Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Türkiye Bankalar Birliği ile işbirliği içerisinde hazırlanan, bankalara yönelik tavsiye niteliğinde ve yol gösterici mahiyetinde Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) yayımlanmıştır.
Rehber ile veri sorumlusu – veri işleyen ilişkileri, kişisel veri işleme şartları, bankacılık faaliyetleri kapsamında kanunlarda öngörülen işlemeler, iyi uygulamalar, bankalarca işlenen özel nitelikli kişisel veriler, kişisel verilerin aktarılması, veri sorumlusunun yükümlülükleri, veri güvenliği, ilgili kişinin hakları ve iyi uygulamalara yer verilmiştir.
VERİ SORUMLUSU VE VERİ İŞLEYEN KAVRAMLARI:
Rehberde bankaların 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’6698 sayılı Kanun’’) 3. maddesinin birinci fıkrası (ı) bendinde yapılan veri sorumlusu tanımına ve kanunun aynı maddesinin birinci fıkrasının (ğ) bendinde yapılan veri işleyen tanımı kapsamında, 5411 Sayılı Bankacılık Kanunu’nun 4. maddesi kapsamında gerçekleştirilen bankacılık faaliyetleri açısından veri sorumlusu oldukları belirtilmiştir. Bankaların gerçekleştirdikleri kişisel veri işleme faaliyetleri kapsamında veri sorumlusu veya veri işleyen sıfatını haiz olabileceklerine ve bankaların veri işleyen sıfatını haiz olup olmadıkları belirlenirken her somut olay bazında taraflar arasındaki ilişkinin değerlendirilmesi gerektiği belirtilmiştir. Ayrıca Rehber’de, veri sorumlusu ve veri işleyen arasında yapılacak olan veri işleme sözleşmesinde bulunması gereken asgari konulara da değinilmiştir.
Veri sorumlusu veri işleyen arasındaki sözleşmelerde asgari olarak aşağıdaki hususlara yer verilmesi ve yazılı olması önerilmektedir: -İşleme faaliyetinin konusu, -Kişisel veri işleme amacı, -Kişisel verilerin işlenme süresi, -Kişisel verilerin türü, -Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi, (Kişisel Veri Saklama ve İmha Politikasına uygun olması -Tarafların süresiz sır saklama yükümlülüğüne tabi olacağı, -Veri işleyenin ilgili kişilere haklarının kullandırılmasına ilişkin olarak veri sorumlusuna yardım etme yükümlülüğü, -Gerekli özeni gösterme borcu, -Sözleşmenin ve/veya kişisel verinin elde edilme amacının sona ermesini müteakip veri işleyenin verileri silme veya iade etme yükümlülüğü/süresiz sorumluluk, -Bankaların, “veri sorumlusu” olduğu durumlarda, veri işleyenlere gerekli denetimleri yapma hakkını haiz olduğu, -Herhangi bir veri ihlali olması durumunda veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğu.
Veri işleme sözleşmesinin hazırlanmasında Kurum’un daha önce yayımladığı Veri Sorumlusu ve Veri İşleyen Rehberi’nde verilen örneklerden ve Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik’ten yararlanılabileceği belirtilmiştir. Veri sorumlusu ve veri işleyen arasındaki ilişkinin 5411 sayılı Bankacılık Kanunu’nda tanımlanan destek hizmeti kuruluşlarının veri sorumlusu veya veri işleyen sıfatlarından hangisine haiz olduklarının somut olayın özelliklerine göre belirlenmesi gerekliliğine dikkat çekilmiştir.
Destek hizmetleri dışında, bankaların iştirakler ve bağlı ortaklıklar, açık bankacılık ve acente sıfatıyla hareket ettiği durumlarda da somut olayın özelliklerine göre veri sorumlusu ya da veri işleyen sıfatını haiz olabileceği belirtilmiştir.
İŞLENEN KİŞİSEL VERİLER VE İŞLEME ŞARTLARI
- İşlenen Kişisel Veriler
Bankacılık sektöründe işlenen kişisel veriler özel nitelikli kişisel verileri de içerebileceği belirtilmiştir. Bu kapsamda kategorik olarak kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar gibi kişisel verilerin yanı sıra ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri ve sağlık bilgileri gibi özel nitelikli kişisel veri türleri de işlenebilecektir.
- Kişisel Veri İşleme Şartları
Kişisel verilerin işlenmesine ilişkin şartlar 6698 sayılı Kanun’un 5. maddesinde belirtilmiştir. Bu şartlar, ilgili kanunda sayma yoluyla sayıldıklarından ötürü genişletilemeyecektir. Bankacılık faaliyetlerinin kapsamı ve sınırları ilgili mevzuat düzenlemelerinde kesin bir şekilde belirlenmiş olduğundan, esasen bankalarca yapılan veri işleme uygulamaları büyük ölçüde, açık rıza dışındaki hukuka uygunluk nedenlerine dayanmaktadır. Her bir veri kategorisi, birden fazla amaçla işlenerek işlendikleri amaca göre farklı hukuka uygunluk nedenlerine tabi olabilecekleri gibi, bir işleme amacı birden fazla hukuka uygunluk nedenine de dahil olabilecektir.
1- Açık Rıza
Rehber açık rızanın tanımına ve şartlarına yer verilmiş daha sonrasında bankaların hangi şekillerde açık rıza alması durumunda rızanın kabul edileceği örneklerle açıklanmıştır. Aydınlatma yükümlülüğünün yerine getirilmesi ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmesi gereken işlemlerdir.
İlgili kişilerden alınacak olan açık rızanın herhangi bir şekil şartı 6698 sayılı Kanun’da belirtilmemiştir. Bu nedenle, bankanın ıslak imzalı ve yazılı bir metin temin etme zorunluluğu bulunmamaktadır. Rehber’de ‘’Kanala Özgü İyi Uygulama Örnekleri’’ başlığı altında açık rıza alındığının ispat yükümlülüğünün veri sorumlusu bankada olacağı belirtilmiştir. İspatın sağlanması açısından “kalıcı veri saklayıcısı” olarak kabul edilen araç ve yöntemler aracılığı ile açık rızanın alınması, ispat hususunda bankaların kullanabileceği elverişli yöntemlerdendir. Bu doğrultuda, Rehber’de, bankacılık uygulamalarında açık rıza, şube, ATM, internet/mobil bankacılık, mobil uygulama, çağrı merkezi, SMS, e-posta gibi benzer mecralar aracılığıyla kişinin açık rızası alınabileceği belirtilmiştir.
- Şubede, ıslak imza ya da onun yerini tutacak mevzuatın öngördüğü diğer yöntemlerle (dijital imza, e-imza vb.),
- ATM’de, ilgili kişinin söz konusu kanallara girişi sonrasında; açık rıza metni gösterilmesi suretiyle,
- İnternet/Mobil Bankacılık ile, ilgili kişilerden açık rıza metinlerine onay alınması için kişilerin işaretleyebileceği kutu/buton vb. yöntemlerle,
- Çağrı merkezinde, ilgili kişilere görüşmede tercihini bir tuşa basma veya müşteri temsilcisine sözlü olarak beyan etme imkânı sağlanarak,
- SMS ile, İlgili kişilerin bankada kayıtlı olan telefon numaralarına SMS aracılığı ile aydınlatma yapılarak ve SMS aracılığı ile doğrulama kodu gönderilerek kişisel verilerinin işlenmesi konusunda bir cevap vermesi yönünde yönlendirme ile,
- İlgili kişilerin bankada kayıtlı elektronik posta adresine, aydınlatma ve açık rıza metinleri yönlendirilebilecek, bu kanalda ilgili kişilerden açık rıza metnini kabul edip etmediği yönünde beyanını yöneltmesi için kutular sunulabilecektir.
2- Kanunlarda Öngörülmesi ve Hukuki Yükümlülüğün Yerine Getirilmesi
Kanunlarda öngörülmesi ve hukuki yükümlülüğün yerine getirilmesi amacıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin mevcut olması durumunda, açık rıza alma yoluna başvurulmaması belirtilmiştir.
Kişisel veri işlenmesiyle ilgili olarak herhangi bir kanunda açık hüküm varsa veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa kişisel verilerin işlenmesi mümkündür. Bankacılık uygulamaları özelinde, Rehber’de, Bankacılık Kanunu ve ikincil mevzuat uyarınca Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) veya bağımsız danışmanlık ve denetim şirketleri tarafından bankacılık sektörüne özgü, finansal veya güvenlik amacıyla gerçekleştirilen denetimlerde bankalarca bilgi paylaşımında bulunulması, ilgili düzenlemelerin ne şekilde uygulanması gerektiğine dair ilgili kurumların (T.C. Gümrük ve Ticaret Bakanlığı, Mali Suçları Araştırma Kurumu, Gelir İdaresi Başkanlığı vb.) başvuruda bulunan bankalara veya Türkiye Bankalar Birliği’ne/Türkiye Katılım Bankaları Birliği’ne, üyelerine duyurulmak üzere gönderdikleri yol gösterici yazı ve kararları çerçevesinde kişisel verilerin işlenmesi, Suç Gelirlerinin Aklanmasının Önlenmesine ilişkin ilgili mevzuat uyarınca bankaların yapılan işlemler bazında gerçek kişilere ilişkin olarak kimlik tespiti yükümlülüğünün olması ve bu yükümlülüğün yerine getirildiğini ispat amacıyla yapılan işlemler; 5941 sayılı Çek Kanunu’nun 2’nci maddesinin ikinci fıkrası uyarınca, çek karnesi tahsis sürecinde çek karnesi talebinde bulunan ilgili kişinin çek yasaklısı olup olmadığının tespitine yönelik adli sicil kaydı sorgusu yapılması durumlarında, kanunlarda öngörülmesi ve hukuki yükümlülüğün yerine getirilmesi sebeplerine dayalı olarak veri işlenebileceği belirtilmiştir.
Ayrıca, Bankacılık Kanunu 73. madde ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik kapsamında ilgili kişinin açık rızası alınmaksızın, belirtilen amaçlarla sınırlı ve ölçülülük ilkesine uygun ve amacın gerektirdiği kadar veriyi içermek kaydıyla bankalar tarafından kanunen açıkça yetkili kılınan mercilere kişisel veriler aktarılabilecektir.
Kurul, 5411 sayılı Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde tanımlanan “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesinin 6698 sayılı Kanun kapsamında hukuki yükümlülüklerin yerine getirilmesi olarak değerlendirmiştir. Bu kapsamda, kredi kullandırılan gerçek ve tüzel kişiler ile bu kişiler ile aynı risk grubunda olan diğer kişiler hakkında risk analizi ve değerlendirmesi ile takibinin yapılabilmesi için gerekli bilgi ve belgelerin temin edilmesi, temin edilen bilgi ve belgelerin teyit edilebilmesi için gerekli her türlü girişimde bulunulması, bu süreç için gerekli sistemsel düzenlemelerin yapılması ve işletilmesi için de kişisel verilerin işlenmesi Kanun kapsamında ilgili kişinin açık rızası alınmaksızın gerçekleştirilebilecektir. Bankaların tabi oldukları Bankacılık Kanunu, Sermaye Piyasası Kanunu dışında; anonim şirket olarak hareket etmeleri nedeniyle Türk Ticaret Kanunu, İş Kanunu gibi düzenlemelere uyum sağlayabilmeleri için gerek müşterilerinin gerekse de çalışanlarının kişisel verilerini işlemeleri zorunludur.
Rehber’de, bankalardan bilgi ve belge talep etmeye yetkili kurum ve kuruluşlarla yapılacak kişisel veri paylaşımlarında, paylaşılan bilgi ve belgenin talep edilen veriler ile sınırlı tutulması, bunun mümkün olmaması durumunda ilgili belgede yer alan kişisel verilerin silinmesi, maskelenmesi veya anonim hale getirilmesi suretiyle paylaşılması iyi uygulama örneği olarak değerlendirilmiştir.
3- Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesi
Rehber’de, bankaların müşterileri olan veya olmayan ilgili kişilere yönelik sunduğu bazı hizmetler için (SMS ile kredi talebi gibi) talebin alınması, değerlendirilmesi ve cevaplanması süreçlerinde, kişisel verilerin işlendiği durumda, her ne kadar taraflar arasında henüz bir sözleşme bulunmasa da banka ile ilgili kişiler arasındaki sözleşme ilişkisinin kurulma aşamasına (icaba davet ve icap) ilişkin veri işleme faaliyetleri açısından ilgili kişilerden açık rıza alınması gerek olmadığı belirtilmiştir.
Başka bir örnek olarak, bir kredi sözleşmesindeki borç veren taraf olan bankanın, ilgili kişiye bildirimleri yapabilmesi için kişiye ait her türlü iletişim bilgisine sahip olması gerektiği, bunun için kişinin açık rızasının alınmasına gerek bulunmadığı ifade edilmiştir.
4- Meşru Menfaat
Rehber’de öncelikle meşru menfaatin tespitinin nasıl yapılacağına ilişkin olarak bilgilendirme yapılmıştır. Bu kapsamda, veri sorumlusunun meşru menfaati hukuka aykırı olmayan menfaatidir, bankanın hukuk düzeni içerisinde cevaz verilen hukuki veya iktisadi menfaatlerinin ancak belli koşullarda meşru menfaat kapsamında değerlendirilmesi mümkündür.
Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınmasının önem arz edeceği ifade edilmiştir. Kişisel verileri meşru menfaate uygun kullanabilmenin üç kriteri vardır. Bu kriterler; amaç, orantılılık ve gereklilik olarak ifade edilmiştir.
Rehber’de bankacılık uygulamalarında, bilgi güvenliğinin sağlanması amacıyla; dolandırıcılık tedbirleri kapsamında; bankacılık alanında müşteri gruplarının (segmentasyon) belirlenmesi; müşterilere hitap eden ürün hizmetlerin tespiti; strateji çalışmalarının yürütülmesi; müşteri memnuniyetinin sağlanması amaçlarıyla meşru menfaat kapsamında veri işlenebileceği belirtilmiştir. Ayrıca, strateji çalışmalarının yürütülmesi kapsamında veri işlenmesi durumunda ise yapay zekâ kullanımında ve otomatik karar alma mekanizmalarında dikkat edilmesi gereken unsurlara yer verilmiştir. Bu doğrultuda, yapay zekânın çıktısı olan modellerin gerçek kişilere uygulandığı ikinci aşamaya geçildiğinde, amaca bağlı olarak yeniden bir hukuki sebep değerlendirmesi yapılması gerektiği vurgulanmıştır. Bu aşama neticesinde oluşan bilginin ilgili kişi ile ilişkilendirilmek istenilmesi halinde, (örneğin oluşturulan profiller ve modellere göre kişiye özel ürün teklifleri yapılması durumunda) kişinin KVKK uyarınca uygun hukuka uygunluk sebebi bulunması zorunludur.
Müşteri memnuniyetinin sağlanması gerek BDDK gerekse müşteriler tarafından beklenmektedir. Bu çalışmalar; veri işleme ile analiz faaliyetleri ve iletişimi kapsamaktadır. Bu kapsamda müşterinin ürün ve kanal kullanım detayları, şikâyet geçmişi gibi banka nezdinde tutulan veriler kullanılabilmektedir. Bu bilgilerin, bankaların sistemsel işleyişini devam ettirmek, müşteri aleyhine sonuç doğurabilecek hataları tespit etmek, düzeltmek ve bunlara karşı önlem almak amacıyla işlenmesi sonucunda müşteri deneyimi iyileştirilerek müşteri memnuniyeti de artırılmaktadır. Örneğin, bu analizlerin ilgili kişiler ile pazarlama yapılması ve ürün sunulması gibi amaçlar ile eşleştirilmesinin (profilleme yapılması) açık rıza gerektiren bir kişisel veri işleme faaliyetidir. Bu veri sorumlusunun meşru menfaati kapsamında sayılamayacak bir durumdur.
5- Bir Hakkın Tesisi ve Korunması İçin Zorunlu Olma
Rehber’de, bankaların faaliyetlerini güvenli bir şekilde yürütebilmesinin maruz kaldıkları risklerin belirlenmesine ve yönetilmesine bağlı olduğu ve bankanın ticari menfaatini güvende tutmak amacıyla, alacakların tahsil edilmesi amacıyla kredi borçlusu müşteri ile iletişime geçmesi gerekebileceği belirtilmiştir. Bu gibi durumlarda hakkın tesisi ve korunması için zorunlu olarak bankaların veri işleme faaliyeti gerçekleştirebileceği ifade edilmiştir.
Örneğin, banka tarafından resmi bilgi paylaşım platformlarından (Risk Merkezi, vb.) veya BTK lisanslı kuruluşlar üzerinden yapılan ve TCKN bazlı sorgular ile rehberlik hizmeti veren kuruluşlardan temin edilen telefon numaraları bankaların alacaklarının tahsili için idari ve yasal takip aşamasında kullanılabilmektedir. Bu durum, ilgili kişiler açısından da kişinin gecikmeye düşen borçlarını ödeyerek takibe düşmemesine hizmet edecektir. Banka, yaptığı sorgulamalar ile elde ettiği iletişim bilgilerini kullanarak ilgili kişilerle haberleşmesi sırasında gerekli kimlik doğrulama mekanizmalarını işletmeli, müşteriye ait bilgilerin üçüncü kişilerce ele geçirilmesini önlemelidir
6- Özel Nitelikli Kişisel Verilerin Bankalar Tarafından İşlenebilmesi
Rehber’de bankacılık sektöründe çok büyük ölçüde özel nitelikli kişisel veri işlendiğine dikkat çekilmiştir. Özel nitelikli kişisel verilerin işlenmesinde genel olarak, Kurul’un 31 Ocak 2018 Tarihli ve 2018/10 sayılı Kararı’nın dikkate alınması ve ilgili kararda belirtilen önlemlerin alınması gerekmektedir. Kimlik belgesi suretlerinin alınması sebebi ile din ve kan grubu bilgisinin işlenmesi, sağlık raporları, adli sicil kayıtları, ceza mahkûmiyeti ve güvenlik tedbiriyle ilgili mahkeme kararları, çalışanların sağlık verileri ve sigorta acentesi sıfatıyla alınan sağlık verileri gibi özel nitelikli kişisel verilerin işlendiği durumlarda bankaların ne gibi hususlara dikkat etmesi gerekliliğine ilişkin açıklamalara detaylı olarak yer verilmiştir. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak; kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmeli, çalışanlarla gizlilik sözleşmeleri yapılmalı, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve süreleri net olarak tanımlanmalı, periyodik olarak yetki kontrolleri gerçekleştirilmeli, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmalı ve bu kapsamda kendisine tahsis edilen envanter iade alınmalıdır. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik veya fiziksel ortamlar ise bu ortamların da güvenliğine ilişkin önlemler alınmalıdır.
- Kimlik belgesi sureti ile bankalar kimlik tespiti gerçekleştirmektedir. Bu kapsamda kişinin din ve kan grubu bilgisi içeren arkalı önlü kimlik belgesi sureti kişi tarafından banka ile paylaşılmaktadır. 6698 sayılı Kanun kapsamında işlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekir. Belirtilen bu özel nitelikli kişisel verilerin, kişisel verilerin işlenmesine ilişkin genel ilkelere uygun olmaması sebebiyle maskelenmesinin uygun olacağı belirtilmiştir.
- Sağlık raporları ile alınan özel nitelikli kişisel verilerde ise, sağlık verilerinin işlendiği süreçlerde ilgili kişinin açık rıza beyanının alınıp alınmadığının kontrolünü sağlamalıdır. İlgili süreç özelinde, gerçekleştirilmesi hedeflenen amaçlara ilişkin açık rıza beyanı olmayan kişilerin sağlık verilerinin işlenmemesi gerekliliği vurgulanmıştır.
- Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kişisel veriler ancak kanunlarda öngörülen hallerde ilgili kişinin açık rızası bulunmaksızın işlenebilecektir. Dolayısıyla bankalar, kanunlarda açıkça öngörülen bir husus bulunmaması halinde ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kişisel veriler kapsamına girebilecek verileri ancak ilgili kişinin açık rızası ile işleyebilecektir. Örneğin; çalışan adaylarının ceza mahkumiyet bilgilerinin istenmesi kanunlarda açıkça öngörülen bir süreç olmadığından bu bilgilerin toplanmaması tercih edilebilir. Eğer bu bilgilerin kesinlikle toplanması gerektiği düşünülüyor ise, çalışan adayından açık rıza alınarak bu bilgilerin toplanması gerekecektir. Başka bir örnek olarak ise, çek yasaklılığı değerlendirmesi yapılabilmesi için müşterinin adli sicil kaydı, ayrıca bir açık rıza olmaksızın işlenebilecektir. Bunun sebebi, 5941 sayılı Çek Kanunu’nunda açıkça araştırma yapılmasının belirtilmiş olmasıdır. Ancak adli sicil kaydının çek yasaklılığı değerlendirmesi dışında başkaca bir amaç için kullanılması durumunda, söz konusu amaç kapsamında adli sicil kaydı verilerin işlenmesi için ayrıca 6698 sayılı Kanun’da belirtilen özel nitelikli kişisel veri işleme şartlarından en az birinin mevcut olması gereklidir.
- Çalışanların sağlık verilerinin işlenmesi durumunda ise, mümkün olduğunca işyeri hekimi vasıtasıyla işlenmesi ve söz konusu verilerin işyeri hekimi tarafından banka içinde paylaşılmasına engel olacak süreçlerin kurgulanması gerekir. İş yeri hekimi tarafından söz konusu verilerin başka departmanlar ile de paylaşılması gerekiyorsa erişim yetkilendirmesi ya da kısıtlanması gibi önlemlerin alınması gerekliliği Rehber’de belirtilmiştir. Banka içerisinde, sadece belirli kişilerin/departmanların sağlık verilerine hukuki sebebi ortaya konulmak suretiyle erişebilmesi sağlanmalıdır.
- Bankaların sigorta acentesi sıfatı ile almış olduğu özel nitelikli kişisel veriler kapsamında; Rehber’de Sigorta Acenteliği Yönetmeliği 13. madde kapsamında acente olarak görev yapacak bankanın ne tür hukuki yükümlülüklerinin olduğu hatırlatılmıştır. Bankalar işbu Yönetmelik kapsamında, sağlık verilerini işlemektedirler.
Yine bankalar tarafından, kimlik doğrulama süreçlerinde biyometrik veri işlendiği ancak biyometrik veri işlenen süreçlerde eğer biyometrik veri işlenmesi ile ulaşılmak istenen amaca biyometrik veri işlenmeden de ulaşılması mümkün ise (örneğin, giriş-çıkışlarda avuç içi yerine kimlik kartı kullanılması), biyometrik veri işlenmesini gerektirmeyen alternatif bir yolun tercih edilmesinin uygun olacağı aksi halde ilgili kişinin açık rızasının alınması gerektiği ifade edilmiştir.
KİŞİSEL VERİLERİN AKTARILMASI
1- Yurt İçi Veri Aktarımı
Bankacılık uygulamalarında yurt içi veri aktarımları, 6698 sayılı Kanun’un 8. maddesi kapsamında gerçekleştirilebilecektir. Rehber’de veri aktarımlarına ilişkin genel uygulamalara yer verilmekle birlikte, bankacılık sektörü özelinde mevzuat ve uygulama gereği veri aktarımları tek tek ele alınmıştır. Bu doğrultuda, bankalar, mahkemeler, savcılıklar, BDDK, Sayıştay, Sermaye Piyasası Kurulu (“SPK”), Türkiye Cumhuriyet Merkez Bankası (“TCMB”), Tasarruf Mevduatı Sigorta Fonu (“TMSF”), Gelir İdaresi Başkanlığı (“GİB”), Sosyal Güvenlik Kurumu (“SGK”), Mali Suçları Araştırma Kurumu (“MASAK”) ve bunlarla sınırlı olmamak üzere kanunlar kapsamında bankalardan bilgi ve belge talep etmeye yetkili mercilere kişisel veri aktarımı ilgili kişilerin açık rızası olmaksızın yapılabilecektir. Bu paylaşımlar yalnızca, ilgili konularda sorulan soruların cevaplandırılması ile sınırlıdır.
Rehber’de, bankalar tarafından ilgili mevzuatlar uyarınca kamuyu aydınlatma yükümlülüğü altında açıklamaların yapılması, finansal raporların yayınlanması ve yetkili mercilere aktarılması, işçi, gemi adamı ve gazetecilerin istihkak ödemelerinin yapıldığı hesaplara ait bilgilerin kanunla yetkili kılınan mercilere aktarılması, gelir testi yapılmasına ve sosyal yardım hak sahiplerinin belirlenmesine ilişkin bilgilerin kanunla yetkili kılınan mercilere aktarılması, kısmen veya tamamen karşılığı bulunmayan çeki keşide edenlerin bankalarca bilinen adreslerinin çek hamiline verilmesi, Sayıştay’a veri aktarılması, icra ve iflas müdürlükleri ile veri paylaşılması durumları da ayrı olarak ele alınmıştır. Yine Rehber’de bankaların, şüpheli işlem bildirim zorunluluğu çerçevesinde gerçekleştirilen; ana ortak/bağlı ortaklara; muhtemel alıcılara, banka ve finansal kuruluşlara, Risk Merkezi, Bankalar Arası Kart Merkezi ve Kredi Kayıt Bürosu’na; iştiraklere, değerleme, derecelendirme ve Destek Hizmeti Kuruluşlarına ve iş ortaklarına gerçekleştirilen veri aktarımlarında detaylı olarak hangi hususlara dikkat edilmesi gerektiği belirtilmiştir.
2- Yurtdışı Veri Aktarımı
Rehber’de yurtdışına veri aktarımına değinilmiştir. Yurtdışına veri aktarımı şartlarının 6698 sayılı Kanun’un 9. maddesinin birinci ve ikinci fıkrası ile 5. maddenin ikinci fıkrası ve 6. maddenin üçüncü fıkrasında düzenlendiği hatırlatılıp, 6698 sayılı Kanun uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurtdışındaki üçüncü kişilerle paylaşılamayacağının ve bunlara aktarılamayacağının hükme bağlandığına değinilmiştir.
Rehber’de yurtdışı veri aktarımında açık rızanın önemine de değinilmiştir. Tek başına açık rıza yurtdışına veri aktarımı açısından yeterli değerlendirilmemiştir. 6698 sayılı Kanun’un 4. maddesinde sayılan ‘’Genel İlkeler’’e de uygun olarak aktarımın yapılması gerekliliği vurgulanmıştır.
Yurtdışına veri aktarımına ilişkin özel hükümlerin varlığı halinde, bu hükümlerin öncelikli olarak uygulanacağı, Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 10. maddesinin gerekçesinde de ifade edildiği üzere, esasen kişisel verilerin bankacılık hukukunda özel bir görünümü olan gerçek kişi müşteri sırları (müşteri bilgileri) bakımından Bankacılık Kanunu’nun hükümlerinin, 6698 sayılı Kanun’a göre özel hüküm niteliğini haiz bulunmakta olduğu ve özel norm-genel norm ilişkisinde özel normların uygulama alanı bulacağı ifade edilmiştir. Özetle, Bankacılık Kanunu’nun 73. ve 93. maddelerine dayanılarak hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ve müşteri sırrının paylaşımın düzenlendiği ilgili diğer mevzuata uygun şekilde müşteri sırrı niteliğini haiz kişisel verilerin yurt dışına aktarılabilecektir.
GENEL İLKELER
6698 sayılı Kanun’un “Genel ilkeler” başlıklı 4. maddesinde, kişisel verilerin ancak anılan Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “-Hukuka ve dürüstlük kurallarına uygun olma, -Doğru ve gerektiğinde güncel olma, -Belirli, açık ve meşru amaçlar için işlenme, -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Rehber’de kişisel verilerin işlenmesinde her hal ve şartta 6698 sayılı Kanun’un 4. maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu belirtilmiştir.
Rehber’de söz konusu ilkeler çerçevesinde örnek bir karara yer verilmiştir:
“(…) Şikâyetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin, 6698 sayılı Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (c) ve (ç) bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına” (Kişisel Verileri Koruma Kurulunun 18/09/2019 tarihli ve 2019/277 sayılı kararı)
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
1- Aydınlatma Yükümlülüğü
Aydınlatma Yükümlülüğü 6698 sayılı Kanun’un 10. Maddesinde düzenlenmektedir. Her bankanın kişisel veri kategorileri, veri toplama yöntemi, işleme amaçları ve hukuki gerekçeleri ile kişisel verilerin aktarıldığı taraflar kapsamında, kendi işleyiş̧ ve sistemlerine uygun olarak kendi aydınlatma metinlerini oluşturabileceği belirtilmiştir.
Bankanın veri işleme amaçlarının çok sayıda olması sebebiyle, aydınlatma metinlerinin Bankalarca hazırlanması uygun olacaktır. Bankalarca, kendilerine başvuruda bulunan ilgili kişiye bankaya geliş amacına göre, faaliyete özgülenmiş aydınlatma yapılması müşteri olmayan kişilerin banka ile sürekli iş ilişkisi kurmaması durumunda sürecin, faaliyete özgülenmiş aydınlatma ile son bulmasının uygun olabileceği belirtilmiştir. Örneğin, kişi tüketici kredisi/kredi kartı başvurusunda bulunduğunda krediye özgü aydınlatma yapılacak, kredi reddedilir ve kişi, banka müşterisi haline gelmez ise süreç sonlanmış olacaktır.
Bankalarca 6698 sayılı Kanun’da belirtilen kriterlere uygun şekilde hazırlanacak olan aydınlatma metinlerinde kişisel verilerin kategorik bazda işleme amaçları ve hukuki sebepler ile eşleştirilerek sunulması gerektiğine dikkat edilmelidir. Kişisel verilerin kimlere aktarılabileceğine yönelik zorunlu içerikte de; destek hizmeti alınan kuruluşlar, iş ortakları, iştirakler, denetim kuruluşları, yetkili kamu kuruluşları vs. gibi üçüncü kişi gruplarına kategorik olarak yer verilebilecek ve bazı kurumların sayılması da tercih edilebilecektir.
Rehber’de bankacılık sektöründe tüm veri işleme amaçlarının müşterilere sağlıklı ve yönetilebilir bir şekilde aktarılmasında katmanlı aydınlatma yönteminin kullanılmasının benimsenebileceği ve bankacılık uygulamalarında aydınlatma yükümlülüğü, şube, internet sitesi, internet şubesi, mobil şube ve mobil uygulama, çağrı merkezi/IVR, e-posta, fiziki posta, SMS, ATM aracılığı ile gerçekleştirilebileceği belirtilmiştir.
Rehber’de çağrı merkezi/IVR, SMS ve ATM’de sunulabilecek aydınlatma metinleri örneklerine de yer verilmiştir.
Örnek Çağrı Merkezi Metni: “Kişisel verilerinizin ne şekilde işlendiğine dair aydınlatma metnini dinlemek için 1’e, daha önce bu konuda bilgilendirildiyseniz, dinlemeden ilerlemek için 2’ye basınız.”
Örnek SMS Metni: “….. tarafından hazırlanan kişisel verilerinizin işlenme ve aktarılma amacı, toplanma yöntemi, hukuki sebep ve haklarınıza ilişkin aydınlatma metnine ulaşmak için tıklayınız.”
Örnek ATM Metni: “….. tarafından hazırlanan kişisel verilerinizin işlenme ve aktarılma amacı, toplanma yöntemi, hukuki sebep ve haklarınıza ilişkin aydınlatma metnine ulaşmak için buton/menü’yü tıklayabilirsiniz/ metne … linkinden ulaşabilirsiniz.”
Ayrıca, Rehber’de bankacılık uygulamalarında gerçekleştirilen özel durumlarda aydınlatma yükümlülüğünün nasıl yapılması gerektiğine ilişkin detaylı açıklamalara yer verilmiştir. Bu doğrultuda, imza yetkilileri ve gerçek faydalanıcıların aydınlatılması, Risk Grubu’ndakilerin aydınlatılması, varlığın sahibi dışındaki kişilere ilişkin kişisel verilerin ve çek-senetlerde son ciranta dışındaki kişilerin kişisel verilerinin işlenmesi, maaş ödeme anlaşmaları, kredi kartları ve banka kartları işlemlerinde özel olarak hangi hususlara dikkat edilmesi gerektiğine yer verilmiştir.
2- Veri Sorumluları Sicili, Sicile Kayıt ve Kişisel Veri İşleme Envanteri Hazırlama Yükümlülüğü
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinde kamuya açık bir veri sorumluları sicili tutulacağı belirtilmiştir. Veri sorumlusu olan bankaların da Veri Sorumluları Sicili’ne kayıt yükümlülüğü mevcuttur.
Veri Sorumluları Siciline kayıt başvurusu, sayılan hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri b) Kişisel verilerin hangi amaçla işleneceği c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları d) Yabancı ülkelere aktarımı öngörülen kişisel veriler e) Kişisel veri güvenliğine ilişkin alınan tedbirler f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. 30.12.2017’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) ile de, Veri Sorumluları Siciline yapılacak kayıtlara ilişkin usul ve esaslar belirlenmiştir.
Rehber’de sicil başvurularında, sicile açıklanacak bilgilerin Kişisel Veri İşleme Envanteri’ne dayalı olarak hazırlanması gerektiği belirtilmiştir. Veri sorumluları sicilinde yer alan bilgilerle, envanterde yer alan bilgilerin tutarlı ve güncel olması banka tarafından yürütülen periyodik gözden geçirmeler ile sağlanır. Zira veri sorumluları, sicile sunulan ve sicilde yayımlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.
Rehber’de VERBİS ve kişisel veri işleme envanterine ilişkin genel açıklamaların yanı sıra bankacılığa özgü veri kategorileri, kişi grupları, alıcı grupları ve bankacılık sektöründe mevzuatlara uygun referans alınabilecek azami süreler özel olarak açıklanmıştır.
1- Bankacılığa Özgü Veri Kategorileri: Veri envanterinde yer alan ve bankacılığa özgü olarak tanımlanan veri kategorilerinin başında finansal işlem kayıtları, borç/bakiye bilgileri, finansal istihbarat ve takip verileri, kredi risk skor bilgileri, finansal dolandırıcılık/ fraud verileri gibi veri kategorileri yer almaktadır.
2- Kişi Grupları: Kişisel veri işleme envanterinde müşteri, başvuru sahibi, lehdar , kefil, garantör, hukuki halef, müşterek borçlu, risk grubunda yer alan kişiler için birinci derece yakınları, hissedar gibi bankacılık işlemleri kapsamında işlenen verilerin sahibi olan veri konusu kişi grupları olabileceği gibi; ziyaretçi, aday, personel, tedarikçi temsilcisi gibi kurumsal idare süreçlerinde işlenen verilerin sahibi olan veri konusu kişi grupları da yer alabilmektedir.
3- Alıcı Grupları: Veri envanterinde de ifade edilen bir diğer başlık olan alıcı grupları arasında; banka iştirakleri, iştirakleri ve grup firmaları, resmi kurumlar, Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik kapsamında tanımlanmış olan destek hizmeti kapsamındaki firmalar, destek hizmeti kapsamının dışındaki hizmet alınan taraflar, eğitim firmaları, bağımsız denetim firmaları, danışmanlık hizmeti alınan firmalar, avukatlık hizmeti alınan taraflar, varlık yönetim şirketleri, KKB / Risk merkezi gibi risk değerlendirme kurumları, muhabir bankalar, talimatlandırılmış hizmetler kapsamında finansal işlem kayıtlarının paylaşıldığı diğer finansal kuruluşlar, araştırma şirketleri gibi her bir veri işleme sürecine özgü olarak tanımlanabilecek alıcı ve alıcı grupları yer almaktadır.
4- Azami Süreler: Envanterde ifade edilen her bir veri kategorisi için süreç bazında azami saklama süresi belirlenmelidir. Bu süreler belirlenirken; mevzuatta öngörülen saklama süreleri, mevzuatta öngörülen bir sürenin bulunmaması halinde ise işlendikleri amaç için gerekli olan saklama süreleri dikkate alınır.
Bu sürelerde referans alınabilecek düzenlemelerden bazılarına aşağıda ver verilmiştir:
- 15 yıl- İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği madde 7
- 10 yıl- 5510 sayılı Kanun madde 86
- 10 yıl- 5411 sayılı Bankacılık Kanunu
- 10 yıl- 6098 sayılı Türk Borçlar Kanunu
- 8 yıl- SPK Bilgi Suistimali veya Piyasa Dolandırıcılığı Suçları Hakkında Bildirim Yükümlülüğü Tebliği madde 10
- 3 yıl- Sermaye Piyasası Kurulu’nun VII-128.7 sayılı Sermaye Piyasasında Faaliyette Bulunanlar İçin Lisanslama ve Sicil Tutmaya İlişkin Esaslar Hakkında Tebliği madde 17/1
- 8 yıl- 5555 Suç Gelirlerinin Aklanmasının Önlenmesine Hakkında Kanun madde 8
- 8 yıl- Kimlik Paylaşım Sistemi Yönetmeliği madde 18
3- Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi
Rehber’de, 6102 sayılı Türk Ticaret Kanunu’nun 64, 65 ve 82’inci maddeleri ile 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesi uyarınca, bankaların gerçekleştirdiği işlemlerle ilgili belgeleri 10 yıl süreyle saklama yükümlülüğü bulunduğu; bunun yanı sıra bankalarca ürün ve hizmetlerin sunulması, bir sözleşme ilişkisini de doğurduğundan, saklama sürelerinin belirlenmesinde 6098 sayılı Türk Borçlar Kanunu’nun zamanaşımı sürelerini düzenleyen 146’ncı maddesinde yer alan her alacağın 10 yıllık zamanaşımına tabi olduğu hususunun da dikkate alınacağı belirtilmiştir. Mevduat ve Katılım Fonunun Kabulüne, Çekilmesine ve Zamanaşımına Uğrayan Mevduat, Katılım Fonu, Emanet ve Alacaklara İlişkin Usul ve Esaslar Hakkında Yönetmelik ve düzenleyici kurumlarca (BDDK, TMSF gibi) belirlenerek bankalara bildirilen bu husustaki usul ve esaslar çerçevesinde, bankaların asgari olarak fona devir tarihine kadar saklama yükümlülüğü bulunmaktadır.
6698 sayılı Kanun ve ilgili sair mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Rehber’de bankacılık uygulamalarında hangi durumlarda verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi gerektiği örnekler ile açıklanmıştır:
- Müşterinin, hesaplarının kapatılarak, sürekli iş ilişkisine son verilmesi yönünde talebinin olması
- Sürekli iş ilişkisinin sona ermesini takiben, müşteri belgelerinin muhafazası konusunda yasal düzenlemelerden kaynaklanan saklama sürelerinin geçmiş olması
- Müşteri ile banka arasında devam eden herhangi bir hukuki ihtilafın bulunmaması
- Müşteri hesapları üzerinde, hesapların kapatılmasını engelleyecek herhangi bir haciz, rehin vb. kaydın bulunmaması
Bu doğrultuda, Rehber’de her bir bankanın kendi kaynaklarını, veri ve süreç mimarisini göz önünde bulundurarak kısa, orta ve uzun vadeli imha hedeflerini belirlemesi tavsiye edilmiştir. İmha yöntemleri ise silme, yok etme ve anonim hale getirme olarak sayılmıştır.
Bankacılık sektöründe bilgi sistemlerinin girift yapısı, birçok bankacılık ürününün oluşturduğu verideki bir değişikliğin diğer ürünlerin verilerine sirayet etmesine, bir ürünün verilerinin ortadan kaldırılmasının diğer ürünlerin verilerinin de bir kısmının karanlıkta kalmasına, kopuk bir muhasebe hareketi silsilesi izlenmesine ve anlaşılmasının güçleşmesine neden olmaktadır. Örneğin, bir gerçek kişiye ait veri yığınının her bir tekil elemanının (örneğin, o kişinin kredisinin belirli bir tarihteki tahsil hareketi) aslında diğer tekil elemanların muhasebe ve bilgi işlem bağlamında tutarlı ve bütünsel bir şekilde izlenmesine olanak vermesi için de tutulması ve saklanması gerekebilmektedir. Bu kapsamda, bir gerçek kişinin herhangi bir tekil verisi için işleme amaçları arasında “veri bütünlüğünün korunması”, “müşteri bilgilerinin tutarlılığının sağlanması” gibi amaçlar da bulunmaktadır. Bu amaçların, 6698 sayılı Kanun’un 5. maddesinin ikinci fıkrasının (ç) bendindeki veri sorumlusunun özellikle hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (örneğin BDDK düzenlemeleri) ve f bendindeki ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması kapsamında ele alınabileceği ifade edilmiştir.
4- Veri Güvenliği
Rehber’de veri sorumlusu sıfatını haiz bankaların 6698 sayılı Kanun’un 12. maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerinin bulunduğu belirtilmiştir. Ayrıca, bankaların yasal mevzuattan kaynaklanan örneğin; Bankacılık Kanunu, Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, Bilgi Güvenliğine İlişkin Teknik ve İdari Önlemler başlığı altında bankacılık sektöründe uygulanan ikincil mevzuatlar kapsamında veri güvenliğine ilişkin yükümlülüklerinin de bulunduğu belirtilmektedir.
Bu doğrultuda bankaların çeşitli teknik tedbirlerine ek olarak çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği prosedürlerinin ve politikalarının belirlenmesi, veri işleyenler ile ilişkilerin yönetimi, kişisel verilerin mümkün olduğunca azaltılması gibi idari tedbirler de alması gerektiği belirtilmiştir. Teknik tedbirler ise tablo halinde Rehber’de sayılmaktadır. Bu tedbirler: Yetki matrisi, yetki kontrolü, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, silme, yok etme ve anonim hale getirme, anahtar yönetimidir.
Ayrıca, bankacılık sektöründe veri güvenliğine ilişkin önlemler; kişisel veri güvenliği rehberi mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmalarının yürütülmesi, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, veri işleyenler ile ilişkilerin yönetimi, kişisel verilerin mümkün olduğunca azaltılması gerekliliği başlıklar halinde ele alınmıştır. Tüm bunlarla birlikte, bankaların denetim yapma yükümlülüğü ve uluslararası standartlara uyumluluk da veri güvenliğine ilişkin önlemler arasında sayılmıştır.
5- İlgili Kişinin Hakları ve Şikayetlerin Yönetilmesi
İlgili Kişinin Hakları ve Şikâyetlerin Yönetilmesi yükümlülüğü ise, Anayasa’nın 20. maddesinde öngörülen kişisel verilerin korunmasını isteme hakkına dayandırılmıştır. Bu kapsamda, “Türkiye’de yerleşik olmayan veri sorumlularını asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi” olarak ifade edilen veri sorumlusu temsilcisinin, Veri Sorumluları Sicili Hakkında Yönetmelik’in 11. maddesinin (c) bendi uyarınca Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanun’un 13. maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme ve (ç) bendi uyarınca Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanun’un 13. maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme yükümlülükleri bulunduğu vurgulanmıştır.