KVKK: “Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi”

Yazan /

Yayın Tarihi: 11 Nisan  2025
Yayınlayan: KVKK
Boyut: 98 sayfa
İlgili rehbere erişmek için lütfen buraya tıklayınız.

Bu rehber, Kişisel Verileri Koruma Kurumu (KVKK) tarafından ödeme ve elektronik para sektöründe kişisel verilerin korunmasına ilişkin iyi uygulamaları açıklamak amacıyla hazırlanmıştır. Rehberin amacı, bu sektördeki kuruluşların 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat hükümlerine uyum sağlamalarına yardımcı olmaktır.

Rehberin temelini oluşturan ana başlıklar şunlardır:

  • Giriş: Rehberin amacını ve önemini belirtir.
  • Tanımlar ve Kısaltmalar: Rehberde geçen temel kavramları ve kısaltmaları açıklar. Örneğin, açık rıza, anonim ön ödemeli araç, veri sorumlusu, veri işleyen gibi tanımlar yer alır.
  • Amaç ve Kapsam: Rehberin hangi amaçlarla ve hangi sektörleri kapsadığına değinir.
  • Veri Sorumlusu ile Veri İşleyen: Bu iki aktörün tanımlarını, sorumluluklarını ve aralarındaki ilişkiyi ele alır. 6698 sayılı Kanun’un 3. maddesine göre veri sorumlusu ve veri işleyen tanımlanmaktadır.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi tanımlar ve haklarını belirtir. 6698 sayılı Kanun’un 3. maddesine göre ilgili kişi tanımlanmaktadır.
  • İşlenen Kişisel Veriler: Ödeme ve elektronik para sektöründe işlenen çeşitli kişisel veri türlerini kategorilere ayırarak inceler. Örneğin, kimlik bilgileri, iletişim bilgileri, finansal bilgiler, işlem güvenliği bilgileri gibi.
  • Genel İlkeler: Kişisel verilerin işlenmesinde uyulması gereken genel ilkelere değinir. Bu ilkeler arasında hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme, işlelendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, doğru ve gerektiğinde güncel olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme yer alır.
  • Kişisel Verilerin İşlenme Şartları: Kişisel verilerin hangi durumlarda hukuka uygun olarak işlenebileceğini açıklar. Bu şartlar arasında ilgili kişinin açık rızası veya Kanun’da belirtilen diğer hukuka uygunluk nedenleri (örneğin, kanunlarda açıkça öngörülme, fiili imkânsızlık nedeniyle rızasını açıklayamayan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması) bulunur.
  • Kişisel Verilerin Aktarılması: Kişisel verilerin yurt içinde ve yurt dışına aktarılması şartlarını ve usullerini düzenler.
  • Veri Sorumlusunun Yükümlülükleri: Veri sorumlularının KVKK kapsamındaki çeşitli yükümlülüklerini detaylandırır. Bu yükümlülükler arasında aydınlatma yükümlülüğü, veri güvenliğini sağlama yükümlülüğü, ilgili kişi başvurularını yanıtlama yükümlülüğü ve VERBİS’e kayıt yükümlülüğü yer alır.
  • Veri Güvenliği: Kişisel verilerin güvenliğini sağlamak için alınması gereken teknik ve idari tedbirleri ele alır.
  • İşlenen Kişisel Verilere İlişkin Haklar: İlgili kişilerin kişisel verilerine ilişkin sahip olduğu hakları sıralar. Bu haklar arasında bilgi edinme hakkı, düzeltme hakkı, silme hakkı, yok etme hakkı, aktarım hakkı ve itiraz hakkı bulunur.
  • Başvuru ve Şikayet: İlgili kişilerin veri sorumlusuna başvuru usulünü ve Kişisel Verileri Koruma Kurulu’na şikayet etme süreçlerini açıklar. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e atıfta bulunur.
  • VERBİS’e Kayıt Yükümlülüğü: Veri sorumlularının Veri Sorumluları Sicili’ne (VERBİS) kayıt olma yükümlülüğünü detaylandırır.
  • Kurul İlkeleri: Kişisel Verileri Koruma Kurulu’nun (Kurul) önemli karar ve ilkelerine değinir.
  • Veri İhlallerinin Bildirilmesi Yükümlülüğü: Kişisel veri ihlallerinin veri sorumlusu tarafından Kurul’a ve ilgili kişilere bildirilme süreçlerini ve sürelerini açıklar.
  • Ödeme ve Elektronik Para Kuruluşlarının Yasal Mevzuattan Kaynaklanan Yükümlülükleri: Ödeme ve elektronik para kuruluşlarının kendi özel mevzuatlarından kaynaklanan ve kişisel veri korumasını ilgilendiren yükümlülüklerine vurgu yapar. 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’a değinir.
  • Denetim: Ödeme ve elektronik para kuruluşlarının kişisel veri koruma süreçlerinin denetimine ilişkin hususları ele alır.
  • Türkiye Cumhuriyet Merkez Bankası Tarafından Yapılan Denetim: Merkez Bankası tarafından bu kuruluşlara yönelik yapılan denetimlere değinir.
  • Bağımsız Denetim Faaliyetleri: Kuruluşların bağımsız denetim süreçlerine ilişkin bilgileri içerir.
  • Ekler: Rehberde atıfta bulunulan mevzuat ve diğer ilgili kaynakların listesini sunar.

Özetle bu rehber, ödeme ve elektronik para sektöründeki veri sorumlularına kişisel verilerin korunması konusunda rehberlik etmekte, mevzuat uyum süreçlerini kolaylaştırmayı amaçlamakta ve sektördeki iyi uygulama örneklerini sunmaktadır.

Scroll to Top