka hesap bilgileri mahkeme tarafından istenmişse ve ilgili tarafın o bankada birden fazla hesabı bulunuyorsa, bankanın sadece davayla ilişkili hesabın bilgilerini mahkemeye ibraz etmesi uygun olacaktır. Hatta, kendisinden istenen spesifik bilgi dışında ilgili kişilerin kişisel verilerini paylaşmak, banka için idari ve cezai sorumluluğa yol açabilmektedir.

Bu hususa ilişkin bir Kişisel Verileri Koruma Kurumu kararı bulunmaktadır. 08.02.2018 tarihli ve 2018/13 sayılı ilgili kararda, tüketici mahkemesinde görülen bir dava çerçevesinde, ücret iadesine ilişkin bilgi vermesi amacıyla ilgili bankayla iletişime geçilmiş, bu banka da, ilgili kişinin son altı aylık kredi kartı ekstresini, yani yaptığı tüm harcamaları mahkemeye ibraz etmiştir. Mahkemenin istediği bilgiden bariz biçimde daha fazla, detaylı ve ifşa edici nitelikte olan ekstrelere ilişkin, öncelikle ilgili kişi tarafından veri sorumlusuna, yani bankaya başvuru yapılmıştır. Bankanın hukuka uygun biçimde veri paylaştığını belirtmesi üzerine Kişisel Verileri Koruma Kurumu’na başvuran ilgili kişinin lehine karar çıkmış, ilgili banka 30.000 TL idari para cezasıyla cezalandırmıştır.

Görüldüğü üzere, KVKK’nın öngördüğü fahiş cezalar, Kanun’un uygulaması yerleştikçe denetim kurumları tarafından uygulamaya konmaya başlamıştır. İlgili kişilerin hassas birçok kişisel verisini işleyen, saklayan ve aktaran bankaların, bu hususlara ilişkin gerekli ve yeterli altyapı çalışmalarını hem hukuki hem de teknik açıdan tamamlayarak bu tip cezalardan korunması mümkün olacaktır.

Kişisel Verileri Koruma Kurumu, geçtiğimiz yıl, bankalara ilişkin yerinde bir karar vermiştir. Kurum’un, 21.12.2017 tarihli ve 2017/62 numaralı kararı uyarınca:

Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, … oy birliğiyle karar verilmiştir.’

Kurum’un kişisel verilerin korunması hususundaki hassasiyeti, bu karar vasıtasıyla bir kez daha anlaşılmaktadır.

Sonuç olarak, bir kişinin ekonomik durumuna ilişkin bilgiler, özellikle ticaret ortamında son derece hassas niteliktedir ve bu verilerin işlenmesi, aktarılması ve korunması, büyük önemi haizdir. Bu sebeple, bankaların KVKK ve alt mevzuatıyla uyumlu bir biçimde veri işlemesi olmazsa olmazdır. Ayrıca, Kişisel Verileri Koruma Kurumu ve BDDK gibi denetleme kurumlarına da bu süreçte büyük iş düşmektedir.

Av. Dr. Mert VAN - Stj. Av. Benay ÇAYLAK