20. yüzyılda yaşanan büyük çaptaki değişim ve gelişmeler kişiye ait verilerin korunması gereksinimi de beraberinde getirmiştir. Bu kapsamda kişisel verilerin korunması hususundaki ilk hukuki düzenleme 7 Ekim 1970 tarihli Almanya’nın Hesen Eyaletine ait Kişisel Verilerin Korunması Kanunudur.
Türk Hukukunun ise bu anlamda köklü bir geçmişe sahip olduğu söylenemeyecektir. Çeşitli kanun maddelerinde kişisel verilerin korunmasına dair düzenlemeler yapılmış olsa da bütüncül bir düzenleme 07.04.2016 tarihine kadar mevcut değildi. Bu kapsamda anılan tarihte yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) düzenlemeye muhtaç çok sayıda hususu hüküm altına almıştır.
Bankacılık Sektörü açısından KVKK büyük önem taşımaktadır. Zira bankalar birçok sayıda kişisel veriyi işlemekte ve bünyesinde barındırmaktadır. Bankaların ekonomik faaliyetleri fonlama fonksiyonunun önemi ve kapsamı düşünüldüğünde kişisel verilerin korunması konusundaki düzenlemelerin sağlayacağı fayda oldukça büyük olacaktır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 2. Maddesi uyarınca; “…kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Bu bakımdan madde hükmünden de açıkça anlaşılacağı üzere bankalar KVKK kapsamındaki yükümlülüklere tabi bulunmaktadır.
KVKK kişisel verilerin işleme amaçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri veri sorumlusu olarak tanımlamaktadır. KVKK’ya göre veri sorumlusu olan bankaların işbu kanun hükümlerine uyumlu şekilde faaliyet göstermeleri gerekmektedir.
Kişisel Verileri Koruma Kurulu’nun 02.04.2018 tarihli 2018/32 Sayılı kararı ile “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” kapsamında bir liste düzenlemesine gittiği görülmektedir. İşbu yükümlülükten istisna tutulacak veri sorumluları;
Şeklinde Kurul kararı ile tahdidi olarak sayılmıştır. İlgili liste incelendiğinde Bankaların bu istisna içerisinde yer almadıkları açıkça görülmektedir.
Bankaların işbu yükümlülüklerine aykırı şekilde hareket etmeleri para ve hapis cezaları şeklinde yaptırımlarla karşılaşmalarına sebep olabilecektir. Bankaların bu aykırılık kapsamında zararına sebebiyet verdikleri ilgili kişiler, banka ve banka personelleri aleyhine adli yollara başvurma hakkına da sahiptirler.
Bankacılık Düzenleme ve Denetleme Kurumu, Rekabet Kurumu, Sermaye Piyasası Kurulu, Gümrük ve Ticaret Bakanlığı gibi birçok denetleyici ve düzenleyici kurum tarafından bankalar hakkında düzenlemeler yapılmaktadır. KVKK son zamanlarda bankalar hakkında yapılan değişiklik ve düzenlemeler arasında son derece önemli bir yer tutmaktadır. Bu sebeple KVKK’ya göre veri sorumlusu olan bankaların işbu kanun hükümlerine uyumlu şekilde faaliyet göstermeleri gerekmektedir.
Kişisel Verileri Koruma Kurumu’nun 21.12.2017 tarihli 2017/62 Sayılı İlke kararı uyarınca;
“Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;
Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına
Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına oy birliği ile karar verilmiştir.”
Kurul verdiği karar ile bankacılık sektörü açısından kişisel verilerin korunmasına verilmesi gereken öneme dikkat çekmektedir.
Örneğin bankaların mevduat hesabı açtırmak için başvuran ilgili kişilerden eğitim seviyesi, medeni hali gibi bilgiler talep ettikleri görülmektedir. Taleplerini ise ürün ve hizmetleri tanıtabilmek amacına dayandırmaktadırlar. Fakat bu durum KVKK’ya aykırılık teşkil edecektir. Zira talep edilen söz konusu veriler mevduat hesabı açmak için gerekli değildir. Bu kapsamda bankaların ve ilgili kurum ve kuruluşların kişisel verilerin korunması hususuna gösterecekleri önem birçok uyuşmazlığın önüne geçecektir.
Stj. Av. Öykü Yaman
Kaynakça:
1. Yard. Doç. Dr. Mesut Serdar ÇETİN, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU, Onikilevha, İstanbul 2018
2. Hüseyin Murat DEVELİOĞLU, 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU İLE KARŞILAŞTIRMALI OLARAK AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ, Onikilevha, İstanbul 2017
6. Kişisel Verilerin Korunması Kanunu ve Finans Kurumları, https://www.procompliance.net/kisisel-verilerin-korunmasi-kanunu-ve-finans-kurumlari/ (ET: 17.01.2019)
7. Kişisel Verileri Koruma Kurulu’nun 21.12.2017 tarih ve 2017/62 Sayılı kararı
8. Kişisel Verileri Koruma Kurulu’nun 02.04.2018 tarih ve 2018/32 Sayılı kararı
