Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin Rehber Yayımlandı

Yeni Gelişme

Kişisel Verileri Koruma Kurumu (“Kurum“) 5 Ağustos 2022 tarihinde Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’ni (“Rehber“) yayımladı. Rehber, başta yurt dışına veri aktarımı olmak üzere bankacılık sektöründe kişisel verilerin korunmasına ilişkin detaylı açıklamalara ve iyi uygulamalar örneklerine yer veriyor. Rehber’e buradan ulaşabilirsiniz.

Rehber ne diyor?

Rehber’de başlıca aşağıdaki hususları ele alınmaktadır:

• Veri sorumlusu – veri işleyen ayrımı: Rehber’de öncelikle bankaların veri sorumlusu ve veri işleyen statülerini değerlendirilmiştir. Bankalar, Bankacılık Kanunu’nun 4. maddesi uyarınca gerçekleştirdikleri faaliyetleri bakımından veri sorumlusu kabul edilmiştir. Ancak, bankanın acente, yatırım ürünleri, sigorta, bireysel emeklilik vb. faaliyetleri kapsamında veri sorumlusu ya da veri işleyen olduğuna karar verilirken somut olayın koşulları değerlendirilmelidir. Rehber ayrıca, bankaların ortak veri sorumlusu olabileceğini de belirtmiştir.
• Veri işleme sözleşmeleri: Rehber’de veri sorumlusu ile veri işleyen arasında yapılacak olan veri işleme sözleşmelerinde bulunması gereken hususlara ilişkin yönlendirmeler yer almaktadır. Bankaların destek hizmetleri şirketler ve iştirakleri ile yapılan sözleşmeler ve açık bankacılık ve bankaların acente sıfatıyla hareket ettiği durumlar özelinde ayrı yönlendirmeler yapılmıştır.
• Verilerin işlenmesinde hukuki sebepler: Rehber’de bankacılık faaliyetleri kapsamında verilerin işlenmesinde geçerli olabilecek hukuki sebepler farklı örnekler üzerinden açıklanmıştır. Örneğin, bankacılık sektörüne özgü denetimlerde bankalarca bilgi paylaşımında bulunulması, kimlik tespiti yükümlülüğü kapsamında verilerin işlenmesi, çek karnesi talebinde ilgili kişilerin adli sicil kaydı sorgusunun yapılması (bu faaliyet kanunda açıkça öngörülen bir yükümlülük kapsamında yürütüldüğü müddetçe), kredi başvurularında risk analizi yapılması, yetkili kurum ve kuruluşlarla kişisel veri paylaşımında bulunulması gibi veri işleme faaliyetleri açık rızaya tabi değildir. Ancak, açık rızaya tabi veri işleme faaliyetleri bakımından da açık rıza alınması hususunda her bir kanala bağlı (şube, atm, mobil bankacılık vb.) iyi uygulama örneklerine yer verilmiştir.

• Sır saklama yükümlülüğü ve KVKK ilişkisi: Sır saklama yükümlülüğünün istisnası olarak belirlenen veri paylaşımları ilgili kişinin açık rızası alınmaksızın gerçekleştirilebilecektir. İlaveten, Rehber’de Bankacılık Kanunu ile KVKK arasında değerlendirme yapılırken Bankacılık Kanunu’nun KVKK karşısında özel norm olduğu ve bu nedenle Bankacılık Kanunu 73. madde uyarınca yapılan paylaşımlarda genel norm-özel norm ilişkisinden dolayı KVKK hükümlerinin uygulanmayacağı belirtilmiştir.
• Meşru menfaat değerlendirmesi: Rehber’de, meşru menfaat hukuki sebebine dayanmak için her olay özelinde denge testinin uygulanması gerektiğini ifade edilmiştir. Buna karşın, meşru menfaat hukuki sebebine dayanılabilecek bazı örneklere yer verilmiştir: dolandırıcılık tedbirleri kapsamında olağan dışı davranışların tespiti için lokasyon, cihaz ve para transferi bilgilerinin işlenmesi, bilgi güvenliği sağlanması amacıyla verilerin işlenmesi, müşteri segmentasyonu yapılması, müşterilere hitap eden ürün ve hizmetlerin tespiti amacıyla, strateji çalışmalarının yürütülmesi ve müşteri memnuniyetinin sağlanması amacıyla verilerin işlenmesi. Örneğin, kişilerin meslek bilgisi kullanılarak kamu çalışanlarına özel tekliflerin ilgili kişiye sunulması için meşru menfaat hukuki sebebine dayanılabileceği belirtilmiştir. Rehber ayrıca, strateji çalışmaları kapsamında yapay zekadan ve otomatik karar alma mekanizmalarından faydalanılabildiğini ve bu faaliyetlerde temel hak ve özgürlüklere daha az müdahale edilmesi için anonimleştirme gibi yöntemlerin kullanılması gerektiğini ifade etmektedir.

• Özel nitelikli kişisel verilerin işlenmesi: Rehber’de bankaların yasal yükümlülükleri kapsamında kimlik teyidi yapması gerektiği ve kimlik belgesi sureti alınırken bazı özel nitelikli verilerin de işlenmesinin mümkün olduğu belirtilmiştir.

• Kimlik belgelerinin alınması: Kimlik belgesi sureti alındığında özel nitelikli verilerin işlenmemesi için ilgili kısımların karartılması, kimliğin sadece önyüzünün kullanılması ya da her halükarda özel nitelikli veri işlenecekse ilgili kişilerin açık rızasının alınması gerekmektedir.
• Sağlık verilerinin işlenmesi: Rehber’de sağlık verilerinin bankalarca işlenmesinde iyi uygulama örneği olarak verilerin açık rıza alınarak işlenmesi ve açık rıza bulunmadığı hallerde işlenmemesi verilmiştir.
• Adli sicil kayıtlarının sorgulanması: Rehber’de adli sicil kayıtlarının sorgulanmasına ilişkin olarak çek yasaklılığı değerlendirmesi yapılması için sorgulama yapıldığı hallerde, söz konusu veri işleme faaliyeti kanunlarda öngörülen bir yükümlülüğün yerine getirilmesi amacıyla yürütüldüğünden, açık rıza aranmayacağı ancak başkaca bir amaç için kullanıldığı hallerde KVKK’nın 6. maddesindeki şartlardan birisinin sağlanması gerektiği belirtilmiştir.
• Biyometrik verilerin işlenmesi: Rehber’de bankaların ayrıca uzaktan kimlik tespiti süreçlerinde biyometrik veri işleme faaliyeti gerçekleştirebildikleri ve bu faaliyetlerinin Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisi Kurulmasına İlişkin Yönetmelik’in 6. maddesi uyarınca açık rızaya tabi olduğu belirtilmiştir.

• Kişisel verilerin aktarılması: Rehber’de kanunda öngörülen hallerde yetkili mercilerin bankalardan bilgi ve belge talebi olabileceği ve bu talepler kapsamında bilgi verilmesinin Bankacılık Kanunu’nun 73. maddesi uyarınca mercilerin ilgili konularda sordukları soruların cevaplandırılması ile sınırlı olduğu ifade edilmiştir. Bu kapsamda bankalar bilgi taleplerinin cevapları ile sınırlı olmak kaydıyla yetkili mercilere veri aktarımı gerçekleştirebilecektir. İlaveten, Rehber’de Bankacılık Kanunu’nun 73. maddesine uygun olarak ve ilgili maddedeki istisnalar uyarınca verilerin aktarılmasının mümkün olduğu da belirtilmiştir.
• Kişisel verilerin yurt dışına aktarılması: KVKK’nın 4(1) ve 9(6) maddelerin uyarınca diğer kanun hükümlerinin saklı olduğu hallerde ilgili kanun hükümlerinin uygulanacağı hüküm altına alınmıştır. Bu nedenle Bankacılık Kanunu 73. maddesine uygun aktarımlar bakımından KVKK hükümleri değil Bankacılık Kanunu uygulanacaktır ve müşterilerin açık rızaları olsa dahi talep ya da talimatı olmaksızın verilerin yurt dışına aktarılması mümkün olmayacaktır. Ancak, söz konusu aktarımların her halükarda KVKK’nın diğer hükümlerine (örn. aydınlatma yükümlülüğü veya genel işleme şartları) uygun olması gerekmektedir.
• Veri sorumlularının yükümlülükleri:

• Aydınlatma yükümlülüğü: Bankalar veri sorumlusu olarak aydınlatma yükümlülüğünü yerine getirmelidirler. Bu kapsamda Rehber’de aydınlatma yükümlülüğü (i) müşteri edinimi/hesap açılış, (ii) kredi ve (iii) yatırım işlemleri olmak üzere üç farklı sürece ayrılmıştır. Her sürece özgülenmiş aydınlatma metninin ilgili kişilere sunulması yerinde olacaktır. İlaveten, aydınlatmalarda kişisel verilerin kategorik bazda işleme amaçları ve hukuki sebepler ile eşleştirilerek sunulması gerekmektedir. Rehber’de ayrıca farklı kanallar üzerinden yapılacak aydınlatmalara ilişkin örnek metinlere de yer verilmiştir.
• Envanter ve saklama imha politikalarına ilişkin yükümlülükler: Bankalar envanter hazırlamakla ve güncel tutmakla yükümlüdür. Bu yükümlülükleri kapsamında Rehber verilerin saklanma sürelerine ilişkin mevzuat kalemlerine atıfta bulunarak bankalar için yönlendirmelere yer vermiştir. Ayrıca, Rehber’de bankaların imha yöntemlerine ilişkin yol gösterici tablolar yer almaktadır.
• Veri güvenliğinin sağlanmasına ilişkin yükümlülükler: Bankalar hem bankacılık mevzuatında sayılan veri güvenliğine ilişkin yükümlülüklere hem de KVKK uyarınca öngörülen veri güvenliği yükümlülüklerine uymalıdır. Rehber’de bankaların mevzuatında tabii olduğu veri güvenliği yükümlülükleri ve bunların hangi mevzuat kalemlerinde bulunduğu detaylıca açıklanmaktadır.

Sonuç

Rehber’de Kurum, bankacılık faaliyetleri kapsamındaki veri işleme süreçlerini detaylı şekilde ele alarak uygulamaya yönelik önemli yönlendirmelerde bulunmuştur. Rehber ile Bankacılık Kanunu 73. madde ile KVKK ilişkisi netleştirildi. Bu kapsamda, Bankacılık Kanunu 73. madde uyarınca gerçekleştirilen aktarımlarda öncelikli olarak Bankacılık Kanunu düzenlemelerine uyulması gerekmektedir. Bankaların, Rehber’i gözden geçirerek bu yönlendirmelere uygun olarak aksiyon alması gerekmektedir.