Kişisel Verilerin Korunması Kanunu ve Finans Kurumları
2709 Kanun numaralı Anayasamızın “Özel hayatın gizliliği” başlıklı 20 nci maddesinin 3 üncü fıkrası,
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
hükmünü amirdir. Yine 5237 sayılı Türk Ceza Kanunu’nun 135 inci ve devamı maddelerinde kişisel verilerin hukuka aykırı elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte 07 Nisan 2016 tarihine kadar kişisel verilerin korunmasına ilişkin olarak Anayasamızda atıf yapılan kanun yayımlanmamıştı. Kişisel verilerin korunması ve işlenmesine yönelik özel bir kanun bulunmaması sebebiyle de Ceza Kanunumuzun 135 ve devamı maddelerinde sayılan fiillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddüt yaşanıyor; müşterisi olduğumuz firmalara verdiğimiz kişisel bilgilerimizin bir şekilde başka firmalarla paylaşıldığı durumlarla karşılaşabiliyorduk.
Kişisel verilerimizin korunması ve işlenmesi alanındaki bu önemli boşluk 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete‘de yayımlanan “6698 sayılı Kişisel Verilerin Korunması Kanunu” (Kanun, 6698 sayılı Kanun) ile doldurulmuş oldu. Bu Kanun aşağıda belirttiğimiz birçok alanda önemli yenilikler getirmekle birlikte, banka ve finans kurumları da dahil olmak üzere müşteri bilgilerini işleyen şirketler için 2016 senesinin en önemli uyum konularından birini oluşturacak gözüküyor. Bu yazıda ilgili Kanunu banka ve finans kurumları açısından değerlendirmeye çalıştık, ancak, burada verilen bilgiler diğer şirketleri de aynı ölçüde ilgilendirdiğinden banka ve finans kurumları dışındaki kişisel veri işleyen gerçek ve tüzel kişiler tarafından da referans alınabilir.
KAPSAM
Kanun’un 2 nci maddesine göre Kanun kapsamına kişisel verileri işleyen tüm gerçek ve tüzel kişiler giriyor. Bu anlamda banka ve diğer finans kurumlarının mevzuatında müşteri bilgilerinin gizliliğine ilişkin özel hükümler bulunsa da bu kurumlar da 6698 sayılı Kanun kapsamındaki yükümlülüklere tabi bulunuyor. Kişisel verileri işlenen gerçek kişiler de “ilgili kişi” olarak Kanun kapsamında yer alıyor.
KİŞİSEL VERİ NEDİR?
Kanun’da kişisel veri kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilgi olarak tanımlanmış durumda. Bu anlamda kişisel veri, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de olabiliyor. Kanun’un gerekçesinde, bir kişinin belirli veya belirlenebilir olmasının, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiği belirtiliyor. Diğer bir ifadeyle verilerin, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı belirtiliyor. Bu kapsamda, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri sayılıyor.
Diğer taraftan, Kanun, gerçek kişiler dışındaki kişiliklerin (örn. tüzel kişilerin, vakıf, dernek, adi ortaklık vbg.) verilerini koruma altına almıyor.
KİŞİSEL VERİLERİN İŞLENMESİ NE DEMEKTİR?
Kanun’un 3 üncü maddesindeki tanıma göre kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanıyor. Bu anlamda bir mağazada yaptığımız alışveriş sonucu mağazaya fatura için verdiğimiz TCKN, semt gibi bilgilerin ya da mağaza sadakat programları için verdiğimiz kişisel bilgilerimizin mağaza tarafından kaydedilmesi ve mağazanın bilgi sistemlerinde saklanması kişisel verilerin işlenmesi eylemini oluşturuyor.
KİŞİSEL VERİLER NE ZAMAN İŞLENEBİLİR?
Kanun’un 4 üncü maddesine göre kişisel veriler, ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kanun’un 5 inci maddesinde de kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği belirtildikten sonra bu verilerin ilgili kişilerin rızası olmadan işlenmesi için aşağıdaki şartlardan birinin geçerli olması gerektiği belirtiliyor:
“Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
Bu anlamda banka ve finans kurumlarının bireysel müşteri verilerini ilgili kişilerin açık rızası olmadan işleyebilecekleri hallerin (6698 sayılı Kanun’un 5-2-a bendinde atıf yapılan durumların), 5411 sayılı Bankacılık Kanunu’nun 76 ncı maddesi, 5549 sayılı Kanun ve 4358 sayılı Kanunlar ve alt mevzuatında düzenlendiğini söyleyebiliriz.
5411 sayılı Bankacılık Kanunu’nun 76/3 fıkrasında,
“Bankaların, kimliklerini ve vergi numaralarını belgelemeyen müşterileri adına mevduat, katılım fonu, kredi ve her ne ad altında olursa olsun hesap açmaları, sözleşme düzenlemeleri, havale ve kambiyo hizmetleri ile diğer bankacılık ve malî hizmetleri vermeleri yasaktır. Bu fıkranın uygulanmasına ilişkin usûl ve esaslar Kurumun görüşü alınarak Malîye Bakanlığınca düzenlenir. Bu fıkra hükmüne ve Malîye Bakanlığınca yapılan düzenlemelere uymayanlar hakkında 2.4.1998 tarihli ve 4358 sayılı Kanunun 5 inci maddesi hükmünün uygulanması bu Kanunun kovuşturma usûlü hükümlerine tâbi değildir.”
hükmü bulunuyor. Bu fıkranın uygulanmasına ilişkin düzenlemeler ise Maliye Bakanlığı’nca “4358 sayılı Vergi Kimlik Numarası Kullanımının Yaygınlaştırılması Hakkında Kanun” ve alt mevzuatı ile “5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun” ve alt mevzuatında yapılmış durumda. 4358 sayılı Kanuna ilişkin “2 Seri No’lu Vergi Kimlik Numarası Genel Tebliği” uyarınca bankaların, bankacılık ve mali hizmetlerindeİ sermaye piyasası kurumlarının sermaye piyasası faaliyetlerinde; finansal kiralama, faktoring, finansman şirketlerinin ve PTT’nin hesap açma ve sözleşme işlemlerinde; yetkili müesseselerin, bankaların ve PTT’nin 3.000 USD ve muadili döviz alış / satış işlemlerinde; sigorta şirketlerinin sigorta işlemlerinde müşterilerinin vergi kimlik numaralarını tespit etme ve kullanma zorunlulukları bulunuyor. Yine bu Tebliğ uyarınca her nev’i tahvil, bono ve borçlanma senedi işlemlerinde (bankalar ve aracı kurumlar için); kredi kartı okuma (POS) makinesi işlemlerinde (bankalar ve kredi kartı kuruluşları için); havale işlemlerinde (bankalar); çek ve senet (bono) işlemlerinde (bankalar) vergi kimlik numarası (VKN) tespit zorunluluğu bulunuyor. Daha sonra 4358 sayılı Kanuna ilişkin “3 Seri No’lu Vergi Kimlik Numarası Genel Tebliği” uyarınca Türkiye Cumhuriyeti tabiyetinde bulunan gerçek kişiler için 01.07.2006 tarihinden itibaren vergi kimlik numarası olarak Türkiye Cumhuriyeti kimlik numarası (TCKN) kullanılmaya başlandı.
5549 sayılı Kanuna dayanılarak yayımlanan “Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmeliğin” 6 ncı maddesi uyarınca da, yükümlülerin gerçek kişilerin kimlik tespitinde; ilgilinin adı, soyadı, doğum yeri ve tarihi, uyruğu, kimlik belgesinin türü ve numarası, adresi ve imza örneği, varsa telefon numarası, faks numarası, elektronik posta adresi, iş ve mesleğine ilişkin bilgiler ile Türk vatandaşları için bu bilgilere ilave olarak anne, baba adı ve T.C. kimlik numarasını almaları gerekiyor. Bu madde uyarınca ilgilinin adı, soyadı, doğum yeri ve tarihi, anne ve baba adı, uyruğu ve kimlik belgesinin türü ve numarasına ilişkin bilgilerin doğruluğu; Türk uyruklular için T.C. nüfus cüzdanı, T.C. sürücü belgesi veya pasaport; Türk uyruklu olmayanlar için de pasaport, ikamet belgesi veya Bakanlıkça uygun görülen kimlik belgeleri üzerinden teyit edilmek zorunda. Yetkililerce istenildiğinde sunulmak üzere teyide esas kimlik belgelerinin asıllarının veya noterce onaylanmış suretlerinin ibrazı sonrası okunabilir fotokopisi veya elektronik görüntüsünün alınması veya kimliğe ilişkin bilgilerin kaydedilmesi gerekiyor. Sürekli iş ilişkisi tesisinde ise beyan edilen adresin doğruluğunun; yerleşim yeri belgesi, ilgili adına düzenlenmiş elektrik, su, doğalgaz, telefon gibi abonelik gerektiren bir hizmete ilişkin olan ve işlem tarihinden önceki üç ay içinde düzenlenmiş fatura, herhangi bir kamu kurumu tarafından verilen belge veya Başkanlıkça uygun görülen diğer belge ve yöntemlerle teyit edilmesi gerekiyor.
Bu çerçevede, banka ve finans kurumlarının bireysel müşterileriyle yaptıkları finansal işlemlerde yukarıdaki yasal zorunluluklardan dolayı müşterinin açık rızası olmadan, müşterinin adı, soyadı, doğum yeri ve tarihi, uyruğu, kimlik belgesinin türü ve numarası, adresi ve imza örneği, varsa telefon numarası, faks numarası, elektronik posta adresi, iş ve mesleğine ilişkin bilgiler ile Türk vatandaşları için bu bilgilere ilave olarak anne, baba adı ve T.C. kimlik numarasını, yabancı uyruklu kişiler için ise VKN veya yabancı kimlik numarasını almaları, bu bilgileri kimlik kartı, ehliyet, pasaport ve bakanlıkça uygun görülen diğer kimlik belgeleri ve adres teyit belgeleri ile doğrulama ve bu bilgi ve belgeleri işleme hakları bulunduğunu söylememiz mümkündür.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
6698 sayılı Kanun’un 6 ncı maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri sayılıyor. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebiliyor. Bunun dışındaki tüm haller de özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak kapsamında bulunuyor. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebiliyor.
Banka ve finans kurumları CRM uygulamaları kapsamında müşterilerinin geliri, çocuk sayısı, sevdiği markalar, alışveriş alışkanlıkları gibi kişisel ve özel nitelikli kişisel veri kapsamına girebilecek çok sayıda veriyi işleyebiliyor. Bundan sonraki dönemde banka ve finans kurumlarının kanuni zorunluluklar dışında müşteri ilişkilerinin geliştirilmesi ve pazarlama kampanyaları için gerek doğrudan müşteriden temin ettikleri gerekse de müşterinin kredi kartı harcamaları gibi veriler üzerinden dolaylı olarak elde ettikleri kişisel verileri işlemeden önce müşterinin açık rızasını temin etmeleri gerekecektir.
Yine Kanun’da biyometrik veri özel nitelikli kişisel veriler arasında sayılmıştır. Yakın zamanda 5490 sayılı Nüfus Hizmetleri Kanunu’nda yeni T.C. Kimlik Kartlarına ilişkin yapılan değişiklikten (bu değişikliğe ilişkin ayrıntılı bilgileri 27.01.2016 tarihinde yayımladığımız yazımızda bulabilirsiniz) bu kartların kimlik tespit ve doğrulama işlemlerinde kişilerin biyometrik verilerinin kullanılacağını anlıyoruz. Banka ve finans kurumlarının kimlik doğrulama işlemlerinde kişilerin biyometrik verilerini açık rızaları olmadan işleyebilmeleri için ilgili MASAK Yönetmeliği’nde bir değişiklik yapılması gerekecektir.
KİŞİSEL VERİLERİN SİLİNMESİ VEYA YOK EDİLMESİ
Kişisel Verilerin Korunması Kanunu’nun 7 nci maddesinde, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği belirtiliyor. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar bu Kanuna ilişkin yayımlanacak bir yönetmelikle belirlenecek.
Burada yayımlanacak yönetmeliği beklemek gerekir, ancak, bu açıdan da banka ve finans kurumları için yeni bir dönemin başladığını söylemek yanlış olmayacaktır. Önceden bankaların zamanaşımına uğrayan hesaplara ilişkin veya Risk Merkezi’nde olumsuz kaydı olan müşterilere ilişkin edindikleri bilgiler bankaların tercih ettikleri sürece sistemlerinde saklanabiliyordu. Bu konuda yayımlanacak alt düzenlemeye göre ilgili müşteri hesaplarının kapatılması veya zamanaşımına uğraması durumunda banka sistemlerinden silinmesini gerektirecek bir alt düzenleme gelmesi mümkün.
KİŞİSEL VERİLERİN AKTARILMASI
Kanun’un 8 inci maddesi uyarınca, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamıyor (Bu madde 07.10.2016 tarihinde yürürlüğe girecek). Kişisel veriler;
– 5 inci maddenin ikinci fıkrasında (kanunlarda açıkça öngörülme vbg.),
– Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabiliyor.
Kişisel verilerin yurtdışına aktarılmasında ise yine yukarıdaki şartlar geçerli olmakla birlikte kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun (Kişisel Verileri Koruma Kurulu) izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecek. Yeterli korumanın bulunduğu ülkeler Kurul’ca belirlenerek ilan edilecek. Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve bu konuda özel izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verecek.
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilecek.
Ancak, bu hükümlerin uygulamasında kişisel verilerin yurt dışma aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı tutulmuş.
Bilindiği üzere, 5411 sayılı Bankacılık Kanunu’nun 73 üncü maddesi uyarınca “gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin %10’unu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin %10 veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi müşteri sırrı saklama yükümlülüğü dışında sayılmıştır.”
Bankaların 73 üncü maddedeki durumlarla sınırlı olarak ve 6698 sayılı Kanun’da bu konuda getirilen yükümlülüklere de sadık kalarak müşteri verilerini yurtiçinde ilgili kuruluşlara ve yurtdışındaki sermayelerinin %10 veya daha fazlasına sahip ana ortaklıklarına aktarmalarında bir sakınca bulunmadığını söylemek mümkündür. Bu bilgi paylaşımının yapılması için 5411 sayılı Kanun’un 73 üncü maddesinde ön şart olarak verilen bir gizlilik anlaşması yapılması ve bilgi paylaşımının kapsam ve sınırlarının belirlenmesi şartlarına dikkat etmek gerekmektedir. BDDK bir dönem, 10.01.2013 tarihli ve 5133 sayılı Kurul kararı ile 5411 sayılı Kanun’un 73 üncü maddesinde tanımlanan hallerde ana ortaklıkla bilgi paylaşımı yapılabilmesi için müşteri rızasının da temin edilmesi şartını getirmiş; ancak, daha sonra aldığı 26.09.2013 tarihli ve 5536 sayılı Kurul Kararı ile, “müşteri rızasının temin edilmesi hususunun Kanun’un 73 üncü maddesinin bankalara tanıdığı yetkiyi ortadan kaldırmadığını, bankaların bu maddede tanımlanan amaç ve faaliyetler kapsamında, bilgi taleplerini müşteri rızasına ihtiyaç bulunmaksızın karşılayabilecekleri, ancak bilgi paylaşımının 73 üncü madde kapsamında talep edildiğinin bankaca ortaya konamaması halinde, hukuki sorunlarla karşılaşabileceğinin değerlendirilmesi sebebiyle ihtiyatlı olunmasını teminen müşteri rızasının temin edilmesinde fayda bulunduğu” açıklamasını yapmıştı.
Bankalar, 5411 sayılı Kanun’un 73 üncü maddesindeki haller dışında, muhabirlik ilişkileri ve yurtdışı bankaların kendileri üzerinden geçen işlemlerde karapara aklanmasının ve terörün finansmanının önlenmesi kontrolleri kapsamında müşterilerinin bilgilerinin talep edildiği durumlarla karşılaşabiliyor. 6698 sayılı Kanun’un 9 uncu maddesinin 07.10.2016 tarihinde yürürlüğe girmesi ile birlikte bu tip muhabir banka sorgularında, Türk bankalarının ilgili veri taleplerini işleme özel müşteri rızası alınmadan sadece sözleşmelerde bulunan hükümlere dayanarak karşılamalarında sorunlar oluşabileceğini düşünüyoruz. Çünkü yeni Kanun, müşterinin yurt dışına kişisel verilerinin aktarılması konusunda açık rızasının temin edilmediği durumlarda, ilgili ülkede yeterli korumanın bulunmasını veya bulunmadığı durumlarda karşı tarafın veri sorumlusundan bir taahhüt alınmasını ve Kurul’un izninin bulunmasını şart koşuyor.
VERİ SORUMLUSUNUN KİŞİSEL VERİLERİ İŞLENEN KİŞİLERİ BİLGİLENDİRME YÜKÜMLÜLÜĞÜ
Kanun’un 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
– Veri sorumlusunun ve varsa temsilcisinin kimliği,
– Kişisel verilerin hangi amaçla işleneceği,
– İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
– Kişisel veri toplamanın yöntemi ve hukuki sebebi,
– ve ilgili kişiyi Kanun’un 11 inci maddesinde sayılan diğer hakları konusunda bilgilendirmekle yükümlü kılınıyor.
Bu konuda tüm şirketler gibi bankalar ve finans kurumlarının da bir bilgilendirme süreci kurması gerekecek. Bu bilgilendirmenin bankacılık sözleşmelerine ek bir bilgilendirme formu ile yapılmasının uygun olacağını düşünüyoruz.
VERİLERİ İŞLENEN KİŞİLERİN HAKLARI
Verileri işlenen gerçek kişiler, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacım ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kanun’un 11 inci maddesinde sayılan yukarıdaki yükümlülükler de, özellikle bankalar gibi gerçek kişi müşteri tabanı geniş şirketlerde yeni bir başvuru ve iş akışı kurmayı gerektirebilir ve bu yönden yeni bir iş yükü yaratabilir. Kanun’un bu maddesi 07.10.2016 tarihinde yürürlüğe girecek.
İlgili kişilerin veri sorumlusuna başvuru hakkı konusunda Kanun’un 13 üncü maddesinde ise ilgili kişinin, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracağı, ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alabileceği belirtiliyor. Yine bu maddenin uygulaması da (yürürlüğü de) 07.10.2016 tarihinde başlayacak. Bu maddeden, veri taleplerinin karşılanmasında müşterilerden alınacak ücretlere ilişkin Kişisel Verileri Koruma Kurulu tarafından bir ücret tarifesi belirleneceğini anlıyoruz.
Diğer taraftan, Kanun’un 11-g maddesinin de bankaların otomatik karar alma, model ve skorlama süreçleri için ciddi sorunlar yaratabileceği kanısındayız.
KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK DENETİM SÜRECİNİN OLUŞTURULMASI GEREKİYOR
Kanun’un 12-3 fıkrası, veri sorumlusuna, kendi kurum veya kuruluşunda bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlü kılıyor. Bu çerçeveden de, banka ve finans kurumlarının bu Kanun’un uygulanmasına yönelik gerekli iç kontrol ve denetim süreçlerini oluşturmaları veya bu konuda dış denetim hizmetlerinden yararlanmaları gerekecek. Kanun’un bu maddesi yürürlüğe girdi.
VERİ SORUMLULARI SİCİLİNE KAYIT ZORUNLULUĞU
Kanun’un 16 ncı maddesi uyarınca kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul’ca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebiliyor. Bu maddeye göre Kurul’ca yayımlanacak yönetmelikle aksi bir düzenleme yapılmadığı sürece bankaların da bu sicile kayıt olmakla yükümlü olacağını söylemek mümkündür. Öte yandan, Kanun’un bu maddesi 07.10.2016 tarihinde yürürlüğe girecek.
KİŞİSEL VERİLERİ KORUMA KURUMU
Bu Kanunla birlikte yurtdışı örneklerinde olduğu gibi Kanun’un uygulamasından sorumlu yeni bir özerk kurum kuruluyor. Kurum’un teşkilat yapısı ve karar organı olan Kurula ilişkin Kanun hükümleri ile çalışma şekli, BDDK ve SPK gibi diğer özerk kurumların teşkilat yapısı ve çalışma şekline benziyor.
YÜRÜRLÜK, KANUNA İLİŞKİN YÖNETMELİKLER ve GEÇMİŞTE TOPLANAN VERİLERİN DURUMU
Kanun’un geçici madde hükümlerine göre Kanun’un uygulamasına ilişkin yönetmelikler Kanun’un yayımlanmasından itibaren 1 yıl içinde (07.04.2017 tarihine kadar) yürürlüğe konulacak. Kanun’un kişisel verilerin aktarımı, ilgili kişilerin veri sorumlusuna başvuru hakkı, veri sorumluları sicili, suçlar ve kabahatlere ilişkin hükümleri altı ay sonra (07.10.2016) yürürlüğe girecek. Kanun’un bunlar dışındaki hükümleri ise yayımı tarihinde yürürlüğe girdi.
Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilecek. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinmek, yok edilmek veya anonim hâle getirilmek zorunda. Ancak bu Kanun’un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilecek. Kanun’un bu geçiş hükmünün uygulamasının nasıl yapılacağı açıklamaya muhtaç durumda. Öte yandan, Kanun’da belirtilen müşterinin açık rızasının hangi yollarla alınabileceği (uzaktan iletişim araçlarıyla ya da yazılı şekil) konusunda da detay düzenleme yapılarak konunun açıklığa kavuşturulması gerekiyor.
Hamdi GİRGİN
“NOT: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir.”
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
1 Cevap
[…] Ancak, Kanun’da bireylerden alınacak onayların ve bilgilendirmenin şekil şartı konusunda bir belirleme yapılmadığı gibi, bu Kanun hakkındaki alt mevzuatta henüz yayımlanmadığı için bu rıza ve bilgilendirmelerin elektronik ortamda yapılıp yapılamayacağı henüz netleşmedi (Bkz. 11.04.2016 tarihli yazı). […]