
Bankacılık Sektöründe Kişisel Verilerin İmhası
Giriş
Güven kuruluşu olan bankaların tarihi çok eskilere dayanmaktadır. Doktrinde hakim olan görüşe göre insanların kıymetli eşyalarını duyulan güven neticesinde yed-i eminlik görevi verilen tapınaklara emanet etmesi bankacılık işlemlerinin başlangıcı olarak anılmaktadır.[1] Dolayısıyla bankacılığın temel taşının güven ilişkisi olduğu sonucunu çıkarmak yanlış olmayacaktır. Günümüzde ise bankalar teknolojinin gelişmesi ile birlikte geniş bir hizmet ağına ve müşteri portföyüne sahip, ülkelerin ekonomisinde majör olarak rol sahibi olan finansal kuruluşlardır.[2] Kişisel veriler ise globalleşen dünyada önemi çok daha fazla artmaktadır. Kişisel verilerin en büyük önemi ekonomik değerinin bulunmasıdır. Dolayısıyla finansal kuruluş olan bankalar tarafından işlenen kişisel veriler büyük öneme sahiptir. Bankalar bir yandan güven ilişkisini sağlamalı, bir yandan da veri ihlalinin yaşanmaması için ilgili yasal düzenlemeler gereğince idari ve teknik tüm tedbirleri alması gereklidir. Bu durum müşteri ve banka arasındaki ilişkinin devamı için zaruridir. (kişisel verilerin imhası)
Çalışmamızın asıl konusu oluşturan şey bankalar tarafından kişisel verilerin nasıl imha edileceğidir. Zira bankalar işledikleri ve 3. Kişilere aktardıkları verileri ömür boyu kendi bünyelerinde tutamaz. Bankalarca kişisel verilerin imha edilmesi için üç yöntem bulunmaktadır. Bunlar kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesidir.
I. KİŞİSEL VERİLERİN İMHA EDİLMESİ KAVRAMI ve İMHA POLİTASI
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik “Tanımlar” başlıklı 4. Madde “c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,” denilerek imha yöntemleri sayılmak suretiyle tanımlama yapılmıştır.[3]
Kişisel verilerin işlenmesinde en önemli kıstas bir amaç doğrultusunda işlenmesidir. İşbu amaç sona erdiğinde veri sorumluları tarafından muhafaza etme hakkı da bitmiş olacaktır. Bankalar veri güvenliği ilkesinin de bir gereği olarak müşterilerin verilerini silme, yok etme ya da anonim hale getirme işlemlerinden herhangi birini yapma mecburiyetindedir. Aksi halde bankalar yaptırımlara maruz kalacak olup bankalarca verilerin hukuka uygun işlendiğinden bahisle ihlal bulunmadığını dile getirmeleri haksız ve mesnetsiz olacaktır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Kişisel veri saklama ve imha politikasına ilişkin esaslar başlıklı MADDE 5 –
“ (1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.” [4]
Yukarıda yönetmelik hükmünde açıklandığı üzere bankaların veri imha politikası hazırlamadan önce kişisel veri işleme envanteri düzenleme zorunluluğu getirmiştir. Bankalarca düzenlenen envantere uygun olarak kişisel veri imha politikası hazırlanması uygun görülmüştür. İlgili yönetmelik uyarınca imha politikasının kapsamı belirlenmiştir.[5] Bankalar ilgili hükümler uyarınca veri imha politikasını düzenleyerek gerekli idari ve teknik tedbirleri alması veri ihlallerinin yaşanmaması ve bankaların yaptırımlara maruz kalmaması için önem arz etmektedir.
II. İMHA YÖNTEMLERİ
6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi başlıklı MADDE 7–
“ (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”[6]
Yukarıdaki amir hüküm uyarınca işlenmesini gerektiren sebepler ortadan kalktığında kişisel veriler resen bankalar tarafından veya ilgili kişinin (müşteri vs.) talebi üzerine veri sorumlusu olan bankalar tarafından imha yöntemlerinden biri kullanılarak silinir, yok edilir veya anonim hâle getirilir.
a) Kişisel Verilerin Silinmesi
Yönetmeliğin 8. Maddesinde kişisel verilerin silinmesinin tanımı yapılmıştır. Buna göre “Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.” Denilerek ilgili kişilerce hiçbir surette erişmeme ve kullanmama durumunu oluşturmaktadır.
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç bankalar tarafından çok titiz bir şekilde yürütülmelidir. Kişisel verileri Koruma Kurulu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde düzenlenmiştir :
● Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
● Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
● İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
● İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.[7]
Silme işleminin hangi yöntemlerle yapılacağı kanun ve yönetmelikte düzenlenmemiştir. Ancak Kişisel verileri Koruma Kurulu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde düzenlenmiştir.[8] Rehberde Hizmet Olarak Uygulama Türü Bulut Çözümleri (Ofice 365, Salesforce, Dropbox gibi), Kağıt Ortamında Bulunan Kişisel Veriler, Merkezi Sunucuda Yer Alan Ofis Dosyaları, Taşınabilir Medyada Bulunan Kişisel Veriler ve Veri Tabanları olarak her biri için farklı silme yöntemleri düzenleyerek veri sorumlusu olan bankalara ışık olmuştur.
b) Kişisel Verilerin Yok Edilmesi (Kişisel Verilerin İmhası)
İlgili Yönetmelik Kişisel verilerin yok edilmesi başlıklı m.9:
“ Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”
Yok etme, silmeden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbir hiçbir şekilde erişilemez geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. O halde kişisel verilerin yok edilmesi işlemi için, verilere adli bilişim ve veri kurtarma yazılımlarıyla dahi erişilemez bir yöntemin uygulaması gerekir.[9] Dolayısıyla kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilerek verilerin bulunduğu sistemin türüne göre yok etme yöntemi kullanılmalıdır. Nitekim Kurul’un yayımlamış olduğu Rehberde işbu yöntemler belirtilmiştir. Bunlar; De-manyetize Etme, Fiziksel Yok Etme ve Üzerine Yazma’dır. [10]
c) Kişisel Verilerin Anonim Hale Getirilmesi
İlgili Yönetmelik Kişisel verilerin anonim hale getirilmesi başlıklı madde 10:
“ (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
(2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
(3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.”
Kişisel verilerin anonim hale getirilmesi için gerçek kişiye ait belirli veya belirlenebilir her türlü bilginin anonimleştirme yöntemleri kullanılarak aradaki ilişkiyi koparması gerekmektedir. Bu aradaki ilişkinin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir.[11]
III. YASAL SAKLAMA SÜRELERİ
6698 Sayılı KVKK’nın 7’nci maddesinde kişisel verilerin silinmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu izah edilmiştir. Bankalar tarafından işlenen verilerin amacının sona erip ermediğinin tespitinde müşteri ile banka arasındaki iş ilişkisine ilişkin bilgi ve belgelerin muhafazası konusunda yasal düzenlemelerden kaynaklanan saklama sürelerinin geçmiş olması önem arz etmektedir.
5411 sayılı Bankacılık Kanunu “belgelerin saklanması” başlığı altında düzenlenen 42’nci maddesinde bankalara on yıl boyunca müşteri ile ilgili her türlü belgeleri saklama yükümlülüğü getirilmiştir. Ayrıca Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 17/1’nci maddesinde bankaların, müşterilerinden ve resmî ya da özel kurum ve kuruluşlardan aldıkları belgeleri istenildiğinde ibraz edilebilecek şekilde on yıl süreyle saklamalarının zorunlu olduğunu belirtmiştir.
Bu noktada Kurulun 02/11/2021 tarihinde vermiş olduğu karar, on yıllık saklama süresinin baz alınması için örnek teşkil etmektedir. İlgili kişinin Kuruma intikal eden şikâyetinde özetle; verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunduğu, Banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir. Kurul; ilgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve ilgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına karar vermiştir.[12]
Sürekli olarak hangi verilerin işleme amacının sona erdiğinin takibinin yapılması ve verilerin derhal imha edilmesi oldukça zor bir uygulama olacağından ilgili Yönetmelik verilerin imha edilmesini periyodik bir sürece bağlamıştır.[13]
İlgili Yönetmelikte tanımı yapılan periyodik imha usulü gereğince bankaların altı ayı geçmeyecek şekilde tekrar eden aralıklarla imha işlemini gerçekleştirilmesi zaruridir.
Ayrıca ilgili Yönetmelikte de açıkça belirtildiği üzere bankalarca silinen, yok edilen ve anonim hale getirilen verilere ilişkin tüm işlemler kayıt altına alınacak ve bu kayıtlar diğer hukuki yükümlülüklerden ari en az üç yıl süre ile saklanacaktır.
Ayrıca söz konusu 6698 sayılı Kanunun 7. Maddesine ek olarak kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğüne de bakmak faydalı olacaktır.[14]6698 sayılı KVKK Geçici M.1/3, 6698 sayılı kanun yürürlüğe girmeden önce işlenen kişisel verilerinin akıbetinin ne olacağını açıklamaktadır: “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.”
Dolayısıyla Kişisel Verilerin Korunması Kanunu yürürlüğe girmeden önce işlenen kişisel veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Aksi halde hukuka aykırı kişisel veri işlendiğinden bahisle yaptırıma tabi tutulacaktır. Kurulun 06/02/2020 tarihli vermiş olduğu kararda veri sorumlusu bankanın Müşteri numarasının oluşturulduğunun iddia edildiği Ocak 2016’da 07/04/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) yürürlükte olmamakla birlikte, Bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap içeriğinden ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğu anlaşıldığından ilgili kişiye yönelik kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan açık rıza şartı yerine getirilmeksizin ve (2) numaralı fıkrada sayılan hallerden biri mevcut olmaksızın gerçekleştirilmiş olması sebebiyle Bankanın Kanuna aykırı veri işleme faaliyetinde bulunduğu, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasına aykırı şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle veri sorumlusu Bankanın Kanunun 4 üncü maddesindeki genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres bilgilerini işlediği, hususları dikkate alınarak; anılan Bankanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendindeki kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği için idari para cezası verilmiştir.[15]
SONUÇ
Finansal kuruluş olan bankaların gün içerisinde binlerce gerçek kişinin verisini işlediğini varsaydığımızda bankaların çok titiz hareket etmesi gerekmektedir. Gerçek kişinin verisinin işleme amacı ortadan kalktığı zaman veri sorumlusu olarak bankaca resen veya ilgili kişinin talebi ile imha edilmesi gerekmektedir. Bunun da ilgili kanun, yönetmelik ve kurul kararları gereğince periyodik bir sistemle ilgili sürelere riayet edilerek yapılması tavsiye edilmektedir.
Yazarın tüm Blog yazılarını görmek için tıklayınız.
Furkan Güven Taştan’ın “Açık Bankacılık KVKK’a Bir Tehdit mi?” isimli yazısının da yayınlandığı 6. Sayımıza bağlantıdan ulaşabilirsiniz.
Yazar: Av. Aslı UÇAR
KAYNAKÇA
Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi Yayıncılık, İstanbul 2019.
Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi Yayıncılık, İstanbul 2020
Ahmet Battal, Güven Kurumu Nitelendirilmesi Işığında Bankaların Hukuki Sorumluluğu, Banka ve Ticaret enstitüsü, 2001 Ankara, s.21;
Göknil Özcan, Bankacılık İş ve İşlemlerinde Kişisel Verilerin Korunması, 2020 İstanbul
ÇEVRİMİÇİ KAYNAKLAR
Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1104 sayılı Karar Özeti, https://www.kvkk.gov.tr/Icerik/7263/2021-1104
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında” Kişisel Verileri Koruma Kurulunun 06/02/2020 Tarihli ve 2020/103 Sayılı Karar Özeti, https://www.kvkk.gov.tr/Icerik/6733/2020-103
[1] Ahmet Battal, Güven Kurumu Nitelendirilmesi Işığında Bankaların Hukuki Sorumluluğu, Banka ve Ticaret enstitüsü, 2001 Ankara, s.21; Göknil Özcan, Bankacılık İş ve İşlemlerinde Kişisel Verilerin Korunması, 2020 İstanbul
[2]Göknil Özcan, Bankacılık İş ve İşlemlerinde Kişisel Verilerin Korunması, 2020
[3] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=24038&MevzuatTur=7&MevzuatTertip=5 (ÇEVRİMİÇİ)
[4] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=24038&MevzuatTur=7&MevzuatTertip=5 (çevrimiçi)
[5] Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Kişisel veri saklama ve imha politikasının kapsamı başlıklı MADDE 6 –
(1) Kişisel verileri saklama ile imha politikalarını asgari olarak;
a) Kişisel verileri saklama ile imha politikalarını hazırlanma amacına,
b) Kişisel verileri saklama ile imha politikaları ile düzenlenen kayıt ortamlarına,
c) Kişisel verileri saklama ile imha politikalarında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanması ile imhasını gerektiren teknik, hukuki ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli olarak saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verilerin saklanması ile imhası süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha edilme sürelerine,
h) Mevcut kişisel verileri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
[6] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5 (çevrimiçi)
[7] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf (çevrimiçi)
[8] İlgili silme yöntemlerine ulaşmak için bakınız. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf (çevrimiçi)
[9] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi Yayıncılık, İstanbul 2020
[10] İşbu yöntemlerin detaylarına ve örneklerine bakınız:
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf (çevrimiçi)
[11] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf
[12] Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1104 sayılı Karar Özeti, https://www.kvkk.gov.tr/Icerik/7263/2021-1104
[13] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi Yayıncılık, İstanbul 2019.
[14] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi Yayıncılık, İstanbul 2020