bankacilik-sektorunde-kisisel-verilerin-aktarimi-ve-uzaktan-erisim

I. Genel Bilgi

kişisel-verilerin-aktarımı

Günümüz dünyasındaki teknolojik gelişmelere uygun olarak bankacılık sektörü teknolojik dönüşüm içerisindedir. Bankacılık sektöründeki bu dönüşüm klasik bankacılık yöntemleri yerine hizmetlerin şubelere gelinmesine gerek kalınmaksızın dijital ortamlarda sunulması faaliyetlerini artırmıştır. Bankacılık sektöründeki bu değişim her ne kadar hem bankalar adına hem de hizmeti kullanan bireyler adına bir kolaylık sağlasa da bireylerin mahremiyeti ve veri koruma hukuku düzleminde bazı olumsuz sonuçlar doğurabilmektedir. Bu olumsuz sonuçları en aza indirebilmek adına hizmet sunan banka veri koruma hukuku hususunda başta kendi mevzuatı olmak üzere 6698 sayılı Kişisel Verileri Koruma Kanunu’ndaki (“Kanun”) hususları dikkate alması gerekmektedir. Bu içerikte bankaların kişisel veri işleme şartlarını, genel olarak kişisel verilerin aktarılma şartların ile bankacılık sektöründe işlenen kişisel verilerin aktarımı incelenecektir. 

Kanun’un 5. maddesinin ilk fıkrasında normal nitelikteki kişisel verilerin açık rıza olmaksızın işlenemeyeceği ancak 2. fıkrada; a) Kanunlarda açıkça öngörülmesi, b) Fiili imkansızlık halleri, c) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,  d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde normal nitelikte kişisel verilerin işlenebilmesi için açık rıza gereksinimi bulunmamaktadır.

Kanun’un 6. maddesinde özel nitelikteki kişisel verilerin ilgili kişinin açık rızasının olmaksızın işlenemeyeceği ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen haller ile sağlık ve cinsel hayata ilişkin cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması temel şarttır.

Kişisel Verilerin Aktarılması

Kişisel veri aktarımı; Kanun’un 5. ve 6. maddesinde sayılan hukuka uygunluk hallerine dayandırarak kişisel veri işleyen bir veri sorumlusunun, yurtiçinde mukim bir veri sorumlusuna yaptığı aktarımın koşulları Kanun’un 8. maddesinde, yurtdışında bulunan veri sorumlusuna yaptığı aktarımın koşulları ise 9. maddede düzenlenmiştir.

Yurtiçine veri aktarımı düzenleyen Kanun’un 8. maddesinin ilk fıkrasında kişisel verilerin açık rıza olmaksızın aktarılamayacağı ancak 2. fıkrada a) 5. maddenin ikinci fıkrasında ve b) Yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartların bulunması hallerinde ilgili kişinin açık rızası aranmaksızın yurtiçinde aktarım yapılabilir. Kanun’un 8/3. maddesinde kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğuna dair hüküm mevcuttur. 

Kanun’da yurtdışına veri aktarımı 9. maddesi;

  • “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
  • (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
    • a) Yeterli korumanın bulunması,
    • b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. 
  • (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
  • (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; 
    • a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
    • b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
    • c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
    • ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, 
    • d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
  • (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. 
  • (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklinde düzenlenmiştir. 

Bir veri işleme faaliyeti olan veri aktarımı da Kanun’da ilk olarak açık rıza gereksinimi şart koşulmuştur. Ancak yukarıda da açıklanan Kanun’un 5. ve 6. maddelerinde düzenlenen şartların bulunması durumunda; aktarımın yapılacağı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerine müteakiben Kişisel Verileri Koruma Kurulu’nun verdiği izin ile açık rıza gereksinimi olmadan kişisel veriler yurtdışına aktarılabilir. Kurul aktarım yapılacak ülkelerin yeterli korumaya sahip olup olmadıkları hususunda tespiti yaparak kamuoyuna ilan eder. Günümüze kadar Kurul tarafından yeterli korumaya sahip ülkeler ilan edilmemiştir. Ayrıca maddenin 6. fıkrasında yurtdışına aktarım durumlarında farklı kanunlarda yer alan düzenlemelerin hükümlerinin saklı olacağı hükmü mevcuttur.

II. Bankacılık Sektöründe Kişisel Veri Aktarımı

Günümüzde her alanda aldığımız hizmet veya ürünlerin ödemelerinin elektronik/dijital alanlarda yapma alışkanlığımızdan ötürü hemen hemen her bireyin bir banka ile ilişkisi bulunmaktadır. Bankaların sunduğu hizmetler çerçevesinde hukuki yükümlülüklerinin sağlayabilmeleri adına hizmet alanlarda birçok kişisel veri toplamaktadır. Toplanan bu kişisel verilerin birincil ve ikincil mevzuata uygun olarak; toplanması, korunması, aktarılması ve hukuki yükümlülük sona erdiğinde uygun şekilde imha edilmesi gerekmektedir. 

Bankacılık alanında faaliyet gösteren tasarruf sahiplerinin haklarının ve menfaatlerinin korunmasına dair esasları, kuralları, ilkeleri ve kişisel veriler hakkındaki hükümler 5411 sayılı Bankacılık Kanunu’nda (“Bankacılık Kanunu”) düzenlenmiştir.

Bankacılık Kanunu’nda Sırların saklanması başlıklı 73. maddesinin 3. fıkrasında “Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir…” hükmü bulunmaktadır. 

Kişisel verilerin korunması hususunda bankacılık sektöründe özel kanun olan bankacılık mevzuatı öncel olarak dikkate alınmalıdır. Müşteri kavramı Bankacılık Kanunu m. 4’te açıklanan faaliyetlerin en az birinden yararlanan gerçek veya tüzel kişiler olarak nitelenebilir. Müşteri sırrı ise bankaların faaliyetleri çerçevesinde bankayla herhangi bir şekilde hukuki ilişki kurmuş ya da kuracak olan kişilerin iktisadi, mali, ticari ve/veya mesleki durumları hakkında bankanın edindiği her türlü bilgi ve işbu kişilerin aldıkları ya da almak istedikleri hizmetlere ya da taraflar arasındaki hukuki ilişkiye ait tüm veriler olarak tanımlanabilir. Kısaca müşteri sırrı banka ile hizmet alan arasında kurulan müşteri ilişkisinden elde edilen gerçek veya tüzel kişilere ait verilerdir. Yukarıdaki fıkra hükmünde belirtilen müşteri sırrı kavramının mefhum-u muhalifi düşünüldüğünde bankalar ile müşteri arasında herhangi bir ilişki kurulmadan önce ilgili kişiden veya farklı kanallardan elde edilen veriler müşteri sırrı olarak değerlendirilmeyeceği sonucu ortaya çıkmaktadır.

Kişisel Veri ve Müşteri Sırrı İlişkisi

Kişisel verinin tanımı Kanun’un 3/1-d maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel verinin tanımında da görüldüğü üzere süje gerçek kişidir. Ancak müşteri sırrı tanımı ise kişisel veri tanımına kıyasen daha geniş olarak tanımlanmış ve banka ile müşteri ilişkisi kurulduktan sonra elde edilen gerçek veya tüzel kişiye ait verilerdir. Dolayısıyla müşteri ilişkisi kurulmadan önce banka nezdinde gerçek kişilerde elde edilen veriler klasik anlamda kişisel veri olarak niteleneceğinden Kişisel Verilerin Korunması Kanunu uygulanacağı, müşteri ilişkisi kuruldan sonra ise banka bünyesinde gerçek veya tüzel kişiye ait elde edilen vereler bankacılık mevzuatının özel nitelikli olduğundan ötürü öncel olarak uygulanacağı açıktır.

Bankaların Kişisel Verileri Aktarma Değerlendirilmesi

Veri koruma mevzuatı kapsamında özel nitelikli olan Bankacılık Kanunu’nun 73/3. maddesi yukarıda detaylıca işlenmiştir. Bu fıkra kapsamında müşteri sırrı niteliğindeki veriler Kanun’a uygun açık rıza alınsa dahi müşteriden doğrudan talep ya da talimat olmaksızın yurtiçine veya yurtdışına aktarılamayacaktır. Bu hükmün istisnası olarak Bankacılık Kanunu’nda sır saklama yükümlülüğü kapsamında olmayan haller, Bankacılık Kanunu 73/3. maddesinde sayılan kanunların amir hükümleri uyarınca ve 4 Haziran 2021 tarihli, 31501 sayılı Resmi Gazete ‘de yayımlanan, 01/01/2022 tarihinde yürürlüğe giren Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’te gösterilen koşullara uygun şekilde aktarım yapıldığı halde müşteri talebi veya talimatına gerek kalmaksızın aktarım yapılması hukuka uygun kabul edilecektir. Ancak sır saklama yükümlülüğü istisnası olan haller dışında bir aktarım yapılabilmesi için müşterinin talebi veya talimatı gerekmektedir. 

Bankaların Bulut Bilişim Hizmet Kullanması

Bankacılık Kanunu’nun 73/3. maddesinde “Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir.” hükmü bulunmaktadır. Hükme uygun olarak 15 Mart 2020 tarihli, 31069 sayılı Resmî Gazete ’de Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“BS Yönetmelik”) yayımlanmıştır. BS Yönetmeliği’nin Birincil ve ikincil sistemler başlıklı 25. maddesi; 

  • “(1) Bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur.
  • (2) Birincil sistemlerin kaçıncı yedeği olduğuna bakılmaksızın birincil sistemlerin her türlü yedeği ikincil sistemler olarak kabul edilir ve birinci fıkra hükmüne tabidir.
  • (3) Bankacılık faaliyetlerinin yürütülmesi veya Kanun ve mevzuatta tanımlanan sorumlulukların yerine getirilmesi amacını taşımayan banka içi mesajlaşma sistemleri, piyasa izleme platformları gibi sistemler birincil sistemler kapsamında değildir. Bankanın kullanmakta olduğu herhangi bir sistem ya da uygulamanın birincil sistemler kapsamına girmemesi için sistem veya uygulama üzerinden herhangi bir iş sürecinin yürütülmemesi, hassas veri ya da sır kapsamına girebilecek verilerin işlenmemesi, iletilmemesi ve saklanmaması gereklidir.
  • (4) İşlemlerin doğası gereği yurt dışı ile etkileşimin gerekli olduğu ödeme veya mesajlaşma sistemleri gibi bankacılık işlemleri hariç olmak üzere, bankanın yurt dışında kurulu bir sistemden herhangi bir onay sürecine tabi olmaksızın bankacılık işlemlerini gerçekleştirebilmesi ve yurt dışı iletişim ağlarıyla bağlantılarının kesildiği durumlarda dahi yurt içinde kurulu bulunan birincil ve ikincil sistemleri aracılığıyla ülke içerisinde bankacılık faaliyetlerini sunmaya devam edebilmesi esastır.
  • (5) Birincil veya ikincil sistemler kapsamında olan bir faaliyet için dış hizmet ya da bulut bilişim hizmeti alınması halinde, dış hizmet sağlayıcının sunduğu hizmete ilişkin faaliyetleri yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de birincil ve ikincil sistemler kapsamında ele alınır ve yurt içinde bulundurulur.” şeklindedir. 

BS Yönetmeliğinin 25/1. maddesi Bankacılık Kanunu 73/3 hükmüne uygun olarak bankaların birincil ve ikincil sistemlerinin yurt içinde bulunmasını zorunlu tutmuştur. Adı geçen yönetmeliği 25/5. maddesi dış hizmet yoluyla alınan bulut bilişim hizmetinin de 25/1’e uygun olarak birincil ve ikincil sistem olarak değerlendirileceğinden ötürü bulut bilişim hizmeti kullanımını kısıtlamamakla birlikte bulut bilişim sisteminin yurtiçinde bulunması zorunlu olduğu belirtilmiştir.

Banka içi uygulamalara uzaktan erişim

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin; 14/7. maddesi ; Zorunlu bir iş gereksinimi olmadıkça ve Bilgi Güvenliği Sorumlusu tarafından onaylanmadıkça banka personeli ya da dış hizmet sağlayıcıları tarafından banka içi uygulama ve sistemlere, banka dışından uzaktan erişim gerçekleştirilmez. Uzaktan erişimin zorunlu olduğu hallerde ise çok bileşenli kimlik doğrulamaya dayanan güvenli bağlantı yöntemleri uygulanır, erişimler kayıt altına alınır, söz konusu bağlantının süresi ve bağlantının yapılabileceği cihazlar kısıtlanır ve kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanır. Hükmünü içermektedir. 

Günümüzün koşullarında diğer birçok sektör çalışanı gibi bankacılık sektörü çalışanları da uzaktan çalışmak ve iş sürekliliğinin sağlanması için banka içi uygulamalara güvenli uzak bağlantı gerçekleştirmek zorunluluğundadır. Regülasyon gereği çok bileşenli kimlik doğrulamaya dayalı güvenli uzaktan erişim için sayfamızda sıklıkla incelediğimiz ZTNA olarak bilinen, siber güvenlikte kuralları değiştiren mimari Sıfır Güven Ağ Teknolojisinin bankacılık sektöründe kullanımının hayata geçirilmesi önem kazanmıştır. 

III. Sonuç

Ulusal mevzuatımızda genel veri koruma kanunu 6698 sayılı Kişisel Verilerin Korunması Kanunu olsa da bu kanun hükümlerinin uygulanmasında Kanun’un 8/3 ve 9/6 maddelerinde görüldüğü diğer kanunlarda yer alan hükümler saklıdır. Keza Kişisel Verileri Koruma Kurulu da 09/04/2020 tarihli ve 2020/265 sayılı kararıyla Kanun’un 9’uncu maddesinin 6’ncı fıkrasına göre diğer kanunlarda yurt dışına veri aktarımına ilişkin özel hükümlerin varlığı halinde; bu hükümlerin öncelikli olarak uygulanacağını belirtmiştir. 

Bu bilgiler ışığında bankalar müşteri sırrı niteliğinde olmayan gerçek kişiye ait verileri kişisel verileri koruma kanununa göre, müşteri sırrı niteliğinde olan gerçek veya tüzel kişiye ait verileri müşteri talep veya talimatıyla veyahut da Bankacılık Kanunu ve ikincil mevzuatta düzenlenen sır saklama yükümlülüğünün istisnası olan durumlarda öncelikle özel norm olan Bankacılık Kanununa uygun aktarım yapabilirler. Özel norm olan Bankacılık mevzuatına uygun olarak hareket edilmesi somut durumda genel norm halini alan Kişisel Verileri Koruma Kanunu’nu devre dışı bıraktığı anlamına gelmemekle birlikte Kanun’da sayılan genel ilkelere ve diğer alınması gerek tedbirlerin alınarak aktarım yapılması gerekmektedir. 

Uzaktan erişim de ise Sıfır Güven Ağ Erişimi, kullanıcıların hiçbir zaman ağ erişimi sağlamadan veya uygulamaları internete maruz bırakmadan, kurum içinde kullanılan uygulamalara çok bileşenli kimlik doğrulama ile güvenli şekilde bağlanmasını sağladığı için regülasyona tam uyum amacıyla konumlandırılmalıdır.  ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi EK-A 13.1.2 Ağ hizmetlerinin güvenliği açısından da ZTNA ağlara değil uygulamalara erişime izin vererek ağ hizmetlerinin güvenliğini sağlamış olacaktır.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

< Önceki Sonraki >