Post on 22-May-2020
AB Üye Ülke Uygulamaları Işığında
Finans Sektöründe Kişisel Verilerin Korunması Uygulamaları
GSG Hukuk
Temel KVK kavramlarıKişisel Veri
KVKK’da ‘‘Kişisel Veri’’, kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü
bilgi olarak tanımlanmıştır. Dolayısıyla
anonimleştirilmiş veriler ile merhum
kişilerin verileri, kişisel veri olarak kabul
edilemeyecektir.
Kişisel verilerin unsurları aşağıdaki
gibidir:
i. Kimliği belirli veya belirlenebilirii. Gerçek kişiiii. İlişkin olma
i. Kimliği belirli veya belirlenebilir
Her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve
soyadının tespit edilmesi olsa da bu kişiye ait başka bilgiler de bu kişiyi, içinde
bulunduğu bir topluluğun diğer üyelerinden ayırt edilmesini sağlayabilir.
Kimliği belirlenebilir olma durumu değerlendirilirken, veri sorumlusu veya
üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede
başvurabileceği tüm yollar (başka veri kaynaklarından edinilebilecek verileri
kullanma vb.) göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği
çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilmelidir.
ii. Gerçek kişi
Tüzel kişilere ilişkin verilerin korunması KVKK kapsamı dışında kalmaklabirlikte, tüzel kişilerin verilerini koruyan diğer mevzuat hükümleri saklıdır.
iii. İlişkin olma
Gerçek kişi ile veri arasındaki bağlantı genellikle kolaylıkla kurulabilmektedir.Ancak bazı hallerde verinin nesne ile ilgili olması halinde kişi ile dolaylı birbağlantısı olduğundan söz edilecektir.
PwC I GSG Hukuk 3
32Rıza aranmayan durumlar
Photo
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5)3
Finansal kuruluşunun müşterisi tarafından açılan bir davada ispat yükünün gereğiolarak bazı verilerin kullanılması; kısıtlı bir kişinin haklarının korunması amacıyla vasi veya kayyumun, kısıtlı kişinin mali bilgilerini tutması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatlar için veri işlenmesinin zorunlu olması
Finansal kuruluş sahibinin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerini işlemesi.
PwC I GSG Hukuk 4
İlgili kişinin kendisi tarafından alenileştirilmiş olması
Müşterileri tarafından aleni hale getirilen ve böylelikle herkes tarafından bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
Genel yükümlülükler
PwC I GSG Hukuk 6
Bir finans kuruluşunun veri işleme faaliyetleri ile ilgili olarak
aşağıdaki başlıklara riayet ettiğinden emin olması gerekir:
• Temel KVK ilkelerine uygun hareket etmeli,
• İlgili kişiyi (müşteri, çalışanlar vb.) bilgilendirmeli,
• Kişisel verileri işlemeden önce ilgili kişiden Kanuna uygun açık rıza alınmalı,
• İlgili kişinin KVKK’dan doğan haklarını kullanması için gereken prosedürleri oluşturmalı,
• Kişisel verilerin güvenliğini sağlamalı,
• Veri sorumluları siciline kaydolmalı,
• Elde edilen kişisel bilgileri sınıflandırmalı ,
• Her bir bölüm ve yetki düzeyindeki çalışanların kişisel veri işlemelerine ilişkin görev ve sorumlulukları ile hangi kişisel veriye ne kadar erişim sağlayacaklarını belirlemeli,
• Çalışanları KVK konusunda bilinçlendirmeli,
• Kişisel veri toplama, saklama, kullanma gibi işleme faaliyetleri sırasında verilerin 3. kişiler ile paylaşılmamasını ve yurtdışına aktarılmamasını temin etmek için yeterli güvenlik önlemlerini almalı, kontrol mekanizmaları oluşturmalı,
• Çalışanlar ve dış hizmet sağlayıcıları ile yapılan gizlilik sözleşmelerine KVK ilkelerine uyum çerçevesinde hükümler eklemeli,
• Müşterilerin verilerinin paylaşacağı dış hizmet sağlayıcısını seçerken veri güvenliğini göz önünde bulundurmalı,
• 3. kişilerden kişisel veri temin edilecek olması durumunda, 3. kişinin ilgili kişilerden, verilerinin paylaşılması konusunda rızalarının hukuka uygun olarak alındığından ve temin edilen verilerin hukuka uygun işlediğinden emin olmalı.
• Süreç, teknoloji ve veri bazlı kişisel veri envanterini çıkarmalı,
• Hukuka uygun elde etmiş olduğu kişisel verileri ilgili kişilerin rızasını almadan 3.kişilere aktarmamalı.
Düzenleyici Otorite ve Geçiş SüreciKişisel Verileri Koruma Kurumu
Kanunla verilen görevleri yerine getirmek üzere,
idari ve mali özerkliğe sahip ve kamu tüzel
kişiliğini haiz Kişisel Verileri Koruma Kurumu
kurulacaktır
Kurulun görev ve yetkileri;
• Kişisel verilerin temel hak ve özgürlüklere
uygun şekilde işlenmesini sağlamak,
• Şikayetleri karara bağlamak,
• Şikâyet üzerine veya ihlal iddiasını öğrenmesi
durumunda re’sen incelemek ve gerektiğinde
geçici önlemler almak,
• Özel nitelikli kişisel verilerin işlenmesi için
aranan yeterli önlemleri belirlemek,
• Veri Sorumluları Sicili’nin tutulmasını
sağlamak,
• Veri sorumlusunun ve temsilcisinin görev,
yetki ve sorumluluklarına ilişkin düzenleyici
işlem yapmak, KVKK’da yer alan idari
yaptırımlara karar vermek vb.
PwC I GSG Hukuk 8
Kurul (9 üye)
Başkanlık
Kişisel Verileri Koruma Kurumu
(195 kişilik kadro)
+ =
32 Banka, mevduat hesabı açmak için başvuran bir müşterisinden “eğitim
seviyesine” ve “medeni hâline” ilişkin bilgilerini talep etmektedir. Banka bu
verilerin işleme amacının, banka ürün ve hizmetlerinin müşterilere
tanıtılması olduğunu ileri sürmüştür. Ancak, banka bu nevi verilerin
işlenmesini mevduat hesabının açılması için şart koşmaktadır.
Vaka çalışması-1
PwC I GSG Hukuk 10
Tasarruf hesabı için başvuran müşterilerden ilave veri alınması
Şikayet
“Eğitim seviyesi” ve “medeni hâl”e ilişkin veriler, müşteriye mevduat hesabı
hizmetleri sunma amacı için gerekli değildir. Her ne kadar bu veriler banka
için, doğrudan pazarlamanın kullanılmasının kolaylaştırılması niteliğinde,
müşteri profili çıkarma ve bölümlendirmede yardımcı olacak ise de banka,
müşterinin bu yönde izni olmadıkça bu gibi verileri talep etmemelidir.
Banka, her ne kadar müşteriyi anılan verilerin işlenme amaçları hakkında
bilgilendirmiş olsa da bu verileri işlemeden önce aydınlatma yükümlülüğünü
de yerine getirmediği ortadadır. Dolayısıyla, banka, KVKK’yı ihlal etmiştir.
Banka, akabinde, söz konusu veri unsurlarının ihtiyari bilgi olduğunu
göstermek için mevduat hesabı açılış formunda düzeltme yapmalıdır ve bu
hizmeti doğrudan sağlamakla görevli çalışanlarını bu konuda uyarmalı,
gereken eğitimi vermelidir.
Değerlendirme
Ekler
PwC I GSG Hukuk 11
EK-2
Önemli AB KVK
Karar özetleri
Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu
20 Kasım 2003
CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü
kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux
particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay
geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991’de olmuş bir
olay için Ağustos 2002’de bir müşteriye kötü kreditör olarak kara listeye sokmuştur.
Veri işlemenin CNIL’e zamanında bildirilmemesi
6 Nisan 2004
Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının
kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL’e, çalışanın işten çıkarılmasından sonra bildirilmiş ve
işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi
işten çıkarmanın yasaya aykırı olduğuna karar vermiştir.
İzinsiz gönderilen ticari ileti
5 Mayıs 2004
Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, 22.000€
ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve
Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın
verilmesine destek olmuşlardır.
© 2016 PwC Turkey. All rights reserved. In this document, “PwC” refers to PwC Turkey, which is a member firm of
PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. “PwC Turkey” refers
to Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş.
and PwC Danışmanlık Hizmetleri Anonim Şirketi which are separate legal entities incorporated in Turkey within the PwC
Turkey organisation.
www.pwc.com.tr
Defne ErgunŞirket Ortağıdefne.ergun@tr.pwc.com+90 212 326 6635
Burak SadıçDirektörburak.sadic@tr.pwc.com+90 212 326 6042
Yaşar YüzerKıdemli Müdüryasar.yuzer@tr.pwc.com+90 212 326 6042
Alper OnarKıdemli Müdüralper.onar@tr.pwc.com+90 212 326 6074
Umurcan GagoŞirket Ortağıumurcan.gago@tr.pwc.com+90 212 326 6098
Ali IlıcakDirektörali.ilicak@tr.pwc.com+90 212 355 6641
Yasin KülahçıKıdemli Müdüryasin.kulahci@tr.pwc.com+90 212 326 6042
Pınar KaramahmutoğluMüdürpinar.onar@tr.pwc.com+90 212 326 6074