Bankacılık İyi Uygulamalar Rehberi Yayımlandı

Kişisel Verileri Koruma Kurumu ve Türkiye Bankalar Birliği iş birliği ile bankacılık sektörüne özgü kişisel veri işleme faaliyetlerine ilişkin kapsamlı değerlendirmeler ile iyi uygulama örnekleri içeren Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) Temmuz 2022 tarihinde yayınlanmıştır. Rehber, KVK Kanunu’nda 12 Mart 2024 tarihinde yapılan değişiklikler göz önünde bulundurularak Aralık 2024 tarihinde güncellenmiştir. Rehber’in güncel versiyonuna buradan ulaşabilirsiniz. 

Rehber’de yer alan özel nitelikli kişisel verilerin işlenmesine ilişkin açıklamalar KVK Kanunu’nun değişen 6’ıncı maddesi çerçevesinde genişletilmiştir. Yurt dışına aktarımda ise açık rızaya dayalı sistem terk edilerek yeterlilik kararı, uygun güvenceler ve arızi aktarıma dayalı yurt dışına veri aktarımı düzenlendiğinden Rehber bu bakımından da KVK Kanunu’nun 9’uncu maddesi çerçevesinde gözden geçirilmiştir. Yurt dışına aktarım usullerinden arızi aktarım konusunda birtakım önemli hususların altı çizilmiş, arızi aktarım hallerinin son derece dar yorumlanması gerektiği belirtilmiştir. 

Rehber’de arızi aktarıma örnek olarak Türkiye’de kurulu “A” bankasının, para gönderme talebini karşılamak üzere ilgili müşterinin kişisel verilerini Etiyopya’da kurulu “B” bankasına göndermesi verilmiştir. Bu örnekte, ilgili kişinin KVK Kanunu m. 9/6(a) uyarınca doğacak risklere ilişkin muhakkak bilgilendirilmesinden sonra açık rızasına başvurularak, aktarımın düzenli olmaması, süreklilik göstermemesi ve nadiren gerçekleşmesi ve Bankanın mutat işlemler arasında yer almaması kaydıyla aktarımın gerçekleştirilebileceği ifade edilmiştir. Ne var ki para gönderimi bankaların normal işlemleri arasında olduğu için bu örnekte geçen, “bankanın mutat işlemleri” ifadesi ile hangi işlerin kastedildiği anlaşılmamaktadır. Ayrıca örnekteki işlemin, müşteri tarafından verilen bir talebin yerine getirilmesi için gerçekleştirildiği gözetildiğinde, yurt dışına aktarımın KVK Kanunu m. 9/6(c) uyarınca “aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması” hukuki sebebine dayalı olarak gerçekleştirmesi de mümkün gözükmektedir. Bu bakımdan Rehber’de açık rıza şartının aranması, bu konudaki soru işaretlerini artırmaktadır. 

Kişisel verilerin bir banka tarafından dava sürecini yürütmek amacıyla aktarılması da -bu aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ve aktarımın düzenli olmaması, süreklilik göstermemesi ve nadiren gerçekleşmesi şartıyla- bir diğer arızi hal örneği olarak sayılmıştır. 

Sonuç itibariyle Rehber’de verilen örneklerde açıklığa kavuşturulması gereken hususlar yer almakta olup, Kişisel Verileri Koruma Kurulunun ileriki dönemde vereceği kararlar ile bu konulara ışık tutması beklenmektedir. 

Daha fazla bilgi ve destek için bizimle iletişime geçebilirsiniz.

LBF Partners Hukuk Bürosu

---