AB Üye Ülke Uygulamaları Işığında

Finans Sektöründe Kişisel Verilerin Korunması Uygulamaları

GSG Hukuk

2Temel KVK ilke ve kavramları

Temel KVK kavramları

Temel KVK ilkeleri

Temel KVK kavramlarıKişisel Veri

KVKK’da ‘‘Kişisel Veri’’, kimliği belirli veya

belirlenebilir gerçek kişiye ilişkin her türlü

bilgi olarak tanımlanmıştır. Dolayısıyla

anonimleştirilmiş veriler ile merhum

kişilerin verileri, kişisel veri olarak kabul

edilemeyecektir.

Kişisel verilerin unsurları aşağıdaki

gibidir:

i. Kimliği belirli veya belirlenebilirii. Gerçek kişiiii. İlişkin olma

i. Kimliği belirli veya belirlenebilir

Her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve

soyadının tespit edilmesi olsa da bu kişiye ait başka bilgiler de bu kişiyi, içinde

bulunduğu bir topluluğun diğer üyelerinden ayırt edilmesini sağlayabilir.

Kimliği belirlenebilir olma durumu değerlendirilirken, veri sorumlusu veya

üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede

başvurabileceği tüm yollar (başka veri kaynaklarından edinilebilecek verileri

kullanma vb.) göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği

çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilmelidir.

ii. Gerçek kişi

Tüzel kişilere ilişkin verilerin korunması KVKK kapsamı dışında kalmaklabirlikte, tüzel kişilerin verilerini koruyan diğer mevzuat hükümleri saklıdır.

iii. İlişkin olma

Gerçek kişi ile veri arasındaki bağlantı genellikle kolaylıkla kurulabilmektedir.Ancak bazı hallerde verinin nesne ile ilgili olması halinde kişi ile dolaylı birbağlantısı olduğundan söz edilecektir.

PwC I GSG Hukuk 3

32Rıza aranmayan durumlar

Photo

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)3

Finansal kuruluşunun müşterisi tarafından açılan bir davada ispat yükünün gereğiolarak bazı verilerin kullanılması; kısıtlı bir kişinin haklarının korunması amacıyla vasi veya kayyumun, kısıtlı kişinin mali bilgilerini tutması.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatlar için veri işlenmesinin zorunlu olması

Finansal kuruluş sahibinin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerini işlemesi.

PwC I GSG Hukuk 4

İlgili kişinin kendisi tarafından alenileştirilmiş olması

Müşterileri tarafından aleni hale getirilen ve böylelikle herkes tarafından bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

3Finans Kuruluşlarının

Veri Sorumlusu olarak

Yükümlülükleri

Genel yükümlülükler

PwC I GSG Hukuk 6

Bir finans kuruluşunun veri işleme faaliyetleri ile ilgili olarak

aşağıdaki başlıklara riayet ettiğinden emin olması gerekir:

• Temel KVK ilkelerine uygun hareket etmeli,

• İlgili kişiyi (müşteri, çalışanlar vb.) bilgilendirmeli,

• Kişisel verileri işlemeden önce ilgili kişiden Kanuna uygun açık rıza alınmalı,

• İlgili kişinin KVKK’dan doğan haklarını kullanması için gereken prosedürleri oluşturmalı,

• Kişisel verilerin güvenliğini sağlamalı,

• Veri sorumluları siciline kaydolmalı,

• Elde edilen kişisel bilgileri sınıflandırmalı ,

• Her bir bölüm ve yetki düzeyindeki çalışanların kişisel veri işlemelerine ilişkin görev ve sorumlulukları ile hangi kişisel veriye ne kadar erişim sağlayacaklarını belirlemeli,

• Çalışanları KVK konusunda bilinçlendirmeli,

• Kişisel veri toplama, saklama, kullanma gibi işleme faaliyetleri sırasında verilerin 3. kişiler ile paylaşılmamasını ve yurtdışına aktarılmamasını temin etmek için yeterli güvenlik önlemlerini almalı, kontrol mekanizmaları oluşturmalı,

• Çalışanlar ve dış hizmet sağlayıcıları ile yapılan gizlilik sözleşmelerine KVK ilkelerine uyum çerçevesinde hükümler eklemeli,

• Müşterilerin verilerinin paylaşacağı dış hizmet sağlayıcısını seçerken veri güvenliğini göz önünde bulundurmalı,

• 3. kişilerden kişisel veri temin edilecek olması durumunda, 3. kişinin ilgili kişilerden, verilerinin paylaşılması konusunda rızalarının hukuka uygun olarak alındığından ve temin edilen verilerin hukuka uygun işlediğinden emin olmalı.

• Süreç, teknoloji ve veri bazlı kişisel veri envanterini çıkarmalı,

• Hukuka uygun elde etmiş olduğu kişisel verileri ilgili kişilerin rızasını almadan 3.kişilere aktarmamalı.

4Düzenleyici Otorite ve

Kanun’un Geçiş Süreci

Düzenleyici Otorite ve Geçiş SüreciKişisel Verileri Koruma Kurumu

Kanunla verilen görevleri yerine getirmek üzere,

idari ve mali özerkliğe sahip ve kamu tüzel

kişiliğini haiz Kişisel Verileri Koruma Kurumu

kurulacaktır

Kurulun görev ve yetkileri;

• Kişisel verilerin temel hak ve özgürlüklere

uygun şekilde işlenmesini sağlamak,

• Şikayetleri karara bağlamak,

• Şikâyet üzerine veya ihlal iddiasını öğrenmesi

durumunda re’sen incelemek ve gerektiğinde

geçici önlemler almak,

• Özel nitelikli kişisel verilerin işlenmesi için

aranan yeterli önlemleri belirlemek,

• Veri Sorumluları Sicili’nin tutulmasını

sağlamak,

• Veri sorumlusunun ve temsilcisinin görev,

yetki ve sorumluluklarına ilişkin düzenleyici

işlem yapmak, KVKK’da yer alan idari

yaptırımlara karar vermek vb.

PwC I GSG Hukuk 8

Kurul (9 üye)

Başkanlık

Kişisel Verileri Koruma Kurumu

(195 kişilik kadro)

+ =

5Vaka Çalışmaları

32 Banka, mevduat hesabı açmak için başvuran bir müşterisinden “eğitim

seviyesine” ve “medeni hâline” ilişkin bilgilerini talep etmektedir. Banka bu

verilerin işleme amacının, banka ürün ve hizmetlerinin müşterilere

tanıtılması olduğunu ileri sürmüştür. Ancak, banka bu nevi verilerin

işlenmesini mevduat hesabının açılması için şart koşmaktadır.

Vaka çalışması-1

PwC I GSG Hukuk 10

Tasarruf hesabı için başvuran müşterilerden ilave veri alınması

Şikayet

“Eğitim seviyesi” ve “medeni hâl”e ilişkin veriler, müşteriye mevduat hesabı

hizmetleri sunma amacı için gerekli değildir. Her ne kadar bu veriler banka

için, doğrudan pazarlamanın kullanılmasının kolaylaştırılması niteliğinde,

müşteri profili çıkarma ve bölümlendirmede yardımcı olacak ise de banka,

müşterinin bu yönde izni olmadıkça bu gibi verileri talep etmemelidir.

Banka, her ne kadar müşteriyi anılan verilerin işlenme amaçları hakkında

bilgilendirmiş olsa da bu verileri işlemeden önce aydınlatma yükümlülüğünü

de yerine getirmediği ortadadır. Dolayısıyla, banka, KVKK’yı ihlal etmiştir.

Banka, akabinde, söz konusu veri unsurlarının ihtiyari bilgi olduğunu

göstermek için mevduat hesabı açılış formunda düzeltme yapmalıdır ve bu

hizmeti doğrudan sağlamakla görevli çalışanlarını bu konuda uyarmalı,

gereken eğitimi vermelidir.

Değerlendirme

Ekler

PwC I GSG Hukuk 11

EK-2

Önemli AB KVK

Karar özetleri

Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu

20 Kasım 2003

CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü

kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux

particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay

geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991’de olmuş bir

olay için Ağustos 2002’de bir müşteriye kötü kreditör olarak kara listeye sokmuştur.

Veri işlemenin CNIL’e zamanında bildirilmemesi

6 Nisan 2004

Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının

kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL’e, çalışanın işten çıkarılmasından sonra bildirilmiş ve

işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi

işten çıkarmanın yasaya aykırı olduğuna karar vermiştir.

İzinsiz gönderilen ticari ileti

5 Mayıs 2004

Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, 22.000€

ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve

Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın

verilmesine destek olmuşlardır.

© 2016 PwC Turkey. All rights reserved. In this document, “PwC” refers to PwC Turkey, which is a member firm of

PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. “PwC Turkey” refers

to Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş.

and PwC Danışmanlık Hizmetleri Anonim Şirketi which are separate legal entities incorporated in Turkey within the PwC

Turkey organisation.

www.pwc.com.tr

Defne ErgunŞirket Ortağıdefne.ergun@tr.pwc.com+90 212 326 6635

Burak SadıçDirektörburak.sadic@tr.pwc.com+90 212 326 6042

Yaşar YüzerKıdemli Müdüryasar.yuzer@tr.pwc.com+90 212 326 6042

Alper OnarKıdemli Müdüralper.onar@tr.pwc.com+90 212 326 6074

Umurcan GagoŞirket Ortağıumurcan.gago@tr.pwc.com+90 212 326 6098

Ali IlıcakDirektörali.ilicak@tr.pwc.com+90 212 355 6641

Yasin KülahçıKıdemli Müdüryasin.kulahci@tr.pwc.com+90 212 326 6042

Pınar KaramahmutoğluMüdürpinar.onar@tr.pwc.com+90 212 326 6074