Makale

Hızla dijitalleşen finansal ekosistemde, bankacılık sektörü müşteri deneyimini iyileştirmek ve operasyonel güvenliği maksimize etmek amacıyla giderek daha karmaşık veri setlerini bünyesinde işlemektedir. Bu veriler arasında en hassas olanları şüphesiz özel nitelikli kişisel veriler kategorisindedir. Kişisel Verilerin Korunması Kanunu kapsamında ırk, etnik köken, din, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik veriler gibi öğrenilmesi halinde kişinin ayrımcılığa uğramasına neden olabilecek bu veriler, genel kişisel verilere kıyasla çok daha sıkı bir hukuki koruma rejimine tabidir. Yakın zamanda yürürlüğe giren kanun değişiklikleri ile birlikte, özel nitelikli verilerin işlenme şartları ve bu veriler de dahil olmak üzere kişisel verilerin yurt dışına aktarımı konularında Türk hukukunda köklü reformlar hayata geçirilmiştir. Uzman bir hukuk uygulaması perspektifinden değerlendirildiğinde, bankaların sadece kanunun getirdiği yeniliklere değil, aynı zamanda sektörel denetleyici otoriteler tarafından ihdas edilen mevzuata da entegre bir uyum süreci yürütmesi hukuki bir zorunluluktur.

Bankacılık Uygulamalarında Özel Nitelikli Verilerin İşlenmesi

Kanunun özel nitelikli verileri düzenleyen maddesinde yapılan reform öncesinde, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kural olarak yalnızca kanunlarda öngörülme şartıyla işlenebilmekteydi. Yapılan yasal güncellemelerle işleme şartları çeşitlendirilerek uygulamanın genişletilmesi hedeflenmiştir. Bankacılık sektörü özelinde en sık karşılaşılan özel nitelikli veri işleme faaliyeti, şüphesiz biyometrik verilerin işlenmesi süreçlerinde vücut bulmaktadır. Dijital bankacılığın gelişimiyle ivme kazanan uzaktan kimlik tespiti ve elektronik bankacılık işlemlerindeki kimlik doğrulama mekanizmalarında, ses tanıma veya yüz tanıma gibi biyometrik karakteristikler yoğun olarak kullanılmaktadır. Mevzuat uyarınca bankaların sistem güvenliğini sağlamak adına biyometrik kimlik doğrulama bileşenlerini devreye alması sıklıkla karşılaşılan bir durumdur. Ancak hukuki açıdan, bu noktada ölçülülük ve amaçla bağlantılılık ilkelerinin titizlikle denetlenmesi şarttır. Yaşam boyu değiştirilemeyen nitelikteki biyometrik veriler, hukuki dayanağını yasal düzenlemelerde bulsa dahi, zorunluluk ölçütünü ve amaca uygunluğu aşan müdahaleler bağlamında ciddi yasal ihlal riskleri barındırmaktadır.

Banka faaliyetlerinde hukuki yükümlülük gereği sıklıkla temas edilen bir diğer özel nitelikli veri kategorisi ise adli sicil kaydı bilgileridir. Hukuk uygulamasında, çek mevzuatı kapsamında hesap açtırmak isteyen müşterilerin yasaklılık durumlarının araştırılması bankalar için emredici bir yasal yükümlülüktür. İlgili kişinin adli sicil kaydının bulunması hali, doğrudan ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler şemsiyesi altında değerlendirildiğinden, kanunlarda açıkça öngörülmesi hukuki sebebine dayanılarak müşterinin açık rızası aranmaksızın hukuka uygun biçimde işlenebilmektedir. Öte yandan, resmi bir mahkûmiyet kararının bulunmaması durumunun genel kişisel veri mi yoksa özel nitelikli veri mi sayılacağı teoride tartışmalı olsa da, Türk hukuk uygulamasında sicil kaydının temiz olması halinin genel kişisel veri kapsamında ele alındığı görülmektedir. Bu hassas hukuki ayrım, veri sorumlusu statüsündeki bankaların aydınlatma metinlerini kaleme alırken dayandıkları yasal gerekçeleri net ve spesifik olarak sınıflandırmalarını mecburi kılmaktadır.

Kişisel Verilerin Yurt Dışına Aktarımında Kademeli Sistem

İlgili kanunun dokuzuncu maddesinde yapılan güncel düzenlemeler, kişisel verilerin yurt dışına aktarımı konusunda uzun süredir bankacılık ve finans sektöründe yaşanan hukuki çıkmazları gidermek amacıyla kademeli bir yapı ihdas etmiştir. Eski düzenlemede ağırlıklı olarak açık rıza şartına dayandırılan aktarım süreçleri, hizmetin ifasını rızaya bağlama yasağı ile temelden çelişerek ciddi yasal ihtilaflara zemin hazırlamaktaydı. Değişen ve uluslararası standartlara uyumlu hale getirilen yeni yasal çerçevede ise yurt dışına aktarım süreçleri şu üç temel mekanizmaya bağlanmıştır:

• Yeterlilik Kararına Dayalı Aktarım: Kurul tarafından güvenli kabul edilen ülkelere, spesifik sektörlere veya uluslararası kuruluşlara yönelik alınan kararlara istinaden gerçekleştirilen hukuka uygun aktarımlardır.
• Uygun Güvencelere Dayalı Aktarım: Yeterlilik kararının bulunmadığı hallerde; Standart Sözleşmelerin taraflarca imzalanması, çok uluslu grup şirketleri için Bağlayıcı Şirket Kuralları onaylatılması veya taahhütnameler aracılığıyla veri güvenliğinin sağlanmasıdır.
• Arızi Aktarım: Yeterlilik kararı veya uygun güvencelerin kurulamadığı, olağan ticari faaliyetin parçası olmayan, tek seferlik ve istisnai zorunluluk hallerinde başvurulan veri transferidir.

Bankacılık Mevzuatında Veri Yerelleştirme Yükümlülükleri

Genel veri koruma mevzuatının getirdiği bu esnek ve kademeli yurt dışı aktarım rejimine rağmen, bankacılık sektöründe faaliyet gösteren kurumların hukuki pozisyonu çok daha katı sektörel normlarla sınırlandırılmıştır. Bankaların bilgi sistemlerine yönelik denetleyici otoritelerce hazırlanan yönetmelikler uyarınca, bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları tavizsiz bir yasal zorunluluktur. Bu sıkı yerelleştirme yükümlülüğü, bankaların temel iş süreçlerine ait verileri bulut bilişim gibi dış hizmet sağlayıcılar üzerinden yürütmek istemeleri halinde dahi, ilgili sistemlerin ve yedeklerin fiziken ülke sınırları içerisinde konumlandırılmasını emretmektedir. Dolayısıyla, uzman bir hukukçu gözüyle değerlendirildiğinde; bankacılık verilerinin yurt dışına aktarımı, genel mevzuatın öngördüğü kademeli onay veya standart sözleşme kolaylıklarından ziyade, sektörel regülasyonların emrettiği veri yerelleştirme kurallarının aşılmaz surları ile çevrilidir. Bu minvalde bankalar, global operasyonlarını hukuka uygun kurgularken öncelikle sektörel mevzuatın çizdiği emredici sınırları merkeze almak mecburiyetindedir.