Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi Güncellendi

Kişisel Verileri Koruma Kurumu (Kurum) ve Türkiye Bankalar Birliği iş birliği ile hazırlanan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (Rehber) güncellendi. 

Rehber, 12.03.2024 tarih ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan değişiklikler (KVKK Değişiklikleri) ile uyumlu hale getirildi.

Kişisel Verilerin Aktarılması başlıklı VIII. numaralı bölümde gerçekleştirilen değişiklikler aşağıda kısaca özetlenmektedir:

• Özel nitelikli kişisel verilerin yurt içinde aktarılması bakımından aranan şartlara dair açıklamalar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 6’da gerçekleştirilen değişiklikler ile uyumlu olacak şekilde genişletilmiştir. 
• Yurtdışına gerçekleştirilen aktarımlara ilişkin değerlendirmeler, kişisel verilerin yurt dışına aktarılması ilişkin düzenlemeleri içeren KVKK m. 9’da yapılan kapsamlı değişiklikler ile uyumlu hale getirilmiş; yeterlilik kararı, uygun güvenceler ve arızi aktarımlara ilişkin ek açıklamalara yer verilmiştir. 
• Bankalar açısından bir yeterlilik kararı veya uygun güvenceye ihtiyaç duyulmaksızın; açık rıza gibi KVKK m. 9’da belirtilen diğer şartların varlığı halinde yapılabilecek arızi aktarımlara ilişkin örneklere yer verilmiştir. Buna göre;

1. Türkiye’de kurulu bir bankanın, Etiyopya’da bulunan bir bankaya para transferi talebini gerçekleştirmek amacıyla bir müşteriye ait kişisel verileri aktarması, belirli koşullara tabi olarak mümkün olabilecektir. Bu tür bir veri aktarımı, ilgili kişinin yeterlilik kararı veya uygun güvenceler bulunmadığı durumlarda ortaya çıkabilecek riskler hakkında bilgilendirilmesi ve ardından açık rızasının alınması şartıyla gerçekleştirilebilir. Bunun yanında, aktarımın düzenli bir işlem olmaması, süreklilik arz etmemesi, nadiren gerçekleşmesi ve bankanın mutat işlemleri arasında yer almaması gerekmektedir.
2. Benzer şekilde, bir bankanın dava sürecini yürütmek amacıyla kişisel verileri yurt dışına aktarması da ancak bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olduğu hallerde ve aynı şekilde düzenli, sürekli veya mutat bir işlem olmamak kaydıyla gerçekleştirilebilecektir.

• Rehber, KVKK m. 9/10 çerçevesinde öncelikli tutulan yasal düzenlemelere dair önemli değerlendirmeler içermektedir. Buna göre, 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73. Maddesi ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik düzenlemeleri kapsamında gerçekleştirilen yurt dışı aktarımları açısından bu düzenlemelerde yer alan hükümler saklıdır. Bu çerçevede, ilgili mevzuatta belirtilen sınırlar dahilinde banka sırrı ya da müşteri sırrı niteliğindeki kişisel verilerin yurt dışına aktarımı açısından 5411 sayılı Bankacılık Kanunu ve anılan Yönetmelik hükümleri göz önünde bulundurulmalıdır.

Rehber, uygulamadan örnekler ile KVKK kapsamında gerçekleştirilen değişiklikler ile uyumlu hale gelme sürecine dair somut bir yapı oluşturmayı amaçlamıştır.