Anasayfa/ Makale/ Müşteri Verisi ve KVKK Kapsamında Hukuka Uygun...

Makale

Bankacılık sektöründe müşteri verilerinin işlenmesi, KVKK ve Bankacılık Kanunu'nun sıkı denetimine tabidir. Bu makalede, müşteri verisi ve müşteri sırrı kavramları hukuki perspektifle incelenerek; açık rıza, kanunlarda öngörülme, sözleşmenin ifası ve meşru menfaat gibi veri işlemede aranan temel hukuka uygunluk şartları analiz edilmektedir.

Müşteri Verisi ve KVKK Kapsamında Hukuka Uygun İşleme Şartları

KVKK DOLANDIRICILIK AÇIK RIZA

Finansal sistemin en önemli aktörlerinden olan bankalar, sundukları hizmetlerin doğası gereği bireylere ait geniş kapsamlı veri setlerine erişim sağlamaktadır. Günümüzde dijital bankacılık uygulamalarının yaygınlaşması ve finansal hizmetlerin dijital platformlara taşınması, kişisel verilerin işlenmesi süreçlerini giderek daha karmaşık bir boyuta ulaştırmıştır. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile 5411 sayılı Bankacılık Kanunu hükümleri birbirini tamamlayan, zaman zaman ise özel kanun-genel kanun ilişkisi çerçevesinde iç içe geçen bir yapı sunmaktadır. Bir banka müşterisinin kimlik bilgilerinden, finansal hareketlerine ve hesap detaylarına kadar uzanan geniş yelpazedeki müşteri bilgileri, sadece KVKK kapsamında birer kişisel veri değil, aynı zamanda bankacılık mevzuatı uyarınca müşteri sırrı niteliği de taşıyabilmektedir. Dolayısıyla, müşteri verilerinin toplanması, kaydedilmesi, kullanılması ve aktarılması gibi her türlü veri işleme faaliyeti, hukukun emrettiği katı sınırlar ve hukuka uygunluk sebepleri dâhilinde yürütülmek zorundadır. Aksi yöndeki her eylem, hem idari yaptırımlara hem de telafisi güç itibar kayıplarına zemin hazırlamaktadır.

Müşteri Verisi ve Müşteri Sırrı Kavramlarının Hukuki Niteliği

KVKK madde 3 uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu geniş tanım, müşterinin doğrudan kimliğini belli eden ad ve soyad gibi bilgilerin yanı sıra, onu teşhis etmeye yarayacak sosyo-kültürel, finansal ve fiziksel her türlü izi kapsamaktadır. Bankacılık hukuku perspektifinden yaklaşıldığında ise müşteri kavramı, yalnızca gerçek kişileri değil, tüzel kişileri de kapsayan daha geniş bir alanı ifade etmektedir. Hukuki incelemelerde KVKK'nın koruma kalkanı yalnızca gerçek kişi müşteriler ve tüzel kişilerin gerçek kişi temsilcileri üzerinde etkilidir. 5411 sayılı Bankacılık Kanunu’nun 73. maddesinde düzenlenen müşteri sırrı kavramı ise, banka ile müşteri ilişkisi kurulduktan sonra elde edilen verilere işaret etmektedir. Müşteri ilişkisi kurulmadan önce işlenen veriler (örneğin kredi başvuru aşamasında sunulan ancak işlem tesis edilmeyen belgeler) müşteri sırrı statüsü kazanmaz; ancak KVKK kapsamında tam korumaya tabi birer kişisel veri olmaya devam eder.

Bankacılık Mevzuatında Özel Kanun ve Genel Kanun İlişkisi

Hukuk sistemimizde normlar arası olası uyuşmazlıkları çözmek için özel kanunun genel kanunu ilga etmesi prensibi benimsenmektedir. Bankacılık sektörü özelinde, kişisel verilerin korunmasına ilişkin genel düzenleme olan KVKK ile sektörel gereklilikleri içeren 5411 sayılı Bankacılık Kanunu sıkı bir etkileşim halindedir. KVKK kişisel verilerin korunmasında temel bir çerçeve çizerken, Bankacılık Kanunu müşteri bilgilerinin korunması hususunda sektöre özel hükümler ihtiva etmektedir. Bu sebeple, müşteri verileri işlenirken veri sorumlusu bankalar öncelikle Bankacılık Kanunu’nun emredici ve sınırlayıcı hükümlerini uygulamakla mükelleftir. Mevzuattaki düzenlemeler uyarınca, KVKK kapsamında müşteriden açık rıza alınmış olsa dahi, Bankacılık Kanunu'ndaki istisnai haller haricinde, müşteriden gelen bir talep veya talimat bulunmaksızın sır niteliğindeki bilgilerin üçüncü kişilerle paylaşılamayacağı hükme bağlanmıştır. Bu durum, finansal tüketicinin korunması amacıyla bankalar üzerindeki sır saklama ve veri gizliliği yükümlülüklerinin KVKK standartlarının dahi ötesine geçirildiğini hukuken tescil etmektedir.

Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri

KVKK’nın 5. maddesi, kişisel verilerin işlenmesini kural olarak ilgili kişinin açık rızası şartına bağlamış olmakla birlikte, pratik ticari ve hukuki gereksinimler gözetilerek açık rıza aranmaksızın veri işlenebilecek hukuki sebepler de kanunda detaylı bir şekilde sayılmıştır. Bu hukuki sebepler, veri sorumlusuna mutlak bir serbestlik sağlamamakta; tam aksine her bir veri işleme faaliyeti için Anayasa'nın ölçülülük ve amaca uygunluk ilkeleri doğrultusunda somut ve geçerli bir yasal zeminin oluşturulmasını zorunlu kılmaktadır. Veri sorumlusu bankalar, yürüttükleri operasyonların doğasına uygun olarak ilgili hukuka uygunluk sebeplerini titizlikle belirlemeli ve aydınlatma yükümlülükleri kapsamında bunları müşterilerine şeffaf biçimde sunmalıdır. Aşağıda bankacılık uygulamasında en sık karşılaşılan ve hukuki dayanak oluşturan temel veri işleme şartları özetlenmiştir:

  • Kanunlarda açıkça öngörülmesi: MASAK veya Çek Kanunu gibi hukuki düzenlemelerin emrettiği kimlik tespiti ve muhafaza yükümlülükleri bu kapsamda değerlendirilmektedir.
  • Sözleşmenin kurulması veya ifası: Müşteri ile banka arasındaki kredi veya mevduat hesabı sözleşmesinin ifası için kaçınılmaz olan veri işleme faaliyetlerini kapsar.
  • Hukuki yükümlülüğün yerine getirilmesi: Bankaların Risk Merkezi veya Gelir İdaresi Başkanlığı gibi resmi ve adli otoritelere yapması gereken yasal bildirimleri içerir.
  • Bir hakkın tesisi, kullanılması veya korunması: Banka alacaklarının tahsili için başlatılan icra ve dava süreçlerinde verilerin işlenmesi bu şarta dayanmaktadır.
  • Veri sorumlusunun meşru menfaati: İlgili kişinin temel haklarına zarar vermemek şartıyla, dolandırıcılık tedbirlerinin alınması gibi kamu ve kurum yararı taşıyan operasyonları ifade eder.

Açık Rıza ve Sınırları

KVKK perspektifinde açık rıza, belirli bir konuya ilişkin, detaylı bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır. Uygulamada sıkça düşülen en büyük hukuki hata, ucu açık ve genel nitelikli ifadelerle alınan battaniye rıza metinleridir. Geçerli bir açık rıza beyanı elde edebilmek için, veri işleme faaliyetinin sınırları açıkça çizilmeli ve müşterinin iradesi herhangi bir dış baskı veya hile olmaksızın temin edilmelidir. Bankacılık uygulamasında, bir kredi kullandırma veya hesap açılışı gibi bir hizmetin ifasının, ilgili kişinin açık rıza vermesi şartına bağlanması hukuka aykırıdır. Kişisel Verileri Koruma Kurulu kararları ışığında, sözleşmenin ifası veya kanuni bir yükümlülüğün yerine getirilmesi gibi açık rıza gerektirmeyen diğer hukuki sebeplerin bulunduğu hallerde dahi ek koruma güdüsüyle müşteriden açık rıza talep edilmesi, iradeyi yanıltıcı ve dürüstlük kuralına aykırı bir hukuki işlem olarak değerlendirilmektedir. Bu nedenle, hukuki şartların tespiti sürecinde her vaka için titiz bir analiz yapılması gerekmektedir.

Kanunlarda Açıkça Öngörülme ve Meşru Menfaat

Bankacılık işlemleri, suç gelirlerinin aklanmasıyla mücadele, terörün finansmanının önlenmesi ve vergi denetimi gibi üstün kamu yararını ilgilendiren yoğun regülasyonlara tabidir. 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında bankalara getirilen kimlik tespiti ve müşteriyi tanıma yükümlülükleri, doğrudan KVKK'nın kanunlarda açıkça öngörülme şartına dayanmaktadır. Bu kapsamda elde edilen bilgi ve belgelerin mevzuatta belirlenen süreler boyunca (örneğin işlem tarihinden itibaren sekiz yıl) saklanması yasal bir zorunluluktur. Diğer yandan, bankacılık sistemini ve tüketicileri siber dolandırıcılık gibi yüksek riskli tehditlere karşı korumak amacıyla müşterilerin cihaz, konum ve işlem deseni gibi verilerinin izlenmesi, veri sorumlusunun meşru menfaati çerçevesinde hukuka uygundur. Ancak meşru menfaatin uygulanabilmesi için, veri işlemenin zorunlu olması ve müşterinin temel hak ve özgürlükleri ile bankanın çıkarları arasında adil bir denge testi yapılması hukuki bir mecburiyettir.

5 dk okuma Yayınlanma: Güncelleme: