Makale
Bankacılık sektöründe veri sorumlusu sıfatını haiz bankalar, kişisel verilerin işlenmesi sürecinde KVKK kapsamındaki genel ilkelere, aydınlatma ve veri güvenliğini sağlama yükümlülüklerine sıkı sıkıya uymak zorundadır. Bu metinde, bankaların veri koruma mevzuatından doğan idari ve teknik sorumlulukları hukuki bir perspektifle incelenmektedir.
Bankaların KVKK Yükümlülükleri ve Veri Güvenliği Rehberi
Bankacılık sektörü, yapısı gereği yüksek hacimli ve kritik öneme sahip kişisel verilerin işlendiği bir alandır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu sıfatını haiz olan bankalar, faaliyetlerini yürütürken müşteri mahremiyetini ve kişisel veri güvenliğini korumak amacıyla bir dizi yasal yükümlülüğe tabi tutulmuştur. Bu yükümlülükler yalnızca mevzuata uyum sağlamakla kalmayıp, aynı zamanda bankacılık sistemine duyulan müşteri güveninin tesis edilmesi açısından da hayati bir işlev görmektedir. Bankaların yürüttüğü süreçlerde, hukuka ve dürüstlük kurallarına uygun hareket edilmesi, verilerin doğru ve güncel tutulması, belirli, açık ve meşru amaçlarla bağlantılı ve ölçülü olarak işlenmesi temel ilkeler olarak karşımıza çıkmaktadır. Ayrıca bankalar, mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar verileri muhafaza etme ilkesine de titizlikle uymak zorundadır. Bütün bu ilkeler, bankacılık operasyonlarında uygulanması gereken temel anayasal ve yasal bir çerçeve çizmektedir.
Aydınlatma Yükümlülüğü ve Şeffaflık
Bankaların KVKK kapsamındaki en temel sorumluluklarından biri aydınlatma yükümlülüğüdür. Veri sorumlusu sıfatıyla bankalar, kişisel verilerin elde edilmesi sırasında ilgili kişileri detaylı ve anlaşılır bir şekilde bilgilendirmekle mükelleftir. Bu bilgilendirme metinlerinde; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, verileri toplamanın yöntemi ile hukuki sebebi ve ilgili kişinin Kanun’un 11. maddesinde sayılan hakları eksiksiz bir biçimde yer almalıdır. Bankacılık sektöründe kredi başvurusu, hesap açılışı veya dijital bankacılık işlemleri gibi birbirinden çok farklı faaliyetler yürütüldüğünden, aydınlatma metinlerinin ilgili faaliyete özgülenmiş olması hukuki bir zorunluluktur. Ayrıca, aydınlatma metinleri açık, sade ve ortalama bir müşterinin anlayabileceği bir dille kaleme alınmalı, gelecekte ortaya çıkması muhtemel belirsiz veri işleme amaçlarından kesinlikle kaçınılmalıdır.
Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler
KVKK’nın 12. maddesi kapsamında veri sorumlusu statüsündeki bankalar, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, ayrıca verilerin güvenli bir biçimde muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bu yasal yükümlülük, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından çıkarılan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik hükümleriyle birlikte oldukça sıkı bir hukuki denetime tabi tutulmaktadır. Veri güvenliğinin temini anlık bir faaliyet olmayıp sürekli bir süreçtir. Kurul tarafından yayımlanan güncel güvenlik rehberleri doğrultusunda, bankaların hukuki, idari ve teknolojik altyapı standartlarını sağlamak için çeşitli yapısal mekanizmalar geliştirmesi şarttır:
- Kurumsal SOME (Siber Olaylara Müdahale Ekibi) kurulması ve düzenli güvenlik testlerinin yapılması.
- Sızma testleri, veri maskeleme, güvenlik duvarları ve yetki matrisi gibi teknik donanımların güncel tutulması.
- Çalışan kaynaklı veri ihlallerini önlemek adına düzenli bilgi güvenliği farkındalık eğitimlerinin gerçekleştirilmesi.
- Tüm kullanıcı işlemlerinin erişim denetimleri kapsamında zaman damgalı log kayıtlarının tutulması.
VERBİS Kayıt Yükümlülüğü ve Kişisel Verilerin İmhası
Şeffaflık ve hesap verebilirlik ilkesinin bir gereği olarak, bankaların Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları ve kapsamlı bir kişisel veri işleme envanteri hazırlamaları yasal bir yükümlülüktür. Bankalar, işledikleri verilerin amacını, saklama sürelerini ve aldıkları veri güvenliği tedbirlerini Sicile beyan etmek zorundadır. Bununla bağlantılı olarak, kişisel verilerin işlenmesini gerektiren hukuki sebeplerin ortadan kalkması halinde söz konusu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şarttır. Türk Ticaret Kanunu ve Bankacılık Kanunu uyarınca bankaların kayıtlarını genellikle on yıl süreyle saklama yükümlülüğü bulunmaktadır. Mevzuatta öngörülen bu saklama süreleri sona erdiğinde, verilerin ilgili yönetmelikler ve saklama ve imha politikası çerçevesinde derhal sistemden arındırılarak güvenli bir şekilde imha edilmesi veya hiçbir gerçek kişiyle ilişkilendirilemeyecek biçimde anonimleştirilmesi hukuki bir zorunluluktur.
İlgili Kişinin Hakları ve Veri İhlallerinin Bildirimi
Anayasa ve KVKK uyarınca her birey, kendisiyle ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. KVKK'nın 11. maddesi kapsamında müşteriler, bankalara başvurarak kişisel verilerinin işlenip işlenmediğini öğrenme, eksik veya yanlış verilerin düzeltilmesini talep etme ve mevzuattaki şartlar dâhilinde verilerinin silinmesini isteme hakkına sahiptir. Bankalar, kendilerine usulüne uygun şekilde iletilen bu talepleri en kısa sürede ve en geç otuz gün içinde sonuçlandırmakla görevlidir. Öte yandan, bankaların veri koruma süreçlerinde yaşanabilecek siber saldırılar veya yetkisiz erişimler gibi bir veri ihlali durumunda idari bir sorumluluk daha doğmaktadır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu statüsündeki bankalar, bu ihlali derhal ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve ihlalden etkilenen ilgili kişilere bildirmek zorundadır.