Türkiye gibi finansal piyasaları banka temelli olan ülkelerde bankalar sistemik öneme sahip finansal kuruluşların başında gelmektedir. Kişisel Verilerin Korunması Hukuku ise elbette ki sunduğu hizmetler ile toplumun neredeyse hemen hemen hepsine hitap eden bankacılık sektörüne de temas etmiştir. KVKK bağlamında bankaların veri sorumlusu olarak tanımlandığından Kişisel Verileri Koruma Kurumu tarafından bankalara yüklü miktarda para cezaları uygulanabileceği öngörülmektedir.
Banka Hukuku, bir taraftan bankaların kuruluşunu, işlevlerini, denetimlerini düzenleyen kamusal nitelikli, diğer taraftan da kişilerle olan bağını düzenleyen özel nitelikli kurallar bütünüdür.
Bankacılık hukukunun temel kanunu yürürlükte olan 5411 sayılı Bankacılık Kanunu’dur. Bankacılık Kanunu’nun yanı sıra, Türkiye Cumhuriyeti Merkez Bankası Kanunu, Türk Ticaret Kanunu, Türk Medeni Kanunu, Türk Borçlar Kanunu, İcra ve İflas Kanunu, Sermaye Piyasası Kanunu, Banka ve Kredi Kartları Kanunu, Türk Parasının Kıymetinin Korunması Hakkında Kanun, Çekle Ödemelerin Düzenlenmesi ve Çek Hamillerinin Korunması Hakkında Kanun, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun, Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu, Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ve diğer ilgili kararnameler, kanunlar, yönetmelikler, tebliğler, emsal kararlar banka hukukunun hukuki kaynaklarını oluşturmaktadır.
Kişisel Verilerin Korunması Mevzuatı
Kişisel verilerin korunması ile ilgili düzenlemelerin temelini Anayasa oluşturmaktadır. Anayasa’nın özel hayatın gizliliği başlıklı maddesinde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmü yer almaktadır (Anayasa, 1982: madde 20). Bu madde tüm vatandaşların kişisel verilerin korunmasını bir hak olarak kabul ederken ikincil mevzuatta yer alan tüm düzenlemelerin dayanağını da teşkil etmektedir. Kişisel verilerin korunması ile ilgili en önemli düzenleme ise 07.04.2016 tarihli Resmi Gazetede yayınlanan Kişisel Verilerin Korunması Kanunu’dur. Anayasa’da temel bir hak olarak düzenlenen kişisel verilerin korunması konusunda tarafların hak ve sorumlulukları KVKK’da tanımlanmıştır. Bu yazıda ise KVKK ile Bankacılık Kanunu’nda yer alan kişisel verilere ilişkin sorumlulukları inceleyeceğiz.
Bankacılık Sektöründe Kişisel Veri
KVKK’da belirtilen ayrıma göre açıklamak gerekirse özel nitelikli veri, toplum içinde ayrımcılığa ve kişilerin mağduriyetine yol açabilecek kişiye ait verilerin daha fazla korumaya ihtiyaç duyulan bir bölümünü ifade etmektedir. Banka hukuku nezdinde bakıldığında ise bankalar, düzenli olarak elde ettikleri çok sayıda özel nitelikli veri nedeniyle, tüm dünyada özel nitelikli verilerin işlenmesi konusunda uyum geliştirmesi gereken kuruluşların başında gelmektedir. Bankacılık iş ve işlemlerine konu olan özel nitelikli verilerin başında kimlik belgeleri içerisinde yer alan dini bilgiler, bankaya bildirilen ceza mahkûmiyet kararları ve sağlık bilgileri, dijital kanalların kullanımında işlenen biyometrik veriler özel nitelikli veri olarak değerlendirilebilir.
Genel nitelikli veriler kapsamı ise oldukça geniş olup; müşteri tanıma ilkeleri kapsamında edinilen kimlik tespit belgelerinde bulunan isim, kimlik kartı numarası, kişinin medeni durumu gibi bilgiler, banka ile akdedilen sözleşmeler ile elde edinilen meslek, iletişim bilgileri, ev veya iş adresi, kredi/kredi kartı başvurusu sırasında ilgili tarafından beyan edilen kişisel gelir, mülkiyetinde bulunan menkul ve gayrimenkuller, hesap bakiyesi gibi varlık durumuna ilişkin bilgiler, Hesap numarası gibi banka tarafından oluşturulan kişiyi tanımlayıcı bilgiler bankalarca işlemeye konu olan genel nitelikli kişisel verilere örnek olarak gösterilebilecektir.
Bankacılıkta Kişisel Verilerin Korunmasının Önemi
Finansal anlamda sahip olunan verilerin korunması neticesinde, Bankalarla ilgili yazılan birçok eserde ve Yargıtay kararlarında bankaların bir güven kurumu olarak nitelendirildiği görülmektedir. Banka ve müşteri arasındaki ilişki de güven ilişkisine dayandığından, bankaların müşteri bilgilerini koruması geçmişten beri bankacılık sektörünce zaten hassasiyet gösterilen bir konu olmuştur. Bankanın kurumsal prestij ve imajının güvenliksiz bir kurum algısıyla zedelenmesinin engellenmesi ve bireylerin maddi anlamda yaşanabilecek yüksek ölçekli tehdit ve risklerden korunması amacıyla Kişisel Verilerin Korunma Hukuku mevzuatına uyulması hem bireysel hem de kurumsal boyutta önem arz etmektedir.
Bankacılık İşlemlerinde Kişisel Verilerin İşlenmesi
Bankalarca kişisel verilen işlenmesinde öncelikli amaç sözleşmelerin müzakeresi, oluşturulması ve ifası ile bankacılık faaliyetlerinin eksiksiz olarak sürdürülmesidir. Zira bankaların yasal ve idari yükümlülükler kapsamında faaliyetlerini yürütmesi için ilgili kişilerin kişisel verilerini işlemesi gerekmektedir. Bu tür bankacılık faaliyetlerinin kapsamı ve sınırları da Bankacılık Kanunu kapsamında açık ve net bir şekilde belirlenmiş olduğundan, KVKK 5. maddesi uyarınca açık rıza gerekmemekte olup müşteriden alınan bir açık rıza metni olmamasına rağmen, bankacılık işlemi gerçekleştirecek kişinin rızası olduğu kabul edilebilecektir. Dolayısıyla; banka ve müşteri arasında kurulan hizmet ilişkisi kapsamında öncelikle diğer veri işleme şartlarının varlığı araştırılmalı, eğer bu şartlar yoksa müşterilerden kişisel verilerin işlenmesine ilişkin açık rıza alınmalıdır.
Bankalar tarafından işlenen verinin hukuka aykırı olarak nitelendirilmemesinde müşteriden alınan rızanın üç temel öğeyi taşıması gerekmektedir.
Öncelikle kişi ancak kişisel verilerinin neden işlenmesine ihtiyaç duyulduğu konusunda kendisine bilgi verilmesi ve yalnızca izin verdiği kapsamda verilerinin kullanılacağını bilmesi halinde güvende olduğundan bu güvenin sağlanması için ilgili kişi tarafından verilen açık rıza belirli bir konuya ilişkin olmalıdır. Yani ilgiliden her türlü verinin işlenmesinin kabul edildiği yönünde alınan genel bir rıza beyanı hukuken geçerli değildir.
Açık rızanın hukuken geçerli kabul edilebilmesi için zorunlu olan bir diğer unsur ise açık rıza beyanının bilgilendirmeye dayalı olması yani aydınlatma yükümlülüğünün yerine getirilmiş olmasıdır.
Son olarak ilgili kişi rıza göstermeye mecbur bırakılmamalı, üzerinde dışsal herhangi bir baskı veya kişinin iradesini bozacak herhangi bir hal bulunmamalıdır. Örneğin kişisel verilerin işlenmesi bir hizmetin sunulmasının zorunlu şartı olarak kabul edildiği takdirde kişinin verilerinin işlenmesine özgür iradesiyle karar verdiği söylenemeyecektir. Nitekim açık rızanın şarta bağlanmasına ilişkin yapılan değerlendirme neticesinde, Kurul tarafından “veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının; Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği, ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,” belirtilerek idari para cezası uygulanması yönünde karar verilmiştir.
Bu noktada değinilmesi gereken bir diğer husus açık rızanın varlığı kişinin aktif bir eylemine dayanması gerekliliğidir. Bu da demektir ki kişinin örtülü rızası KVKK kapsamında geçerli bir rıza olarak kabul görmez. Örneğin dijital ortamda toplanacak açık rıza beyanlarının alınacağı sayfada gelen kutucukların kendiliğinden işaretlenmiş olmasının irade beyanı teşkil etmeyeceği kabul edilmekte, kişinin kutucukları bizzat kendisinin işaretlemesi gerektiği belirtilmektedir.
Bankacılık Kanunu’nun 73. Maddesi ile mevzuata müşteri sırrı tanımı kazandırılmış olup; bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler müşteri sırrı sayılmıştır. Bu kapsamda Bankacılık Kanunu, KVKK’da yer alan kişisel veri tanımından farklı bir tanımı benimsemiş ve bankacılık faaliyetleri kapsamındaki verilerin yalnızca gerçek kişiye değil, tüzel kişiye ilişkin tüm verileri de kapsadığı düzenlenmiştir. Ayrıca müşteri sırrı niteliğindeki bu bilgilerin Bankacılık Kanunu’na yahut özel kanunlara göre açıkça yetkili kılınanlardan başkasına açıklayamayacakları belirtilmiştir. Öyleyse maddenin mefhumu muhalifinden yola çıkarak sır saklama yükümlülüğü altındaki kişilerin müşteri sırlarını kanunen “açıkça” yetkili kılınan mercilere açıklayabilecekleri sonucuna varılabilir.
Örneğin İİK 367. maddesi uyarınca “İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malumatı hakiki ve hükmi her şahıs derhal vermeye ve talep halinde mevcudu bu dairelere teslime mecburdur.” Bu madde gereğince İcra ve İflas Müdürlükleri tarafından borçlunun mevcuduna ilişkin talep edilen bilgi ve belgelerin bankalarca ilgili mercilere sunulması gerekir. Yaşanan bir somut olayda ise icra müdürlüğü tarafından borçlu olan müşteriye ait telefon numarası ve adres bilgileri istenilmiş, ilgili banka icra dairesi tarafından iletilen bu talebi bilgilerin müşteri sırrı niteliğinde olduğu gerekçesiyle yerine getirmemiştir. Bu konu yargıya taşınmış ve mahkeme, “bankanın, icra dairesinin borçlunun mevcuduna ilişkin bilgi talep etme yetkisini aşarak müşteri sırrı niteliğinde bulunan bilgilerin talep edildiği gerekçesine dayanamayacağı, dolasıyla sanığın bildirilmesi gereken bilgilerin icra dairesi bildirilmemesi nedeniyle para cezasına çarptırılması gerektiği” yönünde karar vermiş ve bu karar ilgili Yargıtay dairesince onanmıştır.(Y12 HD, E. 2015/33017, K. 2016/10595, KT. 11.4.2016)
Dikkat edilmesi gereken bir diğer husus ise ilgili merci tarafından talep edilen bilgi taleplerinin yerine getirilmesi sırasında talep edilen bilgi dışında başka bir bilgi verilmemesidir. Örnek Kurul kararında bahsedilen bir olayda mahkeme, davacının spor salonu üyeliğinin sona ermesine rağmen üyelik ücretinin iade edilmediği iddiasıyla açılan davada, ödemenin gerçekleştirilmiş olduğu bankadan işlem kayıtlarının ibrazını talep etmiş, ilgili banka tarafından mahkemeye cevaben hazırlanan yazı ekinde ise mahkeme tarafından talep edilmemesine rağmen altı aylık kredi kartı hesap özetine de yer verilmiştir. Bu duruma istinaden davalı taraf Kurum’a, adı geçen bankanın KVKK çerçevesinde kişisel verilerin muhafazasını sağlayamadığı iddiası ile başvuru yapmış, Kurul ise veri güvenliğinin sağlanamadığı gerekçesiyle banka hakkında idari para cezası uygulanmasına karar vererek, dava konusu dışında kalan bilgilerin mahkemeye sunulmasını kişisel verilerin korunması mevzuatına aykırı bulduğunu göstermiştir.
Bankanın Kredi Risk Değerlendirmesi
Bankalar faaliyetleri çerçevesinde genel ve sektörel bazda; kredi riski, faiz riski, bilanço riski, operasyonel riskler, iflas riskleri şeklinde çeşitli risklerle karşılaşmaktadırlar. Faaliyetlerini güvenli bir şekilde yürütebilmeleri ise maruz kaldıkları bu risklerin belirlenmesine ve yönetilmesine bağlıdır. Bankacılık Kanunu 52. maddesi ile maruz kalınacak riskleri ölçmek amacıyla gerekli bilgi ve belgelerin temin etme yetkisine sahiptir. Bu bilgi ve belgelerin neler olacağını belirlemek de bankaların inisiyatifine bırakıldığından, kredi risk değerlendirme süreçlerinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel verilerin açık rıza olmaksızın işlenebileceği sonucuna varılmaktadır. Ancak işlenen verilerin yalnızca meşru menfaat amacı için kullanılması gerekir. Aksi durumunda veri işlemenin hukuka uygun olduğundan söz edilemez.