02 Eyl, 2022

Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi

I. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) yürürlüğüne girdiği 2016 yılından beri bireylerin gündelik hayatında sıklıkla muhatap oldukları kuruluşların başında gelen Bankalar; faaliyetleri kapsamında çeşitli kanallar üzerinden yoğun bir şekilde kişisel veri elde etmekte ve söz konusu kişisel verileri çeşitli amaçlar için işlemektedir. Bankaların Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat çerçevesinde uyması gereken usul ve esaslar ile yerine getirilmesi gereken yükümlülüklerin iyi uygulama örnekleri ile açıklanması hem verisi işlenen gerçek kişiler hem de veri işleyen kurumlar açısından son derece önemlidir. 

Bu çerçevede yol gösterici bir düzenleme hazırlama konusunda Kişisel Verileri Koruma Kurumu (“KVKK”) ile Bankacılık Düzenleme ve Denetleme Kurumu’nun (“BDDK”) iş birliği içerisinde hazırlanan Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberini (“Rehber”) 5 Ağustos 2022 tarihinde KVKK’nin internet sitesi vasıtasıyla kamuoyuyla paylaşılmıştır. Rehber’in içeriğinde bulunan iyi uygulama örneklerini sizin için derledik. 

iyi-uygulamaII. Açık Rıza

Kanun’da bir kişisel verinin işlenebilmesi için Kanun’un 5/2 ve 6/3’de düzenlenen hukuka uygunluk hallerinin olmaması durumunda ana koşulun ilgili kişinin açık rızasının alınmasıyla mümkün olabileceği düzenlenmiştir. Açık rıza Kanun’un 3. maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Tanıma göre hukuka uygun açık rızadan bahsedebilmek için gerekli şartların açık rızanın konusunun belirli olması, Kanun’a uygun şekilde aydınlatma yapılarak bilgilendirme yapılması ve ilgili kişinin özgür iradesine dayanması gerekmektedir.

İlgili kişilerden alınacak olan açık rızanın “yazılı olma” koşulu bulunmadığı için bankanın ıslak imzalı ve yazılı bir metin temin etme zorunluluğu bulunmamakla birlikte açık rıza alındığının ispat yükümlülüğü veri sorumlusu bankadadır. Resmi bir şekil şartı olmadığından ötürü veri sorumlusu açık rıza alacağı her kanala özgü olarak hazırlanmış hukuka uygun açık rıza işlemleri gerçekleştirmelidir. 

Şube

Şube kanalı ile ilgili kişilerden, ıslak imza veya onun yerini tutacak mevzuatın öngördüğü diğer yöntemlerle (dijital imza, e-imza vb.) açık rıza metinleri için onay alınabilir.

ATM

ATM’den ilgili kişilerden açık rıza alınmak istendiği takdirde, ilgili kişinin söz konusu kanallara girişi sonrasında; açık rıza metni için onayı alınabilecektir.

İnternet/Mobil Bankacılık

İnternet/mobil bankacılığı kanallarında ilgili kişilerden açık rıza metinlerine onay alınması için kişilerin işaretleyebileceği kutu/buton vb. yöntemler kullanılabilmektedir. Bu kutu/buton vb. yöntemler ile gerçekleştirilen seçimlerde seçeneklerin önceden seçili olarak getirilmemesi gerekir.

Çağrı Merkezi

Çağrı merkezinde, ilgili kişilere görüşmede tercihini bir tuşa basma veya müşteri temsilcisine sözlü olarak beyan etme imkânı sağlanarak açık rıza onayı alınabilir.

SMS

İlgili kişilerin bankada kayıtlı olan telefon numaralarına SMS aracılığı ile aydınlatma yapılarak ve SMS aracılığı ile doğrulama kodu gönderilerek kişisel verilerinin işlenmesi konusunda bir cevap vermesi yönünde yönlendirme yapılabilir.

Elektronik Posta

İlgili kişilerin bankada kayıtlı elektronik posta adresine, aydınlatma ve açık rıza metinleri yönlendirilebilecek, bu kanalda ilgili kişilerden açık rıza metnini kabul edip etmediği yönünde beyanını yöneltmesi için kutular sunulabilecektir.

Bankaların açık rızaya gerekmediği durumlarda işlediği kişisel verileri gerçekleştirdiği bilgi/belge aktarımları kapsamında; gerçek kişi verisi içerir müşteri ve banka sırlarını kanunen açıkça yetkili kılınan mercilere açıklama yükümlülükleri, yetkili kılınan merciinin talep ettiği bilgi ile sınırlı olmalı ve Banka yetkili merciinin talebinde açıkça belirtilenden fazla bir gerçek kişi verisini kendi takdiri ile paylaşmamalıdır. Dolayısıyla bankalardan bilgi ve belge talep etmeye yetkili kurum ve kuruluşlara yapılacak kişisel veri paylaşımlarında, paylaşılan bilgi/ belgenin talep edilen veriler ile sınırlı tutulması, bunun mümkün olmaması durumunda ilgili belgede yer alan diğer kişisel verilerin silinmesi/ maskelenmesi/anonim hale getirilmesi suretiyle paylaşılması gerekmektedir.

III. Bankalarca İşlenen Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler Kanun’un 6. maddesinde “ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik veriler” şeklinde sınırlı olarak sayılmıştır.

Kanun özel nitelikli kişisel verileri işlenmesini normal kişisel verilere nazaran daha önemli koşulara bağlamıştır. Bu koşullara göre; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Rehber ele alınan özel nitelikli kişisel verilerin işlenmesinde iyi uygulama örnekleri aşağıda gösterilecektir.

Kimlik Belgesi Suretleri

Bankalar kimlik belgesi sureti alınan süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamında gerekli ise süreçlerini revize eder. Bu kapsamda:

  • Kimlik belgesinde bulunan özel nitelikli verilerin açık rıza olmaksızın işlenmemesi gereklidir.
  • Mümkün olması halinde kimlik belgesinde yer alan özel nitelikli verilerin işlenmeden sadece kimlik belgesinin ön yüzü/ilgili sayfası ile işlem yapılmalıdır.
  • Bankanın ilgili süreçlerinde kimlik belgesi suretinde yer alan özel nitelikli kişisel veriler, kimlik tespiti harici bir amaçla işleniyor ise, bu amaçla işlenmeye yönelik açık rızası temin edilemeyen kişiler açısından kimlik fotokopisindeki özel nitelikli veri hanelerinin karartılmasına ya da söz konusu verilerin kullanılmamasına yönelik teknik ve idari tedbirler alınmalıdır.

Sağlık Raporları

Bankalar müşterilerine ilişkin sağlık verilerinin işlendiği süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamında gerekli ise süreçlerini revize eder. Bu kapsamda:

  • Mevcut durumda sağlık verilerinin işlendiği süreçlerde ilgili kişinin açık rıza beyanının alınıp alınmadığının kontrolünü sağlamalıdır.
  • Sağlık verilerinin ilgili süreç özelinde gerçekleştirilmesi hedeflenen amaçlar kapsamında işlenmesine yönelik açık rıza beyanı olmayan kişilerin sağlık verileri işlenmemelidir.

Ceza Mahkumiyeti ve Güvenlik Tedbirleri

Bankalar mahkeme kararlarında yer alan ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kişisel verilerin işlendiği süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamında gerekli ise süreçlerini revize eder. Bu kapsamda bankalarca;

  • Çalışan adaylarının ceza mahkûmiyet (adli sicil) bilgilerinin istenmesi kanunlarda açıkça öngörülen bir süreç olmadığından bu bilgilerin toplanmaması tercih edilebilir. Eğer bu bilgilerin kesinlikle toplanması gerektiği düşünülüyor ise, çalışan adayından açık rıza alınarak bu bilgilerin toplanması gerekecektir.
  •  Çek yasaklılığı değerlendirmesi yapılabilmesi için müşterinin adli sicil kaydı, ayrıca bir açık rıza olmaksızın işlenebilecektir. Ancak adli sicil kaydının çek yasaklılığı değerlendirmesi dışında başkaca bir amaç için kullanılması durumunda, söz konusu amaç kapsamında adli sicil kaydı verilerin işlenmesi için ayrıca Kanun’un 6’ncı maddesinde belirtilen özel nitelikli kişisel veri işleme şartlarından en az birinin mevcut olması gereklidir.

Çalışanların Sağlık Verileri

Bankalar çalışanlarına ilişkin sağlık verilerinin işlendiği süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamında gerekli ise süreçlerini revize eder. Bu kapsamda bankalar:

  • Çalışanlara ilişkin sağlık verilerini mümkün olduğunca iş yeri hekimi vasıtasıyla işlemeli ve söz konusu verilerin iş yeri hekimi tarafından banka içinde paylaşılmasına engel olacak süreçleri kurgulamalıdır (örneğin bir çalışanın işe/pozisyona uygunluk bakımından sağlık kontrolüne tabi tutulması halinde iş yeri hekimi tarafından banka içinde yalnızca kişinin iş/pozisyon için uygun olup olmadığı bilgisi paylaşılabilir).
  • Banka içinde işyeri hekimi dışında (insan kaynakları, iş sağlığı ve güvenliği gibi) bazı departmanların çalışanların sağlık verilerine erişmesi gerekiyor ise, bu sağlık bilgilerine ilişkin erişim yetkilendirmesi/kısıtlanması uygulanır ve banka içerisinde sadece belirli kişilerin/departmanların sağlık verilerine hukuki sebebi ortaya konulmak suretiyle erişebilmesi sağlanır.
  • “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı gereği sağlık verileri de dahil olmak üzere özel nitelikli veriler şifrelenmiş bir şekilde muhafaza edilmeli, veriler üzerindeki hareketler loglanmalı, erişim yetkilendirmesi yapılmalı ve Karar’da yer verilen diğer önlemler alınmalıdır. 
  • Mevcut durumda, her halükârda, bankaların çalışanların sağlık verilerini işlemesi gerekmesi sebebiyle, bankalar çalışanın açık rızasını temin etmelidir.

IV. Aydınlatma Yükümlülüğü

Veri sorumlusunun aydınlatma yükümlülüğü; veri sorumlusu tarafından kanunda öngörülen hukuka uygunluk nedenlerine dayalı olarak kişisel veri işlendiği her durumda uygun kanallar ve anlaşılır, açık ve sade bir dil kullanılarak, içeriğinde veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi ihtiva eden bilgilendirmeler olarak özetlenebilir.

aydinlatma-yukumlulugu

Katmanlı aydınlatma, kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel verilerinin elde edildiği konusunda ön bilgilendirme yapılarak, ilgili kişinin Kanunun 10. maddesine uygun aydınlatmaya yönlendirilmesi amaca ilişkin bilgilendirilme yapılırken, önce kısa ve kolay anlaşılır bir metin sunup, eş zamanlı (just-in-time) metin vasıtasıyla, detaylı açıklamalara işaret edilmesi/referans verilmesi durumudur. Rehber’de aydınlatmanın gerçekleştirilebilmesine dair verilen iyi uygulama örnekleri aşağıda gösterilmiştir.

Şube

Şubelerde Kanun’a uygun aydınlatma yükümlülüğünün yerine getirilmesinde ilgili kişinin bilgi sahibi olacağı şekilde görsel veya basılı ortamda (afiş, broşür, pano, dijital ekran vb.) aydınlatma yapılabilir.

İnternet Sitesi

Bankaların internet sitelerinde, Bankanın aydınlatma metinlerine kolayca ulaşılabilir şekilde yer verilmesi önerilmektedir. Böylelikle, katmanlı aydınlatmalarda verilen linkler vasıtasıyla bu metinlere yönlendirilen müşterilere kolayca aydınlatma, bankalar açısından da aydınlatma yükümlülüğünün yerine getirilmesi imkânı sağlanabilecektir.

İnternet Şube

İnternet şube kullanıcıları, internet şube aracılığıyla karşılarına çıkartılacak olan aydınlatma metinleri aracılığıyla bilgilendirebilir.

Mobil Şube ve Mobil Uygulama

Mobil şube/uygulama kullanıcıları, mobil şube/uygulama aracılığıyla karşılarına çıkartılacak olan aydınlatma metinleri ile bilgilendirebilir. İlgili kişilere anlık bildirim (push notification) ile aydınlatma metni gönderilmesi ve yine kısa ve yönlendirici bir aydınlatma metni ile aydınlatma yükümlülüğü yerine getirebilir.

Çağrı Merkezi/IVR

İlgili kişiye görüşmenin başında bir tuşa basma seçeneği sağlanarak aydınlatma metnini dinlemek isteyenlere örnek metin sunulması suretiyle yapılabilir.

Elektronik Posta

İlgili kişilerin bankaya iletişime geçmek üzere verdikleri elektronik posta adreslerine (örneğin hesap özetlerinin, kredi kartı ekstrelerinin gönderildiği adresleri) veya elektronik tebligat adreslerine iletilecek aydınlatma metinleri ile bilgilendirme yapılabilir.

Fiziki Posta

İlgili kişi tarafından bankalara iletişim/tebligat adresi olarak bildirilen adrese aydınlatma metninin gönderilmesi (örneğin; kredi kartı hesap özeti ile aynı zarfta gönderilmesi) ile bilgilendirme yapılabilir.

SMS

SMS kanalıyla yapılan aydınlatmalarda, kanalın izin verdiği uzunlukta bir metne ve tıklandığında aydınlatma metnine yönlendiren bir linke yer verilerek katmanlı aydınlatma yapılabilir.

ATM

Kısa Mesaj Servisi (SMS) gibi sınırlı karakter girilebilen bir alan olan ATM kanalından yapılan bilgilendirmelerde, kısa bir metne yer verildikten sonra ilgili kişinin aydınlatma metnine erişebileceği şekilde katmanlı aydınlatma yapılması mümkündür.

Rehberin tam metni için; https://kvkk.gov.tr/SharedFolderServer/CMSFiles/12236bad-8de1-4c94-aad6-bb93f53271fb.pdf adresini ziyaret edebilirsiniz.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram