Bankacılık Sektöründe Kişisel Verilerin Korunması Kanunu / Ceylan Necipoğlu

Kişisel veriler günümüzde gün geçtikçe değerini artırıp şirketlerde önemli varlıklar arasında sayılmaya başladı. Son yıllarda internet kullanımının artışı ve teknolojinin ilerlemesi ile paylaşımlar artmış olup; kişisel verilerin değerini koruyabilmek adına belirli düzenlemeler ihtiyaç haline geldi. Bu noktada ilk adım Avrupa Birliği’nin (AB) 1995 yılında yürürlüğe soktuğu direktif genişletilerek regülasyon haline getirilmiş; üye ülkeler için çerçeve bir yasa oluşturan ilgili direktif yerine tüm ülkelerin harfiyen takip edeceği daha sıkı ve ağır tedbirler içeren yeni regülasyon (GDPR) 2016 Mayıs’ta yayınlandı. Akabinde ilgili regülasyona uyum için AB 2 yıl tanıdı. Bu süre ise 2018 Mayıs ayında sona erecek.

Türkiye’ye bakıldığında ise yıllardır taslak olarak Meclis’te bekleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) Türkiye’de de internetin yaygınlaşması; kişisel verilerin know-how olarak kabul edilmesi ve Avrupa’da öne çıkan benzer gereksinimler sonucunda 07 Nisan 2016’da yürürlüğe girdi. Türkiye’de yeni olan bu kültüre uyum sağlayabilmek adına, kanun şirketlere yürürlük tarihinden önce alınmış, işlenmiş, saklanmış kişisel verilerin düzenlenebilmesi adına Kanun yürürlük tarihinden başlamak kaydı ile 2 yıllık uyum süresi tanındı. Herhangi bir uzatma öngörülmemesi halinde Türkiye’deki uyum süresi Nisan 2018’de sona erecek.

Kanunun yürürlüğe girmesinden günümüze kadar geçen süreç içerisinde gerek kanunda çıkarılacağı ifade edilen ikincil düzenlemelerde ki gecikmeler gerekse sektör bazında düzenlemelerin eksikliği, sektörlerde bir takım soru işaretlerinin belirmesine sebep oluyor. 
Kanun yayınlanması itibari ile 1 yıl içerisinde çıkarılması beklenilen yönetmeliklerden biri olan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28 Ekim 2017’de Resmi Gazete’de yayımlanmış olup; 1 Ocak 2018’de yürürlüğe girecek. Veri sorumluları siciline ilişkin taslak yönetmelik ise henüz nihai hale getirilmedi.

Özellikle banka sektörü ele alındığında; bankaların hem kişisel veri hem de Bankacılık Kanunu’ndan ötürü acente sıfatı ile hizmet verebilmelerinden kaynaklı sıklıkla özel nitelikli kişisel veri işlediği görülüyor. Regüle bir sektöre mensup olmaları gerekçesi ile soru işaretlerine en çok sahip olan sektörlerden birisi olan bankalar; KVKK özelinde birçok kez Türkiye Bankalar Birliği'nde (TBB) tartışma konusu olmuştur. Ancak bazı husular hala belirsizliğini koruyor.
Kanunda öngörülen yükümlülüklerin yerine getirilmesi ve kanun ilkelerine uyum sağlayabilmek adına yürütülen uyum projeleri neticesinde bankacılık özelinde tespit edilen dikkat çekici noktaların başlıcaları aşağıda yer yer alıyor.

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, kanun uyarınca kişisel veri niteliği taşıyor. Bu bağlamda, bir veya birden fazla niteliksiz veri gerçek bir kişiye ulaşılması halinde de veri setinin kişisel veri olarak kabul edildiğini unutmamak önem arz ediyor. Buna ek olarak kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini özel nitelikli kişisel veri olarak tanımlıyor. Bu tür verileri daha özellikli bir korumaya tabi tutuyor. AB'deki yeni düzenleme olan GDPR’ye bakıldığında ise yalnızca bu kategorideki (sensetive data) için açık rıza alınma şartı öngörülüyor.

Bankacılık sektöründe faaliyetin devamı için yapılan faaliyetler özellikle acente sıfatı ile hareket edilen süreçler göz önüne alındığında, hiç şüphesiz ki bankalar kişisel veriyi yoğunluklu olarak bünyesinde barındırıyor ve ilgili sigortacılığa dair iş süreçlerinde de özel nitelikli kişisel veriye sürekli olarak dokunuyor.

Sektöre ilişkin bir diğer dikkat çekici husus ise potansiyel müşterilerin bir başka deyişle hali hazırda banka ile ilişiği bulunmayan müşteri olabilme olasılığı bulunan yada dolaylı yoldan örneğin kefil sıfatıyla banka ile yolları kesişen kişilerin sınıflandırılması ve ilgili müşteri sınıfına dair verilerin ne şekilde işlenebileceğidir. Sektör işleyişi gereğince potansiyel müşteri verisi sıkça işleniyor ve kullanılıyor. Bu husus özelinde kanun değerlendirildiğinde öncelikle aydınlatma yapmak ve sonrasında açık rıza alarak ilerlemek riski azaltmak adına aşınabilecek önlem olarak karşımıza çıkıyor.

Öte yandan, sektörün risk analizleri ve öngörülerle doğrudan ilişki içerisinde olmasının bir diğer doğal sonucu olarak ise karşımıza düzenli raporlamaların yapılması ihtiyacı çıkıyor. Gerek mevzuata dayalı raporlamalar gerekse bankaların faaliyetlerini sürdürmesi kapsamında iştirakler, iş ortakları (partnerler) ve yerel yada yabancı ortaklar ile iç raporlamalar mevcut olup; mevzuata dayanmayan ancak içeriğinde kişisel veri barındıran raporlar kanun tahtında yorumlandığında risk faktörü barındırıyor. Bu bağlamda şirketin raporlama faaliyetlerinin durdurulmasının beklenmesinin iş hayatının ve olağan hayatın akışına ters düşeceğinden sektörün devamlılığını kolaylaştırmak ve operasyonu sekteye uğratmamak adına kurul tarafından hazırlanacağı belirtilen sektör kitapçıkları önem arz edecek. İkincil düzenlemeler ve sektörel açıklamalar oluşturulmadıkça mevzuat kapsamında öngörülen risklerden kaçınmak adına ilgili raporlamaların içeriğinde kullanılan kişisel verilerin minimize edilerek sayısal açıdan olabilecek en asgari seviyede tutulması ve raporlama kapsamında zaruri olmayan kişisel verilerin işlenmesinden kaçınılması an itibari ile en sağlıklı çözüm olacak gözüküyor.

Son olarak, en önemli risk hususu oluşturan iş süreci ise crm/ pazarlama faaliyetleridir. Zira bankacılık sektörü için mihenk taşı olan crm raporlamaları ve pazarlama faaliyetleri Bankacılık Kanunu’na bakıldığında bankaların gerçekleştirebileceği faaliyet listesinde yer almamakta olup; hususa dair TBB ve kurul ile yapılan toplantılar sonucu ikincil düzenlemelerinde oturması ile bir netlik kazanması bekleniyor.

Sonuç olarak, uyum sürecinin tamamlanması için öngörülen Nisan 2018 tarihi yaklaşmış olsa dahi kanunda öngörülen veri sorumluları sicile kayıt ve işleyişi düzenleyecek olan yönetmelik hali hazırda yayınlanmadı. Bu sebeple var olan mevzuata dair birtakım soruların olması nedeniyle ilk etapta kolaylıkla alınabilecek en risksiz aksiyon; kişisel veriye dokunan iş süreçlerinde mümkün oldukça asgari düzeyde verilerin işlenmesi GDPR’da yer alan ifade ile verilerin minimize edilmesi), saklanması ve aktarılması olacak gözüküyor.

(Kaynak: Dünya Gazetesi | 19.12.2017)

>> Duyurulardan haberdar olmak için E-Posta Listemize kayıt olun.

>> Uygulamalı Enflasyon Muhasebesi (171 Sayfa) Ücretsiz E-Kitap: hemen indir.

>> SGK Teşvikleri (156 Sayfa) Ücretsiz E-Kitap: hemen indir.

>> MuhasebeTR mobil uygulamasını Apple Store 'dan hemen indir.

>> MuhasebeTR mobil uygulamasını Google Play 'den hemen indir.