Açık Bankacılığın Kişisel Verilerin Korunması Kanunu Ve Avrupa Genel Veri Koruma Tüzüğü Kapsamında Değerlendirilmesi

ÖZ

Son yıllarda teknolojinin gelişmesi ile önemini gittikçe artıran alanlardan biri olan kişisel verilerin korunması hukuku, birçok hukuk kurumunu yakından ilgilendirmektedir. Bu alanların başında da finansal teknoloji hukuku ve özelinde açık bankacılık gelmektedir. Açık bankacılık kapsamında paylaşılan veriler, kişilerin özel hayatını ilgilendiren bilgiler içermekte ve bunun sonucu olarak kişisel verilerin korunması hukukunu doğrudan ilgilendirmektedir.  Bu durum ise kişilerin hak ve özgürlüklerinin korunması açısından büyük önem arz etmektedir.

Dünya’da aynı şekilde  son yıllarda karşımıza çıkan finansal teknolojilerin yaygınlaşması bankaları büyük oranda etkilemiş ve bu konuda da bankaların değişen teknolojiye uyum sağlayarak inovasyon yapması zorunluluğu oluşmuştur. Bu zorunluluk sonucu bankaların kullanıcı verilerini belli şartlarda diğer bankalarla ve üçüncü taraflar ile paylaşması konusunda hukuki düzenlemelere ihtiyaç duyulmuştur. Hızlı gelişen teknoloji, ticaretin ve doğal olarak da finans işlemlerinin hızlı olmasını gerektirmiş ve bunun sonucu olarak da “açık bankacılık” kurumu ortaya çıkmıştır. Açık bankacılık, Avrupa’da ilk olarak 2015’te düzenlenmiş ve aşamalı olarak yürürlüğe girmiştir. Ülkemizde ise 2019 yılında mevzuattaki yerini almıştır. Açık bankacılık kavramı, özel hayatın gizliliği konusunda büyük önem arz eden kişisel verilerin korunması hukuku ile büyük oranda ilişkili olduğundan; bu kavram finans ve hukuk dünyasında tartışılan en önemli konulardan birisi olmuştur. Dünya’da dahi henüz çerçevesi tam olarak çizilememiş bu alanın, kişisel verilerin korunması hukuku açısından değerlendirilmesi ve uygulamada da temel ilkelere dikkat edilmesi zorunluluk arz etmektedir. Bu makale, bu gereklilik ve zorunluluğun hissedilmesi sonucu kaleme alınmıştır.

Anahtar Sözcükler: KVKK, GDPR, açık bankacılık, fintech, API

Evaluatıon Of Open Bankıng Wıthın The Scope Of The Protectıon Of Personal Data And The European General Data Protectıon Regulatıon

Abstract

Personal data protection law, which is one of the areas that has increased its importance with the development of technology in recent years, is closely related to many legal institutions. Financial technology law and especially open banking come first among these areas. The data shared within the scope of open banking includes information regarding the private life of individuals and as a result, it directly concerns the law on protection of personal data. This situation is of great importance in terms of protecting the rights and freedoms of individuals.

The widespread use of financial technologies that we have come across in the world in recent years has greatly affected the banks, and the necessity for banks to innovate by adapting to the changing technology has emerged in this regard. As a result of this obligation, legal regulations were required for banks to share user data with other banks and third parties under certain conditions. Rapidly developing technology required trade and naturally financial transactions to be fast, and as a result, an “open banking” institution emerged.

Open banking was first regulated in Europe in 2015 and came into effect gradually. In our country, it has taken its place in the legislation in 2019. Since the concept of open banking is largely related to the law on the protection of personal data, which is of great importance for the privacy of private life; This concept has been one of the most important issues discussed in the financial and legal world. Even in the world, this area, whose framework has not been fully drawn yet, should be evaluated in terms of personal data protection law and it is necessary to pay attention to the basic principles in practice. This article was written as a result of feeling this necessity and obligation.

Keywords: KVKK, GDPR, open banking, fintech, API

GİRİŞ

Teknolojinin gelişmesi ile birlikte kişilerin verileri daha hızlı, kolay elde edilebilir ve paylaşılabilir hale gelmiş, özel hayatın gizliliği ihlalleri artmış ve bunun sonucu olarak da  kişisel verilerin korunması alanında hukuki düzenleme ihtiyacı ortaya çıkmıştır.

Teknolojiden etkilenen sektörlerin başında ise finans ve buna bağlı olarak bankacılık sektörü gelmektedir. Dijitalleşmenin arttığı son yıllarda, mobil iletişim araçlarının da gelişmesiyle birlikte bankacılık sektöründe bireylerin finansal hizmetlere ulaşımı kolaylaşmıştır. Bu kolaylaşma ve gelişen teknoloji, ticaretin ve doğal olarak da finans işlemlerinin hızlı olmasını gerektirmiş; bunun sonucu olarak da açık bankacılık kurumu ortaya çıkmıştır. Bankaların sunduğu API’ler  (Uygulama Programlama Ara Yüzü) üzerinden, kullanıcı verilerinin diğer bankalar ve üçüncü taraflar ile paylaşılması anlamına gelen açık bankacılığın, milenyum çağında daha çok ön plana çıkan kişisel verilerin korunması hukuku bakımından değerlendirilmesi son derece önem arz etmektedir.

Bu makalede, açık bankacılık kapsamında işlenen kişisel verilerin Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Tüzüğü bakımından incelenmesi, bu verilerin hangi kişisel veri türüne girdiği, ne kapsamda işlenebileceği ve bu verilerin güvenliğinin nasıl sağlanacağı incelenmektedir.

Açık bankacılık, Avrupa Birliği’nde (AB) 2015’te yürürlüğe giren PSD2 (Payment Service Directive 2) ile, ülkemizde ise 22 Kasım 2019 tarihli Resmi Gazete ’de yayınlanan 6493 Sayılı Kanun’da değişiklik yapan 7192 Sayılı Kanun ile mevzuatımızdaki yerini almıştır. Aynı süreçte ise kişisel verilerin korunması ile ilgili doğrudan düzenleme yapan kanunlar Avrupa’da GDPR[1], Ülkemizde de Kişisel Verilerin Korunması Kanunu adıyla mevzuatlarda yerini almıştır.

AÇIK BANKACILIK KAVRAMI

Kavram

Açık bankacılığı, bankacılık işlemlerinde kullanılan finansal verilerin, finansal kuruluşlarla ve/veya üçüncü taraflarla paylaşıldığı bir inovatif kurum şeklinde ifade edebiliriz. Bu veriler, API’ler (Open Bank Data), web servisler ve diğer dosya protokolleri gibi araçlar aracılığı ile paylaşılmaktadır.

Açık bankacılığın tarihi gelişimi ve mevzuattaki yeri ayrıntılı olarak aşağıda incelenecektir. Bunun yanında, açık bankacılığın Türk hukuk mevzuatında yer alan ilk tanımı, BDDK tarafından çıkarılan ve 15 Mart 2020’de yürürlüğe giren Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile gerçekleşmiştir. Söz konusu Yönetmelikte açık bankacılık:

“Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” şeklinde tanımlanmıştır.

Burada elektronik dağıtım kanallarından API’ler büyük önem taşımaktadır. API’ler aracılığı ile finansal veriler, diğer bankalar, finansal kuruluşlar (üçüncü parti uygulamalar) veya üçüncü taraf kişiler ile paylaşılmaktadır. Bu paylaşımlar yukarıda sayıldığı şekilde, gerçek veya tüzel kişiler arasındaki finansal işlemlerin daha hızlı ve kolay olmasını sağlamakla birlikte aynı zamanda diğer tarafların katılımını da sağlamaktadır. Dolayısıyla açık bankacılığın olumlu yanlarını vurgulamakta fayda bulunmaktadır:

  • Kolay finansal işlemler,
  • Hızlı finansal işlemler,
  • Fintech ekosistemine paylaşımcılık etkisi.

Açık Bankacılığın Tarihi ve Kaynakları

Finansal işlemlerde kullanılan teknoloji, 1851 yılında telgraf üzerinden EFT (elektronik fon transferi) ile karşımıza çıkmıştır (Özkan, Ö. 2019, Dünya’da ve Türkiye’de Açık Bankacılık: Açık Bankacılığın Geleceği. s.6,). Aradan geçen 170 yıl sonunda ise, bugün en başta “kriptoloji” biliminin gelişmesi ile tüm bankaların ve hatta diğer yeni piyasaya giriş yapan küçük ve orta ölçekli finans kurumlarında dahi ortak ve hızlı şekilde finans işlemlerinin yapılabildiği bir Dünya’ya gelmiş bulunmaktayız. Şüphesiz, finans sektöründe bankaların bu derece gelişmesini hızlandıran başka bir etken de “blockchain” teknolojisinin 2008 yılında ortaya çıkmasıdır. Tüm Dünya’da ortak ve merkeziyetsiz finans işlemleri imkânı vadeden bu teknolojiye karşı bankalar ve diğer finans kurumlarının yanında, devletler de rekabet edebilmek için açık bankacılık çözümlerini listelerinde başa almışlardır. İşte bu kapsamda Avrupa Birliği (AB), 2007 yılında ilk Ödeme Servisleri Direktifini (PSD) sunmuş ve 2009’da yürürlüğe koymuştur. PSD’den 4 yıl sonra ise ülkemizde 6493 sayılı Kanun yürürlüğe girmiştir.

Bu kanun, elektronik para ve ödeme kuruluşlarını düzenlemektedir. Daha sonra 2015’te PSD2[2] AB’de yürürlüğe girmiş ve “açık bankacılık” regülatif düzene sokulmuştur. Son olarak 7192 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile açık bankacılık ülkemizde regüle edilmiştir. “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” ile de tanımlanmış ve 1 Temmuz 2020 tarihinde yürürlüğe girmek üzere 15 Mart 2020 tarihinde Resmi Gazete’de yayımlanmıştır.

API’ler (Application Programming Interface)

Açık bankacılığın temel çıkış noktalarından birisi olan API’ler (Application Programming Interface), açık bankacılığını anlamak için açıklanması gereken kavramlardandır.

Finansal işlem kullanıcı bilgilerinin, bankaların diğer bankalar ile diğer üçüncü Parti tarafları ile (tedarikçileri, servis sağlayıcılar, dış pazarlama hizmetleri gibi servisler sağlayan, kurumun iş ortakları) veya üçüncü kişi kullanıcılar ile paylaşılmasına ve bu paylaşım sistemi ara yüzüne API denilmektedir.

API’ler, “dahili” ve “iş ortaklıkları” ve “açık” API çerçevesi olarak üçe ayrılabilecektir (Mckinsey, 2020):

Dahili API’ler: Bankaların kurum içinde verileri paylaşması ve daha kullanışlı bir yapı oluşturmasıdır.

Harici olarak nitelendirilebilecek “iş ortaklıkları” API’si: Bankaların diğer üçüncü partiler ile kullanıcı verilerini, bir arayüz üzerinden paylaşmasıdır.

Açık API’ler: Bankaların bu verileri herkes ile paylaşması ve kullanımına sunması olarak belirtilebilir.

Kullanıcı Verilerinin Niteliği

Bankalar ve üçüncü taraf sağlayıcılar, açık bankacılık kapsamında müşterilerin finansal verileri başta olmak üzere genel nitelikli birçok kişisel verisini işlemektedir. Müşterilerin işlem bilgisi, kimlik bilgisi, hizmet kullanım bilgisi, satın alma alışkanlık bilgisi, finansal hedef bilgisi, müsamaha gösterilen risk sınırı bilgisi, hesap bakiye bilgisi, hesap hareketleri ve ayrıca müşteri hakkındaki verilerden hareketle banka algoritmaları aracılığıyla oluşturulan katma değerli kişisel veriler işlenen verilere örnek olarak sayılabilir (Tsang, 2019:371), (Remolina, 2019:28.). En başta açık bankacılıkta işlenen kullanıcı verilerinin bankacılık mevzuatı açısından incelenmesi, kişisel verilerin korunması hukuku bakımından yapılacak inceleme açısından büyük önem arz etmektedir. Bu sebeple, API’ler, diğer web servisleri ve diğer dosya protokolleri gibi araçlarla paylaşılan veriler bu başlıkta incelenecektir. API’ler veya diğer protokoller ile paylaşılan ve paylaşabilen verilerin Kanun koyucu nezdinde yerine bakar isek en başta bankacılık hukuku uyarınca bazı belirlemeler yapılabilecektir.

Müşteri sırrı niteliği: Bankacılık Kanunu m.73’te, “müşteri sırrı” kavramı etrafında bir tanım yapıldığı görülmektedir. Buna göre: “…Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir…”hükmü uyarınca bu verilerin “müşteri sırrı” olarak değerlendirildiği görülmektedir.

Bunun yanında, açık bankacılık açısından önemli adımlardan birisi olabilecek
“Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı” BDDK tarafından 19 Şubat 2021 tarihinde yayınlanmıştır. Bu taslak henüz yürürlüğe girmemiş durumda olsa da bu yönetmelikte de bu verilerin “müşteri sırrı” niteliği olduğu görülmektedir. Bu nedenle açık bankacılık verilerinin, Bankacılık Mevzuatı kapsamında en başta “müşteri sırrı” niteliğine sahip olduğu söylenebilecektir. Bu kullanıcı verilerinin ise yönetmelik taslağına göre “olabilecek en az kapsamda veri olması gerektiği” belirtilmektedir.  Görüldüğü üzere, açık bankacılık kapsamında işlenen veriler bankacılık hukuku açısından “müşteri sırrı niteliğinde” veri sayılmaktadır.

Hassas veri niteliği: Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik incelendiğinde madde 3/o’da hassas veri tanımı ile bu verilere yönelik bir tanım yapılmıştır. Söz konusu maddede hassas veri:

“Kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki veriler”

olarak tanımlanmıştır. Bu bağlamda söz konusu tanımdan yola çıktığımızda:

  • Kimlik doğrulamada kullanılan veriler,
  • Müşterinin ayırt edilebilmesini sağlayan veriler(müşteri sırrı niteliğindeki veriler),
  • Müşteri adına işlem yapılabilmesine veya dolandırıcılık yapılabilmesine neden olunabilecek verilerin hassas veri tanımı kapsamına alındığı görülmektedir.

Buna göre hassas veriyi, kimlik doğrulamada kullanılacak veriler ile müşterinin ayırt edilebilmesinin sağlanacağı ve bundan müşterinin zarar görebileceği verileri içerdiği şeklinde yorumlamak mümkündür. Bu bağlamda, açık bankacılık kapsamında paylaşılan ve dolayısıyla işlenen verilerin, bankacılık mevzuatı içerisinde genel kavram olarak müşteri sırrı, özel kavram olarak da hassas veri niteliğindeki kullanıcı verileri olduğu ifade edilebilir. Bununla birlikte, bu verilerin hassas veri içerisine dâhil edilmeyen müşteri sırrı niteliğinde veriler olabileceğini de belirtmek gerekmektedir. Bu durum, Şema:02’de belirtilmiştir. Sonuç olarak, açık bankacılık kapsamında paylaşılan bu verilerin bankacılık hukuku çerçevesinde genel olarak müşteri sırrı niteliğinde veriler ve bazı veri türlerinin de özel olarak müşteri sırrı niteliğinde hassas veriler olarak ayrılabileceği söylenebilecektir.

KİŞİSEL VERİLERİN KORUNMASI

Kavram

Günümüzde teknolojinin hızlı bir şekilde ilerlemesi karşısında insanların mahremiyetinin korunmasının önemi artmıştır. Bu anlamda dünyada ve ülkemizde gerek doktrinel çalışmalarda gerekse kanun koyucular tarafından yapılan çalışmalarda bu mahremiyetin korunmasına ve dolayısıyla da özel hayatın gizliliğinin önemine ulusal ve uluslararası düzenlemelerle vurgu yapılmıştır. Kişileri belli veya belirlenebilir kılacak her türlü veri olarak nitelendirilebilecek kişisel veri kavramı, dünyada da ve ülkemizde de kavram olarak yenidir.

Kişisel verilerin korunmasının Avrupa İnsan Hakları Sözleşmesi bağlamında, kişilerin en başta özel yaşamını, aile yaşamını, konutunu ve haberleşmenin gizliliğini koruduğu söylenebilecektir (AKGÜL, Aydın, 2014). Bu kapsamda kişisel verilerin korunması doğrudan kişilik haklarını ilgilendiren bir hak olarak karşımıza çıkmaktadır.

Bu anlamda Dünya’da ilk olarak Avrupa Konseyi tarafından 1975’li yıllarda çalışmalar başlamış, 1985 yılında “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” yürürlüğe girmiş, ülkemiz de 28 Ocak 1981’de bu sözleşmeyi imzalayan ülkelerden birisi olmuştur. Adalet Bakanlığınca hazırlanarak Bakanlar Kurulu tarafından 22.04.2008 tarihinde TBMM Başkanlığına sunulan (1/576) esas numaralı Kişisel Verilerin Korunması Kanunu Tasarısı TBMM tarafından kabul edilmemiştir (Ünsal, Z. 2013: 99-124). Ardından yapılan çalışmalar neticesinde ülkemizde kişisel verilerin korunması için düzenlenen 6698 sayılı kanun 7 Nisan 2016 tarihinde yürürlüğe girerek mevzuatımızdaki yerini almıştır.

Kişisel Verilerin Ulusal ve Uluslararası Mevzuattaki Yeri

Günümüze gelindiğinde ise Avrupa Birliği tarafından kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere 2012 yılında yeni bir tüzük çalışması başlatılmıştır. Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılan tüzük 2016 yılında kabul edilmiş ve 25 Mayıs 2018 tarihinde 95/46 sayılı Direktifi ilga ederek yürürlüğe girmiştir (Kişisel Verileri Koruma Kurumu, s.8-12 [27.02.2021]).

Yine bu konuda Avrupa İnsan Hakları Sözleşmesi incelendiğinde: “Avrupa İnsan Hakları Sözleşmesinde (AİHS) kişisel verilerin korunması ile ilgili doğrudan bir düzenlenme bulunmasa da “Özel ve aile hayatına saygı hakkı” başlıklı 8.maddesi ile kişilerin mahremiyeti güvence altına alınmıştır.

Bu konuda olarak karşımıza çıkan ve en ayrıntılı düzenleme ise Avrupa’da Avrupa Genel Veri Koruma Tüzüğü (General Data Protection Regülation) olarak belirtilebilecektir. GDPR, 25 Mayıs 2018’de tam olarak yürürlüğe girmiştir.

Ulusal düzenlemeler: Yukarıda da bahsettiğimiz üzere “AİHS’ye paralel olarak Anayasa’nın Özel Hayatın Gizliliği başlıklı 20.maddesinde 2010 yılında yapılan değişiklikle kişisel verilerin korunması Anayasal güvence altına alınmıştır.” (Bozyel, 2021:6). Bununla birlikte, Anayasamızın 20.maddesi ve bu maddeye istinaden düzenlenen ve 2016 yılında kabul edilip 2018 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun (KVKK) ile kişisel verilerin korunması konusunda en ayrıntılı ve önemli düzenlemeyi yapılmıştır.Ayrıca bu Kanun’a bağlı yönetmelikler ve ikincil düzenlemeler de son derece önemlidir.

Kişisel Verilerin Korunması Kanunu (KVKK)

Yukarıda da bahsettiğimiz gibi 2010 yılında Anayasa değişikliği ile güvence altına alınan kişisel verilerin korunması 6698 sayılı kanunun 7 Nisan 2016 tarihinde yürürlüğe girmesiyle hukuk sistemimizdeki yerini almıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca çeşitli kavramlara ve kişisel veriler hakkında şartları incelemek son derece önemlidir.

Kişisel veri: Bireylerin kimlik, iletişim, sağlık bilgileri, mali bilgileri, özel hayatı, inancı, siyasi görüşü gibi mahremiyet arz eden bilgilerinin gerek özel sektörü gerekse kamu sektörü tarafından bilişim sistemleri içerisinde otomatik olarak işlenmesi her iki sektörde yer alan tüzel kişiler bakımından büyük kolaylık sağlasa da mahremiyet içeren bu verilerin bir başka taraf veya taraflarca kullanılması ihtimali gündeme gelmektedir. Bu da veri sahibi ile veriyi kullanalar arasında bir denge oluşturulmasını gerekli kılmaktadır. (Kişisel Verileri Koruma Kurumu, s.32-34 [27.02.2021]). Bu dengenin sağlanması için kabul edilen 6698 sayılı Kanun’da yapılan ve düzenlenen bu kavramı incelemek önemlidir.

“Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir.” (Kişisel Verilerin Korunması Kanunu Tasarısı, TBMM, 2016). Sonuç olarak gerçek bir kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü verinin kişisel veri olarak değerlendirilebileceğini belirtebiliriz.

Açık rıza: AY md.20 ve 6698 sayılı KVKK’nın 5/1, 6/2, 8/1, 9/2. maddesine göre “Kişisel veriler, ancak kanunda öngörülen hallerde ya da kişinin açık rızasıyla işlenebilir. hüküm altına alınmış ve Açık rıza, kanunda hem özel nitelikli hem de özel nitelikli olmayan kişisel veriler bakımından temel hukuka uygunluk sebebi olarak öngörülmüştür.

AB’de yalnızca özel nitelikli (hassas) verilerin işlenmesi için açık rıza aranır iken ülkemizde kural olarak her türlü kişisel verinin işlenmesi için açık rızaya ihtiyaç duyulmaktadır.

Açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Kanun’un 3.maddesine göre belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması şeklinde açık rızanın üç unsuru bulunmaktadır. Bu üç unsurun varlığının sağlanması gerekir.

Ayrıca, verilerin hukuka uygun işlenmesi için aşağıdaki tüm şartların birlikte sağlanması gerekir (Bozyel, 2021:7):

  • Açık rızaya dayalı olması,
  • Aydınlatmanın gerçekleşmiş olması,
  • Amaç ve süre ile sınırlı olması,
  • Genel (temel) ilkelere uygun olması.

Kişisel verilerin işlenmesi: Kişisel verilerin korunmasına ilişkin usul ve esaslar Kanun’un 4.maddesinde düzenlenmiştir.

Buradan yapılacak çıkarımda kişisel verilerin çeşitli şekillerde işlenebileceği sonucu elde edilmektedir. Bir başka anlatımla kişisel veriler aşağıdaki belirtildiği gibi çeşitli şekillerde işlenebilmektedir (Kişisel Verileri Koruma Kurumu, s.34-35):

  • Toplama veya kaydetme,
  • Organize etme/depolama,
  • Kullanma/değiştirme,
  • Aktarma,
  • Yayma/erişilebilir kılma,
  • Engelleme/silme/yok etme/anonim hale getirme,
  • Kişisel verilerin otomatik veya otomatik olmayan yollarla işlenmesi,

 Ayrıca Kanun’a göre kişisel verilerin işlenmesinde uyulması zorunlu ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

6698 sayılı kanunun “Kişisel Verilerin İşlenmesi” başlıklı 5.maddesinin 1.fıkrasında, “kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği” net bir şekilde belirtilmekte; 2. fıkrasında ise açık rıza aranmaksızın işleneceği halleri yani istisnaları saymaktadır. Dolayısıyla, açık rıza kavramına değinilirken de belirtildiği ve kanunun açık hükmünden de anlaşıldığı üzere kişisel verilerin işlenmesi ilk olarak gerçek kişinin açık rızasının alınması ile gerçekleşebilir. Bu nedenle de kanunda öngörülen istisna haller dışında ilgili kişinin açık rızası alınmadan kişisel verilerinin işlenebilmesi söz konusu değildir. Kanunda sayılan istisnai haller uygulanırken dahi kişisel verilerin işlenmesinde ölçülü olunmalı ve bir denge gözetilmelidir.

Bu bağlamda, ilgili kişinin kişisel verileri işlenirken haklarına zarar gelmemesi için dikkatli davranılmalı ve gerekli her türlü önlem alınmalıdır.(Bozyel, 2021:8)

Veri Sorumlusu: Veri sorumlusu, 6698 sayılı kanunun 3.maddesinde, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye ise “veri işleyen” denilmektedir. Tanımdan da anlaşılacağı üzere veri sorumlusu verileri kendisi işleyebileceği gibi, bu veriler bir başka gerçek veya tüzel kişi aracılığı ile de işlenebilmektedir.

Kanunun 12. maddesinin 1. fıkrasına göre veri sorumlusunun yükümlülükleri belirlenmiştir:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Verilerin Aktarılması: 6698 sayılı kanunun 8.maddesi kişisel verilerin aktarılmasını 9.maddesi ise yurt dışına aktarılmasını düzenlemektedir. Bu maddelerde yer alan şartlar yerine getirildiği takdirde kişisel verilerin aktarımının hukuka uygun olacağı açıkça anlaşılmaktadır. Kanunun 8.maddesinin 1.fıkrası gereği kişisel veriler ilgilinin açık rızası olmaksızın aktarılamamaktadır. 2.fıkrada ise ilgilinin açık rızasının aranmayacağı haller düzenlenmiştir. Bu kapsamda kişisel verilerin aktarılmasının açık rıza olmadan yapılması 5.maddede sayılan aşağıdaki hallerde mümkündür:

  • Kanunlarda açıkça öngörülmesi,
    • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Ayrıca özel nitelikli kişisel verilerin aktarılabilmesi için açık rıza alınması gerektiği vurgulanmakta ve açık rıza aranmayacak hallerin 6.maddenin 3.fıkrasında sayılan şartların sağlanmasıyla yapılabileceği belirtilmektedir.

Kanunun 9.maddesinin 1.fıkrası gereği kişisel veriler, ilgilinin açık rızası olmaksızın yurtdışına aktarılamamaktadır. Bir başka anlatımla veri aktarımı:

  • Kişinin açık rızasının bulunması,
  • Kanunda belirtilen hallerde (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler),
  • Kanunda belirtilen hallerin varlığı durumunda (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması durumlarında gerçekleştirilebilir.

Ayrıca 9.maddenin 2.fıkrası gereği verinin aktarılacağı ülkede yeterli korumanın bulunması halinde de açık rıza olmaksızın kişisel verilerin ve 5/2 ve 6/3. Maddelerinde belirtilen şartlardan birinin varlığı halinde yurtdışına aktarılabileceği düzenlenmiştir. Burada dikkat edilmesi gereken husus yurtdışına veri aktarımında kişisel verilerin işlenme şartlarının aranmasıdır. (Kişisel Verileri Koruma Kurumu [KVKK], Kişisel Verilerin Korunması Kanunu ve Uygulanması, s.63). Kanunun 9.maddesinin 3.fıkrasında ise yeterli korumanın bulunup bulunmadığı ülkenin belirlenmesine Kişisel Verilerin Koruma Kurulu tarafından karar verileceği düzenlenmiştir.       

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

Yukarıda da belirttiğimiz gibi Avrupa Birliği tarafından kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere tüzük 2016 yılında kabul edilmiş ve 25 Mayıs 2018 tarihinde 95/46 sayılı Direktifi ilga ederek yürürlüğe girmiştir. Yazımızın devamında asıl adı General Data Protection Regulation olan Avrupa Birliği Genel Veri Koruma Tüzüğünden GDPR olarak bahsedilecektir. Bu Tüzük kapsamında da, KVKK uyarınca incelediğimiz kavramları incelemek gerekmektedir.

Kişisel veri: GDPR’da kişisel veri madde 4/1’de tanımlanmıştır. Maddeye göre: Kişisel veri,  “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir.”

Veri sahibi ise tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen bir kişidir. (GDPR Türkçe Versiyon, Avrupa Birliği Bakanlığı Çevirisi,  [24.02.2021])

Kişisel verilerin işlenmesi: Kişisel verilerin işlenmesine ilişkin ilkeler GDPR 5.maddesinde düzenlenmiştir. Buna göre kişisel veriler bu ilkeler doğrultusunda işlenebilecektir:

  • Hukuka uygunluk, adalet ve şeffaf ve belirtilen amaçla uyumlu olması,
  •  Verilerin en az seviyeye indirilmesi,
  • Doğru ve güncel tutulma,
  • Saklama süresinin sınırlandırılması ,
  • Bütünlük ve gizlilik,
  • Hesap verebilirlik.

Rıza koşulları: GDPR kişisel verilerin kullanılmasında rıza için birtakım koşullar belirlemiştir. GDPR madde 7’ye göre:

  • İşleme faaliyetinin rızaya dayandığı hallerde, kontrolör veri sahibinin kişisel verilerinin işlenmesine rıza göstermiş olduğunu gösterebilir.
  • Veri sahibinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur.
  • Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.
  • Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dâhil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilir.

Veri sorumlusu (Kontrolör): Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.

İşleme faaliyetleri ile ilgili olarak ölçülü olması halinde, 1. paragrafta atıfta bulunulan tedbirler kontrolör tarafından uygun veri koruma politikalarının uygulanmasını kapsar. 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmalarına uygun hareket edilmesi kontrolörün yükümlülüklerine uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.

Veri aktarımı: Veri aktarımına ilişkin hükümler GDPR’ın V. bölümünde üçüncü ülkeler veya uluslararası kuruluşlara veri aktarımları başlığı altında düzenlenmiştir. 44.maddede genel hüküm niteliği taşımaktadır. 44. madde’ye göre düzenleme şu şekildedir:

“Üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasının ardından işlenen veya işlenmesi amaçlanan kişisel verilerin aktarılması, üçüncü ülkeden veya uluslararası bir kuruluştan başka bir üçüncü ülke veya başka bir uluslararası kuruluşa yönelik transit aktarımlar da dahil olmak üzere, ancak, bu Tüzük’ün diğer hükümlerine tabi olarak, bu Bölüm’de belirtilen koşullara kontrolör ve işleyici tarafından uyulması halinde gerçekleşir. Bu Tüzük ile temin edilen gerçek kişilere yönelik koruma düzeyine zarar verilmemesinin sağlanması amacı ile bu bölümdeki tüm hükümler uygulanır.”

45.maddede ise genel hüküm niteliği taşıyan 44.madde dışında veri aktarımı yapılırken Komisyon’un veri aktarılacak üçüncü ülke veya bunun dâhilindeki bir bölgede yeterli koruma olup olmadığı gözetilecektir. 45/2’ye göre Komisyonun yeterli koruma kararını vermesi için aşağıda belirtilen hususlara dikkat etmesi gerekmektedir:

  • Hukukun üstünlüğü, insan hakları ve temel özgürlüklere saygı, kamu güvenliği, savunma, milli güvenlik ve ceza hukuku ile kamu kuruluşlarının kişisel verilere erişimi de dâhil olmak üzere hem genel hem de sektörel mevzuatın yanı sıra söz konusu mevzuatın uygulanması, bir ülke veya uluslararası kuruluşta toplanan kişisel verilerin başka bir üçüncü ülke veya uluslararası kuruluşa transit aktarımına yönelik kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik tedbirleri, içtihadın yanı sıra etkili ve uygulanabilir veri sahibi hakları ile kişisel verileri aktarılmakta olan veri sahiplerine yönelik etkili idari ve adli tazmin;
  • Üçüncü ülkede bulunan veya bir uluslararası kuruluşun tabi olduğu ve yeterli uygulatma yetkileri dâhil olmak üzere veri koruma kurallarına uyumluluk sağlanması ve sağlatılması, haklarının kullanımı hususunda veri sahiplerine destek olunması ve tavsiyede bulunulması ve üye devletlerin denetim makamları ile işbirliği yapılmasından sorumlu olan bir veya daha fazla sayıda bağımsız denetim makamının varlığı ve etkili bir şekilde işlev göstermesi ve
  • İlgili üçüncü ülke veya uluslararası kuruluşun altına girdiği uluslararası taahhütler veya yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.

45/3’te ise komisyonca, Uygulama tasarrufunda en az dört yılda bir gerçekleştirilen ve üçüncü ülke veya uluslararası kuruluştaki ilgili tüm gelişmelerin dikkate alındığı düzenli bir gözden geçirme mekanizması sağlanması şartı getirilmiştir. Üçüncü ülke veya söz konusu üçüncü ülke dâhilindeki bir bölge veya bir ya da daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği hallerde bu ülke veya uluslararası kuruluşa yönelik bir kişisel veri aktarımı gerçekleşebilir.

49.maddede ise özel durumlar ifade edilmiştir. 46/1’e göre: 45(3) maddesi uyarınca bir yeterlilik kararı veya bağlayıcı kurumsal kurallar da dâhil olmak üzere 46. madde uyarınca uygun güvenceler olmaması durumunda, kişisel verilerin veya bir kişisel veri dizisinin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması ancak aşağıdaki durumların birinde gerçekleşir:

  • Veri sahibinin, bir yeterlilik kararı ve uygun güvencelerin bulunmaması nedeniyle söz konusu aktarımların kendisine yönelik risklerin haberdar edilmesinin ardından, önerilen aktarıma açık bir şekilde rıza göstermesi;
  • Aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması;
  • Aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması;
  • Aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması;
  • Aktarımın yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması;
  • Veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması;
  • Aktarımın Birlik veya üye devlet hukukuna göre kamuoyuna bilgi sağlanmasının amaçlandığı ve genel olarak kamuoyu veya meşru bir menfaati gösterebilen herhangi bir kişi tarafından, ancak Birlik veya üye devlet hukuku çerçevesinde istişareye yönelik olarak ortaya konan koşullar ilgili durumda yerine getirildiği ölçüde, istişareye açık olan bir sicilden yapılması.

Kontrolör denetim makamını aktarım hususunda bilgilendirir. Kontrolör, 13 ve 14. maddelerde atıfta bulunulan bilgilerin sağlanmasına ek olarak, veri sahibini aktarım ve gözetilen zorlayıcı meşru menfaatler hususunda bilgilendirir.

KVKK VE GDPR BAĞLAMINDA AÇIK BANKACILIK

KVKK ve GDPR Kapsamında Finansal Kullanıcı Verileri

Tanım ve kapsam değerlendirmesi: Bankalar tarafından işlenen bu müşteri sırrı niteliğinde kullanıcı verilerinin, KVKK kapsamında “kişisel veri” olup olmadığının ve KVKK kapsamına girip girmediğinin belirlenmesi önem taşımaktadır.

En başta, yukarıda bahsedildiği şekilde, açık bankacılık kapsamında işlenen verilerin, kişilerin belirli veya belirlenebilecek şekilde veriler olmasından dolayı, bu veriler KVKK ve GDPR bağlamında “kişisel veri” kapsamına girecektir. Toplanan bu “kullanıcı verileri”, kişilere doğrudan veya dolaylı olarak ulaşmayı sağlayabilecek verilerdir. Nitekim bankacılık ve finans mevzuatında da kullanıcıların “gerçek kişi” veya “tüzel kişi” olduklarının belirli olmaları ve bunların kayıt altına tutulması da her zaman “bankacılığa olan güven ilkesi” bağlamında esas unsurlardan birisi olmuştur. Ayrıca KVKK m.2 ve GDPR m.4/1’e de bakıldığında bu durum açıkça görülmektedir:

KVKK m.3/1/d: “ Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade eder.”

GDPR m.4/1: kişisel veri tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir.”

İşleme faaliyeti ise yine KVKK m.3/1/e ve GDPR m.4/2’de benzer şekilde açıklanmıştır:

KVKK m.3/1/e:

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.”

GDPR m.4/2:

“‘işleme faaliyeti’, otomatik yöntemlerle olsun ya da olmasın, kişisel veri ya da kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisidir.”

Bu bağlamda bankacılık açısından toplanan ve paylaşılan kullanıcı verilerinin, tanımlanmış veya tanımlanabilir gerçek kişilere ait olması ve bu verilerin otomatik yöntemlerle toplanması, kaydedilmesi; kullanılması, iletim yoluyla açıklanması faaliyetlerinin “açık bankacılık” uyarınca gerçekleştirildiğinin yukarıda açıkladığımız sebeplerden dolayı mevcut olması nedeniyle, açık bankacılık işlemlerinin KVKK ve GDPR uyarınca kişisel verilerin işlenmesi faaliyeti kapsamında girdiği söylenebilecektir.

Gerek Türk Hukuku gerek Avrupa Hukuku kapsamında bu faaliyetlerin, kişisel verilerin korunması hukuku regülasyonları kapsamına girip girmediğinin de incelenmesi gerekmektedir. KVKK m.2/1  ve GPDR 2/1’de bu regülasyonlar kapsamına girecek kişisel verilerin tanımı yapılmıştır.

KVKK m.2/1: Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.”

GPDR m.2/1: Bu Tüzük, kişisel verilerin tamamen ya da kısmen otomatik araçlarla işlenmesine ve kişisel verilerin otomatik araçlar haricinde bir dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçasını oluşturması amaçlanan araçlarla işlenmesine uygulanır. “

Kapsam açısından değerlendirildiğinde açık bankacılık bağlamında paylaşılan ve toplanan kişisel verilerin, “otomatik araçlarla” işlendiği açıkça gözükmektedir. Bu Bağlamda bu verilerin KVKK ve GDPR kapsamına gireceği açıktır.

Nitelik değerlendirmesi: Bu verilerin hangi veriler olduğunu ve olabileceğini yukarıda ele aldığımız “açık bankacılık” mevzuatı kapsamında belirlenmeye ve değerlendirilmeye çalışılmıştık. Bu bağlamda yukarıda sayılan verilerin, “bankacılık” ve “açık bankacılık” mevzuatı kapsamında genel olarak “müşteri sırrı niteliğinde kullanıcı veriler” olduğu, bazı verilerin ise “hassas veri niteliğinde kullanıcı verileri” oldukları sonucu çıkarılmıştı. Bankacılık mevzuatı kapsamında “müşteri sırrı niteliğinde (hassas veya hassas olmayan) kullanıcı verileri” kapsamında giren bu verilerin, KVKK ve GDPR kapsamında da hangi tür veri sınıfına girdiklerini belirlemeye çalışalım.

KVKK ve GDPR kapsamında kişisel veri türleri 6698 Sayılı Kişisel Verilerin Korunması Kanunu m.6/1 ve GDPR m.9/1’de açıklanmıştır. İki düzenlemede de benzer kişisel veri türlerinin olduğu görülmektedir. KVKK ve GDPR kapsamında sayılan bu veri türlerini sayar isek aşağıdaki ayrımların olduğu görülmektedir:

  • Özel nitelikli olmayan kişisel veri
  • Özel nitelikli kişisel veri (GDPR: Özel kategorideki kişisel veri)
    • Sağlıkla ilgili veriler(GDPR)
    • Genetik veriler
    • Biyometrik veriler

İşlenen bu verilerin “kişisel veri” olduğunu belirlememizin ardından bu noktada KVKK ve GDPR uyarınca diğer veri türleri olan “özel nitelikli kişisel veri (veya özel kategorideki kişisel veri)” kapsamına girip girmediklerinin belirlenmesi gerekmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu m.6/1’de özel nitelikli kişisel verilerin tanımı yapıldığı görülmektedir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. “ Tanımdan yola çıktığımızda, açık bankacılık kapsamında alınan verilerin özel nitelikli veri kapsamında “genetik veri” ve GDPR bağlamında “sağlıkla ilgili veri” kapsamına girmesi mümkün gözükmemekle birlikte “biyometrik veri”ler kapsamında değerlendirilip değerlendirilemeyeceği bu verilerin işlenmesi açısından büyük önem taşımaktadır.

Hassas veri ve biyometrik veri: Biyometrik veri: “Kişinin kimliğini doğrudan tanımlamaya yarayan ve sadece o kişiye ait olan fizyolojik ve davranışsal verilerin bütünü” olarak ifade edilebilecektir (Erdinç, 2020:2) Biyometrik veriler, kişilere has özellikler olmasından dolayı, kimlik doğrulama sistemlerinde de kullanılabilecektir. Bu sebeple de, “müşteri sırrı niteliğinde kullanıcı verileri”nin, bu kapsamda olup olmadığı önem taşımaktadır.  

Yukarıda açıkladığımız hassas verilerin kapsamına bakıldığında, “kimlik doğrulama aracı olarak kullanılabilecek veriler” in de hassas veri kategorisine girdiğini belirtmiştik. Bu kapsamda, “parmak izi, kullanıcı sureti, davranış karakteristikleri” gibi veriler, bankacılık anlamında kimlik doğrulama amacı ile işlenir ise, açık bankacılık kapsamında işlenen verilerin “biyometrik veri” olarak değerlendirilebilme durumu oluşabilecektir. Bu durumda ise KVKK ve GDPR uyarınca verilerin toplanma, alınma, depolanma, aktarılma, açık rıza alma şartları büyük oranda farklılık arz edecektir.

Özel nitelikli olmayan kişisel veriler: Yukarıda açıkladığımız üzere, açık bankacılık kapsamında işlenen verilerin çoğunluğu ise “özel nitelikte olmayan kişisel veriler” kapsamına girecektir. Müşteri sırrı niteliğinde olsun veya olmasın, kimlik doğrulama amacı ile kullanılsa da “biyometrik veri” kapsamında girmeyen açık bankacılık verileri, “özel nitelikte olmayan kişisel veri” kategorisinde değerlendirilecektir.

Dolayısıyla hassas veri kavramının yalnızca bankacılık sektörü açısından daha riskli bir veri grubunu işaret ettiği; buna karşılık kural olarak özel nitelikli veri vasfı taşımadığının altının çizilmesi gerekir. İstisnaen hassas verinin, aynı zamanda özel nitelikli kişisel veri niteliği taşıması da mümkündür. Örneğin, kişinin biyometrik veri niteliğindeki parmak izi verisi, göz ya da yüze ilişkin örüntü bilgisinin kimlik doğrulama amacıyla kullanılması halinde hem hassas veriden hem de özel nitelikli kişisel veriden söz edilecektir.(Taştan-Saruhan, 2020:28)

Bu belirlemeleri yaptığımıza göre, bu verilerin “biyometrik veri” kapsamında olmayan büyük çoğunluğunu oluşturan çeşitlerinin “özel nitelikli olmayan kişisel veri” kapsamında olacağı söylenebilecektir.

İşlenme şartları: Yukarıda belirlediğimiz açık bankacılık kapsamında işlenen verilerin işlenme şartlarını, “kişisel verilerin korunması” ve “bankacılık” mevzuatı kapsamında değerlendirmek büyük önem arz etmektedir. KVKK ve GDPR’ın yanında, bankacılık mevzuatı da bu verilerin işlenmesi açısından büyük sınırlamalar getirmektedir.

İşleme şartları bakımından bu verileri iki kategoriye ayırıp inceleyebiliriz:

            1- Özel nitelikli kişisel veri olmayan finansal kullanıcı verileri

            2- Özel nitelikli (biyometrik veri) kişisel veri olan finansal kullanıcı verileri

Özel nitelikli kişisel veri olmayan finansal kullanıcı verileri: Yukarıda açıklandığı üzere, açık bankacılık kapsamında müşteri ilişkisi çerçevesinde alınan veriler, müşteri sırrı ve/veya hassas veri kapsamına girecek olup bu verilerin kimlik doğrulamada kullanılan kısımlarının biyometrik veri kategorisine girmeyen tüm kısımları “özel nitelikli olmayan kişisel veri” kapsamında değerlendirilebilecektir. Bu belirleme sonucu, yukarıda açıkladığımız şekilde KVKK ve GDPR genel ilkeleri ve hükümleri çerçevesinde verilerin işlenmesi hakkını verebilecek kanısına varılabileceği düşünülse de bankacılık mevzuatı kapsamında da bu verilerin işlenme şartlarını incelemeden bu kanıya varılamayacaktır. Bu yüzden, bankacılık mevzuatı kapsamında “hassas veri” ve “müşteri sırrı niteliğinde kullanıcı verisi” ayrımına göre işlenme şartlarının değerlendirilmesi gerekmektedir.

Müşteri Sırrı Niteliğindeki Kullanıcı Verisi Kapsamında İşlenmesi

Verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, sınıflandırılması ya da kullanılmasının engellenmesi: Bankacılık Kanunu ve Yönetmelik’te[3], “müşteri sırrı niteliğindeki kullanıcı verileri”nin paylaşılması ve aktarılmasıözel şartlara aşağıda açıklayacağımız şekilde bağlanmış olup kişisel verilerin  elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, sınıflandırılması ya da kullanılmasının engellenmesi, KVKK ve GDPR uyarınca genel hükümlere tabi olması düzenlenmiştir.

Bu kapsamda, müşteri sırrı niteliğindeki kullanıcı verilerinin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, sınıflandırılması ya da kullanılmasının engellenmesi, KVKK m.4 ve GDPR m.5 uyarınca genel ilkelere bağlı kalmak şartıyla yukarıda açıkladığımız açık rıza, aydınlatma yükümlülüğü ve diğer emredici hükümler gibi KVKK m.5 ve GDPR m.6 ve m.7 şartları uyarınca işlenebilecektir.

Verilerin açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi: Açık bankacılık uyarınca, bu verilerin açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi ise KVKK ve GDPR genel hükümlerinin yanında, bankacılık hukuku kapsamında da bazı hükümlere bağlanmıştır.

Bankacılık Kanunu m.73/3’te müşteri sırrı niteliğindeki verilerin işlenme şartları düzenlenmiştir. Buna göre:

Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, …6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.”

Hükümlerden anlaşıldığı üzere, bu verilerin açık bankacılık kapsamında yurtiçi veya yurt dışında üçüncü kişilerle paylaşılması veya onlara aktarılması, KVKK emredici hükümlerine aykırı olmamak kaydıyla açık rızaya değil, kullanıcı tarafından ayrıca bir talep veya talimata bağlı kılınmıştır. Bunun yanında, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik m.10/1’de de bu konuda bir düzenlemeye yer verilmiştir:      

“Banka, müşterinin kendisinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, Kanunda yer alan istisnai haller haricinde yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamaz ve bunlara aktaramaz. “

Görüldüğü üzere bu bilgilerin istisnai haller dışında yurtiçindeki veya yurtdışındaki üçüncü kişiler ile paylaşılamayacağı belirtilmiş durumdadır.

Yine Avrupa Birliği hukukunda yapılacak işlemlerde de sadece GDPR hükümleri değil, açıkladığımız bankacılık mevzuatı hükümleri geçerli olacaktır.

Bu kapsamda, yukarıda KVKK m.4’te belirtilen ilkeler uyarınca ve kullanıcının talep veya talimatı doğrultusunda açık bankacılık uyarınca veriler açılabilecektir.

Hassas Veri Kapsamındaki Kullanıcı Verilerinin İşlenmesi

Verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, sınıflandırılması ya da kullanılmasının engellenmesi: Hassas veriler, biyometrik verileri de içerisinde barındıran veriler olduğundan bahsedilmiş idi. Bu maddede özel nitelikli kişisel veri olmayan, yani “biyometrik veri” olmayan hassas verilerin işlenme şartlarına bakılacaktır. Bu sebeple “müşteri sırrı niteliğindeki kullanıcı verileri” konusunda belirttiğimiz işleme şartları bu maddede de geçerli olacaktır.

Verilerin açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi: Hassas veriler içerisinde biyometrik veri olmayan verilerin açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, yukarıda açıklanan şekilde “müşteri sırrı niteliğindeki kullanıcı verilerinin” bu işlemlere tabi tutulması ile aynı şartlara tabi olacaklardır.

Özel nitelikli kişisel veri kapsamında finansal kullanıcı verileri

Hassas veri niteliğindeki kullanıcı verisi kapsamında elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, sınıflandırılması ya da kullanılmasının engellenmesi: Hassas verilerin, biyometrik verileri de içerebileceğini belirtmiş idik. Ayrıca biyometrik veri sınıfında olan verilerin tümünün de bankacılık mevzuatı anlamında hassas veri sınıfına girdiğini belirtmek gerekmektedir. Bu sebeple, alt başlıkta müşteri sırrı verilerinin ayrıca açıklanmasına gerek görülmemiştir.

Bu başlıkta, biyometrik veri özelliği taşıyan, yani özel nitelikli kişisel veri özelliği taşıyan kullanıcı verilerinin KVKK ve GDPR uyarınca işlenmesini inceleyeceğiz.

Biyometrik veriler özel nitelikli kişisel veriler olduğundan, KVKK ve GDPR uyarınca farklı işlenme şartlarına tabidirler. Bankacılık mevzuatı uyarınca, verilerin açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi m.73’e göre yapılabilecek olup diğer işleme işlemleri ise KVKK ve GDPR’ın emredici hükümlerine göre yapılabilecektir. Bu hükümler, KVKK m.6 ve GDPR m.9’da düzenlenmiş durumdadır. KVKK m.6’ya göre:

   “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

GDPR m.9 uyarınca da benzer şartlar ile biyometrik veri kategorisine giren hassas veriler elde edilebilecek, kaydedilebilecek, depolanabilecek, muhafaza edilebilecek, değiştirilebilecek, yeniden düzenlenebilecek, açıklanabilecek, sınıflandırılması ya da kullanılmasının engellenebilecektir.

Hassas veri niteliğindeki kullanıcı verisi kapsamında açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi: Hassas veri kapsamındaki verilerden biyometrik veri sınıfına mensup olanların açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, Bankacılık Kanunu m.73 açık hükmü karşısında, bankacılık mevzuatına göre işlenebilecek durumdadır.

Hassas veriler, tanımı da yapıldığı üzere, içerisinde “biyometrik verileri” de barındırabilecek verilerdir. Hassas veriler aynı zamanda “müşteri sırrı” niteliği de taşımaktadırlar. Bu sebeplerle, hassas verilerin açıklanması, aktarılması, devralınması ve elde edilebilir hale getirilmesi, en başta “müşteri sırrı niteliğindeki kullanıcı verileri” şartlarına tabi olmasının yanında “biyometrik veri” içeren hassas veriler için de yukarıda bahsedildiği şekilde, KVKK ve GDPR’ın emredici hükümleri geçerli olacaktır.

Bu durum KVKK m.6 ve GDPR m.9’da belirtilmiştir. Burada özel nitelikli kişisel verilerden olan biyometrik verilerin “açık rıza olmaksızın işlenemeyeceği” belirtilmiştir. Bankacılık Kanunu m.73’e bakıldığında ise yine hassas verilerin açıklanması, aktarılması, devralınması ve elde edilebilir hale getirilmesi için açık rızanın geçerli olmayacağı, ayrıca “talep veya talimat” gerektiği emredici şekilde belirlenmiştir. Bu sebeple, “hassas veriler” “müşteri sırrı niteliğindeki” veriler ile aynı şartlar ile bu işlemler gerçekleştirilebilecektir.

Bunun yanında m.73’e göre Bankacılık Düzenleme ve Denetleme Kurulu’nun, müşteri sırrı niteliğindeki verilerin yurt dışına aktarılmasında da bu kurala bir istisna daha getirip, yurt dışına aktarılmasını da yasaklayabileceği veya bunu sınırlandırabileceğini düzenlemiştir.

          m.73: “ … müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir… “

Ayrıca izin verilse dahi bu verilerin “ gerektiği kadar ve ölçülü şekilde “ paylaşılabileceğinden bahsedilmiştir.

Finansal Kullanıcı Verilerinin Saklanması ve Veri Güvenliği

Kişisel verilerin korunması mevzuatınca “veri güvenliği” çok önemli bir yer tutmaktadır. Kullanıcı verilerini ana sorumlu olarak işleyen bankalar, bu kapsamda “veri sorumlusudur. Veri sorumlularının gerekli veri güvenliği önlemlerini almak zorundadırlar. 6698 sayılı Kişisel Verilerin Korunması Kanunu m.12’de bu konuya ilişkin veri sorumlusunun yükümlülükleri yukarıda bahsettiğimiz şekilde olmakla birlikte, bu yükümlülükler arasında “veri güvenliğini sağlamak” da mevcuttur. İkinci fıkrada da veri sorumluları ile birlikte diğer kişilerle de bu verilerin paylaşılması halinde, bunlarla birlikte sorumlu olacakları düzenlenmiştir. Bu güvenliğin nasıl alınacağına ilişkin ise Kişisel Verileri Koruma Kurumu’nun “Veri Güvenliği Rehberi” büyük önem taşımaktadır. Rehberde gerekli idari ve teknik tedbirlerin alınması gerektiği, gerekli sertifikaların sağlanması gerekliliği vurgulanmıştır. (Kişisel Veri Güvenliği Rehberi, 2018)

GDPR m.32 uyarınca da veri sorumlusu ve diğer kişilerin “veri güvenliği”ne ilişkin tedbirleri alması zorunluluğunu görmekteyiz. (General Data Protection Regulation, 2016)

Kişisel veri güvenliği hukuku genel hükümleri kapsamı sayılabilecek bu düzenlemelerin yanında, bankacılık mevzuatında da bankacılık nezdinde tutulan verilerin güvenliğine ilişkin çeşitli “veri güvenliği” önlemleri ve standartları öngörülmüştür. İşte bu başlıkta bu önlemleri inceleyeceğiz.

Hassas veri olmayan müşteri sırrı niteliğindeki kullanıcı verileri: Hassas veri olmayan müşteri sırrı niteliğindeki kullanıcı verilerinin bankacılık mevzuatı nezdindeki veri güvenliği hükümlerine bakar isek en başta 5411 sayılı Bankacılık Kanunu m.73’ün karşımıza çıktığını görmekteyiz. İlgili cümleye göre:

          m. 73: ” … Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir…”

Görüldüğü üzere, Bankacılık Kanunu, Bankacılık Düzenleme ve Denetleme Kurulu’nun, bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması kararını alabileceklerini öngörmektedir.

Bankacılık Kanunu “Faaliyet İzni” alınmasını düzenleyen 10. Maddeye baktığımızda, bankaların gerekli teknik tedbirleri almaları ise doğal olarak zorunlu hale getirilmiştir.

m.10/c: “Faaliyetlerinin kurumsal yönetim hükümlerine uygunluğunu sağlaması ve yeterli personel ve teknik donanıma sahip olması…”

Bunun yanında, Bankacılık Kanunu m.41 uyarınca Bankaların “bilgi sistemlerini sağlamaları ve yeterli hale getirmeleri” gerekliliği düzenlenmiştir.

m. 41: “finansal raporlama sistemini, görev, yetki ve sorumlulukları belirlemek, bilgi sistemlerini yeterli hale getirmek ve uygulamayı gözetmekle yükümlüdür…”

Bankaların işlem ve veri güvenliğini sağlamaları adına, “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” ise, “güvenlik” adına oluşturulmuş bir yönetmelik olarak, bu konuda birçok hüküm barındırmaktadır. Bu hükümleri incelemek gerekmektedir.

Bakıldığı zaman en başta, bankaların bilgi sistemlerini düzenleyen m.5’te yine bankalara “bilgi sistemlerini gerekli şekilde kurmak ve riskleri yönetmek, bilgi varlıklarını korumak için gerekli önlemleri alma” görevi yüklenmiştir.

Yönetmelik m.5: “Banka, bilgi sistemlerinin kullanımından kaynaklanan riskleri yönetmek ve bilgi varlıklarını korumak amacıyla uygulanması gereken usul ve esaslar ile tesis edilmesi gereken kontrolleri tarif eden BS politika, prosedür ve süreç dokümanlarını oluşturur. “

Yönetmelik incelendiğinde, yayınlanma amacı gereği bankaların bilgi sistemleri hakkında birçok hükmü barındırdığı açıktır. Bunun yanında veri güvenliğine ilişkin olarak “kimlik erişimi ve yönetimi” başlıklı 11.maddesinin 1.fıkrasının önem arz ettiğini belirtmek gerekmektedir.     

Yönetmelik m.11/1: “Banka, bilgi varlıklarına olan erişimlerin, görevler ayrılığı prensibine göre belirlenmiş ve kullanıcıların sorumluluğu gereği kendileri için tanımlanan erişim kontrolleri uyarınca, ilişkili bilgi varlığının güvenlik sınıfına uygun bir kimlik doğrulama yöntemiyle gerçekleştirilmesini sağlamakla yükümlüdür…”

Maddeden de anlaşıldığı üzere, Banka bilgi varlıklarına erişimlerde güvenliğin yüksek düzey ve hassasiyetlerde olması gerektiğine vurgu yapılmıştır. Bunun yanında aynı maddenin 3. fıkrasında kriptografi açısından önemli bir düzenleme yer almaktadır.

            Yönetmelik m.11/3: “Banka, bilgi sistemleri üzerindeki kullanıcılara ait kimlik doğrulama bilgilerinin güvenliğine yönelik; kimlik doğrulama bilgilerinin veritabanlarında şifreli olarak veya matematiksel olarak geriye dönüştürülmesi mümkün olmayan yöntemlerle muhafaza edilmesi, kimlik doğrulama amacıyla aktarılırken şifrelenmesi, yetkisiz erişimlere veya görevler ayrılığı prensibine… güvenliğinin sağlanması gibi önlemler alır.”

Yine önemli bir diğer madde de “Veri Gizliliği” başlıklı Yönetmelik 9. Maddedir:

  “(1)Banka, bankacılık faaliyetlerinin yürütülmesinde kullanılan verilerin taşındığı, iletildiği, işlendiği, saklandığı ve yedek olarak tutulduğu ortamlarda gizliliğini sağlayacak önlemleri alır…

   (2) Veri gizliliğini sağlamada kullanılacak şifreleme teknikleri için güncel durum itibarıyla güvenilirliğini yitirmemiş ve günün teknolojisine uygun algoritmalar kullanılır…”

Hükümlere bakıldığında, kriptografik anahtarların oluşturulması ve saklanması hususlarında bankalara ayrıca sorumluluk yüklediği ve bunu bir standarda bağladığı görülmektedir. Bu hüküm, müşteri sırrı niteliğindeki kullanıcı verilerinin korunması adına “Hardware Secure Module (HSM)” cihazlarının özellik ve yetkinlikleri konusunda da büyük önem arz etmektedir. “Ağ güvenliği” başlıklı m.14’te de bu verilerin güvenliğinin sağlanması açısından önemli bir hüküm mevcuttur.

m.14/4: “Hassas ya da sır kapsamındaki verilere sahip sistemlerin özel iç ağda bulunması ve hiçbir şekilde doğrudan internetten erişilemiyor olması sağlanır. Özel iç ağdaki sistemlerle yalnızca vekil uygulamalar ya da güvenlik duvarı cihazları üzerinden iletişim kurulur.”

Yine HSM cihazlarının bulundurulması ve saklanması açısından da önemli bir madde olarak “fiziksel güvenlik önlemleri başlıklı” 17. madde’de karşımıza çıkmaktadır:

“ Kritik bilgi sistemleri, uygun güvenlik engelleri ve giriş kontrollerine sahip veri merkezleri, sistem odaları, ağ ekipman odaları gibi güvenli alanlarda barındırılır. Bu alanlara erişim, sadece erişim yetkisine sahip olması gereken personelle sınırlandırılır, erişim yetkileri düzenli olarak gözden geçirilir ve güncellenir.”

Açık bankacılık açısından da doğrudan düzenlenmiş “açık bankacılık servislerinde kimlik doğrulama ve işlem güvenliği” başlıklı m.34’te de bu konuda bir düzenleme görülmektedir:

“Açık bankacılık servislerinin kullanılması sırasında, müşteri ya da müşteri adına hareket eden taraf ile banka arasındaki iletişimin uçtan uca güvenli iletişim şeklinde olması, banka tarafından telafi edici ilave kontroller uygulanması ve müşterinin bağlantı kurabileceği kaynaklara ilişkin ilave kısıtlamalar getirilmesi şartıyla tek bileşen ile yapılacak kimlik doğrulama 34. maddenin birinci fıkrasına aykırılık olarak kabul edilmez. “

Görüldüğü üzere, bankacılık mevzuatı açısından müşteri sırrı niteliğindeki verilerin güvenliğinin sağlanması, KVKK ve GDPR açısından kişisel verilerin korunması veri güvenliği hükümlerinden ayrıca ve çok daha ayrıntılı hükümler mevcuttur.

Bunun yanında, açık bankacılık açısından önemli adımlardan birisi olabilecek
“Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı” BDDK tarafından 19 Şubat 2021 tarihinde yayınlanmıştır. Bu taslak henüz yürürlüğe girmemiş durumda olsa da bu yönetmelikte de “müşteri sırrı” niteliği verildiği görülmektedir. Bu kapsamda, açık bankacılık verilerinin, Bankacılık Mevzuatı kapsamında “müşteri sırrı” niteliğinde olduğu söylenebilecektir.

Hassas veri sınıfındaki kullanıcı verileri: Bilindiği gibi, tüm müşteri sırrı niteliğindeki kullanıcı verileri hassas veri olmadığından, bankacılık mevzuatında, müşteri sırrı niteliğindeki verilere ek olarak hassas veri sınıfındaki verilere ayrıca güvenlik önlemleri getirilmiştir. Bu başlıkta bu hükümlere yer verilmiştir.

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri’ne İlişkin Yönetmelik “veri gizliliği” başlıklı m.9’da bu konuda bir düzenleme mevcuttur:

“Hassas verilerin farklı güvenlik seviyelerine sahip ortamlar arasında iletiminde uçtan uca güvenli iletişim kullanılması ve bu verilerin şifrelenmiş bir şekilde saklanması esastır. Bankanın personeline tahsis ettiği hassas ya da sır kapsamındaki veri içeren masaüstü, mobil ve dizüstü cihazların içeriğinin şifrelenmesi sağlanır ve ağa bağlı sunucu cihazlar üzerinde açık metin halinde hassas verilerin bulunup bulunmadığını belirlemek için sunucu makineleri taranır.”

Hükümde, hassas verilerin “uçtan uca(E2E[4])” kriptolojik sistemine göre şifrelenmesinin ve kullanıcıların kullandığı cihazların da şifrelenmesinin sağlanmasının esas olduğu belirtilmiştir. Yine kullanıcı cihazında tutulma ihtimali bulunan hassas veriler için öngörülmüş bir hüküm de 34. madde 15. fıkrada mevcuttur:

m.34/15’e göre: “Banka, akıllı telefon cihazları gibi birden fazla kimlik doğrulama bileşeninin bankaya iletilmesinde kullanılan mobil cihazlar üzerindeki bankacılık uygulamalarının kullandığı hassas verilerin, aynı mobil cihaz üzerinde ki diğer uygulamalar ve çalışmakta olan işlemler tarafından erişilemez olmasını sağlayacak önlemler alır. “ Uçtan uca (E2E) güvenliğin sağlanması için düzenlendiğini düşündüğümüz bu hüküm de özellikle biyometrik hassas verilerin güvenliği için büyük önem arz etmektedir. Ayrıca hükmün en başta kullanıcı mobil cihazlarının diğer 3. kişiler tarafından ele geçirilmesi durumunda güvenliği sağlamak adına önemli olduğu görülmektedir.

SONUÇ

Makalede de incelediğimiz üzere, kişisel verilerin korunması ve veri güvenliği hukuku bakımından oldukça önemli kurumlardan olan bankacılık kurumu açısından mevzuatlarda bu hususlara ilişkin düzenlemelerin mevcut olduğu görülmekle birlikte, her an gelişmekte olan teknoloji ve buna bağlı olarak gelişen finansal teknolojilerin de hızla gelişmesi, açık bankacılık bağlamında dinamik bir düzenleme ihtiyacını ortaya koymaktadır.

Buna yönelik çalışmalardan birisi olan, BDDK’nın taslak olarak yayınladığı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik de, açık bankacılık anlamında işlenen verilere yönelik birçok düzenleme içermektedir. Bu durum, makale kapsamında değerlendirdiğimiz konunun, Kanun koyucu ve Kurumlar nezdinde de önemle üzerinde durulduğunu göstermektedir.

Son olarak, finansal teknoloji (fintech) sektörünün günden güne geliştiği, girişimlerin de bu konu üzerinde oldukça çalıştığı günümüzde, hukukun da bu gelişmeye yetişmesi ve hatta bu gelişmelerin önünde düzenlemeler yapabilmesi, hukuk dünyasının teknolojiyi ve sektörleri yakından takip etmesine bağlı olduğu çıkarımı da yapılabilecektir.

Kişisel Verilerin Korunması hakkındaki tüm Blog yazılarımız için bağlantıya tıklayınız.

Hukuk ve Bilişim Dergisi’nin Son Sayı’sını bağlantıdan okuyabilirsiniz.

Yazarlar: Av. Ali ERŞİN / Hukuk ve Bilişim Dergisi Genel Koor.

                 Av. Yasin BOZYEL

KAYNAKÇA

Akgül, Aydın. 2014, AİHM Kararları Işığında Kişisel Verilerin Korunması Hakkı, Terazi Hukuk Dergisi

Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, 2015

Bozyel, Y. (2021), Whatsapp’ın Veri Aktarımının Kişisel Verileri Koruma Kurumu Kararı Ve Rekabet Kurulu Kararı Bakımından Değerlendirilmesi, Hukuk ve Bilişim Dergisi, https://hukukvebilisim.org/whatsapp-veri-aktariminin-kvkk-ve-rekabet-kurulu-karari-kapsaminda-degerlendirilmesi/, Hukuk ve Bilişim Dergisi, [23.02.2021]

GDPR Türkçe Versiyon, Avrupa Birliği Bakanlığı Çevirisi,  https://www.kisiselverilerinkorunmasi.org/mevzuat/avrupa-birligi-genel-veri-koruma-tuzugu-gdpr-turkce-ceviri/, [24.02.2021]

General Data Protection Regülation, 2018

Erdinç, Göksu Hazar, 2020, Kişisel Verileri Koruma Dergisi, c.2 s.2

Kişisel Veri Güvenliği Rehberi, 2018, (Teknik ve İdari Tedbirler), KVKK, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf, [26.02.2021]

Kişisel Verilerin Korunması Kanunu, 2016.

Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanunu ve Uygulanması, https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf, [27.02.2021]

Kişisel Verilerin Korunması Kanunu Tasarısı, TBMM, 18.01.2016, https://www2.tbmm.gov.tr/d26/1/1-0541.pdf, [23.02.2021]

Mckinsey, 2017, Veri Paylaşımı ve Açık Bankacılık, https://www.mckinsey.com/industries/financial-services/our-insights/data-sharing-and-open-banking [26.02.2021]

Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, 2013

Ödeme Ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında Kanun İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 2019

Özkan, Ö. 2019. Dünya’da ve Türkiye’de Açık Bankacılık: Açık Bankacılığın Geleceği. s.6,https://bkm.com.tr/wp-content/uploads/2015/06/Dunyadaveturkiyedeacikbankacilik.pdf, [13.02.2021]

PSD2 (Payment Service Directive 2)

Remolina, N. (2019, Ekim). Open Banking: Regulatory challenges for a new form of financial intermediation in a data-driven world (SMU Centre for AI & Data Governance Research Paper No. 2019/05). Elsevier BV

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı, 2021

Taştan-Saruhan, Açık Bankacılık KVKK’ya Bir Tehdit Mi?, Ankara Yıldırım Beyazıt Üniversitesi Medeni Hukuk Makale Koleksiyonu, s.28, 2020

Tsang, C.-Y. (2019). From Industry Sandbox to Supervisory Control Box: Rethinking the Role of Regulators in the Era of FinTech. University of Illinois Journal of Law, Technology & Policy, 2019(2), 355–404

Ünsal, Z., (2013), Google’ın Yeni Gizlilik Politikası Google Inc. tarafından 1 Mart 2012 tarihinde yayımlanan Politikasının Kişisel Verilerin Korunması İlkeleri İle Uyumluluğu ve Avrupa Birliği’nin 95/46/Ec sayılı Veri Koruma Direktifi Açısından Değerlendirilmesi, Hacettepe Hukuk Fakültesi Dergisi, 99-124.

[1] General Data Protection Regülation, 2016

[2] Europe Payment Service Directive 2

[3] Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik

[4] Uçtan uca şifreleme, bir cihazdaki mesajlara şifreleme uygulama eylemidir, böylece yalnızca gönderildiği cihaz şifresini çözebilir.