Anasayfa/ Makale/ Bankacılıkta Özel Nitelikli Veri İşleme ve Yurt Dışı Aktarımı

Bankacılıkta Özel Nitelikli Veri İşleme ve Yurt Dışı Aktarımı

Bankacılık sektöründe özel nitelikli verilerin işlenmesi ve yurt dışına aktarımı, 2024 mevzuat değişiklikleri ve sektörel kurallar ışığında sıkı şartlara tabidir. Bu makalede, biyometrik veriler, adli sicil kayıtları ve bankacılıktaki veri yerelleştirme yükümlülükleri hukuki bir perspektifle detaylı şekilde incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
BİYOMETRİK VERİ ÖZEL NİTELİKLİ KİŞİSEL VERİ AÇIK RIZA KVKK

Hızla dijitalleşen finansal ekosistemde, bankacılık sektörü müşteri deneyimini iyileştirmek ve operasyonel güvenliği maksimize etmek amacıyla giderek daha karmaşık veri setlerini bünyesinde işlemektedir. Bu veriler arasında en hassas olanları şüphesiz özel nitelikli kişisel veriler kategorisindedir. Kişisel Verilerin Korunması Kanunu kapsamında ırk, etnik köken, din, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik veriler gibi öğrenilmesi halinde kişinin ayrımcılığa uğramasına neden olabilecek bu veriler, genel kişisel verilere kıyasla çok daha sıkı bir hukuki koruma rejimine tabidir. Yakın zamanda yürürlüğe giren kanun değişiklikleri ile birlikte, özel nitelikli verilerin işlenme şartları ve bu veriler de dahil olmak üzere kişisel verilerin yurt dışına aktarımı konularında Türk hukukunda köklü reformlar hayata geçirilmiştir. Uzman bir hukuk uygulaması perspektifinden değerlendirildiğinde, bankaların sadece kanunun getirdiği yeniliklere değil, aynı zamanda sektörel denetleyici otoriteler tarafından ihdas edilen mevzuata da entegre bir uyum süreci yürütmesi hukuki bir zorunluluktur.

Bankacılık Uygulamalarında Özel Nitelikli Verilerin İşlenmesi

Kanunun özel nitelikli verileri düzenleyen maddesinde yapılan reform öncesinde, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kural olarak yalnızca kanunlarda öngörülme şartıyla işlenebilmekteydi. Yapılan yasal güncellemelerle işleme şartları çeşitlendirilerek uygulamanın genişletilmesi hedeflenmiştir. Bankacılık sektörü özelinde en sık karşılaşılan özel nitelikli veri işleme faaliyeti, şüphesiz biyometrik verilerin işlenmesi süreçlerinde vücut bulmaktadır. Dijital bankacılığın gelişimiyle ivme kazanan uzaktan kimlik tespiti ve elektronik bankacılık işlemlerindeki kimlik doğrulama mekanizmalarında, ses tanıma veya yüz tanıma gibi biyometrik karakteristikler yoğun olarak kullanılmaktadır. Mevzuat uyarınca bankaların sistem güvenliğini sağlamak adına biyometrik kimlik doğrulama bileşenlerini devreye alması sıklıkla karşılaşılan bir durumdur. Ancak hukuki açıdan, bu noktada ölçülülük ve amaçla bağlantılılık ilkelerinin titizlikle denetlenmesi şarttır. Yaşam boyu değiştirilemeyen nitelikteki biyometrik veriler, hukuki dayanağını yasal düzenlemelerde bulsa dahi, zorunluluk ölçütünü ve amaca uygunluğu aşan müdahaleler bağlamında ciddi yasal ihlal riskleri barındırmaktadır.

Banka faaliyetlerinde hukuki yükümlülük gereği sıklıkla temas edilen bir diğer özel nitelikli veri kategorisi ise adli sicil kaydı bilgileridir. Hukuk uygulamasında, çek mevzuatı kapsamında hesap açtırmak isteyen müşterilerin yasaklılık durumlarının araştırılması bankalar için emredici bir yasal yükümlülüktür. İlgili kişinin adli sicil kaydının bulunması hali, doğrudan ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler şemsiyesi altında değerlendirildiğinden, kanunlarda açıkça öngörülmesi hukuki sebebine dayanılarak müşterinin açık rızası aranmaksızın hukuka uygun biçimde işlenebilmektedir. Öte yandan, resmi bir mahkûmiyet kararının bulunmaması durumunun genel kişisel veri mi yoksa özel nitelikli veri mi sayılacağı teoride tartışmalı olsa da, Türk hukuk uygulamasında sicil kaydının temiz olması halinin genel kişisel veri kapsamında ele alındığı görülmektedir. Bu hassas hukuki ayrım, veri sorumlusu statüsündeki bankaların aydınlatma metinlerini kaleme alırken dayandıkları yasal gerekçeleri net ve spesifik olarak sınıflandırmalarını mecburi kılmaktadır.

Kişisel Verilerin Yurt Dışına Aktarımında Kademeli Sistem

İlgili kanunun dokuzuncu maddesinde yapılan güncel düzenlemeler, kişisel verilerin yurt dışına aktarımı konusunda uzun süredir bankacılık ve finans sektöründe yaşanan hukuki çıkmazları gidermek amacıyla kademeli bir yapı ihdas etmiştir. Eski düzenlemede ağırlıklı olarak açık rıza şartına dayandırılan aktarım süreçleri, hizmetin ifasını rızaya bağlama yasağı ile temelden çelişerek ciddi yasal ihtilaflara zemin hazırlamaktaydı. Değişen ve uluslararası standartlara uyumlu hale getirilen yeni yasal çerçevede ise yurt dışına aktarım süreçleri şu üç temel mekanizmaya bağlanmıştır:

  • Yeterlilik Kararına Dayalı Aktarım: Kurul tarafından güvenli kabul edilen ülkelere, spesifik sektörlere veya uluslararası kuruluşlara yönelik alınan kararlara istinaden gerçekleştirilen hukuka uygun aktarımlardır.
  • Uygun Güvencelere Dayalı Aktarım: Yeterlilik kararının bulunmadığı hallerde; Standart Sözleşmelerin taraflarca imzalanması, çok uluslu grup şirketleri için Bağlayıcı Şirket Kuralları onaylatılması veya taahhütnameler aracılığıyla veri güvenliğinin sağlanmasıdır.
  • Arızi Aktarım: Yeterlilik kararı veya uygun güvencelerin kurulamadığı, olağan ticari faaliyetin parçası olmayan, tek seferlik ve istisnai zorunluluk hallerinde başvurulan veri transferidir.

Bankacılık Mevzuatında Veri Yerelleştirme Yükümlülükleri

Genel veri koruma mevzuatının getirdiği bu esnek ve kademeli yurt dışı aktarım rejimine rağmen, bankacılık sektöründe faaliyet gösteren kurumların hukuki pozisyonu çok daha katı sektörel normlarla sınırlandırılmıştır. Bankaların bilgi sistemlerine yönelik denetleyici otoritelerce hazırlanan yönetmelikler uyarınca, bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları tavizsiz bir yasal zorunluluktur. Bu sıkı yerelleştirme yükümlülüğü, bankaların temel iş süreçlerine ait verileri bulut bilişim gibi dış hizmet sağlayıcılar üzerinden yürütmek istemeleri halinde dahi, ilgili sistemlerin ve yedeklerin fiziken ülke sınırları içerisinde konumlandırılmasını emretmektedir. Dolayısıyla, uzman bir hukukçu gözüyle değerlendirildiğinde; bankacılık verilerinin yurt dışına aktarımı, genel mevzuatın öngördüğü kademeli onay veya standart sözleşme kolaylıklarından ziyade, sektörel regülasyonların emrettiği veri yerelleştirme kurallarının aşılmaz surları ile çevrilidir. Bu minvalde bankalar, global operasyonlarını hukuka uygun kurgularken öncelikle sektörel mevzuatın çizdiği emredici sınırları merkeze almak mecburiyetindedir.

Banka uygulamaya girerken yüzümü okutmamı istiyor, buna hakları var mı? expand_more
Bankacılık sektöründe uzaktan kimlik tespiti ve dijital güvenlik süreçlerini sağlamak amacıyla yüz tanıma veya ses tanıma gibi biyometrik verileriniz işlenebilmektedir. Kanunumuzda biyometrik veriler "özel nitelikli kişisel veri" statüsünde kabul edildiğinden genel verilere nazaran çok daha sıkı bir hukuki koruma rejimine tabidir. Bankalar bu tür hassas verileri talep ederken ölçülülük ve amaca bağlılık ilkelerini titizlikle gözetmek zorundadır. Şayet bankanın biyometrik veri işleme faaliyeti bu zorunluluk ölçütünü ve yasal amacı aşıyorsa, ortada hukuka aykırı bir müdahale ve yasal ihlal riski söz konusudur.
Çek defteri alacağım diye sabıka kaydıma benden izinsiz bakabilirler mi? expand_more
Evet, bankaların çek hesabı açtırmak isteyen müşterileri için yasaklılık araştırması yapması mevzuatımız gereği emredici bir yasal yükümlülüktür. Eğer adli sicil kaydınız bulunuyorsa, bu durum "ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler" kapsamında değerlendirilir ve kanunlarda açıkça öngörülme şartına dayanılarak açık rızanız olmaksızın işlenebilir. Uygulamada sicil kaydının temiz olması hali ise genel kişisel veri niteliğinde kabul edilmektedir. Veri sorumlusu sıfatını haiz bankalar, bu süreçte aydınlatma metinleri aracılığıyla hukuki dayanaklarını müşterilerine spesifik olarak bildirmekle yükümlüdür.
Bankalar hesap bilgilerimizi yabancı ülkelerdeki sunucularda saklayabilir mi? expand_more
Hayır, bankacılık verilerinizin yabancı ülkelerdeki bulut bilişim gibi altyapılarda veya yurt dışı sunucularında saklanması hukuken mümkün değildir. Kişisel Verilerin Korunması Kanunu'nda yurt dışına aktarım için uygun güvence veya yeterlilik kararı gibi kademeli yeni sistemler öngörülmüş olsa da bankacılık alanı çok daha katı sektörel normlara tabidir. İlgili denetleyici otoritelerin yönetmelikleri uyarınca, bankaların birincil ve ikincil sistemlerini, yedekleriyle beraber fiziken Türkiye sınırları içerisinde bulundurmaları tavizsiz bir kuraldır. Dolayısıyla bankalar, veri yönetim süreçlerini oluştururken her halükarda sektörel regülasyonların emrettiği veri yerelleştirme mecburiyetlerine uymak zorundadır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir