İçindekiler
6698 sayılı Kişisel verilerin Korunması Kanunu ve ilgili mevzuatın bankacılık sektöründe uygulanması ilgili kişilere ait kişisel veriler bakımından problemlere sebep olabilmektedir. Bankacılık sektöründe yoğun bir biçimde gerçekleştirilen kişisel veri işleme faaliyetiyle kişisel veriler çeşitli amaçlarla işlenebilmektedir.
Diğer sektörlerle karşılaştırıldığında özellikle bankacılık sektöründe etkin iş süreçleri oluşturmak ve müşteri memnuniyetini en üst düzeye çıkarmak adına karmaşık ve ileri düzey kişisel veri işleme teknikleri kullanılmaktadır. Bu karmaşık ve ileri düzey kişisel veri işleme teknikleri her ne kadar kolaylaştırıcı görünse de ilgili kişiler nezdinde telafisi güç maddi ve manevi zararlar doğmasına neden olabilecek olasılıklara sebep olabilmektedir.
Açık Bankacılık Nedir?
Açık bankacılık servisleri, Bankacılık Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in tanımlar ve kısaltmalar başlıklı 3. maddesinin (1) numaralı fıkrasının (a) bendinde “müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak tanımlanmıştır.
Bu modelin kullanılması ile müşterilere ait ve bankaların kendi aralarında dahi paylaşmaktan kaçındığı finansal veriler artık bankalara özel olmaktan çıkmakta ve müşterinin talep ve rızası ile ortak bir platforma konmaktadır. Finans kategorisinde yer alan kişisel veriler yine bu platform üzerinden finansal teknoloji şirketlerinin erişimine açılmaktadır.
Açık bankacılık hizmetlerinde üç temel kişisel veri işleme faaliyeti bulunmaktadır.
Bunlardan ilki gerçek kişi müşterinin kişisel verilerinin bankacılık hizmetlerinin sunulması amacıyla banka tarafından işlenmesidir. Burada kişisel veri işleme faaliyeti gerçek kişinin bankayla hukuki ilişkisinin kurulmasıyla başlamakta olup müşterinin kimlik bilgileri, işlem güvenliği verileri, müşteri işlem geçmişi gibi çok çeşitli finans verisi ve diğer kategorilerde kişisel verileri içermektedir. Burada ayrıca veri sorumlusu yalnızca banka olarak karşımıza çıkmaktadır.
İkinci temel kişisel veri işleme faaliyeti ise gerçek kişi müşterinin kişisel verilerinin açık bankacılık ürün ve hizmetlerinden faydalandırılması amacıyla üçüncü taraf sağlayıcı tarafından işlenmesidir. Burada müşterinin uygulama programlama arabirimi (API) aracılığıyla üçüncü taraf sağlayıcıya aktarılan kişisel verileri müşteri olarak kendisine ürün ve hizmetlerin sunulması amacıyla işlenmektedir. Burada banka da dahil olmak üzere üçüncü taraf sağlayıcı ve uygulama programlama arabiriminin de veri sorumlusu sıfatı kazanacağı açıktır.
Üçüncü temel kişisel veri işleme faaliyeti ise gerçek kişi müşterinin belirli kategorilerdeki kişisel verilerinin banka tarafından üçüncü taraf sağlayıcıya aktarımı ve bununla eş zamanlı olarak üçüncü taraf sağlayıcının bu verileri kendi kayıt sistemine kaydetmesidir. Burada banka örneğin uygulama programlama arabirimi (API) aracılığıyla kendi veri kayıt sisteminden üçüncü taraf sağlayıcıya gönderilmek üzere veri aktarımında bulunmaktadır. Üçüncü taraf sağlayıcı da kendisine aktarılan bu kişisel verileri kendi kayıt sistemine çekmektedir. Bu sistemde hem uygulama programlama arabiriminin hem de üçüncü taraf sağlayıcının veri sorumlusu olması mümkündür.
Yukarıda bahsedildiği üzere açık bankacılık faaliyetleri ile tüketiciler kişiselleştirilmiş ürün ve hizmetlere erişebilecek hem de paralarını kolaylıkla yönetebilecektir. Ancak açık bankacılık faaliyetleri yürütülürken kişilere ait bankacılık verilerinin saklanması ve bilgi paylaşımının güvenliğinin sağlanması önem arz etmektedir.
Bankaların Acente Sıfatıyla Hareket Ettiği Durumlar
5411 sayılı Bankacılık Kanunu uyarınca bankalar sigorta acenteliği ve bireysel emeklilik aracılık hizmetlerini gerçekleştirmeye de yetkili kılınmıştır. Bankaların bankacılık ve sigortacılık alanlarında yer alan yasal düzenlemeler uyarınca acente sıfatıyla yerine getirecekleri sigortacılık faaliyetleri bakımından veri sorumlusu mu yoksa veri işleyen mi sayılacakları belirlenmelidir. 5684 sayılı Sigortacılık Kanunu uyarınca sigorta acenteleri sigorta şirketlerinin nam ve hesabına sigorta sözleşmelerine aracılık eden, sözleşme akdinden önce hazırlık çalışmalarını yürüten ve sözleşmenin uygulanması ile tazminatın ödenmesine yardımcı olan kişi olarak tanımlanmıştır.
Aracılık ve hazırlık çalışmalarını yürütecek ve yardımcı olan kişi sayılacak bankalar hangi kişisel verilerin hangi amaçlarla işleneceğine, kişisel veri işleme faaliyetinin hangi vasıtalarla gerçekleştirileceğine ilişkin karar vermediğinden yalnızca veri işleyen sıfatına sahip olacaktır. Sigorta acentesi olarak faaliyet gösteren bankaların bağlı olduğu sigorta şirketleri ise hangi kişisel verilerin hangi amaçla işleneceğine, kişisel veri işleme faaliyetinin hangi vasıtalarla işleneceğine karar verecek organ olacağından veri sorumlusu sayılacaktır. Ancak unutulmamalıdır ki veri sorumlusu sigorta şirketleri, acente olarak hareket eden veri işleyen sıfatını haiz bankaları aydınlatma yükümlülüğünün yerine getirilmesi ve açık rıza alınması hakkında görevlendirebilecektir.
Bankacılığa Özgü Kişisel Veri Kategorileri
Bankacılık sektöründe yoğun bir kişisel veri işleme faaliyetinde bulunulması sebebiyle hem kişisel veri hem de özel nitelikli kişisel veriler işlenebilmektedir. Bu kişisel veri kategorileri kimlik, iletişim, özlük, lokasyon, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olarak gösterilebilecektir.
Bankalarca İşlenen Özel Nitelikli Kişisel Veriler
Ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri ve sağlık bilgileri bankacılık sektöründe yoğun bir biçimde işlenen özel nitelikli kişisel veri kategorilerine örnek gösterilebilecektir.
Yukarıda belirtilen kısa açıklamaya ek olarak bankacılık sektöründe kimlik belgesi suretleri, sağlık raporları, adli sicil kayıtları ve ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili mahkeme kararları, çalışanların sağlık verileri, kimlik doğrulamada kullanılan biyometrik veriler yoğun bir şekilde kullanılabilmektedir.
Bankacılık faaliyetlerinde yoğun bir şekilde kullanılan kimlik belgesi suretleri 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında kimlik tespiti yapılabilmesi açısından kullanılmaktadır. Bankalar kimliğe ilişkin bilgileri almak ve bu bilgilerin doğruluğunu kontrol etmek suretiyle müşterilerinin ve müşterileri adına veya hesabına hareket edenlerin kimliğini tespit etmekle yükümlü kılınmıştır. Bankalar kimlik tespiti yaparken özel nitelikli kişisel veri olan din bilgisi ve kan grubu hanelerini de işleyebilmektedir. Kimliklere ek olarak bir başka kimlik tipi olan ehliyetlerde cihaz ve protez bilgisine de ulaşılabilmektedir.
Bankacılık faaliyetlerinde yoğun bir biçimde kullanılan diğer bir kişisel veri içeren belge ise sağlık raporlarıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası bulunmaksızın işlenebilecektir. Bankalar bu kişiler arasında yer almadığından ancak ilgili kişilerden açık rıza alarak kişisel veri işleyebilecektir. Ancak iş yeri hekimi bulunan bankalarda yalnızca iş yeri hekimi tarafından kişisel veri işlenmesi halinde açık rıza alınmasına gerek yoktur.
Adli sicil kayıtları ve ceza mahkumiyeti ile güvenlik tedbirleriyle ilgili mahkeme kararları açısından kişisel veriler ancak kanunlarda öngörülen hallerde ilgilinin açık rızası olmaksızın işlenebilecektir. Kanunlarda açıkça öngörülen bir husus bulunmaması halinde bankaların ilgili kişilerden açık rıza alması zorunludur. Örneğin müşterilerden alınacak adli sicil kayıtları çek yasaklılığı değerlendirmesinin yapılabilmesi adına önemli ve kanunlarda öngörülen bir husustur, bu amaç bakımında adli sicil kaydı açık rıza alınmaksızın işlenebilecektir.
Çalışanların sağlık verileri açısından iş yeri hekimi bulunan kurumlarda yalnızca işyeri hekimi tarafından kişisel veri işlenmesi halinde açık rıza alınmasına gerek yoktur. Ancak işyeri hekimi bulunmayan kurum ve kuruluşlarda sağlık verilerinin işlenmesi için tüm çalışanlardan bu konuda açık rıza temin edilmelidir.
Biyometrik veriler açısından bu veriler ancak kanunda açıkça öngörülen hallerde ilgili kişinin açık rızası bulunmaksızın işlenebilecektir. Burada değerlendirilmesi gereken bir diğer husus ise veri işleme ile ulaşılmak istenen amaç arasında makul bir denge kurulmasıdır. Kişisel veriler işlenecekleri amacın gerçekleştirilmesiyle ölçülü olarak işlenmelidir. Biyometrik veri özel nitelikli kişisel veri sayıldığından bu veriler ancak başkaca bir ihtimal olmaması dahilinde işlenmelidir. Biyometrik veri işlenmeden ulaşılmak istenen amaca ulaşabilmek mümkün ise biyometrik veri dışında kimlik kartı, parola vb. uygulamalara geçilmesi uygun olacaktır. Nitekim Kişisel Verileri Koruma Kurulu 25/03/2019 ve 2019/82 ile 1/05/2019 ve 2019/165 sayılı kararlarında bu uygulamaya yer vermiştir.
Yukarıda hukuki açıdan önem ihtiva eden KVKK’nın bankacılık sektöründe uygulanması konusu genel bir çerçeveyle açıklanmıştır. KVKK’nın bankacılık sektöründe uygulanması konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.
