Yayın Tarihi: 08 Ocak 2025
Yayınlayan: KVKK
İlgili rehbere erişmek için lütfen buraya tıklayınız.
Bu rehber, bankacılık sektöründe kişisel verilerin korunması konusunda iyi uygulama örnekleri sunarak, bankaların 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uyum süreçlerine rehberlik etmeyi amaçlamaktadır. Rehber, Kişisel Verileri Koruma Kurumu ve Türkiye Bankalar Birliği işbirliği ile hazırlanmıştır.
Rehberde öne çıkan bazı önemli konular şunlardır:
- Veri Sorumlusu ve Veri İşleyen Kavramları:
- Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Bankalar, genel olarak bankacılık faaliyetleri açısından veri sorumlusudur.
- Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bankalar, bazı durumlarda (örneğin, sigorta acenteliği faaliyetlerinde) veri işleyen olabilir.
- Veri sorumlusu ve veri işleyen arasındaki ilişki, yazılı bir sözleşme ile düzenlenmelidir. Sözleşmede bulunması gereken asgari unsurlar rehberde belirtilmiştir.
- İlgili Kişi Kavramı:
- İlgili kişi, kişisel verisi işlenen gerçek kişidir. Bankacılık sektöründe çalışan adayları, çalışanlar, müşteriler, ziyaretçiler gibi birçok farklı kişi ilgili kişi kategorisine girmektedir.
- Kişisel Veri İşleme Şartları: Kişisel veriler, KVKK’da belirtilen şartlara uygun olarak işlenmelidir. Bu şartlar genel olarak ikiye ayrılır:
- Açık rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.
- Açık rıza dışındaki diğer hukuka uygunluk nedenleri:
- Kanunlarda açıkça öngörülmesi.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.
- Özel Nitelikli Kişisel Veriler:
- Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir.
- Özel nitelikli kişisel verilerin işlenmesi, Kanun’da belirtilen özel şartlara tabidir. Bu verilerin işlenmesinde, veri güvenliğinin sağlanması için gerekli önlemlerin alınması önemlidir.
- Banka tarafından alınan kimlik belgelerinin suretlerinde yer alan özel nitelikli verilerin (din, kan grubu vb.) işlenmemesi ve bu verilerin kimlik tespiti haricinde bir amaçla kullanılması halinde gerekli önlemlerin alınması önerilmektedir.
- Veri Sorumlusunun Yükümlülükleri:
- Aydınlatma yükümlülüğü: Kişisel verilerin elde edilmesi sırasında, ilgili kişilerin bilgilendirilmesi gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar rehberde detaylandırılmıştır.
- Veri güvenliğini sağlama yükümlülüğü: Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak veri sorumlusunun yükümlülüğündedir.
- Kişisel Verilerin Aktarımı: Kişisel verilerin yurt içinde ve yurt dışında aktarılmasına ilişkin usul ve esaslar rehberde ayrıntılı olarak açıklanmıştır.
- Yurt içinde veri aktarımı, ilgili kişinin açık rızasıyla veya Kanun’da belirtilen diğer hukuka uygunluk nedenleriyle yapılabilir.
- Yurt dışına veri aktarımı, aktarımın yapılacağı ülkenin yeterli korumaya sahip olması, ilgili kişinin açık rızası olması veya Kanun’da belirtilen diğer istisnai hallerin varlığı durumunda yapılabilir.
- İlgili Kişinin Hakları ve Şikayetlerin Yönetilmesi:
- İlgili kişiler, kişisel verileri ile ilgili olarak veri sorumlusuna başvurarak Kanun’da belirtilen haklarını kullanabilirler.
- Veri sorumlusuna başvuru, yazılı olarak veya Kurulca belirlenen diğer yöntemlerle yapılabilir.
- Veri sorumlusu, başvuruları en kısa sürede ve en geç otuz gün içinde sonuçlandırmakla yükümlüdür.
- İlgili kişiler, veri sorumlusunun başvurusunu reddetmesi, verdiği cevabın yetersiz olması veya süresinde cevap vermemesi halinde, Kişisel Verileri Koruma Kuruluna şikayette bulunabilirler.
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi: Kişisel verilerin işlenme amaçlarının ortadan kalkması veya ilgili kişinin talep etmesi halinde, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Rehberde bu süreçte dikkat edilmesi gereken hususlar ve farklı imha yöntemleri açıklanmıştır.
Rehberin amacı, bankaların kişisel verileri işlerken KVKK’ya uygun hareket etmelerine yardımcı olmaktır. Bu rehber, bankaların veri işleme süreçlerini değerlendirmeleri, uygun politikalar oluşturmaları ve gerekli teknik ve idari tedbirleri almaları için bir yol haritası sunmaktadır.