AB Üye Ülke Uygulamaları Işığında
Finans Sektöründe Kişisel Verilerin Korunması
Uygulamaları
GSG Hukuk
2
Temel KVK ilke ve kavramları
Temel KVK kavramları
Temel KVK ilkeleri
Temel KVK kavramları Kişisel Veri
KVKK’da ‘‘Kişisel Veri’’, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Dolayısıyla anonimleştirilmiş veriler ile merhum kişilerin verileri, kişisel veri olarak kabul edilemeyecektir.
Kişisel verilerin unsurları aşağıdaki gibidir:
i. Kimliği belirli veya belirlenebilir ii. Gerçek kişi
iii. İlişkin olma
i. Kimliği belirli veya belirlenebilir
Her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da bu kişiye ait başka bilgiler de bu kişiyi, içinde bulunduğu bir topluluğun diğer üyelerinden ayırt edilmesini sağlayabilir.
Kimliği belirlenebilir olma durumu değerlendirilirken, veri sorumlusu veya üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede başvurabileceği tüm yollar (başka veri kaynaklarından edinilebilecek verileri kullanma vb.) göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilmelidir.
ii. Gerçek kişi
Tüzel kişilere ilişkin verilerin korunması KVKK kapsamı dışında kalmakla birlikte, tüzel kişilerin verilerini koruyan diğer mevzuat hükümleri saklıdır.
iii. İlişkin olma
Gerçek kişi ile veri arasındaki bağlantı genellikle kolaylıkla kurulabilmektedir.
Ancak bazı hallerde verinin nesne ile ilgili olması halinde kişi ile dolaylı bir bağlantısı olduğundan söz edilecektir.
PwC I GSG Hukuk 3
32
Rıza aranmayan durumlar
Photo
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)
3
Finansal kuruluşunun müşterisi tarafından açılan bir davada ispat yükünün gereği olarak bazı verilerin kullanılması; kısıtlı bir kişinin haklarının korunması amacıyla vasi veya kayyumun, kısıtlı kişinin mali bilgilerini tutması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru
menfaatlar için veri işlenmesinin zorunlu olması
Finansal kuruluş sahibinin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları veya sosyal haklarının
düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerini işlemesi.
İlgili kişinin kendisi tarafından alenileştirilmiş olması
Müşterileri tarafından aleni hale getirilen ve böylelikle herkes tarafından
bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
3
Finans Kuruluşlarının
Veri Sorumlusu olarak
Yükümlülükleri
Genel yükümlülükler
Bir finans kuruluşunun veri işleme faaliyetleri ile ilgili olarak aşağıdaki başlıklara riayet ettiğinden emin olması gerekir:
• Temel KVK ilkelerine uygun hareket etmeli,
• İlgili kişiyi (müşteri, çalışanlar vb.) bilgilendirmeli,
• Kişisel verileri işlemeden önce ilgili kişiden Kanuna uygun açık rıza alınmalı,
• İlgili kişinin KVKK’dan doğan haklarını kullanması için gereken prosedürleri oluşturmalı,
• Kişisel verilerin güvenliğini sağlamalı,
• Veri sorumluları siciline kaydolmalı,
• Elde edilen kişisel bilgileri sınıflandırmalı ,
• Her bir bölüm ve yetki düzeyindeki çalışanların kişisel veri
işlemelerine ilişkin görev ve sorumlulukları ile hangi kişisel veriye ne kadar erişim sağlayacaklarını belirlemeli,
• Çalışanları KVK konusunda bilinçlendirmeli,
• Kişisel veri toplama, saklama, kullanma gibi işleme faaliyetleri sırasında verilerin 3. kişiler ile paylaşılmamasını ve yurtdışına aktarılmamasını temin etmek için yeterli güvenlik önlemlerini almalı, kontrol mekanizmaları oluşturmalı,
• Çalışanlar ve dış hizmet sağlayıcıları ile yapılan gizlilik sözleşmelerine KVK ilkelerine uyum çerçevesinde hükümler eklemeli,
• Müşterilerin verilerinin paylaşacağı dış hizmet sağlayıcısını seçerken veri güvenliğini göz önünde bulundurmalı,
• 3. kişilerden kişisel veri temin edilecek olması durumunda, 3.
kişinin ilgili kişilerden, verilerinin paylaşılması konusunda rızalarının hukuka uygun olarak alındığından ve temin edilen verilerin hukuka uygun işlediğinden emin olmalı.
• Süreç, teknoloji ve veri bazlı kişisel veri envanterini çıkarmalı,
• Hukuka uygun elde etmiş olduğu kişisel verileri ilgili kişilerin rızasını almadan 3.kişilere aktarmamalı.
4
Düzenleyici Otorite ve
Kanun’un Geçiş Süreci
Düzenleyici Otorite ve Geçiş Süreci
Kişisel Verileri Koruma Kurumu
Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulacaktır
Kurulun görev ve yetkileri;
• Kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak,
• Şikayetleri karara bağlamak,
• Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen incelemek ve gerektiğinde geçici önlemler almak,
• Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek,
• Veri Sorumluları Sicili’nin tutulmasını sağlamak,
• Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, KVKK’da yer alan idari
yaptırımlara karar vermek vb.
Kurul
(9 üye) Başkanlık
Kişisel Verileri Koruma Kurumu (195 kişilik
kadro)
+ =
5
Vaka Çalışmaları
32
Banka, mevduat hesabı açmak için başvuran bir müşterisinden “eğitim seviyesine” ve “medeni hâline” ilişkin bilgilerini talep etmektedir. Banka bu verilerin işleme amacının, banka ürün ve hizmetlerinin müşterileretanıtılması olduğunu ileri sürmüştür. Ancak, banka bu nevi verilerin işlenmesini mevduat hesabının açılması için şart koşmaktadır.
Vaka
çalışması-1
Tasarruf hesabı için başvuran müşterilerden ilave veri
alınması
Şikayet
“Eğitim seviyesi” ve “medeni hâl”e ilişkin veriler, müşteriye mevduat hesabı hizmetleri sunma amacı için gerekli değildir. Her ne kadar bu veriler banka için, doğrudan pazarlamanın kullanılmasının kolaylaştırılması niteliğinde, müşteri profili çıkarma ve bölümlendirmede yardımcı olacak ise de banka, müşterinin bu yönde izni olmadıkça bu gibi verileri talep etmemelidir.
Banka, her ne kadar müşteriyi anılan verilerin işlenme amaçları hakkında bilgilendirmiş olsa da bu verileri işlemeden önce aydınlatma yükümlülüğünü de yerine getirmediği ortadadır. Dolayısıyla, banka, KVKK’yı ihlal etmiştir.
Banka, akabinde, söz konusu veri unsurlarının ihtiyari bilgi olduğunu göstermek için mevduat hesabı açılış formunda düzeltme yapmalıdır ve bu hizmeti doğrudan sağlamakla görevli çalışanlarını bu konuda uyarmalı, gereken eğitimi vermelidir.
Değerlendirme
Ekler
PwC I GSG Hukuk 11
EK-2
Önemli AB KVK Karar özetleri
Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu 20 Kasım 2003
CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux
particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991’de olmuş bir olay için Ağustos 2002’de bir müşteriye kötü kreditör olarak kara listeye sokmuştur.
Veri işlemenin CNIL’e zamanında bildirilmemesi 6 Nisan 2004
Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL’e, çalışanın işten çıkarılmasından sonra bildirilmiş ve işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi işten çıkarmanın yasaya aykırı olduğuna karar vermiştir.
İzinsiz gönderilen ticari ileti 5 Mayıs 2004
Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, 22.000€
ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın
verilmesine destek olmuşlardır.
www.pwc.com.tr
Defne Ergun Şirket Ortağı
defne.ergun@tr.pwc.com +90 212 326 6635
Burak Sadıç Direktör
burak.sadic@tr.pwc.com +90 212 326 6042
Yaşar Yüzer Kıdemli Müdür
yasar.yuzer@tr.pwc.com +90 212 326 6042
Alper Onar Kıdemli Müdür
alper.onar@tr.pwc.com +90 212 326 6074
Umurcan Gago Şirket Ortağı
umurcan.gago@tr.pwc.com +90 212 326 6098
Ali Ilıcak Direktör
ali.ilicak@tr.pwc.com +90 212 355 6641
Yasin Külahçı Kıdemli Müdür
yasin.kulahci@tr.pwc.com +90 212 326 6042
Pınar Karamahmutoğlu Müdür
pinar.onar@tr.pwc.com +90 212 326 6074