7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır.
Veri sorumlusu; Kanunun 3. maddesinin birinci fıkrasının (ı) bendinde, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Veri sorumlusu veri işleme faaliyetinin temel araçlarını, veri işlemenin neden ve nasıl olacağını belirler, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahiptir. Veri işleyen ise; Kanunun 3. maddesinin birinci fıkrasının (ğ) bendinde yapılan tanıma göre, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen kişisel veri işleme faaliyetini veri sorumlusunun belirlemiş olduğu temel amaç ve vasıtalar ile ve/veya veri sorumlusundan aldığı talimatlara uyarak gerçekleştirir. Bu çerçevede, veri sorumlusu kişisel verilerin işlenmesine ilişkin her türlü kararı verme yetki ve sorumluluğuna sahipken; veri işleyen ise onun verdiği talimatlar doğrultusunda hareket eden, ondan bağımsız bir gerçek veya tüzel kişidir. Bu kapsamda, bankalar, elektronik para ve ödeme kuruluşları, sigorta şirketleri, altyapı sağlayıcılar (bundan sonra “Kuruluşlar” olarak anılacaktır) gerçekleştirdikleri kişisel veri işleme faaliyetleri kapsamında veri sorumlusu veya veri işleyen sıfatını haiz olabilir.
Ön ödemeli kart süreçlerinde ise Kuruluşların işlediği veriler; kimlik (İsim, soyisim, T.C. kimlik numarası, pasaport numarası, doğum yeri, doğum tarihi, cinsiyet), iletişim, lokasyon, müşteri işlem, işlem güvenliği (Elektronik bankacılık kanallarına giriş için gerekli müşteri bilgileri, IP adresleri, şifre ve parolalar, bu kanallarda kullanılan güvenlik uygulamaları ve yasal yükümlülüklerin yerine getirilmesi gibi amaçlarla işlenen konum bilgileri ile ilgili kişilerin rızasına istinaden işlenen biyometrik veriler), risk yönetimi, eğitim, iş ve profesyonel yaşam ilişkin bilgiler, aile bireyleri ve yakın bilgisi, pazarlama, görsel ve işitsel kayıtlar, talep ve şikâyet yönetimi bilgisi, denetim ve teftiş bilgisi, hukuki işlem ve uyum bilgisi olarak belirtilebilir. Kart başvurularının alınması, değerlendirilmesi, ürün ve hizmetlerin sunulması, müşterilerin tanınması amacıyla işlenen veriler; Kuruluşların ilgili ürün/hizmeti sunabilmesi, sözleşme, talep, talimat gerekliliklerinin ve hukuki yükümlülüklerin yerine getirilmesi amacıyla aktarılmakta ve aydınlatma metinleri aracılığı ile veri sahipleri bilgilendirilmektedir.
ÖN ÖDEMELİ KART SÜREÇLERİNDE KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİ/KURUMLAR
- Tedarikçiler (Ön ödemeli kart hizmetlerinin sunulabilmesi ve Kuruluşların faaliyetlerini yürütülebilmesi için destek kuruluşları, dış hizmet sağlayıcıları, hukuk büroları, danışmanlık alınan taraflar, kurye şirketleri gibi mal ve hizmet satın alınan tüm 3. taraf hizmet sağlayıcılar anlamına gelmektedir.)
- İş Ortakları (Kuruluşların ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla kurduğu, iş birliği, iş ortaklığı, program ortaklığı, ortak marka veya acentelik ilişkisi bulunan yurt içi ve/veya yurt dışında kurulu olan taraflar anlamına gelmektedir.)
- İştirakler, grup şirketler ve bağlı ortaklıklar (Kuruluşların doğrudan ve dolaylı hissedarı olduğu ve yurt içinde ve/veya yurt dışında kurulu bulunan şirketler ile sermaye piyasası düzenlemelerine göre faaliyetlerine aracılık edilen şirketler anlamına gelmektedir.)
- Finansal Topluluk Şirketleri
- Yurt içi ve yurt dışında bulunan bankalar, ödeme hizmeti sağlayıcıları ve uluslararası ya da yurt içinde kurulu ödeme sistemleri kurum ve kuruluşları (Mastercard INT.INC., Visa INC., Troy, JCB CO., LTD., Maestro, Electron, dahil uluslararası ya da yurt içinde kurulu kartlı ödeme sistemleri kurum ve kuruluşları)
- Kanunen bilgi almaya yetkili kamu kurum ve kuruluşları ile yargı mercileri (BDDK, SPK, TCMB, MASAK, Türkiye Bankalar Birliği Risk Merkezi, KOSGEB, GİB, Hazine Müsteşarlığı, SGK, savcılık ve mahkemeler başta olmak üzere yargı mercileri vb.)
KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUKUKİ SEBEPLER
- Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatler çerçevesinde verilerin işlenmesinin zorunlu olması,
- Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
- Kanunlarda açıkça öngörülmesi,
- Suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesine ilişkin işlem sırasında veya işlem sonrası kontrollere yönelik yapılacak incelemelerin yerine getirilmesi,
- Kuruluşların hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması olarak belirtmek mümkündür.
SONUÇ
Ön ödemeli kart kullanıcılarına ait kişisel veriler; Kuruluşların tabi olduğu mevzuat hükümlerine ilişkin gereklilikler ve sözleşmesel yükümlülükleri gereği yukarıda yer verilen işleme amaçlarının yerine getirilmesiyle bağlantılı, sınırlı ve ölçülü bir şekilde aktarılmaktadır. Bu doğrultuda, KVKK’nın 11. maddesinde kişisel veriler ile ilgili veri sahiplerinin hakları aşağıdaki gibi sıralanmıştır:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili veri sahibinin kendisi aleyhine bir sonucun ortaya çıkması halinde buna itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde söz konusu zararın giderilmesini talep etme.
Kaynakça
Turkish