Bankacılık Sektöründe Kişisel Verilerin Korunması Alanında Yaşanan Gelişmeler
Sürekli regülasyona tabi tutulan ve kişisel verilerin yoğun bir şekilde işlendiği bankacılık sektöründe, geçtiğimiz son iki aydan bu yana veri koruma hukuku alanında önemli gelişmeler yaşanmaktadır. Bankacılık Kanunu’nun 73. Maddesinde değişiklik yapılmış ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik yayımlanmıştır. Mevzuat gelişmeleri incelendiğinde, Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) getirdiği veri koruma rejiminden yer yer ayrılan, özellikle veri aktarımı konusunda sektör bazında farklı uygulamaların benimsendiği görülmektedir.
5411 Sayılı Bankacılık Kanununda Yapılan Değişikliklerin Değerlendirilmesi
25 Şubat 2020 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren “Bankacılık Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun“un 10. Maddesi ile 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73. Maddesine aşağıda yer alan hükümler eklenmiştir.
‘’Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.’’
‘’Sır niteliğindeki bilgilerin, üçüncü ve dördüncü fıkralar uyarınca yapılacak paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Kurul yetkilidir.’’
Müşteri Sırrı
Değişiklik yapılmadan önce, Bankacılık Kanunu’nda müşteri sırrı ifadesi yer almakla birlikte, bu kavrama ilişkin herhangi bir tanıma yer verilmemişti. Müşteri sırrı, Bankacılık Kanunu’nun 4. maddesinde sayılan bankacılık faaliyetleri kapsamında bankayla herhangi bir şekilde hukuki ilişki kuran ya da kurmak üzere olan kişilerin iktisadi, mali, ticari ve mesleki durumları hakkında bankanın edindiği her türlü bilgiler ile bu kişilerin yararlandıkları ya da yararlanmak istedikleri bankacılık hizmetlerine ya da kurulan hukuki ilişkiye ait bilgilerdir. Örneğin bir bankanın, kredi kullandırdığı kişilerin iktisadi, mali ve ticari durumu hakkında edindiği bilgiler müşteri sırrı olduğu gibi; kredi başvurusunu kabul etmediği kişiler hakkında edindiği bilgiler de müşteri sırrıdır.[1]
Yapılan değişikliğin ilk cümlesinde müşteri sırrının Kanunda açıkça tanımladığı görülmektedir. Söz konusu tanıma göre, müşteri sırrı bankanın faaliyetlerine özgü olarak “müşteri ilişkisi kurulduktan sonra oluşan verileri” kapsamaktadır. Madde lafzına bakıldığında, bankanın ilk defa müşteri kaydı yaptıktan sonra, yani müşteri ilişkisi kurulduktan sonra, ilk kez oluşan örneğin müşteri numarası, hesap numarası gibi ve devamında bankacılık faaliyetleri kapsamında oluşacak olan kişisel verilerin tamamının müşteri sırrı kapsamında yer alacağı anlaşılmaktadır. Bu tanımdan hareketle, müşteri ilişkisi kurulmadan önce bankanın ilgili kişilerden veya çeşitli kanallardan topladığı kişisel verilerin müşteri sırrı olarak kabul edilmediği sonucuna ulaşılmaktadır. Örneğin kredi başvurusu olumsuz sonuçlanan bir kişinin, bankaya verdiği bilgiler sır kapsamında kabul edilmeyecektir. Gerçekten de aşağıda yer alan madde gerekçesinde, bankanın sözleşme öncesi topladığı kişisel verilerin bilinçli olarak müşteri sırrı kapsamı dışında bırakıldığı ifade edilmiştir.
“Gerçek kişi müşterilerin bankalar ile müşteri ilişkisine girmeden önce de var olan ve bankalar dışında pek çok şirket, kuruluş tarafından da işlenmekte olan adres, telefon bilgisi, lokasyon bilgisi gibi genel nitelikteki kişisel veriler için yalnızca 6698 sayılı Kanunun uygulama alanı bulacağı; banka ile müşteri ilişkisi kurulduktan sonra oluşan gerçek kişilere ait bankacılık faaliyetlerine özgü mevduat bilgisi, krediler, kredi skoru, hesap hareketleri gibi bilgiler için ise hem Bankacılık Kanununun sır saklamaya ilişin yükümlülüklerinin hem de Kişisel Verilerin Korunması Kanunu hükümlerinin uygulama alanı bulacağı, ancak sır kapsamındaki müşteri bilgileri için Bankacılık Kanunu hükümlerinin özel nitelikli kanun hükümleri olarak ele alınması gerektiği belirtilmektedir.”[2]
Müşteri ilişkisi kurulmadan önce banka tarafından ilgili kişiye ait toplanan kişisel verilerin bankacılık faaliyetleri bakımından işlenmesinin zorunlu olduğu durumlarda, bu kişisel verilerin sır kapsamına girip girmeyeceği, nasıl ayrıştırılacağı, sınırlarının nasıl çizileceği veya bankanın 3. kişilerden elde ettiği müşterisine ait verilerin sır kapsamında mı alınacağı gibi hususlar soru işaretlerine sebep olmaktadır. Sonuç olarak banka nezdinde müşterilere ait bütün kişisel veriler “müşteri sırrı” olarak değerlendirilecek ve sır kapsamındaki kişisel veriler için de özel kanun olarak değerlendirilen Bankacılık Kanunu uygulanacaktır.
Müşteri Sırrı Niteliğindeki Verilerin Aktarılması
Değişiklikte dikkat çeken en önemli nokta, müşteri sırrı olarak kabul edilen kişisel verilerin aktarılması konusudur. Müşteri sırrı niteliğindeki bilgilerin, Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve aktarılamayacağı düzenlenmiştir.
Madde gerekçesinde Bankacılık Kanunu ve alt düzenlemeleri ile KVKK arasındaki uygulamada var olabilecek tereddütlerin giderilmesi amaçlandığı vurgulanmış olsa da,bu değişiklik uygulamada daha çok tereddüt yaratacak niteliktedir. Banka müşterisinden, usulüne uygun alınmış geçerli bir açık rızanın mevcut olması halinde, bu rızanın geçersiz kabul edilmesi ve veri aktarımı için banka müşterisinden ayrıca bir talep ya da talimat beklenmesi anlamsızdır.
KVKK madde 3’te, açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. KVKK’nın gerekçesinde de belirtildiği gibi, 95/46 EC sayılı Avrupa Birliği Direktifine göre açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Kanun çerçevesinde rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza bu anlamda, rıza veren kişinin “olumlu irade beyanı” niteliğindedir.[3]
Burada belirtmek gerekir ki bankanın iş süreçlerinde, müşteri verisi işlemesinin tek meşru şartı açık rıza değildir. Öyle ki, 6698 sayılı Kanunda öngörülen diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi sonucunu doğuracak ve açık rızayı sakatlayacaktır. KVKK’ya uyum çerçevesinde, bazı iş süreçlerinde (örneğin; yurtdışına veri aktarımı veya özel nitelikli kişisel verilerin işlenmesi gibi) zorunlu olarak müşteriden açık rıza almak durumda kalan bankanın, söz konusu iş süreçlerinde, veri aktarımı gerektiğinde, veri işlemenin hukuki sebebi de bir noktada geçersiz sayılmakta ve aktarım için müşteriden ayrıca bir talep beklenmektedir. Değişikliğin temelinde, banka tarafından alınan açık rızaların müşteriden özgür iradesi ile alınmadığı ve paket rızalar alınarak KVKK’ya yeterince riayet edilmediği gibi bir yaklaşım bulunmaktadır. Madde gerekçesine bakıldığında da kanun koyucunun bu konudaki kaygıları açıkça görülmektedir.
“Öte yandan, sır saklama ödevinin yükümlüsü olan bankaların kanunların tanıdığı bir istisna ya da herhangi bir mecburiyet bulunmadığı halde, 6698 sayılı Kanun uyarınca kendi belirleyecekleri amaç ve yöntemler için ve kendi hazırlayacakları rıza metinleri ile bu yükümlülüklerini delmeleri yasaklanmakta, bu kapsamda, sır saklama yükümlülüğünün bankanın aktif rol aldığı rıza metni yöntemiyle değil, sır sahibi müşterinin aktif rol aldığı ‘’müşterinin talebi ya da talimatı’’ yöntemiyle kaldırılabilmesini sağlamak amacıyla düzenleme yapılmaktadır. Bunun yanında, madde 5411 sayılı Kanunun 73. Maddesinin 4. Fıkrası uyarınca sır saklama yükümlülüğünden istisnaya tabi tutulan tarafların bu kolaylığı suiistimal ederek fıkrada belirtilen amaçlarla orantılı olmayacak şekilde sır niteliğindeki bilgileri paylaşmalarının önüne geçilmesi amaçlanmaktadır.”
Önemle altını çizmek gerekir ki müşteri sırrı niteliğindeki kişisel verilerin, Bankacılık Kanunu madde 73’te sayılan istisnalar haricinde, yurtiçindeki veya yurtdışındaki üçüncü kişilerle aktarılması konusunda bir ayrım yapılmamıştır. İstisnalara örnek olarak bankaya destek hizmeti sağlayan bir arşiv şirketi ile müşteri sırrı niteliğinde kişisel verilerin aktarımı söz konusu olduğunda, müşteriden ayrıca bir talimat alınmasına gerek olmayacaktır. İstisnalar dışında kalan tüm aktarımlar için daha önce açık rıza alınmış olsun veya olmasın müşteriden bir talep ya da talimat alınması gerekmektedir. Esasında kanunda zikredilen talep ya da talimat doğası gereği bir rıza beyanı olarak değerlendirilmelidir. Zira açık rızanın tüm unsurlarının da burada yer alması gerekmektedir; müşteri belirli bir konudaki veri aktarımı için bilgilendirilmeli ve aktif bir olumlu irade beyanı koymalıdır. Müşteri açısından kişisel verilerinin paylaşılmasına yani işlenmesine sürekli aktif bir davranışta talimat verme yani rıza verme zorunluluğu bir süre sonra kişiyi hissizleştirebilir. Rıza yorgunluğu olarak adlandırılacak bu durumda kişilerin veri işlemeye yönelik rızaların talep edilmesi anlamını kaybeder.[4] Değişiklik ile öngörülen bu talep-talimat sürecinin nasıl yönetileceği, bu süreçlerde banka ve müşteri arasında nasıl bir sistem kurgulanacağı, kanuna uyum için yerleşik uygulamada ne gibi hususların değişeceği ise ilerleyen dönemlerde kendisini gösterecektir.
Müşteri sırrı niteliğindeki verilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirleme ve bunlara ilişkin sınırlamalar getirme yetkisinin Bankacılık Düzenleme ve Denetleme Kurulu’nda olduğu değişiklikte ifade edilmiştir. Bu açıdan madde 73 kapsamında veri ihlaline sebep olan bir banka hakkında hem BDDK hem de Kişisel Verileri Koruma Kurulu tarafından karar alınabilecektir.
Hemen belirtmek gerekir ki Kanun ile yapılan değişiklikler için herhangi bir intibak süresi bulunmamakla birlikte Türkiye Bankalar Birliği geçtiğimiz ay değişikliklerin uygulanmasına yönelik olarak üyelerinden görüş ve önerileri toplamış ve BDDK’ya iletmiştir. Bu aşamada BDDK’nın ilgili değişiklikleri nasıl değerlendirip uygulamaya koyacağı merak konusudur.
Müşteri Sırrı Niteliğindeki Verilerin Yurtdışına Aktarılması
Değişiklikte dikkat çeken ve tartışmalara sebep olan bir diğer önemli husus, BDDK’ya, ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı niteliğinde olan her türlü verinin, yurtdışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklama yetkisi tanınmasıdır.
Burada akla gelmesi uzak bir ihtimal de olsa, bankanın yabancı ülkedeki veri sorumlusuna veri aktaracağı somut bir olayda, KVKK madde 9/2-b kapsamında alınan bir iznin bulunması halinde, BDDK tarafından aksi yönde bir kararla bu aktarıma yasaklama getirilebilecektir.
Ayrıca Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip ülkeler (güvenli ülkeler) henüz ilan edilmemiş olsa da BDDK yurtdışına veri aktarımını yasaklama yetkisini kullanırken ilgili listeyi referans alabileceği tahmin edilmektedir.
Son olarak, değişiklikle; sır saklama yükümlülüğünden istisna olan hallerde yapılacak aktarımlar da dahil olmak üzere müşteri sırrı ve banka sırrı niteliğindeki verilerin, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla aktarılabileceği belirtilmiştir. Veri aktarımı konusunda KVKK rejiminden ayrılan Bankacılık Kanunu’nun, aynı zamanda KVKK temel ilkelerini benimsendiği görülmektedir.
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Değerlendirilmesi
Bankacılık Düzenleme ve Denetleme Kurumu tarafından 25.12.2018 tarihinde kamuoyu görüşüne açılan, 15.03.2020 tarihinde Resmi Gazetede yayımlanarak yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik kişisel verilerin korunmasına ilişkin dikkat çekici düzenlemelere yer vermektedir. Hemen belirtmek gerekir ki Yönetmeliğin yürürlük tarihi 01.07.2020 olup Covid-19 salgını sebebi ile bir süre uzatımı olmazsa, bankaların bu tarihe kadar yönetmelikte öngörülen yükümlülükler bakımından uyum çalışmalarını tamamlamış olmaları gerekmektedir.
Açık Rıza, Kişisel Veri
Yönetmeliğe ilk bakışta açık rızanın Kişisel Verilerin Korunması Kanununda yer alan aynı şekliyle tanımlanmış olduğu, kişisel verinin de “24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda tanımlanan kişisel veriyi” ifade ettiği bilgisi göze çarpmaktadır.
Hassas Veri
Yine tanımlar bölümünde KVKK’daki, özel nitelikli kişisel veriler ile aynı anlamda kullanılan hassas verinin, KVKK terminolojisinden farklı şekilde tanımladığı görülüyor.
“***Hassas veri: Kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki verileri,***”
Taslak yönetmelikte “Sır niteliğindeki veriler ile kimlik doğrulamada kullanılan verileri” şeklinde tanımlanan hassas verinin Resmi Gazetede yayımlanan hali ile daha ayrıntılı şekilde düzenlendiği görülmektedir. Taslak metinden “sır niteliğindeki verileri” ibaresinin çıkartılmış olması dikkat çekici niteliktedir. Zira Kanunun 73. Maddesine göre sır niteliğindeki müşteri verisinin, bankacılık faaliyetleri kapsamında oluşacak olan kişisel verilerin tamamı olacağına daha önce değinilmişti. Burada hassas veriler ile özellikle kimlik doğrulama için kullanılan müşteriye ait parola, pin, avuç içi, vb. gibi işlem güvenliğini sağlamak ve özellikle elektronik bankacılık hizmetlerinde müşterinin ayırt edilmesini sağlamak amacıyla kullanılan veriler kastedilmektedir.
Verilerin Paylaşılması
Yönetmeliğin “Verilerin Paylaşılması” başlıklı 10. maddesinde, Bankacılık Kanunu’nun 73. maddesinde yapılan değişikliğe paralel bir düzenleme getirilmiştir.
“Banka, müşterinin kendisinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, Kanunda yer alan istisnai haller haricinde yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamaz ve bunlara aktaramaz.”
Ayrıca müşteri sırrı niteliğindeki verilerin aktarımına ilişkin müşteri taleplerinin ise yazılı şekilde veya kısa mesaj, elektronik posta vb. ile gerektiğinde ispatı sağlanabilecek şekilde yapılması gerektiği öngörülmüştür.
Aynı maddenin devamında da açık rızanın şarta bağlanamayacağı ifade edilmiştir.
“Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.”
Örneğin banka tarafından müşteriyle yapılan hizmet sözleşmesinin bir parçası olarak, müşterinin ödeme detaylarının üçüncü kişilerle pazarlama amacıyla paylaşılmasına yönelik rıza alınması durumunda, özgür bir biçimde verilmiş rızadan söz edilemez. Sözleşme konusu bankacılık hizmeti açısından doğrudan gerekli olamayan bu veri işleme faaliyetine yönelik rıza, hizmetin ön şartı haline getirilmiş olup dolayısıyla özgür bir biçimde verilmiş olma koşuşunu sağlamadığı için geçersiz olacaktır.[5] Özellikle Yönetmelikte de ayrıntılı şekilde düzenlenen açık bankacılık uygulamalarının hayata geçeceği ve müşteri verilerinin daha da önem kazanacağı bu dönemde, KVKK rejimi bakımından çok yerinde bir düzenleme yapılmıştır. Fakat Bankacılık Kanunu madde 73’te, açık rızanın yok sayılması, Yönetmelikte ise açık rızanın tanımlanması ve şartlarından söz edilmesi uygulama bakımından bir tutarsızlık oluşturmuştur. Zira kanunda müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve aktarılamayacağı ifade edilmiştir. Bu açıdan Kanun ile Yönetmelik arasında bir uyumsuzluk söz konusudur.
Bilgi Varlıkları Envanteri
Yönetmeliğin 6. maddesinde bilgi varlığı tanımı yapılmıştır. Buna göre, bilgi varlığı; bankacılık faaliyetlerinin yürütülmesinde kullanılan veriler ile bu verilerin taşındığı, saklandığı, iletildiği veya işlendiği sistem, yazılım, ağ cihazları, BT donanımları, iş süreçleri gibi banka için değeri olan varlıklar olarak ifade edilmiştir.
Bankalara, bilgi varlıklarının güvenlik gereksinimlerine uygun kontroller tesis etmek için bu varlıkları sınıflandırarak detaylı bir varlık envanteri hazırlama yükümlülüğü de getirilmiş ve hazırlanacak olan varlık envanterinde kişisel veri olup olmadığı bilgisi dahil edilmesi gerektiği belirtilmiştir.
Yönetmeliğin 8. maddesi uyarınca banka yönetimi tarafından bilgi güvenliği komitesi oluşturulması öngörülmüş, bilgi varlıklarının nasıl sınıflandırılacağına yönelik olarak da bilgi güvenliği komitesi tarafından onaylı bir varlık sınıflandırma kılavuzu hazırlanması, varlıkların güvenlik sınıfı belirlenirken gizlilik derecesi, hassas veri, kişisel veri ya da sır kapsamındaki veri olup olmadığı, bütünlük ve erişilebilirlik gereksinimi, saklama süresi ve asgari yedekleme sıklığı gibi kriterler göz önünde bulundurulması gerektiği hüküm altına alınmıştır.
Veri Güvenliği Tedbirleri ve Veri İhlali Bildirimi
Bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde; ağ güvenliği, kimlik doğrulama ve işlem doğrulama gibi birçok konuda kişisel verilerin korunmasına ilişkin dari ve teknik tedbir alma zorunluluğu getirilmiştir.
Bankalara, bünyelerindeki siber olayların yönetimi ve siber olaylara müdahale amacıyla yeterli teknik ve operasyonel becerilere sahip bir kurumsal siber olaylara müdahale ekibi (“KSOME”) kurulması yükümlülüğü getirilmiştir. Banka bünyesinde oluşturulacak Kurumsal SOME, siber olayları BDDK’ya ve bankanın ilgili yönetim birimlerine raporlayacaktır. (Madde 18/1) Hassas verilerin ya da kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayın yaşanması halinde banka tarafından müşterilerin bilgilendirilmesi yükümlülüğü de Yönetmelik ile gelen yenilikler arasında yer almaktadır. Yönetmelik bu açıdan KVKK’ya paralel bir yaklaşım halindedir. (Madde 18/5)
Yönetmelikte dikkat çekici bir diğer hüküm de, bankaların sunmakta olduğu bankacılık hizmetlerine yönelik reklam hizmeti almak istediği arama motoru ve sosyal medya platformu gibi çevrimiçi reklam sağlayıcıların, banka adına verilen sahte reklamları engellemeye yönelik tedbirleri alıp almadığını kontrol etme ve uygun tedbirleri almayan sağlayıcılardan reklam hizmeti alımın yasaklanmasıdır. Reklam ücretini ödeyen herkesin kolaylıkla banka adıyla sahte hesap açıp dolandırıcılık yaptığı sosyal medya sitelerindeki bu phishing (oltalama) girişimlerini önlemeye yönelik yerinde bir düzenleme olmuştur. Bankalar, sahte reklam yayımlanması durumunda, müşteriyi korumak adına, olaya özel gerekli bilgiyi alabileceğine dair hükümleri de bu platformlar ile yapacakları sözleşmelere ekletmek zorundadırlar. Bu kurallar bankaların anlaştığı aracı firmalar ile yapılan sözleşmeler için de aynı şekilde uygulanacaktır.
TBMM Kamu Denetçiliği Kurumu (Ombudsmanlık) Kararı
Mevzuatta bu gelişmeler yaşanırken TBMM Kamu Denetçiliği Kurumu (Ombudsmanlık) tarafından bankalar ve finans kuruluşlarına yönelik, kişisel verilerin korunması alanında tartışılacak bir karar alınmıştır.
TBMM Kamu Denetçiliği Kurumu’na bir banka müşterisi tarafından yapılan başvuruda, bankacılık işlemlerinde müşterinin kimlik tespitinde, cep telefonu bilgisinin talep edilmesinin hukuka aykırı olduğu iddiası ileri sürülmüştür. Başvuru üzerine, müşterinin kimlik tespitinde, cep telefonu numarasının, alınması zorunlu bilgiler arasında bulunmadığı; bu bilgiyi elde etmeye yönelik uygulamanın, KVKK’nın genel ilkelerini düzenleyen 4. maddesini ihlal ettiği sonucuna varılarak, bankacılık işlemlerinde cep telefonu bilgisinin talep edilmesi uygulamasının bankacılık sektöründe yer alan tüm aktörler nezdinde sonlandırılması gerektiğine karar verilmiştir.[6]
BDDK’ya gönderilen kararının gerekçesinde atıf yapılan “Suç Gelirlerinin Aklanmasının Ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik” madde 6’da “Gerçek kişilerin kimlik tespitinde; …varsa telefon numarası..alınır…” hükmü, KVKK’da öngörülen veri sorumlusunun hukuki yükümlüğü olarak değerlendirilmeyerek, özellikle söz konusu ilkelere uyum için ilgili kişiden alınacak verilerin kanunda açıkça belirtilmiş olması gerektiği aksi durumun ilkelere aykırılık teşkil ettiği, bankacılık işlemlerinde alınan verilerin sadece mevzuata uyum amacı ve kanunlarda açık öngörülme şartı doğrultusunda işlenebileceği şeklinde karar verilmiştir.
İlgili tavsiye kararına karşı, Türkiye Bankalar Birliği üyelerinden görüş toplamış ve BDDK’ya iletmiştir. Söz konusu kararı BDDK’nın nasıl değerlendireceği merakla beklenmektedir.
Dipnotlar
- Dr. Yaşar ALICI, Bankacılık Kanunu Şerhi, İstanbul, 2017, s.1289. ↩︎
- Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un teklif metni: https://www2.tbmm.gov.tr/d27/2/2-2596.pdf ↩︎
- Kişisel Verileri Koruma Kurumu’nun Açık Rıza Rehberi: https://kvkk.gov.tr/yayinlar/AÇIK RIZA.pdf ↩︎
- Furkan Güven TAŞTAN, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2017, s.166 ↩︎
- Doç. Dr. Murat Volkan DÜLGER, Kişisel Verilerin Korunması Hukuku, 2019, s.145. ↩︎
- TBMM Kamu Denetçiliği Kurumu’nun 09.03.2020 Tarih ve 22873068- 5913 Sayılı Kararı ↩︎
Bu yazının orijinali Lexpera Blog’ta yayınlanmaktadır. Kaynak: https://blog.lexpera.com.tr/bankacilik-sektorunde-kisisel-verilerin-korunmasi-alaninda-yasanan-gelismeler/