Anasayfa/ Makale/ Risk Merkezi Veri İşleme Süreçleri ve KVKK Uyumu

Risk Merkezi Veri İşleme Süreçleri ve KVKK Uyumu

Risk Merkezi'nin finansal verileri toplama ve işleme faaliyetleri, Kişisel Verilerin Korunması Kanunu (KVKK) ilkeleri ışığında değerlendirilmelidir. Veri minimizasyonu, açık rıza istisnaları, verilerin güncelliği ve otomatik karar alma süreçleri, kurumun hukuki uyumluluğu açısından bankacılık pratiğinde kritik önem taşımaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
ÖZEL HAYATIN GİZLİLİĞİ AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK AÇIK RIZA İNSAN HAKLARI

Bankacılık sektöründe kredi risklerinin izlenmesi ve yönetilmesi amacıyla kurulan Türkiye Bankalar Birliği Risk Merkezi, finansal kuruluşların müşteri verilerini merkezi bir yapıda toplayan en önemli aktörlerden biridir. Bu merkez, bireysel ve kurumsal müşterilere ait finansal verileri toplayıp işleyerek kredi tahsis süreçlerinde kritik bir görev üstlenmektedir. Ancak, bu kadar geniş çaplı bir veri havuzunun yönetilmesi, beraberinde Kişisel Verilerin Korunması Kanunu (KVKK) standartlarına tam uyum sağlama zorunluluğunu getirmektedir. Veri sorumlusu sıfatını taşıyan Risk Merkezi'nin işlediği kredi ve borç bilgileri, temel hak ve özgürlükler bağlamında özel hayatın gizliliği ve kişisel verilerin korunması ilkeleriyle doğrudan temas etmektedir. Hukuki perspektiften bakıldığında, merkezin yürüttüğü veri işleme faaliyetleri; veri minimizasyonu, aydınlatma yükümlülüğü ve doğru veri işleme şartları gibi KVKK'nın temel ilkeleri ekseninde katı bir denetime tabi olmak zorundadır. Aksi takdirde, bankalar ile merkez arasındaki veri akışında doğabilecek hukuka aykırılıklar, veri sahipleri açısından ciddi mağduriyetlere yol açabilmektedir.

Risk Merkezi'ne Veri Aktarımının Hukuki Dayanağı

Risk Merkezi, müşteri verilerini toplama, saklama ve paylaşma işlemlerini temel olarak 5411 sayılı Bankacılık Kanunu hükümlerine dayanarak gerçekleştirmektedir. KVKK'nın kişisel verilerin işlenme şartlarını düzenleyen 5. maddesi uyarınca, kural olarak kişisel verilerin işlenmesi ilgili kişinin açık rızasına tabidir. Ancak uygulamada, müşterilerin kişisel verilerinin bankalar tarafından Risk Merkezi'ne aktarılması süreci, kanunda açıkça öngörülen istisnai haller kapsamında değerlendirilmektedir. Nitekim Kişisel Verileri Koruma Kurulu'nun vermiş olduğu emsal kararlara göre, bankaların risk değerlendirmesi amacıyla merkezle paylaştığı veriler, kanunlarda öngörülen haller istisnasına dayandığından ayrıca bir açık rıza alınmasına gerek duyulmamaktadır. Bu durum, veri aktarımının yasal bir zemine oturduğunu gösterse de, söz konusu aktarımın sınırsız bir serbesti sunduğu anlamına gelmemektedir. Aktarılan verilerin mutlaka veri minimizasyonu ilkesi gözetilerek, yalnızca amaca uygun ve ölçülü bir biçimde sınırlandırılması yasal bir zorunluluktur.

Veri Minimizasyonu ve Amaca Uygunluk İlkesi

Bankacılık işlemlerinde KVKK'nın 4. maddesi gereğince kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması kuralı esastır. Ne var ki, Risk Merkezi tarafından yürütülen veri işleme süreçlerinde zaman zaman bu ilkelerin dışına çıkılabildiği görülmektedir. Bireylerin kimlik, iletişim, kredi geçmişi, teminat ve çek senet hareketleri gibi finansal profillerinin tamamı merkezi bir havuzda birleştirilmektedir. Veri minimizasyonu ilkesi, yalnızca işlem için kesinlikle gerekli olan verilerin toplanmasını emrederken; geniş kapsamlı veri toplanması, potansiyel güvenlik risklerini artırmaktadır. Bankalar tarafından sunulan verilerin işlenme amacı sona erdiğinde dahi, bu bilgilerin ne kadar süreyle saklanacağına dair yasal düzenlemelerde bulunan boşluklar, verilerin süresiz olarak tutulması riskini doğurmaktadır. Oysa KVKK ve uluslararası veri koruma standartları, veri işleme faaliyetlerinin ve saklama sürelerinin şeffaf biçimde sınırlandırılmasını kesin bir dille talep etmektedir.

Otomatik Karar Alma ve Veri Doğruluğu Sorunları

Kredi notu oluşturulması ve risk skorlaması gibi süreçler, Risk Merkezi verileri kullanılarak genellikle otomatik karar alma mekanizmaları üzerinden yürütülmektedir. Otomatik sistemlerde kullanılan verilerin eksik, güncel olmaması veya hatalı olması durumunda, müşteriler haksız finansal kısıtlamalarla karşı karşıya kalabilmektedir. Kanun, verilerin doğru ve gerektiğinde güncel tutulmasını emretse de, Risk Merkezi yönetmeliğinde merkezin kendisine iletilen bilgilerin doğruluğunu araştırma yükümlülüğünün bulunmadığı belirtilmektedir. Bu pasif yapı, veri doğruluğunun tamamen kaynak kuruluşa, yani bankalara bırakılmasına neden olmaktadır. Veri sahibi müşterilerin kredi değerlendirmesinde kullanılan karar destek algoritmalarına ve risk skorlarına itiraz etme haklarının pratikte sınırlı olması, hesap verebilirlik ilkesiyle çelişmektedir. Kişisel veriler üzerinden üretilen bu otomatik sonuçlara karşı, bireylere şeffaf bir itiraz mekanizması sunulması hukuki bir gerekliliktir.

Risk Merkezi Veri İşleme Faaliyetlerinde KVKK Kriterleri

Risk Merkezi'nin veri işleme ve aktarım faaliyetlerinin hukuka uygun kabul edilebilmesi için, ilgili düzenleyici otoritelerin belirlediği katı KVKK kriterlerine tam anlamıyla uyum sağlaması gerekmektedir. Bir hukuki kurum olarak değerlendirildiğinde, merkez tarafından işlenen verilerin niteliği, müşterilerin doğrudan ekonomik itibarını ve finansal erişimini etkilediğinden, operasyonel süreçlerin aşağıdaki temel KVKK ilkelerini mutlak surette barındırması şarttır:

  • Hukuka ve dürüstlük kurallarına uygunluk: İşlenen kredi verilerinin adil ve şeffaf yöntemlerle elde edilmesi.
  • Doğru ve güncel olma: Aktarılan borç ve ödeme bilgilerinin, hatalı finansal kararlara yol açmaması için sürekli güncellenmesi.
  • Belirli, açık ve meşru amaçlar için işlenme: Verilerin yalnızca yasal çerçevede tanımlanan risk yönetimi faaliyetleri için kullanılması.
  • Amaçla bağlantılı ve ölçülü olma: Bireylerin risk profili için gerekmeyen tali verilerin işlenmesinden kaçınılması.
  • Gereken süre kadar muhafaza etme: İlgili yasal süreler dolduğunda kişisel verilerin anonimleştirilmesi veya sistemden silinmesi.

Bu kriterlerin ihlali, veri sorumlusu pozisyonundaki kurumlar için idari para cezaları ve itibar kayıplarına yol açan ciddi yaptırımlar doğurmaktadır.

Bankamın borç bilgilerimi Risk Merkezi'ne göndermesi için benden izin alması gerekmiyor mu? expand_more
Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kural olarak kişisel verilerin işlenmesi için açık rızanızın alınması şarttır. Ancak, bankaların müşteri verilerini Risk Merkezi'ne aktarması, 5411 sayılı Bankacılık Kanunu'nda açıkça öngörülen istisnai bir haldir. Kişisel Verileri Koruma Kurulu'nun emsal kararlarına göre, risk değerlendirmesi amacıyla yapılan bu işlemler kanunlarda öngörülen haller istisnasına dayandığından bankanızın sizden ayrıca bir açık rıza almasına hukuken gerek bulunmamaktadır. Yine de, bu durum ilgili kurumlara sınırsız bir veri paylaşım serbestisi vermez; aktarılan verilerin mutlaka amaca uygun ve veri minimizasyonu ilkesi gözetilerek ölçülü bir biçimde sınırlandırılması zorunludur.
Kredi notum yanlış hesaplanmış ve kredi alamıyorum, buna itiraz edemez miyim? expand_more
Kredi notunuzun oluşturulması ve risk skorlaması süreçleri genellikle otomatik karar alma mekanizmaları üzerinden yürütülmektedir. Kanun gereği kişisel verilerin doğru ve gerektiğinde güncel tutulması emredilse de, Risk Merkezi'nin kendisine iletilen bilgilerin doğruluğunu bizzat araştırma yükümlülüğü bulunmadığından bu sorumluluk kaynak kuruluş olan bankalara bırakılmıştır. Hatalı, eksik veya güncel olmayan veriler nedeniyle haksız finansal kısıtlamalarla karşılaşmanız durumunda hakkınızı aramanız elbette mümkündür. Kişisel verileriniz üzerinden üretilen bu tür otomatik sonuçlara karşı itiraz mekanizmalarının işletilmesi ve hesap verebilirlik ilkesinin sağlanması yasal bir zorunluluktur.
Borcumu ödememe rağmen bu kayıtlar Risk Merkezi'nde sonsuza kadar kalacak mı? expand_more
Hayır, kişisel verilerinizin herhangi bir merkezi sistemde sonsuza kadar veya keyfi olarak muhafaza edilmesi veri koruma hukukuna aykırıdır. KVKK'nın temel prensipleri gereğince, verilerin yalnızca yasal çerçevede tanımlanan risk yönetimi amaçları için gereken süre kadar muhafaza edilmesi esastır. Ne var ki, uygulamada verilerin ne kadar süreyle saklanacağına dair yasal düzenlemelerdeki bazı boşluklar, bilgilerin süresiz tutulması gibi ciddi hukuki riskleri doğurabilmektedir. Standartlara göre, ilgili yasal saklama süreleri dolduğunda borç ve kredi kayıtlarınızın mutlaka anonimleştirilmesi veya sistemden tamamen silinmesi gerekmektedir.
Risk Merkezi'nin çek ve senetlerim dahil her finansal bilgimi toplaması yasal mı? expand_more
Risk Merkezi'nin yürüttüğü veri işleme faaliyetlerinde KVKK'nın "amaca uygunluk" ve "veri minimizasyonu" ilkelerine tam uyum sağlaması zorunludur. Bireylerin kimlik, kredi geçmişi, teminat ve çek senet hareketleri gibi tüm finansal profillerinin geniş kapsamlı bir havuzda toplanması, sadece işlem için kesinlikle gerekli olan verilerin toplanması kuralıyla sık sık çelişmektedir. Bankalar ve veri sorumlusu konumundaki merkezin, sizin risk profilinizi belirlemek için doğrudan gerekmeyen tali verileri işlemekten kesinlikle kaçınması gerekir. Veri minimizasyonu ilkesinin aşılması ve gereğinden fazla veri toplanması potansiyel güvenlik risklerini artırdığından, bu durum ilgili kurumlar açısından idari para cezaları doğurabilecek bir hukuka aykırılıktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir