Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile Getirilen Düzenlemenin Kişisel Verilerin Korunması Hukuku Açısından Değerlendirilmesi
Nisan 2020, Erdemir&Özmen Avukatlık OrtaklığıBankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile Getirilen Düzenlemenin Kişisel Verilerin Korunması Hukuku Açısından Değerlendirilmesi
Bankacılık Düzenleme ve Denetleme Kurumu’nca (BDDK) önce taslak olarak ilgili tüm paydaşların görüşleri alınarak kamuoyunun görüşüne sunulan ve uzun bir çalışmanın ardından Resmi Gazete’de 15 Mart 2020 tarihinde yayınlanan yürürlük tarihi 1 Temmuz 2020 olarak kararlaştırılan Yönetmelik ile KVK hukuku düzenlemelerini de yakından ilgilendiren önemli değişiklikler yapılmıştır.
Bu Yönetmelikte, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar ile tesis edilmesi gereken bilgi sistemleri kontrollerini düzenlenmesi amaçlanmıştır.
İşbu makalede, Yönetmelik ile bankaların bilgi sistemlerine ilişkin Bilgi Güvenliği Yönetimi ile ilgili getirilen en önemli yenilik olan “Veri Gizliliği ve Verilerin Paylaşılması” konusunun KVK hukuku kapsamında yansıması ele alınmaktadır.
Müşteri Sırrına İlişkin Son Dönemde Ne Gibi Düzenlemeler Getirildi?
1. Bankacılık Kanunu Kapsamında Yapılan Düzenleme ile Sırların Yurt Dışına Aktarımına ve BDDK’nın Yetkili Kılınmasına İlişkin Düzenlemeler Yapılmıştır.
Yönetmelik yayınlanmadan önce 25 Şubat’ta 2020 tarihinde 7222 Sayılı “Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un” 10. maddesi ile 5411 sayılı Bankacılık Kanun’unda KVK Hukuku düzenlemelerini yakından ilgilendiren bir değişiklik yapılmıştır.
Yapılan değişiklik ile Bankacılık Kanunu’nun 73. Maddesine yeni eklemeler yapılmıştır. Değişiklik Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73/3 maddesine “…Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz….” Şeklinde düzenleme yapılmıştır.
İlgili düzenlemenin tamamına buradan [1] ulaşabilirsiniz.
Buna ek olarak, kanun koyucu tarafından “Sır niteliğindeki bilgilerin, üçüncü ve dördüncü fıkralar uyarınca yapılacak paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Kurul yetkilidir” şeklinde ilgili maddeye 5. fıkra olarak ekleme yapılmıştır.
Yapılan değişiklikte en dikkat çeken kısım, “müşteriden açık rıza alınsa dahi” sır niteliğindeki bilgilerin ““müşteriden gelen bir talep ya da talimat olmaksızın” yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve bunlara aktarılamayacağıdır.
Görüldüğü üzere, yapılan düzenleme ile 6698 Sayılı KVKK uyarınca alınması zorunlu tutulan “Müşterinin Açık Rıza”sı artık yeterli sayılmamış, “Müşterinin Talebi ya da Talimatı” alınması zorunlu tutulmuştur.
Yine veri aktarımı konusunda Kişisel Verileri Koruma Kurumu’nun yanı sıra, banka müşterilerine ait kişisel verilerin aktarımı konusunda BDDK’ya da benzer yetki tanınmıştır.
2. Yönetmelik ile Veri Gizliliği ve Verilerin Paylaşılması Hususunda Önemli Düzenlemeler Yapılmıştır.
Yeni Yönetmeliğin “Verilerin Gizliliği ve Verilerin Paylaşılması” ile ilgili getirilen yeni düzenleme ile yukarıda açıklanan Bankacılık Kanunu’nun 73. Maddesinde yakın zamanda yapılan değişiklik ile paralellik sağlaması amaçlandığı görülmektedir. Buna göre,
“ Bankanın, müşterisinin yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir talebi olmadıkça, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, Kanunda yer alan istisnai haller haricinde yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamayacağı ve bunlara aktaramayacağı” hükmü getirilmiştir.
Söz konusu maddede de sır saklama yükümlülüğünden istisna tutulan haller dışında, müşterinin açık rızası alınsa dahi müşterinin bu konuda açık bir talimat veya talebi olmadıkça paylaşım yapılamayacağı düzenlenmiştir.
Görüldüğü üzere, Bankacılık Kanunu’nun 73. Maddesinde yakın zamanda yapılan düzenleme ile paralel olarak ele alınmış bu düzenlemede, açık rızanın müşteriye sunulacak hizmete ön şart olarak düzenlenemeyeceği özellikle vurgulanmıştır.
Söz konusu bilgiler Bankacılık Kanunu’ndaki bir istisnaya ya da diğer kanunların emredici hükümlerine dâhil değilse müşteriden Kişisel Verilerin Korunması Kanunu kapsamında açık rıza alınsa dahi müşteriden talep veya talimat olmadıkça müşteri bilgilerinin üçüncü kişilere aktarılması kısıtlanmaktadır.
Ayrıntılı bilgi için ilgili Yönetmelik’in tam metnine buradan[2] ulaşabilirsiniz.
Kanun koyucu tarafından yapılan düzenlemelerle kişisel verilerin korunması konusunda açık rıza mekanizmasının yeterli bulunmadığı kişisel verilerin yurtiçi ve yurtdışında 3. Kişilere aktarımı konusunda banka müşterisinin açık talimatı veya talebi olmadığı sürece kişisel veri aktarımının hukuka aykırı olduğu belirtilmiştir. Getirilen yeni düzenleme ile veri aktarımının denetimi konusunda KVKK’nın yanı sıra BDDK’nın yetkili kılındığı göz önünde bulundurulduğunda, bankanın hukuka aykırı bir ihlal durumunda her iki hukuk disiplinin de ihlal edilmiş olduğuna dikkat çekilmesinin önemli olduğunu düşünmekteyiz.
Kaynakça:
[1] https://www.resmigazete.gov.tr/eskiler/2020/02/20200225-12.htm
[2] https://www.resmigazete.gov.tr/eskiler/2020/02/20200225-12.htm