AB Üye Ülke Uygulamaları Işığında Finans Sektöründe Kişisel Verilerin Korunması Uygulamaları GSG Hukuk
2 Temel KVK ilke ve kavramları Temel KVK kavramları Temel KVK ilkeleri
Temel KVK kavramları Kişisel Veri KVKK da Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Dolayısıyla anonimleştirilmiş veriler ile merhum kişilerin verileri, kişisel veri olarak kabul edilemeyecektir. Kişisel verilerin unsurları aşağıdaki gibidir: i. Kimliği belirli veya belirlenebilir ii. Gerçek kişi iii. İlişkin olma i. Kimliği belirli veya belirlenebilir Her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da bu kişiye ait başka bilgiler de bu kişiyi, içinde bulunduğu bir topluluğun diğer üyelerinden ayırt edilmesini sağlayabilir. Kimliği belirlenebilir olma durumu değerlendirilirken, veri sorumlusu veya üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede başvurabileceği tüm yollar (başka veri kaynaklarından edinilebilecek verileri kullanma vb.) göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilmelidir. ii. Gerçek kişi Tüzel kişilere ilişkin verilerin korunması KVKK kapsamı dışında kalmakla birlikte, tüzel kişilerin verilerini koruyan diğer mevzuat hükümleri saklıdır. iii. İlişkin olma Gerçek kişi ile veri arasındaki bağlantı genellikle kolaylıkla kurulabilmektedir. Ancak bazı hallerde verinin nesne ile ilgili olması halinde kişi ile dolaylı bir bağlantısı olduğundan söz edilecektir. PwC I GSG Hukuk 3
32 Photo 3 Kişisel verilerin açık rıza olmadan da işlenmesini öngören istisnalar aşağıdaki gibidir (KVKK m.5) Rıza aranmayan durumlar Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması Finansal kuruluşunun müşterisi tarafından açılan bir davada ispat yükünün gereği olarak bazı verilerin kullanılması; kısıtlı bir kişinin haklarının korunması amacıyla vasi veya kayyumun, kısıtlı kişinin mali bilgilerini tutması. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatlar için veri işlenmesinin zorunlu olması Finansal kuruluş sahibinin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerini işlemesi. İlgili kişinin kendisi tarafından alenileştirilmiş olması Müşterileri tarafından aleni hale getirilen ve böylelikle herkes tarafından bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. PwC I GSG Hukuk 4
3 Finans Kuruluşlarının Veri Sorumlusu olarak Yükümlülükleri
Genel yükümlülükler Bir finans kuruluşunun veri işleme faaliyetleri ile ilgili olarak aşağıdaki başlıklara riayet ettiğinden emin olması gerekir: Temel KVK ilkelerine uygun hareket etmeli, İlgili kişiyi (müşteri, çalışanlar vb.) bilgilendirmeli, Kişisel verileri işlemeden önce ilgili kişiden Kanuna uygun açık rıza alınmalı, İlgili kişinin KVKK dan doğan haklarını kullanması için gereken prosedürleri oluşturmalı, Kişisel verilerin güvenliğini sağlamalı, Veri sorumluları siciline kaydolmalı, Elde edilen kişisel bilgileri sınıflandırmalı, Her bir bölüm ve yetki düzeyindeki çalışanların kişisel veri işlemelerine ilişkin görev ve sorumlulukları ile hangi kişisel veriye ne kadar erişim sağlayacaklarını belirlemeli, Çalışanları KVK konusunda bilinçlendirmeli, Kişisel veri toplama, saklama, kullanma gibi işleme faaliyetleri sırasında verilerin 3. kişiler ile paylaşılmamasını ve yurtdışına aktarılmamasını temin etmek için yeterli güvenlik önlemlerini almalı, kontrol mekanizmaları oluşturmalı, Çalışanlar ve dış hizmet sağlayıcıları ile yapılan gizlilik sözleşmelerine KVK ilkelerine uyum çerçevesinde hükümler eklemeli, Müşterilerin verilerinin paylaşacağı dış hizmet sağlayıcısını seçerken veri güvenliğini göz önünde bulundurmalı, 3. kişilerden kişisel veri temin edilecek olması durumunda, 3. kişinin ilgili kişilerden, verilerinin paylaşılması konusunda rızalarının hukuka uygun olarak alındığından ve temin edilen verilerin hukuka uygun işlediğinden emin olmalı. Süreç, teknoloji ve veri bazlı kişisel veri envanterini çıkarmalı, Hukuka uygun elde etmiş olduğu kişisel verileri ilgili kişilerin rızasını almadan 3.kişilere aktarmamalı. PwC I GSG Hukuk 6
4 Düzenleyici Otorite ve Kanun un Geçiş Süreci
Düzenleyici Otorite ve Geçiş Süreci Kişisel Verileri Koruma Kurumu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulacaktır Kurulun görev ve yetkileri; Kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, Şikayetleri karara bağlamak, Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re sen incelemek ve gerektiğinde geçici önlemler almak, Kurul (9 üye) + = Başkanlık Kişisel Verileri Koruma Kurumu (195 kişilik kadro) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, Veri Sorumluları Sicili nin tutulmasını sağlamak, Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, KVKK da yer alan idari yaptırımlara karar vermek vb. PwC I GSG Hukuk 8
5 Vaka Çalışmaları
32 Banka, Tasarruf hesabı için başvuran müşterilerden ilave veri alınması Şikayet mevduat hesabı açmak için başvuran bir müşterisinden eğitim seviyesine ve medeni hâline ilişkin bilgilerini talep etmektedir. Banka bu verilerin işleme amacının, banka ürün ve hizmetlerinin müşterilere tanıtılması olduğunu ileri sürmüştür. Ancak, banka bu nevi verilerin işlenmesini mevduat hesabının açılması için şart koşmaktadır. Vaka çalışması-1 Değerlendirme Eğitim seviyesi ve medeni hâl e ilişkin veriler, müşteriye mevduat hesabı hizmetleri sunma amacı için gerekli değildir. Her ne kadar bu veriler banka için, doğrudan pazarlamanın kullanılmasının kolaylaştırılması niteliğinde, müşteri profili çıkarma ve bölümlendirmede yardımcı olacak ise de banka, müşterinin bu yönde izni olmadıkça bu gibi verileri talep etmemelidir. Banka, her ne kadar müşteriyi anılan verilerin işlenme amaçları hakkında bilgilendirmiş olsa da bu verileri işlemeden önce aydınlatma yükümlülüğünü de yerine getirmediği ortadadır. Dolayısıyla, banka, KVKK yı ihlal etmiştir. Banka, akabinde, söz konusu veri unsurlarının ihtiyari bilgi olduğunu göstermek için mevduat hesabı açılış formunda düzeltme yapmalıdır ve bu hizmeti doğrudan sağlamakla görevli çalışanlarını bu konuda uyarmalı, gereken eğitimi vermelidir. PwC I GSG Hukuk 10
Ekler EK-2 Önemli AB KVK Karar özetleri Fransız KVK Kurulu (CNIL) İki Bankaya Uyarıda Bulundu 20 Kasım 2003 CNIL, Bank of France tarafından yönetilen iki Fransız Kredi Kurumuna haksız bir şekilde müşterilerini ulusal kötü kreditörler sicilinde sıraladığından dolayı (fichier national de incidents de remboursement des credits aux particuliers) ihtarda bulundu. İlk olayda, Credit Mutuel du Grand Cronenbourg durumun çözülmesinden 18 ay geçmesine rağmen müşterisinin ismini silmemiştir. İkinci olayda Credit Immobilier de France 1991 de olmuş bir olay için Ağustos 2002 de bir müşteriye kötü kreditör olarak kara listeye sokmuştur. Veri işlemenin CNIL e zamanında bildirilmemesi 6 Nisan 2004 Davaya taraf olan kişi, işe giriş kartını düzenli kullanmaması sebebiyle işten çıkarılmıştır. Ancak işe giriş kartının kullanılmasıyla çalışanların verilerini işleyen sistemin CNIL e, çalışanın işten çıkarılmasından sonra bildirilmiş ve işten çıkarılan kişinin verilerinin bu süreçte hukuka aykırı işlenmiş olması gerektiğine, Fransız temyiz mahkemesi işten çıkarmanın yasaya aykırı olduğuna karar vermiştir. İzinsiz gönderilen ticari ileti 5 Mayıs 2004 Paris Ticaret Mahkemesi, Fransız bir işadamının, tahminen bir milyon izinsiz ticari ileti gönderdiği için, 22.000 ceza ödemesine karar vermiştir. Bu kararın alınmasında söz konusu hukuki yola internet servis sağlayıcıları AOL ve Microsoft ortaklaşa başvurmuş ve Fransız Erişim Sağlayıcıları Birliği (AFA) ile CNIL söz konusu kararın verilmesine destek olmuşlardır. PwC I GSG Hukuk 11
www.pwc.com.tr Defne Ergun Şirket Ortağı defne.ergun@tr.pwc.com +90 212 326 6635 Umurcan Gago Şirket Ortağı umurcan.gago@tr.pwc.com +90 212 326 6098 Burak Sadıç Direktör burak.sadic@tr.pwc.com +90 212 326 6042 Ali Ilıcak Direktör ali.ilicak@tr.pwc.com +90 212 355 6641 Yaşar Yüzer Kıdemli Müdür yasar.yuzer@tr.pwc.com +90 212 326 6042 Yasin Külahçı Kıdemli Müdür yasin.kulahci@tr.pwc.com +90 212 326 6042 Alper Onar Kıdemli Müdür alper.onar@tr.pwc.com +90 212 326 6074 Pınar Karamahmutoğlu Müdür pinar.onar@tr.pwc.com +90 212 326 6074 2016 PwC Turkey. All rights reserved. In this document, PwC refers to PwC Turkey, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. PwC Turkey refers to Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. and PwC Danışmanlık Hizmetleri Anonim Şirketi which are separate legal entities incorporated in Turkey within the PwC Turkey organisation.