Kişisel Verileri Koruma Kurumu (“Kurum”) ve Türkiye Bankalar Birliği bünyesinde oluşturulan çalışma grupları tarafından hazırlanan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) 5 Ağustos 2022 tarihinde Kurum'un resmi internet sitesinde yayımlanmıştır.

Rehber'de bankaların gelişen iş modelleri ile birlikte özel nitelikli kişisel verileri de içerecek şekilde daha yoğun bir veri işleme faaliyetine giriştikleri gözetildiğinde, Rehber'in yayımlanmasının bir ihtiyaç haline geldiği belirtilmektedir. Rehber'in amacı, bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu'na (“Kanun”) ve Kanun'a dayanılarak Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından çıkartılan ikincil mevzuata uygun olarak gerçekleştirilmesi konusunda bankaları yönlendirmek ve bu çerçevede iyi uygulama örnekleri oluşturmaktır.

Bu çalışma kapsamında Rehber'de öne çıkan hususlar üzerinde durulması amaçlanmakta olup, Rehber'in tam metnine buradan ulaşılabilir.

I. VERİ SORUMLUSU-VERİ İŞLEYEN İLİŞKİLERİ

Rehber'de veri sorumlusu ve veri işleyen tanımlarına yer verilerek veri sorumlusu ile veri işleyenin ayrıştırılması konusunda önem arz eden kriterler listelenmiştir. Esasında bu listeleme Kurul'un 30/01/2020 tarihli ve 2020/71 sayılı kararında yer verdiği kriterlerin tekrarlanmasından ibarettir. Rehber'de, bankaların 5411 sayılı Bankacılık Kanunu'nun 4'üncü maddesi uyarınca yürüttüğü bankacılık faaliyetleri açısından veri sorumlusu olduğu belirtilmiştir. Bununla birlikte, bankaların acente veya aracı kuruluş olduğu sigorta, bireysel emeklilik, yatırım ürünleri gibi faaliyetler bakımından veri sorumlusu mu yoksa veri işleyen mi olduklarının somut olayın şartları dahilinde belirlenmesi gerektiğine işaret edilmiştir.

Dolayısıyla esasen her somut olay bazında taraflar arasındaki ilişki ve veri akışını değerlendirmek suretiyle bankaların veri işleyen olup olmadığına karar verilmelidir. Bu duruma bir örnek olarak, bir şirketin veya gerçek kişinin personeline yapacağı maaş ödemeleri için işlediği kimlik, iletişim ve banka hesap bilgisi verilerinin hangi amaç ve yöntemle işlendiğine karar verenin banka olmadığı verilmiştir. Bu örnek özelinde veri sorumlusu, kişisel verilerin neden (amaç) ve nasıl (yöntem) işlendiğine karar veren şirkettir (ya da gerçek kişi).

Bu noktada, bankaların veri sorumlusu oldukları verilere ilişkin Veri Sorumluları Sicili'ne (“VERBİS”) kayıt yaptırmaları ve bu kayıtları güncel tutmaları zorunlu iken, veri işleyen oldukları veriler bakımından VERBİS'e kayıt yükümlülükleri bulunmadığı da vurgulanmıştır.

Rehber'de Kurul'un 30/01/2020 tarihli ve 2020/71 sayılı kararına atıfta bulunularak, tek bir veri kayıt sistemi çerçevesindeki veri işleme faaliyetlerinde, bu faaliyetlerin amaç ve vasıtalarının birden fazla kişi tarafından müştereken belirlenmesi halinde birden fazla veri sorumlusu olabileceği belirtilmiştir. Ancak bunun her durumda doğrudan müşterek bir sorumluluk anlamına gelmediği veya verileri birbirine aktaran kişilerin her zaman ortak veri sorumlusu sayılamayacağının altı çizilmiştir.

(i) Veri Sorumlusu ile Veri İşleyen Arasında Yapılacak Olan Veri İşleme Sözleşmesi

Veri sorumlusu ile veri işleyen arasında yapılacak olan veri işleme sözleşmesinin hükümlerine, taraflar arasındaki ana sözleşmenin içeriğinde yer verilebileceği gibi, bu hükümlerin ana sözleşmenin eki olarak düzenlenmesi de mümkündür. Rehber'de veri işleme sözleşmesinin yazılı olması önerildikten sonra, veri işleme sözleşmesinde yer verilmesi tavsiye edilen asgari unsurlar sayılmıştır.

Rehber'de, bankaların veri işleyen oldukları durumlarda banka ve müşteri sırrına ilişkin yasal yükümlülükler nedeniyle denetime izin verilmeyeceğinin veri işleme sözleşmesinde belirtilebileceği, ancak bankaların bağımsız denetim şirketlerinden veya kendi iç denetim birimlerinden alacakları raporlarla denetim gerekliliklerini sağlayabilecekleri ifade edilmiştir. Ayrıca veri işleme sözleşmesi ile veri sorumlusunun aydınlatma yükümlülüğün veya açık rıza alınmasına ilişkin yükümlülüklerinin veri işleyen aracılığıyla yerine getirilebileceği de vurgulanmıştır.

Rehber'de veri işleme sözleşmesi ile ilgili olarak ayrıca, Kanun'a ve somut olaya uygun olduğu ölçüde, veri işleme faaliyeti yönünden Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik'in 6 ve 7'nci maddelerinde yer alan hükümlerden yararlanılabileceği belirtilmiştir.

(ii) Bankaların Çeşitli Senaryolarda Veri Sorumlusu mu Veri İşleyen mi Oldukları Yönünde Değerlendirmeler

Rehber'de, bir bankanın somut olay özelinde belirli bir veri grubuna karşı veri sorumlusu mu yoksa veri işleyen mi olduğunun, her bir somut olay özelinde ayrı değerlendirilmesi gerektiği vurgulanmış ve çeşitli senaryolarda bankaların ne sıfatla hareket ediyor olabileceğine ilişkin değerlendirmelere yer verilmiştir. Örneğin, bir bankanın kurye veya kargo firması gibi bir şirketten destek hizmeti aldığı senaryoda; banka, kuryenin taşımış olduğu kredi kartının üzerinde yer alan bilgiler, karta ilişkin ekstre bilgisi gibi veriler yönünden veri sorumlusudur. Bununla birlikte kargo şirketinin kendi tabi olduğu mevzuat çerçevesinde teslimatı yapabilmesi için bankadan temin ettiği isim, soyisim, telefon, adres gibi veriler yönünden kargo şirketi de veri sorumlusu sıfatını haiz olmaktadır.

Rehber'de bankaların bağlı ortaklıkları açısından verilen örnekte ise, Türkiye'de yerleşik bankanın yurtdışında yerleşik bağlı ortaklığının kredi sözleşmesinin imzalarının teminine yönelik hizmet verdiği durumda veri işleyen sıfatını haiz olabileceği belirtilmiştir.

Rehber'in açık bankacılığa ilişkin kısmında; açık bankacılık hizmetlerinde (i) gerçek kişi müşterinin kişisel verilerinin bankacılık hizmetlerinin sunulması amacıyla banka tarafından işlenmesi, (ii) gerçek kişi müşterinin kişisel verilerinin açık bankacılık ürün ve hizmetlerinden faydalandırılması amacıyla üçüncü taraf sağlayıcı tarafından işlenmesi ve (iii) gerçek kişi müşterinin belirli kategorilerdeki kişisel verilerinin banka tarafından üçüncü taraf sağlayıcıya aktarımı ve bununla eş zamanlı olarak üçüncü taraf sağlayıcının bu verileri kendi veri kayıt sistemine kaydetmesi şeklinde üç temel veri işleme faaliyeti bulunduğu belirtilmiştir. Burada açık bankacılık hizmeti veren banka, üç işleme faaliyeti yönünden de veri sorumlusu iken üçüncü taraf sağlayıcıların veri sorumlusu veya veri işleyen olabileceği belirtilmiştir.

Rehber'de son olarak bankaların acente sıfatıyla yürütmüş oldukları sigortacılık faaliyetleri açısından veri işleyen sıfatını haiz olduklarına işaret edilmiştir.

II. KİŞİSEL VERİ İŞLEME ŞARTLARI

Rehber kapsamında öncelikle kişisel veri işleme şartlarına ilişkin Kanun'un 5'inci maddesine atıfta bulunularak genel bir değerlendirme yapılmıştır. Devamında ise, bankacılık faaliyetlerinin kapsam ve sınırlarının büyük oranda mevzuat dahilinde belirlenmiş olması nedeniyle, bankaların yapmış oldukları veri işleme faaliyetlerinin çoğunlukla açık rıza dışındaki hukuka uygunluk sebeplerine dayalı olarak gerçekleştirildiği belirtilmiştir.

Rehber kapsamında her bir kişisel veri işleme şartına ilişkin yapılan değerlendirmelere aşağıda yer verilmiştir.

(i) Açık Rıza

Rehber'de açık rızanın alınmasının yazılı şekle tabi olmadığı, bankanın internet sitesindeki talep ve şikâyet bölümüne kendi isteğiyle hastalık detaylarından bahseden gerçek kişinin, bu bilgilerinin işlenmesi konusunda Kanun'un 4'üncü maddesindeki genel ilkeler çerçevesinde açık rızasını ortaya koyduğunun kabul edilebileceği ifade edilmiştir. Ancak her durumda açık rızanın alındığını ispat yükü, veri sorumlusu olan bankadadır. İspat açısından elverişli olması kaydıyla; şube, ATM, internet şubesi, çağrı merkezi, mobil uygulama gibi mecralar aracılığıyla açık rızanın alınabilmesi mümkündür.

Açık rızanın şartları, bankacılık uygulamaları yönünden bir farklılık arz etmemekle birlikte, (i) belirli bir konuya ilişkin olma, (ii) özgür iradeyle açıklanmış olma ve (iii) bilgilendirmeye dayanma şeklinde sıralanmıştır. Bu noktada “hizmetin açık rıza şartına bağlanamaması” yönünden, müşteri ve hesap açılış işlemleri sırasında pazarlamaya ilişkin açık rıza vermeyen müşterilerin de hesap açılış hizmetlerinden yararlandırılması gerektiği belirtilmiştir. Ayrıca, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ile açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir.

(ii) Kanunlarda Öngörülmesi ve Hukuki Yükümlülüğün Yerine Getirilmesi

Rehber'de kişisel veri işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa, kanunlarda öngörülme hukuka uygunluk sebebine dayalı olarak veri işlenebileceği belirtilmiştir. Ayrıca, kanunlarda öngörülme veya hukuki yükümlülüğün yerine getirilmesi hukuka uygunluk sebeplerinden birinin bulunması halinde açık rıza alınmaması gerektiği vurgulanmıştır.

Rehber'in bu başlığı altında, açık rıza alınmadan işlenebilecek veri işleme faaliyetine örnek olarak; bankaların kredilendirme işlemleri öncesinde kredi başvurusunda bulunanlar için risk grubu bazında risklilik değerlendirmesinde bulunmalarının, 5411 sayılı Bankacılık Kanunu'nun 49'uncu maddesi vd. ile Bankaların Kredi İşlemlerine İlişkin Yönetmelik uyarınca hukuki bir yükümlülük olması hali gösterilmiştir. Bu kapsamda, kredi başvurusunda bulunanların risk değerlendirme sürecine giren her türlü kişisel verileri, belirtilen amaçla açık rıza alınmaksızın işlenebilecektir. Rehber'de bu hal dışında kanunlarda öngörülme sebebine dayalı veri işleme faaliyetleri örnekleri de ‘sınırlayıcı olmamak kaydıyla' sıralanmıştır.

Rehber'de hukuki yükümlülüğün yerine getirilmesi kapsamında yetkili kurum ve kuruluşlarla yapılacak kişisel veri paylaşımlarında; paylaşılan bilgi/ belgenin talep edilen veriler ile sınırlı tutulması, bunun mümkün olmaması durumunda ilgili belgede yer alan diğer kişisel verilerin silinmesi, maskelenmesi, anonim hale getirilmesi suretiyle paylaşılması konuya ilişkin iyi uygulama örneği olarak gösterilmiştir.

(iii) Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesi

Rehber'de bankaların, bankacılık faaliyetleri kapsamında henüz müşteri olmayan kişilerden hizmet talebinin alınması, değerlendirilmesi ve cevaplanması gibi süreçler için kişisel veri işlenmesinin, bu sürecin banka ile müşteri arasında sözleşme ilişkisinin kurulma aşamasına (icaba davet ve icap) yönelik olması nedeniyle açık rıza alınmasını gerektirmeyeceği yönünde görüş bildirilmiştir.

(iv) Meşru Menfaat

Rehber'de meşru menfaat kavramı, bankanın hukuk düzeni içerisinde cevaz verilen hukuki veya iktisadi menfaatlerinin belirli koşullara sahip olması halinde, bir hukuka uygunluk sebebi olarak değerlendirilebileceği ifade edilmiştir. Meşru menfaatin belirlenmesi kapsamında yararın çok sayıda kişiyi etkilemesi, yalnızca kar elde edilmesi veya ekonomik yarar sağlanması amacına yönelik olmaması, iş süreçlerini veya bir işleyişi kolaylaştırması gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması gerektiği belirtilmiştir.

Bankaların meşru menfaat hukuka uygunluk sebebine dayanmadan önce amaç, orantılılık ve gereklilik yönünden bir değerlendirme yapması gerekmektedir. Meşru menfaat halihazırda mevcut, belirli ve açık olmalı; ilgili kişinin temel hak ve özgürlüklerine zarar vermemeli, bu konuda denge testi yapılarak menfaatlerin tartılması sağlanmalı ve amacın gerçekleşebilmesi için kişisel veri işlenmesinin zorunlu/gerekli olmalıdır.

Bu kapsamda, Rehber'de yer alan ve aşağıda sayılan başlıklar, meşru menfaat hukuka uygunluk sebebine dayalı veri işlemenin uygun olabileceği örnekleri göstermektedir:

  • Dolandırıcılık Tedbirlerinin Alınması: Müşterilerin olağan dışı davranışlarının tespit edilmesi ve anomali analizi yapılması için müşteriye ait lokasyon, cihaz bilgisi, para transferine ilişkin bilgilerin işlenmesi meşru menfaat kapsamında değerlendirilmiştir.
  • Bankacılık Alanında Müşteri Gruplarının (Segmentasyon) Belirlenmesi: Bankaların faaliyetlerini sürdürebilmeleri için gerekli organizasyonel ve mali değerlendirmeyi yapmalarını, gelecek dönemler için öngörülerini oluşturmalarını sağlayan müşteri gruplarının belirlenmesi kapsamında veri işlenmesi; yukarıda belirtilen hususlara dikkat edilmesi kaydıyla meşru menfaat içerisinde değerlendirilecektir.
  • Müşterilere Hitap Eden Ürün Hizmetlerinin Tespiti: Bankaların müşterilere hitap eden ürün ve hizmetlerin tespiti amacıyla; müşteri ile kurulan hizmet ilişkisi çerçevesiyle sınırlı olarak, müşterinin makul beklentisi çerçevesinde ve müşterinin de çıkarı olabilecek durumlarda yaş, eğitim durumu, nerede oturulduğu, hangi sektörlerde toplam ne kadar alışveriş yapıldığı gibi verilerin meşru menfaat sebebine dayalı olarak işlenebileceği belirtilmiştir. Buna örnek olarak müşteriden sözleşme gereğince alınan meslek bilgilerinden yola çıkılarak kamu çalışanlarına sunulacak bir kampanyanın sadece kamu çalışanlarına ulaşmasının sağlanması gösterilmiştir.
  • Strateji Çalışmalarının Yürütülmesi: Banka nezdindeki müşteri verilerinin yapay zekanın devreye girmesiyle risk yönetimi, karlılık raporları, maliyetlerin azaltılması gibi amaçlarla müşteri bazında aksiyon alma amacı güdülmeden yürütülen kişisel veri işleme faaliyetleri meşru menfaat hukuka uygunluk sebebine dayalı olarak gerçekleştirilebilecektir. Bu faaliyetler sonucunda müşteri bazında aksiyon alınacak olması halinde, bu aksiyon özelinde hukuka uygunluk sebebinin ayrıca belirlenmesi gerekmektedir.
  • Müşteri Memnuniyetinin Sağlanması: Bankaların müşterinin ürün ve kanal kullanım detayları, şikâyet geçmişi gibi banka nezdinde tutulan verilerini, bankaların sistemsel işleyişini devam ettirmek, müşteri aleyhine sonuç doğurabilecek hataları tespit etmek, düzeltmek ve bunlara karşı önlem almak amacıyla işlemeleri meşru menfaat kapsamında değerlendirilebilmektedir.

(v) Bir Hakkın Tesisi ve Korunması için Zorunlu Olma

Rehber'de bankaların, ticari menfaatlerini güvende tutmak ve alacaklarının tahsil edilmesini sağlamak amacıyla kredi borçlusu müşteri ile iletişime geçmesinin gerektiği durumlarda, Risk Merkezi gibi resmi bilgi paylaşım platformlarından veya BTK tarafından lisans verilen kuruluşlar üzerinden yapılan sorgular üzerinden elde edilen telefon numaralarını idari ve yasal takip aşamasında kullanmaları, bir hakkın tesisi ve korunması için zorunlu olma halinin örneği olarak gösterilmiştir. Ancak, bu noktada yapılan sorgular neticesinde elde edilecek numaralar üzerinden haberleşmeye geçildiğinde, gerekli kimlik doğrulama mekanizmalarının işletilmesi ve verilerin üçüncü kişilerce ele geçirilmesini önleme gerekliliği vurgulanmıştır.

(vi)    Özel Nitelikli Kişisel Verilerin İşlenmesi

Rehber'de öncelikle özel nitelikli kişisel verilerin işlenme şartlarına ilişkin olarak Kanun ve Kanun kapsamında Kurul tarafından çıkarılan kararlar çerçevesinde genel değerlendirmelere yer verilmiştir. Ardından, bankaların da özel nitelikli kişisel veri işlemeleri halinde Kurul'un 31.01.2018 tarihli ve 2018/10 sayılı kararı doğrultusunda özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemleri almaları gerektiği vurgulanmıştır. Buna ilaveten, özel nitelikli kişisel verilerden olan biyometrik verilerin işlenmesi halinde, Kurul tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'in de dikkate alınması gerekmektedir. Bankaların işlemekte olduğu özel nitelikli kişisel verilerin başlıcaları ve bu verilerin işlenmesi konusundaki iyi uygulama örnekleri Rehber'de şu şekilde ele alınmıştır:

  • Kimlik Belgesi Suretleri: Bankaların yasal yükümlülük nedeniyle müşterilerden aldığı kimlik veya sürücü belgesi görüntülerinde din, kan grubu, kullandığı cihaz ve protezler gibi bilgiler yer almaktadır. Bu konuda Rehber'de kimlik belgesinin yalnızca ön yüzünün kullanılarak işlem yapılması, özel nitelikli veri hanelerinin karartılması veya kullanılmamasına yönelik teknik ve idari tedbirlerin alınması şeklinde iyi uygulama önerileri verilmiştir.
  • Sağlık Raporları: Sağlık verilerinin, kanunlarda öngörülen haller istisna olmak kaydıyla, açık rıza dışında herhangi bir hukuka uygunluk sebebine dayalı olarak işlenemeyeceği belirtilmiştir.
  • Adli Sicil Kayıtları ve Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle İlgili Mahkeme Kararları: Rehber'de, çalışan adaylarından adli sicil bilgilerinin istenmesi kanunlarda açıkça öngörülen bir hal olmadığından, bu bilgilerin toplanmamasının tercih edilebileceği; kesinlikle toplanması gerektiği düşünülüyor ise açık rıza alınarak bu bilgilerin toplanması gerektiği iyi uygulama önerisi olarak belirtilmiştir. Bununla birlikte, çek yasaklılığı değerlendirmesinin yapılabilmesi için istenen adli sicil kaydında kanunlarda açıkça öngörülme hukuka uygunluk sebebi nedeniyle ayrıca açık rıza alınması gerekmemektedir.
  • Çalışanların Sağlık Verileri: Rehber'de, işyeri hekimi bulunan bankalarda Kanun'un 6'ncı maddesinde öngörülen amaçlarla sağlık verilerinin işlenmesinde açık rıza alınmasının gerekmediği, işyeri hekimi bulunmayan bankalarda ise sağlık verilerinin işlenmesinde açık rıza veri işleme şartına dayanılması gerektiği ifade edilmiştir. Bu kapsamda, sağlık verilerine işyeri hekimleri dışındaki kişilerce erişimin engellenmesini sağlayacak şeklinde bir kurgu yapılması, işyeri hekimi dışındaki birimlerce sağlık verisi işlemesinin gerçekleşmesi halinde, bu kişilerin yetkilerinin kısıtlanması, sağlık verilerinin şifrelenmiş şekilde muhafaza edilmesi iyi uygulama önerileri olarak gösterilmiştir.
  • Kimlik Doğrulamada Kullanılan Biyometrik Veriler: Bankaların uzaktan müşteri edinimi sırasında kullandıkları biyometrik veriler için Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik'in 8'inci maddesi uyarınca açık rıza alınması zorunluluğu bulunmaktadır. Rehber'de, eğer mümkün ise biyometrik verilerin işlenmemesi ve açık rızanın alındığı hallerde dahi Kanun'un 4'üncü maddesindeki genel ilkelere riayet edilmesi gerektiği vurgulanmıştır.

III. KİŞİSEL VERİLERİN AKTARILMASI

(i) Kişisel Verilerin Yurt İçinde Aktarılması

Rehber'de kişisel verilerin yurt içinde aktarılmasının, Kanun'un 8'inci maddesi uyarınca (i) ilgilinin açık rızasının alınmasıyla veya (ii) Kanun'un 5'inci maddesinin ikinci fıkrasında yer verilen kişisel verilerin işlenme şartlarından birinin bulunmasıyla veya (iii) 31 Ocak 2018 tarihli ve 2018/10 sayılı Kurul kararında belirlenen yeterli önlemlerin alınması kaydıyla, Kanun'un 6'ıncı maddesinin üçüncü fıkrasında belirtilen özel nitelikli kişisel verilerin işlenme şartlarından birinin bulunmasıyla ilgilinin açık rızası alınmaksızın gerçekleştirilebileceği belirtilmiştir.

Rehber'de ayrıca, 5411 sayılı Bankacılık Kanunu'nun 73'üncü maddesinin üçüncü fıkrasına yapılan atıfla, müşteri sırrı niteliğindeki kişisel verilerin yurt içinde aktarılmasında açık rızaya ek olarak müşteriden gelecek bir talep ya da talimatın da aranacağı hatırlatılmış ve bu bilgilerin paylaşım ve aktarımı bakımından 4 Haziran 2021 tarihli ve 31501 sayılı Resmî Gazete'de yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik'e atıfta bulunulmuştur.

Rehber'de, veri sorumlusu sıfatına sahip bir bankanın bünyesinde faaliyet gösteren çalışanlar veya birimler arasında gerçekleşen veri aktarımının, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması kaydıyla, Kanun'un 8'inci maddesi kapsamında kişisel verilerin üçüncü kişilere aktarımı sayılmayacağı belirtilmiştir. Öte yandan, aynı şirketler topluluğu bünyesinde yer alan farklı bankalar arasında gerçekleşen veri aktarımının ise, Kanun'un 8'inci maddesi kapsamında kişisel verilerin üçüncü kişilere aktarımı sayılacağı belirtilmiştir. Rehber'in devamında, kişisel verilerin yurt içinde aktarılması hususu, Kanun'un 8'inci maddesinin üçüncü fıkrası (diğer kanunlarda yer alan hükümler) uyarınca yapılabilecek kişisel veri aktarımları ile iş ortaklarına gerçekleştirilen kişisel veri aktarımları olarak ikiye ayrılmıştır.

Kanun'un 8. maddesinin üçüncü fıkrası uyarınca yapılabilecek kişisel veri aktarımlarının başlıcaları Rehber'de şu şekilde ele alınmıştır:

  • Bankalardan Bilgi Talep Etmeye Yetkili Mercilere Gerçekleştirilen Veri Aktarımları: Bankalar, Kanun uyarınca, bilgi aktardıkları kurum ve kuruluşların kendi kuruluş kanunları ve diğer kanunlardan kaynaklanan bilgi talep etme yetkilerine istinaden yetkili mercilere kanunlardaki sınırlamalar çerçevesinde, ilgili kişilerin açık rızasına gerek olmaksızın kişisel veri aktarımında bulunabilirler. Rehber'de istisna kapsamında bilgi paylaşımı hallerine ilişkin örneklere de yer verilmektedir.
  • Şüpheli İşlem Bildirim Zorunluluğu Çerçevesinde Gerçekleştirilen Veri Aktarımları: 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun'un 4'üncü maddesi gereğince, şüpheli işlem bildirimleri bankalar açısından kanunda açıkça öngörülen bir yükümlülük olduğundan bu kapsamda kişisel veri aktarımı yapılması mümkündür.
  • Ana Ortak/Bağlı Ortaklıklara Gerçekleştirilen Veri Aktarımları: Türkiye'deki bir banka, Bankacılık Kanunu'nun 73'üncü maddesinin dördüncü fıkrasında yer alan şartları taşıyan ana ortaklığın kişisel veri içeren bilgi ve belge taleplerini, gizlilik sözleşmesi yapılması ve konsolide finansal tablo hazırlama çalışmaları, risk yönetimi iç denetim uygulamaları ile sınırlı kalınması şartıyla karşılayabilecektir. Söz konusu ana ortaklık, finansal kuruluş ya da başka bir teşebbüs olabilecektir.
  • Muhtemel Alıcılara Gerçekleştirilen Veri Aktarımları: Bankacılık Kanunu'nun 73'üncü maddesinin dördüncü fıkrası uyarınca, bankaların kredileri de dahil varlıklarının ya da bunlara dayalı menkul kıymetlerinin satışı amacıyla yapılacak değerleme çalışmaları çerçevesinde, gizlilik sözleşmesi yapılması ve sözleşmede belirtilen koşullarla sınırlı kalınması şartıyla, muhtemel alıcıların kişisel veri içeren bilgi ve belge talepleri karşılanabilecektir.
  • Bankalar ve Finansal Kuruluşlara Gerçekleştirilen Veri Aktarımları: Bankacılık Kanunu'nun 73'üncü maddesinin dördüncü fıkrası uyarınca, bankalar ve finansal kuruluşlar, gizlilik sözleşmesi yapmak ve sözleşmede belirtilen amaçlarla sınırlı kalınmak kaydıyla kendi aralarında doğrudan doğruya, kişisel veri aktarımı da dahil her türlü bilgi ve belge alışverişinde bulunabilirler.
  • Risk Merkezi, Bankalararası Kart Merkezi ve Kredi Kayıt Bürosu'na Gerçekleştirilen Veri Aktarımları: Bankacılık Kanunu'nun 73'üncü maddesinin dördüncü fıkrası uyarınca, Bankalarca Risk Merkezi, Bankalararası Kart Merkezi ve Kredi Kayıt Bürosu'na gizlilik sözleşmesi yapılmak ve belirtilen amaçlarla sınırlı olmak kaydıyla kişisel veri aktarımı yapılması mümkündür.
  • İştiraklere Gerçekleştirilen Veri Aktarımları: Bankacılık Kanunu'nun 73'üncü maddesinin dördüncü fıkrası uyarınca, bankalar ile bankaların finansal kuruluşu niteliğindeki bağlı ortaklıkları arasındaki bilgi ve belge paylaşımı kapsamında kişisel veri aktarımı yapılması mümkündür.
  • Değerleme, Derecelendirme ve Destek Hizmeti Kuruluşlarına Gerçekleştirilen Veri Aktarımları: Bankacılık Kanunu'nun 73'üncü maddesinin dördüncü fıkrası uyarınca, bankaların destek hizmeti niteliği taşımayan hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge paylaşımları gerekli tedbirlerin alınması, gizlilik sözleşmesi yapılması ve belirtilen amaçlarla sınırlı kalınması koşuluyla sır saklama yükümlülüğüne aykırılık teşkil etmediğinden, bu koşulların sağlanması halinde kişisel veri aktarımları yapılabilir.

(ii) Kişisel Verilerin Yurt Dışına Aktarılması

Rehber'de, kişisel verilerin yurt dışına aktarılmasının Kanun'un 9'uncu maddesinin birinci fıkrası uyarınca, kural olarak, ilgilinin açık rızasının alınmasıyla mümkün olduğu belirtilmiştir. Aynı maddenin ikinci fıkrası uyarınca ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerin, Kanun'un 5'inci maddesinin ikinci fıkrası ile 6'ıncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması ve kişisel verilerin aktarılacağı ülkede (i) yeterli korumanın bulunmasıyla veya (ii) Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunmasıyla kişisel verilen yurt dışına aktarılabileceği belirtilmiştir.

Rehber'in devamında, kişisel verilerin yurt dışına aktarılma şartları detaylıca incelenmiş olup, bu kapsamda öne çıkan hususlara aşağıda yer verilmiştir.

  • Açık Rıza: Rehber'de, kişisel verilerin yurt dışına aktarılması için ilgilinin açık rızasının alınması halinde, bu rızanın yanı sıra Kanun'un 4'üncü maddesinde sayılan genel ilkelere de uyulması gerektiği vurgulanmıştır.
  • Yeterli Korumanın Bulunduğu Ülkeler: Kişisel veriler, Kurul tarafından Kanun'un 9'uncu maddesinin üçüncü ve dördüncü fıkraları uyarınca ilan edilen ülkelere, 5'inci maddenin ikinci fıkrası ile 6'ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilecektir. Ancak, bu çalışmanın yayım tarihi itibariyle Kurul tarafından bu doğrultuda herhangi bir ilan yapılmadığını belirtmek gerekir.
  • Yeterli Korumanın Taahhüt Edilmesi ve Kurul'dan İzin Alınması: Kurul, bu çerçevede, veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene aktarımlarda kullanılmak üzere iki tane taahhütname örneği düzenlemiş olup, bahse konu örnekler Kurum'un resmi internet sitesinde yayımlanmıştır. Ek olarak, Kurul'a yapılacak izin başvurusu konusunda Kurum'un 7 Mayıs 2020 tarihinde yayımladığı Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru metnine atıfta bulunulmuş ve işbu duyuruda yer alan esaslara dikkat edilmesi gerektiği hatırlatılmıştır.
  • Bağlayıcı Şirket Kuralları: Bağlayıcı şirket kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kurum'a, bağlayıcı şirket kuralları başvurusu yapması gerekmektedir. Bu çerçevede Kurum'a yapılacak başvurularda, Kurul'un 10 Nisan 2022 tarihinde yayımladığı Bağlayıcı Şirket Kuralları Hakkında Duyuru metninde yer alan dokümanlarda öngörülen usul ve esaslara riayet edilmesi gerekmektedir.
  • Diğer Kanunlarda Yer Alan Hükümler Uyarınca Yapılabilecek Paylaşımlar: Rehber'de, diğer kanunlarda kişisel verilerin yurt dışına aktarılmasına ilişkin özel bir düzenleme yer alması halinde işbu düzenlemenin özel norm teşkil edeceği ve Kanun'a göre öncelikli olarak uygulanacağı belirtilmiştir. Bu kapsamda, gerçek kişi müşteri sırları bakımından da Bankacılık Kanunu hükümlerinin öncelikli olarak uygulanacağı örnek olarak gösterilmiştir.

IV. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

(i) Aydınlatma Yükümlülüğü

Aydınlatma yükümlülüğü kapsamında, veri sorumlusu tarafından kanunda öngörülen hukuka uygunluk nedenlerine dayalı olarak kişisel veri işlendiği her durumda uygun kanallar ve anlaşılır, açık ve sade bir dil kullanılarak ilgili kişilere aydınlatma yapılması gerektiği belirtilmiş ve aydınlatma yükümlülüğünün yapılmasına ilişkin esas ve usuller aşağıda yer verilen şekliyle detaylandırılmıştır. 

a) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde İçerik

Rehber'de, her bankanın kişisel veri kategorileri, veri toplama yöntemleri, işleme amaçları ve hukuki gerekçeleri ile kişisel verilerin aktarıldığı taraflar kapsamında, kendi işleyiş ve sistemlerine uygun olarak kendi aydınlatma metinlerini oluşturabileceği belirtilmiştir. Bu noktada, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, Veri Sorumluları Sicil Bilgi Sistemi'nde açıklanan bilgilerle uyumlu olması gerektiği vurgulanmıştır.

Rehber'de ayrıca bankaların veri işleme amaçlarının çok sayıda olması sebebiyle, Bankacılık Kanunu'nun 4'üncü maddesinde yer alan bankacılık faaliyetleri; müşteri edinimi/hesap açılış, kredi ve yatırım işlemleri olarak üç gruba ayrılmış ve aydınlatma metinlerinin bankalarca bu gruplara göre hazırlanarak, kendilerine başvuruda bulunan ilgili kişiye bankaya geliş amacına göre, faaliyete özgülenmiş şekilde sunulmaları uygun görülmüştür. Bankalarca kişisel verilerin işbu metinlerde kategorik bazda işleme amaçları ve hukuki sebepler ile eşleştirilerek sunulması gerektiğine de dikkat çekilmiştir. Bankaların ilgili kişilere yapmış oldukları bilgilendirme dışında kalan durumlarda da kişisel verilerin elde edildiği aşamalarda, ilgili kişiye amaca uygun ilave bir bilgilendirme yapılması önerilmiştir.

Rehber'de zaman ve yer kısıtı olan kanallarda ve ilgili kişiye doğrudan aydınlatma metninin gösterilmesinin ya da okunmasının mümkün olmadığı durumlarda, katmanlı aydınlatma yapılmasının yeterli olabileceği belirtilmiştir. Bu durumda, yönlendirmeden önce ilgili kişiye veri sorumlusunun kimliği ve veri işlemenin amacı gibi temel bilgilerin sunulduğundan emin olunması, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmesi gerektiği hatırlatılmıştır.

Rehber'de, katmanlı aydınlatmaya örnek olarak; online (çevrimiçi) bir formun doldurulması suretiyle veri toplanması sırasında verinin toplandığı yerler, güvenlik kamerası barındıran yerler, çağrı merkezleri veya benzeri ses kayıt barındıran sistemler, internet veya mobil bankacılık ara yüzleri, ATM'ler veya SMS kanalıyla bilgilendirmede kullanılabilecek karakter sayısının izin verdiği ölçüde yapılan açıklama dışında ilgili kişinin banka internet sitesinde yer alan aydınlatma metinlerine yönlendirilmesi sayılmıştır.

b) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Zaman

Rehber'de aydınlatma yükümlülüğünün veri sorumlusu tarafından kural olarak kişisel verinin elde edilmesi aşamasında yerine getirilmesi gerektiği belirtilmiştir. Ancak; veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmemesi halinde; veri sorumlusu tarafından ilgili kişiyi aydınlatma yükümlülüğü kişisel verinin elde edilmesi aşamasından sonra yerine getirilebileceği de hatırlatılmıştır.

Böyle durumlarda aydınlatma yükümlülüğünün; (i) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, (ii) kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, (iii) kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada yerine getirilmesi gerekmektedir.

c) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Usul

Rehber'de, bankacılık sektörü açısından aydınlatma yükümlülüğünün (i) şube, (ii) internet sitesi, (iii) internet şube, (iv) mobil şube ve mobil uygulama, (v) çağrı merkezi/IVR, (vi) elektronik posta, (vii) fiziki posta, (viii) SMS ve (ix) ATM kanalları aracılığıyla yerine getirilebileceği belirtilmiştir.

Rehber kapsamında bazı kanallarda kullanılmak üzere önerilen örnek aydınlatma metinlere aşağıda yer verilmiştir. Bahse konu örnek metinler bağlayıcı olmamakla birlikte, yöntemi göstermek amacıyla belirtilmiştir.

  • Çağrı Merkezi/IVR: Rehber'de, ilgili kişiye görüşmenin başında bir tuşa basma seçeneği sağlanarak aydınlatma metnini dinlemek isteyenlere aşağıdaki örnek metin sunulabileceği belirtilmiştir.

Kişisel verilerinizin ne şekilde işlendiğine dair aydınlatma metnini dinlemek için 1'e, daha önce bu konuda bilgilendirildiyseniz, dinlemeden ilerlemek için 2'ye basınız.

Bu doğrultuda 1'e basarak metni dinlemeye karar veren kişilere dinletilecek ses kaydında, metnin tamamının ilgili kişiye dinletilmesinin öncesinde bu metinlerin erişilebileceği diğer ortamların ifade edilmesi halinde, bu ifade okunduktan sonra bağlantının kesilmesi ya da ilgili kişinin telefonu kapatması durumlarında da veri sorumlusu banka, aydınlatma yükümlülüğünü yerine getirmiş olacaktır. Benzer şekilde, 2'ye basarak metni dinlememeye karar veren kişiler yönünden de aydınlatma yükümlülüğü yerine getirilmiş olacaktır.

  • SMS: Rehber'de, SMS kapsamında aşağıdaki örnek metin sunulabileceği belirtilmiştir.

….. tarafından hazırlanan kişisel verilerinizin işlenme ve aktarılma amacı, toplanma yöntemi, hukuki sebep ve haklarınıza ilişkin aydınlatma metnine ulaşmak için tıklayınız.

  • ATM: Rehber'de, ATM'lerde aşağıdaki örnek metin sunulabileceği belirtilmiştir.

….. tarafından hazırlanan kişisel verilerinizin işlenme ve aktarılma amacı, toplanma yöntemi, hukuki sebep ve haklarınıza ilişkin aydınlatma metnine ulaşmak için buton/menü'yü tıklayabilirsiniz/ metne … linkinden (*) ulaşabilirsiniz.

d) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Özel Durumlar

Rehber kapsamında yer verilen aydınlatma yükümlülüğünün yerine getirilmesindeki özel durumlara aşağıda yer verilmiştir:

  • İmza Yetkilileri ve Gerçek Faydalanıcıların Aydınlatılması: Bahse konu kişiler yönünden aydınlatma yükümlülüğünün, temsilciyi atayan tüzel kişiye ait olduğu ve bankalarca ayrıca bir aydınlatma yapılmasına gerek bulunmadığı belirtilmiştir.
  • Risk Grubundakilerin Aydınlatılması: Kurul'un 26/07/2018 tarihli ve 2018/92 sayılı Kararı ile de hükmedildiği üzere bankalarca; bankaların kredi kullandırım faaliyetlerinde kredi başvurusunda bulunan kişilerin “Risk Grubu”nda bulunan ilgili kişilerin kişisel verilerinin işlenmesi faaliyeti sınırları dahilinde, bir başka deyişle sadece bu faaliyet özelinde yerine getirilecek aydınlatma yükümlülüğünün, 5411 sayılı Kanunun 73'üncü ve 159'uncu maddeleri ile 5237 sayılı Türk Ceza Kanununun 239'uncu madde hükümleri dikkate alınmak suretiyle, her bir kredi kullandırım işlemi özelinde “risk grubu”nda bulunan ilgili kişilerin tek tek aydınlatılması suretiyle değil de, kolayca erişilebilecek şekilde (internet sitesi marifetiyle vs.) ve sadece “Risk Grubu” faaliyetleri bakımından genel bir aydınlatma yapılabileceği belirtilmiştir.
  • Varlığın Sahibi Dışındaki Kişilere İlişkin Kişisel Verilerin ve Çek ­Senetlerde Son Ciranta Dışındaki Kişilerin Kişisel Verilerinin İşlenmesi: Bu tip verilerin bankaca üzerinde analiz gerçekleştirilmeye uygun şekilde sınıflandırılmadığı (örneğin varlığın eski sahibine veya onay vermiş tapu sicil memuruna göre sorgulanamadığı) durumlarda bunun Kanun'da tanımlanmış “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleme” kapsamındaki bir veri işleme faaliyeti olmadığı ve dolayısıyla bankaların bu kişilere karşı herhangi bir aydınlatma yükümlülüğü bulunmadığı belirtilmiştir.
  • Maaş Ödeme Anlaşmaları: Maaş ödemeleri konusunda, kişisel verilerin ilgili kuruluştan bankalara aktarılmasında aydınlatma yükümlülüğünün veri sorumlusu sıfatını haiz kuruluşta olduğu belirtilmiştir. Söz konusu kişisel verilerin elde edilmesinden sonraki süreçte ise bankacılık faaliyetlerine ilişkin aydınlatma yükümlülüğünün bankalarda olduğu vurgulanmıştır.

    Bu doğrultuda bankaların, veri kayıt sisteminde tuttuğu söz konusu kişisel veriler için (i) kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, (ii) kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında, (iii) kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
  • Kredi Kartları ve Banka Kartları İşlemleri: Bankalar kart sahibi müşterilerinin kartlarını farklı banka cihaz ve poslarında kullanmaları halinde hangi verilerinin üçüncü kurum ve kuruluşlara aktarılacağı konusunda aydınlatmakla yükümlü olduğu belirtilmiştir. Bu durumlarda cihaz veya pos sahibi bankaların ikinci kez aydınlatma yükümlülüğü bulunmamaktadır.

(ii) VERBİS, Sicile Kayıt ve Veri Envanteri Hazırlama Yükümlülüğü

Rehber'de, veri sorumlusu olan bankaların da VERBİS'e kayıt yükümlülüğünün mevcut olduğu vurgulanmıştır. Ek olarak, veri sorumlusu veya veri işleyen sıfatıyla veri işleyen bankaların, hazırlamakla mükellef oldukları kişisel veri işleme envanterinin hazırlanmasına dair düzenlemelere detaylı olarak yer verilmiştir. VERBİS'de yer alan bilgiler ile envanterde yer alan bilgilerin tutarlı ve güncel olması önem arz etmektedir.

Rehber'in devamında, envanterde yer alacak veri kategorileri incelenmiş ve bankacılığa özgü örnekler gösterilmiştir. Bu kapsamda öne çıkan örneklere aşağıda yer verilmiştir:

  • Bankacılığa Özgü Veri Kategorileri: Finansal işlem kayıtları, borç/bakiye bilgileri, finansal istihbarat ve takip verileri, kredi risk skor bilgileri, finansal dolandırıcılık/ fraud verileri.
  • Bankacılığa Özgü Kişi Grupları: Başvuru sahibi, lehtar, kefil, garantör, hukuki halef, müşterek borçlu, risk grubunda yer alan kişiler için birinci derece yakınları, hissedar.
  • Bankacılığa Özgü Alıcı Grupları: Banka iştirakleri ve grup firmaları, resmi kurumlar, Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik kapsamında tanımlanmış olan destek hizmeti kapsamındaki firmalar, destek hizmeti kapsamının dışındaki hizmet alınan taraflar, eğitim firmaları, bağımsız denetim firmaları, varlık yönetim şirketleri, KKB / Risk merkezi gibi risk değerlendirme kurumları, muhabir bankalar, talimatlandırılmış hizmetler kapsamında finansal işlem kayıtlarının paylaşıldığı diğer finansal kuruluşlar.
  • Bankacılığa Özgü Azami Süreler: Bankalar, varlık durumu ve para hareketlerine dair her türlü araştırma ve raporlama verisini sağlayabilecek en temel ve tekil kuruluş olduğundan, saklama süreleri belirlenirken, teamülde resmi kurumların ihtiyaç duyduğu verilerin tarih aralığı da dikkate alınması gerektiği vurgulanmıştır. Bu durumun bazen, bazı finansal verilerin kişiyi direkt olarak tarifleyen verilerden arındırılarak süresiz olarak saklanmasını gerektirebileceği belirtilmiştir. Ek olarak, azami süreler konusunda referans alınabilecek çeşitli düzenlemelere yer verilmiştir.

(iii) Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Yükümlülüğü

Rehber'de kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi yükümlülüğü; bankacılıkta bilgilerin saklanması, işleme amacının ortadan kalkması ve imha yöntemleri olmak üzere üç grup halinde incelenmiştir. Bu kapsamda, ilgili mevzuat hükümlerine yapılan atıfla, bankaların gerçekleştirdiği işlemlerle ilgili belgeleri 10 yıl süreyle saklama yükümlülüğü bulunduğu belirtilmiştir.

İşleme amacının ortadan kalkması durumu için ise, bankacılık açısından işleme amacının Bankacılık Kanunu'nun 4'üncü maddesinde belirlenen faaliyetlerin gerçekleştirilmesi ve mevzuat ile belirlenen yasal saklama sürelerine uyulması olarak özetlenebileceği belirtilmiştir. Bununla birlikte, işbu amacın her banka tarafından hazırlanacak kişisel veri işleme envanterinde ve saklama ve imha politikasında belirtileceği ifade edilmiştir. Ek olarak, Rehber'de sıralanan durumların tamamının birlikte gerçekleşmesi halinde, sürekli iş ilişkisi tesis edilen müşterilerle ilgili ilk işleme amacının ve kişisel verilerin saklanması suretiyle işlenmesi amacının ortadan kalkacağı örnek olarak gösterilmiştir.

Rehber'de Kanun'da geçen işleme amacı kavramının, bankacılıkta ürün, hizmet, faaliyet bağlamında ve süreç bazında değerlendirilebileceğine ve imha işleminin gerçekleştirilmesi için söz konusu ürün, hizmet, faaliyet veya sürecin sona ermesinin ve bunlara ilişkin veri imha politikasında belirtilen saklama sürelerinin sona ermiş olması koşulunun sağlanmasının gözetileceğine dikkat çekilmiştir. Bu doğrultuda, her bir bankanın kendi kaynaklarını, veri ve süreç mimarisini göz önünde bulundurarak kısa, orta ve uzun vadeli imha hedeflerini belirlemesi ve işbu hedefler tesis edilinceye kadar işleme amacı sona eren kişisel verilerin imhasında kendi sistemine uygun teknik ve idari tedbirleri alması gerektiği vurgulanmıştır.

Rehber'de veri sorumlularına seçimlik olarak tanınan silme, yok etme ve anonim hâle getirme şeklindeki Kişisel Veri İmha Yöntemlerine Dair Yönetmelik'in 7 ilâ 10'uncu maddelerindeki tanımlara yer verilmiş ve Rehber'e her bir imha yöntemine ilişkin teknik açıklamaya, uygulanabilecek tekniklere, avantajlara, dezavantajlara, muhtemel risklere ve uygulanabilecek örnek bankacılık uygulamalarına yer veren tablolar eklenmiştir.

(iv) Veri Güvenliği Yükümlülüğü

Veri sorumlusu sıfatını haiz bankalar, Kanun madde 12 uyarınca veri güvenliğini sağlamakla yükümlüdür. Rehber'de, veri güvenliği konusunda bankaların, başta 5411 sayılı Bankacılık Kanunu, 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu ve sermaye piyasası mevzuatı olmak üzere ulusal ve uluslararası çeşitli düzenlemeler kapsamında tabi oldukları yükümlülüklerinin, Kanun'dan kaynaklanan yükümlülüklere uyulmasına önemli bir katkı sunduğu belirtilmiştir.

Buna göre, faaliyetleri gereği üst seviyede veri güvenliği sağlamakla yükümlü olan ve bu konuda düzenli olarak denetlenen bankaların veri güvenliği konusunda aldığı tedbirler ile Kurul'un güvenlik standartları örtüşmektedir.

(v) İlgili Kişinin Hakları ve Şikâyetlerin Yönetilmesi

Rehber'de Anayasa'nın 20'nci maddesine yapılan atıfla, kişisel verilerin korunmasını isteme hakkının anayasal bir hak olduğu belirtilmiştir. Kanun'un 3'üncü maddesine yapılan atıfla, yalnızca gerçek kişilerin veri sorumlusuna başvurabileceği hatırlatılmıştır. İlgili kişinin Kanun'un 11'inci maddesinde sayılan haklarını kullanabilmesi için ve Kurul'a şikayette bulunabilmesi için öncelikle veri sorumlusuna başvuru yolunun tüketilmesi gerektiği de hatırlatılmıştır.

Rehber'de ilgili kişinin veri sorumlusuna başvurmasının ardından başvuru reddedilirse, başvuru neticesinde verilen cevap ilgili kişi tarafından yetersiz bulunursa veya başvuruya süresinde cevap verilmezse ilgili kişinin Kurul'a şikayette bulunabileceği belirtilmiştir. Ayrıca, kişisel verileriyle ilgili bilgi talep eden ilgili kişinin kimlik tespitinin yapılabiliyor olmasının, başvurusunun kabul edilebilir olabilmesi için zorunlu olduğu ve ilgili kişinin başvurusu ile birlikte kimliğini tevsik edici belgeleri de Kurul'a ulaştırması gerektiği hatırlatılmıştır. Aksi takdirde üçüncü bir kişiye, bir başkası hakkında kişisel veri niteliğinde bilgilerin iletilmesi ile veri güvenliğinin ihlaline sebebiyet verilmesi söz konusu olacaktır.

IV. SONUÇ

Rehber, bankaların kişisel veri işleme faaliyetlerini ve kişisel verilerin korunması alanında uymaları gereken usul ve esasları detaylı şekilde ele almış ve iyi uygulama örnekleri ile açıklamıştır. Böylece uygulamada ortaya çıkabilecek sorular cevaplandırılmış ve tereddütler ortadan kaldırılmıştır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.