AB Üye Ülke Uygulamaları Işığında Finans Sektöründe Kişisel Verilerin Korunması Uygulamaları. GSG Hukuk

Transkript

1 AB Üye Ülke Uygulamaları Işığında Finans Sektöründe Kişisel Verilerin Korunması Uygulamaları GSG Hukuk

2

3 İçindekiler 1 Giriş 2 Temel KVK ilke ve kavramları 3 Sayfa 5 Sayfa 7 Sayfa Sayfa 38 Sayfa 41 Sayfa 49 Müşterilerin gizliliğini korumaya ilişkin yükümlülükler Düzenleyici Otorite ve Kanun un Geçiş Süreci Finans sektöründen vaka çalışmaları Ekler PwC I GSG Hukuk 3

4

5 32 Giriş 1 Photo Finans kuruluşlarının regülasyonlara uyum faaliyetleri hiç bitmeyecek gibi sürerken, regülasyonlara da sürekli olarak bir yenisi eklenmektedir. 6 Nisan 2016 tarihinde Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanun u («KVKK» veya «Kanun»), kişisel veri işleme yoğunlukları nedeniyle finans kuruluşlarını diğer sektörlerden çok daha fazla ilgilendiren bir regülasyon olarak yöneticilerin ajandasına girmiş durumdadır. Finans kuruluşlarının («veri sorumlusu») gerçek kişi müşterilerine («ilgili kişi») ait olan kişisel verilerin, KVKK ya uygun olarak işlenmesi sürecine ışık tutmayı amaçlayarak işbu rehberi hazırlamış bulunmaktayız. Rehberimiz, KVKK, Avrupa Birliği 95/46 EC sayılı Yönergesi («AB Yönergesi») ve AB üye ülkelerinin Kişisel Verilerin Korunması («KVK») mevzuatı, finans sektörüne ilişkin uygulamaları ve yetkili otorite ve mahkeme kararları göz önünde bulundurularak hazırlanmıştır. KVKK ya uyum sürecinde, ekte yer alan AB uygulamaları ışığında hazırlamış olduğumuz vaka çalışmalarını ve önemli AB kararlarının özetlerini de göz önünde bulundurmanızı öneririz. PwC I GSG Hukuk 5

6

7 2 Temel KVK ilke ve kavramları Temel KVK kavramları Temel KVK ilkeleri

8 Temel KVK kavramları Kişisel Veri KVKK da Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Dolayısıyla anonimleştirilmiş veriler ile merhum kişilerin verileri, kişisel veri olarak kabul edilemeyecektir. Kişisel verilerin unsurları aşağıdaki gibidir: i. Kimliği belirli veya belirlenebilir ii. Gerçek kişi iii. İlişkin olma i. Kimliği belirli veya belirlenebilir Her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da bu kişiye ait başka bilgiler de bu kişiyi, içinde bulunduğu bir topluluğun diğer üyelerinden ayırt edilmesini sağlayabilir. Kimliği belirlenebilir olma durumu değerlendirilirken, veri sorumlusu veya üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede başvurabileceği tüm yollar (başka veri kaynaklarından edinilebilecek verileri kullanma vb.) göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilmelidir. ii. Gerçek kişi Tüzel kişilere ilişkin verilerin korunması KVKK kapsamı dışında kalmakla birlikte, tüzel kişilerin verilerini koruyan diğer mevzuat hükümleri saklıdır. iii. İlişkin olma Gerçek kişi ile veri arasındaki bağlantı genellikle kolaylıkla kurulabilmektedir. Ancak bazı hallerde verinin nesne ile ilgili olması halinde kişi ile dolaylı bir bağlantısı olduğundan söz edilecektir. PwC I GSG Hukuk 8

9 Temel KVK kavramları Kişisel Veri Finans kuruluşlarının işlemesi muhtemel kişisel verilere örnek İsim, kimlik kartı numarası, meslek, iletişim bilgileri, medeni durumu, ev veya iş adresi ve fotoğraf bilgileri; Kişisel geliri, mülkiyetinde bulunan menkul ve gayrimenkuller, vergi ödemeleri, kamu fonlarına yapılan ödemeler gibi kişisel mülkiyet durumu; Hesap numarası, hesabın açıldığı tarih, hesabı açan banka, hesap bakiyesi, hesap işlemleri gibi kişisel hesap bilgileri; Kredi kartı geri ödeme durumu, borç geri ödeme durumu ve kişisel iktisadi faaliyetler sırasında ortaya çıkan ve kredi durumunu yansıtabilecek olan diğer bilgiler gibi kişisel kredi bilgileri; Ödeme kesin hesabı, servet yönetimi, kiralık kasa gibi aracılık işleri bankacılık sektöründe finansal kurumlar tarafından yürütülürken elde edilen, saklanan ve tutulan kişisel bilgileri de içeren kişisel finansal işlem bilgileri ve müşterileri, sigorta şirketleri, hisse senedi komisyoncusu şirketler, fon şirketleri ve vadeli işlem şirketleri ile (bu finansal kurumlar aracılığıyla) işlem görürken ortaya çıkan kişisel bilgiler; Ham verilerin (kişisel tüketim alışkanlıkları ve yatırıma isteklilik gibi) işlenmesi ve analiz edilmesi sonucu ortaya çıkan ve kişisel tercihleri yansıtan bilgileri içeren türev bilgiler; Kişilerle iş ilişkisi kurarken elde edilen ve saklanan diğer kişisel bilgiler. PwC I GSG Hukuk 9

10 Temel KVK kavramları Özel nitelikli kişisel veri Finans kuruluşlarının işlemesi muhtemel özel nitelikli kişisel verilere örnek: Biyometrik ve genetik verileri Dini Kılık ve kıyafeti, Felsefi inancı Irkı Mezhebi Üyelik (dernek, vakıf ya da sendika) Cinsel hayatı Etnik kökeni Diğer inançları Sağlığı Ceza mahkûmiyeti Siyasi düşüncesi Güvenlik tedbirleri PwC I GSG Hukuk 10

11 Temel KVK kavramları Kişisel Verileri İşleme Kişisel verilerin işlenmesi, a Tamamen veya Kısmen otomatik yollarla b Veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, Sınıflandırılması, değiştirilmesi, kullanılmasının engellenmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi vb. veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. KVK kuralları, «otomatik yollarla işlenen» ifadesi ile esas olarak dijital ortamda işlenen verileri kapsama alır. Ancak kişisel verilerin belirli kriterlere göre yapılandırılarak (Veri Kayıt Sistemi) fiziksel ortamda dosyalanması da mümkündür. Alfabetik sıralama gibi, veri işleyenin makul bir sürede ilgili hakkında verilere ulaşabileceği şekilde indekslenen veriler de KVKK kapsamına girmektedir. PwC I GSG Hukuk 11

12 Temel KVK kavramları Açık rıza Kural olarak, kişisel veriler ilgili kişinin açık rızası alınarak işlenebilir. Açık rıza, KVKK da; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza şeklinde tanımlanmıştır. Buna göre ilgili kişiden alınacak rıza aşağıdaki unsurları taşımalıdır. Veri sorumlusu nasıl rıza almalı? i. İlgili kişinin bilgilendirilmesi, ii. Rızanın belirli bir konuyla sınırlandırılması, iii. Rızanın özgür irade ile açıklanması. i. İlgili kişinin bilgilendirilmesi İlgili kişiden rıza talep edilirken, öncesinde kişisel verilerinin işlenmesi hakkında bilgilendirmelidir. ii. Rızanın belirli bir konuyla sınırlandırılması İlgili kişinin rızası, veri sorumlusunun bilgilendireceği belirli bir konuya/ amaca ilişkin olması gerekir. Farklı işleme faaliyetlerinin ilgili kişi tarafından öngörülmesi muhtemel olmalıdır. Bu konu da bilgilendirme çerçevesinde ilgili kişi ile paylaşılmalı Her türlü verinin işlenmesini peşinen kabul ediyorum şeklinde genel bir rıza beyanı açık rıza olarak kabul edilemeyecektir. Veri sorumlusu, aynı kişisel verileri sonradan farklı amaçlarla işlemek ya da farklı işleme yöntemlerini kullanmak ya da başka kategorideki verilerini işlemek istemesi durumunda, bu yeni duruma ilişkin ilgili kişiden ayrıca rıza alması gerekmektedir. iii. Rızanın özgür irade ile açıklanması Aldatma, korkutma veya baskı altında verilen rıza geçersiz sayılacaktır. Tarafların eşit konumda olmadığı veya birinin diğeri üzerinde yoğun bir tesiri olduğu durumlarda rızanın bu unsurunun dikkatle değerlendirilmesi gerekir. PwC I GSG Hukuk 12

13 Temel KVK kavramları Açık rıza Dikkat! Finans kuruluşu-müşteri ilişkisinde, müşteriye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin müşteri açısından muhtemel bir olumsuzluk doğuracağı durumlarda rızanın özgür iradeye dayandığı kabul edilemez. Müşteri her ne kadar teoride rıza göstermeme imkanına sahip olsa da, bu tercihinin sonucu olarak düşük faizli kredi fırsatını kaybedecekse rızanın özgür iradeye dayandığının kabulü mümkün değildir. Diğer yandan, finansal kuruluş müşterisinin sisteme katılması için maddi bir teşvik uygulaması (sisteme katılanların %20 indirimli hizmet alması gibi) ancak sisteme katılmayanlardan standart ücret alması durumunda rızanın özgür olduğu kabul edilebilecektir. Zira ilgili kişi açısından ortaya çıkan olumsuz bir durumun mevcut olmadığı savunulabilecektir. örnek Rıza, elektronik imza, güvenli elektronik imza, ıslak imza, opt-in seçeneğinin işaretlenmesi gibi aktif yolları ile alınabilecektir. Veri sorumlusunun almış olduğu açık rızalar doğrultusunda bir veri tabanı oluşturması gerekir. Verinin açık rıza olmadan işlendiği iddia ediliyorsa, açık rızanın varlığına dair ispat yükü, Veri Sorumlusuna aittir. PwC I GSG Hukuk 13

14 Temel KVK kavramları Veri sorumlusu, veri işleyen Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusunun tüzel kişi olmasının önünde engel yok. Aydınlatma yükümlülüğü var. Veri işleyen ile müştereken sorumlu. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidirveri sorumlusunun tüzel kişi olmasının önünde engel yok. Veri işleyenin sorumluluğu, kişisel veriler bilgisi dahilinde işlenirse ve veri işleme gerçekleşirse doğar. Veri sorumlusunun verdiği yetkiyle işlem yapan veri işleyenin işlemlerinin sonucundan, veri sorumlusu da sorumludur. Karar Mekanizması Uygulayıcı PwC I GSG Hukuk 14

15 Temel KVK kavramları Silme, yok etme ve anonim hale getirme Finansal kuruluşlar, müşterilerine ait hesapların kapatılmasından sonra kişisel verileri saklamaya devam etmemeli ve verileri toplanma amacına aykırı olarak gerektiğinden uzun süre elde tutmalıdır. Eğer verilerin toplanma amacı ortadan kalktıysa ve artık söz konusu kişisel veri gerekli değilse, veriler silinmeli veya güvenli bir şekilde ortadan kaldırılmalıdır. Silme Kişisel verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhasını ifade etmektedir. Buna göre veri sorumlusu, verileri kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silmelidir. X Yok etme Bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. PwC I GSG Hukuk 15

16 Temel KVK ilkeleri Veri sorumlusu ve veri işleyen tarafından kişisel verilerin işlenmesinde yan tarafta belirtilen ilkelere uyulması zorunludur. Dürüstlük kuralına uygunluk Amaç ile bağlantılı ve sınırlı olmak Belirli, açık ve meşru amaç İlkeler Gerekli olan süre kadar muhafaza Doğru ve güncel olmak Hukuka uygunluk PwC I GSG Hukuk 16

17 Temel KVK ilkeleri Hukuka ve Dürüstlük Kuralına Uygun Olmak Hukuka ve dürüstlük kurallarına uygun olma, kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde esas alınması gereken ilkelerin başında gelir. Bu ilke kapsamında veri sorumlusunun dikkat etmesi gerekenler aşağıda örnek mahiyetinde sayılmıştır: Veri sorumlusu; Kişisel verilerin işlenmesinde meşru bir temele dayanmalı, Kişisel verileri, meşru bir sebep olmaksızın bireyler aleyhine sonuçlar doğuracak şekilde kullanmamalı, İlgili kişileri, kişisel verilerinin işlenmesi hakkında bilgilendirmeli, Kişisel verileri, ilgili kişilerin makul beklentileri ve öngörüleri doğrultusunda işlemeli, Başta 6698 sayılı Kanun olmak üzere, ilgili yasal mevzuatlarda düzenlenen şartları yerine getirmelidir. PwC I GSG Hukuk 17

18 Temel KVK ilkeleri Kişisel Verilerin Doğru ve Güncel Olması Veri Sorumlusu, doğru ve gerektiğinde güncel nitelikte kişisel veri işlemekle yükümlüdür. Aksi halde ilgili kişi, kişisel verilerinin yanlış ya da güncel olmamasından dolayı zarar görebilecektir. Bu bağlamda veri sorumlusu, işlediği kişisel verilerin doğru olmasını sağlayacak makul önlemleri almalı, elde edildiği kaynakları tespit etmeli, doğru olmamasından kaynaklı talepleri dikkate almalı, güncellenmesi gerekip gerekmediğini değerlendirmelidir. Veri sorumlusunun işlediği her bir kişisel verinin belirtilen niteliklerde olduğunun kontrolünün her gün yapılması mümkün olmayabilir. Bu sebeple örneğin, veri sorumlusunun ilgili kişileri işleme faaliyetinden önce, işlenecek olan kişisel verilerinin doğruluğunu ve güncelliğini teyit etmelerini ve ileride bu verilerin değişmesi halinde veri sorumlusunu belirteceği iletişim bilgileri yoluyla bilgilendirmeleri hakkında uyarmalı ve bilgilendirmelidir. örnek Bankanın, müşterisine sağladığı hizmetlerle bağlantılı bir belge (sözleşme, kredi kartı vb.) göndermeden önce, sisteme kayıtlı olan (muhafaza edilen) müşteriye ait adres ve iletişim bilgilerinin doğru ve güncel olduğunu teyit etmesi gerekmektedir. Aksi halde, müşterisine ait kişisel verileri de içeren belgeler 3. kişilere gönderilebilir. Böyle bir sonucun önlenmesi adına, Banka müşterilerine kişisel verilerinin doğruluğunu ve güncelliğini teyit etme imkanı sunmalıdır. Veri sorumlusunun, işlediği kişisel verilerin yanlış olduğunu ya da güncel olmadığını fark etmesi halinde bu verileri derhal silmesi, yok etmesi ya da anonim hale getirmesi gerekmektedir. PwC I GSG Hukuk 18

19 Temel KVK ilkeleri İşleme faaliyeti belirli, açık ve meşru amaçlara dayanmalı Veri sorumlusu, kişisel veri işleme faaliyetlerini belirli, açık ve meşru amaçlara dayandırmalıdır. Bu doğrultuda veri sorumlusu; kişisel veri işleme amacını açık, kesin ve tam olarak belirlemelidir, işleme amacını ilgili kişiye bildirmelidir, işleme amacını ilgili kişiye bildirirken belirsiz ifadelerden kaçınmalıdır, kişisel veri işlemedeki amacının meşru bir menfaate dayandığından emin olmalıdır. i. Belirli Kişisel veriler belirli bir amaç için toplanmalıdır. Bu doğrultuda veri sorumlusunun, toplayacağı verileri hangi amaçla kullanacağını dikkatli bir biçimde önceden belirlemiş olması gerekir. Bir amaç belirlenmeksizin veya çok genel bir amaca yönelik kişisel verilerin toplanması bu ilkeyi ihlal edecektir. Amaçların ne zaman belirli olması gerektiği noktasında ise, verilerin toplanmasından önce veya en geç elde edilmesi sırasında amaçların belirlenmesi gerektiği söylenebilir. PwC I GSG Hukuk 19

20 Temel KVK ilkeleri İşleme faaliyeti belirli, açık ve meşru amaçlara dayanmalı ii. Açık Kişisel verilerin yalnızca belirli amaçlar için toplanması yeterli değildir, bu belirli amaçların aynı zamanda açık olması gerekir. Buradaki temel gaye, amaçların yalnızca veri sorumlusu tarafında belirli olmasından öte, verisi işlenen açısından da işleme amaçlarının belirli/şeffaf hale getirilmesidir. Dikkat! Veri sorumlusunun belirlediği amaçlarda yer alan ifadelere dikkat etmesi gerekir. Örneğin, kullanıcı deneyimini geliştirmek, pazarlama, bilgi ve sistem güvenliği ve potansiyel araştırma ve geliştirme faaliyetleri gibi ifadeler genel ve belirsiz olarak kabul edilebilir. Veri sorumlusunun sunduğu hizmetlerin birbirinden farklı olması halinde (ör. internet bankacılığı, mobil bankacılık, bulut depolama, sosyal medya) veri işleme amaçlarının her bir hizmeti için ayrı bir şekilde belirlenmesi ve açık hale getirmesi gerekebilir. iii. Meşru Kişisel verilerin işlenmesini meşru kılan durumlar: İlgili kişinin rızasının olması, KVKK dan doğan rıza almaya ilişkin istisnaların bulunması, Diğer ilgili kanunlardan doğan sebeplerin bulunmasıdır. Dikkat! Müşterilerinin etnik kökenlerine, dinsel inançlarına ya da giyiniş tarzına göre fiyatlandırma yapmak isteyen bir finans kuruluşunun, verileri işleme amacının, müşterilerinin açık rızasını almış olsa dahi, meşru olduğunun kabulü mümkün değildir. Veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. PwC I GSG Hukuk 20

21 Temel KVK ilkeleri İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma Veri sorumlusu, işlediği kişisel verilerin, belirlediği amaçları gerçekleştirilebilmesine elverişli ve bu amaçlarla ilgili olduğundan emin olmalıdır. Veri sorumlusu tarafından işlenen veri, sadece belirlediği amaçları gerçekleştirmesi için gerekli olanla sınırlı olmalıdır. Veri sorumlusu, böylelikle, ihtiyaç duymadığı kişisel verileri tespit etmeli ve derhal silmeli, yok etmeli ya da anonim hale getirmelidir. Her halükarda bu nevi kişisel verileri işlemekten kaçınması gerekmektedir. Veri işleme amacının değişmesi farklı verilerin işlenmesine de sebep olabilecektir. Bu durumda, hem değişen amaç hem de işlenen veri listesine dahil olan yeni kişisel verilerin, Veri Sorumluları Sicili ne bildirilmesi gerekecektir. örnek Bir tasarruf hesabının açılması için müşterinin ismi ve irtibat bilgileri hesap hizmetlerinin müşteriye temini için gerekliyken müşterinin kökeni veya dini inancının da işlenmesi, ekseriyetle, söz konusu hesabın açılması ve işletilmesi amacı bakımından aşırı olacaktır. PwC I GSG Hukuk 21

22 Temel KVK ilkeleri İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme Bu ilke, her kişisel verinin bir muhafaza süresi olması gerektiğine işaret etmektedir. Bu bağlamda veri sorumlusu işlediği kişisel verileri İlgili mevzuatta öngörülen süre, İlgili mevzuatta böyle bir sürenin düzenlenmemiş olması halinde işlendikleri amaç için gerekli olan süre kadar muhafaza etmekle yükümlüdür. Veri sorumlusunun, anılan muhafaza sürelerini belirlemesi, Veri Sorumluları Sicili ne başvururken söz konusu süreyi bildirmesi gerekeceğinden önemlidir. Veri sorumlusunun, kişisel verilerin saklanması için geçerli bir sebebin var olup olmadığını ve ilgili mevzuatta belirtilen sürenin sona erip ermediğini takip etmesi gerekecektir. Anılan sürelerin geçmesi halinde, veri sorumlusu kişisel verileri derhal silmek, yok etmek ya da anonim hale getirmek durumundadır. Bu ilke uyarınca veri sorumlusu gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamalıdır. PwC I GSG Hukuk 22

23 32 Photo 1 Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5) Rıza aranmayan durumlar Kanunlarda açıkça öngörülmesi Birincil düzenlemeler: TC. Anayasası, 108 sayılı Avrupa Konseyi Sözleşmesi, 181 sayılı Ek Protokol İkincil düzenlemeler: Türk Medeni Kanunu, Türk Ceza Kanunu, KVKK, Türk Borçlar Kanunu, Türk Ticaret Kanunu, İş Kanunu Üçüncül düzenlemeler: Sektörel düzenlemeler (Bankacılık Kanunu, Banka Kartları ve Kredi Kartları Kanunu vs.) Dördüncül düzenlemeler: Kamusal düzenlemeler (Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Ceza Muhakemesi Kanunu) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması Kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir. PwC I GSG Hukuk 23

24 32 Photo 2 Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5) Rıza aranmayan durumlar Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması Finansal kuruluşlarının müşterileri ile akdedecekleri sözleşme gereği yapılacak ödeme için müşteri tarafın banka hesap numarasının alınması; bir kredi sözleşmesi yapılması sırasında bankanın o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi vb. Bir hukuki yükümlülüğün yerine getirilmesi için zorunlu olması Finans kuruluşunun çalışanına maaş ödeyebilmesi için banka hesap numarası, medeni durumu, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi vb.. PwC I GSG Hukuk 24

25 32 Photo 3 Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5) Rıza aranmayan durumlar Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması Finansal kuruluşunun müşterisi tarafından açılan bir davada ispat yükünün gereği olarak bazı verilerin kullanılması; kısıtlı bir kişinin haklarının korunması amacıyla vasi veya kayyumun, kısıtlı kişinin mali bilgilerini tutması. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatlar için veri işlenmesinin zorunlu olması Finansal kuruluş sahibinin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerini işlemesi. İlgili kişinin kendisi tarafından alenileştirilmiş olması Müşterileri tarafından aleni hale getirilen ve böylelikle herkes tarafından bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.. PwC I GSG Hukuk 25

26 32 Photo Öneriler Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5) Rıza aranmayan durumlar Bankalar, müşterilerinin hesap verilerini, açık rızaları alınmadan işverenine veya aile üyelerine ifşa etmemelidir. A Bankası nın eski bir personeli, A Bankası nın müşterilerinin kişisel verilerini, yeni işvereni B Bankası için kullanmamalı; B Bankası na geçince A Bankası nın müşterileri ile A Bankası nın işlediği verileri kullanarak iletişim kurmamalıdır. Banka personeli, banka tarafından yetkilendirilmiş olmadıkça, müşterinin gizli finansal bilgilerini 3. kişiler ile paylaşmamalıdır. Her ne kadar veri sorumlusunun, ilgili kişinin belirli yollarla alenileştirmiş olduğu kişisel verileri işlemesi hukuka uygun olarak kabul edilse de bu verilerin kullanımı konusunda ilgili kişinin alenileştirmiş olduğu kişisel veriler üzerinde korunmaya değer haklı çıkarının olmadığından emin olunmalıdır (çıkar dengesi). Özel nitelikli kişisel verilerin açık rıza olmadan da işlenebilmesini öngören istisnalar yandaki gibidir: Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, başta KVKK olmak üzere ilgili diğer tüm kanunlarda öngörülen hâllerde Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması koruyucu hekimlik tıbbî teşhis tedavi ve bakım hizmetlerinin yürütülmesi sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir. Söz konusu işleme faaliyeti, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından gerçekleştirilebilir. PwC I GSG Hukuk 26

27 Kişisel verilerin 3. kişiler ile paylaşılması Kişisel Veri paylaşımı; verinin, bir veya birden fazla kuruluş tarafından üçüncü taraf konumundaki bir veya birden fazla diğer kuruluşa aktarılması veya bir kuruluşun farklı çalışma birimleri arasında aktarılmasıdır. Kişisel verilerin 3. kişi(ler) ile paylaşılması için ilgili kişinin Açık Rızası Var mı? Evet Hayır Kişisel veri paylaşılabilir KVK İstisnaları/Diğer Kanunlarda Özel Hüküm var mı? Evet Hayır Kişisel veri paylaşılabilir Kişisel veri paylaşılamaz PwC I GSG Hukuk 27

28 Kişisel verilerin 3. kişiler ile paylaşılması AB den Örnek İçtihat Telefonica Kararı (2000): Aynı grup şirketler içerisindeki bir başka şirkete kişisel verileri aktarması dolayısıyla yapılan şikayet üzerine, verilerin toplanma amacıyla uyuşmayan şekilde işlenmesi, bunun ilgililerin rızası alınmaksızın gerçekleştirilmesi ve yine ilgililerin rızası olmaksızın 3. bir kişiye aktarılması sebebiyle Avro para cezasına çarptırılmıştır. Peugeot Bayileri Kararı (2005): İspanya Veri Koruma Otoritesi, bir Peugeot bayisinin İspanya da bulunan başka bir Peugeot bayisine müşteri bilgilerini aktarmasını 3. kişilere aktarma olarak değerlendirmiştir. İlgili kişilerin, bayiler arasındaki bu veri paylaşımıyla ilgili genel ifadelerle bilgilendirilmesini yetersiz bulmuştur. KVKK, özel nitelikli kişisel verilerin, açık rızanın bulunmaması halinde paylaşılabilmesi için yukarıda açıklanan istisnalardan birinin varlığına ek olarak yeterli önlemlerin alınmasını (bkz. kişisel verilerin güvenliği) şart koşmuştur. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. PwC I GSG Hukuk 28

29 Kişisel verilerin yurtdışına aktarılması Kişisel verilerinin yurtdışına aktarılması için ilgili kişinin Açık Rızası Var mı? Evet Hayır Kişisel Veri yurtdışına aktarılabilir KVK İstisnaları/Diğer Kanunlarda Özel Hüküm var mı? Evet Hayır Aktarılacak ülkede yeterli koruma var mı? Kişisel veri yurtdışına aktarılamaz Evet Hayır Kişisel Veri yurtdışına aktarılabilir Türkiye deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri + Kurulun izni ile aktarılır PwC I GSG Hukuk 29

30

31 3 Finans Kuruluşlarının Veri Sorumlusu olarak Yükümlülükleri

32 Genel yükümlülükler Bir finans kuruluşunun veri işleme faaliyetleri ile ilgili olarak aşağıdaki başlıklara riayet ettiğinden emin olması gerekir: Temel KVK ilkelerine uygun hareket etmeli, İlgili kişiyi (müşteri, çalışanlar vb.) bilgilendirmeli, Kişisel verileri işlemeden önce ilgili kişiden Kanuna uygun açık rıza alınmalı, İlgili kişinin KVKK dan doğan haklarını kullanması için gereken prosedürleri oluşturmalı, Kişisel verilerin güvenliğini sağlamalı, Veri sorumluları siciline kaydolmalı, Elde edilen kişisel bilgileri sınıflandırmalı, Her bir bölüm ve yetki düzeyindeki çalışanların kişisel veri işlemelerine ilişkin görev ve sorumlulukları ile hangi kişisel veriye ne kadar erişim sağlayacaklarını belirlemeli, Çalışanları KVK konusunda bilinçlendirmeli, Kişisel veri toplama, saklama, kullanma gibi işleme faaliyetleri sırasında verilerin 3. kişiler ile paylaşılmamasını ve yurtdışına aktarılmamasını temin etmek için yeterli güvenlik önlemlerini almalı, kontrol mekanizmaları oluşturmalı, Çalışanlar ve dış hizmet sağlayıcıları ile yapılan gizlilik sözleşmelerine KVK ilkelerine uyum çerçevesinde hükümler eklemeli, Müşterilerin verilerinin paylaşacağı dış hizmet sağlayıcısını seçerken veri güvenliğini göz önünde bulundurmalı, 3. kişilerden kişisel veri temin edilecek olması durumunda, 3. kişinin ilgili kişilerden, verilerinin paylaşılması konusunda rızalarının hukuka uygun olarak alındığından ve temin edilen verilerin hukuka uygun işlediğinden emin olmalı, Süreç, teknoloji ve veri bazlı kişisel veri envanterini çıkarmalı, Hukuka uygun elde etmiş olduğu kişisel verileri ilgili kişilerin rızasını almadan 3.kişilere aktarmamalı. PwC I GSG Hukuk 32

33 Aydınlatma yükümlülüğü Temel KVK ilkeleri kapsamında, işbu raporun açık rıza bölümlerinde de belirtildiği üzere, veri sorumlusunun veri işlemeyle alakalı bütün konularda ilgili kişiyi açık ve anlaşılır bir biçimde bilgilendirmesi gerekmektedir. İlgili kişinin bilgilendirilmesine yönelik iki temel unsurdan bahsedilebilir: i. Anlaşılabilirlik Veri sorumlusu, ilgili kişiyi bilgilendirirken ortalama bir bireyin anlayabileceği bir dil kullanmalıdır. Anlaşılabilirliğin sınırı, somut duruma ve hedef kitleye göre değişiklik gösterecektir. Sade bir dil kullanılması, mesleki veya teknik jargondan uzak durulması ve gerektiği durumda terimlerin açıklanması gibi yollara başvurulması gerekebilir. ii. Erişilebilirlik Veri sorumlusunun, bilgiyi doğrudan ilgili kişiye ulaştırması, kolaylıkla erişilebilir kılması gerekir. Bilgi açıkça görünür (bunda yazı tipi ve büyüklüğü etkilidir) olmalıdır. Veri işlemenin karmaşıklık derecesi ne kadar artarsa, veri işlemenin ortalama bir vatandaş tarafından anlaşılması o kadar zorlaşacaktır. Bu halde veri sorumlusunun yükümlülüğü de artacaktır. PwC I GSG Hukuk 33

34 Aydınlatma yükümlülüğü Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi (veri işleyen), ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili kişinin hakları konularında bilgi vermekle yükümlüdür. KVKK nun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğü aşağıdaki hâllerde uygulanmaz: Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. Veri sorumlusu, kişisel verileri 3. bir kişiden edinse bile ilgili kişiyi aydınlatma yükümlülüğü bakidir. PwC I GSG Hukuk 34

35 İlgili kişinin hakları Veri sorumlusu, kendisine başvuran gerçek kişilerin KVK Kanunu ndan doğan haklarını kullanmalarını engelleyici davranışlardan kaçınmalıdır. İlgili kişinin hakları: Kişisel verisinin işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, Kişisel verilerin silinmesini veya yok edilmesini isteme, 5 ve 6. işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme. KVKK nın amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla ilgili kişi haklarını, zararın giderilmesini talep etme hakkı hariç, aşağıdaki hâllerde kullanamaz; Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. örnek İlgili kişinin hakları Bilgi talep etme hakkı Bir müşteri yakın zamanda vatandaşlığını değiştirmiş ve bunu bankaya bildirmiştir. Bankanın, kendisinin vatandaşlık durumunu vaktinde güncellediğinden emin olmak için bankadan, kendisinin vatandaşlık durumuyla ilgili özel kayıtlarda örneğin müşteri profilinde - bilgi tutup tutmadığını öğrenmek ve bu gibi verilerin bir suretini kendisine makul bir süre içinde temin ettirmek üzere bir talepte bulunabilir. PwC I GSG Hukuk 35

36 Veri güvenliğinin sağlanması Veri sorumlusu Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Finans kuruluşu, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Kişisel veriler, veri sorumlusu adına veri işleyen tarafından işleniyor ise anılan tedbirlerin alınmasında bu kişiler birlikte müştereken sorumludur. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Özel nitelikli kişisel verilerin açık rıza dışında, KVK m.6 yer alan istisnalardan birinin bulunması halinde işlenmesinin yanı sıra Kanun özel bir güvenlik önleminin sağlanmasını şart koşmuştur. örnek Müşterilerin elektronik olarak veri tabanında, bilgisayarlarda veya taşınabilir depolama cihazlarında saklanan verileri, uygun bilişim güvenliği önlemleri ve erişim kontrolü ile korunmalıdır. Finansal kuruluşlar müşteri memnuniyet anketi oluşturmak üzere bir pazarlama şirketi ile çalıştıklarında, konuya ilişkin ilgili müşteri verileri yetkisiz erişim ve kullanıma karşı korumak için, pazarlama şirketine verilen bu verilerin pazarlama şirketi tarafından kullanımından sonra güvenli bir şekilde taşınması ve silinmesini güvence altına almalıdırlar. Kişisel verilerin Türkiye dışında aktarılması halinde KVK Kurumu nun öngöreceği güvenlik önlemleri alınmalıdır. PwC I GSG Hukuk 36

37 Veri sorumluları siciline kayıt Veri sorumlusu, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, Kişisel verilerin hangi amaçla işleneceği, Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, Yabancı ülkelere aktarımı öngörülen kişisel veriler, Kişisel veri güvenliğine ilişkin alınan tedbirler, Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. Sicile verilen bilgilerde meydana gelen değişiklikler derhâl KVK Kurumu na bildirilir. Sicile ilişkin usul ve esaslar yönetmelikle düzenlenecek ve Veri Sorumlularu Sicili nin kuruluşu KVK Kurumu tarafından ilan edilecektir. PwC I GSG Hukuk 37

38 4 Düzenleyici Otorite ve Kanun un Geçiş Süreci

39 Düzenleyici Otorite ve Geçiş Süreci Kişisel Verileri Koruma Kurumu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulacaktır Kurulun görev ve yetkileri; Kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, Şikayetleri karara bağlamak, Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re sen incelemek ve gerektiğinde geçici önlemler almak, Kurul (9 üye) + = Başkanlık Kişisel Verileri Koruma Kurumu (195 kişilik kadro) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, Veri Sorumluları Sicili nin tutulmasını sağlamak, Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, KVKK da yer alan idari yaptırımlara karar vermek vb. PwC I GSG Hukuk 39

40 Düzenleyici Otorite ve Geçiş Süreci 6698 sayılı KVK Kanunu nun yürürlük şeması Nisan 2016 tarihi itibari ile işlenen veriler için Kanun un tatbiki Kişisel verilerin yurtiçinde ve yurtdışına aktarılması, ilgili kişilerin hakları, Kurula başvuru, şikâyet, veri sicili, suçlar ve kabahatlere dair düzenlemeler hariç olmak üzere, diğer maddeler Kanun un yayım tarihi itibariyle yürürlüğe girdi! Kişisel verileri koruma Kurulu nun kurulması ve diğer maddelerin yürürlüğüe giriş tarihi Kişisel verilerin yurtiçinde ve yurtdışına aktarılması, ilgili kişilerin hakları, Kurula başvuru, şikâyet, veri sicili, suçlar ve kabahatlere dair düzenlemelerin yürürlüğe girdiği tarih Kanun un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar için ilgili kişiler bu tarihe kadar sessiz kalmışlar ise, söz konusu onaylar Kanun a uygun hale gelir. Kamu kurumlarında kişisel verilerden sorumlu yöneticiler atanması için son tarih Yönetmeliklerin yürürlüğe girmesi için son tarih Kanun un yayım tarihinden önce işlenmiş olan verilerin Kanun a uyumlu hale getirilmesi için son tarih ü tarihinde Kanun un tüm düzenlemeleri yürürlüğe girmiş olacaktır. PwC I GSG Hukuk 40

41 5 Vaka Çalışmaları

42 32 Banka, Tasarruf hesabı için başvuran müşterilerden ilave veri alınması Şikayet mevduat hesabı açmak için başvuran bir müşterisinden eğitim seviyesine ve medeni hâline ilişkin bilgilerini talep etmektedir. Banka bu verilerin işleme amacının, banka ürün ve hizmetlerinin müşterilere tanıtılması olduğunu ileri sürmüştür. Ancak, banka bu nevi verilerin işlenmesini mevduat hesabının açılması için şart koşmaktadır. Vaka çalışması-1 Değerlendirme Eğitim seviyesi ve medeni hâl e ilişkin veriler, müşteriye mevduat hesabı hizmetleri sunma amacı için gerekli değildir. Her ne kadar bu veriler banka için, doğrudan pazarlamanın kullanılmasının kolaylaştırılması niteliğinde, müşteri profili çıkarma ve bölümlendirmede yardımcı olacak ise de banka, müşterinin bu yönde izni olmadıkça bu gibi verileri talep etmemelidir. Banka, her ne kadar müşteriyi anılan verilerin işlenme amaçları hakkında bilgilendirmiş olsa da bu verileri işlemeden önce aydınlatma yükümlülüğünü de yerine getirmediği ortadadır. Dolayısıyla, banka, KVKK yı ihlal etmiştir. Banka, akabinde, söz konusu veri unsurlarının ihtiyari bilgi olduğunu göstermek için mevduat hesabı açılış formunda düzeltme yapmalıdır ve bu hizmeti doğrudan sağlamakla görevli çalışanlarını bu konuda uyarmalı, gereken eğitimi vermelidir. PwC I GSG Hukuk 42

43 32 Banka, Pazarlama Faaliyetleri Vaka çalışması-2 Şikayet bir tanıtım etkinliği sırasında, kredi kartı başvuru formunu dolduran müşterisinin kişisel verilerini, pazarlama faaliyetlerinde kullanmak isteyen sigorta şirketi iştiraki ile paylaşır. Durumdan haberdar ve rahatsız olan müşteri bankayı şikayet eder. Banka, başvuru formunun ekinde müşteri verilerinin sigorta şirketi ile paylaşacağına ilişkin bir beyanın yer aldığını ve bu yolla müşterilerini bilgilendirdiğini ileri sürer. Söz konusu beyannamede, bankanın özellikle belirttiği konularda müşterilere ait kişisel verilerin ilgisini çekebileceğini düşündüğü şirketlerle paylaşılabileceği yer almaktadır. Değerlendirme Bankanın düzenlediği etkinliğin gerçekleşme saatleri, müşterinin yaşı, görme engelinin olup olmadığı ve formu doldurmadaki asıl maksadı göz önünde bulundurulmalıdır. Hal ve şartlara bağlı olarak olayda geçen form ve eki gizlilik beyannamesinin okunması, anlaşılması ve incelenmesinin müşteri için kolay olması sağlanmalıdır. Beyannamede yer alan ifadeler genel ve kapalı olmamalıdır. Hangi verilerin hangi şirketler ile paylaşılacağı belirtilmelidir. Aksi halde bankanın uygulaması, «işleme faaliyeti belirli, açık ve meşru amaçlara dayanmalı» ilkesine aykırılık teşkil edecektir. Avrupa Birliği KVK karar ve uygulamaları da bu yöndedir. PwC I GSG Hukuk 43

44 32 Bir Banka dokümanlarının yanlış ve eksik adrese gönderilmesi Vaka çalışması-3 Şikayet kredi kartı müşterisi bankaya tebligat adresini bildirir. Müşterinin adresini girmekle yetkilendirilmiş banka çalışanı adresin girişini yapmak için açmış olduğu ekranda semtin adını yanlış işaretler. Müşteri, bankadan gönderilen kredi kartının yer aldığı zarfı (yanlış adresli olsa da) aldığında, hatayı fark eder. Bu durumda müşterinin değişiklik formunu kullanarak bankaya düzeltme isteğinde bulunması gerekir. Adres değişikliği dilekçesine rağmen bankanın müşterinin adresini düzeltmemesi üzerine müşteri bankadan şikayetçi olur. Değerlendirme Müşteri, adres verilerinin tüm uygulanabilir adımlarla doğruluğunu sağlamada hataya düşen bankanın, verilerin güvenliği ve korunması hükmünü ihlal ettiğini iddia edebilir. Böyle bir riski bertaraf etmek adına banka bilgisayar sisteminin ve otomatikleştirilmiş/manuel denetim yöntemlerinin geliştirilmesi gereklidir. PwC I GSG Hukuk 44

45 32 Bankanın Borçlu temerrüdünün üçüncü kişiler ile paylaşılması Şikayet yetkilendirdiği çalışanı, müşterisinin çalıştığı kurumu arar ve telefona cevap veren kişiye müşterisinin ismini vererek kredi borcunun ödemelerinin üçüncü kez aksatıldığını, borç miktarını ve aramasına geri dönülmesini not olarak iletir. Sonuç Vaka çalışması-4 Banka müşterisinin bankaya olan borcu ve tazminin gerekliliği, müşterinin kişisel verisidir ve istisnai durumlar dışında 3. kişiler ile paylaşması yasaktır. Dolayısıyla, banka çalışanın somut olayda, telefonu açan kişiye müşterisinin adını vererek kendisini kısaca kişisel bir mesele nedeniyle aradığını ve müşterinin geri dönüş yapabilmesi için irtibat bilgilerini belirtmesi yeterli olacaktır. PwC I GSG Hukuk 45

46 32 Bir Başvuru evraklarının kaybolması Şikayet sigorta şirketi çalışanı, hayat sigortası başvurularını teşvik etmek amacıyla bir Cumartesi pazarlama kampanyası düzenlemiştir. Kampanyanın sonunda sigorta şirketi çalışanı tüm başvuru formlarını başvuran kişilerin kimlik fotokopileriyle birlikte bir zarfa koymuş ve bir sonraki gün işe gitmeden önce tüm evrakları eve götürmek istemiştir. Ancak, zarfı takside unutarak tüm evrakları kaybetmiştir. Vaka çalışması-5 Değerlendirme Sigorta şirketinin, saha pazarlama kampanyalarıyla toplanan kişisel verilerin korunmasıyla ilgili çalışanlarını yeterli bir şekilde bilgilendirmesi gerekmektedir. Örneğin; ilgili çalışan, kampanya sırasında toplamış olduğu evrakları evine götürmek yerine ofisindeki çekmeceye kilitlemesi konusunda yönlendirilebilir. Çalışanın, topladığı verilerin hassaslığı ve kaybolması durumunda ilgili kişiye verebileceği zarar göz önüne aldığında, sigorta şirketinin KVK Hukukuna aykırı davrandığı sonucuna varılabilecektir. PwC I GSG Hukuk 46

47 32 Bir İnternet bankacılığı vasıtasıyla başka müşterilerinin hesap bilgilerine izinsiz giriş Vaka çalışması-6 Şikayet müşteri bankanın yeni geliştirilen internet bankacılığı sistemine giriş yapmış ve diğer müşterilerin hesap numaraları ve bakiyeleri dahil olmak üzere hesap bilgilerine ulaşabildiğini fark etmiştir. Değerlendirme Bu durum bankanın bilgi teknolojileri çalışanları tarafından geliştirme işleminde yapılan denemeler esnasında veri dönüştürme hatasından kaynaklanmış olabilir. Banka, e-bankacılık servisinde müşterilerin kişisel verilerinin korunmasında yeterli önlemi almamış, diğer bir ifade ile veri güvenliğini sağlayamamış sayılabilecektir. PwC I GSG Hukuk 47

48 32 Kişi, Talep edilen verinin zamanında sağlanamaması Vaka çalışması-7 Şikayet müşterisi olduğu bankadan hesap bildirim cetveli, onaylanmış hesap işlemleri ve sözleşme notları dahil olmak üzere son sekiz yıla ilişkin olarak banka hesabıyla ilgili her türlü kaydın erişimini talep eder. Banka, müşterinin talep etmekte olduğu veri kapsamının netleştirilmesini ister. Bunun üzerine müşteri talebinin sözleşmeye dayalı tüm anlaşmalar ve kendisi tarafından imzalanan tüm belgeleri, toplantı ve konuşmaların notları dahil olmak üzere banka ve müşteri arasında geçen el yazısı halinde olan tüm iletişimleri, tüm risk profillerini, yatırım araçlarının tüm kayıtlarını ve banka tarafından hazırlanmış hesabıyla alakalı tüm anlaşma muhtıralarını ve dosya notlarını kapsadığını belirtir. Banka bir kez daha müşterinin açıkladığı veri kapsamını geniş bularak tekrar talep edilen verilerin detaylarını talep eder. Değerlendirme Müşteri, bankanın kendine teslim ettiği belgelerin eksik olduğunu ve talebine tam ve zamanında dönüş yapılmadığını iddia edebilir. KVK Kurulu/yetkili mahkeme bankadan ikinci bir grup evrak daha göndermesini talep edebilir. İlgili kişinin veri sorumlusundan talep edeceği verilerin makul olup olmadığı her bir somut olay kapsamında değerlendirilmelidir. Ancak özenli bir değerlendirmeden sonra veri sorumlusu hangi bilgileri ilgili kişiye verebileceğine karar verebilir ve ilgili kişinin KVKK dan doğan hakkını kullanmasını engellememiş olur. PwC I GSG Hukuk 48

49 6 Ekler

50 Ekler EK-1 EK-2 AB üye ülkelerinin KVK uygulamalarında dikkate aldıkları diğer yasal düzenlemelere örnekler Önemli AB KVK Karar özetleri PwC I GSG Hukuk 50

51 Ekler EK-1 Avrupa Birliği üyesi ülkelerde KVK uygulamalarında dikkate alınan diğer yasal düzenlemeler Finans kurumlarının işlemlerinde ihtiyaç duyulan belge, ilan ve bilgiler ile ilgili yasal yükümlülüklere bağlı olarak kişisel verilerin işlenebilmesi için özel KVK Kanunları dışında kalan düzenlemeler aşağıda listelenmiştir: Müşterinin mali durumu hakkında Menkul Ticaret Yasası Gelir Vergisi Kanunu: vergi yasalarının uygulanması amacıyla vergi otoritelerinden gelen soruları yanıtlamak amacıyla. Kara Para Aklama Yasası uyarınca, finansal kurumların, kimlik tespit yükümlülükleri kapsamında, belirli bir meblağ üzerindeki nakit tutarlara ilişkin mevduat verilerini depolaması gerekmektedir. Bu yasaya göre, bu veriler kara para aklamayla mücadele etmek ve ayrıca vergi işlemleri için kullanılabilir. Ticaret Kanunu: Genel muhasebe veya kayıt yükümlülükleri, ticari ve mali düzenlemelere göre veri işleme faaliyetlerini meşrulaştırabilmektedir. Medeni Kanun Borçlar Kanunu Kredi bilgi sistemler (SCHUFA vb.), sistemde yer alan endekslerden kişisel veri transferi yaparak özel endeks oluşturma ve yönetme de yetkilidir. Bu tür verilerin yetkili depolama süresi sınırlıdır. Bankacılık Kanunu ve Sigorta Denetleme Kanunu: Kredi, sigorta, pazar riskleri, veri yönetimi ve yasalarla uyumluluk ile ilgili olanlar da dahil tüm risk yönetimini idare etmek; çalışanlar, müşteriler ve/veya tedarikçiler tarafından sahtecilik, etik olmayan davranışlara dayalı riskleri idare etmek amacıyla. Veraset ve İntikal Vergisi Kanunu: Vefat eden bir banka müşterisi durumunda bankanın bildirim yükümlülükleri. Sosyal Güvenlik Kanunu: İş ve işçi bulma kurumunun işsizlik parası ödemeyi kabul etmeden önce, mali durumu ortaya koymaya yönelik araştırma kapsamında bilgi alma hakkı vardır. Sigortacılık Kanunu, Hayat Grubu Sigortaları ile Bireysel Kredilere ilişkin mevzuat Ceza Muhakemeleri Kanunu: Polis, savcı, mahkeme gibi ceza muhakemeleri kanunu uygulayıcılarından gelen sorulara yanıt vermek PwC I GSG Hukuk 51

52 Ekler EK-2 Önemli AB KVK Karar özetleri Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu 20 Kasım 2003 CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991 de olmuş bir olay için Ağustos 2002 de bir müşteriye kötü kreditör olarak kara listeye sokmuştur. Veri işlemenin CNIL e zamanında bildirilmemesi 6 Nisan 2004 Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL e, çalışanın işten çıkarılmasından sonra bildirilmiş ve işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi işten çıkarmanın yasaya aykırı olduğuna karar vermiştir. İzinsiz gönderilen ticari ileti 5 Mayıs 2004 Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın verilmesine destek olmuşlardır. PwC I GSG Hukuk 52

53 Ekler EK-2 Önemli AB KVK Karar özetleri İspanya Veri Koruma Otoritesi (DPA) Gizlilik İhlallerine Karşı Sıkı Önlemler Alıyor 20 Aralık Ocak 2003 ile 1 Aralık 2003 arasında İspanya DPA tarafından toplam 541 soruşturma yürütülmüş olup, söz konusu soruşturmalar sonucunda bunların 198 ine yaptırım uygulanmış. DPA, en büyük İspanyol bankalarından biri olan Santander Central Hispano bankasının belirli müşteri isimlerini hukuka aykırı şekilde bankanın kara listesine yazması sebebiyle bir soruşturma altında olduğunu ve bankanın ya kadar bir cezayla karşı karşıya olduğunu bildirdi. Verilerin Korunması Komisyonu Doğrudan Pazarlama Davası Hakkında Karar Verdi 28 Kasım 2004 Avusturya Verilerin Korunması Komisyonu, 4 milyon dan fazla Avusturya ferdinin, isimlerini, adreslerini ve ek olarak medeni hallerini, yaşlarını, satın alım güçlerini veya ailevi durumlarını gösteren bir CD-ROM un hazırlanmasını uygunsuz buldu. CD dm-plus isimli bir şirket tarafından bir doğrudan pazarlama şirketi (Herold Marketing CD Private) için hazırlanmıştı. Mahremiyetin korunması ile ilgilenen ve kar amacı gütmeyen bir kuruluş olan Avusturya Verilerin Korunması Kuruluşu (Arge Daten) bazı üyeleri adına, Avusturya Verilerin Korunması Yasası 2000 in 26.maddesine ithafen araştırmalar gerçekleştirmiştir. Bu madde verileri ellerinde tutan kişilerin, verilerin konusu olan kişilerin toplanan ve işlenen veriler hakkında bilgilendirilmesini öngörmektedir. Dm-plus ve Herold ilgili verilerin kaynakları hakkında yeterli cevap veremediğinden, dm-plus ve Herold hakkında Avusturya Verilerin Korunması Kanunu na ithafen hukuki işlemler başlatılmıştır. PwC I GSG Hukuk 53

54 Ekler EK-2 Önemli AB KVK Karar özetleri ABD nin veri koruma düzeyinin yeterli düzeyde olmaması 20 Nisan 2004 Hollanda veri koruma otoritesi (CBP), Hollanda nın Eğlence Sektöründeki Hakların Korunması Birliği nin (BREIN) veri işleme uygulamalarını soruşturduğunu duyurdu. CBP, isim, adres, banka hesap numarası IP adresi gibi bilgilerin korsana karşı çıkmak amacıyla toplanmasının hukuka uygun olduğunu ancak bu verilerin BREIN ın ABD deki farklı bölümlerine aktarmasının, ABD deki o dönemdeki veri koruma seviyesinin yeterli görülmemiş olması sebebiyle, Hollanda Veri koruma yasasına aykırı olduğunu belirtmiştir. İnternetten Veri Toplamaya Sınır 18 Mayıs 2005 Paris İstinaf Mahkemesi, internet gibi yollarla alenileştirilen kişisel verilerin internette bulunma amaçları dışında ve ilgili kişinin rızası olmadan toplanmasının veri koruma mevzuatına aykırı olduğuna karar vermiştir. Birleşik Krallık Veri Koruma Otoritesi Bankaların Veri Güvenlik Uygulamalarını Soruşturuyor 13 Mart 2007 Birleşik Krallık Veri Otoritesi müşteri bilgilerinin açığa çıkartılması hakkındaki şikayetler üzerine yaptığı soruşturma sonucunda 11 banka ve finansal kuruluşun Veri Koruma Yasası nı ihlal ettiğine karar verdi. Veri Otoritesi, 11 bankadan KVK yasası kapsamındaki ilkelere uygun davranmaları konusunda taahhütname imzalamalarını talep etti. Otorite, yasanın güvenlik gereksinimlerine aykırı davranan bu kurumların, güvenlik prosedürleri hakkında detaylı bir soruşturma başlatacağını belirtti. PwC I GSG Hukuk 54