Makale
Risk Merkezi'nin finansal verileri toplama ve işleme faaliyetleri, Kişisel Verilerin Korunması Kanunu (KVKK) ilkeleri ışığında değerlendirilmelidir. Veri minimizasyonu, açık rıza istisnaları, verilerin güncelliği ve otomatik karar alma süreçleri, kurumun hukuki uyumluluğu açısından bankacılık pratiğinde kritik önem taşımaktadır.
Risk Merkezi Veri İşleme Süreçleri ve KVKK Uyumu
Bankacılık sektöründe kredi risklerinin izlenmesi ve yönetilmesi amacıyla kurulan Türkiye Bankalar Birliği Risk Merkezi, finansal kuruluşların müşteri verilerini merkezi bir yapıda toplayan en önemli aktörlerden biridir. Bu merkez, bireysel ve kurumsal müşterilere ait finansal verileri toplayıp işleyerek kredi tahsis süreçlerinde kritik bir görev üstlenmektedir. Ancak, bu kadar geniş çaplı bir veri havuzunun yönetilmesi, beraberinde Kişisel Verilerin Korunması Kanunu (KVKK) standartlarına tam uyum sağlama zorunluluğunu getirmektedir. Veri sorumlusu sıfatını taşıyan Risk Merkezi'nin işlediği kredi ve borç bilgileri, temel hak ve özgürlükler bağlamında özel hayatın gizliliği ve kişisel verilerin korunması ilkeleriyle doğrudan temas etmektedir. Hukuki perspektiften bakıldığında, merkezin yürüttüğü veri işleme faaliyetleri; veri minimizasyonu, aydınlatma yükümlülüğü ve doğru veri işleme şartları gibi KVKK'nın temel ilkeleri ekseninde katı bir denetime tabi olmak zorundadır. Aksi takdirde, bankalar ile merkez arasındaki veri akışında doğabilecek hukuka aykırılıklar, veri sahipleri açısından ciddi mağduriyetlere yol açabilmektedir.
Risk Merkezi'ne Veri Aktarımının Hukuki Dayanağı
Risk Merkezi, müşteri verilerini toplama, saklama ve paylaşma işlemlerini temel olarak 5411 sayılı Bankacılık Kanunu hükümlerine dayanarak gerçekleştirmektedir. KVKK'nın kişisel verilerin işlenme şartlarını düzenleyen 5. maddesi uyarınca, kural olarak kişisel verilerin işlenmesi ilgili kişinin açık rızasına tabidir. Ancak uygulamada, müşterilerin kişisel verilerinin bankalar tarafından Risk Merkezi'ne aktarılması süreci, kanunda açıkça öngörülen istisnai haller kapsamında değerlendirilmektedir. Nitekim Kişisel Verileri Koruma Kurulu'nun vermiş olduğu emsal kararlara göre, bankaların risk değerlendirmesi amacıyla merkezle paylaştığı veriler, kanunlarda öngörülen haller istisnasına dayandığından ayrıca bir açık rıza alınmasına gerek duyulmamaktadır. Bu durum, veri aktarımının yasal bir zemine oturduğunu gösterse de, söz konusu aktarımın sınırsız bir serbesti sunduğu anlamına gelmemektedir. Aktarılan verilerin mutlaka veri minimizasyonu ilkesi gözetilerek, yalnızca amaca uygun ve ölçülü bir biçimde sınırlandırılması yasal bir zorunluluktur.
Veri Minimizasyonu ve Amaca Uygunluk İlkesi
Bankacılık işlemlerinde KVKK'nın 4. maddesi gereğince kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması kuralı esastır. Ne var ki, Risk Merkezi tarafından yürütülen veri işleme süreçlerinde zaman zaman bu ilkelerin dışına çıkılabildiği görülmektedir. Bireylerin kimlik, iletişim, kredi geçmişi, teminat ve çek senet hareketleri gibi finansal profillerinin tamamı merkezi bir havuzda birleştirilmektedir. Veri minimizasyonu ilkesi, yalnızca işlem için kesinlikle gerekli olan verilerin toplanmasını emrederken; geniş kapsamlı veri toplanması, potansiyel güvenlik risklerini artırmaktadır. Bankalar tarafından sunulan verilerin işlenme amacı sona erdiğinde dahi, bu bilgilerin ne kadar süreyle saklanacağına dair yasal düzenlemelerde bulunan boşluklar, verilerin süresiz olarak tutulması riskini doğurmaktadır. Oysa KVKK ve uluslararası veri koruma standartları, veri işleme faaliyetlerinin ve saklama sürelerinin şeffaf biçimde sınırlandırılmasını kesin bir dille talep etmektedir.
Otomatik Karar Alma ve Veri Doğruluğu Sorunları
Kredi notu oluşturulması ve risk skorlaması gibi süreçler, Risk Merkezi verileri kullanılarak genellikle otomatik karar alma mekanizmaları üzerinden yürütülmektedir. Otomatik sistemlerde kullanılan verilerin eksik, güncel olmaması veya hatalı olması durumunda, müşteriler haksız finansal kısıtlamalarla karşı karşıya kalabilmektedir. Kanun, verilerin doğru ve gerektiğinde güncel tutulmasını emretse de, Risk Merkezi yönetmeliğinde merkezin kendisine iletilen bilgilerin doğruluğunu araştırma yükümlülüğünün bulunmadığı belirtilmektedir. Bu pasif yapı, veri doğruluğunun tamamen kaynak kuruluşa, yani bankalara bırakılmasına neden olmaktadır. Veri sahibi müşterilerin kredi değerlendirmesinde kullanılan karar destek algoritmalarına ve risk skorlarına itiraz etme haklarının pratikte sınırlı olması, hesap verebilirlik ilkesiyle çelişmektedir. Kişisel veriler üzerinden üretilen bu otomatik sonuçlara karşı, bireylere şeffaf bir itiraz mekanizması sunulması hukuki bir gerekliliktir.
Risk Merkezi Veri İşleme Faaliyetlerinde KVKK Kriterleri
Risk Merkezi'nin veri işleme ve aktarım faaliyetlerinin hukuka uygun kabul edilebilmesi için, ilgili düzenleyici otoritelerin belirlediği katı KVKK kriterlerine tam anlamıyla uyum sağlaması gerekmektedir. Bir hukuki kurum olarak değerlendirildiğinde, merkez tarafından işlenen verilerin niteliği, müşterilerin doğrudan ekonomik itibarını ve finansal erişimini etkilediğinden, operasyonel süreçlerin aşağıdaki temel KVKK ilkelerini mutlak surette barındırması şarttır:
- Hukuka ve dürüstlük kurallarına uygunluk: İşlenen kredi verilerinin adil ve şeffaf yöntemlerle elde edilmesi.
- Doğru ve güncel olma: Aktarılan borç ve ödeme bilgilerinin, hatalı finansal kararlara yol açmaması için sürekli güncellenmesi.
- Belirli, açık ve meşru amaçlar için işlenme: Verilerin yalnızca yasal çerçevede tanımlanan risk yönetimi faaliyetleri için kullanılması.
- Amaçla bağlantılı ve ölçülü olma: Bireylerin risk profili için gerekmeyen tali verilerin işlenmesinden kaçınılması.
- Gereken süre kadar muhafaza etme: İlgili yasal süreler dolduğunda kişisel verilerin anonimleştirilmesi veya sistemden silinmesi.
Bu kriterlerin ihlali, veri sorumlusu pozisyonundaki kurumlar için idari para cezaları ve itibar kayıplarına yol açan ciddi yaptırımlar doğurmaktadır.