AB Üye Ülke Uygulamaları Işığında Finans Sektöründe Kişisel Verilerin Korunması Uygulamaları. GSG Hukuk

(1)

AB Üye Ülke Uygulamaları Işığında

Finans Sektöründe Kişisel Verilerin Korunması

Uygulamaları

GSG Hukuk

(2)

(3)

İçindekiler

1

Giriş

2

Temel KVK ilke ve kavramları

3

Müşterilerin gizliliğini korumaya ilişkin

yükümlülükler

Finans sektöründen vaka

çalışmaları

Ekler Düzenleyici

Otorite ve Kanun’un Geçiş Süreci

PwC I GSG Hukuk • 3

Sayfa 5 Sayfa 7 Sayfa 31

4 5 6

Sayfa 38 Sayfa 41 Sayfa 49

(4)

(5)

Giriş 32

Photo

1

Finans kuruluşlarının regülasyonlara uyum faaliyetleri hiç bitmeyecek gibi sürerken,

regülasyonlara da sürekli olarak bir yenisi eklenmektedir. 6 Nisan 2016 tarihinde Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanun’u («KVKK» veya «Kanun»), kişisel veri işleme yoğunlukları nedeniyle finans kuruluşlarını diğer sektörlerden çok daha fazla

ilgilendiren bir regülasyon olarak yöneticilerin ajandasına girmiş durumdadır.

Finans kuruluşlarının («veri sorumlusu») gerçek kişi müşterilerine («ilgili kişi») ait olan kişisel verilerin, KVKK’ya uygun olarak işlenmesi sürecine ışık tutmayı amaçlayarak işbu rehberi hazırlamış bulunmaktayız.

Rehberimiz, KVKK, Avrupa Birliği 95/46 EC sayılı Yönergesi («AB Yönergesi») ve AB üye ülkelerinin Kişisel Verilerin Korunması («KVK») mevzuatı, finans sektörüne ilişkin uygulamaları ve yetkili otorite ve mahkeme kararları göz önünde bulundurularak hazırlanmıştır.

KVKK’ya uyum sürecinde, ekte yer alan AB uygulamaları ışığında hazırlamış olduğumuz vaka çalışmalarını ve önemli AB kararlarının özetlerini de göz önünde bulundurmanızı öneririz.

(6)

(7)

2 Temel KVK ilke ve kavramları

Temel KVK kavramları

Temel KVK ilkeleri

(8)

Temel KVK kavramları Kişisel Veri

KVKK’da ‘‘Kişisel Veri’’, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Dolayısıyla anonimleştirilmiş veriler ile merhum kişilerin verileri, kişisel veri olarak kabul edilemeyecektir.

Kişisel verilerin unsurları aşağıdaki gibidir:

i.  Kimliği belirli veya belirlenebilir ii.  Gerçek kişi

iii.  İlişkin olma

i. Kimliği belirli veya belirlenebilir

Her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da bu kişiye ait başka bilgiler de bu kişiyi, içinde bulunduğu bir topluluğun diğer üyelerinden ayırt edilmesini sağlayabilir.

Kimliği belirlenebilir olma durumu değerlendirilirken, veri sorumlusu veya üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede başvurabileceği tüm yollar (başka veri kaynaklarından edinilebilecek verileri kullanma vb.) göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilmelidir.

ii. Gerçek kişi

Tüzel kişilere ilişkin verilerin korunması KVKK kapsamı dışında kalmakla birlikte, tüzel kişilerin verilerini koruyan diğer mevzuat hükümleri saklıdır.

iii. İlişkin olma

Gerçek kişi ile veri arasındaki bağlantı genellikle kolaylıkla kurulabilmektedir.

Ancak bazı hallerde verinin nesne ile ilgili olması halinde kişi ile dolaylı bir bağlantısı olduğundan söz edilecektir.

(9)

Temel KVK kavramları Kişisel Veri

•  İsim, kimlik kartı numarası, meslek, iletişim bilgileri, medeni durumu, ev veya iş adresi ve fotoğraf bilgileri;

•  Kişisel geliri, mülkiyetinde bulunan menkul ve gayrimenkuller, vergi ödemeleri, kamu fonlarına yapılan ödemeler gibi kişisel mülkiyet durumu;

•  Hesap numarası, hesabın açıldığı tarih, hesabı açan banka, hesap bakiyesi, hesap işlemleri gibi kişisel hesap bilgileri;

•  Kredi kartı geri ödeme durumu, borç geri ödeme durumu ve kişisel iktisadi faaliyetler sırasında ortaya çıkan ve kredi durumunu yansıtabilecek olan diğer bilgiler gibi kişisel kredi bilgileri;

•  Ödeme kesin hesabı, servet yönetimi, kiralık kasa gibi aracılık işleri bankacılık

sektöründe finansal kurumlar tarafından yürütülürken elde edilen, saklanan ve tutulan kişisel bilgileri de içeren kişisel finansal işlem bilgileri ve müşterileri, sigorta şirketleri, hisse senedi komisyoncusu şirketler, fon şirketleri ve vadeli işlem şirketleri ile (bu finansal kurumlar aracılığıyla) işlem görürken ortaya çıkan kişisel bilgiler;

•  Ham verilerin (kişisel tüketim alışkanlıkları ve yatırıma isteklilik gibi) işlenmesi ve analiz edilmesi sonucu ortaya çıkan ve kişisel tercihleri yansıtan bilgileri içeren türev bilgiler;

•  Kişilerle iş ilişkisi kurarken elde edilen ve saklanan diğer kişisel bilgiler.

Finans kuruluşlarının

işlemesi muhtemel kişisel verilere

örnek

(10)

Temel KVK kavramları Özel nitelikli kişisel veri

Finans kuruluşlarının işlemesi muhtemel özel nitelikli kişisel verilere örnek:

•  Biyometrik ve genetik verileri

•  Irkı

•  Etnik kökeni

•  Siyasi düşüncesi

•  Dini

•  Mezhebi

•  Diğer inançları

•  Kılık ve kıyafeti,

•  Üyelik (dernek, vakıf ya da sendika)

•  Sağlığı

•  Felsefi inancı

•  Cinsel hayatı

•  Ceza mahkûmiyeti

•  Güvenlik tedbirleri

(11)

Temel KVK kavramları Kişisel Verileri İşleme

Kişisel verilerin işlenmesi,

veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

KVK kuralları, «otomatik yollarla işlenen» ifadesi ile esas olarak dijital ortamda işlenen verileri kapsama alır. Ancak kişisel verilerin belirli kriterlere göre yapılandırılarak (Veri Kayıt Sistemi) fiziksel ortamda dosyalanması da mümkündür. Alfabetik sıralama gibi, veri işleyenin makul bir sürede ilgili hakkında verilere ulaşabileceği şekilde indekslenen veriler de KVKK kapsamına girmektedir.

Veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Tamamen veya Kısmen otomatik yollarla

a b

•  elde edilmesi,

•  kaydedilmesi,

•  depolanması,

•  muhafaza edilmesi,

•  Sınıflandırılması,

•  değiştirilmesi,

•  kullanılmasının engellenmesi,

•  yeniden düzenlenmesi,

•  açıklanması,

•  aktarılması,

•  devralınması,

•  elde edilebilir hâle getirilmesi vb.

(12)

Temel KVK kavramları Açık rıza

Kural olarak, kişisel veriler ilgili kişinin açık rızası alınarak işlenebilir.

Açık rıza, KVKK’da; ‘‘Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’’ şeklinde

tanımlanmıştır. Buna göre ilgili kişiden alınacak rıza aşağıdaki unsurları taşımalıdır.

Veri sorumlusu nasıl rıza almalı?

i.  İlgili kişinin bilgilendirilmesi, ii.  Rızanın belirli bir konuyla

sınırlandırılması, iii.  Rızanın özgür irade ile

açıklanması.

i. İlgili kişinin bilgilendirilmesi

İlgili kişiden rıza talep edilirken, öncesinde kişisel verilerinin işlenmesi hakkında bilgilendirmelidir.

ii. Rızanın belirli bir konuyla sınırlandırılması

•  İlgili kişinin rızası, veri sorumlusunun bilgilendireceği belirli bir konuya/

amaca ilişkin olması gerekir.

•  Farklı işleme faaliyetlerinin ilgili kişi tarafından öngörülmesi muhtemel olmalıdır. Bu konu da bilgilendirme çerçevesinde ilgili kişi ile paylaşılmalı

•  “Her türlü verinin işlenmesini peşinen kabul ediyorum” şeklinde genel bir rıza beyanı açık rıza olarak kabul edilemeyecektir.

•  Veri sorumlusu, aynı kişisel verileri sonradan farklı amaçlarla işlemek ya da farklı işleme yöntemlerini kullanmak ya da başka kategorideki verilerini işlemek istemesi durumunda, bu yeni duruma ilişkin ilgili kişiden ayrıca rıza alması gerekmektedir.

iii. Rızanın özgür irade ile açıklanması

Aldatma, korkutma veya baskı altında verilen rıza geçersiz sayılacaktır.

Tarafların eşit konumda olmadığı veya birinin diğeri üzerinde yoğun bir tesiri olduğu durumlarda rızanın bu unsurunun dikkatle değerlendirilmesi gerekir.

(13)

Temel KVK kavramları Açık rıza

•  Finans kuruluşu-müşteri ilişkisinde, müşteriye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin müşteri açısından muhtemel bir olumsuzluk doğuracağı durumlarda rızanın özgür iradeye dayandığı kabul edilemez.

•  Müşteri her ne kadar teoride rıza göstermeme imkanına sahip olsa da, bu tercihinin sonucu olarak düşük faizli kredi fırsatını kaybedecekse rızanın özgür iradeye dayandığının kabulü mümkün değildir.

•  Diğer yandan, finansal kuruluş müşterisinin sisteme katılması için maddi bir teşvik

uygulaması (sisteme katılanların %20 indirimli hizmet alması gibi) ancak sisteme

katılmayanlardan standart ücret alması durumunda rızanın özgür olduğu kabul edilebilecektir. Zira ilgili kişi açısından ortaya çıkan olumsuz bir durumun mevcut olmadığı savunulabilecektir.

Dikkat!

•  Rıza, elektronik imza, güvenli elektronik imza, ıslak imza, opt-in seçeneğinin işaretlenmesi gibi aktif yolları ile alınabilecektir.

•  Veri sorumlusunun almış olduğu açık rızalar

doğrultusunda bir veri tabanı oluşturması gerekir.

•  Verinin açık rıza olmadan işlendiği iddia

ediliyorsa, açık rızanın varlığına dair ispat yükü, Veri Sorumlusuna aittir.

örnek

(14)

Temel KVK kavramları Veri sorumlusu, veri işleyen

Veri Sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve

yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

•  Veri sorumlusunun tüzel kişi olmasının önünde engel yok.

•  Aydınlatma yükümlülüğü var.

•  Veri işleyen ile müştereken sorumlu.

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidirVeri sorumlusunun tüzel kişi olmasının önünde engel yok.

•  Veri işleyenin sorumluluğu, kişisel veriler bilgisi dahilinde işlenirse ve veri işleme gerçekleşirse doğar.

•  Veri sorumlusunun verdiği yetkiyle işlem yapan veri işleyenin işlemlerinin

sonucundan, veri sorumlusu da sorumludur.

Uygulayıcı

Karar Mekanizması

(15)

Temel KVK kavramları

Silme, yok etme ve anonim hale getirme

Silme

Kişisel verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhasını ifade etmektedir.

Buna göre veri sorumlusu, verileri kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri

dönüştürülemeyecek şekilde silmelidir.

Yok etme

Bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin

kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli

materyallerin imha edilmesini ifade etmektedir.

Finansal kuruluşlar, müşterilerine ait hesapların kapatılmasından sonra kişisel verileri saklamaya devam

etmemeli ve verileri toplanma amacına aykırı olarak gerektiğinden uzun süre elde tutmalıdır. Eğer verilerin

toplanma amacı ortadan kalktıysa ve artık söz konusu kişisel veri gerekli değilse, veriler silinmeli veya güvenli bir şekilde ortadan kaldırılmalıdır.

X

(16)

Temel KVK ilkeleri

Veri sorumlusu ve veri işleyen tarafından kişisel verilerin

işlenmesinde yan tarafta belirtilen

ilkelere uyulması zorunludur. Dürüstlük

kuralına uygunluk

Amaç ile bağlantılı ve sınırlı olmak

Belirli, açık ve meşru amaç

Doğru ve güncel olmak

Hukuka uygunluk Gerekli olan süre

kadar muhafaza

İlkeler

(17)

Temel KVK ilkeleri

Hukuka ve Dürüstlük Kuralına Uygun Olmak

Hukuka ve dürüstlük kurallarına uygun olma, kişisel veriler üzerinde

gerçekleştirilecek her türlü işlemde esas alınması gereken ilkelerin başında gelir. Bu ilke kapsamında veri sorumlusunun dikkat etmesi gerekenler aşağıda örnek

mahiyetinde sayılmıştır:

Veri sorumlusu;

•  Kişisel verilerin işlenmesinde meşru bir temele dayanmalı,

•  Kişisel verileri, meşru bir sebep olmaksızın bireyler aleyhine sonuçlar doğuracak şekilde kullanmamalı,

•  İlgili kişileri, kişisel verilerinin işlenmesi hakkında bilgilendirmeli,

•  Kişisel verileri, ilgili kişilerin makul beklentileri ve öngörüleri doğrultusunda işlemeli,

•  Başta 6698 sayılı Kanun olmak üzere, ilgili yasal mevzuatlarda düzenlenen şartları yerine getirmelidir.

(18)

Temel KVK ilkeleri

Kişisel Verilerin Doğru ve Güncel Olması

Veri Sorumlusu, doğru ve gerektiğinde güncel nitelikte kişisel veri işlemekle yükümlüdür. Aksi halde ilgili kişi, kişisel verilerinin yanlış ya da güncel olmamasından dolayı zarar görebilecektir. Bu bağlamda veri sorumlusu, işlediği kişisel verilerin

•  doğru olmasını sağlayacak makul önlemleri almalı,

•  elde edildiği kaynakları tespit etmeli,

•  doğru olmamasından kaynaklı talepleri dikkate almalı,

•  güncellenmesi gerekip gerekmediğini değerlendirmelidir.

Veri sorumlusunun işlediği her bir kişisel verinin belirtilen niteliklerde olduğunun kontrolünün her gün yapılması mümkün olmayabilir. Bu sebeple örneğin, veri sorumlusunun ilgili kişileri işleme faaliyetinden önce, işlenecek olan kişisel verilerinin doğruluğunu ve güncelliğini teyit etmelerini ve ileride bu verilerin değişmesi halinde veri sorumlusunu belirteceği iletişim bilgileri yoluyla bilgilendirmeleri hakkında uyarmalı ve bilgilendirmelidir.

Veri sorumlusunun, işlediği kişisel verilerin yanlış olduğunu ya da güncel olmadığını fark etmesi halinde bu verileri derhal silmesi, yok etmesi ya da anonim hale getirmesi gerekmektedir.

Bankanın, müşterisine sağladığı hizmetlerle bağlantılı bir belge (sözleşme, kredi kartı vb.) göndermeden önce, sisteme kayıtlı olan (muhafaza edilen) müşteriye ait adres ve iletişim bilgilerinin doğru ve güncel olduğunu teyit etmesi

gerekmektedir. Aksi halde, müşterisine ait kişisel verileri de içeren belgeler 3. kişilere gönderilebilir.

Böyle bir sonucun önlenmesi adına, Banka müşterilerine kişisel verilerinin doğruluğunu ve güncelliğini teyit etme imkanı sunmalıdır.

örnek

(19)

Temel KVK ilkeleri

İşleme faaliyeti belirli, açık ve meşru amaçlara dayanmalı

Veri sorumlusu, kişisel veri işleme

faaliyetlerini belirli, açık ve meşru amaçlara dayandırmalıdır. Bu doğrultuda veri

sorumlusu;

•  kişisel veri işleme amacını açık, kesin ve tam olarak belirlemelidir,

•  işleme amacını ilgili kişiye bildirmelidir,

•  işleme amacını ilgili kişiye bildirirken belirsiz ifadelerden kaçınmalıdır,

•  kişisel veri işlemedeki amacının meşru bir menfaate dayandığından emin olmalıdır.

i. Belirli

Kişisel veriler belirli bir amaç için toplanmalıdır. Bu doğrultuda veri sorumlusunun, toplayacağı verileri hangi amaçla kullanacağını dikkatli bir biçimde önceden

belirlemiş olması gerekir. Bir amaç belirlenmeksizin veya çok genel bir amaca yönelik kişisel verilerin toplanması bu ilkeyi ihlal edecektir.

Amaçların ne zaman belirli olması gerektiği noktasında ise, verilerin

toplanmasından önce veya en geç elde edilmesi sırasında amaçların belirlenmesi gerektiği söylenebilir.

(20)

Temel KVK ilkeleri

İşleme faaliyeti belirli, açık ve meşru amaçlara dayanmalı

ii. Açık

Kişisel verilerin yalnızca belirli amaçlar için toplanması yeterli değildir, bu belirli amaçların aynı zamanda açık olması

gerekir. Buradaki temel gaye, amaçların yalnızca veri sorumlusu tarafında belirli olmasından öte, verisi işlenen açısından da işleme

amaçlarının belirli/şeffaf hale getirilmesidir.

Veri sorumlusunun belirlediği amaçlarda yer alan ifadelere dikkat etmesi gerekir.

Örneğin, “kullanıcı deneyimini

geliştirmek”, “pazarlama”, “bilgi ve sistem güvenliği” ve “potansiyel araştırma ve geliştirme faaliyetleri” gibi ifadeler genel ve belirsiz olarak kabul edilebilir.

Veri sorumlusunun sunduğu hizmetlerin birbirinden farklı olması halinde (ör.

internet bankacılığı, mobil bankacılık, bulut depolama, sosyal medya) veri işleme amaçlarının her bir hizmeti için ayrı bir şekilde belirlenmesi ve açık hale getirmesi gerekebilir.

Dikkat!

iii. Meşru

Kişisel verilerin işlenmesini meşru kılan durumlar:

•  İlgili kişinin rızasının olması,

•  KVKK’dan doğan rıza almaya ilişkin istisnaların bulunması,

•  Diğer ilgili kanunlardan doğan sebeplerin bulunmasıdır.

Müşterilerinin etnik kökenlerine, dinsel inançlarına ya da giyiniş tarzına göre fiyatlandırma yapmak isteyen bir finans kuruluşunun, verileri işleme amacının, müşterilerinin açık rızasını almış olsa dahi, meşru olduğunun kabulü mümkün değildir.

Veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Dikkat!

(21)

Temel KVK ilkeleri

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Veri sorumlusu, işlediği kişisel verilerin, belirlediği amaçları gerçekleştirilebilmesine elverişli ve bu amaçlarla ilgili olduğundan emin olmalıdır.

Veri sorumlusu tarafından işlenen veri, sadece belirlediği amaçları gerçekleştirmesi için gerekli olanla sınırlı olmalıdır. Veri sorumlusu, böylelikle, ihtiyaç duymadığı kişisel verileri tespit etmeli ve derhal silmeli, yok etmeli ya da anonim hale getirmelidir. Her halükarda bu nevi kişisel verileri işlemekten kaçınması gerekmektedir.

Veri işleme amacının değişmesi farklı verilerin işlenmesine de sebep olabilecektir. Bu durumda, hem değişen amaç hem de işlenen veri listesine dahil olan yeni kişisel verilerin, Veri Sorumluları Sicili’ne bildirilmesi gerekecektir.

Bir tasarruf hesabının açılması için müşterinin ismi ve irtibat bilgileri hesap hizmetlerinin müşteriye temini için gerekliyken müşterinin kökeni veya dini inancının da işlenmesi, ekseriyetle, söz konusu hesabın açılması ve işletilmesi amacı bakımından aşırı olacaktır.

örnek

(22)

Temel KVK ilkeleri

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Bu ilke, her kişisel verinin bir muhafaza süresi olması gerektiğine işaret etmektedir. Bu bağlamda veri sorumlusu işlediği kişisel verileri

•  İlgili mevzuatta öngörülen süre,

•  İlgili mevzuatta böyle bir sürenin düzenlenmemiş olması halinde işlendikleri amaç için gerekli olan süre

kadar muhafaza etmekle yükümlüdür.

Veri sorumlusunun, anılan muhafaza sürelerini belirlemesi, Veri Sorumluları Sicili’ne başvururken söz konusu süreyi bildirmesi gerekeceğinden önemlidir.

Veri sorumlusunun, kişisel verilerin saklanması için geçerli bir sebebin var olup olmadığını ve ilgili mevzuatta belirtilen sürenin sona erip ermediğini takip etmesi gerekecektir. Anılan sürelerin geçmesi

halinde, veri sorumlusu kişisel verileri derhal silmek, yok etmek ya da anonim hale getirmek durumundadır.

Bu ilke uyarınca veri sorumlusu gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamalıdır.

(23)

Rıza aranmayan durumlar 32

Photo

Kanunlarda açıkça öngörülmesi

Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)

1

Birincil düzenlemeler: TC. Anayasası, 108 sayılı Avrupa Konseyi Sözleşmesi, 181 sayılı Ek Protokol

İkincil düzenlemeler: Türk Medeni Kanunu, Türk Ceza Kanunu, KVKK, Türk Borçlar Kanunu, Türk Ticaret Kanunu, İş Kanunu

Üçüncül düzenlemeler: Sektörel düzenlemeler (Bankacılık Kanunu, Banka Kartları ve Kredi Kartları Kanunu vs.)

Dördüncül düzenlemeler: Kamusal düzenlemeler (Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Ceza Muhakemesi Kanunu)

Fiili imkansızlık nedeniyle rızasını

açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması

Kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

(24)

Rıza aranmayan durumlar 32

Photo

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)

2

Finansal kuruluşlarının müşterileri ile akdedecekleri sözleşme gereği yapılacak ödeme için müşteri tarafın banka hesap numarasının alınması; bir kredi sözleşmesi yapılması sırasında bankanın o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi vb.

Bir hukuki yükümlülüğün yerine getirilmesi için zorunlu olması

Finans kuruluşunun çalışanına maaş ödeyebilmesi için banka hesap numarası, medeni durumu, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi vb..

(25)

Rıza aranmayan durumlar 32

Photo

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)

3

Finansal kuruluşunun müşterisi tarafından açılan bir davada ispat yükünün gereği olarak bazı verilerin kullanılması; kısıtlı bir kişinin haklarının korunması amacıyla vasi veya kayyumun, kısıtlı kişinin mali bilgilerini tutması.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru

menfaatlar için veri işlenmesinin zorunlu olması

Finansal kuruluş sahibinin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları veya sosyal haklarının

düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerini işlemesi.

İlgili kişinin kendisi tarafından alenileştirilmiş olması

Müşterileri tarafından aleni hale getirilen ve böylelikle herkes tarafından

bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir..

(26)

Rıza aranmayan durumlar 32

Photo

Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)

•  Bankalar, müşterilerinin hesap verilerini, açık rızaları alınmadan işverenine veya aile üyelerine ifşa etmemelidir.

•  A Bankası’nın eski bir personeli, A Bankası’nın müşterilerinin kişisel verilerini, yeni işvereni B Bankası için kullanmamalı; B Bankası’na geçince A Bankası’nın müşterileri ile A Bankası’nın işlediği verileri kullanarak iletişim kurmamalıdır.

•  Banka personeli, banka tarafından yetkilendirilmiş olmadıkça, müşterinin gizli finansal bilgilerini 3. kişiler ile paylaşmamalıdır.

•  Her ne kadar veri sorumlusunun, ilgili kişinin belirli yollarla alenileştirmiş olduğu kişisel verileri işlemesi hukuka uygun olarak kabul edilse de bu verilerin kullanımı konusunda ilgili kişinin alenileştirmiş olduğu kişisel veriler üzerinde korunmaya değer haklı çıkarının olmadığından emin olunmalıdır (çıkar dengesi).

Öneriler

Özel nitelikli kişisel verilerin açık rıza olmadan da işlenebilmesini öngören istisnalar yandaki gibidir:

•  Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, başta KVKK olmak üzere ilgili diğer tüm kanunlarda öngörülen hâllerde

•  Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak

•  kamu sağlığının korunması

•  koruyucu hekimlik

•  tıbbî teşhis

•  tedavi ve bakım hizmetlerinin yürütülmesi

•  sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir.

(27)

Kişisel verilerin 3. kişiler ile p aylaşılması

KVK İstisnaları/Diğer Kanunlarda Özel Hüküm var mı?

Kişisel veri paylaşılabilir

Evet Hayır

Kişisel Veri paylaşımı; verinin, bir veya birden fazla kuruluş tarafından üçüncü taraf konumundaki bir veya birden fazla diğer kuruluşa aktarılması veya bir kuruluşun farklı çalışma birimleri arasında aktarılmasıdır.

Kişisel verilerin 3. kişi(ler) ile paylaşılması için ilgili kişinin Açık Rızası Var mı?

Kişisel veri paylaşılabilir

Evet

Kişisel veri paylaşılamaz

Hayır

(28)

Kişisel verilerin 3. kişiler ile p aylaşılması

Telefonica Kararı (2000): Aynı grup şirketler içerisindeki bir başka şirkete kişisel verileri aktarması dolayısıyla yapılan şikayet üzerine, verilerin toplanma amacıyla uyuşmayan şekilde

işlenmesi, bunun ilgililerin rızası alınmaksızın gerçekleştirilmesi ve yine ilgililerin rızası olmaksızın 3. bir kişiye aktarılması

sebebiyle 420.708 Avro para cezasına çarptırılmıştır.

Peugeot Bayileri Kararı (2005): İspanya Veri Koruma Otoritesi, bir Peugeot bayisinin İspanya’da bulunan başka bir Peugeot bayisine müşteri bilgilerini aktarmasını 3. kişilere aktarma olarak değerlendirmiştir. İlgili kişilerin, bayiler arasındaki bu veri paylaşımıyla ilgili genel ifadelerle bilgilendirilmesini yetersiz bulmuştur.

AB’den Örnek İçtihat

KVKK, özel nitelikli kişisel verilerin, açık rızanın bulunmaması halinde paylaşılabilmesi için yukarıda açıklanan istisnalardan birinin varlığına ek olarak yeterli önlemlerin alınmasını (bkz. kişisel verilerin güvenliği) şart koşmuştur.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak

başkasına açıklayamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(29)

Kişisel verilerin yurtdışına aktarılması

KVK İstisnaları/Diğer Kanunlarda Özel Hüküm var mı?

Kişisel Veri yurtdışına aktarılabilir

Evet Hayır

Kişisel verilerinin yurtdışına aktarılması için ilgili kişinin Açık Rızası Var mı?

Aktarılacak ülkede yeterli koruma var mı?

Evet

Kişisel veri yurtdışına aktarılamaz

Hayır

Evet Hayır

Kişisel Veri yurtdışına aktarılabilir

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir

korumayı yazılı olarak taahhüt etmeleri + Kurulun izni ile aktarılır

(30)

(31)

3 Finans Kuruluşlarının

Veri Sorumlusu olarak

Yükümlülükleri

(32)

Genel yükümlülükler

Bir finans kuruluşunun veri işleme faaliyetleri ile ilgili olarak aşağıdaki başlıklara riayet ettiğinden emin olması gerekir:

•  Temel KVK ilkelerine uygun hareket etmeli,

•  İlgili kişiyi (müşteri, çalışanlar vb.) bilgilendirmeli,

•  Kişisel verileri işlemeden önce ilgili kişiden Kanuna uygun açık rıza alınmalı,

•  İlgili kişinin KVKK’dan doğan haklarını kullanması için gereken prosedürleri oluşturmalı,

•  Kişisel verilerin güvenliğini sağlamalı,

•  Veri sorumluları siciline kaydolmalı,

•  Elde edilen kişisel bilgileri sınıflandırmalı ,

•  Her bir bölüm ve yetki düzeyindeki çalışanların kişisel veri

işlemelerine ilişkin görev ve sorumlulukları ile hangi kişisel veriye ne kadar erişim sağlayacaklarını belirlemeli,

•  Çalışanları KVK konusunda bilinçlendirmeli,

•  Kişisel veri toplama, saklama, kullanma gibi işleme faaliyetleri sırasında verilerin 3. kişiler ile paylaşılmamasını ve yurtdışına aktarılmamasını temin etmek için yeterli güvenlik önlemlerini almalı, kontrol mekanizmaları oluşturmalı,

•  Çalışanlar ve dış hizmet sağlayıcıları ile yapılan gizlilik sözleşmelerine KVK ilkelerine uyum çerçevesinde hükümler eklemeli,

•  Müşterilerin verilerinin paylaşacağı dış hizmet sağlayıcısını seçerken veri güvenliğini göz önünde bulundurmalı,

•  3. kişilerden kişisel veri temin edilecek olması durumunda, 3.

kişinin ilgili kişilerden, verilerinin paylaşılması konusunda rızalarının hukuka uygun olarak alındığından ve temin edilen verilerin hukuka uygun işlediğinden emin olmalı,

•  Süreç, teknoloji ve veri bazlı kişisel veri envanterini çıkarmalı,

•  Hukuka uygun elde etmiş olduğu kişisel verileri ilgili kişilerin rızasını almadan 3.kişilere aktarmamalı.

(33)

Aydınlatma yükümlülüğü

Temel KVK ilkeleri kapsamında, işbu raporun açık rıza bölümlerinde de

belirtildiği üzere, veri sorumlusunun veri işlemeyle alakalı bütün konularda ilgili kişiyi açık ve anlaşılır bir biçimde bilgilendirmesi gerekmektedir.

İlgili kişinin bilgilendirilmesine yönelik iki temel unsurdan bahsedilebilir:

i. Anlaşılabilirlik

•  Veri sorumlusu, ilgili kişiyi bilgilendirirken ortalama bir bireyin anlayabileceği bir dil kullanmalıdır.

•  Anlaşılabilirliğin sınırı, somut duruma ve hedef kitleye göre değişiklik gösterecektir.

•  Sade bir dil kullanılması, mesleki veya teknik jargondan uzak durulması ve gerektiği durumda terimlerin açıklanması gibi yollara başvurulması gerekebilir.

ii. Erişilebilirlik

•  Veri sorumlusunun, bilgiyi doğrudan ilgili kişiye ulaştırması, kolaylıkla erişilebilir kılması gerekir.

•  Bilgi açıkça görünür (bunda yazı tipi ve büyüklüğü etkilidir) olmalıdır.

•  Veri işlemenin karmaşıklık derecesi ne kadar artarsa, veri işlemenin ortalama bir vatandaş tarafından anlaşılması o kadar zorlaşacaktır. Bu halde veri sorumlusunun yükümlülüğü de artacaktır.

(34)

Aydınlatma yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi (veri işleyen), ilgili kişilere;

•  Veri sorumlusunun ve varsa temsilcisinin kimliği,

•  Kişisel verilerin hangi amaçla işleneceği,

•  İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

•  Kişisel veri toplamanın yöntemi ve hukuki sebebi,

•  İlgili kişinin hakları

konularında bilgi vermekle yükümlüdür.

KVKK’ nun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma

yükümlülüğü aşağıdaki hâllerde uygulanmaz:

•  Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

•  İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

•  Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme

görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

•  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Veri sorumlusu, kişisel verileri 3. bir kişiden edinse bile ilgili kişiyi aydınlatma yükümlülüğü bakidir.

(35)

İlgili kişinin hakları

Veri sorumlusu, kendisine başvuran gerçek kişilerin KVK Kanunu’ndan doğan haklarını kullanmalarını engelleyici davranışlardan kaçınmalıdır.

İlgili kişinin hakları:

•  Kişisel verisinin işlenip işlenmediğini öğrenme,

•  Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

•  Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

•  Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

•  Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

•  Kişisel verilerin silinmesini veya yok edilmesini isteme,

•  5 ve 6. işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

•  İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

•  Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

KVKK’nın amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla ilgili kişi haklarını, zararın giderilmesini talep etme hakkı hariç, aşağıdaki hâllerde kullanamaz;

•  Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

•  İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

•  Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek

kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

•  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Bir müşteri yakın zamanda vatandaşlığını değiştirmiş ve bunu bankaya bildirmiştir. Bankanın, kendisinin vatandaşlık durumunu vaktinde güncellediğinden emin olmak için bankadan, kendisinin vatandaşlık durumuyla ilgili özel kayıtlarda – örneğin müşteri profilinde - bilgi tutup tutmadığını öğrenmek ve bu gibi verilerin bir suretini kendisine makul bir süre içinde temin ettirmek üzere bir talepte bulunabilir.

örnek İlgili kişinin hakları Bilgi talep etme hakkı

(36)

Veri güvenliğinin sağlanması

Veri sorumlusu

•  Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

•  Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

•  Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Finans kuruluşu, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Kişisel veriler, veri sorumlusu adına veri işleyen tarafından işleniyor ise anılan tedbirlerin alınmasında bu kişiler birlikte müştereken sorumludur.

•  İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da

uygun göreceği başka bir yöntemle ilan edebilir.

•  Özel nitelikli kişisel verilerin açık rıza dışında, KVK m.6 yer alan istisnalardan birinin bulunması halinde işlenmesinin yanı sıra Kanun özel bir güvenlik önleminin sağlanmasını şart koşmuştur.

•  Kişisel verilerin Türkiye dışında aktarılması halinde KVK Kurumu’nun öngöreceği güvenlik önlemleri alınmalıdır.

Müşterilerin elektronik olarak veri tabanında,

bilgisayarlarda veya taşınabilir depolama cihazlarında saklanan verileri, uygun bilişim güvenliği önlemleri ve erişim kontrolü ile korunmalıdır.

Finansal kuruluşlar müşteri memnuniyet anketi oluşturmak üzere bir pazarlama şirketi ile çalıştıklarında, konuya ilişkin ilgili müşteri verileri yetkisiz erişim ve kullanıma karşı korumak için, pazarlama şirketine verilen bu verilerin pazarlama şirketi tarafından kullanımından sonra güvenli bir şekilde taşınması ve silinmesini güvence altına

almalıdırlar.

örnek

(37)

Veri sorumluları siciline kayıt

Veri sorumlusu, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

•  Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

•  Kişisel verilerin hangi amaçla işleneceği,

•  Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

•  Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

•  Yabancı ülkelere aktarımı öngörülen kişisel veriler,

•  Kişisel veri güvenliğine ilişkin alınan tedbirler,

•  Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Sicile verilen bilgilerde meydana gelen değişiklikler derhâl KVK Kurumu’na bildirilir.

Sicile ilişkin usul ve esaslar yönetmelikle düzenlenecek ve Veri Sorumlularu Sicili’nin kuruluşu KVK Kurumu tarafından ilan edilecektir.

(38)

4 Düzenleyici Otorite ve

Kanun’un Geçiş Süreci

(39)

Düzenleyici Otorite ve Geçiş Süreci

Kişisel Verileri Koruma Kurumu

Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulacaktır

Kurulun görev ve yetkileri;

•  Kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak,

•  Şikayetleri karara bağlamak,

•  Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen incelemek ve gerektiğinde geçici önlemler almak,

•  Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek,

•  Veri Sorumluları Sicili’nin tutulmasını sağlamak,

•  Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, KVKK’da yer alan idari

yaptırımlara karar vermek vb.

Kurul

(9 üye) Başkanlık

Kişisel Verileri Koruma Kurumu (195 kişilik

kadro)

+ =

(40)

Düzenleyici Otorite ve Geçiş Süreci

6698 sayılı KVK Kanunu’nun yürürlük şeması

7 Nisan 2016 tarihi itibari ile işlenen veriler için Kanun’un tatbiki

Kişisel verilerin yurtiçinde ve yurtdışına aktarılması, ilgili kişilerin hakları, Kurula başvuru, şikâyet, veri sicili, suçlar ve kabahatlere dair

düzenlemeler hariç olmak üzere, diğer maddeler Kanun’un yayım tarihi itibariyle yürürlüğe girdi!

07.04.2016 07.10.2016 07.04.2017 07.04.2018

Kişisel verileri koruma Kurulu’nun kurulması ve diğer maddelerin

yürürlüğüe giriş tarihi Kişisel verilerin yurtiçinde ve yurtdışına aktarılması, ilgili kişilerin hakları, Kurula başvuru, şikâyet, veri sicili, suçlar ve kabahatlere dair

düzenlemelerin yürürlüğe girdiği tarih

Kanun’un yayımı

tarihinden önce hukuka uygun olarak alınmış rızalar için ilgili kişiler bu tarihe kadar sessiz

kalmışlar ise, söz konusu onaylar Kanun’a uygun hale gelir.

Kamu kurumlarında kişisel verilerden sorumlu

yöneticiler atanması için son tarih

Yönetmeliklerin yürürlüğe girmesi için son tarih

Kanun’un yayım tarihinden önce işlenmiş olan verilerin Kanun’a uyumlu hale

getirilmesi için son tarih

ü 07.10.2016 tarihinde Kanun’un tüm düzenlemeleri yürürlüğe girmiş olacaktır.

(41)

5 Vaka Çalışmaları

(42)

32

Banka, mevduat hesabı açmak için başvuran bir müşterisinden “eğitim seviyesine” ve “medeni hâline” ilişkin bilgilerini talep etmektedir. Banka bu verilerin işleme amacının, banka ürün ve hizmetlerinin müşterilere

tanıtılması olduğunu ileri sürmüştür. Ancak, banka bu nevi verilerin işlenmesini mevduat hesabının açılması için şart koşmaktadır.

Vaka

çalışması-1

Tasarruf hesabı için başvuran müşterilerden ilave veri

alınması

Şikayet

“Eğitim seviyesi” ve “medeni hâl”e ilişkin veriler, müşteriye mevduat hesabı hizmetleri sunma amacı için gerekli değildir. Her ne kadar bu veriler banka için, doğrudan pazarlamanın kullanılmasının kolaylaştırılması niteliğinde, müşteri profili çıkarma ve bölümlendirmede yardımcı olacak ise de banka, müşterinin bu yönde izni olmadıkça bu gibi verileri talep etmemelidir.

Banka, her ne kadar müşteriyi anılan verilerin işlenme amaçları hakkında bilgilendirmiş olsa da bu verileri işlemeden önce aydınlatma yükümlülüğünü de yerine getirmediği ortadadır. Dolayısıyla, banka, KVKK’yı ihlal etmiştir.

Banka, akabinde, söz konusu veri unsurlarının ihtiyari bilgi olduğunu göstermek için mevduat hesabı açılış formunda düzeltme yapmalıdır ve bu hizmeti doğrudan sağlamakla görevli çalışanlarını bu konuda uyarmalı, gereken eğitimi vermelidir.

Değerlendirme

(43)

32

Banka, bir tanıtım etkinliği sırasında, kredi kartı başvuru formunu dolduran müşterisinin kişisel verilerini, pazarlama faaliyetlerinde kullanmak isteyen sigorta şirketi iştiraki ile paylaşır.

Durumdan haberdar ve rahatsız olan müşteri bankayı şikayet eder. Banka, başvuru formunun ekinde müşteri verilerinin sigorta şirketi ile paylaşacağına ilişkin bir beyanın yer aldığını ve bu yolla müşterilerini bilgilendirdiğini ileri sürer. Söz konusu beyannamede, bankanın özellikle belirttiği konularda müşterilere ait kişisel verilerin ilgisini çekebileceğini düşündüğü şirketlerle paylaşılabileceği yer almaktadır.

Vaka

çalışması-2

Şikayet

Bankanın düzenlediği etkinliğin gerçekleşme saatleri, müşterinin yaşı, görme engelinin olup olmadığı ve formu doldurmadaki asıl maksadı göz önünde bulundurulmalıdır. Hal ve şartlara bağlı olarak olayda geçen form ve eki gizlilik beyannamesinin okunması, anlaşılması ve incelenmesinin müşteri için kolay olması sağlanmalıdır. Beyannamede yer alan ifadeler genel ve kapalı olmamalıdır. Hangi verilerin hangi şirketler ile paylaşılacağı belirtilmelidir. Aksi halde bankanın uygulaması, «işleme faaliyeti belirli, açık ve meşru amaçlara dayanmalı»

ilkesine aykırılık teşkil edecektir. Avrupa Birliği KVK karar ve uygulamaları da bu yöndedir.

Değerlendirme

Pazarlama

Faaliyetleri

(44)

32

Bir kredi kartı müşterisi bankaya tebligat adresini bildirir. Müşterinin adresini girmekle

yetkilendirilmiş banka çalışanı adresin girişini yapmak için açmış olduğu ekranda semtin adını yanlış işaretler. Müşteri, bankadan gönderilen kredi kartının yer aldığı zarfı (yanlış adresli olsa da) aldığında, hatayı fark eder. Bu durumda müşterinin değişiklik formunu kullanarak bankaya düzeltme isteğinde bulunması gerekir. Adres değişikliği dilekçesine rağmen bankanın

müşterinin adresini düzeltmemesi üzerine müşteri bankadan şikayetçi olur.

Vaka

çalışması-3

Banka

dokümanlarının yanlış ve eksik adrese

gönderilmesi

Şikayet

Müşteri, adres verilerinin tüm uygulanabilir adımlarla doğruluğunu sağlamada hataya düşen bankanın, ‘‘verilerin güvenliği ve korunması’’ hükmünü ihlal ettiğini iddia edebilir. Böyle bir riski bertaraf etmek adına banka bilgisayar sisteminin ve otomatikleştirilmiş/manuel denetim yöntemlerinin geliştirilmesi gereklidir.

Değerlendirme

(45)

32

Bankanın yetkilendirdiği çalışanı, müşterisinin çalıştığı kurumu arar ve telefona cevap veren kişiye müşterisinin ismini vererek kredi borcunun ödemelerinin üçüncü kez aksatıldığını, borç miktarını ve aramasına geri dönülmesini not olarak iletir.

Vaka

çalışması-4

Borçlu

temerrüdünün üçüncü kişiler ile paylaşılması

Şikayet

Banka müşterisinin bankaya olan borcu ve tazminin gerekliliği, müşterinin kişisel verisidir ve istisnai durumlar dışında 3. kişiler ile paylaşması yasaktır. Dolayısıyla, banka çalışanın somut olayda, telefonu açan kişiye müşterisinin adını vererek kendisini kısaca ‘kişisel bir mesele nedeniyle’ aradığını ve müşterinin geri dönüş yapabilmesi için irtibat bilgilerini belirtmesi yeterli olacaktır.

Sonuç

(46)

32

Bir sigorta şirketi çalışanı, hayat sigortası başvurularını teşvik etmek amacıyla bir Cumartesi pazarlama kampanyası düzenlemiştir. Kampanyanın sonunda sigorta şirketi çalışanı tüm başvuru formlarını başvuran kişilerin kimlik fotokopileriyle birlikte bir zarfa koymuş ve bir sonraki gün işe gitmeden önce tüm evrakları eve götürmek istemiştir. Ancak, zarfı takside unutarak tüm evrakları kaybetmiştir.

Vaka

çalışması-5

Başvuru

evraklarının kaybolması

Şikayet

Sigorta şirketinin, saha pazarlama kampanyalarıyla toplanan kişisel verilerin korunmasıyla ilgili çalışanlarını yeterli bir şekilde bilgilendirmesi gerekmektedir. Örneğin; ilgili çalışan, kampanya sırasında toplamış olduğu evrakları evine götürmek yerine ofisindeki çekmeceye kilitlemesi konusunda yönlendirilebilir. Çalışanın, topladığı verilerin hassaslığı ve kaybolması durumunda ilgili kişiye verebileceği zarar göz önüne aldığında, sigorta şirketinin KVK Hukukuna aykırı davrandığı sonucuna varılabilecektir.

Değerlendirme

(47)

32

Bir müşteri bankanın yeni geliştirilen internet bankacılığı sistemine giriş yapmış ve diğer müşterilerin hesap numaraları ve bakiyeleri dahil olmak üzere hesap bilgilerine ulaşabildiğini fark etmiştir.

Vaka

çalışması-6

İnternet bankacılığı

vasıtasıyla başka müşterilerinin hesap bilgilerine izinsiz giriş

Şikayet

Bu durum bankanın bilgi teknolojileri çalışanları tarafından geliştirme işleminde yapılan denemeler esnasında veri dönüştürme hatasından kaynaklanmış olabilir. Banka, e-bankacılık servisinde müşterilerin kişisel verilerinin korunmasında yeterli önlemi almamış, diğer bir ifade ile veri güvenliğini sağlayamamış sayılabilecektir.

Değerlendirme

(48)

32

Kişi, müşterisi olduğu bankadan “hesap bildirim cetveli, onaylanmış hesap işlemleri ve

sözleşme notları dahil olmak üzere son sekiz yıla ilişkin olarak banka hesabıyla ilgili her türlü kaydın” erişimini talep eder. Banka, müşterinin talep etmekte olduğu veri kapsamının

netleştirilmesini ister. Bunun üzerine müşteri talebinin “sözleşmeye dayalı tüm anlaşmalar ve kendisi tarafından imzalanan tüm belgeleri, toplantı ve konuşmaların notları dahil olmak üzere banka ve müşteri arasında geçen el yazısı halinde olan tüm iletişimleri, tüm risk profillerini, yatırım araçlarının tüm kayıtlarını ve banka tarafından hazırlanmış hesabıyla alakalı tüm anlaşma muhtıralarını ve dosya notlarını” kapsadığını belirtir. Banka bir kez daha müşterinin açıkladığı veri kapsamını geniş bularak tekrar talep edilen verilerin detaylarını talep eder.

Vaka

çalışması-7

Talep edilen verinin

zamanında

sağlanamaması

Şikayet

Müşteri, bankanın kendine teslim ettiği belgelerin eksik olduğunu ve talebine tam ve

zamanında dönüş yapılmadığını iddia edebilir. KVK Kurulu/yetkili mahkeme bankadan ikinci bir grup evrak daha göndermesini talep edebilir.

İlgili kişinin veri sorumlusundan talep edeceği verilerin makul olup olmadığı her bir somut olay kapsamında değerlendirilmelidir. Ancak özenli bir değerlendirmeden sonra veri sorumlusu hangi bilgileri ilgili kişiye verebileceğine karar verebilir ve ilgili kişinin KVKK’ dan doğan hakkını kullanmasını engellememiş olur.

Değerlendirme

(49)

6 Ekler

(50)

Ekler

EK-1

AB üye ülkelerinin KVK uygulamalarında

dikkate aldıkları diğer yasal düzenlemelere örnekler

EK-2

Önemli AB KVK Karar özetleri

(51)

Ekler

EK-1

Avrupa Birliği üyesi ülkelerde KVK

uygulamalarında dikkate alınan diğer yasal düzenlemeler

•  Finans kurumlarının işlemlerinde ihtiyaç duyulan belge, ilan ve bilgiler ile ilgili yasal yükümlülüklere bağlı olarak kişisel verilerin işlenebilmesi için özel KVK Kanunları dışında kalan düzenlemeler aşağıda listelenmiştir:

•  Müşterinin mali durumu hakkında Menkul Ticaret Yasası

•  Gelir Vergisi Kanunu: vergi yasalarının uygulanması amacıyla vergi otoritelerinden gelen soruları yanıtlamak amacıyla.

•  Kara Para Aklama Yasası uyarınca, finansal kurumların, kimlik tespit yükümlülükleri kapsamında, belirli bir meblağ üzerindeki nakit tutarlara ilişkin mevduat verilerini depolaması gerekmektedir. Bu yasaya göre, bu veriler kara para aklamayla mücadele etmek ve ayrıca vergi işlemleri için kullanılabilir.

•  Ticaret Kanunu: Genel muhasebe veya kayıt yükümlülükleri, ticari ve mali düzenlemelere göre veri işleme faaliyetlerini meşrulaştırabilmektedir.

•  Medeni Kanun

•  Borçlar Kanunu

•  Kredi bilgi sistemler (SCHUFA vb.), sistemde yer alan endekslerden kişisel veri transferi yaparak özel endeks oluşturma ve yönetme de yetkilidir. Bu tür verilerin yetkili depolama süresi sınırlıdır.

•  Bankacılık Kanunu ve Sigorta Denetleme Kanunu: Kredi, sigorta, pazar riskleri, veri yönetimi ve yasalarla uyumluluk ile ilgili olanlar da dahil tüm risk yönetimini idare etmek; çalışanlar, müşteriler ve/veya tedarikçiler tarafından sahtecilik, etik olmayan davranışlara dayalı riskleri idare etmek amacıyla.

•  Veraset ve İntikal Vergisi Kanunu: Vefat eden bir banka müşterisi durumunda bankanın bildirim yükümlülükleri.

•  Sosyal Güvenlik Kanunu: İş ve işçi bulma kurumunun işsizlik parası ödemeyi kabul etmeden önce, mali durumu ortaya koymaya yönelik araştırma kapsamında bilgi alma hakkı vardır.

•  Sigortacılık Kanunu, Hayat Grubu Sigortaları ile Bireysel Kredilere ilişkin mevzuat

•  Ceza Muhakemeleri Kanunu: Polis, savcı, mahkeme gibi ceza muhakemeleri kanunu uygulayıcılarından gelen sorulara yanıt vermek

(52)

Ekler

EK-2

Önemli AB KVK Karar özetleri

Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu 20 Kasım 2003

CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux

particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991’de olmuş bir olay için Ağustos 2002’de bir müşteriye kötü kreditör olarak kara listeye sokmuştur.

Veri işlemenin CNIL’e zamanında bildirilmemesi 6 Nisan 2004

Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL’e, çalışanın işten çıkarılmasından sonra bildirilmiş ve işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi işten çıkarmanın yasaya aykırı olduğuna karar vermiştir.

İzinsiz gönderilen ticari ileti 5 Mayıs 2004

Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, 22.000€

ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın verilmesine destek olmuşlardır.

(53)

Ekler

EK-2

İspanya Veri Koruma Otoritesi (DPA) Gizlilik İhlallerine Karşı Sıkı Önlemler Alıyor 20 Aralık 2004

1 Ocak 2003 ile 1 Aralık 2003 arasında İspanya DPA tarafından toplam 541 soruşturma yürütülmüş olup, söz konusu soruşturmalar sonucunda bunların 198’ine yaptırım uygulanmış.

DPA, en büyük İspanyol bankalarından biri olan Santander Central Hispano bankasının belirli müşteri isimlerini hukuka aykırı şekilde bankanın kara listesine yazması sebebiyle bir soruşturma altında olduğunu ve bankanın 300.000€ ya kadar bir cezayla karşı karşıya olduğunu bildirdi.

Verilerin Korunması Komisyonu Doğrudan Pazarlama Davası Hakkında Karar Verdi 28 Kasım 2004

Avusturya Verilerin Korunması Komisyonu, 4 milyon’dan fazla Avusturya ferdinin, isimlerini, adreslerini ve ek olarak medeni hallerini, yaşlarını, satın alım güçlerini veya ailevi durumlarını gösteren bir CD-ROM’un

hazırlanmasını uygunsuz buldu. CD ‘dm-plus’ isimli bir şirket tarafından bir doğrudan pazarlama şirketi (Herold Marketing CD Private) için hazırlanmıştı. Mahremiyetin korunması ile ilgilenen ve kar amacı gütmeyen bir kuruluş olan Avusturya Verilerin Korunması Kuruluşu (Arge Daten) bazı üyeleri adına, Avusturya Verilerin Korunması Yasası 2000’in 26.maddesine ithafen araştırmalar gerçekleştirmiştir. Bu madde verileri ellerinde tutan kişilerin, verilerin konusu olan kişilerin toplanan ve işlenen veriler hakkında bilgilendirilmesini öngörmektedir. Dm-plus ve Herold ilgili verilerin kaynakları hakkında yeterli cevap veremediğinden, dm-plus ve Herold hakkında Avusturya Verilerin Korunması Kanunu’na ithafen hukuki işlemler başlatılmıştır.

(54)

Ekler

EK-2

ABD’nin veri koruma düzeyinin yeterli düzeyde olmaması 20 Nisan 2004

Hollanda veri koruma otoritesi (CBP), Hollanda’nın Eğlence Sektöründeki Hakların Korunması Birliği’nin

(BREIN) veri işleme uygulamalarını soruşturduğunu duyurdu. CBP, isim, adres, banka hesap numarası IP adresi gibi bilgilerin korsana karşı çıkmak amacıyla toplanmasının hukuka uygun olduğunu ancak bu verilerin BREIN’ın ABD’deki farklı bölümlerine aktarmasının, ABD’deki o dönemdeki veri koruma seviyesinin yeterli görülmemiş olması sebebiyle, Hollanda Veri koruma yasasına aykırı olduğunu belirtmiştir.

İnternetten Veri Toplamaya Sınır 18 Mayıs 2005

Paris İstinaf Mahkemesi, internet gibi yollarla alenileştirilen kişisel verilerin internette bulunma amaçları dışında ve ilgili kişinin rızası olmadan toplanmasının veri koruma mevzuatına aykırı olduğuna karar vermiştir.

Birleşik Krallık Veri Koruma Otoritesi Bankaların Veri Güvenlik Uygulamalarını Soruşturuyor 13 Mart 2007

Birleşik Krallık Veri Otoritesi müşteri bilgilerinin açığa çıkartılması hakkındaki şikayetler üzerine yaptığı soruşturma sonucunda 11 banka ve finansal kuruluşun Veri Koruma Yasası’nı ihlal ettiğine karar verdi. Veri Otoritesi, 11 bankadan KVK yasası kapsamındaki ilkelere uygun davranmaları konusunda taahhütname imzalamalarını talep etti. Otorite, yasanın güvenlik gereksinimlerine aykırı davranan bu kurumların, güvenlik prosedürleri hakkında detaylı bir soruşturma başlatacağını belirtti.

(55)

Ekler

EK-2

AB Vatandaşlarının Kişisel Verilerinin Güvenlik Açıkları Sebebiyle Korunamamasının AB Dışına Etkisi

Şubat 2007

Kredi kartını kullanarak online çocuk pornosu satın alınması sebebiyle hakkında soruşturma başlatılan bir Alman bankası olan Commerzbank’ın kredi kartı hamilinin (ilgili kişi) böyle bir satın alma işlemine dahil olmadığı ortaya çıkmıştır. Commerzbank’ın ihlalden haberdar olmasının üzerinden 1 yıl geçmiş olmasına rağmen ilgili kişiyi ancak soruşturmanın sona ermesinden sonra, ABD’deki Postbank’ın güvenlik ihlali sebebiyle kredi kartı verilerinin sızdığı hakkında bilgilendirmiştir.

Bunun üzerine ilgili kişi, ABD’de Postbank’ın iştiraki olan Commerzbank’a dava açmıştır.

Bu dava AB vatandaşlarının verilerinin güvenlik açıkları sebebiyle korunamaması gibi KVK ihlallerinde AB haricinde de hukuki sonuçlara sebep olabileceğini ve bireyleri bu nevi ihlaller hakkında zamanında

bilgilendirmemenin taşıdığı yasal riskleri gözler önüne sermiştir.

Fransız Veri Koruma Otoritesi Merkezi Veri Tabanı Oluşumuna İzin Vermedi.

8 Mart 2007

Fransız Veri Koruma Otoritesi (CNIL), banka ve finansal kuruluşların, müşterilerine ve kredilendirme araçlarına ait bilgileri paylaşacakları bir merkezi veri tabanı oluşumuna yetki vermeyi reddetti.

Söz konusu kararda, red kararının sebepleri ise özetle:

•  Bankalardan veri işleyenlere veri aktarımını yasallaştıracak hukuki temelin yokluğu

•  İşleme ve amacı arasındaki orantısızlık; özellikle detaylı bilgilerin açıklanması, profil yaratma riski ve uzun saklama süreleri ve

•  Kredi başvurusunda bulunanların konu hakkında tamamen bilgilendirilmeden bankacılık korumalarının kaldırılmasına dair hükmü imzalaması olarak ifade edilmektedir.

(56)

Ekler

EK-2

Fransız Veri Koruma Otoritesi Kara Para Aklama ve Terörizmi Finansmanı İle Mücadele Kapsamında Veri Aktarımına İzin Verdi.

25 Nisan 2007

Fransız Veri Koruma Otoritesi (CNIL) Fransa’daki finansal hizmetler sağlayan şirketin birimleri arasında yapılan konuşmalardaki, şüpheli para transferlerine ilişkin bilgilerin, Tracfin’e (Fransa Ekonomi Bakanlığı’na bağlı kara para aklama ile mücadele eden birim) verilmesine karar verdi.

Ek olarak kara para aklama ve terörizmin finansmanı ile mücadele de kullanılan kişisel verilerin AB, Avrupa

Ekonomik bölgesi ve Komisyon’un belirlediği, taraf olacak ülkenin belli bir bölgesinde, gerekli korumayı sağlamak ve önlemleri almak amacıyla o ülkenin finansal yetkililerinden Fransız Banka Komisyonu ile karşılıklı anlaşmaya varılması ile, ilgili şirketlerin çalışanları arasındaki bilgilerin daha rahatça aktarılmasına izin verilmiştir.

Bu karar AU-003 kararındaki (Karar no: 2005-297, Karar tarihi 1 Aralık 2005) sadeleştirilmiş yetkiyi

değiştirmiştir, ancak ilgili karardaki yetki aynı şirket grubunda bulunan şirketler nezdinde bulunan şüpheli verinin aktarılmasına imkan vermemektedir.

Fransız Veri Koruma Otoritesi Credit Agricole’ü Müşterilerini Hatalı Olarak Kara Listede Tutması Sebebiyle Cezalandırdı

28 Nisan 2007

CNIL, 23 Eylül 2006 tarihinde verdiği 2006-245 sayılı kararında, Banque de France tarafından yönetilen Credit Agricole’e, müşterilerini hatalı bir şekilde kara listeye alınması nedeniyle 20.000 Avroluk bir ceza verdi.

Dava konusu somut olay ödeme sorununun yaşandığı zamandan 16 yıl sonra kara listeye eklenen birkaç birey hakkındadır. CNIL ilgili kişilerin kara listeden sulh yoluyla çıkarılmasını istemiştir. Ancak banka ilgili kişileri ikinci bir defa yanlışlıkla kara listeye koymuştur. Benzer hataların ileride oluşmaması için CNIL tarafından yapılan

organizasyon ve teknik düzenleme çağrılarına cevap vermekte banka başarısız olmuştur.

(57)

Ekler

EK-2

Lloyds TSB BANK kararı

Lloyds TSB BANK Plc («Banka»)’nin davalı olduğu Smith v. Lloyds davasında («Dava»), davacı Terrence William Smith («Smith»), 1998 yılına ait İngiltere Veri Koruma Yasası’nın («KVK Yasası») 7. Bölümü uyarınca, Banka’ya bildirdiği ve Banka tarafından Smith’e ilişkin tutulan kişisel verilerinin yer aldığı çeşitli belgelerin kullanılmadan önce kendisine bildirilmediğini ileri sürmüştür.

Smith, DEL («Şirket») ve Banka arasında yapılan anlaşma uyarınca hem Smith’in hem de Şirketin borçlarına karşılık Smith’in evine ipotek tesis edilmiştir. Banka’nın, kredilerin tahsilini talep etmesi ve , Del ile Smith’in iflas etmeleri üzerine taraflar arasında birçok dava ve takip süreçleri işlemiştir.

Smith, Banka ile aralarındaki sözlü anlaşmayı destekleyen bilgi ve belgelerin KVK Yasası uyarınca kişisel veri niteliğinde olduğu ve KVK Yasası’nda tanımlandığı üzere bağlantılı dosyalama sistemi (“relevant filing system”) ile verilerin kullanıldığını iddia etmiştir.

Mahkeme Smith’in iddia ettiği bilgi ve belgelerin “kişisel veri” niteliğinde olup olmadığının tespitinde

•  Dava konusu talebin yapıldığı tarih,

•  Kişisel verilerin işlendiği sistem

•  Kişisel verilerin bulunduğu belgelerin niteliği gibi hususları göz önünde bulundurmuştur.

Bu bağlamda mahkeme, dava konusu bilgi ve belgelerin dava konusu talebin yapıldığı tarihte otomatik donanımla işlenmediğini, fiziki ortamda tutulan bilgilerin de bağlantılı dosyalama sisteminde tutulmadığını, böylelikle

Smith’e ait olan bilgilerin kolaylıkla bulunamayacağı için kişisel veri olarak değerlendirilemeyeceği, diğer yandan dava konusu bilgi ve belgeler tamamıyla DEL’e verilen kredilere ilişkin olması sebebiyle Smith’e ilişkin kişisel veri olarak kabul edilemeyeceği kanaatine varmıştır.