Yeni - Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi

KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ARALIK 2024 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ARALIK 2024 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ KVKK Yayãnlarã No: 50 Kiăisel Verileri Koruma Kurumu Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Balgat / ANKARA / TÜRKâYE Telefon: +90 312 216 50 00 Web: www.kvkk.gov.tr Baskã: G.M. Matbaacãlãk ve Tic. A.Ă. 100. Yãl Mah. MAS-SâT 1.Cad. No: 88 BaÛcãlar - âstanbul Tel.: 0212 629 00 24 Sertiƻka No: 45463 Baskã Tarihi: Ocak 2025 Bu rehber, Kiăisel Verileri Koruma Kurumu ve Türkiye Bankalar BirliÛi tarafãndan iăbirliÛi içerisinde hazãrlanmãătãr. 2 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 3 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ âÇâNDEKâLER 6698 SAYILI KâĂâSEL VERâLERâN KORUNMASI KANUNU’NUN BANKACILIK SEKTÖRÜNDE UYGULANMASI 13 I. Giriă 13 II. Kurum Tanãtãmã 14 III. Amaç ve Kapsam 16 IV. Veri Sorumlusu-Veri âăleyen âliăkileri 17 1. Veri Sorumlusu- Veri âăleyen Arasãnda Yapãlacak Olan Veri âăleme Sözleămesi 21 2. Destek Hizmetleri 24 3. âătirakler ve BaÛlã Ortaklãklar 25 4. Açãk Bankacãlãk 25 5. Bankalarãn Acente Sãfatãyla Hareket EttiÛi Durumlar 26 V. âlgili Kiăi 28 VI. âălenen Kiăisel Veriler 29 VII. Kiăisel Veri âăleme Ăartlarã 30 1. Açãk Rãza 31

4. Açãk Bankacãlãk 25 5. Bankalarãn Acente Sãfatãyla Hareket EttiÛi Durumlar 26 V. âlgili Kiăi 28 VI. âălenen Kiăisel Veriler 29 VII. Kiăisel Veri âăleme Ăartlarã 30 1. Açãk Rãza 31 1.1. Açãk Rãzanãn Unsurlarã 33 1.1.1. Belirli Bir Konuya âliăkin Olma 33 1.1.2. Özgür âradeyle Açãklanmãă Olma 33 1.1.3. Bilgilendirmeye Dayanma 34 1.2. Kanala Özgü âyi Uygulama Örnekleri 34 1.2.1. Ăube 35 1.2.2. ATM 35 1.2.3. ânternet/Mobil Bankacãlãk 35 1.2.4. ÇaÛrã Merkezi 35 1.2.5. SMS 35 1.2.6. Elektronik Posta 36 2. Kanunlarda Öngörülmesi ve Hukuki YükümlülüÛün Yerine Getirilmesi 36 2.1. Bankalarãn Tabi OlduÛu Mevzuata âliăkin Yükümlülüklerinin DeÛerlendirilmesi 38 2.1.1. Mevzuat 38 2.1.2. Bankacãlãk Faaliyetleri Kapsamãnda Kanunlarda Öngörülen âălemeler 38 6 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 2.1.2.1. Bankacãlãk Kanunu Madde 73 ve Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik 39 2.1.2.2. Risk DeÛerlendirmesi 42 2.1.2.3. DiÛer Kanuni Yükümlülükler GereÛi Veri âăleme ve Paylaăãm 43 2.1.3. âyi Uygulamalar 45 3- Sözleămenin TaraƼarãna Ait Kiăisel Verilerin âălenmesi 45 4- Meăru Menfaat 46 4.1. Bilgi GüvenliÛinin SaÛlanmasã Amacãyla 49 4.1.1. Dolandãrãcãlãk Tedbirleri 50 4.2. Bankacãlãk Alanãnda Müăteri Gruplarãnãn (Segmentasyon) Belirlenmesi Amacãyla 50 4.3. Müăterilere Hitap Eden Ürün Hizmetlerin Tespiti Amacãyla 51 4.4. Strateji Çalãămalarãnãn Yürütülmesi 53 4.5. Müăteri Memnuniyetinin SaÛlanmasã 56

4.2. Bankacãlãk Alanãnda Müăteri Gruplarãnãn (Segmentasyon) Belirlenmesi Amacãyla 50 4.3. Müăterilere Hitap Eden Ürün Hizmetlerin Tespiti Amacãyla 51 4.4. Strateji Çalãămalarãnãn Yürütülmesi 53 4.5. Müăteri Memnuniyetinin SaÛlanmasã 56 5- Bir Hakkãn Tesisi ve Korunmasã âçin Zorunlu Olma 56 6- Bankalarca âălenen Özel Nitelikli Kiăisel Veriler 57 6.1. Özel Nitelikli Kiăisel Veriler – Genel Olarak 57 6.1.1. Mevzuat 57 6.1.2. Özel Nitelikli Kiăisel Verilerin âălenmesinde Alãnmasã Gereken Yeterli Önlemler 60 6.2. Bankacãlãk Sektöründe Özel Nitelikli Kiăisel Verilerin âălenmesi 63 6.2.1. Kimlik Belgesi Suretleri 63 6.2.2. SaÛlãk Raporlarã 65 6.2.3. Adli Sicil Kayãtlarã ve Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle âlgili Mahkeme Kararlarã 66 6.2.4. Çalãăanlarã SaÛlãk Verileri 68 6.2.5. Sigorta Acentesi Sãfatãyla Alãnan SaÛlãk 68 6.3. Kimlik DoÛrulamada Kullanãlan 69 VIII. Kiăisel Verilerin Aktarãlmasã 72 1. Kiăisel Verilerin Yurt âçinde Aktarãlmasã 72 1.1. KVKK Madde 8/3 Uyarãnca Yapãlabilecek Kiăisel Veri Aktarãmlarã 76 1.1.1 Bankalardan Bilgi Talep Etmeye Yetkili Mercilere Gerçekleătirilen Kiăisel Veri Aktarãmlarã 77 1.1.2. Ăüpheli âălem Bildirim ZorunluluÛu Çerçevesinde Gerçekleătirilen Kiăisel Veri Aktarãmlarã 80 7 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 1.1.3. Ana Ortak/BaÛlã Ortaklãklara Gerçekleătirilen Kiăisel Veri Aktarãmlarã 81 1.1.4. Muhtemel Alãcãlara Gerçekleătirilen Kiăisel Veri Aktarãmlarã 81 1.1.5. Bankalar ve Finansal Kuruluălara Gerçekleătirilen Kiăisel Veri Aktarãmlarã 82 1.1.6. Risk Merkezi, Bankalar Arasã Kart Merkezi ve Kredi Kayãt

Aktarãmlarã 81 1.1.4. Muhtemel Alãcãlara Gerçekleătirilen Kiăisel Veri Aktarãmlarã 81 1.1.5. Bankalar ve Finansal Kuruluălara Gerçekleătirilen Kiăisel Veri Aktarãmlarã 82 1.1.6. Risk Merkezi, Bankalar Arasã Kart Merkezi ve Kredi Kayãt Bürosu’na Gerçekleătirilen Kiăisel Veri Aktarãmlarã 82 1.1.7. âătiraklere Gerçekleătirilen Kiăisel Veri Aktarãmlarã 82 1.1.8. DeÛerleme, Derecelendirme ve Destek Hizmeti Kuruluălarãna Gerçekleătirilen Kiăisel Veri Aktarãmlarã 83 1.2. âă Ortaklarãna Gerçekleătirilen Kiăisel Veri Aktarãmlarã 83 2- Yurtdãăãna Veri Aktarãmã 84 2.1. Yurtdãăãna Veri Aktarãmã Yöntemleri 84 2.1.1. Yeterlilik Kararã 85 2.1.2. Uygun Güvenceler 85 2.1.3. Arãzi Haller 87 2.1.4. Kanunun 9 uncu Maddesinin Onuncu Fãkrasã Uyarãnca Yapãlacak Aktarãmlar 89 IX. Genel âlkeler 91 X. Veri Sorumlusunun Yükümlülükleri 94 A. Aydãnlatma YükümlülüÛü 94 1- Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde âçerik 94 1.1. Katmanlã Aydãnlatma 97 2- Aydãnlatma YükümlülüÛünün Yerine Getirilme Zamanã 99 3- Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Usul 99 3.1. Ăube 100 3.2. ânternet Sitesi 100 3.3. ânternet Ăube 101 3.4. Mobil Ăube ve Mobil Uygulama 101 3.5. ÇaÛrã Merkezi/IVR 101 3.6. Elektronik Posta 102 3.7. Fiziki Posta 102 3.8. SMS 102 3.9. ATM 102 4- Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Özel Durumlar 103 8 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 4.1. âmza Yetkilileri ve Gerçek Faydalanãcãlarãn Aydãnlatãlmasã 103 4.2. Risk Grubu’ndakilerin Aydãnlatãlmasã 103

8 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 4.1. âmza Yetkilileri ve Gerçek Faydalanãcãlarãn Aydãnlatãlmasã 103 4.2. Risk Grubu’ndakilerin Aydãnlatãlmasã 103 4.3. VarlãÛãn Sahibi Dãăãndaki Kiăilere âliăkin Kiăisel Verilerin ve Çek- Senetlerde Son Ciranta Dãăãndaki Kiăilerin Kiăisel Verilerinin âălenmesi 104 4.4. Maaă Ödeme Anlaămalarã 105 4.5. Kredi Kartlarã ve Banka Kartlarã âălemleri 106 B. Veri Sorumlularã Sicili, Sicile Kayãt ve Kiăisel Veri âăleme Envanteri Hazãrlama YükümlülüÛü 106 1- BankacãlãÛa Özgü Veri Kategorileri 108 2- Kiăi Gruplarã 109 3- Alãcã Gruplarã 109 4- Azami Süreler 109 C. Kiăisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi 111 1- Bankacãlãkta Bilgilerin Saklanmasã 111 2- âăleme Amacãnãn Ortadan Kalkmasã 112 3- âmha Yöntemleri 115 D. Veri GüvenliÛi 119 1- Bankalarãn Yasal Mevzuattan Kaynaklanan Yükümlülükleri 119 1.1. Bankacãlãk Kanunu 119 1.2. Bankalarãn âç Sistemleri ve âçsel Sermaye YeterliliÛi DeÛerlendirme Süreci Hakkãnda Yönetmelik 119 1.3. Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik 119 1.4. Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik 119 1.5. Bilgi GüvenliÛine âliăkin Teknik ve âdari Önlemler 119 2- Denetim 126 E. âlgili Kiăinin Haklarã ve Ăikâyetlerin Yönetilmesi 128 1- Veri Sorumlusu Temsilcisi 128 2- Baăvuru ve Ăikayetlerin Alãnmasã ve Yanãtlanmasã 129 2.1. Veri Sorumlusuna Baăvuru 129 2.1.1. Ăekil ve Usul 130 2.2. Kurula Ăikayet 132 2.2.1. Kimlik Tespiti/DoÛrulama 133 9 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 12

2.1.1. Ăekil ve Usul 130 2.2. Kurula Ăikayet 132 2.2.1. Kimlik Tespiti/DoÛrulama 133 9 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 12 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 6698 SAYILI KâĂâSEL VERâLERâN KORUNMASI KANUNU’NUN BANKACILIK SEKTÖRÜNDE UYGULANMASI I. Giriă Bankalar, bireylerin gündelik hayatãnda sãklãkla muhatap olduklarã kuruluălarãn baăãnda gelmekte olup bankacãlãk faaliyetleri kapsamãnda bankalar tarafãndan çeăitli kanallar üzerinden yoÛun bir biçimde kiăisel veri elde edilmekte ve bunu müteakiben söz konusu kiăisel veriler çeăitli amaçlarla iălenmektedir. Bu sebeple, hâlihazãrda bankacãlãk mevzuatãna uygun olarak faaliyetlerini yürüten bankalarãn 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu (6698 sayãlã Kanun/Kanun) ve ilgili ikincil mevzuat çerçevesinde uymasã gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklerin iyi uygulama örnekleri vasãtasãyla ortaya konulmasã hususunda bir ihtiyaç bulunmaktadãr.

Korunmasã Kanunu (6698 sayãlã Kanun/Kanun) ve ilgili ikincil mevzuat çerçevesinde uymasã gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklerin iyi uygulama örnekleri vasãtasãyla ortaya konulmasã hususunda bir ihtiyaç bulunmaktadãr. DiÛer taraftan, her geçen gün kiăisel verilerden yararlanmak suretiyle daha verimli iă modelleri oluăturulmakta ve bireylere sunulan ürün ve hizmetler iyileătirilmektedir. Benzer ăekilde, bankalar da daha etkin iă süreçleri oluăturmak ve müăteri memnuniyetini en üst düzeye çãkarmak adãna teknolojik geliămeler sonucu ortaya çãkan karmaăãk ve ileri düzey kiăisel veri iăleme tekniklerini kullanmaktadãr. Özellikle dijital bankacãlãk uygulamalarãnãn yaygãnlaămasãyla bankalar tarafãndan gerçekleătirilen iăleme faaliyetlerine konu kiăisel veri kategorileri çeăitlenmiă ve özel nitelikli kiăisel veriler baăta olmak üzere hukuka aykãrã olarak elde edilmesi halinde ilgili kiăiler nezdinde telaƻsi güç zararlarãn doÛmasãna neden olabilecek kiăisel veriler de bankacãlãk faaliyetleri kapsamãnda iălenmeye baălamãătãr. Bununla birlikte, bankalarãn kiăisel veri toplama vasãtalarã da eă zamanlã olarak çoÛalmãă olup kiăisel verilerin elde edilmesi kolaylaămãătãr. Bu çerçevede, bankalar tarafãndan yoÛun bir ăekilde kiăisel veri iăleme faaliyeti gerçekleătirildiÛi ve bu kapsamda anayasal güvence altãnda bulunan kiăisel verilerin korunmasãnã isteme hakkã baÛlamãnda ilgili kiăilerin maruz kaldãÛã risk derecesi göz önünde bulundurularak; Kiăisel Verileri Koruma Kurumu ve Türkiye Bankalar BirliÛi bünyesinde çalãăma gruplarã kurulmuătur. Söz konusu çalãăma gruplarã arasãnda periyodik toplantãlar 13 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

Koruma Kurumu ve Türkiye Bankalar BirliÛi bünyesinde çalãăma gruplarã kurulmuătur. Söz konusu çalãăma gruplarã arasãnda periyodik toplantãlar 13 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ gerçekleătirilmiă ve Bankacãlãk Sektöründe Kiăisel Verilerin Korunmasãna iliăkin iyi Uygulamalar Rehberi sektörle iăbirliÛi içinde hazãrlanmãătãr. II. Kurum Tanãtãmã Kanun’da belirtilen görevleri yerine getirmek üzere kurulan, idari ve mali özerkliÛe sahip ve kamu tüzel kiăiliÛini haiz Kiăisel Verileri Koruma Kurumu (Kurum); • Görev alanã itibarãyla, uygulamalarã ve mevzuattaki geliămeleri takip etmek, deÛerlendirmek ve önerilerde bulunmak, araătãrma ve incelemeler yapmak veya yaptãrmak, • âhtiyaç duyulmasã hâlinde, görev alanãna giren konularda kamu kurum ve kuruluălarã, sivil toplum kuruluălarã, meslek örgütleri veya üniversitelerle iă birliÛi yapmak, • Kiăisel verilerle ilgili uluslararasã geliămeleri izlemek ve deÛerlendirmek, görev alanãna giren konularda uluslararasã kuruluălarla iă birliÛi yapmak, toplantãlara katãlmak, yãllãk faaliyet raporunu CumhurbaăkanlãÛãna ve Türkiye Büyük Millet Meclisi insan Haklarãnã inceleme Komisyonuna sunmak, • Kanunlarla verilen diÛer görevleri yerine getirmek,

kuruluălarla iă birliÛi yapmak, toplantãlara katãlmak, yãllãk faaliyet raporunu CumhurbaăkanlãÛãna ve Türkiye Büyük Millet Meclisi insan Haklarãnã inceleme Komisyonuna sunmak, • Kanunlarla verilen diÛer görevleri yerine getirmek, hususlarãnda görevli ve yetkili kãlãnmãătãr. Kiăisel Verileri Koruma Kurulu (Kurul) ve Baăkanlãk ăeklinde teăkilatlanan Kurumun karar organã Kuruldur. Kurul, Kanunla ve diÛer mevzuatla verilen görev ve yetkilerini kendi sorumluluÛu altãnda, baÛãmsãz olarak yerine getirmekte ve kullanmakta olup görev alanãna giren konularla ilgili olarak hiçbir organ, makam, merci veya kiăi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. Dokuz üyeden oluăan Kurulun beă üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaăkanã tarafãndan seçilmekte ve 6698 sayãlã Kanun’un 22. maddesinde sãralanan görev ve yetkiler, Kurul tarafãndan yerine getirilmektedir. Bu görev ve yetkiler mezkûr düzenlemede; • Kiăisel verilerin, temel hak ve özgürlüklere uygun ăekilde iălenmesini saÛlamak, • Kiăisel verilerle ilgili haklarãnãn ihlal edildiÛini ileri sürenlerin ăikâyetlerini karara baÛlamak, 14 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK • Ăikâyet üzerine veya ihlal iddiasãnã öÛrenmesi durumunda resen görev alanãna giren konularda kiăisel verilerin kanunlara uygun olarak iălenip iălenmediÛini incelemek ve gerektiÛinde bu konuda geçici önlemler almak, • Özel nitelikli kiăisel verilerin iălenmesi için aranan yeterli önlemleri belirlemek, • Veri Sorumlularã Sicilinin tutulmasãnã saÛlamak, • Kurulun görev alanã ile Kurumun iăleyiăine iliăkin konularda gerekli düzenleyici iălemleri yapmak, • Veri güvenliÛine iliăkin yükümlülükleri belirlemek amacãyla düzenleyici iălem yapmak, • Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarãna

• Kurulun görev alanã ile Kurumun iăleyiăine iliăkin konularda gerekli düzenleyici iălemleri yapmak, • Veri güvenliÛine iliăkin yükümlülükleri belirlemek amacãyla düzenleyici iălem yapmak, • Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarãna iliăkin düzenleyici iălem yapmak, • Kanunda öngörülen idari yaptãrãmlara karar vermek, • DiÛer kurum ve kuruluălarca hazãrlanan ve kiăisel verilere iliăkin hüküm içeren mevzuat taslaklarã hakkãnda görüă bildirmek, • Kurumun; stratejik planãnã karara baÛlamak, amaç ve hedeƼerini, hizmet kalite standartlarãnã ve performans kriterlerini belirlemek, • Kurumun stratejik planã ile amaç ve hedeƼerine uygun olarak hazãrlanan bütçe tekliƻni görüămek ve karara baÛlamak, • Kurumun performansã, mali durumu, yãllãk faaliyetleri ve ihtiyaç duyulan konular hakkãnda hazãrlanan rapor taslaklarãnã onaylamak ve yayãmlamak, • Taăãnmaz alãmã, satãmã ve kiralanmasã konularãndaki önerileri görüăüp karara baÛlamak, • Kanunlarla verilen diÛer görevleri yerine getirmek, ăeklinde ifade edilmiătir. Yine 26/4/2018 tarihinde yayãmlanan Kiăisel Verileri Koruma Kurumu Teăkilat YönetmeliÛi’nin Kurulun görev ve yetkileri’nin düzenlendiÛi 7 nci maddesinde kiăisel verilerin korunmasã, iălenmesi ve güvenliÛi ile ilgili sektörel uygulama esaslarãnã belirlemek, kiăisel verilerin korunmasã konusunda kurum ve kuruluălarã bilgilendirmek ve kamuoyuna yönelik farkãndalãk faaliyetleri gerçekleătirmek, üniversiteler ve ilgili diÛer yurtiçi ve yurtdãăã kurum ve kuruluălarla iăbirliÛi ve koordinasyon çalãămalarã yürütmek görevlerine yer verilmiătir. 15 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ III. Amaç ve Kapsam

ve yurtdãăã kurum ve kuruluălarla iăbirliÛi ve koordinasyon çalãămalarã yürütmek görevlerine yer verilmiătir. 15 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ III. Amaç ve Kapsam Bu Rehberin amacã bankalar tarafãndan yürütülen kiăisel veri iăleme faaliyetlerinin 6698 sayãlã Kanuna ve bu Kanuna dayanãlarak Kurul tarafãndan çãkartãlan ikincil mevzuata uygun olarak gerçekleătirilmesi konusunda veri sorumlusu bankalarã yönlendirmek ve bu çerçevede iyi uygulama örnekleri oluăturmaktãr. Bu Rehber, bankalarãn kiăisel verilerin korunmasã alanãnda uymasã gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklere iliăkin genel açãklamalarã içermekte olup bankalarãn 6698 sayãlã Kanuna ve ilgili ikincil mevzuata uyum yükümlülüÛü devam etmektedir. Bununla birlikte Kurul, kendisine intikal ettirilen ăikâyet üzerine veya ihlal iddiasãnã öÛrenmesi durumunda resen yapacaÛã incelemede somut olayãn özelliklerini göz önünde bulundurarak deÛerlendirmesini yapacaktãr. 16 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK IV. Veri Sorumlusu-Veri âăleyen âliăkileri Veri sorumlusu; Kanunun 3. maddesinin birinci fãkrasãnãn (ã) bendinde kiăisel verilerin iăleme amaçlarãnã ve vasãtalarãnã belirleyen veri kayãt sisteminin kurulmasãndan ve yönetilmesinden sorumlu olan gerçek veya tüzel kiăi olarak tanãmlanmãătãr. Veri sorumlusu veri iăleme faaliyetinin temel araçlarãnã, veri iălemenin neden ve nasãl olacaÛãnã belirler, veri iăleme süreçlerinin her anãnda serbestçe karar verme yetkisine sahiptir.

tüzel kiăi olarak tanãmlanmãătãr. Veri sorumlusu veri iăleme faaliyetinin temel araçlarãnã, veri iălemenin neden ve nasãl olacaÛãnã belirler, veri iăleme süreçlerinin her anãnda serbestçe karar verme yetkisine sahiptir. Gerçek kiăilerin[1] yanã sãra kamu kurumu, ăirket, dernek veya vakãf gibi tüzel kiăilerin veri sorumlusu olmasã mümkündür. Tüzel kiăiliÛe sahip olmayan adi ortaklãk veya apartman yönetimi gibi oluăumlarda veri sorumlusunun, bu oluăumu oluăturan gerçek ya da tüzel kiăiler olduÛu kabul edilmektedir. Veri iăleyen; Kanunun 3. maddesinin birinci fãkrasãnãn (Û) bendinde veri sorumlusunun verdiÛi yetkiye dayanarak onun adãna kiăisel verileri iăleyen gerçek veya tüzel kiăidir. Veri iăleyen kiăisel veri iăleme faaliyetini, veri sorumlusunun belirlemiă olduÛu temel amaç ve vasãtalar ile ve/veya talimatlara uyarak gerçekleătirir. Buna göre veri sorumlusu, kiăisel verilerin iălenmesine iliăkin her türlü kararã verme yetki ve sorumluluÛuna sahipken veri iăleyen ise onun verdiÛi talimatlar doÛrultusunda hareket eden, ondan baÛãmsãz bir gerçek veya tüzel kiăidir. Veri iăleyen olma bakãmãndan en önemli kriterlerden biri, bir veri sorumlusu adãna hareket etmektir. Veri iăleyen, verinin iălenmesinde doÛrudan menfaat sahibi olmamalã, yalnãzca veri sorumlusunun adãna hareket ediyor olmalãdãr. Tabii bu noktada, dolaylã ekonomik menfaatinin bulunmasã, yani vermiă olduÛu hizmet karăãlãÛãnda veri sorumlusundan ücret/

menfaat sahibi olmamalã, yalnãzca veri sorumlusunun adãna hareket ediyor olmalãdãr. Tabii bu noktada, dolaylã ekonomik menfaatinin bulunmasã, yani vermiă olduÛu hizmet karăãlãÛãnda veri sorumlusundan ücret/ [1]“Kiăisel verilerin veri sorumlusu bir avukat tarafãndan kãsa mesaj yoluyla üçüncü kiăilere ifăa edilmesi hakkãnda Kiăisel Verileri Koruma Kurulu’nun 14/01/2020 tarihli ve 2020/26 sayãlã Karar Özeti. www.kvkk.gov.tr. Bir doktor tarafãndan ilgili kiăinin cep telefonu numarasãnãn herhangi bir veri iăleme ăartãna dayanmaksãzãn iălenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi hakkãnda Kiăisel Verileri Koruma Kurulu’nun 07/11/2019 tarihli ve 2019/332 sayãlã Karar Özeti. www. kvkk.gov.tr . 17 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ komisyon vb. almãă olmasã, bir kãstas olarak kabul edilmemelidir. Veri sorumlusu/veri iăleyen sãfatãnãn tespiti için aăaÛãdaki hususlara kimin karar verdiÛi dikkate alãnmalãdãr[2]: • Kiăisel verilerin toplanmasã ve toplama yöntemi, • Toplanacak kiăisel veri türleri, • Hangi bireylerin kiăisel verilerinin toplanacaÛã, • Kiăisel verinin iălenmesine ve kimin iăleyeceÛine karar verme, • âăleme faaliyetinin temel unsurlarãna karar verme (hangi kiăisel

• Kiăisel verilerin toplanmasã ve toplama yöntemi, • Toplanacak kiăisel veri türleri, • Hangi bireylerin kiăisel verilerinin toplanacaÛã, • Kiăisel verinin iălenmesine ve kimin iăleyeceÛine karar verme, • âăleme faaliyetinin temel unsurlarãna karar verme (hangi kiăisel verilerin toplanacaÛã, toplanan verilerin hangi amaçlarla kullanãlacaÛã ve ne ăekilde iăleneceÛi, verilerin ne kadar süreyle saklanacaÛã, veri saklama politikasãnãn ne ăekilde olacaÛã, verilere kimlerin eriăme yetkisi olacaÛã, alãcãlarãn kim olacaÛã gibi hususlar iălemenin temel unsurlarãna örnek olarak gösterilebilir) • Toplanan verilerin paylaăãlãp paylaăãlmayacaÛã, paylaăãlacaksa kiminle paylaăãlacaÛã, • Kiăisel verilerin iălenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme, • âlgili kiăilerle doÛrudan muhatap olma, • Kendi adãna veri iăleme faaliyetini yürütecek bir veri iăleyen atama, • âăleme faaliyetinden menfaat saÛlama. Veri iăleme faaliyeti gerçekleătirilen her bir süreç özelinde yukarãda verilen hususlardan çoÛunu gerçekleătiren taraf veri sorumlusu olarak nitelendirilecektir. Veri iăleyenin tespiti için aăaÛãdaki hususlar deÛerlendirilmelidir: • Kiăisel veri iălemek için baăkasãndan talimat alãnmasã, • Kiăisel verilerin kiăilerden toplanmasã sürecinde karar verme yetkisine sahip olmamak, • Kiăisel verilerin kullanãm amaçlarãnãn belirlenmemesi, • Verilerin ne ăekilde ifăa olabileceÛine, kimlerin bu verilere [2] “Veri sorumlusu ve veri iăleyenin tespitinde göz önünde bulundurulmasã gereken hususlar ile aydãnlatma yükümlülüÛünün kim tarafãndan yerine getirileceÛine” iliăkin Kiăisel Verileri Koruma Kurulu’nun 30/01/2020 tarihli ve 2020/71 sayãlã Karar Özeti. www.kvkk.gov.tr. 18 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

Koruma Kurulu’nun 30/01/2020 tarihli ve 2020/71 sayãlã Karar Özeti. www.kvkk.gov.tr. 18 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK eriăebileceÛine karar verme yetkisine sahip olmamak, • Veri saklama sürecine karar verme yetkisine sahip olmamak, • Veri iălemenin sonuçlarãndan sorumlu olmamasã, • Veri sorumlusu ile yapãlacak sözleăme gibi yasal baÛlayãcãlãÛã olan anlaămalar çerçevesinde veri sorumlusunun verdiÛi yetkiler çerçevesinde kiăisel verilerin iălenmesine yönelik birtakãm karar verme mekanizmalarãnãn söz konusu olmasã. Bankalar gerçekleătirdikleri kiăisel veri iăleme faaliyetleri kapsamãnda veri sorumlusu veya veri iăleyen sãfatãnã haiz olabilir. Bankalar, 5411 sayãlã Bankacãlãk Kanunu’nun 4. maddesi uyarãnca gerçekleătirdiÛi bankacãlãk faaliyetleri açãsãndan veri sorumlusudur. Bununla birlikte, acente ve aracã kuruluă olduÛu sigorta, bireysel emeklilik, yatãrãm ürünleri, uluslararasã hãzlã para transferi ile fatura/vergi/harç ödeme faaliyetlerinde bulunduÛu durumlarda bankanãn veri sorumlusu ya da veri iăleyen olduÛuna karar verilirken somut olayãn koăullarã deÛerlendirilerek yorum yapãlmasã gerekir.

hãzlã para transferi ile fatura/vergi/harç ödeme faaliyetlerinde bulunduÛu durumlarda bankanãn veri sorumlusu ya da veri iăleyen olduÛuna karar verilirken somut olayãn koăullarã deÛerlendirilerek yorum yapãlmasã gerekir. Bankalarãn “veri sorumlusu” sãfatãnã haiz olduÛu veri iăleme faaliyetlerine Veri Sorumlularã Sicili’nde yer verilir. Bankalarãn “veri sorumlusu” olmamalarã nedeniyle Veri Sorumlularã Sicili’nde yer verilmeyen ancak “veri iăleyen” sãfatãnã haiz olduÛu veri iăleme faaliyetlerine ise Veri Sorumlularã Sicili’nde yer verilmesine gerek bulunmamaktadãr. Bankalarãn “veri iăleyen” sãfatãnã haiz olduÛu veri iăleme faaliyetlerinde uygun güvenlik düzeyini temin etme sorumluluÛuna ek olarak üstlendiÛi sorumluluklar ise veri sorumlusu ile veri iăleyen arasãnda akdedilen sözleămeler ile belirlenmektedir. Dolayãsã ile bankalarãn her somut olay bazãnda taraƼar arasãndaki iliăki ve veri akãăãnã deÛerlendirmek suretiyle veri iăleyen olup olmadãÛãna karar verilmelidir. Kurulun 13/04/2021 tarih ve 2021/359 sayãlã Kararã ve diÛer emsal kararlarãnda da görüleceÛi üzere, veri sorumlusu ile veri iăleyen ayrãmãnda yukarãda yer verilen hususlar göz önüne alãnarak belirleme yapãlmaktadãr[3]. [3] “Yönetim Hizmeti Sunan Ăirketin Site Temsilciler Kurulu ile akdettiÛi sözleăme kapsamãnda ilgili kiăinin ikamet ettiÛi sitede yönetim hizmetleri verdiÛi, bu anlamda söz konusu hizmetlerin ifasã gereÛi Yönetim Hizmeti Sunan Ăirketin 3. kiăilerle sözleăme yapabileceÛi, bu sözleămeler 19 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

ifasã gereÛi Yönetim Hizmeti Sunan Ăirketin 3. kiăilerle sözleăme yapabileceÛi, bu sözleămeler 19 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ÖrneÛin; personelin maaăãnã ödemek için kimlik, iletiăim ve banka hesap bilgilerini iăleyen bir ăirket (ya da özel kiăi), hangi kiăinin hangi verilerini iăleyeceÛine karar vermekte; bu verileri nasãl iăleyeceÛini de (bir veri tabanãnda ya da bir alanda da tutmak gibi) kendisi belirlemektedir. Kiăisel verilerin neden (amaç) ve nasãl (yöntem) iălendiÛine karar veren ăirket (ya da gerçek kiăi) veri sorumlusudur[4]. Her ne kadar Kanunda ve ilgili mevzuatta tanãmlanmamãă olsa da Kurul kararlarãnda[5] tek bir veri kayãt sistemi çerçevesindeki veri iăleme faaliyetlerinde, bu faaliyetlerin amaç ve vasãtalarãnãn birden fazla kiăi tarafãndan müătereken belirlenmesi durumunda aynã veri iăleme faaliyeti bakãmãndan birden fazla veri sorumlusu olabileceÛi kabul edilmiătir. Ancak, her ortak veri iăleme faaliyeti doÛrudan müăterek bir sorumluluk anlamãna gelmez veya verileri birbirine aktaran kiăiler ortak veri sorumlusu sayãlmaz. Ortak veri sorumlusu olabilmek için veri iăleme faaliyetinin amacãnã ve vasãtalarã yani faaliyette kullanãlacak aracã ortak belirlemek gerekir. Zaten, ortak veri sorumluluÛunun belirlenmesinde esas alãnacak yegâne ölçüt de budur. Müăterek veri sorumlularã arasãnda yükümlülüklerin belirlenmesinde taraƼar arasãnda sözleăme yapãlmasã önemlidir. Bu kapsamda ortak veri sorumlularã arasãnda akdedilecek sözleămelerde, Kanunda veri sorumlusuna yüklenen yükümlülüklerin kim tarafãndan ne ăekilde yerine getirilmesi

taraƼar arasãnda sözleăme yapãlmasã önemlidir. Bu kapsamda ortak veri sorumlularã arasãnda akdedilecek sözleămelerde, Kanunda veri sorumlusuna yüklenen yükümlülüklerin kim tarafãndan ne ăekilde yerine getirilmesi kapsamãnda sorumluluÛun Yönetim Hizmeti Sunan Ăirkete ait olduÛu, Yönetim Hizmeti Sunan Ăirketin kiăisel verilerin aktarãldãÛã iddia edilen uygulama/ikinci uygulama ile hizmet sözleămesi akdettiÛi ve bu sözleămenin eki niteliÛinde olan KVKK Protokolünde hizmet sözleămesinde Yönetim Hizmeti Sunan Ăirketin veri sorumlusu sãfatãnã haiz olduÛuna yer verildiÛi dikkate alãndãÛãnda Yönetim Hizmeti Sunan Ăirketin kiăisel verilerin aktarãldãÛã iddia edilen ikinci uygulama ile yaptãÛã sözleăme kapsamãnda kiăisel verilerin iălenme amaç ve yöntemini belirleyen kiăi olarak veri sorumlusu sãfatãnã taăãdãÛã, Uygulama Hizmetini Sunan Ăirketin ise Yönetim Hizmeti Sunan Ăirketin verdiÛi yetki kapsamãnda onun adãna veri iăleme faaliyetini gerçekleătiren veri iăleyen sãfatãnã haiz olduÛu, www.kvkk.gov.tr [4] Örneklerle Kiăisel verilerin Korunmasã, Kiăisel Verileri Koruma Kurumu, KVKK Yayãnlarã No:29, s.59 www.kvkk.gov.tr [5] Kiăisel Verileri Koruma Kurulu’nun 30/01/2020 tarihli ve 2020/71 sayãlã Karar Özeti. www.kvkk. gov.tr 20 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK gerektiÛinin ăeffaf bir ăekilde düzenlenmesi halinde, bu düzenlemeler taraƼarãn sorumluluk sãnãrlarãnãn belirlenmesi açãsãndan dikkate alãnãr. Ancak ilgili kiăi, veri koruma hukukundan doÛan haklarãnã veri sorumlularãnãn her birine karăã ileri sürebilir.

taraƼarãn sorumluluk sãnãrlarãnãn belirlenmesi açãsãndan dikkate alãnãr. Ancak ilgili kiăi, veri koruma hukukundan doÛan haklarãnã veri sorumlularãnãn her birine karăã ileri sürebilir. 1. Veri Sorumlusu- Veri âăleyen Arasãnda Yapãlacak Olan Veri âăleme Sözleămesi Veri iăleme hükümlerine veri sorumlusu ile veri iăleyen arasãndaki hizmet sözleămesi içeriÛinde yer verilebileceÛi gibi hizmet sözleămesine ek mahiyette ayrã bir düzenleme yapãlmasã da mümkündür. Veri sorumlusu veri iăleyen arasãndaki sözleămelerde asgari olarak aăaÛãdaki hususlara yer verilmesi ve sözleămenin yazãlã olmasã önerilmektedir: • âăleme faaliyetinin konusu, • Kiăisel veri iăleme amacã, • Kiăisel verilerin iălenme süresi, • Kiăisel verilerin türü, • Veri iăleyenin sadece veri sorumlusunun talimatlarã doÛrultusunda, sözleămede belirtilen veri iăleme amaç ve kapsamãna uygun ve kiăisel verilerin korunmasã mevzuatã ile uyumlu ăekilde hareket edeceÛine iliăkin hüküm içermesi, (Kiăisel Veri Saklama ve âmha Politikasãna uygun olmasã) • TaraƼarãn süresiz sãr saklama yükümlülüÛüne tabi olacaÛã, • Veri iăleyenin ilgili kiăilere haklarãnãn kullandãrãlmasãna iliăkin olarak veri sorumlusuna yardãm etme yükümlülüÛü, • Gerekli özeni gösterme borcu, • Sözleămenin ve/veya kiăisel verinin elde edilme amacãnãn sona ermesini müteakip veri iăleyenin verileri silme veya iade etme yükümlülüÛü/süresiz sorumluluk, • Bankalarãn, “veri sorumlusu” olduÛu durumlarda, veri iăleyenlere gerekli denetimleri yapma hakkãnã haiz olduÛu, • Herhangi bir veri ihlali olmasã durumunda veri iăleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduÛu. Bankalarãn “veri iăleyen” olduÛu durumlarda, banka ve müăteri sãrrãna 21

gerekli denetimleri yapma hakkãnã haiz olduÛu, • Herhangi bir veri ihlali olmasã durumunda veri iăleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduÛu. Bankalarãn “veri iăleyen” olduÛu durumlarda, banka ve müăteri sãrrãna 21 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ iliăkin ilgili kanun ve benzeri kanuni yükümlülükler nedeniyle denetime izin verilmeyebileceÛinin yapãlacak sözleămede kabulüne (bankalardaki denetim gerekliliklerinin baÛãmsãz denetim ăirketlerinden veya bankanãn iç denetim birimlerinden, faaliyetlerin uyumlu olduÛuna iliăkin alãnacak raporlarla saÛlanabilmesi imkânã saklã kalmak kaydãyla) dikkat edilmelidir. Ayrãca Kurumun “Veri Sorumlusu ve Veri iăleyen Rehberi”nde[6] örnek olarak belirtildiÛi üzere, veri sorumlusu veri iăleyen arasãndaki sözleămelerde, veri sorumlusu tarafãndan aăaÛãda sayãlan bazã hususlarda karar verme yetkisi veri iăleyene bãrakãlabilir: • Kiăisel verilerin toplanmasã için hangi bilgi teknolojileri sistemlerinin veya diÛer metotlarãn kullanãlacaÛã, • Kiăisel verilerin hangi yöntemle saklanacaÛã, • Kiăisel verilerin korunmasã için alãnacak güvenlik önlemlerinin detaylarã, • Kiăisel verilerin aktarãmãnãn hangi yöntemle yapãlacaÛã, • Kiăisel verilerin saklanmasãna iliăkin sürelerin doÛru uygulanabilmesi için kullanãlacak metot, • Kiăisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.

• Kiăisel verilerin aktarãmãnãn hangi yöntemle yapãlacaÛã, • Kiăisel verilerin saklanmasãna iliăkin sürelerin doÛru uygulanabilmesi için kullanãlacak metot, • Kiăisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri. Veri sorumlusu ve veri iăleyen iliăkisinde aydãnlatma yükümlülüÛünün kim tarafãndan gerçekleătirileceÛi hususu da veri sorumlusunun takdirine bãrakãlmãătãr. Kanunun 10 uncu maddesi uyarãnca veri sorumlusu, kiăisel verilerin elde edilmesi sãrasãnda bizzat veya yetkilendirdiÛi kiăi aracãlãÛãyla aydãnlatma yükümlülüÛünü yerine getirebilir. Buna göre veri sorumlusu, aydãnlatma yükümlülüÛünü bizzat kendisi yerine getirilebileceÛi gibi veri iăleyen aracãlãÛãyla da gerçekleătirebilir. âlaveten, aăaÛãda örnek olarak belirtilen, veri sorumlusunun kanundan kaynaklanan yükümlülüklerinin yerine getirilmesinde veri iăleyenden destek alãnacaÛãna veya diÛer veri iăleme esaslarãna dair veri iăleme sözleămesine hükümler konulabilir: • Veri iăleyenin veri güvenliÛini saÛlama konusunda alacaÛã tedbirlerin tespiti, [6] Veri Sorumlusu ve Veri âăleyen Rehberi s. 3. 22 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK • Ăahsen ifa yükümlülüÛü/alt veri iăleme yetkisinin bulunup bulunmadãÛã, alt veri iăleme yetkisi mevcut ise veri iăleyen ile alt veri iăleyenlerle akdedilecek sözleămelerde hangi hususlara yer verilmesi gerektiÛi,

• Ăahsen ifa yükümlülüÛü/alt veri iăleme yetkisinin bulunup bulunmadãÛã, alt veri iăleme yetkisi mevcut ise veri iăleyen ile alt veri iăleyenlerle akdedilecek sözleămelerde hangi hususlara yer verilmesi gerektiÛi, • âlgili kiăileri aydãnlatma yükümlülüÛünün veri iăleyen aracãlãÛã ile yerine getirilmesi halinde veri iăleyenin yükümlülükleri (örnek olarak, acentelik iliăkileri kapsamãnda veri sorumlusu sigorta ăirketi tarafãndan hazãrlanan aydãnlatma metinlerinin acente sãfatã ile bankalar tarafãndan kiăisel veri elde edilmesi esnasãnda sigorta ăirketi adãna müăterilere teslim edilmesi/ânternet ăube kanalã ile poliçe satãăãnãn söz konusu olduÛu durumlarda yine veri sorumlusu sigorta ăirketi tarafãndan hazãrlanan aydãnlatma metinlerinin internet ăube kanalã ile sigorta müăterilerine okutulmasã), • Veri sorumlusu adãna veri iăleyen tarafãndan ilgili kiăilerin açãk rãzasãnãn alãnmasã halinde veri iăleyenin yükümlülükleri, (örnek olarak, sigorta ăirketi tarafãndan açãk rãzaya tâbi bir veri iăleme faaliyeti gerçekleătiriliyor ise bankadan sigorta poliçesi talebinde bulunan ilgili kiăilerden talep edilecek açãk rãza beyanlarãnãn sigorta ăirketinin belirleyeceÛi usul ve esaslar kapsamãnda banka tarafãndan alãnmasã), • TaraƼarãn birbirlerini bilgilendirme ve iă birliÛinde bulunma yükümlülüÛü, (örnek olarak kiăisel veri ihlali yaăanmasã veya silmenin gerçekleătirildiÛine dair rapor sunulmasã), • TaraƼar arasãndaki sorumluluÛun tespiti, sãnãrlandãrãlmasã ve rücu iliăkisi.

yükümlülüÛü, (örnek olarak kiăisel veri ihlali yaăanmasã veya silmenin gerçekleătirildiÛine dair rapor sunulmasã), • TaraƼar arasãndaki sorumluluÛun tespiti, sãnãrlandãrãlmasã ve rücu iliăkisi. Bunlarãn dãăãnda, Kanuna ve somut olaya uygun olduÛu ölçüde, veri iăleme ve alt veri iăleme faaliyetleri yönünden, Bankacãlãk Düzenleme ve Denetleme Kurumu (BDDK) tarafãndan düzenlenen Bankalarãn Destek Hizmeti Almalarãna âliăkin Yönetmelik’in” “Destek Hizmeti Alãnmasã” baălãklã ikinci bölümünün “Destek hizmeti kuruluălarãnda aranacak ăartlar” baălãklã 6 ncã ve “Sözleămenin Unsurlarã” baălãklã 7 nci maddelerindeki destek hizmeti ƻrmalarã ve alt yüklenicilere iliăkin hükümlerden yararlanãlabilir. Banka ile destek hizmeti kuruluălarã arasãnda akdedilecek sözleămeler hem Kanun hem Bankalarãn Destek Hizmeti Almalarãna âliăkin Yönetmelik hükümlerine uygun ăekilde düzenlenmelidir. 23 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 2. Destek Hizmetleri Destek hizmeti kuruluău, 5411 sayãlã Kanun’un “Tanãmlar ve Kãsaltmalar” baălãklã 3 üncü maddesinde “Bankalarãn, mevduat veya katãlãm fonu kabulü, nakdi, gayrinakdi her cins ve surette kredi verme ve bu Kanunun uygulamasãnda kredi olarak sayãlan iălemler dãăãnda kalan faaliyetlerini banka adãna gerçekleătiren; ya da reklamãnãn yapãlmasã hariç olmak üzere mevduat veya katãlãm fonu kabulü dãăãndaki faaliyetlerinden herhangi birinin pazarlanmasã da dâhil gerçekleătirilmesinde bankaya yardãmcã nitelikte hizmet veren kuruluălar” ăeklinde tanãmlanmãătãr.

mevduat veya katãlãm fonu kabulü dãăãndaki faaliyetlerinden herhangi birinin pazarlanmasã da dâhil gerçekleătirilmesinde bankaya yardãmcã nitelikte hizmet veren kuruluălar” ăeklinde tanãmlanmãătãr. Bu durumda destek hizmeti kuruluălarãnãn veri sorumlusu veya veri iăleyen sãfatlarãndan hangisini haiz olduklarã her veri iăleme faaliyeti bakãmãndan somut olayãn özelliklerine göre deÛerlendirilmelidir. ÖrneÛin kurye, kargo ƻrmasã gibi ăirketlerin teslim etmesi gereken kredi kartã, ekstre gibi kiăisel veri niteliÛindeki müăteri sãrrã içeren belgelerin içeriÛine yönelik veri iăleme faaliyeti gerçekleătirmedikleri açãktãr. Ancak teslime yönelik, banka tarafãndan bahsi geçen ăirketlere aktarãlan bilgilerin (isim, soy isim, telefon, adres vb. iăin niteliÛi gereÛi aktarãlan bilgiler) nasãl kullanãlacaÛãna bu ăirketlerce tâbi olduklarã yasal düzenlemeler göz önüne alãnarak karar verilmektedir. Bu nedenle aktarãlan bilgiler yönünden kargo ve kurye ăirketleri gibi ƻrmalar da veri sorumlusu sãfatãnã haizdir. Ancak bu durumda dahi kargo ve kurye ăirketleri gibi ƻrmalarãn kiăisel veri içeren belgenin doÛru kiăiye teslim edilmesi veya kaybolmamasã için veri güvenliÛi yönünden sorumluluklarã bulunmaktadãr. Dolayãsãyla bu ăirketlerin kiăisel verilerin hukuka aykãrã olarak iălenmesini önlemek, kiăisel verilere hukuka aykãrã olarak eriăilmesini önlemek ve kiăisel verilerin muhafazasãnã saÛlamak baăta olmak üzere Kanundan doÛan yükümlülüklerini yerine getirmesi gerekmektedir. Uygulamada bankalarca veri iăleyen konumunda bulunan ve tüm hizmet alãnan ăirketlere aktarãlan verilerin, bu ăirketlerce kendisine menfaat saÛlayacak ăekilde kullanãldãÛã durumlar mevcuttur. Veri iăleyenin edindiÛi 24

getirmesi gerekmektedir. Uygulamada bankalarca veri iăleyen konumunda bulunan ve tüm hizmet alãnan ăirketlere aktarãlan verilerin, bu ăirketlerce kendisine menfaat saÛlayacak ăekilde kullanãldãÛã durumlar mevcuttur. Veri iăleyenin edindiÛi 24 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK verileri kendi adãna kullanmasã durumunda veri iăleyen o kiăisel veri iăleme faaliyeti bakãmãndan veri sorumlusu gibi sorumlu olacaktãr. 3. âătirakler ve BaÛlã Ortaklãklar Bankalar aynã zamanda BDDK’nãn faaliyet geniălemesi iznine istinaden baÛlã ortaklãklarãna hizmet verebilmektedirler. Bu hizmetler yönünden verilen her hizmete özelinde deÛerlendirme yapãlmalã ve taraƼarãn veri sorumlusu-veri iăleyen sãfatlarã yukarãdaki kãstaslar da uygulanarak belirlenmelidir. Örnek vermek gerekirse Türkiye’de bulunan banka, yurtdãăãnda yerleăik baÛlã ortaklãÛãnãn kredi sözleămesinin imzalarãnãn teminine yönelik hizmet vermesi halinde, veri iăleyen sãfatãnã haiz olacaktãr. Bu noktada, bankalarãn saÛlayacaklarã hizmetin niteliÛine göre veri sorumlusu-veri iăleyen sãfatãnã almalarã mümkün olabilecektir. Bir baăka deyiăle, sãfatãn tespiti, kiăisel veri iăleme faaliyetinin niteliÛine göre her somut olay bakãmãndan ayrãca deÛerlendirilmelidir. 4. Açãk Bankacãlãk

almalarã mümkün olabilecektir. Bir baăka deyiăle, sãfatãn tespiti, kiăisel veri iăleme faaliyetinin niteliÛine göre her somut olay bakãmãndan ayrãca deÛerlendirilmelidir. 4. Açãk Bankacãlãk Açãk Bankacãlãk servisleri, Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik’in “Tanãmlar ve kãsaltmalar” baălãklã 3 üncü maddesinin birinci fãkrasãnãn (a) bendinde “Müăterilerin ya da müăteriler adãna hareket eden taraƼarãn API, web servis, dosya transfer protokolü gibi yöntemlerle bankanãn sunduÛu ƻnansal servislere uzaktan eriăerek bankacãlãk iălemlerini gerçekleătirebildikleri veya gerçekleătirilmesi için bankaya talimat verebildikleri elektronik daÛãtãm kanalã” ăeklinde tanãmlanmãătãr. Açãk bankacãlãk hizmetlerinde, üç temel iăleme faaliyetinin bulunduÛundan bahsedilebilir[7]: 1) Gerçek kiăi müăterinin kiăisel verilerinin bankacãlãk hizmetlerinin sunulmasã amacãyla banka tarafãndan iălenmesi: Bu iăleme faaliyeti, [7] Taătan, Furkan Güven/Saruhan, Utku (2020) Açãk Bankacãlãk: Kiăisel Verilerin Korunmasãna Bir Tehdit Mi? (Çevrimiçi Yayãn) https://www.researchgate.net/publication/345514465_Acik_ Bankacilik_Kisi- sel_Verilerin_Korunmasina_Bir_Tehdit_Mi (Son Eriăim Tarihi: 29.07.2022). 25 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ gerçek kiăinin bankayla hukuki iliăkisinin kurulmasãyla baălamakta olup müăterinin kimlik bilgilerinden, iălem güvenlik bilgilerine ve iălem geçmiăine iliăkin çok çeăitli ƻnansal ve diÛer kiăisel verileri içermekte olup ăüphesiz ki burada veri sorumlusu bankadãr. 2) Gerçek kiăi müăterinin kiăisel verilerinin açãk bankacãlãk ürün ve

olup müăterinin kimlik bilgilerinden, iălem güvenlik bilgilerine ve iălem geçmiăine iliăkin çok çeăitli ƻnansal ve diÛer kiăisel verileri içermekte olup ăüphesiz ki burada veri sorumlusu bankadãr. 2) Gerçek kiăi müăterinin kiăisel verilerinin açãk bankacãlãk ürün ve hizmetlerinden faydalandãrãlmasã amacãyla üçüncü taraf saÛlayãcã tarafãndan iălenmesi: Burada müăterinin API aracãlãÛãyla üçüncü taraf saÛlayãcãya aktarãlan kiăisel verileri, ürün ve hizmetlerin kendisine sunulmasã amacãyla iălenmektedir. ÖrneÛin bir müăterinin birden çok bankada bulunan bakiye hesap ve iălem geçmiăi bilgilerinin, müăteriye yatãrãm veya harcama tavsiyelerinde bulunmasã amacãyla üçüncü taraf saÛlayãcã tarafãndan kendi özel algoritmalarãyla iălenmesi halinde üçüncü tarafãn da veri sorumlusu olduÛu açãktãr. API bakãmãndan da veri sorumluluÛu deÛerlendirilebilir. 3) Gerçek kiăi müăterinin belirli kategorilerdeki kiăisel verilerinin banka tarafãndan üçüncü taraf saÛlayãcãya aktarãmã ve bununla eă zamanlã olarak üçüncü taraf saÛlayãcãnãn bu verileri kendi veri kayãt sistemine kaydetmesi: Bu iăleme faaliyetinde banka örneÛin API aracãlãÛãyla kendi veri kayãt sisteminden üçüncü taraf saÛlayãcãya gönderilmek üzere veri aktarãmãnda bulunmaktadãr. Üçüncü taraf saÛlayãcã da bu API aracãlãÛãyla verileri kendi veri kayãt sistemine çekmektedir. Bu faaliyet bakãmãndan gerek kiăisel verileri aktaran tarafãn gerek kiăisel verileri kendi sistemine kaydeden tarafãn veri sorumlusu sãfatãnã haiz olmasã mümkündür. 5. Bankalarãn Acente Sãfatãyla Hareket EttiÛi Durumlar 5411 sayãlã Kanun’un “Faaliyet konusu” baălãklã 4 üncü maddesinin (u) bendi uyarãnca bankalar sigorta acenteliÛi ve bireysel emeklilik aracãlãk hizmetlerini gerçekleătirmeye yetkilidir.

5. Bankalarãn Acente Sãfatãyla Hareket EttiÛi Durumlar 5411 sayãlã Kanun’un “Faaliyet konusu” baălãklã 4 üncü maddesinin (u) bendi uyarãnca bankalar sigorta acenteliÛi ve bireysel emeklilik aracãlãk hizmetlerini gerçekleătirmeye yetkilidir. 5684 sayãlã Sigortacãlãk Kanunu’nun “Sigorta acenteleri” baălãklã 23 üncü maddesi ve Sigorta Acenteleri YönetmeliÛi’nin “Bankalar ve özel kanunlarãna 26 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK istinaden acentelik yapan kurumlar” baălãklã 13 üncü maddesi bankalarãn acente sãfatãyla sigortacãlãk faaliyeti göstermelerine iliăkin hususlarã düzenlemektedir.

istinaden acentelik yapan kurumlar” baălãklã 13 üncü maddesi bankalarãn acente sãfatãyla sigortacãlãk faaliyeti göstermelerine iliăkin hususlarã düzenlemektedir. Bankalarãn, düzenlenen bir sektör olan sigorta sektöründe ilgili yasal düzenlemeler uyarãnca acente sãfatãyla yerine getirdikleri sigortacãlãk faaliyetleri bakãmãndan veri iăleyen veya veri sorumlusu sãfatãndan hangisini haiz olduÛunun tespiti önemlidir. “Veri sorumlusu” kiăisel verilerin iălenme amaçlarãnã, vasãtalarãnã belirleyen, veri kayãt sisteminin kurulmasãndan ve yönetilmesinden sorumlu olan gerçek veya tüzel kiăidir. 5684 sayãlã Kanunun “Tanãmlar” baălãklã 2 nci maddesinin (m) bendinde sigorta acenteleri, “sigorta ăirketlerinin nam ve hesabãna sigorta sözleămelerine aracãlãk eden, sözleăme akdinden önce hazãrlãk çalãămalarãnã yürüten veya sözleămenin uygulanmasã ile tazminat ödenmesinde yardãmcã olan” kiăi olarak tanãmlanmaktadãr. Bu doÛrultuda, bankalarãn acente sãfatãyla yaptãklarã sigortacãlãk faaliyetlerinde hangi kiăisel verilerin hangi amaçla iăleneceÛine, kiăisel veri iăleme faaliyetinin hangi vasãtalarla iăleneceÛine bankalar karar vermediÛinde ve veri kayãt sisteminin kurulmasãnãn ve yönetilmesinin sorumluluÛunun sigorta ăirketlerinde bulunduÛu sigortacãlãk faaliyetlerinde bankalar, veri iăleyen sãfatãnã haizdir.

faaliyetinin hangi vasãtalarla iăleneceÛine bankalar karar vermediÛinde ve veri kayãt sisteminin kurulmasãnãn ve yönetilmesinin sorumluluÛunun sigorta ăirketlerinde bulunduÛu sigortacãlãk faaliyetlerinde bankalar, veri iăleyen sãfatãnã haizdir. Bankalar veri iăleyen sãfatãnã haiz olduklarã kiăisel veri iăleme faaliyetleri bakãmãndan da Kanun kapsamãndaki veri güvenliÛine iliăkin yükümlülüklerini yerine getirmelidir. Öte yandan, bankalarãn veri iăleyen sãfatãnã haiz olduÛu kiăisel veri iăleme faaliyetleri bakãmãndan Kanunun 10 uncu maddesi uyarãnca aydãnlatma yükümlülüÛünün yerine getirilmesinden ve açãk rãza ile kiăisel veri iăleme faaliyetinin gerçekleătirileceÛi durumlarda ilgili kiăilerin açãk rãzalarãnãn alãnmasãndan sorumlu tutulmalarã, ancak veri sorumlusu tarafãndan bu hususlarda görevlendirilmiă olmalarã halinde mümkündür. 27 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ V. âlgili Kiăi âlgili kiăi, Kanunun 3 üncü maddesinde kiăisel verisi iălenen gerçek kiăi olarak tanãmlanmãătãr. Bankacãlãk sektöründe ilgili kiăi kategorisine giren kiăiler çeăitlidir. Çalãăan adayã, çalãăan, çalãăan eă ve çocuklarã, stajyer, tedarikçi çalãăanã, müăteri, ziyaretçi, keƻl, veli/vasi/temsilci gibi pek çok kiăinin kiăisel verileri iălenebilmektedir. Bu kapsamda rehberde kiăisel verisi iălenen ilgili kiăilere konuya ve ilgisine göre yer yer deÛinilmiătir. 28 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK VI. âălenen Kiăisel Veriler

Bu kapsamda rehberde kiăisel verisi iălenen ilgili kiăilere konuya ve ilgisine göre yer yer deÛinilmiătir. 28 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK VI. âălenen Kiăisel Veriler Bankacãlãk sektöründe iălenen kiăisel veriler özel nitelikli kiăisel verileri de içerebilmektedir. Bu kapsamda kategorik bazda kimlik, iletiăim, lokasyon, özlük, hukuki iălem, müăteri iălem, ƻziksel mekân güvenliÛi, iălem güvenliÛi, risk yönetimi, ƻnans, mesleki deneyim, pazarlama, görsel ve iăitsel kayãtlar gibi kiăisel verilerin yanã sãra ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri ve saÛlãk bilgileri gibi özel nitelikli kiăisel veri türleri de iălenebilmektedir. 29 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ VII. Kiăisel Veri âăleme Ăartlarã 6698 sayãlã Kanunun 5 inci maddesinde kiăisel verilerin iălenmesinin hangi ăartlarda mümkün olduÛu düzenlenmiătir: • Açãk rãzanãn bulunmasã. • Kanunlarda açãkça öngörülmesi. • Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda bulunan

6698 sayãlã Kanunun 5 inci maddesinde kiăisel verilerin iălenmesinin hangi ăartlarda mümkün olduÛu düzenlenmiătir: • Açãk rãzanãn bulunmasã. • Kanunlarda açãkça öngörülmesi. • Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda bulunan veya rãzasãna hukuki geçerlilik tanãnmayan kiăinin kendisinin ya da bir baăkasãnãn hayatã veya beden bütünlüÛünün korunmasã için zorunlu olmasã. • Bir sözleămenin kurulmasã veya ifasãyla doÛrudan doÛruya ilgili olmasã kaydãyla, sözleămenin taraƼarãna ait kiăisel verilerin iălenmesinin gerekli olmasã. • Veri sorumlusunun hukuki yükümlülüÛünü yerine getirebilmesi için zorunlu olmasã. • âlgili kiăinin kendisi tarafãndan alenileătirilmiă olmasã. • Bir hakkãn tesisi, kullanãlmasã veya korunmasã için veri iălemenin zorunlu olmasã. • âlgili kiăinin temel hak ve özgürlüklerine zarar vermemek kaydãyla, veri sorumlusunun meăru menfaatleri için veri iălenmesinin zorunlu olmasã. Kiăisel verilerin iălenme ăartlarã, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiă olup bu ăartlar geniăletilemez[8]. Veri sorumlusu tarafãndan kiăisel veri iăleme faaliyetinin amacãnãn öncelikli olarak açãk rãza dãăãndaki iăleme ăartlarãndan birine dayanãp dayanmadãÛã deÛerlendirilmeli; eÛer bu amaç Kanunda belirtilen açãk rãza dãăãndaki ăartlardan en az birini karăãlamãyorsa bu durumda veri iăleme faaliyetinin devamã için Kanunun 4 üncü maddesinde hükme baÛlanan genel ilkeler de dikkate alãnmak suretiyle kiăinin açãk rãzasãnãn alãnmasã yoluna gidilmelidir[9]. Bankacãlãk faaliyetlerinin kapsamã ve sãnãrlarã ilgili mevzuat düzenlemelerinde kesin bir ăekilde belirlenmiă olduÛundan esasen bankalarca yapãlan veri

suretiyle kiăinin açãk rãzasãnãn alãnmasã yoluna gidilmelidir[9]. Bankacãlãk faaliyetlerinin kapsamã ve sãnãrlarã ilgili mevzuat düzenlemelerinde kesin bir ăekilde belirlenmiă olduÛundan esasen bankalarca yapãlan veri [8] Kiăisel Verileri Koruma Kurumu, Kiăisel Verilerin âălenme Ăartlarã Rehberi, s.2. [9] Kiăisel Verileri Koruma Kurumu, Kiăisel Verilerin âălenme Ăartlarã Rehberi, s.3. 30 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK iăleme uygulamalarã büyük ölçüde açãk rãza dãăãndaki hukuka uygunluk nedenlerine dayanmaktadãr. Her bir veri kategorisi, birden fazla amaçla iălenerek iălendikleri amaca göre farklã hukuka uygunluk nedenlerine tabi olabilecekleri gibi bir iăleme amacã birden fazla hukuka uygunluk nedenine de dahil olabilmektedir. ÖrneÛin, 6362 sayãlã Sermaye Piyasasã Kanunu’nun 57 nci maddesinin 3 üncü fãkrasãnda “Konut ƻnansmanã kuruluălarã tarafãndan, konut edinme amacãnãn yeterli bilgi ve belgeyle tespit edilmesi ve kullandãrãlan kredinin veya yapãlan ƻnansal kiralamanãn ipotek veya Kurulca uygun görülen teminatlar ile güvence altãna alãnmasã zorunludur.” hükmüne yer verilmiătir. Bu çerçevede, kredinin teminatla güvence altãna alãnmasã kanunen zorunlu olup bu durum aynã zamanda Konut Finansmanã Kredisi Sözleămesi’nde de düzenlendiÛinden, ipotek alãnmasã amacãyla iălenen söz konusu kiăisel veriler yönünden hem Kanunun 5 inci maddesinin 2 nci fãkrasãnãn (a) bendinde yer alan kanunlarda açãkça öngörülmesi hem de (c) bendinde yer alan bir sözleămenin kurulmasã veya ifasãyla doÛrudan doÛruya ilgili olmasã nedeniyle, ilgili kiăilerin açãk rãzalarãna baăvurulmasãna gerek bulunmayabilecektir. 1. Açãk Rãza

bendinde yer alan kanunlarda açãkça öngörülmesi hem de (c) bendinde yer alan bir sözleămenin kurulmasã veya ifasãyla doÛrudan doÛruya ilgili olmasã nedeniyle, ilgili kiăilerin açãk rãzalarãna baăvurulmasãna gerek bulunmayabilecektir. 1. Açãk Rãza 6698 sayãlã Kanunun 3 üncü maddesinde açãk rãza; “belirli bir konuya iliăkin, bilgilendirilmeye dayanan ve özgür iradeyle açãklanan rãza” ăeklinde tanãmlanmãătãr. Açãk rãzanãn bu anlamda, rãza veren kiăinin olumlu iradesini göstermesi gerekmektedir[10]. Kanunun 5 inci maddesi uyarãnca açãk rãza Kanundaki kiăisel veri iăleme ăartlarãndan biridir ve diÛer kiăisel veri iăleme ăartlarãna göre karăãlaătãrmalã bir üstünlüÛü bulunmamaktadãr. [10] Kiăisel Verileri Koruma Kurumu, Açãk Rãza Rehberi, s.3.; “Veri sorumlusunun, web sitesinde kiăisel verilerin iălenmesini hizmet ăartã olarak talep ettiÛi ve aydãnlatma yükümlülüÛünü usulüne uygun yerine getirmediÛi iddialarã hakkãnda” Kiăisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayãlã Karar Özeti, www.kvkk.gov.tr 31 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Kanun’da açãk rãzanãn alãnmasãna iliăkin herhangi bir ăekil ăartã öngörülmemektedir. Kiăilerin rãzalarãnãn “açãk” olmasã, bu rãzanãn mutlaka yazãlã olarak ortaya konmuă olmasã anlamãnã taăãmamaktadãr[11]. Herhangi bir metne baÛlã olmasa dahi iki taraf arasãnda iăleyen süreç ve karăãlãklã eylemler açãk bir rãzanãn varlãÛãna iăaret edebilir.

yazãlã olarak ortaya konmuă olmasã anlamãnã taăãmamaktadãr[11]. Herhangi bir metne baÛlã olmasa dahi iki taraf arasãnda iăleyen süreç ve karăãlãklã eylemler açãk bir rãzanãn varlãÛãna iăaret edebilir. ÖrneÛin, 5378 sayãlã Engelliler Hakkãnda Kanunun 7 nci maddesi ve “Bankacãlãk Hizmetlerinin EriăilebilirliÛine Dair Yönetmelik”in 4 üncü maddesinin sekizinci ve dokuzuncu fãkralarã uyarãnca, %40 ve üzeri oranda engelli olduÛuna iliăkin belgenin aslãnã veya banka tarafãndan onaylanacak suretini müăterisi olduÛu bankaya ibraz eden ayãrt etme gücüne sahip kiăilerin engelli kabul edilerek, Yönetmelikte tanãnan haklardan yararlanacaÛã hüküm altãna alãnmãătãr. Söz konusu düzenleme uyarãnca bankalarãn, bu kapsamda belge ileten engelli müăterilerin engel durumuna iliăkin bilgi ve belgeleri tutma yükümlülüÛü bulunmaktadãr. Bununla birlikte, 6698 sayãlã Kanunun 6 ncã maddesi uyarãnca anãlan Yönetmelik kapsamãnda engellilik durumunun bankalarca kayãt altãna alãnmasã özel nitelikli kiăisel verilerin iălenmesi olarak deÛerlendirilebilecektir. Özel nitelikli kiăisel verilerin iălenmesi bu rehberin “Bankalarca iălenen Özel Nitelikli Kiăisel Veriler” baălãÛã altãnda detaylã olarak açãklanmaktadãr.

altãna alãnmasã özel nitelikli kiăisel verilerin iălenmesi olarak deÛerlendirilebilecektir. Özel nitelikli kiăisel verilerin iălenmesi bu rehberin “Bankalarca iălenen Özel Nitelikli Kiăisel Veriler” baălãÛã altãnda detaylã olarak açãklanmaktadãr. Kanunda açãk rãza alãnmasãnãn ăekil ăartã belirlenmediÛinden, ilgili kiăi tarafãndan anãlan Yönetmelik kapsamãndaki eriăilebilirlik imkanlarãndan faydalanmak üzere bu konudaki niyetinin açãk ăekilde ortaya koyulmasã suretiyle bankaya talepte bulunulmasã, duruma göre açãk rãzanãn ortaya konulmasã olarak deÛerlendirilebilir. Bu kapsamda söz konusu talebin açãk rãza teăkil etmesi için ilgili kiăinin kiăisel verilerinin iălenmesi hususunda banka tarafãndan aydãnlatma yükümlülüÛünün de yerine getirilmesi gerekmektedir. Zira açãk rãzanãn özgür irade dãăãndaki diÛer unsurlarã belirli bir konuya iliăkin olmasã ve bilgilendirmeye dayanmasãdãr ve aydãnlatma suretiyle bu unsurlarãn da karăãlanmasã mümkün olabilecektir. [11] Kiăisel Verileri Koruma Kurumu, Açãk Rãza Rehberi, s.3. 32 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Benzer ăekilde, bankanãn internet sitesindeki talep ve ăikâyet bölümüne kendi isteÛiyle hastalãk detaylarãndan bahseden bir gerçek kiăinin bu bilgilerinin ilgili süreci yürütmek amacãyla Kanunun 4 üncü maddesindeki genel ilkeler çerçevesinde bankaca iălenebileceÛine dair açãk rãzasãnã ortaya koyduÛu kabul edilebilir. 1.1. Açãk Rãzanãn Unsurlarã 1.1.1. Belirli Bir Konuya âliăkin Olma Veri iălemek üzere verilen rãzanãn geçerli olmasã için rãzanãn belirli bir konuya iliăkin ve o konu ile sãnãrlã olmasã gerekir.

koyduÛu kabul edilebilir. 1.1. Açãk Rãzanãn Unsurlarã 1.1.1. Belirli Bir Konuya âliăkin Olma Veri iălemek üzere verilen rãzanãn geçerli olmasã için rãzanãn belirli bir konuya iliăkin ve o konu ile sãnãrlã olmasã gerekir. EÛer birden çok kategoriye iliăkin verinin iălenmesine dair açãk rãza beyanãnda bulunulacaksa açãk rãzanãn, hangi verilerin ve ne amaçlarla iăleneceÛi gibi iălemenin farklã noktalarã açãsãndan da verilmiă olmasã gerekir. 1.1.2. Özgür âradeyle Açãklanmãă Olma Açãk rãza ilgili kiăinin özgür iradesiyle açãklanmãă olmalãdãr. âlgili kiăinin irade beyanã olan rãza, kiăinin yaptãÛã davranãăãn bilincinde ve kendi kararã olmasã halinde geçerlilik kazanacaktãr. Öte yandan açãk rãzanãn özgür irade ile açãklanmasã gerektiÛinden ilgili kiăinin açãk rãzasãnãn alãnmasã, bir ürün veya hizmetin sunulmasãnãn ya da ürün veya hizmetten yararlandãrãlmasãnãn ön ăartã olarak ileri sürülmemelidir[12]. ÖrneÛin müăteri ve hesap açãlãă iălemleri sãrasãnda, pazarlamaya iliăkin açãk rãza vermeyen müăterilerin de müăteri ve hesap açãlãă iălemleri gerçekleătirilmelidir. [12] “Hizmetin Açãk Rãza Ăartãna BaÛlanmasã” konulu Kiăisel Verileri Koruma Kurulu Kararã; Amazon Turkey Perakende Hizmetleri Limited Ăirketi hakkãndaki baăvuru ile ilgili Kiăisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayãlã Karar Özeti; “âlgili kiăinin araç kiralama hizmeti almasã esnasãnda kiăisel verilerinin iălenmesine dair açãk rãza vermemesi üzerine kiralama hizmetinden yararlandãrãlmamasã”na iliăkin Kiăisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayãlã Karar Özeti, www.kvkk.gov.tr 33

esnasãnda kiăisel verilerinin iălenmesine dair açãk rãza vermemesi üzerine kiralama hizmetinden yararlandãrãlmamasã”na iliăkin Kiăisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayãlã Karar Özeti, www.kvkk.gov.tr 33 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 1.1.3. Bilgilendirmeye Dayanma Açãk rãzaya baăvurulmadan önce ilgili kiăinin açãk rãzaya dayalã kiăisel veri iăleme faaliyetine yönelik olarak bilgilendirilmesi gerekir. Kiăisel veri iăleme faaliyetinin açãk rãza ăartãna dayalã olarak gerçekleătirildiÛi durumlarda, aydãnlatma yükümlülüÛünün ve açãk rãzanãn alãnmasã iălemlerinin ayrã ayrã yerine getirilmesi gerekmektedir. 1.2. Kanala Özgü âyi Uygulama Örnekleri âlgili kiăilerden alãnacak olan açãk rãzanãn “yazãlã olma” koăulu bulunmadãÛã için bankanãn ãslak imzalã ve yazãlã bir metin temin etme zorunluluÛu bulunmamakla birlikte açãk rãza alãndãÛãnãn ispat yükümlülüÛü veri sorumlusu bankadadãr. âspatãn saÛlanmasã açãsãndan “kalãcã veri saklayãcãsã”[13] olarak kabul edilen araç ve yöntemler aracãlãÛã ile açãk rãzanãn alãnmasãnãn ispat hususunda bankalarãn kullanabileceÛi elveriăli yöntemleri içermektedir[14]. Böylelikle bankacãlãk uygulamalarãnda ăube, ATM, internet ăubesi, çaÛrã merkezi, mobil uygulama gibi benzer mecralar aracãlãÛãyla kiăinin açãk rãzasã alãnabilir. ÖrneÛin ilgili kiăilerin internet ve mobil bankacãlãk kanalãndan yaptãÛã iălemlerde ăifre/parola girilmesiyle kimlik tespiti saÛlanabildiÛi ve kiăilerin yaptãÛã iălemlerin kayãt altãnda tutulabildiÛi bu kanallar da ispata elveriăli bir alandãr.

ÖrneÛin ilgili kiăilerin internet ve mobil bankacãlãk kanalãndan yaptãÛã iălemlerde ăifre/parola girilmesiyle kimlik tespiti saÛlanabildiÛi ve kiăilerin yaptãÛã iălemlerin kayãt altãnda tutulabildiÛi bu kanallar da ispata elveriăli bir alandãr. DiÛer bir örnek olarak; bankanãn internet sitesine girerek kredi baăvurusunda bulunan bir kiăiye kredi kullandãrãlmasã faaliyetine özel aydãnlatma yapãldãktan sonra pazarlama amacãna yönelik olarak açãk rãzasã alãnmasã suretiyle beyan etmiă olduÛu iletiăim bilgisine sms/e-posta vb. ile doÛrulama yapãlarak açãk rãzasãnãn alãndãÛã hususu ispata elveriăli hale getirilerek, pazarlama faaliyetleri için kiăisel verileri iălenebilir. [13] TKHK’nun 3’ncü maddesinin (f) bendi ile Finansal Hizmetlere âliăkin Mesafeli Sözleămeler YönetmeliÛi’nin 4’ncü maddesinin (c) bendi kapsamãnda kalãcã veri saklayãcãsã tanãmãna yer verilmiătir. [14] Ozcan, Göknil, Bankacãlãk âă Ve âălemlerinde Kiăisel Verilerin Korunmasã, On âki Levha Yayãncãlãk, 1. Baskã, Ocak 2020, s. 57 34 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 1.2.1. Ăube Ăube kanalã ile ilgili kiăilerden, ãslak imza veya onun yerini tutacak mevzuatãn öngördüÛü diÛer yöntemlerle (dijital imza, e-imza vb.) açãk rãza metinleri için onay alãnabilir. 1.2.2. ATM ATM’den ilgili kiăilerden açãk rãza alãnmak istendiÛi takdirde ilgili kiăinin söz konusu kanallara giriăi sonrasãnda açãk rãza metni için onayã alãnabilecektir. 1.2.3. ânternet/Mobil Bankacãlãk

metinleri için onay alãnabilir. 1.2.2. ATM ATM’den ilgili kiăilerden açãk rãza alãnmak istendiÛi takdirde ilgili kiăinin söz konusu kanallara giriăi sonrasãnda açãk rãza metni için onayã alãnabilecektir. 1.2.3. ânternet/Mobil Bankacãlãk ânternet bankacãlãÛã/mobil bankacãlãk kanallarãnda ilgili kiăilerden açãk rãza metinlerine onay alãnmasã için kiăilerin iăaretleyebileceÛi kutu/ buton vb. yöntemler kullanãlabilmektedir. Bu kutu/buton vb. yöntemler ile gerçekleătirilen seçimlerde seçeneklerin önceden seçili olarak getirilmemesi gerekir. 1.2.4. ÇaÛrã Merkezi ÇaÛrã merkezinde, ilgili kiăilere görüămede tercihini bir tuăa basma veya müăteri temsilcisine sözlü olarak beyan etme imkânã saÛlanarak açãk rãza onayã alãnabilir. 1.2.5. SMS âlgili kiăilerin bankada kayãtlã olan telefon numaralarãna SMS aracãlãÛã ile aydãnlatma yapãlarak ve SMS aracãlãÛã ile doÛrulama kodu gönderilerek kiăisel verilerinin iălenmesi konusunda bir cevap vermesi yönünde yönlendirme yapãlabilir. Kurum tarafãndan yapãlan kamuoyu duyurusunda da belirtildiÛi üzere bankalarca ilgili kiăilerin telefonuna gönderilecek olan SMS’in amacãnãn ne olduÛu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar 35 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ doÛuracaÛã hususlarã ilgili kiăiye bildirilmelidir. Katmanlã aydãnlatmanãn bir gereÛi olarak SMS içeriklerinde aydãnlatma yükümlülüÛünün yerine getirilmesini saÛlayacak gerekli kanallar saÛlanmalãdãr[15]. 1.2.6. Elektronik Posta âlgili kiăilerin bankada kayãtlã elektronik posta adresine, aydãnlatma ve açãk rãza metinleri yönlendirilebilecek, bu kanalda ilgili kiăilerden açãk rãza metnini kabul edip etmediÛi yönünde beyanãnã yöneltmesi için kutular sunulabilecektir.

1.2.6. Elektronik Posta âlgili kiăilerin bankada kayãtlã elektronik posta adresine, aydãnlatma ve açãk rãza metinleri yönlendirilebilecek, bu kanalda ilgili kiăilerden açãk rãza metnini kabul edip etmediÛi yönünde beyanãnã yöneltmesi için kutular sunulabilecektir. 2. Kanunlarda Öngörülmesi ve Hukuki YükümlülüÛün Yerine Getirilmesi Kanunun 5 inci maddesinin ikinci fãkrasãnãn (a) bendinde geçen “kanunlarda açãkça öngörülmesi” ifadesi ile kiăisel verilerin iălenmesiyle ilgili herhangi bir kanunun kast edildiÛi anlaăãlmaktadãr. Anãlan hükmün (ç) fãkrasã uyarãnca ise veri sorumlusunun hukuki yükümlülüÛünü yerine getirebilmesi için veri iălenmesinin zorunlu olduÛu hallerde ilgili kiăinin kiăisel verileri iălemesi mümkündür. Bu kapsamda, her iki ăarttan birinin mevcut olduÛu durumlarda kiăisel veri iăleme faaliyetleri için açãk rãza alãnmamalãdãr[16]. Kiăisel veri iălenmesiyle ilgili herhangi bir kanunda açãk bir hüküm varsa veya açãk bir hüküm ile ikincil mevzuata yönlendirme yapãlmãăsa bu durumda kiăisel verilerin iălenmesi mümkündür[17]. Veri sorumlusunun hukuki yükümlülüÛünü yerine getirebilmesi için veri iălenmesinin zorunlu olduÛu hallerde ise kanun veya

ikincil mevzuata yönlendirme yapãlmãăsa bu durumda kiăisel verilerin iălenmesi mümkündür[17]. Veri sorumlusunun hukuki yükümlülüÛünü yerine getirebilmesi için veri iălenmesinin zorunlu olduÛu hallerde ise kanun veya [15] KâĂâSEL VERâLERâ KORUMA KURUMU | KVKK | MaÛazalarda Alãăveriă Sãrasãnda âlgili Kiăilere SMS ile DoÛrulama Kodu Gönderilmesi Suretiyle Kiăisel Verilerin âălenmesine âliăkin Kamuoyu Duyurusu, (Çevrimiçi), 04.04.2022. [16] “âlgili kiăinin bir kargo ăirketine karăã açtãÛã iăe iade davasãnda, kiăisel verisi olan kamera görüntülerinin kargo ăirketi tarafãndan mahkemeye sunulmasã” hakkãnda Kiăisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayãlã Karar Özeti; “Avukatlarãn icra takip dosyalarãndaki kiăisel verilere vekâletname olmaksãzãn hukuka aykãrã olarak eriăim saÛladãÛãna ve Adalet BakanlãÛã tarafãndan icra tevzi bürolarãnda görevli personel eliyle alacaklã vekili avukatlara borçlularãn alacaklã olduÛu icra takip dosyalarãnda bulunan kiăisel verilerin hukuka aykãrã olarak aktarãlmasãna iliăkin ihbarlar hakkãnda” Kiăisel Verileri Koruma Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayãlã Karar Özeti, www.kvkk.gov.tr [17] Kiăisel Verileri Koruma Kurumu, Kiăisel Verilerin âălenme Ăartlarã Rehberi, s.6. 36 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK ikincil mevzuatta veri sorumlusuna getirilen hukuki yükümlülüÛün yerine getirilmesinin kiăisel veri iălemeyi zorunlu kãlmasã söz konusudur.

36 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK ikincil mevzuatta veri sorumlusuna getirilen hukuki yükümlülüÛün yerine getirilmesinin kiăisel veri iălemeyi zorunlu kãlmasã söz konusudur. Bankalarãn kredilendirme iălemleri öncesinde kredi baăvurusunda bulunanlar için risk grubu bazãnda risklilik deÛerlendirmesinde bulunmasã, 5411 sayãlã Bankacãlãk Kanunu’nun 49 uncu maddesi vd. ile Bankalarãn Kredi âălemlerine âliăkin Yönetmelik uyarãnca hukuki bir yükümlülüktür. Bu kapsamda, kredi baăvurusunda bulunanlarãn risk deÛerlendirme sürecine giren her türlü kiăisel veri belirtilen amaçla açãk rãza alãnmaksãzãn iălenebilecektir.

Kredi âălemlerine âliăkin Yönetmelik uyarãnca hukuki bir yükümlülüktür. Bu kapsamda, kredi baăvurusunda bulunanlarãn risk deÛerlendirme sürecine giren her türlü kiăisel veri belirtilen amaçla açãk rãza alãnmaksãzãn iălenebilecektir. Bunlarla sãnãrlã olmamakla birlikte: • 5411 sayãlã Bankacãlãk Kanunu ve ikincil mevzuat uyarãnca BDDK veya baÛãmsãz danãămanlãk ve denetim ăirketleri tarafãndan bankacãlãk sektörüne özgü, ƻnansal veya güvenlik amacãyla gerçekleătirilen denetimlerde bankalarca bilgi paylaăãmãnda bulunulmasã, • âlgili düzenlemelerin ne ăekilde uygulanmasã gerektiÛine dair ilgili kurumlarãn (T.C. Gümrük ve Ticaret BakanlãÛã, Mali Suçlarã Araătãrma Kurumu, Gelir idaresi BaăkanlãÛã gibi) baăvuruda bulunan bankalara veya Türkiye Bankalar BirliÛi’ne/Türkiye Katãlãm Bankalarã BirliÛi’ne üyelerine duyurulmak üzere gönderdikleri yol gösterici yazã ve kararlarã çerçevesinde kiăisel verilerin iălenmesi, • Suç Gelirlerinin Aklanmasãnãn Önlenmesine iliăkin ilgili mevzuat uyarãnca bankalarãn yapãlan iălemler bazãnda gerçek kiăilere iliăkin olarak kimlik tespiti yükümlülüÛünün olmasã ve bu yükümlülüÛün yerine getirildiÛini ispat amacãyla yapãlan iălemler, • 5941 sayãlã Çek Kanunu’nun 2 nci maddesinin ikinci fãkrasã uyarãnca, çek karnesi tahsis sürecinde çek karnesi talebinde bulunan ilgili kiăinin çek yasaklãsã olup olmadãÛãnãn tespitine yönelik adli sicil kaydã sorgusu yapãlmasã, açãk rãza alãnmasãnã gerektirmeyen durumlar arasãndadãr. 37 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 2.1. Bankalarãn Tabi OlduÛu Mevzuata âliăkin Yükümlülüklerinin DeÛerlendirilmesi 2.1.1. Mevzuat

37 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 2.1. Bankalarãn Tabi OlduÛu Mevzuata âliăkin Yükümlülüklerinin DeÛerlendirilmesi 2.1.1. Mevzuat 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu’nun (Kanun) 5’nci maddesinin 2’nci fãkrasãnãn (a) bendinde kanunlarda açãkça öngörülen durumlarda ilgili kiăinin açãk rãzasã alãnmaksãzãn kiăisel verilerin iălenebileceÛi düzenlenmiătir. Kanun’un 5’inci maddesinin 2’nci fãkrasãnãn (ç) bendinde ise veri sorumlusunun hukuki yükümlülüÛünü yerine getirebilmesi için zorunlu olmasã durumunun da veri iăleme için ilgili kiăiden açãk rãza alãnmasãna gerek olmayan hallerden sayãlacaÛã belirtilmektedir.[18] Bir iăleme faaliyeti sayãlan müăteri bilgisinin ifăasã/açãklanmasã ise 5411 sayãlã Bankacãlãk Kanunu’nun 73’üncü maddesi altãnda düzenleme altãna alãnmãă olup, bu düzenleme içeriÛinde Kanun ile paralel olarak banka müăterilerine ait sãrlarã öÛrenenlerin, söz konusu sãrlarã bu konuda kanunen açãkça yetkili kãlãnan mercilerden baăkasãna açãklayamayacaklarã ve Bankacãlãk Kanunu’nda belirtilen haller harici üçüncü kiăilere ifăa edemeyecekleri belirtilmektedir. 2.1.2. Bankacãlãk Faaliyetleri Kapsamãnda Kanunlarda Öngörülen âălemeler AăaÛãda sayãlan Kanun maddeleri ile sãnãrlã olmamakla birlikte, bankalarãn gerçekleătirdiÛi faaliyetler çerçevesinde kanunlarda açãkça öngörülen ve ilgili kiăiden açãk rãza alãnmasãna gerek olmayan haller kapsamãnda

âălemeler AăaÛãda sayãlan Kanun maddeleri ile sãnãrlã olmamakla birlikte, bankalarãn gerçekleătirdiÛi faaliyetler çerçevesinde kanunlarda açãkça öngörülen ve ilgili kiăiden açãk rãza alãnmasãna gerek olmayan haller kapsamãnda [18] Hukuki yükümlülüÛün yerine getirilmesi iăleme ăartã kapsamãnda bkz. “âlgili kiăilerin kiăisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatãrma ve çekme iălemlerinin açãk rãzalarã olmaksãzãn vergi müfettiă yardãmcãsã tarafãndan hukuka aykãrã olarak iălenmesi hakkãnda” Kiăisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/120 sayãlã Karar Özeti; “âlgili kiăinin, veri sorumlusu bir banka nezdindeki kiăisel verileri olan hesap ve kiralãk kasa bilgilerinin aktarãlmasã hakkãnda” Kiăisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/118 sayãlã Karar Özeti; “Kiăisel verilerin veri sorumlusu bir avukat tarafãndan kãsa mesaj yoluyla üçüncü kiăilere ifăa edilmesi hakkãnda” Kiăisel Verileri Koruma Kurulunun 14.01.2020 Tarihli ve 2020/26 Sayãlã Karar Özeti; “Veri sorumlusu hastanede uygulanan beyaz kod kapsamãnda ilgili kiăinin iălenen kiăisel verileri hakkãnda” Kiăisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/63 sayãlã Karar Özeti; “Veri sorumlusu saÛlãk ƻrmasã tarafãndan eski çalãăanã olan ilgili kiăinin kiăisel verilerinin rãzasã alãnmaksãzãn aktarãm hakkãnda” Kiăisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayãlã Karar Özeti, www.kvkk.gov.tr 38 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK deÛerlendirilebilecek veri iăleme örnekleri aăaÛãda sayãlmaktadãr:

38 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK deÛerlendirilebilecek veri iăleme örnekleri aăaÛãda sayãlmaktadãr: 2.1.2.1. Bankacãlãk Kanunu Madde 73 ve Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik 5411 sayãlã Bankacãlãk Kanunu’nun 73’üncü maddesi sãfat ve görevleri dolayãsãyla bankalara veya müăterilerine ait sãrlarã öÛrenenlerin söz konusu sãrlarã bu konuda kanunen açãkça yetkili kãlãnan mercilerden baăkasãna açãklayamayacaÛã hüküm altãna alãnmãă olmakla birlikte aynã maddenin 4’üncü fãkrasãnda hangi hallerde bir iăleme sayãlan müăteri/banka sãrrã paylaăãmã ve ifăasãnãn bu kuralãn istisnasã olarak deÛerlendirileceÛi düzenleme altãna alãnmãătãr. Söz konusu maddeler dahilinde aăaÛãda sayãlan paylaăãm/ifăalar Kanun kapsamãnda ilgili kiăinin açãk rãzasã alãnmaksãzãn gerçekleătirilebilecektir. Bankacãlãk Kanunu’nun anãlan maddesi kapsamãnda belirtilen sãr saklama yükümlülüÛünden istisna tutulan hallerde yapãlacak paylaăãmlar da dahil olmak üzere, yapãlan paylaăãm/ifăalarãn belirtilen amaçlarla sãnãrlã ve ölçülülük ilkesine uygun ve amacãn gerektirdiÛi kadar veriyi içermek kaydãyla yapãlabileceÛi düzenlenmiătir. Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik[19] 5’inci maddesinde de sãr saklama yükümlülüÛünden istisna tutulan haller düzenlenmiătir. Bankacãlãk Kanunu ve Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik düzenlemeleri çerçevesinde; • Kanunen yetkili kãlãnan bir adli ya da idari kurumun ya da kiăinin talebi üzerine bu kurum ve kiăiler ile yapãlacak veri paylaăãmlarã

düzenlenmiătir. Bankacãlãk Kanunu ve Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik düzenlemeleri çerçevesinde; • Kanunen yetkili kãlãnan bir adli ya da idari kurumun ya da kiăinin talebi üzerine bu kurum ve kiăiler ile yapãlacak veri paylaăãmlarã • Gizlilik sözleămesi yapãlmasã ve sadece belirtilen amaçlar ile sãnãrlã kãlãnmasã koăuluyla; a) Bankalarãn ve ƻnansal kuruluălarãn, kendi aralarãnda [19] 04.06.2021 tarih, 31501 sayãlã Resmi Gazete’de yayãmlanarak yürürlüÛe giren Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik 39 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik 39 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ doÛrudan doÛruya ya da Risk Merkezi veya en az beă banka ya da ƻnansal kuruluă tarafãndan kurulacak ăirketler vasãtasãyla her türlü bilgi ve belge alãăveriăinde bulunmasã. b) Konsolide ƻnansal tablo hazãrlama çalãămalarã, risk yönetimi ve iç denetim uygulamalarã kapsamãnda bankalarãn sermayelerinin yüzde on veya daha fazlasãna sahip olan yurt içinde veya yurt dãăãnda yerleăik kredi kuruluău ile ƻnansal kuruluălar da dâhil ana ortaklãklarãna bilgi ve belge verilmesi. c) DoÛrudan veya dolaylã pay sahipliÛi yoluyla banka sermayesinin yüzde onunu ve daha fazlasãnã temsil eden paylarãn satãăã amacãyla yapãlacak deÛerleme çalãămalarãnda kullanãlmak üzere muhtemel alãcãlara bilgi ve belge verilmesi veya krediler dâhil varlãklarãn ya da bu varlãklara dayalã menkul kãymetlerin satãăã amacãyla yapãlacak deÛerleme çalãămalarãnda kullanãlmak üzere bilgi ve belge verilmesi. ç) DeÛerleme, derecelendirme, destek hizmeti ile baÛãmsãz denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alãnmasã kaydãyla hizmet alãmlarãna yönelik iălemlerde kullanãlmak üzere bu hizmeti saÛlayanlara bilgi ve belge verilmesi.

verilmesi. ç) DeÛerleme, derecelendirme, destek hizmeti ile baÛãmsãz denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alãnmasã kaydãyla hizmet alãmlarãna yönelik iălemlerde kullanãlmak üzere bu hizmeti saÛlayanlara bilgi ve belge verilmesi. • Konsolide ƻnansal tablo hazãrlama çalãămalarã, risk yönetimi ve iç denetim uygulamalarã kapsamãnda bankalarãn sermayelerinin yüzde on veya daha fazlasãna sahip olan yurt içinde veya yurt dãăãnda yerleăik kredi kuruluău ile ƻnansal kuruluălar da dâhil ana ortaklãklarãna bilgi ve belge verilmesi amacãyla yapãlacak âSEDES YönetmeliÛinde[20] yer verilen risk yönetim sistemi içinde yer alan uyum, kredi, itibar riskleri de dâhil olmak üzere tüm risk kategorilerine iliăkin risk yönetim faaliyetlerini kapsayacak ăekildeki paylaăãmlarãn, bu amaçlar ile sãnãrlã kãlãnmasã, gizlilik sözleămesi yapãlmasã, söz konusu sözleăme hükümleri ile karăã tarafãn gerekli teknik ve idari tedbirleri almasãnãn saÛlanmasã koăuluyla, hakim ortak ile yapãlmasã ya da hakim ortaÛãn/ ana ortaklãÛãn belirleyeceÛi, konsolide ƻnansal tablo hazãrlama ya da [20] 11.07.2014 tarih, 29057 sayãlã Resmi Gazete’de yayãmlanarak yürürlüÛe giren Bankalarãn âç Sistemleri ve âçsel Sermaye YeterliliÛi DeÛerlendirme Süreci Hakkãnda Yönetmelik. 40 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

grup ăirketi ile yapãlmasã, • Risk Merkezi veya en az beă banka ya da ƻnansal kuruluă tarafãndan kurulmuă ăirketlerce, müăterilerin kamu kurum ve kuruluălarãna kendi talepleri ile verdikleri müăteri sãrrã niteliÛindeki bilgilerin teyit edilmesi konusunda müăteri talep ya da talimatãnãn alãnmãă olmasã ăartãyla, söz konusu kamu kurum ve kuruluălarãna bu bilgilerin sadece doÛru olup olmadãÛã ăeklinde cevap verilmesi, • Bankanãn taraf olduÛu uyuămazlãklarda iddia ya da savunmasãnãn ispatã için zorunlu olmasã halinde, söz konusu uyuămazlãÛãn tarafã olan gerçek veya tüzel kiăilere ait müăteri sãrrã niteliÛindeki bilgilere veya banka sãrrã niteliÛindeki bilgilere iliăkin olarak, yurt içindeki ya da yurt dãăãndaki yargã makamlarã ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuămazlãk çözmeye yetkili makamlarla ya da bu makamlarla paylaămak üzere söz konusu uyuămazlãklarda bankayã temsil eden taraƼarla yapãlan paylaăãmlar, • 5549 sayãlã Suç Gelirlerinin Aklanmasãnãn Önlenmesi Hakkãnda Kanun’un[21] 5. maddesi uyarãnca ƻnansal gruba baÛlã kuruluălarãn, müăterinin tanãnmasãyla hesap ve iălemlere iliăkin olarak grup içerisinde bilgi paylaăãmã, • Kiăisel Verileri Koruma Kurulu’nun Bankacãlãk Kanunu’nun 73’üncü maddesi kapsamãnda yapãlacak paylaăãmlara yönelik Türkiye Bankalar BirliÛi muhatap 07.08.2020 tarih, 67322700-045.02- E.0000029767 sayãlã yazãsãnda esasen kiăisel verilerin bankacãlãk hukukunda özel bir görünümü olan gerçek kiăi müăteri sãrlarã (müăteri bilgileri) bakãmãndan 5411 sayãlã Kanun’un hükümleri, 6698 sayãlã Kanun’a göre özel hüküm niteliÛini haiz bulunduÛu; özel norm- genel norm iliăkisinde özel normlarãn uygulama alanã bulacaÛã deÛerlendirmesinde bulunulmuătur.[22] Bu

(müăteri bilgileri) bakãmãndan 5411 sayãlã Kanun’un hükümleri, 6698 sayãlã Kanun’a göre özel hüküm niteliÛini haiz bulunduÛu; özel norm- genel norm iliăkisinde özel normlarãn uygulama alanã bulacaÛã deÛerlendirmesinde bulunulmuătur.[22] Bu kapsamda, Bankacãlãk Kanunu tahtãnda müăteri bilgilerinin Bankacãlãk Kanunu’nun 73 üncü maddesine dayalã olarak yapãlacak paylaăãmlara genel norm-özel norm prensipleri çerçevesinde Bankacãlãk Kanunu’nun uygulanacaÛã;

Aklanmasãnãn Önlenmesi Hakkãnda Kanun [22] Kiăisel Verileri Koruma Kurumu’nun 07.08.2020 tarih, 67322700-045.02-E.0000029767 sayãlã yazãsã. 41 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Kiăisel Verilerin Korunmasã Kanunu hükümlerinin uygulanmayacaÛã söylenebilecektir. 2.1.2.2. Risk DeÛerlendirmesi Bankalar, faaliyetleri çerçevesinde kredi riski, piyasa riski ve operasyonel risk ana baălãklarã altãnda ele alãnan genel, sektörel ve mikro bazda risklerle karăãlaămaktadãr. Kredi riski, kredi borçlusunun anapara veya faiz ödemeleri ile ilgili yükümlülüklerini zamanãnda veya tam olarak yerine getirememesi nedeni ile bankalarãn maruz kaldãÛã en temel risklerin baăãnda gelmektedir. Bankacãlãkta risk yönetiminin önemli ilkelerinden biri, üstlenilen risk sonucu oluăabilecek zarar ihtimaline karăã kaynak ayrãlmasã, baăka bir deyiă ile sermaye tahsis edilmesidir. Bankacãlãkta; üstlenilen risk, tahsis edilen sermaye ve beklenen getiri arasãnda pozitif bir iliăki bulunmaktadãr. Bu üç olgu arasãnda üstlenilen riskler özel bir önem içermekte; riskin doÛru ölçülmesi, tahsis edilecek sermaye tutarãnã da doÛrudan etkilemektedir.

Bankacãlãkta; üstlenilen risk, tahsis edilen sermaye ve beklenen getiri arasãnda pozitif bir iliăki bulunmaktadãr. Bu üç olgu arasãnda üstlenilen riskler özel bir önem içermekte; riskin doÛru ölçülmesi, tahsis edilecek sermaye tutarãnã da doÛrudan etkilemektedir. Bankalarãn ƻnansal risklerinin yönetilmesi kapsamãnda, müăteri veya müăteri adaylarãna yönelik analiz yapmak ve müăterilerin kredi baăvurularã sonrasãnda, kredilendirme sürecinde yasal sãnãrlarã dikkate alma zorunluluÛu bulunmaktadãr. Kiăisel Verileri Koruma Kurulu’nun (Kurul) 26/07/2018 tarihli ve 2018/92 sayãlã kararã ile, 5411 sayãlã Bankacãlãk Kanunu’nun 49’uncu maddesi ve ilgili diÛer mevzuat hükümleri çerçevesinde bankalar tarafãndan “risk grubu” içerisinde yer alanlarãn kiăisel verilerinin iălenmesinin, 6698 sayãlã Kanunun 5‘inci maddesinin ikinci fãkrasãnãn (ç) bendi uyarãnca bankalarãn hukuki yükümlülüklerinin yerine getirilmesi kapsamãnda olduÛu kanaatine varãlmãătãr. Yine Kiăisel Verileri Koruma Kurulu, risk grubunun 5411 sayãlã Bankacãlãk Kanununda tanãmlandãÛã, 5411 sayãlã Bankacãlãk Kanunu ve ilgili diÛer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kiăilerin kiăisel verilerinin, ancak bankacãlãk faaliyetleri kapsamãnda, kendi bankasã bünyesinde kullanãlmak ve Risk Merkezine aktarãlmak amacãyla iălenmesinin, 42 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 6698 sayãlã Kiăisel Verilerin Korunmasã Kanununun 5 inci maddesinin ikinci fãkrasãnãn (ç) bendi uyarãnca bankalarãn hukuki yükümlülüklerinin yerine getirilmesi kapsamãnda olduÛunun deÛerlendirilmesi gerektiÛi deÛerlendirmesinde bulunmuătur.[23]

6698 sayãlã Kiăisel Verilerin Korunmasã Kanununun 5 inci maddesinin ikinci fãkrasãnãn (ç) bendi uyarãnca bankalarãn hukuki yükümlülüklerinin yerine getirilmesi kapsamãnda olduÛunun deÛerlendirilmesi gerektiÛi deÛerlendirmesinde bulunmuătur.[23] Bu kapsamda, kredi kullandãrãlan gerçek ve tüzel kiăiler ile bu kiăiler ile aynã risk grubunda olan diÛer kiăiler hakkãnda risk analizi ve deÛerlendirmesi ile takibinin yapãlabilmesi için gerekli bilgi ve belgelerin temin edilmesi, temin edilen bilgi ve belgelerin teyit edilebilmesi için gerekli her türlü giriăimde bulunulmasã, bu süreç için gerekli sistemsel düzenlemelerin yapãlmasã ve iăletilmesi için de kiăisel verilerin iălenmesi Kanun kapsamãnda ilgili kiăinin açãk rãzasã alãnmaksãzãn gerçekleătirilebilecektir. 2.1.2.3. DiÛer Kanuni Yükümlülükler GereÛi Veri âăleme ve Paylaăãm Kanun’un 5nci maddesinin ikinci fãkrasãnãn (ç) bendi uyarãnca bir hukuki yükümlülüÛün yerine getirilebilmesi için veri iălenmesinin zorunlu olduÛu hallerde veri sorumlusu, ilgili kiăinin açãk rãzasã olmasa dahi ilgili kiăinin kiăisel verilerini iăleyebilecektir. Bankalarãn da bu doÛrultuda tabi olduklarã Bankacãlãk Kanunu, Sermaye Piyasasã Kanunu gibi hem özel düzenlemelere hem de Anonim Ăirket vasfãnda bulunmalarã nedeniyle Türk Ticaret Kanunu, âă Kanunu gibi genel düzenlemelerde yer verilen hükümlere uyum saÛlayabilmeleri için gerek müăterilerinin gerekse de çalãăanlarãnãn kiăisel verilerini iălemeleri zorunludur. Bu kapsamda bankalarãn hukuki yükümlülüklerini yerine getirebilmek için ilgili kiăiden açãk rãza alãnmasãna gerek olmayan haller kapsamãnda deÛerlendirilmek suretiyle yaptãklarã baălãca iălemeler yalnãzca bunlarla sãnãrlã olmamak üzere aăaÛãda sayãlmaktadãr:

için ilgili kiăiden açãk rãza alãnmasãna gerek olmayan haller kapsamãnda deÛerlendirilmek suretiyle yaptãklarã baălãca iălemeler yalnãzca bunlarla sãnãrlã olmamak üzere aăaÛãda sayãlmaktadãr: • 5549 sayãlã Suç Gelirlerinin Aklanmasãnãn Önlenmesi Hakkãnda Kanun kapsamãnda kimlik tespiti ve teyidinin yapãlabilmesi için kimlik bilgi [23] “âlgili kiăiye ait verilerin veri sorumlusu bir banka tarafãndan rãzasã olmaksãzãn babasã ile paylaăãlmasã karăãsãnda kiăinin Bankadan tazminat talep etmesi hakkãnda” Kiăisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/43 Sayãlã Karar Özeti, www.kvkk.gov.tr 43 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

kurumlar ile paylaăãlmasã • 5941 sayãlã Çek Kanunu kapsamãnda çek hesabã sahiplerinin kiăisel bilgilerinin iălenmesi ve Gelir âdaresi BaăkanlãÛã ve Risk Merkezi ile paylaăãlmasã • 5411 sayãlã Bankacãlãk Kanunu, 5464 sayãlã Banka Kartlarã ve Kredi Kartlarã Kanunu ve 6493 sayãlã Ödeme ve Menkul Kãymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluălarã Hakkãnda Kanun kapsamãnda mevduat sahipleri, kredi borçlularã, kart sahipleri ve ödeme hizmeti kullanãcãlarãnãn kiăisel bilgilerinin iălenmesi ve Risk Merkezi, Tasarruf Mevduatã Sigorta Fonu ve Bankacãlãk Düzenleme ve Denetleme Kurulu ile paylaăãlmasã • 6362 sayãlã Sermaye Piyasasã Kanunu kapsamãnda yatãrãm ürünü sahibi gerçek kiăilerin bilgilerinin iălenmesi ve Sermaye Piyasasã Kurumu ve Yatãrãmcã Tazmin Merkezi ile paylaăãlmasã • 213 sayãlã Vergi Usul Kanunu ve Türkiye’nin taraf olduÛu uluslararasã sözleămeler kapsamãndaki yükümlülüklere uyum saÛlanabilmesi için gerçek kiăi müăterilerin FATCA/CRS bildirim yükümlülüklerine iliăkin olarak bilgilerinin iălenmesi, BSMV, KKDF, Muhtasar Vergisi, Damga Vergisi, KDV, Kurumlar ve Geçici Vergisi, Form BA/BS vergilerinin ödenmesi ve raporlamalarã için Maliye BakanlãÛã ile kiăisel verilerin paylaăãlmasã • Türk Borçlar Kanunu ve Türk Medeni Kanunu kapsamãnda gerçekleătirilen ipotek ve kefalet iălemlerinde ipotek veren/keƻl olan gerçek kiăilerin eălerinin bilgilerinin iălenmesi • 5411 sayãlã Bankacãlãk Kanunu ve 6362 sayãlã Sermaye Piyasasã Kanunu kapsamãnda hesap ekstresi ve yatãrãm ekstresi hazãrlanarak müăteriye gönderilebilmesi ve sesli görüămelerin kaydedilmesi için kiăisel veri iălenmesi • 4857 sayãlã iă Kanunu kapsamãnda iăyeri sicil dosyasãnãn oluăturulmasã ve iă ve sosyal güven

Kanunu kapsamãnda hesap ekstresi ve yatãrãm ekstresi hazãrlanarak müăteriye gönderilebilmesi ve sesli görüămelerin kaydedilmesi için kiăisel veri iălenmesi • 4857 sayãlã iă Kanunu kapsamãnda iăyeri sicil dosyasãnãn oluăturulmasã ve iă ve sosyal güvenlik mevzuatã çerçevesinde oluăturulmasã gereken evraklarãn hazãrlanabilmesi için gerçek kiăi çalãăan bilgisinin iălenmesi ve bunlarãn Çalãăma ve Sosyal Güvenlik Kurumu ile paylaăãlmasã

KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 2.1.3. âyi Uygulamalar Bankalarãn kanunlarla izin verilen ya da hukuki yükümlülükleri çerçevesinde açãk rãza olmaksãzãn gerçekleătirdiÛi bilgi/belge aktarãmlarã kapsamãnda, gerçek kiăi verisi içerir müăteri ve banka sãrlarãnã kanunen açãkça yetkili kãlãnan mercilere açãklama yükümlülükleri, yetkili kãlãnan merciinin talep ettiÛi bilgi ile sãnãrlã olmalã ve Banka yetkili merciinin talebinde açãkça belirtilenden fazla bir gerçek kiăi verisini kendi takdiri ile paylaămamalãdãr. ÖrneÛin, Kiăisel Verileri Koruma Kurulu’nun vermiă olduÛu bir kararda[24], mahkemece veri sorumlusundan ilgili kiăi hakkãnda bazã kiăisel verilerin talep edilmesi halinde, veri sorumlusunun gereÛinden fazla kiăisel veri aktarãmãnda bulunmasãnãn; Kanun’un 8’inci maddesinin (2) numaralã fãkrasãnda atãfta bulunulan Kanun’un 5’inci maddesinin (2) numaralã fãkrasãnãn (ç) bendinde yer verilen hukuki yükümlülüÛün yerine getirilmesi için zorunlu olmasã kapsamãnda deÛerlendirilmemiă ve Kanun’un 4’üncü maddesinin (2) numaralã fãkrasãnãn (ç) bendinde yer alan iălendikleri, amaçla baÛlantãlã, sãnãrlã ve ölçülü olma ilkesine aykãrãlãk teăkil ettiÛine karar verilmiătir. Dolayãsãyla, bankalardan bilgi ve belge talep etmeye yetkili kurum ve kuruluălarla yapãlacak kiăisel veri paylaăãmlarãnda, paylaăãlan bilgi/ belgenin talep edilen veriler ile sãnãrlã tutulmasã, bunun mümkün olmamasã durumunda ilgili belgede yer alan diÛer kiăisel verilerin silinmesi/ maskelenmesi/ anonim hale getirilmesi suretiyle paylaăãlmasã iyi uygulama örneÛi olarak deÛerlendirilebilir. 3- Sözleămenin TaraƼarãna Ait Kiăisel Verilerin âălenmesi

ilgili belgede yer alan diÛer kiăisel verilerin silinmesi/ maskelenmesi/ anonim hale getirilmesi suretiyle paylaăãlmasã iyi uygulama örneÛi olarak deÛerlendirilebilir. 3- Sözleămenin TaraƼarãna Ait Kiăisel Verilerin âălenmesi Bir sözleămenin kurulmasã ve ifasã kapsamãndaki yükümlülüklerin yerine getirilmesi için gerekli olan kiăisel verilerin iălenmesi, ilgili kiăinin açãk rãzasãna tabi tutulmamãătãr. [24] Kiăisel Verileri Koruma Kurulu’nun âălenme Amacãnãn GerektirdiÛinden Fazla Kiăisel Veri âălenmesi/Aktarãlmasã (Veri Minimizasyonu âlkesine Aykãrãlãk) konulu kararã, www.kvkk.gov.tr 45 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ÖrneÛin, bankalarãn müăterileri olan veya olmayan ilgili kiăilere yönelik sunduÛu bazã hizmetler için (SMS ile kredi talebi gibi) talebin alãnmasã, deÛerlendirilmesi ve cevaplanmasã süreçlerinde kiăisel veri iălenmekte ancak taraƼar arasãnda henüz bir sözleăme bulunmamaktadãr. Banka ile ilgili kiăiler arasãndaki sözleăme iliăkisinin kurulma aăamasãna (icaba davet ve icap) iliăkin veri iăleme faaliyetleri açãsãndan ilgili kiăilerden açãk rãza alãnmasã gerekmemektedir. Bir kredi sözleămesindeki borç veren taraf olan bankanãn, bildirimlerin yapãlmasã için kiăiye ait her türlü iletiăim bilgisine sahip olmasã gerekmekte olup, bunun için kiăinin açãk rãzasãnãn alãnmasãna gerek bulunmamaktadãr. 4- Meăru Menfaat[25]

Bir kredi sözleămesindeki borç veren taraf olan bankanãn, bildirimlerin yapãlmasã için kiăiye ait her türlü iletiăim bilgisine sahip olmasã gerekmekte olup, bunun için kiăinin açãk rãzasãnãn alãnmasãna gerek bulunmamaktadãr. 4- Meăru Menfaat[25] Kiăisel Verilerin Korunmasã Kanununun (“Kanun”) 5’inci maddesinin 2’nci fãkrasãnãn (f) bendi, ilgili kiăinin temel hak ve özgürlüklerine zarar vermemek kaydãyla, veri sorumlusunun meăru menfaatleri için zorunlu olmasã durumunda ilgili kiăinin açãk rãzasã alãnmaksãzãn kiăisel verilerin iălenebileceÛini düzenlenmiătir. Meăru menfaatin tespiti nasãl yapãlãr? Veri sorumlusunun meăru menfaati hukuka aykãrã olmayan menfaatini ifade etmektedir. Dolayãsãyla bankanãn hukuk düzeni içerisinde cevaz verilen hukuki veya iktisadi menfaatlerinin ancak belli koăullarda meăru menfaat kapsamãnda deÛerlendirilmesi mümkündür. Meăru menfaat belirlenirken söz konusu yararãn çok sayãda kiăiyi etkilemesi, yalnãzca kâr elde edilmesi ya da ekonomik yararãn saÛlanmasã amacãna [25] Söz konusu kiăisel veri iăleme ăartãna iliăkin örneklere baălãk altãnda yer verilmiă olmakla birlikte özellikle bu bölüm altãnda yer alan 4.2. ve 4.3. alt baălãklarãnãn somut olay özelinde deÛerlendirilmesi gerekmektedir. Bu kapsamda verilen örnekler yerine göre açãk rãza veri iăleme ăartã baăta olmak üzere farklã veri iăleme ăartlarãndan birine de dayanabilecektir. Bu çerçevede meăru menfaat veri iăleme ăartãnãn ancak veri sorumlularãnca Kiăisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 Sayãlã Karar Özeti’nde yer alan denge testinin yapãlmasã sonucunda kabul edilebileceÛi göz önünde tutulmalãdãr. 46 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

sonucunda kabul edilebileceÛi göz önünde tutulmalãdãr. 46 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK yönelik olmamasã, iă süreçlerini ya da bir iăleyiăi kolaylaătãrmasã (örneÛin bir birim ya da az sayãda personel nezdinde deÛil, kurumsal olarak geneli etkileyecek ăekilde) gibi ăeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alãnmasã önem arz etmektedir.[26] ÖrneÛin, çalãăan baÛlãlãÛãnã artãran ödül ve primler uygulanmasã amacãyla veri iălenmesi durumunda meăru menfaate dayanãlabilecektir. Kiăisel verileri meăru menfaate dayalã kullanabilmek için inceleme nasãl yapãlmalãdãr? Meăru menfaatin tespitinde Kiăisel Verileri Koruma Kurumu (“Kurum”) tarafãndan yayãmlanan “Veri sorumlusunun kanuni yükümlülüÛü ve meăru menfaati çerçevesinde kiăisel veri iălemesine iliăkin” 25/03/2019 tarihli ve 2019/78 sayãlã karar meăru menfaate dayalã olarak kiăisel veri iălenecek olmasã halinde, deÛerlendirmenin nasãl yapãlmasã gerektiÛi konusunda yol gösterici nitelikte bir karardãr. Anayasa Mahkemesi, 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralã kararã ile 12.01.2021 tarihli kararãnda[27] meăru menfaatin tespiti için denge testi iăletmiă, böylelikle meăru menfaatin tespiti için ele alãnmasã gereken ölçütleri de “ölçülülük” ilkesi çerçevesinde belirlemiătir. Bu çerçevede banka, veri sorumlusu olarak meăru menfaate dayanmadan önce aăaÛãda yer alan her bir baălãk özelinde deÛerlendirme yapmalãdãr: i. Amaç; Öncelikle ulaăãlmak istenen amaç ve amacãn gerçekleătirilmesinde meăru bir menfaatinin yararãnãn olduÛunu

Bu çerçevede banka, veri sorumlusu olarak meăru menfaate dayanmadan önce aăaÛãda yer alan her bir baălãk özelinde deÛerlendirme yapmalãdãr: i. Amaç; Öncelikle ulaăãlmak istenen amaç ve amacãn gerçekleătirilmesinde meăru bir menfaatinin yararãnãn olduÛunu [26] “Veri sorumlusunun kanuni yükümlülüÛünü yerine getirmek için iălediÛi kiăisel verileri meăru menfaat çerçevesinde kullanma talebiyle Kuruma yapmãă olduÛu baăvuru” hakkãnda Kiăisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 Sayãlã Karar Özeti, www.kvkk.gov.tr [27] RG. 05.02.2021, s, 31386 (Çevrimiçi) https://www.anayasa.gov.tr/media/7232/2018-31036. pdf “•Baăvuru konusu olayda çalãăanãn kurumsal e-postalarãnãn denetlenmesi meăru menfaat kapsamãnda deÛerlendirilmiă, denetleme yapabilmek için kiăisel verileri koruma mevzuatãnãn da gerektirdiÛi üzere meăru menfaat bulunan iăleme faaliyetinde açãk rãza aranmamãătãr” 47 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ortaya koymalãdãr. Meăru menfaat, halihazãrda mevcut, belirli ve açãk olmalãdãr. ii. Orantãlãlãk; Kiăisel verinin iălenmesi sonucunda elde edilecek menfaat ile ilgili amacãn gerçekleătirilebilmesinde ilgili kiăinin temel hak ve özgürlüklerine zarar vermemesi gereklidir. âlgili kiăinin temel hak ve özgürlüklerine zarar vermediÛinin tespit edilebilmesi için, veri sorumlusu ile ilgili kiăi arasãnda “meăru menfaat testi” denilen üç aăamalã (amaç, gereklilik, orantãlãlãk) bir denge testi yapãlmasã, bu testin gerçekleătirilmesinde menfaatlerin tartãlmasã gereklidir.[28]

edilebilmesi için, veri sorumlusu ile ilgili kiăi arasãnda “meăru menfaat testi” denilen üç aăamalã (amaç, gereklilik, orantãlãlãk) bir denge testi yapãlmasã, bu testin gerçekleătirilmesinde menfaatlerin tartãlmasã gereklidir.[28] Veri sorumlusu tarafãndan bu ăartãn varlãÛãnãn test edilebilmesi için veri sorumlusu ile ilgili kiăi arasãndaki iliăki çerçevesinde ilgili kiăinin makul beklentileri esas alãnmalãdãr. Bir baăka ifadeyle, veri sorumlusu ve ilgili kiăi arasãndaki iliăkinin doÛasã gereÛi, ilgili kiăi tarafãndan beklenebilecek iălemeler yönünden veri sorumlusunun meăru menfaatine dayanabilecektir. iii. Gereklilik; bu amacãn gerçekleătirilebilmesi için kiăisel veri iălenmesinin zorunlu/gerekli olmasã ăarttãr. Buradaki zorunluluk, veri sorumlusunun kiăinin verisini iălemek zorunda olmasãdãr. Kiăisel veri iălenmeksizin baăkaca bir yol ve yöntemle bu yararãn ortaya çãkmasãnãn mümkün olmamasã gerekir. Gereklilik ilkesi, kiăisel verinin iălenmesi açãsãndan, ulaăãlmak istenen amacã gerçekleătirme bakãmãndan aynã veya yakãn derecede elveriăli iki araçtan, daha az sãnãrlayãcã, yani daha yumuăak olan aracãn seçilmesi gereÛini ifade eder.[29] Bu noktada kiăisel veri iălenmesi [28] “Veri sorumlusunun kanuni yükümlülüÛünü yerine getirmek için iălediÛi kiăisel verileri meăru menfaat çerçevesinde kullanma talebiyle Kuruma yapmãă olduÛu baăvuru” ya iliăkin Kiăisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 Sayãlã Karar Özeti, www.kvkk.gov. tr 29 Yüksel Metin, (2017) Temel Haklarãn Sãnãrlandãrãlmasã ve Ölçülülük. SDÜHFD, Cilt:7, Sayã:1, s. 8-9 48 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

tr 29 Yüksel Metin, (2017) Temel Haklarãn Sãnãrlandãrãlmasã ve Ölçülülük. SDÜHFD, Cilt:7, Sayã:1, s. 8-9 48 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK gerekli deÛil ise, bir baăka ifadeyle “gereklilik testi” geçilemiyor ise anonim veri üzerinde çalãăãlmasã tercih edilmelidir. Bu açãdan ilgili kiăinin baăta kiăisel verilerinin korunmasã olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacãyla öngörülebilir, açãk ve yakãn her türlü tehlikeden uzak tutulmalãdãr. Bununla birlikte; • Kiăisel verilerin bir veri kayãt sisteminde, amaçla sãnãrlã olarak hukuka uygun iăleyiăinin temini ile zararã ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alãnmasã, • Kiăisel verilerin iălenmesinde genel ilkelere uygunluÛun saÛlanmasã gereklidir. Kiăisel verilerin korunmasã hukukunda, somut olayãn koăullarã, yapãlacak deÛerlendirmede büyük önem arz etmektedir. Bu sebeple, yapãlan açãklamalarãn doÛrultusunda gerçekleătirilecek meăru menfaat deÛerlendirmesi ve uygulamalara ait sorumluluk veri sorumlularãna aittir. AăaÛãda yer alan örneklere yalnãzca konunun anlaăãlmasãnã kolaylaătãrma amacãyla belirli hizmet baălãklarã altãnda yer verilmiătir. Bu itibarla bankalar, meăru menfaat için gerekli deÛerlendirmeyi yaptãktan sonra ancak eriăilebilir ve görünür bir ăekilde aydãnlatma yükümlülüÛünü yerine getirmek ve baăka bir amaçla kullanmamak kaydãyla ilgili kiăilerin (kiăisel verisi iălenen gerçek kiăilerin) açãk rãzasãnã almaksãzãn verilerini kullanãlabilecekleridir. 4.1. Bilgi GüvenliÛinin SaÛlanmasã Amacãyla

yerine getirmek ve baăka bir amaçla kullanmamak kaydãyla ilgili kiăilerin (kiăisel verisi iălenen gerçek kiăilerin) açãk rãzasãnã almaksãzãn verilerini kullanãlabilecekleridir. 4.1. Bilgi GüvenliÛinin SaÛlanmasã Amacãyla Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik ile bankalar için açãkça öngörülen yükümlülükler bulunmakla birlikte, bankalar, karăã karăãya kalabilecekleri güvenlik risklerini bertaraf etmek için gerekli güvenlik önlemlerini çeăitlendirmektedir. 49 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 4.1.1. Dolandãrãcãlãk Tedbirleri Bankalarca ilgili kiăilerin iălem güvenliÛinin saÛlanmasã ve bankacãlãk iălem ve hareketlerindeki olaÛan dãăã durumlar tespit edilerek gerekli tedbirlerin alãnabilmesi amacãyla yapãlan çalãămalar ilgili kiăinin menfaatlerinin korunmasã çerçevesinde gerçekleătirilmektedir. ÖrneÛin; Müăterilerin olaÛan dãăã davranãălarãnãn tespit edilmesi ve anomali analizi yapãlmasã için; • Müăterinin daha önce alãăveriă yaptãÛã lokasyonlar (ăehir/ülke) • KullandãÛã cihazlara ait bilgiler (IP, IMEI telefon modeli, açar tercihi, iăletim sistemi, zararlã yazãlãm tespiti için kullandãÛã uygulamalar vb.) • Yapmãă olduÛu para transferlerine iliăkin bilgiler (alãcã TCKN/YKN/VKN, hesap/IBAN vb.) iălenebilmektedir. 4.2. Bankacãlãk Alanãnda Müăteri Gruplarãnãn (Segmentasyon) Belirlenmesi Amacãyla Bankalar nezdinde müăterilerin gruplandãrãlmasã temel olarak; müăterinin tâbi olduÛu hizmet seviyesini belirlemeye, müăterinin bankalar ile olan iliăkisini ve ürün, kanal kullanãmãnã anlamaya yönelik olarak müăteri verilerinin deÛerlendirilmesi sürecidir.

Belirlenmesi Amacãyla Bankalar nezdinde müăterilerin gruplandãrãlmasã temel olarak; müăterinin tâbi olduÛu hizmet seviyesini belirlemeye, müăterinin bankalar ile olan iliăkisini ve ürün, kanal kullanãmãnã anlamaya yönelik olarak müăteri verilerinin deÛerlendirilmesi sürecidir. Müăterilerin gruplandãrãlmasã bu baÛlamda, bankalarãn farklã birimlerine (Genel Müdürlük, Bölge ve Ăube) iliăkin süreçlerin, rollerin, hedeƼerin, çalãăan sayãlarãnãn ve dolayãsãyla bütçelerin ve maliyetlerin belirlenmesinde belirleyici unsurlar olmaktadãr. Gruplandãrma, bankalarãn faaliyetlerini sürdürebilmeleri için gerekli organizasyonel ve mali deÛerlendirmeyi yapmalarãnã, gelecek dönemler için öngörülerini oluăturmalarãnã saÛlamaktadãr. Bu durum, ilgili kiăi iliăkilerinin yönetiminin yanã sãra, ilgili kiăilerle uzun süreli iliăkiler kurulmasãna ve müăterilere ihtiyaçlarãna uygun hizmet verilmesine yardãmcã olan bir eylemdir. Tipik olarak, burada iălenen kiăisel veriler, ilgili kiăinin gelir ve gider gibi bilgilerinden oluămaktadãr. Bu bilgilerin iălenmesi ile ilgili müăteri 50 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK gruplarãna doÛru ürün/hizmet sunulmasã, bankalarãn tabi olduÛu yasal düzenlemeler doÛrultusunda, ƻnansal tüketicinin korunmasã adãna önem arz etmektedir. ÖrneÛin; • Finansal gelir ve giderleri benzer olan kiăilerden oluăturulan gruplara özel indirim, teklif veya ürün sunulabilmekte, her bir grup için özel pazarlama seçenekleri oluăturulabilmektedir. Bu esaslar belirlenirken bankalarca aăaÛãdaki örneklere benzer hususlar dikkate alãnabilir. • âlgili kiăilerin bankalardan aldãklarã ürün ve hizmetlerin sunulmasã için gerekli olmasã nedeniyle elde edilmiă (sözleămenin ifasã için gerekli olan) veri kümesinin kullanãlmasã

Bu esaslar belirlenirken bankalarca aăaÛãdaki örneklere benzer hususlar dikkate alãnabilir. • âlgili kiăilerin bankalardan aldãklarã ürün ve hizmetlerin sunulmasã için gerekli olmasã nedeniyle elde edilmiă (sözleămenin ifasã için gerekli olan) veri kümesinin kullanãlmasã • Kullanãlan verilerin veya segmentasyon analizi sonuçlarãnãn gerekli teknik ve idari tedbirlerin alãnmasã suretiyle korunmasã ve banka dãăãna çãkmasãnãn engellemesi Burada yapãlan çalãămalarda, her bir olay bazãnda ölçülülük ve ilgili kiăinin temel hak ve özgürlüklerine zarar vermemek esaslarã dikkate alãnmalãdãr. 4.3. Müăterilere Hitap Eden Ürün Hizmetlerin Tespiti Amacãyla Çeăitli araătãrmalar, veri temelli ekonomide tüketici beklentilerinin kendilerine özel ürün ve hizmetler sunulmasã olduÛunu göstermektedir. Bu kapsamda, Bankanãn ƻnansal kaynaklarãnãn verimli kullanãmã ile müăteri ihtiyacãnãn doÛru ăekilde karăãlanmasã ve müăteri memnuniyetinin saÛlanmasãnda müăteriye uygun ürün ve hizmetlerin sunulmasã önemlidir. Bankalar bu ihtiyaca istinaden; i. âlgili kiăiler ile kurulan hizmet iliăkisi çerçevesi ile sãnãrlã olarak, ii. âlgili kiăinin makul beklentisi çerçevesinde kalarak, iii. Somut olay özelinde ilgili kiăinin de çãkarã olabileceÛini gözetmek kaydãyla, sadece kullanãlan ürün/hizmetle ile ilgili (doÛrudan) pazarlama yapãlmasã amacãyla, kiăisel veri iăleyebilmektedir. 51 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ AăaÛãda bu gibi durumlara örnekler verilmektedir: • Müăteriden sözleăme gereÛince alãnan meslek bilgilerinden yola çãkãlarak, kamu çalãăanlarãna sunulacak bir kampanyanãn sadece kamu çalãăanlarãna ulaămasã saÛlanabilmektedir.

AăaÛãda bu gibi durumlara örnekler verilmektedir: • Müăteriden sözleăme gereÛince alãnan meslek bilgilerinden yola çãkãlarak, kamu çalãăanlarãna sunulacak bir kampanyanãn sadece kamu çalãăanlarãna ulaămasã saÛlanabilmektedir. • Belirli ürünlere yönelik (kredi, mevduat hesabã) uygulanan kampanyalarãn (indirim, avantaj, ilave taksit, puan vb.) sadece ilgili ürünü kullanan müăterilere iletilmesi saÛlanabilmektedir. • Müăteriler, banka ile kurduÛu iliăki çerçevesinde, banka nezdinde bulunan ürün veya hizmetlerinin devamã niteliÛi taăãyan ürün/ hizmetlerin sunulmasãnã ve yeni koăullarãn kendilerine bildirilmesini beklemektedir. Müăterinin yatãrãmãn açãkta kalmamasã için vadeli hesap sözleămesinin vade sonunda müăteriye bildirilmesi ile muadil bir ürün teklif edilebilmektedir. • Otomatik ödeme talimatã vermek isteyen ve kredili mevduat hesabã bulunmayan müăterilere, hesabãnda bakiye olmamasã halinde ödemelerinde gecikmeye düămemesi için kredili mevduat hesabã açãlmasãnã isteyip istemediÛinin sorulmasã Bu aăamada kiăisel veri iăleme faaliyeti bakãmãndan deÛerlendirmeler titizlikle yürütülmeli, kullanãlacak olan kiăisel veriler ölçülülük ilkesi çerçevesinde; özel nitelikli verilerden arãndãrãlmãă ăekilde, müăterinin makul beklentisiyle uyumlu ve sãnãrlã olarak belirlenmelidir. Bunun saÛlanabilmesi için hukuka uygun olarak bankaca elde edilmiă verilerin aydãnlatma metinlerinde belirtilmiă olmasã kaydãyla veri sorumlusu, ilgili kiăiyi konu hakkãnda açãk olarak bilgilendirmiă olmalãdãr. Tipik olarak, burada iălenen kiăisel veriler; • âlgili kiăiler bankacãlãk ürün ve hizmetlerin sunulmasã veya kullanãlmasã sãrasãnda kurulan doÛrudan temaslar kapsamãnda elde edilen, • âçerisinde özel nitelikli kiăisel veri bulundurmayan, • DoÛrudan müăterilerden edinilen kimlik, demograƻk ve iletiăim

• âlgili kiăiler bankacãlãk ürün ve hizmetlerin sunulmasã veya kullanãlmasã sãrasãnda kurulan doÛrudan temaslar kapsamãnda elde edilen, • âçerisinde özel nitelikli kiăisel veri bulundurmayan, • DoÛrudan müăterilerden edinilen kimlik, demograƻk ve iletiăim bilgileri (örneÛin, yaăã, eÛitim durumu, nerede oturduÛu) ile 52 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK • âlgili kiăinin ürün/hizmet kullanãm bilgilerinden (örneÛin, iălem detaylarãna girmeyecek veya hangi sektörlerde toplam ne kadar alãăveriă yaptãÛã gibi toplulaătãrãlmãă iălem verileri) oluăabilecektir. Yukarãdaki örneklerde yer verildiÛi ăekilde iălem yapãlmamasã müăterilere kendileri ile ilgili olmayan tekliƼerin sunulmasã rahatsãzlãk verici düzeye ulaăabileceÛinden aksi yönde uygulamalar ilgili kiăilerin temel hak ve özgürlüklerinin ihlalini oluăturabilecektir. Bu çerçevede yapãlan kiăisel veri iăleme faaliyetlerinde ilgili kiăinin aleyhine bir sonuç doÛmasã halinde itiraz hakkãnã düzenlemiătir.[30] Bu hak, ilgili kiăi meăru menfaat için veri sorumlusunun yaptãÛã denge testine müdahale edebileceÛi alandãr. ilgili kiăinin temel hak ve hürriyetlerine zarar vermemesi için veri sorumlusu proƻlleme neticesinde meăru menfaate dayalã olarak yaptãÛã bir faaliyet olmasã halinde, ilgili kiăi ile iletiăime geçtiÛi anda itiraz hakkãnã sunmasã önemlidir. ÖrneÛin ilgili kiăiye reklam içerikli ileti gönderilmesi için “Ticari iletiăim ve Ticari Elektronik iletiler Hakkãnda Yönetmelik” çerçevesinde kiăinin onay vermiă olmasã kiăinin makul beklentisinin tespitinde de önemli bir ölçüt olarak deÛerlendirilebilecektir. 4.4. Strateji Çalãămalarãnãn Yürütülmesi

Ticari Elektronik iletiler Hakkãnda Yönetmelik” çerçevesinde kiăinin onay vermiă olmasã kiăinin makul beklentisinin tespitinde de önemli bir ölçüt olarak deÛerlendirilebilecektir. 4.4. Strateji Çalãămalarãnãn Yürütülmesi Müăterilerin iyi analiz edilmesi, pazar stratejileri belirlenmesinde önemli bir unsur olarak karăãmãza çãkmaktadãr. Bununla birlikte, ticari hayatta ăirketlerin hizmet ve ürünlerini geliătirilebilmesi için müăterileri tanãma ve anlama ihtiyacã içindedirler. Bu kapsamda banka nezdindeki müăteri verileri yapay zekânãn devreye girmesi ile iălenmektedir. Bu aăamanãn sonunda, kullanãlan kiăisel verilere geri dönülmesi mümkün olmayan, bir baăka ifadeyle kiăisel veri içermeyen, [30] Kanunun 11. maddesi çerçevesinde ilgili kiăi her zaman veri sorumlusuna baăvurarak kendisi ile ilgili âălenen verilerin münhasãran otomatik sistemler vasãtasãyla analiz edilmesi suretiyle kiăinin kendisi aleyhine bir sonucun ortaya çãkmasãna itiraz etme hakkãna sahiptir. 53 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ genel davranãălarã gösteren bazã öngörülere ulaăãlmaktadãr. Bankalarca bu öngörüler risk yönetimi, karlãlãk raporlarã, maliyetlerin azaltãlmasã amacãyla kullanabildiÛi gibi bankanãn kitlesel olarak tüm müăterileri için pazarlama stratejilerini belirleme gibi alanlarda etkin yaklaăãmlar geliătirilmesinde kullanãlabilmektedir. Söz konusu analizler, müăteri bazãnda aksiyon alãnma amacã güdülmeden gerçekleătirilmekte, banka faaliyetlerinin iyileătirilmesi, idari süreçlerin belirlenmesi ve yürütülmesi gibi amaçlara dayanmaktadãr. Stratejik analiz sonuçlarãna göre müăteri bazãnda aksiyon alãnmasãnãn söz konusu olmasã halinde, yeni amaç yönünden hukuki sebebin belirlenmesi zorunludur.

belirlenmesi ve yürütülmesi gibi amaçlara dayanmaktadãr. Stratejik analiz sonuçlarãna göre müăteri bazãnda aksiyon alãnmasãnãn söz konusu olmasã halinde, yeni amaç yönünden hukuki sebebin belirlenmesi zorunludur. ÖrneÛin; Bankalar hangi müăteri kitlesine hangi ürünlerin hitap edeceÛini tespit etmek amacãyla, müăterilerin hangi ürünü aldãÛã, toplam maliyetleri, nerede alãăveriă yapãldãÛã gibi davranãă hareketlerini içeren veri tabanlarãnã inceleme ihtiyacãnda olabilmektedirler. Bu kapsamda, hangi müăteri kitlesine ne tür ürün ve hizmetlerin sunulabileceÛinin tahmin edilebilmesi ve etkin ürün kullanãmã hedeƼemesinde en saÛlãklã sonuç veren yöntem olarak büyük veriye dayalã otomatik karar alma mekanizmalarã tercih edilmektedir. âlgili kiăilerin ürün kullanma davranãălarãnãn belirlenmesinde gerçek kiăinin kimliÛine ihtiyaç duyulamamakla birlikte kiăisel veriler üzerinde çalãăãlmasã gerekebilmektedir. Otomatik Karar Alma Mekanizmalarãnda Dikkat Edilmesi Gereken Ölçütler Nelerdir? i. Hukuka uygun bir ăekilde elde edilmiă kiăisel verilerin, meăru amaçlar çerçevesinde, kullanãlmasã öncesinde her somut olayãn özellikleri göz önüne alãnarak ayrãca deÛerlendirilmesi önem arz etmektedir. Bu noktada özellikle veri sorumlusu banka, daha haƻf bir müdahale ile (anonim veri kullanarak vb.) istediÛi amaca ulaăabiliyorsa burada gerçekleătirilen faaliyetin meăru menfaate dayandãÛãndan bahsedilemeyecektir. 54 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK ii. âălenecek kiăisel verilerin türünü, niteliÛini, kaynaÛãnã ve miktarãnã iii. deÛerlendirmeli gereksiz ve aăãrã iăleme faaliyetlerinin önü

54 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK ii. âălenecek kiăisel verilerin türünü, niteliÛini, kaynaÛãnã ve miktarãnã iii. deÛerlendirmeli gereksiz ve aăãrã iăleme faaliyetlerinin önü alãnmalãdãr. Bu baÛlamda mümkünse gerçek kiăisel verileri modelleyen temsili veriler etkili bir çözüm olabilecektir. Veri iălemede risk (etki analizi) deÛerlendirmesi, yapay zekânãn ve büyük verinin özellikleri gözetilerek, daha hassas bir ăekilde yapãlmalãdãr.[31] iv. Her durumda ilgili kiăinin gizliliÛinin korunmasãnãn saÛlanmasã için, müăterinin kimliÛinin anonimleătirilmesi (anonymization) veya takma adlã hale getirilmesi (pseudonymization) suretiyle kiăiye ait verilerin iălenmesi yolu tercih edilmelidir. v. Anonimleătirme, kiăisel verileri tanãmlamanãn muhtemel olmayan bir forma dönüătürme sürecidir. Yaăayan bir bireye baÛlanamayan anonimleătirilmiă veriler, KVKK’ya tabi deÛildir. Dolayãsãyla yapay zekânãn oluăturduÛu öngörü anonim bir veri olsa dahi oluăan bilgileri korunmasãna devam edilmeli, kontrollü eriăim ortamlarã veya sãnãrlayãcã lisanslarãn kullanãlmasã ve benzeri yöntemlerin uygulanmasã büyük titizlikle deÛerlendirilmelidir. vi. Anonimleătirme sürecinde ilgili kiăinin kimliÛine iliăkin hiçbir bilgi tutulmazken, dolaylã tanãmlayãcãlar ve/veya baÛlantãlar yoluyla ilgili kiăileri tanãmlamak hala mümkün olabilmektedir. Kiăisel verilerin bir veri kayãt sisteminde amaçla sãnãrlã olarak hukuka uygun iăleyiăinin temini ile zararã ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alãnmasã, verilerin anonim olarak kullanãlmasãnã saÛlamak her zaman veri sorumlusunun yükümlülüÛündedir.

veri kayãt sisteminde amaçla sãnãrlã olarak hukuka uygun iăleyiăinin temini ile zararã ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alãnmasã, verilerin anonim olarak kullanãlmasãnã saÛlamak her zaman veri sorumlusunun yükümlülüÛündedir. Yapay zekânãn çãktãsã olan modellerin gerçek kiăilere uygulandãÛã ikinci aăamaya geçildiÛinde, amaca baÛlã olarak yeniden bir hukuki sebep deÛerlendirmesi yapãlmasã gerekmektedir. Bu aăama neticesinde oluăan bilginin ilgili kiăi ile iliăkilendirilmek istenilmesi halinde, (örneÛin oluăturulan proƻller ve modellere göre kiăiye özel ürün tekliƼeri yapãlmasã durumunda) kiăinin KVKK uyarãnca uygun hukuka uygunluk sebebi bulunmasã zorunludur. [31] Algoritmik Karar Verme ve Veri Korumasã Yapay Zeka Çalãăma Grubu, Ăubat 2020, (çevrimiçi), https:// www.istanbulbarosu.org.tr/ƻles/docs/AlgoritmikKararVermeveVeriKorumas%C4%B1022020.pdf 55 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 4.5. Müăteri Memnuniyetinin SaÛlanmasã Gerek BDDK gerekse müăteriler tarafãndan bankalarãn tüketici ăikâyetlerini ve müăteri iliăkilerini en iyi ăekilde yönetmeleri beklenmektedir. Bu çalãămalar; veri iăleme ile analiz faaliyetleri ve iletiăimi kapsamaktadãr. Bu kapsamda müăterinin ürün ve kanal kullanãm detaylarã, ăikâyet geçmiăi gibi banka nezdinde tutulan veriler kullanãlabilmektedir. Bu bilgilerin, bankalarãn sistemsel iăleyiăini devam ettirmek, müăteri aleyhine sonuç doÛurabilecek hatalarã tespit etmek, düzeltmek ve bunlara karăã önlem almak amacãyla iălenmesi sonucunda müăteri deneyimi iyileătirilerek müăteri memnuniyeti de artãrãlmaktadãr.

sistemsel iăleyiăini devam ettirmek, müăteri aleyhine sonuç doÛurabilecek hatalarã tespit etmek, düzeltmek ve bunlara karăã önlem almak amacãyla iălenmesi sonucunda müăteri deneyimi iyileătirilerek müăteri memnuniyeti de artãrãlmaktadãr. ÖrneÛin; müăterinin mobil bankacãlãk kanalãyla alakalã bir ăikayeti neticesinde müăterinin mobil bankacãlãkta hangi menüleri kullandãÛã gibi verilerden yola çãkãlarak müăteriye ăikayet sebebiyle alakalã tatmin edici yanãtlarla dönülebilmesi ve genel kullanãcã deneyimi iyileătirilerek benzer ăikayet sebeplerinin ortadan kaldãrãlmasã mümkün olmaktadãr. Büyük veri teknolojisi ile metinlerin analiz edilmesi, soru-yanãt makineleri, otomatik konuăma ve komut anlama, konuăma üretme, bilgi saÛlama gibi baălãklardan faydalanabilmektedir. ÖrneÛin; bankalar çeăitli iletiăim kanallarã üzerinden topladãklarã (ses, metin, görüntü, video, davranãă, vb.) analiz edilebilir formata dönüătürülerek veriyi anlamaya çalãămakta böylelikle metinler içerisindeki referans kelimeler üzerinden ilgili kiăinin talepleri anlaăãlmakta ve otomatik olarak ilgili kiăilerin talepleri karăãlanmaktadãr. Bu analizlerin ilgili kiăiler ile pazarlama yapãlmasã ve ürün sunulmasã gibi amaçlar ile eăleătirilmesinin (proƻlleme yapãlmasã) açãk rãza gerektiren bir kiăisel veri iăleme faaliyetidir. 5- Bir Hakkãn Tesisi ve Korunmasã âçin Zorunlu Olma Bankalarãn faaliyetlerini güvenli bir ăekilde yürütebilmesi maruz kaldãklarã 56 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK risklerin belirlenmesine ve yönetilmesine baÛlãdãr.[32] Bankanãn ticari menfaatini güvende tutmak amacãyla, alacaklarãn tahsil edilmesi amacãyla kredi borçlusu müăteri ile iletiăime geçmesi gerekebilmektedir.

risklerin belirlenmesine ve yönetilmesine baÛlãdãr.[32] Bankanãn ticari menfaatini güvende tutmak amacãyla, alacaklarãn tahsil edilmesi amacãyla kredi borçlusu müăteri ile iletiăime geçmesi gerekebilmektedir. ÖrneÛin; Banka tarafãndan resmi bilgi paylaăãm platformlarãndan (Risk Merkezi, vb.) veya BTK lisanslã kuruluălar üzerinden yapãlan ve TCKN bazlã sorgular ile rehberlik hizmeti veren kuruluălardan temin edilen telefon numaralarã bankalarãn alacaklarãnãn tahsili için idari ve yasal takip aăamasãnda kullanãlabilmektedir. Bu durum, ilgili kiăiler açãsãndan da kiăinin gecikmeye düăen borçlarãnã ödeyerek takibe düămemesine hizmet edecektir. Banka, yaptãÛã sorgulamalar ile elde ettiÛi iletiăim bilgilerini kullanarak ilgili kiăilerle haberleămesi sãrasãnda gerekli kimlik doÛrulama mekanizmalarãnã iăletmeli, müăteriye ait bilgilerin üçüncü kiăilerce ele geçirilmesini önlemelidir. 6- Bankalarca âălenen Özel Nitelikli Kiăisel Veriler 6.1. Özel Nitelikli Kiăisel Veriler – Genel Olarak 6.1.1. Mevzuat Özel nitelikli kiăisel veriler, 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu’nun (“Kanun”) 6’ncã maddesinde sãnãrlã olarak sayãlmãătãr. Kanun’un ilgili maddesine göre özel nitelikli kiăisel veriler, kiăilerin: • ãrkã, • etnik kökeni, • siyasi düăüncesi, • felseƻ inancã, • dini, mezhebi veya diÛer inançlarã, • kãlãk ve kãyafeti, • dernek, vakãf ya da sendika üyeliÛi, • saÛlãÛã, • cinsel hayatã, [32] Yaăar Alãcã, Bankacãlãk Kanunu Ăerhi, Cilt II, On iki Levha Yayãncãlãk, âstanbul 2017, s. 893. 57 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ • ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, • biyometrik ve genetik verileridir.

57 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ • ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, • biyometrik ve genetik verileridir. Dolayãsãyla, özel nitelikli kiăisel verilerin kãyas yoluyla geniăletilmesi mümkün deÛildir. Kanun, söz konusu verilere özel bir önem atfetmekte ve bu verilerle ilgili daha sãkã bir düzenleme getirmektedir. Zira, bu veriler baăkalarã tarafãndan öÛrenildiÛi takdirde ilgili kiăinin maÛdur olabilmesine veya ayrãmcãlãÛa maruz kalabilmesine neden olabilecek nitelikte veriler olmalarã dikkate alãnmakta ve bu tür veriler özel nitelikli veri olarak kabul edilmektedir. Bu doÛrultuda Kanun uyarãnca Kiăisel Verileri Koruma Kurulunun (“Kurul”) 31 Ocak 2018 Tarihli ve 2018/10 Sayãlã Kararã[33] ile belirlenen yeterli önlemler alãnmaksãzãn özel nitelikli verilerin iălenememesi öngörülmekte, ayrãca Kanun’un 6’ncã maddesinin ikinci fãkrasãnda özel nitelikli kiăisel verilerin, ilgilinin açãk rãzasã olmaksãzãn iălenmesinin yasak olduÛu hükme baÛlanmãă olup 6’ncã maddenin üçüncü fãkrasãnda ise tahdidi olarak sayãlan ăartlarãn varlãÛã halinde, yeterli önlem alãnmasã ăartã baki kalmak kaydãyla ilgili kiăinin açãk rãzasã aranmaksãzãn özel nitelikli kiăisel verilerin iălenmesine imkân tanãnmaktadãr. Buna göre; a) âlgili kiăinin açãk rãzasãnãn olmasã, b) Kanunlarda açãkça öngörülmesi, c) Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda

tanãnmaktadãr. Buna göre; a) âlgili kiăinin açãk rãzasãnãn olmasã, b) Kanunlarda açãkça öngörülmesi, c) Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda bulunan veya rãzasãna hukuki geçerlilik tanãnmayan kiăinin, kendisinin ya da bir baăkasãnãn hayatã veya beden bütünlüÛünün korunmasã için zorunlu olmasã, ç) âlgili kiăinin alenileătirdiÛi kiăisel verilere iliăkin ve alenileătirme iradesine uygun olmasã, [33] “Özel Nitelikli Kiăisel Verilerin âălenmesinde Veri Sorumlularãnca Alãnmasã Gereken Yeterli Önlemler” ile ilgili Kiăisel Verileri Koruma Kurulu’nun 31 Ocak 2018 tarihli ve 2018/10 sayãlã Kararã, www.kvkk.gov.tr 58 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK d) Bir hakkãn tesisi, kullanãlmasã veya korunmasã için zorunlu olmasã, e) Sãr saklama yükümlülüÛü altãnda bulunan kiăiler veya yetkili kurum ve kuruluălarca, kamu saÛlãÛãnãn korunmasã, koruyucu hekimlik, tãbbi teăhis, tedavi ve bakãm hizmetlerinin yürütülmesi ile saÛlãk hizmetlerinin planlanmasã, yönetimi ve ƻnansmanã amacãyla gerekli olmasã, f) âstihdam, iă saÛlãÛã ve güvenliÛi, sosyal güvenlik, sosyal hizmetler ve sosyal yardãm alanlarãndaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olmasã, g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakãf, dernek ve diÛer kâr amacã gütmeyen kuruluă ya da oluăumlarãn, tâbi olduklarã mevzuata ve amaçlarãna uygun olmak, faaliyet alanlarãyla sãnãrlã olmak ve üçüncü kiăilere açãklanmamak kaydãyla; mevcut veya eski üyelerine ve mensuplarãna veyahut bu kuruluă ve oluăumlarla düzenli olarak temasta olan kiăilere yönelik olmasã, halinde iălenmeleri mümkündür.

olmak ve üçüncü kiăilere açãklanmamak kaydãyla; mevcut veya eski üyelerine ve mensuplarãna veyahut bu kuruluă ve oluăumlarla düzenli olarak temasta olan kiăilere yönelik olmasã, halinde iălenmeleri mümkündür. Her halükarda ilgili kiăiler, Kanun’un 10’uncu maddesinde ve Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkãnda TebliÛ’de[34] düzenlenen hükümlere uygun ăekilde bankalar tarafãndan kiăisel verilerinin iălenmesi hakkãnda aydãnlatãlmalãdãr.[35] Öte yandan, Kanun’un 4’üncü maddesi, veri sorumlularãnãn tüm kiăisel veri iăleme faaliyetlerinde uyum saÛlamakla yükümlü olduÛu genel ilkeleri ortaya koymaktadãr. Özel nitelikli kiăisel verilerin hassasiyeti göz önünde bulundurulduÛunda; genel ilkelere uyum, söz konusu verilerin iălenmesinde ayrãca önem arz etmektedir. Bu kapsamda, özel nitelikli [34] 30356 sayãlã Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Hakkãnda TebliÛ, 2018 [35] Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkãnda TebliÛ’in 5’inci maddesi uyarãnca ilgili kiăinin açãk rãzasãna veya Kanun’daki diÛer iăleme ăartlarãna baÛlã olarak kiăisel veri iălendiÛi her durumda aydãnlatma yükümlülüÛü yerine getirilmesi ve kiăisel veri iăleme faaliyetinin açãk rãza ăartãna dayalã olarak gerçekleătirilmesi halinde, aydãnlatma yükümlülüÛü ve açãk rãzanãn alãnmasã iălemlerinin ayrã ayrã yerine getirilmesi gerekmektedir. Bu bakãmdan, iăbu çalãămada yer alan özel nitelikli kiăisel verilerin iălenmesi bakãmãndan önerilen iyi uygulama örnekleri kapsamãnda aydãnlatma yükümlülüÛünün yerine getirilmesine ayrãca yer verilmeyecektir. 59

gerekmektedir. Bu bakãmdan, iăbu çalãămada yer alan özel nitelikli kiăisel verilerin iălenmesi bakãmãndan önerilen iyi uygulama örnekleri kapsamãnda aydãnlatma yükümlülüÛünün yerine getirilmesine ayrãca yer verilmeyecektir. 59 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ kiăisel veri iălenmesini gerektiren her türlü veri iăleme faaliyetinde “kiăisel verilerin iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma” ilkelerinin gözetilmesi esastãr. Nitekim, özel nitelikli verilerin iălenmesi kapsamãnda “ölçülülük” kavramã, Kurul’un 2019/81[[36]ve 2019/165[37] sayãlã Kararlarãnda detaylã bir ăekilde ele alãnmãătãr. Bu kapsamda, ölçülülük ilkesi uyarãnca veri sorumlularãnãn, ilgili kiăilerden süreç özelinde hedeƼenen meăru amaçlara ulaămak için minimum düzeyde veri talep etmesi ve gerekli olmayan veri iălemeden kaçãnmasã gerekmektedir. Bununla birlikte, kiăisel verilerin iălenmesi, Kanunun 6’ncã maddesinde yer alan iăleme ăartlarãndan biri olsa dahi ölçüsüz nitelikte bir kiăisel veri iăleme faaliyetini meărulaătãrmamaktadãr. Bu doÛrultuda, özel nitelikli kiăisel verilerin iălenmesi sãrasãnda genel ilkelere uyuma azami hassasiyet gösterilmesi gerekmektedir. ÖrneÛin bir iă yerinde insan kaynaklarã birimince çalãăanlarãn mali haklarãnãn belirlenebilmesi için sendika üyeliÛi verisinin alãnmasã ölçülü kabul edilecekken, aynã iă yerinin AR-GE birimince söz konusu verinin alãnmasã ölçülü olarak kabul edilmeyecektir.[38] 6.1.2. Özel Nitelikli Kiăisel Verilerin âălenmesinde Alãnmasã Gereken Yeterli Önlemler

ölçülü kabul edilecekken, aynã iă yerinin AR-GE birimince söz konusu verinin alãnmasã ölçülü olarak kabul edilmeyecektir.[38] 6.1.2. Özel Nitelikli Kiăisel Verilerin âălenmesinde Alãnmasã Gereken Yeterli Önlemler Kanun’un 6’ncã maddesinin dördüncü fãkrasã uyarãnca özel nitelikli kiăisel verilerin iălenmesinde, Kurul tarafãndan belirlenen yeterli önlemlerin alãnmasã ăarttãr. Bu kapsamda, özel nitelikli kiăisel veri iăleyen veri sorumlularã tarafãndan alãnmasã gereken yeterli önlemler, Kurul’un 31 Ocak 2018 tarihli ve 2018/10 sayãlã Kararã[39] ile belirlenmiătir. Buna göre, veri sorumlularã tarafãndan: [36] Kiăisel Verileri Koruma Kurulu’nun 25/03/2019 Tarihli ve 2019/81 Sayãlã Karar Özeti, www.kvkk. gov.tr [37] Kiăisel Verileri Koruma Kurulu’nun 31/05/2019 Tarihli ve 2019/165 sayãlã Karar Özeti, www. kvkk.gov.tr [38] Kiăisel Verilerin Korunmasã Kanunu Hakkãnda Sãkça Sorulan Sorular Dökümanã- Kiăisel verilerin iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olmasã ilkesi ne anlama gelir sorusuna verilen cevap. [39] “Özel Nitelikli Kiăisel Verilerin âălenmesinde Veri Sorumlularãnca Alãnmasã Gereken Yeterli Önlemler” ile ilgili Kiăisel Verileri Koruma Kurulu’nun 31 Ocak 2018 tarihli ve 2018/10 sayãlã Kararã 60 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK (1) Özel nitelikli kiăisel verilerin güvenliÛine yönelik sistemli, kurallarã net bir ăekilde belli, yönetilebilir ve sürdürülebilir ayrã bir politika ve prosedür belirlenmelidir. (2) Özel nitelikli kiăisel verilerin iălenmesi süreçlerinde yer alan çalãăanlara yönelik, a) Kanun ve buna baÛlã yönetmelikler ile özel nitelikli kiăisel veri güvenliÛi konularãnda düzenli olarak eÛitimler verilmeli,

belirlenmelidir. (2) Özel nitelikli kiăisel verilerin iălenmesi süreçlerinde yer alan çalãăanlara yönelik, a) Kanun ve buna baÛlã yönetmelikler ile özel nitelikli kiăisel veri güvenliÛi konularãnda düzenli olarak eÛitimler verilmeli, b) gizlilik sözleămeleri yapãlmalã, c) verilere eriăim yetkisine sahip kullanãcãlarãn, yetki kapsamlarãnãn ve süreleri net olarak tanãmlanmalã, ç) periyodik olarak yetki kontrolleri gerçekleătirilmeli, d) görev deÛiăikliÛi olan ya da iăten ayrãlan çalãăanlarãn bu alandaki yetkileri derhal kaldãrãlmalã ve bu kapsamda kendisine tahsis edilen envanter iade alãnmalãdãr. (3) Özel nitelikli kiăisel verilerin iălendiÛi, muhafaza edildiÛi ve/veya eriăildiÛi ortamlar, elektronik ortam ise: a) veriler kriptograƻk yöntemler kullanãlarak muhafaza edilmeli, b) kriptograƻk anahtarlar güvenli ve farklã ortamlarda tutulmalã, c) veriler üzerinde gerçekleătirilen tüm hareketlerin iălem kayãtlarã güvenli olarak loglanmalã, ç) verilerin bulunduÛu ortamlara ait güvenlik güncellemeleri sürekli takip edilmeli, gerekli güvenlik testleri düzenli olarak yapãlmalã/ yaptãrãlmalã, test sonuçlarã kayãt altãna alãnmalã, d) verilere bir yazãlãm aracãlãÛã ile eriăiliyorsa bu yazãlãma ait kullanãcã yetkilendirmeleri yapãlmalã, bu yazãlãmlarãn güvenlik testleri düzenli olarak yapãlmalã/yaptãrãlmalã, test sonuçlarã kayãt altãna alãnmalã, e) verilere uzaktan eriăim gerekiyorsa en az iki kademeli kimlik doÛrulama sistemi saÛlanmalãdãr. (4) Özel nitelikli kiăisel verilerin iălendiÛi, muhafaza edildiÛi ve/veya eriăildiÛi ortamlar, ƻziksel ortam ise: 61 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

(4) Özel nitelikli kiăisel verilerin iălendiÛi, muhafaza edildiÛi ve/veya eriăildiÛi ortamlar, ƻziksel ortam ise: 61 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ a) özel nitelikli kiăisel verilerin bulunduÛu ortamãn niteliÛine göre yeterli güvenlik önlemlerinin (elektrik kaçaÛã, yangãn, su baskãnã, hãrsãzlãk vb. durumlara karăã) alãndãÛãndan emin olunmalã, b) bu ortamlarãn ƻziksel güvenliÛinin saÛlanarak yetkisiz giriă çãkãălarã engellenmelidir. (5) Özel nitelikli kiăisel veriler aktarãlacak ise: a) verilerin e-posta yoluyla aktarãlmasã gerekiyorsa ăifreli olarak kurumsal e-posta adresiyle veya Kayãtlã Elektronik Posta (KEP) hesabã kullanãlarak veriler aktarãlmalã, b) verilerin taăãnabilir bellek, CD, DVD gibi ortamlar yoluyla aktarãlmasã gerekiyorsa kriptograƻk yöntemlerle veriler ăifrelenmeli ve kriptograƻk anahtar farklã ortamda tutulmalã, c) farklã ƻziksel ortamlardaki sunucular arasãnda aktarma gerçekleătiriliyorsa, sunucular arasãnda VPN kurularak veya sFTP yöntemiyle veri aktarãmã gerçekleătirilmeli, ç) verilerin kaÛãt ortamã yoluyla aktarãmã gerekiyorsa evrakãn çalãnmasã, kaybolmasã ya da yetkisiz kiăiler tarafãndan görülmesi gibi risklere karăã gerekli önlemler alãnmalã ve evrakã “gizlilik dereceli belgeler” formatãnda gönderilmelidir. (1) Yukarãda belirtilen önlemlerin yanã sãra Kiăisel Verileri Koruma Kurumu’nun internet sitesinde yayãmlanan Kiăisel Veri GüvenliÛi Rehberi’nde[40] belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alãnmalãdãr.

formatãnda gönderilmelidir. (1) Yukarãda belirtilen önlemlerin yanã sãra Kiăisel Verileri Koruma Kurumu’nun internet sitesinde yayãmlanan Kiăisel Veri GüvenliÛi Rehberi’nde[40] belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alãnmalãdãr. Ayrãca Kurum tarafãndan yayãnlanan Biyometrik Verilerin âălenmesinde Dikkat Edilmesi Gereken Hususlara âliăkin Rehber’de özel nitelikli verilerden biyometrik verilerin iălenmesinde aăaÛãda yer alan ilkelere dikkat edilmesi gerektiÛi belirtilmiătir: • Temel hak ve özgürlüklerin özüne dokunmamasã • Baăvurulan yöntemin iăleme amacãna ulaăãlabilmesi bakãmãndan [40] Kiăisel Verileri Koruma Kurumu, Kiăisel Veri GüvenliÛi Rehberi (Teknik ve âdari Tedbirler) 62 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK elveriăli olmasã, veri iăleme faaliyetinin ulaăãlmak istenen amaç için uygun olmasã • Biyometrik veri iăleme yönteminin ulaăãlmak istenen amaç bakãmãndan gerekli olmasã • Veri iălemeyle ulaăãlmak istenilen amaç ve aracãn arasãnda orantã bulunmasã • GerektiÛi süre kadar tutulmasã, gereklilik ortadan kalktãktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi • âăleme amacã doÛrultusunda sãnãrlã olmak üzere; veri sorumlularãnãn Kanun’un 10’uncu maddesine uygun bir biçimde aydãnlatma yükümlülüÛünü yerine getirmesi • Açãk rãzanãn gerekmesi halinde ilgili kiăilerin açãk rãzalarãnãn Kanun’a uygun ăekilde alãnmãă olmasã 6.2. Bankacãlãk Sektöründe Özel Nitelikli Kiăisel Verilerin âălenmesi Bankacãlãk faaliyetleri kapsamãnda yoÛun olarak iălenen özel nitelikli kiăisel verilere iliăkin detaylã bilgiler aăaÛãda açãklanmaktadãr. 6.2.1. Kimlik Belgesi Suretleri

6.2. Bankacãlãk Sektöründe Özel Nitelikli Kiăisel Verilerin âălenmesi Bankacãlãk faaliyetleri kapsamãnda yoÛun olarak iălenen özel nitelikli kiăisel verilere iliăkin detaylã bilgiler aăaÛãda açãklanmaktadãr. 6.2.1. Kimlik Belgesi Suretleri Bankalar tarafãndan gerçekleătirilen iălemlerde kiăilerden kimlik belgesi sureti alãnmasã; Bankacãlãk mevzuatã gereÛi kimlik tespitinin zorunluluÛu nedeni ile gerçekleătirilmekte olan faaliyetlerdendir. 5549 Sayãlã Suç Gelirlerinin Aklanmasãnãn Önlenmesi Hakkãnda Kanun’un 27’nci maddesine dayanãlarak oluăturulan 09 Ocak 2008 tarihli ve 26751 sayãlã Resmi Gazete’de yayãmlanan Suç Gelirlerinin Aklanmasãnãn ve Terörün Finansmanãnãn Önlenmesine Dair Tedbirler Hakkãnda Yönetmelik’in (“Yönetmelik”) 5’inci maddesi gereÛince bankalar, (i) sürekli iă iliăkisi tesisinde tutar gözetmeksizin, (ii) iălem tutarã ya da birbiriyle baÛlantãlã birden fazla iălemin toplam tutarã seksen beă bin TL veya üzerinde olduÛunda, (iii) elektronik transferlerde iălem tutarã ya da birbiriyle baÛlantãlã birden fazla iălemin toplam tutarã yedi bin beă yüz TL veya üzerinde olduÛunda, (v) 63 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ăüpheli iălem bildirimini gerektiren durumlarda tutar gözetmeksizin ve/veya (vi) daha önce elde edilen müăteri kimlik bilgilerinin yeterliliÛi ve doÛruluÛu konusunda ăüphe olduÛunda tutar gözetmeksizin kimliÛe iliăkin bilgileri almak ve bu bilgilerin doÛruluÛunu teyit etmek suretiyle müăterilerinin ve müăterileri adãna veya hesabãna hareket edenlerin kimliÛini tespit etmek zorundadãr.

konusunda ăüphe olduÛunda tutar gözetmeksizin kimliÛe iliăkin bilgileri almak ve bu bilgilerin doÛruluÛunu teyit etmek suretiyle müăterilerinin ve müăterileri adãna veya hesabãna hareket edenlerin kimliÛini tespit etmek zorundadãr. Yönetmelik’in 6’ncã maddesi gereÛince ise gerçek kiăilerin kimlik tespitinde, ilgilinin adã, soyadã, doÛum yeri ve tarihi, uyruÛu, kimlik belgesinin türü ve numarasã, adresi ve imza örneÛi, iă ve mesleÛine iliăkin bilgiler, varsa telefon numarasã, faks numarasã, elektronik posta adresi ile Türk vatandaălarã için bu bilgilere ilave olarak anne, baba adã ve T.C. kimlik numarasã alãnãr. âlgilinin adã, soyadã, doÛum tarihi, T.C. kimlik numarasã ve kimlik belgesinin türü ve numarasãna iliăkin bilgilerin doÛruluÛu ise (a) Türk uyruklular için T.C. nüfus cüzdanã, T.C. sürücü belgesi veya pasaport ile üzerinde T.C. kimlik numarasã bulunan ve özel kanunlarãnda resmi kimlik hükmünde olduÛu açãkça belirtilen kimlik belgeleri ve (b) Türk uyruklu olmayanlar için pasaport, ikamet belgesi veya Bakanlãkça [Hazine ve Maliye BakanlãÛã] uygun görülen kimlik belgesi üzerinden teyit edilir. Yetkililerce istenildiÛinde sunulmak üzere teyide esas kimlik belgelerinin asãllarãnãn veya noterce onaylanmãă suretlerinin ibrazã sonrasã okunabilir fotokopisi veya elektronik görüntüsü alãnãr yahut kimliÛe iliăkin bilgiler kaydedilir.

kimlik belgesi üzerinden teyit edilir. Yetkililerce istenildiÛinde sunulmak üzere teyide esas kimlik belgelerinin asãllarãnãn veya noterce onaylanmãă suretlerinin ibrazã sonrasã okunabilir fotokopisi veya elektronik görüntüsü alãnãr yahut kimliÛe iliăkin bilgiler kaydedilir. Bu kapsamda, bankalarca kimlik teyidi amacãyla iălem gerçekleătiren kiăilerden alãnan kimlik belgesi suretleri, Kanun kapsamãnda özel nitelikli kiăisel veriler olarak sayãlan bir kãsãm verileri içerebilmektedir. ÖrneÛin, nüfus cüzdanlarãnãn eski versiyonlarãnda (pembe/mavi nüfus cüzdanlarãnda) arka yüzde ‘din’ ve ‘kan grubu’ haneleri bulunmaktadãr. Bir baăka kimlik tipi olan ehliyetlerde ise kan grubu bilgisi ve (eski tip ehliyetlerde) “kullandãÛã cihaz ve protezler” bilgisi yer almaktadãr. Bu verilerin, bankalarca kimlik tespitinin teyidi amacãyla ilgili kiăinin din ve kan grubu gibi özel nitelikli kiăisel verilerini de içeren arkalã önlü kimlik görüntüsünün talep edilmesi, Kanunun “Genel âlkeler” baălãklã 4 üncü 64 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK maddesinde düzenlenen “iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma” ilkesine uygun olmadãÛã gibi, Kanunun özel nitelikli kiăisel verilerin iălenmesini düzenleyen 6 ncã maddesine de uygun olmayacaÛãndan söz konusu kiăisel verileri içeren kãsãmlarãn maskelenmesi uygun olacaktãr. Kimlik Belgesi Sureti Formatãnda Alãnan Verilere âliăkin âyi Uygulama Önerileri: Bankalar kimlik belgesi sureti alãnan süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda: • Kimlik belgesinde bulunan özel nitelikli verilerin Kanun’un 6’ncã

Kimlik Belgesi Sureti Formatãnda Alãnan Verilere âliăkin âyi Uygulama Önerileri: Bankalar kimlik belgesi sureti alãnan süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda: • Kimlik belgesinde bulunan özel nitelikli verilerin Kanun’un 6’ncã maddesinde yer alan özel nitelikli kiăisel veri iăleme ăartlarã bulunmaksãzãn iălenmemesi gerekir. • Mümkün olmasã halinde kimlik belgesinde yer alan özel nitelikli verilerin iălenmeden sadece kimlik belgesinin ön yüzü/ilgili sayfasã ile iălem yapãlmalãdãr. • Bankanãn ilgili süreçlerinde kimlik belgesi suretinde yer alan özel nitelikli kiăisel veriler, kimlik tespiti harici bir amaçla iăleniyor ise ve bu amaçla özel nitelikli kiăisel veri iălenmesine iliăkin olarak Kanun’un 6’ncã maddesinde yer alan özel nitelikli kiăisel veri iăleme ăartlarã bulunmuyor ise kimlik fotokopisindeki özel nitelikli veri hanelerinin karartãlmasãna ya da söz konusu verilerin kullanãlmamasãna yönelik teknik ve idari tedbirler alãnmalãdãr. Bu baălãk altãnda belirtilen hususlar, kimlik belgesi suretlerinin alãndãÛã vekâletnameler ve imza sirkülerleri için de geçerlidir. 6.2.2. SaÛlãk Raporlarã SaÛlãk verileri Kanunun 6 ncã maddesinin üçüncü fãkrasã kapsamãnda yer alan öze nitelikli Kiăisel verilerin iălenmesi ăartlarãna uygun olarak iălenebilecektir. 65 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ÖrneÛin:

yer alan öze nitelikli Kiăisel verilerin iălenmesi ăartlarãna uygun olarak iălenebilecektir. 65 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ ÖrneÛin: 5378 sayãlã Engelliler Hakkãnda Kanun’un 7’nci maddesi ve “Bankacãlãk Hizmetlerinin EriăilebilirliÛine Dair Yönetmelik”in 4’üncü maddesinin sekizinci ve dokuzuncu fãkralarã uyarãnca, %40 ve üzeri oranda engelli olduÛuna iliăkin belgenin aslãnã veya banka tarafãndan onaylanacak suretini müăterisi olduÛu bankaya ibraz eden ayãrt etme gücüne sahip kiăilerin engelli kabul edilerek, iăbu Yönetmelikte tanãnan haklardan yararlanacaÛã hüküm altãna alãnmãătãr. Söz konusu düzenleme uyarãnca, bankalarãn bu kapsamda belge ileten engelli müăterilerin engel durumuna iliăkin bilgi ve belgeleri tutma yükümlülüÛü bulunmaktadãr. Bununla birlikte, 6698 sayãlã Kanun’un 6’ncã maddesi uyarãnca anãlan Yönetmelik kapsamãnda engellik durumunun bankalarca kayãt altãna alãnmasã özel nitelikli kiăisel verilerin iălenmesi olarak deÛerlendirilebilecek olup, bu kapsamda Kanun’un 6’ncã maddesinde öngörülen veri iăleme ăartlarãnãn yerine getirilmesi gerekmektedir. SaÛlãk Verilerinin âălenmesine âliăkin âyi Uygulama Önerisi: Bankalar müăterilerine iliăkin saÛlãk verilerinin iălendiÛi süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda: • Mevcut durumda saÛlãk verilerinin iălendiÛi süreçlerde iăleme ăartlarãna uyulup uyulmadãÛãnãn kontrolünü saÛlamalãdãr. • SaÛlãk verilerinin ilgili süreç özelinde gerçekleătirilmesi hedeƼenen

revize eder. Bu kapsamda: • Mevcut durumda saÛlãk verilerinin iălendiÛi süreçlerde iăleme ăartlarãna uyulup uyulmadãÛãnãn kontrolünü saÛlamalãdãr. • SaÛlãk verilerinin ilgili süreç özelinde gerçekleătirilmesi hedeƼenen amaçlar kapsamãnda iălenmesine yönelik iăleme ăartlarã bulunmamakta ise saÛlãk verileri iălenmemelidir. • Açãk rãza gerektiren veri iăleme faaliyetlerine yönelik olarak ise açãk rãza beyanãnãn açãk rãza unsurlarãna uygun ăekilde alãnãp alãnmadãÛãnãn kontrolü saÛlanmalãdãr. 6.2.3. Adli Sicil Kayãtlarã ve Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle âlgili Mahkeme Kararlarã Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kiăisel verilerin Kanun 6’ncã 66 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK maddesinin üçüncü fãkrasãnda yer alan veri iăleme ăartlarãnãn bulunmasã halinde iălenmesi mümkündür Bankalarãn uygulamalarãnda mahkeme kararlarãnda yer alan bilgiler özellikle iki durumda iălenebilmektedir: • Müăterilerin (örneÛin çek yasaklãlãÛã) bilgileri risk deÛerlendirmesi süreçlerinde kullanãlmaktadãr, • Çalãăan adaylarãndan ise iăe giriălerde, iăe alãm sürecinin bir parçasã olarak adli sicil kayãtlarã istenmektedir.

• Müăterilerin (örneÛin çek yasaklãlãÛã) bilgileri risk deÛerlendirmesi süreçlerinde kullanãlmaktadãr, • Çalãăan adaylarãndan ise iăe giriălerde, iăe alãm sürecinin bir parçasã olarak adli sicil kayãtlarã istenmektedir. 5941 sayãlã Çek Kanunu’nun 2. maddesine göre “Bankalar, çek hesabã açãlmasã ile ilgili olarak bu Kanunla kendilerine verilen görev ve yükümlülükleri yerine getirirken, çek hesabã açtãrmak isteyenin yasaklã olup olmadãÛãnã bu Kanun hükümlerine göre araătãrãrlar” ve “Bankalar, çek hesabã açtãrmak isteyenlerin yasaklãlãk durumuna iliăkin Risk Merkezi ile adli sicil kayãtlarãnã … hesabãn kapatãldãÛã tarihten itibaren on yãl süreyle saklamakla yükümlüdür.” Buna göre, bankanãn çek hesabã açmak isteyen müăterilerinin adli sicil kaydãnã iălemesi ve bu kaydãn 10 yãl boyunca saklanmasã Kanun’un 6’ncã maddesinin üçüncü fãkrasã uyrãnca kanunlarda açãkça öngörülmesi hukuki sebebine dayalã olarak gerçekleătirilebilecektir. Bankalar mahkeme kararlarãnda yer alan ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kiăisel verilerin iălendiÛi süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda bankalarca; • Çalãăan adaylarãnãn ceza mahkûmiyet (adli sicil) bilgilerinin istenmesi

tedbirleriyle ilgili kiăisel verilerin iălendiÛi süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda bankalarca; • Çalãăan adaylarãnãn ceza mahkûmiyet (adli sicil) bilgilerinin istenmesi kanunlarda açãkça öngörülen bir süreç olmadãÛãndan bu bilgilerin toplanmamasã tercih edilebilir. • Çek yasaklãlãÛã deÛerlendirmesi yapãlabilmesi için müăterinin adli sicil kaydã, ayrãca bir açãk rãza olmaksãzãn iălenebilecektir. Ancak adli sicil kaydãnãn çek yasaklãlãÛã deÛerlendirmesi dãăãnda baăkaca bir amaç için kullanãlmasã durumunda, söz konusu amaç kapsamãnda adli sicil kaydã verilerin iălenmesi için ayrãca Kanun’un 6’ncã maddesinde belirtilen özel nitelikli kiăisel veri iăleme ăartlarãndan en az birinin mevcut olmasã gereklidir. 67 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 6.2.4. Çalãăanlarã SaÛlãk Verileri SaÛlãk verileri Kanun’un 6’ncã maddesinin 3’üncü fãkrasãnda yer alan veri iăleme ăartlarã kapsamãnda iălenebilecektir. SaÛlãk Verilerinin âălenmesine âliăkin âyi Uygulama Önerileri: Bankalar çalãăanlarãna iliăkin saÛlãk verilerinin iălendiÛi süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda bankalar:

SaÛlãk Verilerinin âălenmesine âliăkin âyi Uygulama Önerileri: Bankalar çalãăanlarãna iliăkin saÛlãk verilerinin iălendiÛi süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda bankalar: • Çalãăanlara iliăkin saÛlãk verileri amaçla baÛlantãlã, sãnãrlã ve ölçülü olmak kaydãyla iălenir ve iă yeri hekimi, bazã departmanlarãn çalãăanlarãn saÛlãk verilerine eriămesi gerekiyor ise, bu saÛlãk bilgilerine iliăkin eriăim yetkilendirmesi / kãsãtlanmasã uygulanãr ve banka içerisinde sadece belirli kiăilerin / departmanlarãn saÛlãk verilerine hukuki sebebi ortaya konulmak suretiyle eriăebilmesi saÛlanãr. 1. “Özel Nitelikli Kiăisel Verilerin âălenmesinde Veri Sorumlularãnca Alãnmasã Gereken Yeterli Önlemler” ile ilgili Kiăisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayãlã Kararã gereÛi saÛlãk verileri de dahil olmak üzere özel nitelikli veriler ăifrelenmiă bir ăekilde muhafaza edilmeli, veriler üzerindeki hareketler loglanmalã, eriăim yetkilendirmesi yapãlmalã ve Karar’da yer verilen diÛer önlemler alãnmalãdãr. 2. Mevcut durumda, her halükarda, bankalarãn çalãăanlarãn saÛlãk verilerini iălemesi gerekmesi sebebiyle, bankalar çalãăanãn açãk rãzasãnã temin etmelidir. 6.2.5. Sigorta Acentesi Sãfatãyla Alãnan SaÛlãk Sigorta acenteleri bir sözleăme ile baÛlã bulunduklarã sigorta ăirketlerinin temsilcileridir. Sigorta faaliyetinde bulunacak olan bankalar, 5411 sayãlã Bankacãlãk Kanunu’nun 3’üncü maddesinde tanãmlanan mevduat bankalarãve 68 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

temsilcileridir. Sigorta faaliyetinde bulunacak olan bankalar, 5411 sayãlã Bankacãlãk Kanunu’nun 3’üncü maddesinde tanãmlanan mevduat bankalarãve 68 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK katãlãm bankalarã ile kalkãnma ve yatãrãm bankalarãdãr. Sigorta Acenteleri YönetmeliÛi 13’üncü maddesinde sigorta acenteliÛi yapacak bankalarãn ne tür hukuki ve usulü yükümlülüklerinin olduÛu düzenlenmektedir. Bankalar yukarã bahsi geçen mevzuat hükümleri uyarãnca sigorta acenteliÛi sãfatãyla saÛlãk verileri iălemektedirler. Bu konu iălenmesi “Bankalarãn Acente Sãfatãyla Hareket EttiÛi Durumlar” baălãÛã altãnda ayrãntãlã olarak açãklanmãătãr. 6.3. Kimlik DoÛrulamada Kullanãlan Biyometrik verinin tanãmã Kanun’da yer almamaktadãr ancak Kiăisel Verileri Koruma Kurumu (“Kurum”) tarafãndan yayãmlanmãă olan “Biyometrik Verilerin âălenmesinde Dikkat Edilmesi Gereken Hususlara âliăkin Rehber”e (“Rehber”) göre biyometrik veri kiăinin ƻzyolojik, ƻziksel veya davranãăsal özellikleri gibi ayãrt edici özelliklerini veri iăleme sonucunda ortaya çãkaran ve ortaya çãkarãlan özellikler kiăinin kimliÛini tanãmlamaya yarayan ya da kiăinin kimliÛini doÛrulayan kiăisel verilerdir. Rehber’e göre biyometrik veriler ƻzyolojik ve davranãăsal olarak iki türe ayrãlmãătãr. Fizyolojik biyometrik veriler kiăinin parmak izi, retinasã, avuç içi, yüzü, el ăekli, irisi gibi ƻzyolojik nitelikteki biyometrik verilerdir. Bunun yanã sãra, kiăinin yürüyüă biçimi, klavyeye basãă biçimi, araba sürüă biçimi gibi veriler ise Rehber’de davranãăsal biyometrik veriler olarak belirtilmiătir.

yüzü, el ăekli, irisi gibi ƻzyolojik nitelikteki biyometrik verilerdir. Bunun yanã sãra, kiăinin yürüyüă biçimi, klavyeye basãă biçimi, araba sürüă biçimi gibi veriler ise Rehber’de davranãăsal biyometrik veriler olarak belirtilmiătir. Biyometrik veriler Kanun’un 6’ncã maddesinin 3’üncü fãkrasãnda yer alan veri iăleme ăartlarã kapsamãnda iălenebilecektir. Ayrãca, veri iăleme ile gerçekleătirilmesi istenen amaç arasãnda makul bir dengenin kurulmasã gerekmektedir. Bu sebeple veriler iălenecekleri amacãn gerçekleătirilmesi ile ölçülü olarak iălenmelidir. Bu kapsamda, kiăisel verilerin toplanmasã ve iălenmesi sãrasãnda, kiăisel verilerin korunmasã hakkãna en az zarar verecek, yani en uygun aracãn seçilmesi ölçülülük ilkesinin gereÛidir. Burada belirtilmelidir ki 1 Nisan 2021 tarihli ve 31441 sayãlã Resmî Gazete’de yayãmlanan Bankalarca Kullanãlacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleăme âliăkisinin Kurulmasãna âliăkin Yönetmelik’in 69 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

yayãmlanan Bankalarca Kullanãlacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleăme âliăkisinin Kurulmasãna âliăkin Yönetmelik’in 69 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 8 inci maddesi uyarãnca “uzaktan kimlik tespiti sürecinde kiăinin yüzü ile kimlik belgesi üzerinde yer alan fotoÛrafãn biyometrik karăãlaătãrmasã yapãlãr”. Bahsi geçen bu yönetmelik uyarãnca bankalara, uzaktan müăteri edinme süreçlerinde müăterilerin biyometrik verilerini iăleme yükümlülüÛü getirilmiătir. YönetmeliÛin 6 ncã maddesine göre “uzaktan kimlik tespiti sürecinde, kiăinin uzaktan kimlik tespitinin yapãlmasã amacãyla özel nitelikli kiăisel verilerden sadece biyometrik verisi kullanãlabilir ve kiăinin buna dair açãk rãzasã elektronik ortamda kayãt altãna alãnãr”. YönetmeliÛin ilgili maddesi sebebiyle uzaktan müăteri edinme süreçlerinde iălenen biyometrik veriler için Kanunun 6 ncã maddesi uyarãnca ilgili kiăilerden açãk rãza alãnmasã gerekecektir. Ancak burada belirtilmelidir ki, ilgili yönetmelik, bankalarã, uzaktan müăteri edinme sürecinde kiăilerin biyometrik verilerinin iălenmesi için açãk rãza almakla yükümlü kãlmaktadãr. Rehbere göre biyometrik verilerin iălendiÛi durumlarda veri sorumlularã, biyometrik verilerin bulut sistemlerinde yalnãzca kriptograƻk yöntemler kullanãlarak muhafaza edilmesi, biyometrik verilerin iălendiÛi yazãlãm üzerindeki kullanãcã iălemlerinin izlenebilir ve sãnãrlanabilir olmasã, biyometrik çözümü kullanamayan veya kullanmaya açãk rãzasã olmayan ilgili kiăiler için herhangi bir kãsãtlama veya ek maliyet olmaksãzãn alternatif bir sistem saÛlanmasã ve biyometrik veri iăleme sürecinde yer alan personel biyometrik verilerin iălenmesi hususunda özel eÛitimler almasã gibi teknik ve idari tedbirleri almalãdãr.

bir kãsãtlama veya ek maliyet olmaksãzãn alternatif bir sistem saÛlanmasã ve biyometrik veri iăleme sürecinde yer alan personel biyometrik verilerin iălenmesi hususunda özel eÛitimler almasã gibi teknik ve idari tedbirleri almalãdãr. Burada belirtilmelidir ki, biyometrik veri iăleme faaliyeti Kanun’un 4’üncü maddesindeki genel ilkelere aykãrãlãk teăkil etmemelidir. Kurul’un 2019 yãlãnda vermiă olduÛu iki kararda[41], veri sorumlusu olan spor salonu ăirketinin, spor salonuna giriă - çãkãălarda avuç içi okuma teknolojisinin kullanãlmasã incelenmiătir. Buna göre Kurul, spor kulübünde giriă çãkãă kontrolünün yapãlabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kiăilere iliăkin giriă kontrolünün alternatif yollar ile saÛlanmasã mümkün iken gerçekleăen biyometrik veri iăleme faaliyetini Kanun’un 4’üncü maddesinde belirtilen [41] Kiăisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayãlã Karar ve 31/05/2019 Tarihli ve 2019/165 Sayãlã Karar Özeti 70 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK “kiăisel verilerin iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma” ilkesine aykãrã bulmuătur. Bahsi geçen karar ãăãÛãnda, biyometrik veri iălenen süreçlerde eÛer biyometrik veri iălenmesi ile ulaăãlmak istenen amaca biyometrik veri iălenmeden de ulaăãlmasã mümkün ise (ör: giriă-çãkãălarda avuç içi yerine kimlik kartã kullanãlmasã), biyometrik veri iălenmesini gerektirmeyen alternatif bir yolun tercih edilmesi uygun olacaktãr.

veri iălenmesi ile ulaăãlmak istenen amaca biyometrik veri iălenmeden de ulaăãlmasã mümkün ise (ör: giriă-çãkãălarda avuç içi yerine kimlik kartã kullanãlmasã), biyometrik veri iălenmesini gerektirmeyen alternatif bir yolun tercih edilmesi uygun olacaktãr. Kimlik DoÛrulamada Kullanãlan Biyometrik Veriler ile âlgili Kiăisel Verilerin âălenmesine âliăkin âyi Uygulama Önerileri: Bankalar kimlik doÛrulamada kullanãlan biyometrik veriler ile ilgili kiăisel verilerin iălendiÛi süreçlerini gözden geçirir ve ilgili mevzuata uyum kapsamãnda gerekli ise süreçlerini revize eder. Bu kapsamda bankalar: • EÛer mümkün ise biyometrik veriler iălememelidir (örneÛin eÛer kiăisel verilerin korunmasã hakkãna daha az zarar verecek baăka bir araç mümkün ise biyometrik veriler toplanmamalãdãr). • Mevcut durumda biyometrik verilerinin iălendiÛi süreçlerde mutlaka Kanunun 6 ncã maddesi hükümlerine ve konuya iliăkin diÛer mevzuata uyum saÛlanmalãdãr. • Biyometrik verilerin iălendiÛi durumlarda, veri sorumlularãnca Biyometrik Verilerin âălenmesinde Dikkat Edilmesi Gereken Hususlara âliăkin Rehber’de belirtilen teknik ve idari tedbirler alãnmalãdãr. 71 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ VIII. Kiăisel Verilerin Aktarãlmasã Kiăisel verilerin aktarãlmasã, 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu’nun (“Kanun”) 3’üncü maddesinde iăleme tanãmã içerisinde yer bulmaktadãr. Bununla birlikte, ayrãca Kanunun 8 inci ve 9 uncu maddelerinde özel olarak düzenlenerek iki baălãk altãnda ele alãnmãătãr.

Kanunu’nun (“Kanun”) 3’üncü maddesinde iăleme tanãmã içerisinde yer bulmaktadãr. Bununla birlikte, ayrãca Kanunun 8 inci ve 9 uncu maddelerinde özel olarak düzenlenerek iki baălãk altãnda ele alãnmãătãr. Belirtilen maddeler kapsamãnda hem kiăisel hem de özel nitelikli kiăisel veriler yer almaktadãr. Kanun’un 8’inci maddesinde kiăisel verilerin yurtiçinde aktarãlmasãna iliăkin hükümlere, 9 uncu maddesinde ise kiăisel verilerin yurt dãăãna aktarãlmasãna iliăkin hükümlere yer verilmiătir. Kanun’da yer alan düzenlemelere istinaden, verilerin hukuka uygun bir ăekilde aktarãlabilmesi için belirtilen maddelerde yer alan ăartlarãn yerine getirilmiă olmasã gerekir. 1. Kiăisel Verilerin Yurt âçinde Aktarãlmasã Kanun’un 8’inci maddesinde, kiăisel verilerin yurt içinde aktarãlmasãna iliăkin usul ve esaslar düzenlenmektedir. Kanun’un kendi sistematiÛi içerisinde belirlenen genel ilkeler çerçevesinde iălenmek üzere elde edilen kiăisel verilerin, 8’inci madde hükmü uyarãnca ilgili kiăinin açãk rãzasã alãnmak suretiyle üçüncü kiăilere aktarãlabileceÛi hüküm altãna almãătãr. Ancak, açãk rãza Kanundaki kiăisel veri iăleme ăartlarãndan biridir ve diÛer kiăisel veri iăleme ăartlarãna göre karăãlaătãrmalã bir üstünlüÛü bulunmamaktadãr. Açãk rãza veri iăleme faaliyetine hukukilik kazandãran yegâne unsur deÛildir. Kanun, kiăisel verilerin iălenmesi ile bu verilerin yurt içinde aktarãlmasã bakãmãndan da aynã ăartlarã aramaktadãr. Dolayãsã ile kiăisel veriler ilgili kiăinin açãk rãzasã aranmaksãzãn üçüncü kiăilere aktarãlabilecek, ancak aktarãm için de Kanun’un 5’inci ve 6’ncã maddelerindeki ăartlarãn ayrãca aranmasã gerekecektir. 72

kiăinin açãk rãzasã aranmaksãzãn üçüncü kiăilere aktarãlabilecek, ancak aktarãm için de Kanun’un 5’inci ve 6’ncã maddelerindeki ăartlarãn ayrãca aranmasã gerekecektir. 72 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Buna göre, kiăisel veriler; i. Kanunlarda açãkça öngörülmesi, ii. Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda bulunan veya rãzasãna hukuki geçerlilik tanãnmayan kiăinin kendisinin ya da bir baăkasãnãn hayatã veya beden bütünlüÛünün korunmasã için zorunlu olmasã, iii. Bir sözleămenin kurulmasã veya ifasãyla doÛrudan doÛruya ilgili olmasã kaydãyla, sözleămenin taraƼarãna ait kiăisel verilerin iălenmesinin gerekli olmasã, iv. Veri sorumlusunun hukuki yükümlülüÛünü yerine getirebilmesi için zorunlu olmasã, v. âlgili kiăinin kendisi tarafãndan alenileătirilmiă olmasã, vi. Bir hakkãn tesisi, kullanãlmasã veya korunmasã için veri iălemenin zorunlu olmasã ve vii. âlgili kiăinin temel hak ve özgürlüklerine zarar vermemek kaydãyla, veri sorumlusunun meăru menfaatleri için veri iălenmesinin zorunlu olmasã durumlarãnda veri sorumlusu tarafãndan, ilgili kiăinin açãk rãzasã alãnmaksãzãn yurt içindeki üçüncü kiăilere aktarãlabileceklerdir. Kanunun 6 ncã maddesi uyarãnca, kiăilerin ãrkã, etnik kökeni, siyasi düăüncesi, felseƻ inancã, dini, mezhebi veya diÛer inançlarã, kãlãk ve kãyafeti, dernek, vakãf ya da sendika üyeliÛi, saÛlãÛã, cinsel hayatã, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

felseƻ inancã, dini, mezhebi veya diÛer inançlarã, kãlãk ve kãyafeti, dernek, vakãf ya da sendika üyeliÛi, saÛlãÛã, cinsel hayatã, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, a) âlgili kiăinin açãk rãzasãnãn olmasã, b) Kanunlarda açãkça öngörülmesi, c) Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda bulunan veya rãzasãna hukuki geçerlilik tanãnmayan kiăinin, kendisinin ya da bir baăkasãnãn hayatã veya beden bütünlüÛünün korunmasã için zorunlu olmasã, ç) âlgili kiăinin alenileătirdiÛi kiăisel verilere iliăkin ve alenileătirme iradesine uygun olmasã, d) Bir hakkãn tesisi, kullanãlmasã veya korunmasã için zorunlu olmasã, e) Sãr saklama yükümlülüÛü altãnda bulunan kiăiler veya yetkili kurum ve kuruluălarca, kamu saÛlãÛãnãn korunmasã, koruyucu hekimlik, 73 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ tãbbi teăhis, tedavi ve bakãm hizmetlerinin yürütülmesi ile saÛlãk hizmetlerinin planlanmasã, yönetimi ve ƻnansmanã amacãyla gerekli olmasã, f) âstihdam, iă saÛlãÛã ve güvenliÛi, sosyal güvenlik, sosyal hizmetler ve sosyal yardãm alanlarãndaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olmasã, g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakãf, dernek ve diÛer kâr amacã gütmeyen kuruluă ya da oluăumlarãn, tâbi olduklarã mevzuata ve amaçlarãna uygun olmak, faaliyet alanlarãyla sãnãrlã olmak ve üçüncü kiăilere açãklanmamak kaydãyla; mevcut veya eski üyelerine ve mensuplarãna veyahut bu kuruluă ve oluăumlarla düzenli olarak temasta olan kiăilere yönelik olmasã, hâlindedyurt içindeki üçüncü kiăilere aktarãlabilecektir.

olmak ve üçüncü kiăilere açãklanmamak kaydãyla; mevcut veya eski üyelerine ve mensuplarãna veyahut bu kuruluă ve oluăumlarla düzenli olarak temasta olan kiăilere yönelik olmasã, hâlindedyurt içindeki üçüncü kiăilere aktarãlabilecektir. Ayrãca özel nitelikli kiăisel verilerin iălenmesine iliăkin yeterli önlemler ise 07.03.2018 tarihli ve 30353 sayãlã Resmî Gazete’de yayãmlanan 31.01.2018 tarihli ve 2018/10 sayãlã Kurul Kararã[42] ile belirlenmiătir. Bununla birlikte, Kanun’un 8’inci maddesinin üçüncü fãkrasãnda kiăisel verilerin yurt içinde aktarãlmasãna iliăkin diÛer kanunlarda yer alan hükümlerin saklã olduÛu düzenlenmiătir. Bu noktada ifade edilmesinde fayda görülmektedir ki, 5411 sayãlã Bankacãlãk Kanununun “Sãrlarãn saklanmasã” baălãklã 73 üncü maddesinin üçüncü fãkrasãnda diÛer kanunlarãn emredici hükümleri saklã kalmak kaydãyla, müăteri sãrrã niteliÛindeki bilgilerin anãlan maddede belirtilen sãr saklama yükümlülüÛünden istisna tutulan hâller haricinde, 6698 sayãlã Kanun uyarãnca müăterinin açãk rãzasã alãnsa dahi, müăteriden gelen bir talep ya da talimat olmaksãzãn yurt içindeki ve yurt dãăãndaki üçüncü kiăilerle paylaăãlamayacaÛã ve bunlara aktarãlamayacaÛã hükme baÛlanmãătãr. Bununla birlikte, 04.06.2021 tarihli ve 31501 sayãlã Resmî Gazetede yayãmlanan Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik ile müăteri sãrrã niteliÛindeki bilgilerin paylaăãm ve aktarãmlarãna iliăkin kapsam, ăekil, usul ve esaslarã belirlenmiătir.

Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik ile müăteri sãrrã niteliÛindeki bilgilerin paylaăãm ve aktarãmlarãna iliăkin kapsam, ăekil, usul ve esaslarã belirlenmiătir. [42] “Özel Nitelikli Kiăisel Verilerin âălenmesinde Veri Sorumlularãnca Alãnmasã Gereken Yeterli Önlemler” ile ilgili Kiăisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayãlã Kararã, https://www.kvkk.gov.tr/Icerik/4110/2018-10 74 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Dolayãsãyla, 6698 sayãlã Kanunun gerek 4’üncü maddesinin 1’inci fãkrasãnda yer verilen “Kiăisel veriler, ancak bu Kanunda ve diÛer kanunlarda öngörülen usul ve esaslara uygun olarak iălenebilir.” gerek 8’inci maddesinin 3’üncü fãkrasãnda öngörülen “Kiăisel verilerin aktarãlmasãna iliăkin diÛer kanunlarda yer alan hükümler saklãdãr.” hükümleri uyarãnca müăteri sãrrã niteliÛindeki kiăisel verilerin aktarãmã bakãmãndan 5411 sayãlã Kanunda öngörülen mezkûr düzenleme ile anãlan Yönetmelik hükümlerinin göz önünde bulundurulmasã gerekmektedir.

yer alan hükümler saklãdãr.” hükümleri uyarãnca müăteri sãrrã niteliÛindeki kiăisel verilerin aktarãmã bakãmãndan 5411 sayãlã Kanunda öngörülen mezkûr düzenleme ile anãlan Yönetmelik hükümlerinin göz önünde bulundurulmasã gerekmektedir. Öte yandan belirtmek gerekir ki, veri sorumlusu sãfatãna sahip bir tüzel kiăiliÛin bünyesinde gerçekleăen veri aktarãmã, üçüncü kiăiye yapãlan aktarãm olarak deÛerlendirilemeyecek; kiăisel verilerin, bir tüzel kiăiliÛin bünyesinde faaliyet gösteren çalãăanlar veya farklã birimler arasãnda el deÛiătirmesi, bu anlamda kiăisel verilerin üçüncü kiăilere aktarãmã sayãlamayacaktãr.[43] Dolayãsãyla, kiăisel verilerin bir bankanãn farklã iă birimleri arasãnda el deÛiătirmesi, kiăisel verilerin aktarãlmasã niteliÛinde olmadãÛãndan, Kanun’un ilgili maddelerinde yer alan hükümlere tabi deÛildir. Ancak, Kiăisel Verileri Koruma Kurulunun 04.07.2018 tarihli ve 30468 sayãlã Resmi Gazete’de yayãmlanan 31.05.2018 tarihli ve 2018/63 sayãlã âlke Kararãnda “Bir veri sorumlusu nezdinde bulunduklarã pozisyon veya görev itibariyle kiăisel verilere eriăme yetkisi olanlar tarafãndan, yetkileri aămak ve/veya yetkilerini kötüye kullanmak suretiyle, kiăisel amaçlara veya nedenlere baÛlã olarak iăleme amacã dãăãnda söz konusu kiăisel verilerin iălenmesi ve/veya bu verilerin üçüncü kiăilerle paylaăãlmasã 6698 sayãlã Kiăisel Verilerin Korunmasã Kanununun (Kanun) 12 nci maddesinin (1) numaralã fãkrasãna aykãrãlãk teăkil edeceÛinden, bu kapsamdaki eylemlerin önlenmesi amacãyla veri sorumlularãnca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alãnmasã gerektiÛi hususunda veri sorumlularãnãn bilgilendirilmesine, (…)”[44] karar verilmiătir. Dolayãsãyla, Kanun’un 4’üncü maddesinin ikinci fãkrasãnda yer verilen “iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma” ilkesine de riayet edilerek aynã veri sorumlusu bünyesinde

bilgilendirilmesine, (…)”[44] karar verilmiătir. Dolayãsãyla, Kanun’un 4’üncü maddesinin ikinci fãkrasãnda yer verilen “iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma” ilkesine de riayet edilerek aynã veri sorumlusu bünyesinde [43] Kiăisel Verileri Koruma Kurumu, Kiăisel Verilerin Korunmasã Kanununa âliăkin Uygulama Rehberi, s.89 [44] Veri sorumlusu nezdindeki kiăisel verilere eriăim yetkisi bulunan personelin yetkisi ve amacã dãăãnda söz konusu verileri iălemesi hususunun deÛerlendirilmesine iliăkin 31.05.2018 tarihli ve 2018/63 sayãlã âlke Kararã, https://www.kvkk.gov.tr/Icerik/5248/2018-63 75 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ bulunan farklã bölümler ya da kiăiler arasãnda gerçekleătirilecek kiăisel veri paylaăãmlarãnãn da sãnãrlã bir kapsamda gerçekleătirilmesi gerekmektedir. Bir tüzel kiăi bünyesinde farklã birimler arasãnda veri paylaăãmã yapãlmasãnãn aksine, aynã ăirketler topluluÛu bünyesinde yer alan farklã tüzel kiăiler arasãnda veri aktarãmã gerçekleătirilmesi, Kanun’un 8’inci maddesi kapsamãnda veri aktarãmã sayãlacaktãr.

aksine, aynã ăirketler topluluÛu bünyesinde yer alan farklã tüzel kiăiler arasãnda veri aktarãmã gerçekleătirilmesi, Kanun’un 8’inci maddesi kapsamãnda veri aktarãmã sayãlacaktãr. Nitekim, Kiăisel Verileri Koruma Kurulunun bir kararãnda; “Bir ăirketler topluluÛu bünyesinde yer alan birden çok veri sorumlusu ăirketler arasãnda veri aktarãmã gerçekleătirilmesinin, üçüncü kiăiye veri aktarãmã olarak deÛerlendirildiÛi, bu itibarla aynã ăirketler topluluÛu bünyesinde yer alan veri sorumlularã arasãnda gerçekleăecek veri aktarãmãnda da 6698 sayãlã Kiăisel Verilerin Korunmasã Kanununun 8 inci maddesi hükümlerinin esas alãnmasã gerektiÛi (…)” belirtilmiătir.[45] Bu doÛrultuda, bankalarãn bünyelerinde yer aldãklarã ăirketler topluluÛu içerisindeki diÛer ăirketlere yaptãÛã kiăisel veri aktarãmlarã “üçüncü kiăiye veri aktarãmã” kategorisinde yer aldãklarãndan, Kanun’un ilgili maddelerinde yer verilen hükümlere tabidir. 1.1. KVKK Madde 8/3 Uyarãnca Yapãlabilecek Kiăisel Veri Aktarãmlarã Kanun’un 8’inci maddesinin üçüncü fãkrasãnda, kiăisel verilerin üçüncü kiăilere aktarãlmasãna iliăkin diÛer kanunlarda yer alan hükümlerin saklã olduÛu ifade edilmektedir. Kanun koyucu, kiăisel verilerin aktarãlmasãna iliăkin ana kuralã Kanun’da belirlemekle birlikte, diÛer kanunlarda konuya iliăkin olarak yer alan düzenlemelerin saklã olduÛunu da düzenlemiătir. Hâlihazãrda kiăisel verilerin korunmasãna deÛinen ulusal düzeyde çok sayãda kanuni düzenleme mevcuttur. 5411 sayãlã Bankacãlãk Kanunu da bu düzenlemelerden birisidir.

iliăkin olarak yer alan düzenlemelerin saklã olduÛunu da düzenlemiătir. Hâlihazãrda kiăisel verilerin korunmasãna deÛinen ulusal düzeyde çok sayãda kanuni düzenleme mevcuttur. 5411 sayãlã Bankacãlãk Kanunu da bu düzenlemelerden birisidir. Bu itibarla, 6698 sayãlã Kanunun 8 inci maddesinin üçüncü fãkrasã uyarãnca gerek 5411 sayãlã Kanunda gerek diÛer kanunlarda yer verilen düzenlemeler çerçevesinde kiăisel veriler aktarãlabilecektir. [45] “âă Baăvurusu Sürecinde âălenen Kiăisel Verilerin Hukuka Aykãrã Ăekilde Paylaăãlmasã” https://www.kvkk.gov.tr/Icerik/5410/Is-Basvurusu-Surecinde-Islenen-Kisisel-Verilerin-Hukuka- Aykiri-Sekilde-Paylasilmasi 76 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 1.1.1 Bankalardan Bilgi Talep Etmeye Yetkili Mercilere Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankalar, Kanun uyarãnca, bilgi aktardãklarã kurum ve kuruluălarãn kendi kuruluă kanunlarã ve diÛer kanunlardan kaynaklanan bilgi talep etme yetkilerine istinaden yetkili mercilere kanunlardaki sãnãrlamalar çerçevesinde, ilgili kiăilerin açãk rãzasãna gerek olmaksãzãn kiăisel veri aktarãmãnda bulunabilirler. Mahkemeler, savcãlãklar, T.C. Bankacãlãk Düzenleme ve Denetleme Kurumu (“BDDK”), Sayãătay, Sermaye Piyasasã Kurulu (“SPK”), Türkiye Cumhuriyet Merkez Bankasã (“TCMB”), Tasarruf Mevduatã Sigorta Fonu (“TMSF”), Gelir âdaresi BaăkanlãÛã (“GâB”), Sosyal Güvenlik Kurumu (“SGK”), Mali Suçlarã Araătãrma Kurumu (“MASAK”) ve bunlarla sãnãrlã olmamak üzere kanunlar kapsamãnda bankalardan bilgi ve belge talep etmeye yetkili mercilere kiăisel veri aktarãmã yapãlabilecektir.

Mali Suçlarã Araătãrma Kurumu (“MASAK”) ve bunlarla sãnãrlã olmamak üzere kanunlar kapsamãnda bankalardan bilgi ve belge talep etmeye yetkili mercilere kiăisel veri aktarãmã yapãlabilecektir. Bankalarãn, müăteri ve banka sãrlarãnã kanunen açãkça yetkili kãlãnan mercilere açãklama yükümlülükleri, Bankacãlãk Kanunu’nun 73’üncü ve 159’uncu maddelerine göre mercilerin “ilgili konularda sorduklarã sorularãn cevaplandãrãlmasã” ile sãnãrlandãrãlmãătãr. AăaÛãda, istisna kapsamãnda deÛerlendirilen merciler ile bilgi paylaăãmãna iliăkin örneklere yer verilmektedir: • Savcãlãk ve mahkemelere verilen bilgi ve belgeler 5271 sayãlã Ceza Muhakemesi Kanunu’nun “Bilgi isteme” baălãklã 332’nci maddesinde yer alan “Suçlarãn soruăturma ve kovuăturmasã sãrasãnda Cumhuriyet savcãsã, hâkim veya mahkeme tarafãndan yazãlã olarak istenilen bilgilere on gün içinde cevap verilmesi zorunludur. EÛer bu süre içinde istenen bilgilerin verilmesi imkânsãz ise, sebebi ve en geç hangi tarihte cevap verilebileceÛi aynã süre içinde bildirilir. Bilgi istenen yazãda yukarãdaki fãkra hükmü ile buna aykãrã hareket etmenin Türk Ceza Kanununun 257’nci maddesine aykãrãlãk oluăturabileceÛi yazãlãr. Bu durumda haklarãnda kamu davasãnãn açãlmasã, izin veya karar alãnmasãna baÛlã bulunan kiăiler hakkãnda, yasama dokunulmazlãÛã saklã kalmak üzere, doÛrudan soruăturma 77 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

açãlmasã, izin veya karar alãnmasãna baÛlã bulunan kiăiler hakkãnda, yasama dokunulmazlãÛã saklã kalmak üzere, doÛrudan soruăturma 77 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ yapãlãr.” hükümlerine istinaden Cumhuriyet savcãsã, sulh ceza hâkimi veya mahkemeler tarafãndan istenen bilgilerin bankalarca verilmesi zorunlu olduÛundan bu kapsamda kiăisel veri aktarãmã yapãlabilecektir. 6100 sayãlã Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinin ilk ve ikinci fãkralarãna göre “Mahkeme, üçüncü kiăi veya kurumun elinde bulunan bir belgenin taraƼarca ileri sürülen hususun ispatã için zorunlu olduÛuna karar verirse, bu belgenin ibrazãnã emreder. Belgeyi ibraz etmesine karar verilen herkes, elindeki belgeyi ibraz etmek; belgeyi ibraz edememesi hâlinde ise bunun sebebini delilleri ile birlikte açãklamak zorundadãr. Mahkeme yapãlan açãklamayã yeterli görmezse, bu kimseyi tanãk olarak dinleyebilir.” Hukuk mahkemeleri tarafãndan anãlan hükme istinaden bankalara iletilen belge talepleri söz konusu olduÛunda, söz konusu belgeler kapsamãnda yer alan kiăisel veriler de mahkemeye aktarãlabilecektir. • Kamuyu Aydãnlatma YükümlülüÛü altãnda açãklama yapãlmasã

tarafãndan anãlan hükme istinaden bankalara iletilen belge talepleri söz konusu olduÛunda, söz konusu belgeler kapsamãnda yer alan kiăisel veriler de mahkemeye aktarãlabilecektir. • Kamuyu Aydãnlatma YükümlülüÛü altãnda açãklama yapãlmasã 6362 sayãlã Sermaye Piyasasã Kanunu’nun (“6362 sayãlã Kanun”) 136’ncã maddesinin 5’inci fãkrasãna göre, kendi sermaye piyasasã araçlarãnã halka arz ederek veya halka arz etmeksizin satan bankalar ile 6362 sayãlã Kanun’da tanãmã yapãlan yatãrãm hizmetleri ve faaliyetlerinde bulunan bankalar, bu faaliyetleri ile sãnãrlã olarak, 6362 sayãlã Kanun hükümlerine tabidir. Yukarãda zikredilen hüküm çerçevesinde bankalar da Sermaye Piyasasã Kurulu’nun, 6362 sayãlã Kanun’un 15’inci maddesinin verdiÛi yetkiye istinaden yayãmladãÛã II-15.1 sayãlã “Özel Durumlar TebliÛi” kapsamãnda bulunmaktadãr. Dolayãsãyla, bu kapsamda kiăisel veriler açãklanmak suretiyle aktarãm faaliyeti gerçekleătirilebilecektir. • Finansal Raporlarãn yayãmlanmasã ve yetkili mercilere aktarãlmasã Bankacãlãk Kanunu’nun 39’uncu maddesinin 3’üncü fãkrasãna ve buna istinaden yayãmlanan Bankalarãn Muhasebe Uygulamalarãna ve Belgelerin Saklanmasãna âliăkin YönetmeliÛinin 14’üncü maddesine göre bankalarãn ƻnansal raporlarãnãn BDDK’ya ve Türkiye Bankalar BirliÛine (“TBB”) ya da Türkiye Katãlãm Bankalarã BirliÛine sunulmasã, 78 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Resmi Gazete’de ilan edilmesi ve banka ve kuruluă birlikleri tarafãndan internet sayfalarãnda yayãmlanmasã gerekmektedir. Dolayãsãyla söz konusu ƻnansal raporlarãn sunumu veya yayãmlanmasã kapsamãnda kiăisel veri aktarãmã yapãlabilecektir

Resmi Gazete’de ilan edilmesi ve banka ve kuruluă birlikleri tarafãndan internet sayfalarãnda yayãmlanmasã gerekmektedir. Dolayãsãyla söz konusu ƻnansal raporlarãn sunumu veya yayãmlanmasã kapsamãnda kiăisel veri aktarãmã yapãlabilecektir • âăçi, gemi adamã ve gazetecilerini tihkak ödemelerinin yapãldãÛã hesaplara ait bilgilerin kanunla yetkili kãlãnan mercilere aktarãlmasã 6098 sayãlã Borçlar Kanunu, 5953 sayãlã Basãn MesleÛinde Çalãăanlarla Çalãătãranlar Arasãndaki Münasebetlerin Tanzimi Hakkãnda Kanun, 854 sayãlã Deniz âă Kanunu ile 4857 sayãlã âă Kanunu kapsamãnda çalãătãrãlan iăçi, gemi adamã ve gazetecinin ücret, prim, ikramiye ve bu nitelikte her çeăit istihkak ödemelerinin özel olarak açãlan banka hesabãna yapãlmasã halinde, bu hesaplara iliăkin bilgi ve belgelerin Çalãăma ve Sosyal Güvenlik BakanlãÛã, Hazine ve Maliye BakanlãÛã ve bunlara baÛlã ve ilgili kurum ve kuruluălara verilmesi kapsamãnda kiăisel veri aktarãmã gerçekleătirilebilecektir • Gelir testi yapãlmasãna ve sosyal yardãm hak sahiplerinin belirlenmesine iliăkin bilgilerin kanunla yetkili kãlãnan mercilere aktarãlmasã 5510 sayãlã Sosyal Sigortalar ve Genel SaÛlãk Sigortasã Kanununun 8’inci ve 100’üncü maddelerinin uygulanmasã ile genel saÛlãk sigortalãlãÛãnda gelir testinin yapãlmasãna iliăkin bilgi ve belgelerin Sosyal Güvenlik Kurumuna ve il veya ilçe sosyal yardãmlaăma ve dayanãăma vakãƼarãnca yapãlan sosyal yardãm hak sahiplerinin tespiti ile gelir testi iălemlerinin yürütülmesi amacãyla Aile ve Sosyal Hizmetler BakanlãÛã Sosyal Yardãmlar Genel MüdürlüÛüne verilmesi kapsamãnda anãlan kuruluălara kiăisel veri aktarãmã yapãlabilecektir. • Kãsmen veya tamamen karăãlãÛã bulunmayan çeki keăide edenlerin bankaca bilinen adreslerinin çek hamiline verilmesi 79

Hizmetler BakanlãÛã Sosyal Yardãmlar Genel MüdürlüÛüne verilmesi kapsamãnda anãlan kuruluălara kiăisel veri aktarãmã yapãlabilecektir. • Kãsmen veya tamamen karăãlãÛã bulunmayan çeki keăide edenlerin bankaca bilinen adreslerinin çek hamiline verilmesi 79 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 5941 sayãlã Çek Kanunu’nun 2’nci maddesinin ikinci fãkrasãna göre, çekin karăãlãÛãnãn kãsmen veya tamamen bulunmamasã halinde, çek keăidecisinin bankaca bilinen adresleri, talebi halinde çek hamiline veya çek hamilinin yetkili vekiline verilecektir. Bu kapsamda anãlan hüküm uyarãnca kiăisel veri aktarãmã gerçekleătirilebilecektir. bilgiler arasãnda kiăisel verilerin de yer almasã halinde, anãlan hüküm uyarãnca aktarãm yapãlmasã mümkündür. • Sayãătaya Verilecek bilgiler 6085 sayãlã Sayãătay Kanunu’nun 6’ncã maddesinin ikinci fãkrasãna göre Sayãătay, denetimine giren iălemlerle ilgili her türlü bilgi ve belgeyi bankalardan isteyebilmektedir. Sayãătay’a verilebilecek • âcra ve âƼas Müdürlüklerine Verilecek bilgiler 2004 sayãlã âcra ve âƼas Kanununun 367’nci maddesine göre gerçek ve tüzel kiăiler icra veya iƼas dairelerinin borçlunun mevcuduna dair isteyeceÛi bütün bilgileri vermek zorundadãr. 1.1.2. Ăüpheli âălem Bildirim ZorunluluÛu Çerçevesinde Gerçekleătirilen Kiăisel Veri Aktarãmlarã

ve tüzel kiăiler icra veya iƼas dairelerinin borçlunun mevcuduna dair isteyeceÛi bütün bilgileri vermek zorundadãr. 1.1.2. Ăüpheli âălem Bildirim ZorunluluÛu Çerçevesinde Gerçekleătirilen Kiăisel Veri Aktarãmlarã 5549 sayãlã Suç Gelirlerinin Aklanmasãnãn Önlenmesi Hakkãnda Kanun’un 4’üncü maddesi gereÛince; yükümlüler nezdinde veya bunlar aracãlãÛãyla yapãlan veya yapãlmaya teăebbüs edilen iălemlere konu malvarlãÛãnãn yasa dãăã yollardan elde edildiÛine veya yasa dãăã amaçlarla kullanãldãÛãna dair herhangi bir bilgi, ăüphe veya ăüpheyi gerektirecek bir hususun bulunmasã halinde, bu iălemlerin yükümlüler tarafãndan MASAK’a bildirilmesi zorunludur. 5549 sayãlã Kanun’un 10’uncu maddesine göre; kanun gereÛince yükümlülüklerini yerine getiren gerçek ve tüzel kiăiler hiçbir ăekilde hukukî ve cezaî bakãmdan sorumlu tutulamaz. Ăüpheli iălem bildirimleri bankalar açãsãndan kanunda açãkça öngörülen 80 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK bir yükümlülük olduÛundan bu kapsamda kiăisel veri aktarãmã yapãlmasã mümkündür. 1.1.3. Ana Ortak/BaÛlã Ortaklãklara Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankacãlãk Kanunu’nun 73’üncü maddesinin dördüncü fãkrasãnda; “Sermayelerinin yüzde on veya daha fazlasãna sahip olan yurt içinde veya yurt dãăãnda yerleăik kredi kuruluău ile ƻnansal kuruluălar da dâhil ana ortaklãklarãn konsolide ƻnansal tablo hazãrlama çalãămalarãnda, risk yönetimi ve iç denetim uygulamalarãnda kullanãlmak üzere bilgi ve belge taleplerinin karăãlanmasã sãrasãnda banka ya da müăteri sãrrã niteliÛindeki bilgilerin öÛrenilmesi sãr saklama yükümlülüÛü dãăãndadãr.” hükmü yer almaktadãr.

ve iç denetim uygulamalarãnda kullanãlmak üzere bilgi ve belge taleplerinin karăãlanmasã sãrasãnda banka ya da müăteri sãrrã niteliÛindeki bilgilerin öÛrenilmesi sãr saklama yükümlülüÛü dãăãndadãr.” hükmü yer almaktadãr. Buna göre Türkiye’deki bir banka, hükümde yer alan ăartlarã taăãyan ana ortaklãÛãn bilgi ve belge taleplerini gizlilik sözleămesi yapãlmasã ve konsolide ƻnansal tablo hazãrlama çalãămalarã, risk yönetimi iç denetim uygulamalarã ile sãnãrlã kalãnmasã ăartãyla karăãlayabilecektir. Söz konusu ana ortaklãk, ƻnansal kuruluă ya da baăka bir teăebbüs olabilecektir. 1.1.4. Muhtemel Alãcãlara Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankacãlãk Kanunu’nun 73’üncü maddesinin dördüncü fãkrasã kapsamãnda bankalar, doÛrudan veya dolaylã pay sahipliÛi yoluyla sermayelerinin yüzde onunu ve daha fazlasãnã temsil eden paylarãnãn satãăã amacãyla muhtemel alãcãlarãn yapacaklarã deÛerleme çalãămalarãnda kullanãlmak kaydãyla, gizlilik sözleămesi yapãlmasã ve sözleămede belirtilen koăullarla sãnãrlã kalãnmasã ăartãyla muhtemel alãcãlarãn bilgi ve belge taleplerini karăãlayabileceklerdir. Bu doÛrultuda, bankalarãn kredileri de dahil varlãklarãnãn ya da bunlara dayalã menkul kãymetlerinin satãăã amacãyla yapãlacak deÛerleme çalãămalarã çerçevesinde, gizlilik sözleămesi yapãlmasã ve sözleămede belirtilen koăullarla sãnãrlã kalãnmasã ăartãyla, muhtemel alãcãlarãn bilgi ve belge talepleri karăãlanabilecektir. Bu kapsamda yapãlan bilgi ve belge alãăveriălerinde kiăisel veri aktarãmã 81 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ yapãlmasã da mümkündür.

talepleri karăãlanabilecektir. Bu kapsamda yapãlan bilgi ve belge alãăveriălerinde kiăisel veri aktarãmã 81 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ yapãlmasã da mümkündür. 1.1.5. Bankalar ve Finansal Kuruluălara Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankacãlãk Kanunu’nun 73’üncü maddesinin dördüncü fãkrasãna göre bankalar ve ƻnansal kuruluălar gizlilik sözleămesi yapmak ve sözleămede belirtilen amaçlarla sãnãrlã kalãnmak kaydãyla kendi aralarãnda doÛrudan doÛruya her türlü bilgi ve belge alãăveriăinde bulunabilirler. Bu kapsamda, bankalar ile diÛer bankalar ve ƻnansal kuruluălar arasãnda her türlü bilgi alãăveriăi kapsamãnda kiăisel veri aktarãmã yapãlmasã mümkündür. 1.1.6. Risk Merkezi, Bankalar Arasã Kart Merkezi ve Kredi Kayãt Bürosu’na Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankacãlãk Kanunu’nun 73’üncü maddesinin dördüncü fãkrasã kapsamãnda gizlilik sözleămesi yapãlmasã ve sadece belirtilen amaçlar ile sãnãrlã kãlãnmasã koăuluyla bankalarãn ve ƻnansal kuruluălarãn, risk merkezi veya en az beă banka ya da ƻnansal kuruluă tarafãndan kurulacak ăirketler vasãtasãyla yapacaklarã her türlü bilgi ve belge alãăveriăi bankalarãn sãr saklama yükümlülüÛü dãăãnda tutulmuătur. Bankalarca Risk Merkezi, Bankalararasã Kart Merkezi (“BKM”) ve Kredi Kayãt Bürosu (“KKB”)’na gizlilik sözleămesi yapãlmak ve belirtilen amaçlarla sãnãrlã olmak kaydãyla kiăisel veri aktarãmã yapãlmasã mümkündür. 1.1.7. âătiraklere Gerçekleătirilen Kiăisel Veri Aktarãmlarã

Kart Merkezi (“BKM”) ve Kredi Kayãt Bürosu (“KKB”)’na gizlilik sözleămesi yapãlmak ve belirtilen amaçlarla sãnãrlã olmak kaydãyla kiăisel veri aktarãmã yapãlmasã mümkündür. 1.1.7. âătiraklere Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankacãlãk Kanunu’nun 73’üncü maddesinin dördüncü fãkrasã uyarãnca, gizlilik sözleămesi yapãlmasã ve sadece belirtilen amaçlar ile sãnãrlã kãlãnmasã koăuluyla bankalarãn ve ƻnansal kuruluălarãn, risk merkezi veya en az beă banka ya da ƻnansal kuruluă tarafãndan kurulacak ăirketler vasãtasãyla yapacaklarã her türlü bilgi ve belge alãăveriăi bankalarãn sãr saklama yükümlülüÛü dãăãnda tutulmuătur. Bu kapsamda bankalar ile bankalarãn ƻnansal kuruluău niteliÛindeki baÛlã ortaklãklarã arasãndaki bilgi ve belge 82 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK paylaăãmã kapsamãnda kiăisel veri aktarãmã yapãlmasã mümkündür 1.1.8. DeÛerleme, Derecelendirme ve Destek Hizmeti Kuruluălarãna Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankacãlãk Kanunu’nun 73’üncü maddesinin dördüncü fãkrasã kapsamãnda bankalar ile deÛerleme, derecelendirme ve destek hizmetleri kuruluălarã arasãnda gizlilik sözleămesi yapãlmasã ve sadece belirtilen amaçlar ile sãnãrlã kãlãnmasã koăuluyla deÛerleme, derecelendirme veya destek hizmeti alãnmasã ile baÛãmsãz denetim faaliyetlerinde kullanãlmak üzere bilgi ve belge taleplerinin karăãlanmasã sãrasãnda banka ya da müăteri sãrrã niteliÛindeki bilgilerin öÛrenilmesi sãr saklama yükümlülüÛü dãăãnda olup, bu kapsamda kiăisel veri aktarãmã yapãlmasã mümkündür.

ve belge taleplerinin karăãlanmasã sãrasãnda banka ya da müăteri sãrrã niteliÛindeki bilgilerin öÛrenilmesi sãr saklama yükümlülüÛü dãăãnda olup, bu kapsamda kiăisel veri aktarãmã yapãlmasã mümkündür. Bankalarãn destek hizmeti niteliÛi taăãmayan hizmet alãmlarãna yönelik iălemlerde kullanãlmak üzere bilgi ve belge paylaăãmlarã gerekli tedbirlerin alãnmasã, gizlilik sözleămesi yapãlmasã ve belirtilen amaçlarla sãnãrlã kalãnmasã koăuluyla sãr saklama yükümlülüÛüne aykãrãlãk teăkil etmediÛinden, bu koăullarãn saÛlanmasã halinde kiăisel veri aktarãmlarã yapãlabilir. 1.2. âă Ortaklarãna Gerçekleătirilen Kiăisel Veri Aktarãmlarã Bankalar, müăterilerine saÛladãklarã bankacãlãk ürünleriyle baÛlantãlã olarak bir takãm ek hizmet ve avantajlarã içeren kampanyalar düzenleyebilmekte, söz konusu kampanyalar kapsamãnda üçüncü taraf kiăi ve kuruluălarla iă iliăkileri kurabilmektedirler. Bu kapsamda, 5411 sayãlã Kanunun 73 üncü maddesinin üçüncü fãkrasãnda öngörülen “… müăteri sãrrã niteliÛindeki bilgiler, …” müăteriden gelen bir talep ya da talimat olmaksãzãn yurt içindeki ve yurt dãăãndaki üçüncü kiăilerle paylaăãlamaz ve bunlara aktarãlamaz.” hükmü ile 5411 sayãlã Kanunun anãlan maddesine dayanãlarak hazãrlanmãă Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda YönetmeliÛin ilgili hükümleri çerçevesinde iă ortaklarãna kiăisel veri aktarãmã gerçekleătirilebilecektir. 83 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 2- Yurtdãăãna Veri Aktarãmã 2.1. Yurtdãăãna Veri Aktarãmã Yöntemleri

veri aktarãmã gerçekleătirilebilecektir. 83 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 2- Yurtdãăãna Veri Aktarãmã 2.1. Yurtdãăãna Veri Aktarãmã Yöntemleri Kanunun kiăisel verilerin yurt dãăãna aktarãlmasãna iliăkin usul ve esaslarã düzenleyen 9 uncu maddesinin; a) birinci fãkrasãnda, Kanunun 5 inci ve 6 ncã maddelerinde belirtilen ăartlardan birinin varlãÛã ve aktarãmãn yapãlacaÛã ülke, ülke içerisindeki sektörler veya uluslararasã kuruluălar hakkãnda yeterlilik kararã bulunmasã, b) dördüncü fãkrasãnda, yeterlilik kararãnãn bulunmamasã durumunda, Kanunun 5 inci ve 6 ncã maddelerinde belirtilen ăartlardan birinin varlãÛã, ilgili kiăinin aktarãmãn yapãlacaÛã ülkede de haklarãnã kullanma ve etkili kanun yollarãna baăvurma imkânãnãn bulunmasã kaydãyla, anãlan fãkrada belirtilen uygun güvencelerden birinin taraƼarca saÛlanmasã ve c) altãncã fãkrasãnda ise yeterlilik kararãnãn bulunmamasã ve dördüncü fãkrada öngörülen uygun güvencelerden herhangi birinin saÛlanamamasã durumunda, arãzi olmak kaydãyla sadece bahse konu altãncã fãkrada belirtilen istisnai hâllerden birinin varlãÛã hâlinde kiăisel verilerin yurt dãăãna aktarãlabileceÛi hükme baÛlanmãătãr.

saÛlanamamasã durumunda, arãzi olmak kaydãyla sadece bahse konu altãncã fãkrada belirtilen istisnai hâllerden birinin varlãÛã hâlinde kiăisel verilerin yurt dãăãna aktarãlabileceÛi hükme baÛlanmãătãr. DiÛer taraftan, anãlan maddenin onuncu fãkrasãnda kiăisel verilerin yurt dãăãna aktarãlmasãna iliăkin diÛer kanunlarda yer alan hükümlerin saklã olduÛu düzenlenmiătir. Yine, Anayasanãn 90 ãncã maddesinin beăinci fãkrasãnda, “Usulüne göre yürürlüÛe konulmuă milletlerarasã andlaămalar kanun hükmündedir. (…)” denilmek suretiyle uluslararasã andlaămalarãn usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayãlacaÛã açãkça düzenlenmiătir. Dolayãsãyla, kanunlarda ve usulüne göre yürürlüÛe konulmuă uluslararasã andlaămalarda kiăisel verilerin yurt dãăãna aktarãmãna iliăkin özel bir düzenlemenin mevcut olmasã hâlinde, kiăisel verilerin yurt dãăãna aktarãlmasã faaliyetinin bu hükümlere uygun olarak gerçekleătirilmesi gerekecektir. 84 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

verilerin yurt dãăãna aktarãlmasã faaliyetinin bu hükümlere uygun olarak gerçekleătirilmesi gerekecektir. 84 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Bu çerçevede 5411 sayãlã Bankacãlãk Kanunun “Sãrlarãn saklanmasã” baălãklã 73 üncü maddesinin Kanunun 9 uncu maddesinin onuncu fãkrasã kapsamãnda deÛerlendirilmesi marifetiyle gerçekleătirilecek yurtdãăãna veri aktarãmlarã bakãmãndan dikkate alãnmasã gerekmektedir. 04.06.2021 tarihli ve 31501 sayãlã Resmi Gazetede yayãmlanan Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik ile müăteri sãrrã niteliÛindeki bilgilerin paylaăãm ve aktarãmlarãna iliăkin kapsam, ăekil, usul ve esaslarã belirlenmiătir. Dolayãsãyla, 6698 sayãlã Kanunun gerek 4 üncü maddesinin birinci fãkrasãnda yer verilen “Kiăisel veriler, ancak bu Kanunda ve diÛer kanunlarda öngörülen usul ve esaslara uygun olarak iălenebilir.” gerek 9 uncu maddesinin onuncu fãkrasãnda öngörülen “Kiăisel verilerin yurt dãăãna aktarãlmasãna iliăkin diÛer kanunlarda yer alan hükümler saklãdãr.” hükümleri uyarãnca müăteri sãrrã niteliÛindeki kiăisel verilerin yurt dãăãna aktarãmã bakãmãndan 5411 sayãlã Kanunda öngörülen mezkûr düzenleme ile anãlan Yönetmelik hükümlerinin göz önünde bulundurulmasã gerekmektedir. 2.1.1. Yeterlilik Kararã

niteliÛindeki kiăisel verilerin yurt dãăãna aktarãmã bakãmãndan 5411 sayãlã Kanunda öngörülen mezkûr düzenleme ile anãlan Yönetmelik hükümlerinin göz önünde bulundurulmasã gerekmektedir. 2.1.1. Yeterlilik Kararã Kanunun kiăisel verilerin yurt dãăãna aktarãlmasãna iliăkin usul ve esaslarã düzenleyen 9 uncu maddesinin birinci fãkrasãnda, Kanunun 5 inci ve 6 ncã maddelerinde belirtilen ăartlardan birinin varlãÛã ve aktarãmãn yapãlacaÛã ülke, ülke içerisindeki sektörler veya uluslararasã kuruluălar hakkãnda yeterlilik kararã bulunmasã hâlinde kiăisel verilerin yurt dãăãna aktarãlabileceÛi hükme baÛlanmãătãr. Maddenin yeni düzenlemesi ile önceki düzenlemede deÛiăiklik yapãlarak, bu yeterlilik kararãnãn sadece bir ülkenin geneli için deÛil, o ülkenin belirli bir sektörü veya uluslararasã kuruluălar için de verilebilmesine olanak saÛlanmãătãr. Bu baÛlamda, gerekli ăartlarãn saÛlanmasã durumunda Bankacãlãk sektörü bakãmãndan yeterlilik kararã alãnabilmesi mümkündür. 2.1.2. Uygun Güvenceler Kanunun kiăisel verilerin yurt dãăãna aktarãlmasãna iliăkin usul ve esaslarã düzenleyen 9 uncu maddesinin dördüncü fãkrasãnda, yeterlilik kararãnãn 85 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ bulunmamasã durumunda, Kanunun 5 inci ve 6 ncã maddelerinde belirtilen ăartlardan birinin varlãÛã, ilgili kiăinin aktarãmãn yapãlacaÛã ülkede de haklarãnã kullanma ve etkili kanun yollarãna baăvurma imkânãnãn bulunmasã kaydãyla, anãlan fãkrada belirtilen uygun güvencelerden birinin taraƼarca saÛlanmasã hâlinde kiăisel verilerin yurt dãăãna aktarãlabileceÛi hükme baÛlanmãătãr.

kullanma ve etkili kanun yollarãna baăvurma imkânãnãn bulunmasã kaydãyla, anãlan fãkrada belirtilen uygun güvencelerden birinin taraƼarca saÛlanmasã hâlinde kiăisel verilerin yurt dãăãna aktarãlabileceÛi hükme baÛlanmãătãr. Yurt dãăãndaki kamu kurum ve kuruluălarã veya uluslararasã kuruluălar ile Türkiye’deki kamu kurum ve kuruluălarã arasãnda uluslararasã sözleăme niteliÛinde olmayan anlaămanãn varlãÛã + Kurul izni. Dördüncü fãkranãn (a) bendine göre yurt dãăãndaki kamu kurum ve kuruluălarã veya uluslararasã kuruluălar ile Türkiye’deki kamu kurum ve kuruluălarã veya kamu kurumu niteliÛindeki meslek kuruluălarã arasãnda uluslararasã sözleăme niteliÛinde olmayan anlaămanãn varlãÛã ve Kurulun aktarãma izin vermesi koăullarãnãn gerçekleămesiyle yurtdãăãna veri aktarãmã gerçekleătirilebilecektir. Buna istinaden, ülkemizdeki bir kamu kurumunun yabancã ülkedeki ilgili kamu kurumuyla belli alanda yapacaÛã iă birliÛi protokolü çerçevesinde, Kurulun izin vermesi koăuluyla, bu iă birliÛi kapsamãndaki faaliyetlerin gerektirdiÛi kiăisel verilerin yurt dãăãndaki kamu kurumuna aktarãlmasã mümkün hale gelecektir. Kurul tarafãndan Onaylanmãă BaÛlayãcã Ăirket Kurallarãnãn varlãÛã

kapsamãndaki faaliyetlerin gerektirdiÛi kiăisel verilerin yurt dãăãndaki kamu kurumuna aktarãlmasã mümkün hale gelecektir. Kurul tarafãndan Onaylanmãă BaÛlayãcã Ăirket Kurallarãnãn varlãÛã Dördüncü fãkrada yer alan (b) bendine göre, aynã teăebbüs grubu içinde bulunan ăirketler arasãnda, Kurul tarafãndan önceden onaylanmãă ve kiăisel verilerin korunmasãnã içeren baÛlayãcã ăirket kurallarãnãn bulunmasã durumunda, Kanunun 5 ve 6 ncã maddelerindeki veri iăleme ăartlarãndan biri de mevcut ise, Kuruldan ek bir izin alãnmadan bu ăirketler arasã veri aktarãmã gerçekleătirilebilecektir. Böylece Kurulca onaylanan baÛlayãcã ăirket kurallarã olan bir teăebbüs grubunun Türkiye’deki ăirketinden, aynã grubun yabancã ülkedeki ăirketine Kuruldan bir kez daha izin alãnmaksãzãn veri aktarãmã yapãlabilecektir. Kurul tarafãndan ilan edilen, veri kategorileri, veri aktarãmãnãn amaçlarã, alãcã ve alãcã gruplarã, veri alãcãsã tarafãndan alãnacak teknik ve idari tedbirler, 86 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK özel nitelikli kiăisel veriler için alãnan ek önlemler gibi hususlarã ihtiva eden standart sözleămelerin varlãÛã + Kurula bildirim. Dördüncü fãkrada belirtilen (c) bendine göre, Kurul tarafãndan yayãmlanan standart sözleămenin imzalanmasã, ek bir izin gerektirmeden veri aktarãmãna olanak tanãyacaktãr. Bu standart sözleăme ise; veri kategorileri, aktarãmãn amaçlarã, verilerin alãcãlarã ve alãcã gruplarã, veri alãcãsã tarafãndan uygulanacak teknik ve idari önlemler, özel nitelikli kiăisel veriler için alãnacak ek tedbirler gibi çeăitli önemli unsurlar ile hususlarã içermektedir.

amaçlarã, verilerin alãcãlarã ve alãcã gruplarã, veri alãcãsã tarafãndan uygulanacak teknik ve idari önlemler, özel nitelikli kiăisel veriler için alãnacak ek tedbirler gibi çeăitli önemli unsurlar ile hususlarã içermektedir. Yeterli korumayã saÛlayacak hükümlerin yer aldãÛã yazãlã bir taahhütnamenin varlãÛã + Kurul izni. Dördüncü fãkrada yer alan (ç) bendi uyarãnca sektörel ya da bölgesel zorunluluklar sebebiyle standart taahhütname ile yurt dãăãna kiăisel veri aktarãmãnã gerçekleătiremeyecek aktarãm taraƼarãnãn, aralarãnda yapacaklarã kiăisel verilerin korunmasãna iliăkin taahhütleri içeren taahhütnameyi Kurulun onayãna sunmalarã sonucu kiăisel veri aktarãmã gerçekleătirilebilecektir. 2.1.3. Arãzi Haller Kanunun 9 uncu maddesinin altãncã fãkrasã ve YönetmeliÛin 6 ncã maddesinin ikinci fãkrasã ile 16 ncã maddesinin birinci fãkrasãnda yer verildiÛi üzere veri sorumlularã ve veri iăleyenler, yeterlilik kararãnãn bulunmamasã ve uygun güvencelerden herhangi birinin de saÛlanamamasã durumunda arãzi olmak kaydãyla yurtdãăãna kiăisel veri aktarabilir. Ancak, arãzi aktarãm, sadece Kanunun 9 uncu maddesinin altãncã fãkrasã ve YönetmeliÛin 16 ncã maddesinin ikinci fãkrasãnda sayãlan hallerden birinin varlãÛã halinde mümkündür. Bu haller; a) âlgili kiăinin, muhtemel riskler hakkãnda bilgilendirilmesi kaydãyla, aktarãma açãk rãza vermesi. b) Aktarãmãn, ilgili kiăi ile veri sorumlusu arasãndaki bir sözleămenin ifasã veya ilgili kiăinin talebi üzerine alãnan sözleăme öncesi tedbirlerin uygulanmasã için zorunlu olmasã. 87 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

veya ilgili kiăinin talebi üzerine alãnan sözleăme öncesi tedbirlerin uygulanmasã için zorunlu olmasã. 87 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ c) Aktarãmãn, ilgili kiăi yararãna veri sorumlusu ve diÛer bir gerçek veya tüzel kiăi arasãnda yapãlacak bir sözleămenin kurulmasã veya ifasã için zorunlu olmasã. ç) Aktarãmãn üstün bir kamu yararã için zorunlu olmasã. d) Bir hakkãn tesisi, kullanãlmasã veya korunmasã için kiăisel verilerin aktarãlmasãnãn zorunlu olmasã. e) Fiili imkânsãzlãk nedeniyle rãzasãnã açãklayamayacak durumda bulunan veya rãzasãna hukuki geçerlilik tanãnmayan kiăinin kendisinin ya da bir baăkasãnãn hayatã veya beden bütünlüÛünün korunmasã için kiăisel verilerin aktarãlmasãnãn zorunlu olmasã. f) Kamuya veya meăru menfaati bulunan kiăilere açãk olan bir sicilden, ilgili mevzuatta sicile eriămek için gereken ăartlarãn saÛlanmasã ve meăru menfaati olan kiăinin talep etmesi kaydãyla aktarãm yapãlmasã.” ăeklinde, maddenin lafzãndan da anlaăãlacaÛã üzere sãnãrlayãcã biçimde sayãlmaktadãr.

ilgili mevzuatta sicile eriămek için gereken ăartlarãn saÛlanmasã ve meăru menfaati olan kiăinin talep etmesi kaydãyla aktarãm yapãlmasã.” ăeklinde, maddenin lafzãndan da anlaăãlacaÛã üzere sãnãrlayãcã biçimde sayãlmaktadãr. Aktarãm yapãlacak ülkede yeterli koruma bulunduÛuna iliăkin bir Kurul kararã veya aktarãm taraƼarãnca saÛlanan herhangi bir uygun güvence bulunmadãÛã için yurt dãăãna kiăisel veri aktarãmã yapãlamadãÛã; ancak yurt dãăãna kiăisel veri aktarãmã yapãlmasãnãn elzem olduÛu durumlar için istisnalar öngörülmüătür. Anayasanãn 20 nci maddesinin üçüncü fãkrasãnda bir temel hak ve özgürlük olarak tanãnan kiăisel verilerin korunmasãnã isteme hakkãndan bireylerin en üst düzeyde ve en geniă kapsamda yararlanabilmeleri için bu istisnai hallerin dar yorumlanmasã gerekmektedir. Ayrãca, bu kapsamda öngörülen istisna hallerinin arãzi, düzenli olmayan, süreklilik göstermeyen ve nadiren gerçekleăen aktarãm faaliyetleri bakãmãndan geçerli olacaÛã açãkça düzenlenmiătir. Bankalar açãsãndan mümkün olabilecek arãzi hallere örnekler: Türkiye’de kurulu “A” bankasãnãn, para gönderme talebini karăãlamak üzere ilgili müăterinin kiăisel verilerini Etiyopya’da kurulu “B” bankasãna göndermesi ilgili kiăinin bir yeterlilik kararãnãn ve uygun güvencelerin yokluÛundan ötürü doÛacak risklere iliăkin muhakkak bilgilendirilmesinden sonra açãk rãzasãna baăvurularak, aktarãmãn düzenli olmamasã, süreklilik 88 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK göstermemesi ve nadiren gerçekleămesi ve Bankanãn mutat iălemleri arasãnda yer almamasã kaydãyla gerçekleătirilebilecektir.

88 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK göstermemesi ve nadiren gerçekleămesi ve Bankanãn mutat iălemleri arasãnda yer almamasã kaydãyla gerçekleătirilebilecektir. Bir Banka tarafãndan dava sürecini yürütmek amacãyla kiăisel verilerin yurt dãăãna aktarãlmasã bir hakkãn tesisi, kullanãlmasã veya korunmasã için kiăisel verilerin aktarãlmasãnãn zorunlu olmasã arãzi haline dayanãlarak aktarãmãn düzenli olmamasã, süreklilik göstermemesi ve nadiren gerçekleămesi kaydãyla gerçekleătirilebilecektir. 2.1.4. Kanunun 9 uncu Maddesinin Onuncu Fãkrasã Uyarãnca Yapãlacak Aktarãmlar Kanunun “Kiăisel Verilerin yurt dãăãna aktarãlmasã” baălãklã 9 uncu maddesinin onuncu fãkrasãnda kiăisel verilerin yurt dãăãna aktarãlmasã iliăkin diÛer kanunlarda yer alan hükümlerin saklã olduÛu düzenlenmiătir.

Yapãlacak Aktarãmlar Kanunun “Kiăisel Verilerin yurt dãăãna aktarãlmasã” baălãklã 9 uncu maddesinin onuncu fãkrasãnda kiăisel verilerin yurt dãăãna aktarãlmasã iliăkin diÛer kanunlarda yer alan hükümlerin saklã olduÛu düzenlenmiătir. 09/04/2020 tarihli ve 2020/265 sayãlã Kurul Kararã’nda Kanunun 9 uncu maddesinin onuncu fãkrasãna göre diÛer kanunlarda yurt dãăãna veri aktarãmãna iliăkin özel hükümlerin varlãÛã halinde; bu hükümlerin öncelikli olarak uygulanacaÛã, 20/02/2020 tarihli ve 7222 sayãlã Bankacãlãk Kanunu ile Bazã Kanunlarda DeÛiăiklik Yapãlmasãna Dair Kanunun 10 uncu maddesinin gerekçesinde de ifade edildiÛi üzere, esasen kiăisel verilerin bankacãlãk hukukunda özel bir görünümü olan gerçek kiăi müăteri sãrlarã (müăteri bilgileri) bakãmãndan 5411 sayãlã Kanunun hükümlerinin, 6698 sayãlã Kanuna göre özel hüküm niteliÛini haiz bulunmakta olduÛu ve özel norm-genel norm iliăkisinde özel normlarãn uygulama alanã bulacaÛã ifade edilmiătir. Bir baăka ifadeyle, banka ya da müăteri sãrrãnãn paylaăãmãnãn sãr saklama yükümlülüÛünün dãăãnda olduÛu durumlarãn düzenleme altãna alãndãÛã söz konusu hükmün, belirli koăullar altãnda banka ya da müăteri sãrrãnãn paylaăãlmasãna cevaz veren, bu nitelikteki kiăisel verilerin aktarãmãna iliăkin özel bir düzenleme niteliÛini haiz olduÛu belirtilmiătir. Müăteri sãrrã, 5411 sayãlã Bankacãlãk Kanununun 73 üncü maddesinin üçüncü fãkrasãnda “Bankacãlãk faaliyetlerine özgü olarak bankalarla müăteri iliăkisi kurulduktan sonra oluăan gerçek ve tüzel kiăilere ait veriler” olarak tanãmlanmãătãr. 89

Bankacãlãk Kanununun 73 üncü maddesinin üçüncü fãkrasãnda “Bankacãlãk faaliyetlerine özgü olarak bankalarla müăteri iliăkisi kurulduktan sonra oluăan gerçek ve tüzel kiăilere ait veriler” olarak tanãmlanmãătãr. 89 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Bir gerçek veya tüzel kiăi müăterinin, bankanãn müăterisi olduÛunu gösterir her türlü bilgi müăteri sãrrã olarak kabul edilmektedir. Bununla birlikte, YönetmeliÛin 4’üncü maddesinin üçüncü fãkrasãnda müăteri iliăkisi kurulmamãă olsa dahi, baăka bir banka nezdinde bulunan müăteri sãrrã niteliÛindeki bilgilerin diÛer bir banka tarafãndan elde edilmesi ve öÛrenilmesi halinde, bu verilerin de diÛer banka için müăteri sãrrã niteliÛini haiz olacaÛã öngörülmüătür. Bu anlamda, bankalar ile müăteri iliăkisi kurulmadan önce de var olan ve baăka bir bankanãn müăteri sãrrã niteliÛinde olmayan gerçek kiăilere ait kiăisel veriler tek baăãna müăteri sãrrã olarak kabul edilmemektedir. Ancak bu nitelikteki kiăisel verilerin, ilgili gerçek kiăinin banka müăterisi olduÛunu gösterecek ăekilde tek baăãna ya da müăteri iliăkisinin kurulmasãndan sonra oluăan verilerle birlikte iălendiÛinde müăteri sãrrã haline gelecektir.

kabul edilmemektedir. Ancak bu nitelikteki kiăisel verilerin, ilgili gerçek kiăinin banka müăterisi olduÛunu gösterecek ăekilde tek baăãna ya da müăteri iliăkisinin kurulmasãndan sonra oluăan verilerle birlikte iălendiÛinde müăteri sãrrã haline gelecektir. Bu kapsamda, 5411 sayãlã Kanunun 73 üncü maddesinin dördüncü fãkrasãnda belirtilen sãnãrlar dâhilinde banka sãrrã ya da müăteri sãrrã niteliÛini haiz kiăisel verilerin yurtdãăãna aktarãmã Kanunun 9 uncu maddesinin onuncu fãkrasãna dayanãlarak gerçekleătirilebilecektir. Ancak her ne kadar 6698 sayãlã Kanunun 9 uncu maddesinin onuncu fãkrasã uyarãnca 5411 sayãlã Kanunun 73 üncü maddesinin dördüncü fãkrasã çerçevesinde kiăisel veri aktarãmã gerçekleătirilebilecek olsa da söz konusu aktarãmlar bakãmãndan Kanunun diÛer hükümlerine uygun davranãlmasã gerekliliÛi devam etmektedir. Özellikle Kanunun 4 üncü maddesinde düzenlenen genel ilkelere riayet edilmesi ve 12 nci maddesi uyarãnca gerekli idari ve teknik tedbirlerin alãnmasã gerekmektedir. Anãlan karar gereÛi; özetle, 5411 sayãlã Bankacãlãk Kanunu’nun 73 üncü maddesi, 5411 sayãlã Bankacãlãk Kanunu’nun 73 ve 93 üncü maddelerine dayanãlarak hazãrlanan Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik ve müăteri sãrrãnãn paylaăãmãnãn düzenlendiÛi ilgili diÛer mevzuata uygun ăekilde müăteri sãrrã niteliÛini haiz kiăisel veriler yurt dãăãna aktarãlabilecektir. 90 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK IX. Genel âlkeler

mevzuata uygun ăekilde müăteri sãrrã niteliÛini haiz kiăisel veriler yurt dãăãna aktarãlabilecektir. 90 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK IX. Genel âlkeler 6698 sayãlã Kanunun “Genel ilkeler” baălãklã 4 üncü maddesinde, kiăisel verilerin ancak anãlan Kanunda ve diÛer kanunlarda öngörülen usul ve esaslara uygun olarak iălenebileceÛi ve kiăisel verilerin iălenmesinde maddede; “-Hukuka ve dürüstlük kurallarãna uygun olma, -DoÛru ve gerektiÛinde güncel olma, -Belirli, açãk ve meăru amaçlar için iălenme, -âălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma, -âlgili mevzuatta öngörülen veya iălendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ăeklinde sayãlan ilkelere uyulmasãnãn zorunlu olduÛu düzenleme altãna alãnmãătãr. Anãlan madde hükmünden açãkça anlaăãlacaÛã üzere, kiăisel verilerin iălenmesinde her hal ve ăartta 6698 sayãlã Kanunun 4 üncü maddesinde sayãlan genel ilkelere uyulmasã hukuki bir gerekliliktir. Hukuka ve dürüstlük kuralãna uygun olma, kiăisel verilerin iălenmesinde kanunlarla ve diÛer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluÛunu ifade etmektedir. Dürüstlük kuralãna uygun olma ilkesi uyarãnca veri sorumlusu, veri iălemedeki hedeƼerine ulaămaya çalãăãrken, ilgili kiăilerin çãkarlarãnã ve makul beklentilerini dikkate almalãdãr. DiÛer bir ifade ile, ilgili kiăinin beklemediÛi ve beklemesinin de gerekmediÛi sonuçlarãn ortaya çãkmasãnã önleyici ăekilde hareket etmesi gerekmektedir. âlke uyarãnca ayrãca ilgili kiăi için söz konusu veri iăleme faaliyetinin ăeffaf olmasã ve veri sorumlusunun bilgilendirme ve uyarã yükümlülüklerine uygun hareket etmesi gerekmektedir.

sonuçlarãn ortaya çãkmasãnã önleyici ăekilde hareket etmesi gerekmektedir. âlke uyarãnca ayrãca ilgili kiăi için söz konusu veri iăleme faaliyetinin ăeffaf olmasã ve veri sorumlusunun bilgilendirme ve uyarã yükümlülüklerine uygun hareket etmesi gerekmektedir. Kiăisel verilerin doÛruluÛunun ve güncelliÛinin önemini vurgulayan “doÛru ve gerektiÛinde güncel olma” ilkesi ile 6698 sayãlã Kanunda öngörülen ilgili kiăinin verilerinin düzeltilmesini talep etme hakkã uyumludur. Kiăisel verilerin doÛru ve güncel bir ăekilde tutulmasã, veri sorumlusunun çãkarãna uygun olduÛu gibi ilgili kiăinin temel hak ve özgürlüklerinin korunmasã açãsãndan da gereklidir. Kiăisel verilerin doÛru ve gerektiÛinde güncel olmasãnãn saÛlanmasã noktasãnda aktif özen yükümlülüÛü; veri sorumlusu eÛer bu verilere dayalã olarak ilgili kiăiyle alakalã bir sonuç ortaya koyuyor ise geçerlidir (örneÛin kredi verme iălemleri). Bunun dãăãnda veri sorumlusu her zaman ilgili kiăinin bilgilerinin doÛru ve güncel olmasãnã temin edecek kanallarã açãk tutmalãdãr. 91 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

iălenme” ilkesi ise, kiăisel veri iăleme faaliyetlerinin ilgili kiăi tarafãndan açãk bir ăekilde anlaăãlãr olmasãnã, kiăisel veri iăleme faaliyetinin hangi hukuki iăleme ăartãna dayalã olarak gerçekleătirildiÛinin tespit edilmesini, kiăisel veri iăleme faaliyetinin ve gerçekleătirilme amacãnãn belirliliÛi saÛlayacak detayda ortaya konulmasãnã saÛlar. Amacãn meăru olmasã, veri sorumlusunun iălediÛi verilerin, yapmãă olduÛu iă veya sunmuă olduÛu hizmetle baÛlantãlã ve bunlar için gerekli olmasã anlamãna gelmektedir. Bir diÛer önemli ilke olan “iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olmasã” ilkesine göre, iălenen veriler belirlenen amaçlarãn gerçekleătirilmesine elveriăli olmalã, amacãn gerçekleătirilmesiyle ilgili olmayan veya sonradan ortaya çãkmasã muhtemel ihtiyaçlarãn karăãlanmasãna yönelik veri iăleme yoluna gidilmemelidir. Burada önemli olan, amacã gerçekleătirmeye yönelik yeterli verinin temin edilmesi, amaç için gerekli olmayan veri iălemeden kaçãnãlmasãdãr. Ölçülülük ilkesi ise, veri iăleme ile gerçekleătirilmesi istenen amaç arasãnda makul bir dengenin kurulmasã yani veri iălemenin, amacã gerçekleătirecek ölçüde olmasã demektir. Söz konusu ilkeler çerçevesinde Kiăisel Verileri Koruma Kurulunun 18/09/2019 tarihli ve 2019/277 sayãlã kararã ile “(...) Ăikâyetçinin müăterisi olduÛu Bankaya kendisine ait iă ve iălemlerde ulaăãlmasã adãna vermiă olduÛu telefon numarasã bilgisinin, eăine ulaăãlmasãnda yardãmcã olunabilmesi adãna iălenmesinin, 5598 sayãlã Kanunun 4 üncü maddesinin (2) numaralã fãkrasãnãn (c) ve (ç) bentlerinde yer alan kiăisel verilerin iălenmesinde “belirli, açãk ve meăru amaçlar için iălenme ve iălend

eăine ulaăãlmasãnda yardãmcã olunabilmesi adãna iălenmesinin, 5598 sayãlã Kanunun 4 üncü maddesinin (2) numaralã fãkrasãnãn (c) ve (ç) bentlerinde yer alan kiăisel verilerin iălenmesinde “belirli, açãk ve meăru amaçlar için iălenme ve iălendikleri amaçla baÛlantãlã, sãnãrlã ve ölçülü olma” ilkelerine uyulmasã zorunluluÛuna aykãrã olduÛu ve bu çerçevede Kanunun 12 nci maddesinin birinci fãkrasãnãn (a) bendi uyarãnca veri sorumlusunun kiăisel verilerin hukuka aykãrã olarak iălenmesini önlemek amacãyla uygun

tedbirleri almadãÛãnã göstermesi nedeniyle Banka hakkãnda Kanunun 18 inci maddesinin (1) numaralã fãkrasãnãn (b) bendi uyarãnca 100.000 TL idari para cezasã uygulanmasãna” karar verilmiătir.[46] [46] “Bir bankanãn, ilgili kiăinin cep telefonu numarasãnã bankaya veriliă amacã dãăãnda kullan- masã” hakkãnda Kiăisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/277 Sayãlã Karar Özeti, www.kvkk.gov.tr 92 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Son olarak, “ilgili mevzuatta öngörülen veya iălendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi kiăisel verilerin “amaçla sãnãrlãlãk ilkesi”nin bir gereÛi olarak iălendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür. Kiăisel verilerin saklanmasã için amaçla sãnãrlãlãk ilkesi uyarãnca veri sorumlusu tarafãndan belirlenen saklama sürelerinin yanã sãra, veri sorumlusunun tabi olduÛu ilgili mevzuat kapsamãnda da belirlenmiă saklama süreleri mevcuttur. Buna göre; veri sorumlularã, ilgili kiăisel veriler için mevzuatta öngörülmüă bir süre varsa bu süreye uyacak; eÛer böyle bir süre öngörülmemiăse verileri ancak iălendikleri amaç için gerekli olan süre kadar saklayabilecektir. Bir verinin daha fazla saklanmasã için geçerli bir sebep bulunmamasã halinde, o veri silinecek, yok edilecek veya anonim hale getirilecektir. âleride tekrar kullanãlabileceÛi düăünülerek ya da herhangi bir baăka gerekçe ile kiăisel verilerin muhafaza edilmesi yoluna gidilemeyecektir. 93 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ X. Veri Sorumlusunun Yükümlülükleri A. Aydãnlatma YükümlülüÛü

verilerin muhafaza edilmesi yoluna gidilemeyecektir. 93 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ X. Veri Sorumlusunun Yükümlülükleri A. Aydãnlatma YükümlülüÛü Veri sorumlusunun aydãnlatma yükümlülüÛü, 6698 sayãlã Kanun’un 10’uncu maddesinde ve 10 Mart 2018 tarih, 30356 sayãlã Resmi Gazete’de yayãmlanarak yürürlüÛe giren Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkãnda TebliÛ’de düzenlenmiătir. Bu yükümlülük kapsamãnda, veri sorumlusu tarafãndan kanunda öngörülen hukuka uygunluk nedenlerine dayalã olarak kiăisel veri iălendiÛi her durumda uygun kanallar ve anlaăãlãr, açãk ve sade bir dil kullanãlarak aăaÛãdaki konu baălãklarãnda ayrãntãlã olarak yer verildiÛi ăekilde ilgili kiăilere aydãnlatma yapãlãr. 1- Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde âçerik 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu’nun 10’uncu maddesi uyarãnca kiăisel verilerin elde edilmesi sãrasãnda veri sorumlularã; veri sorumlusunun ve varsa temsilcisinin kimliÛi, kiăisel verilerin hangi amaçla iăleneceÛi, iălenen kiăisel verilerin kimlere ve hangi amaçla aktarãlabileceÛi, kiăisel veri toplamanãn yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayãlan diÛer haklarã konusunda bilgi vermekle yükümlüdür. Her banka, kiăisel veri kategorileri, veri toplama yöntemi, iăleme amaçlarã ve hukuki gerekçeleri ile kiăisel verilerin aktarãldãÛã taraƼar kapsamãnda, kendi iăleyiă ve sistemlerine uygun olarak kendi aydãnlatma metinlerini oluăturabilecektir.

Her banka, kiăisel veri kategorileri, veri toplama yöntemi, iăleme amaçlarã ve hukuki gerekçeleri ile kiăisel verilerin aktarãldãÛã taraƼar kapsamãnda, kendi iăleyiă ve sistemlerine uygun olarak kendi aydãnlatma metinlerini oluăturabilecektir. DiÛer taraftan aydãnlatma yükümlülüÛü çerçevesinde ilgili kiăiye verilecek bilgiler, Veri Sorumlularã Sicil Bilgi Sistemi’nde (VERBâS) açãklanan bilgilerle uyumlu olmalãdãr. Kiăisel Verileri Koruma Kurumu tarafãndan yayãmlanan 26/06/2020 tarihli Aydãnlatma YükümlülüÛünün Yerine Getirilmesi Hakkãnda Kamuoyu 94 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Duyurusu’nda[47] ve Kiăisel Verileri Koruma Kurulu’nun 08/10/2020 tarih, 2020/765 sayãlã[48] ve 766 sayãlã kararlarãnda[49], bankalarca yapãlacak aydãnlatmalarãn, kiăisel veri iăleme faaliyetine özgülenmiă olarak yerine getirilmesi gerektiÛi açãkça ifade edilmiătir. Bu kapsamda, 5411 sayãlã Bankacãlãk Kanunu’nun 4 üncü maddesinde[50] yer alan bankacãlãk faaliyet konularã aăaÛãda sãralanan baălãklar altãnda toplanmãătãr:

YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU [48] Kararãn tam metni için bkz. https://www.kvkk.gov.tr/Icerik/6844/2020-765 [49] Kararãn tam metni için bkz. https://www.kvkk.gov.tr/Icerik/6849/2020-766 [50] Bankacãlãk Kanunu’nun “Faaliyet konularã” baălãklã 4. madde düzenlemesi: “Bankalar, diÛer kanunlarda öngörülen hükümler saklã kalmak kaydãyla aăaÛãda belirtilen faaliyetleri gerçekleătirebilirler: a) Mevduat kabulü. b) Katãlãm fonu kabulü. c) Nakdî, gayrinakdî her cins ve surette kredi verme iălemleri. d) Nakdî ve kaydî ödeme ve fon transferi iălemleri, muhabir bankacãlãk veya çek hesaplarãnãn kullanãlmasã dahil her türlü ödeme ve tahsilat iălemleri. e) Çek ve diÛer kambiyo senetlerinin iătirasã iălemleri. f) Saklama hizmetleri. g) Kredi kartlarã, banka kartlarã ve seyahat çekleri gibi ödeme vasãtalarãnãn ihracã ve bunlarla ilgili faaliyetlerin yü- rütülmesi iălemleri. h) Efektif dahil kambiyo iălemleri; para piyasasã araçlarãnãn alãm ve satãmã; kãymetli maden ve taălarãn alãmã, satã- mã veya bunlarãn emanete alãnmasã iălemleri. i) Ekonomik ve finansal göstergelere, sermaye piyasasã araçlarãna, mala, kãymetli madenlere ve dövize dayalã; vadeli iălem sözleămelerinin, opsiyon sözleămelerinin, birden fazla türev aracã içeren basit veya karmaăãk yapãdaki finansal araçlarãn alãmã, satãmã ve aracãlãk iălemleri. j) Sermaye piyasasã araçlarãnãn alãm ve satãmã ile geri alãm veya tekrar satãm taahhüdü iălemleri. k) Sermaye piyasasã araçlarãnãn ihraç veya halka arz yoluyla satãăãna aracãlãk iălemleri. l) Daha önce ihraç edilmiă olan sermaye piyasasã araçlarãnãn aracãlãk maksadãyla alãm satãmãnãn

k) Sermaye piyasasã araçlarãnãn ihraç veya halka arz yoluyla satãăãna aracãlãk iălemleri. l) Daha önce ihraç edilmiă olan sermaye piyasasã araçlarãnãn aracãlãk maksadãyla alãm satãmãnãn yürütülmesi iă- lemleri. m) Baăkalarã lehine teminat, garanti ve sair yükümlülüklerin üstlenilmesi iălemleri gibi garanti iăleri. n) Yatãrãm danãămanlãÛã iălemleri. o) Portföy iăletmeciliÛi ve yönetimi. p) Hazine MüsteăarlãÛã ve/veya Merkez Bankasã ve kuruluă birlikleri nezdinde oluăturulan bir sözleăme kapsa- mãnda üstlenilen yükümlülükler çerçevesinde alãm satãm iălemlerine iliăkin piyasa yapãcãlãÛã. r) Faktöring ve forfaiting iălemleri. s) Bankalararasã piyasada para alãm satãmã iălemlerine aracãlãk. t) Finansal kiralama iălemleri. u) Sigorta acenteliÛi ve bireysel emeklilik aracãlãk hizmetleri. v) Kurulca belirlenecek diÛer faaliyetler. Mevduat bankalarã birinci fãkranãn (b) ve (t), katãlãm bankalarã (a), kalkãnma ve yatãrãm bankalarã (a) ve (b) bentlerinde belirtilen faaliyetleri gerçekleătiremezler.”

KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ 1) Müăteri Edinimi/Hesap Açãlãă 2) Kredi 3) Yatãrãm âălemleri Bankanãn veri iăleme amaçlarãnãn çok sayãda olmasã sebebiyle, yukarãda açãklanan kapsamda aydãnlatma metinlerinin Bankalarca hazãrlanmasã uygun olacaktãr. Bankalarca, kendilerine baăvuruda bulunan ilgili kiăiye bankaya geliă amacãna göre, faaliyete özgülenmiă aydãnlatma yapãlmasã müăteri olmayan kiăilerin banka ile sürekli iă iliăkisi kurmamasã durumunda sürecin, faaliyete özgülenmiă aydãnlatma ile son bulmasã uygun olabilecektir. ÖrneÛin, kiăi tüketici kredisi/kredi kartã baăvurusunda bulunduÛunda krediye özgü aydãnlatma yapãlacak, kredi reddedilir ve kiăi, banka müăterisi haline gelmez ise süreç sonlanmãă olacaktãr. âlgili kiăinin banka müăterisi haline gelmesi durumunda ise banka tarafãndan bu kiăiye “Müăteri Edinimi/Hesap Açãlãăã” için hazãrlanan aydãnlatma metni içeriÛiyle uyumlu bir bilgilendirme yapãlmasã uygun olacaktãr. Faaliyet baălãklarã içerisinde mevcut “hesap açãlãă” konusunda ise, bankaya müăteri olmak için baăvuran kiăilere “Müăteri Edinimi/Hesap Açãlãăã” için düzenlenecek bir metin ile aydãnlatma yapãlmasã uygun olabilecektir. Zira, ilgili kiăi müăteri olarak edinilmekte, sürekli iă iliăkisi kurulduktan sonra ise ancak talebi olmasã halinde kendisine farklã ürünler tahsis edilmektedir. Bazã ürün tahsislerinde müăteri edinim aăamasãnda elde edilen kiăisel veriler dãăãnda baăka bir veri iăleme faaliyeti olmadãÛãndan, yapãlacak bu aydãnlatma yeterli olabilecektir. ÖrneÛin, kiralãk kasa tahsis edilirken müăterinin sadece kimlik ve iletiăim bilgileri iălenmektedir.

dãăãnda baăka bir veri iăleme faaliyeti olmadãÛãndan, yapãlacak bu aydãnlatma yeterli olabilecektir. ÖrneÛin, kiralãk kasa tahsis edilirken müăterinin sadece kimlik ve iletiăim bilgileri iălenmektedir. Bankalarca yukarãda açãklanan kriterlere uygun ăekilde hazãrlanacak olan aydãnlatma metinlerinde kiăisel verilerin kategorik bazda iăleme amaçlarã ve hukuki sebepler ile eăleătirilerek sunulmasã gerektiÛine dikkat edilmelidir. Kiăisel verilerin kimlere aktarãlabileceÛine yönelik zorunlu içerikte de; destek hizmeti alãnan kuruluălar, iă ortaklarã, iătirakler, denetim kuruluălarã, 96 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK yetkili kamu kuruluălarã vs. gibi üçüncü kiăi gruplarãna kategorik olarak yer verilebilecek ve bazã kurumlarãn sayãlmasã da tercih edilebilecektir. Kanun’da belirtildiÛi üzere “veri sorumlusu” olarak bankalar, verisini iăledikleri gerçek kiăileri (personel, ziyaretçi vb.) aydãnlatmakla yükümlüdür. Aydãnlatma, aăaÛãda belirtilen kanallar aracãlãÛã ile yapãlmaktadãr. Bankacãlãk faaliyetleri kapsamãnda bankalarãn ilgili kiăilere yapmãă olduklarã bilgilendirme dãăãnda kalan durumlarda da kiăisel verilerin elde edildiÛi aăamalarda ilgili kiăiye, amaca uygun ilave bir bilgilendirme yapãlmasã önerilmektedir. ÖrneÛin, kimlik doÛrulamada biyometrik verilerin kullanãlmasã ya da geniă kitleleri etkileyebilecek ve yeni teknolojilerin kullanãldãÛã ürün/süreçlerde veya yarãăma/çekiliălere katãlãm gibi hususlarda somut duruma özgülenmiă aydãnlatma yapãlabilir. 1.1. Katmanlã Aydãnlatma

kullanãlmasã ya da geniă kitleleri etkileyebilecek ve yeni teknolojilerin kullanãldãÛã ürün/süreçlerde veya yarãăma/çekiliălere katãlãm gibi hususlarda somut duruma özgülenmiă aydãnlatma yapãlabilir. 1.1. Katmanlã Aydãnlatma Katmanlã aydãnlatma, kiăisel verilerin elde edilmesi sãrasãnda ilgili kiăiye, kiăisel verilerinin elde edildiÛi konusunda ön bilgilendirme yapãlarak, ilgili kiăinin Kanunun 10. maddesine uygun aydãnlatmaya yönlendirilmesi[51] amaca iliăkin bilgilendirilme yapãlãrken, önce kãsa ve kolay anlaăãlãr bir metin sunup, eă zamanlã (just-in-time) metin vasãtasãyla, detaylã açãklamalara iăaret edilmesi/referans verilmesi durumudur. Zaman ve yer kãsãtã olan kanallarda, ilgili kiăiye doÛrudan aydãnlatma metninin gösterilmesinin ya da okunmasãnãn mümkün olmadãÛã durumlarda, katmanlã aydãnlatma yapãlmasã yeterli olabilir. Bu baÛlamda bankalarca sunulan ürün ve hizmetlerin çeăitliliÛi göz önüne alãndãÛãnda; banka ile müăteri arasãnda gerek yüz yüze, gerekse elektronik araçlarla sözleăme kurulmasã sãrasãnda, müăterinin tüm aydãnlatma metnini okumasãnãn elveriăli olmadãÛã durumlarda aydãnlatma yükümlülüÛü, ilgili kiăilere kiăisel verilerinin elde edildiÛi konusunda ön bilgilendirme yapãlarak Bankalarãn internet sitelerinde yer alan ve Kanun’un 10’uncu maddesine uygun ăekilde düzenlenmiă [51] Kiăisel Verileri Koruma Kurumu, Aydãnlatma YükümlülüÛünün Yerine Getirilmesi Rehberi, s.8. (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf) 97 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

(https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf) 97 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ aydãnlatma metinlerine yönlendirme yapãlarak yerine getirilebilecektir. Bununla birlikte, katmanlã aydãnlatma yöntemi tercih ediliyorsa, ilgili kiăilerin ayrãntãlã bilgi için baăka bir mecraya yönlendirilmesinden önce, ilk aăamada temel bilgilerin (örneÛin veri sorumlusunun kimliÛi ve veri iălemenin amacã) sunulduÛundan emin olunmalã, yönlendirilen metinlerin iăleme faaliyeti ile sãnãrlã içeriÛe sahip olduÛuna dikkat edilmelidir.[52] Bu duruma uyan baălãca örnekler, online (çevrimiçi) bir formun doldurulmasã suretiyle veri toplanmasã sãrasãnda verinin toplandãÛã yerler, güvenlik kamerasã barãndãran yerler, çaÛrã merkezleri veya benzeri ses kayãt barãndãran sistemler, internet veya mobil bankacãlãk ara yüzleri, ATM’ler veya SMS kanalãyla bilgilendirmede kullanãlabilecek karakter sayãsãnãn izin verdiÛi ölçüde yapãlan açãklama dãăãnda ilgili kiăinin banka internet sitesinde yer alan aydãnlatma metinlerine yönlendirilmesi olarak sayãlabilir. Bu örneklere ek olarak; bina içi ve dãăãna iliăkin görüntü kaydãnãn alãndãÛã yerlerde, giriă kapãsã veya yakãnãnda, aăaÛãdaki unsurlarã taăãyan bir iăaretin bulundurulmasã, aydãnlatma için yeterli olabilir: • Makul bir uzaklãktan rahatça ne olduÛu anlaăãlabilecek büyüklükte bir kamera simgesi • Okunmaya elveriăli boyutta olacak ăekilde, örneÛin “Bu bina içi ve etrafãnda güvenlik kameralarã ile kayãt alãnmaktadãr’ benzeri bir ifade

• Makul bir uzaklãktan rahatça ne olduÛu anlaăãlabilecek büyüklükte bir kamera simgesi • Okunmaya elveriăli boyutta olacak ăekilde, örneÛin “Bu bina içi ve etrafãnda güvenlik kameralarã ile kayãt alãnmaktadãr’ benzeri bir ifade • Okunmaya elveriăli boyutta olacak ăekilde, örneÛin “Kiăisel Verilerin Korunmasã Kanunu ve haklarãnãz hakkãnda daha detaylã bilgiyi bankamãz internet sitesinden edinebilirsiniz http://www.banka.com. tr’ benzeri bir ifade (veya tercihen karekod vb. yönlendiriciler) Bankacãlãk sektöründe tüm veri iăleme amaçlarãnãn müăterilere saÛlãklã ve yönetilebilir bir ăekilde aktarãlmasãnda katmanlã aydãnlatma yönteminin kullanãlmasã benimsenebilir. [52] https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA- KAMUOYU-DUYURUSU 98 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 2- Aydãnlatma YükümlülüÛünün Yerine Getirilme Zamanã Aydãnlatma yükümlülüÛünün kural olarak veri sorumlusu tarafãndan kiăisel verinin elde edilmesi aăamasãnda yerine getirilmesi gerekmektedir. Ancak; veri sorumlusu tarafãndan kiăisel verilerin ilgili kiăiden elde edilmemesi halinde; veri sorumlusu tarafãndan ilgili kiăiyi aydãnlatma yükümlülüÛü kiăisel verinin elde edilmesi aăamasãndan sonra yerine getirilebilir. ÖrneÛin maaă ödemelerinde; maaă ödemesi yapãlacak ƻrmadan çalãăanlarãn kiăisel verilerinin temin edilmesi halinde çalãăanlarãn aydãnlatãlmalarã durumlarãnda. Bu halde aydãnlatma yükümlülüÛünün; -Kiăisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, -Kiăisel verilerin ilgili kiăi ile iletiăim amacãyla kullanãlacak olmasã durumunda, ilk iletiăim kurulmasã esnasãnda,

aydãnlatãlmalarã durumlarãnda. Bu halde aydãnlatma yükümlülüÛünün; -Kiăisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, -Kiăisel verilerin ilgili kiăi ile iletiăim amacãyla kullanãlacak olmasã durumunda, ilk iletiăim kurulmasã esnasãnda, -Kiăisel verilerin aktarãlacak olmasã halinde, en geç kiăisel verilerin ilk kez aktarãmãnãn yapãlacaÛã esnada yerine getirilmesi gerekmektedir. 3- Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Usul Aydãnlatma yükümlülüÛünün yerine getirilmesindeki usul yasal olarak herhangi bir ăekil ăartãna baÛlanmadãÛã gibi ilgili kiăinin talebine veya onayãna da tabi tutulmamãătãr. Dolayãsãyla veri sorumlularã aydãnlatma yükümlülüklerini sözlü, yazãlã, ses kaydã, çaÛrã merkezi gibi ƻziksel veya elektronik ortam kullanãlmak suretiyle yerine getirebilir. Ancak aydãnlatma yükümlülüÛünün yerine getirildiÛi yönündeki iddiada ispat külfeti veri sorumlusu üzerinde olduÛundan aydãnlatma yükümlülüÛünün ispata elveriăli kanallardan yerine getirilmesi önem arz etmektedir. 99 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Kiăisel veri iăleme amacã deÛiămediÛi sürece, aydãnlatma yükümlülüÛünün yerine getirilmesinde kullanãlacak kanallar arasãndan herhangi bir kanal vasãtasãyla ilgili kiăinin aydãnlatãlmasã saÛlanãr. Bankacãlãk sektörü açãsãndan aydãnlatma aăaÛãda belirtilen kanallar aracãlãÛã ile yapãlabilmektedir. 3.1. Ăube

yerine getirilmesinde kullanãlacak kanallar arasãndan herhangi bir kanal vasãtasãyla ilgili kiăinin aydãnlatãlmasã saÛlanãr. Bankacãlãk sektörü açãsãndan aydãnlatma aăaÛãda belirtilen kanallar aracãlãÛã ile yapãlabilmektedir. 3.1. Ăube Ăubelerin, müăteriler baăta olmak üzere bankacãlãk faaliyetlerinin tarafã olan ilgili kiăilerle yüz yüze temasãn gerçekleătirildiÛi temel kanal olmasã nedeniyle, aydãnlatma yükümlülüÛünün ăubeler aracãlãÛã ile yerine getirilmesi mümkündür. Aydãnlatma yükümlülüÛünün ăubeler kanalã ile gerçekleătirilmesine yönelik iyi uygulama örneklerine aăaÛãda yer verilmiătir. Ăubelerde Kanun’a uygun aydãnlatma yükümlülüÛünün yerine getirilmesinde ilgili kiăinin bilgi sahibi olacaÛã ăekilde görsel veya basãlã ortamda (aƻă, broăür, pano, dijital ekran vb.) aydãnlatma yapãlabilir. ăubelerde aydãnlatma metni ilgili kiăiye teslim edilebilir. Bunun yanã sãra yine Ăubede iălem sãrasãnda aăaÛãda belirtilen yöntemlerle de aydãnlatma yapãlmasãnãn önünde bir engel bulunmamaktadãr. 3.2. ânternet Sitesi Bankalarãn internet sitelerinde, Bankanãn aydãnlatma metinlerine kolayca ulaăãlabilir ăekilde yer verilmesi önerilmektedir. Böylelikle, katmanlã aydãnlatmalarda verilen linkler vasãtasãyla bu metinlere yönlendirilen müăterilere kolayca aydãnlatma, bankalar açãsãndan da aydãnlatma yükümlülüÛünün yerine getirilmesi imkânã saÛlanabilecektir. âăleme faaliyeti ile sãnãrlã olmayan, veri sorumlusu için genel veri iăleme belgesi niteliÛinde olan gizlilik politikalarã veya veri iăleme politikalarã, aydãnlatma metinleri olarak kullanãlmamalãdãr.[53] [53] https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILME- SI-HAKKINDA-KAMUOYU-DUYURUSU 100

belgesi niteliÛinde olan gizlilik politikalarã veya veri iăleme politikalarã, aydãnlatma metinleri olarak kullanãlmamalãdãr.[53] [53] https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILME- SI-HAKKINDA-KAMUOYU-DUYURUSU 100 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 3.3. ânternet Ăube ânternet ăube kullanãcãlarã, internet ăube aracãlãÛãyla karăãlarãna çãkartãlacak olan aydãnlatma metinleri aracãlãÛãyla bilgilendirebilir. 3.4. Mobil Ăube ve Mobil Uygulama Mobil ăube/uygulama kullanãcãlarã, mobil ăube/uygulama aracãlãÛãyla karăãlarãna çãkartãlacak olan aydãnlatma metinleri ile bilgilendirebilir. âlgili kiăilere anlãk bildirim (push notiƻcation) ile aydãnlatma metni gönderilmesi ve yine kãsa ve yönlendirici bir aydãnlatma metni ile aydãnlatma yükümlülüÛü yerine getirebilir. 3.5. ÇaÛrã Merkezi/IVR âlgili kiăiye görüămenin baăãnda bir tuăa basma seçeneÛi saÛlanarak aydãnlatma metnini dinlemek isteyenlere aăaÛãdaki örnek metin sunulabilir. Örnek ÇaÛrã Merkezi Metni: “Kiăisel verilerinizin ne ăekilde iălendiÛine dair aydãnlatma metnini dinlemek için 1’e, daha önce bu konuda bilgilendirildiyseniz, dinlemeden ilerlemek için 2’ye basãnãz.” Bu örnek metnin ifadeleri baÛlayãcã olmamakla birlikte, yöntemi göstermek amacãyla belirtilmiătir.

için 1’e, daha önce bu konuda bilgilendirildiyseniz, dinlemeden ilerlemek için 2’ye basãnãz.” Bu örnek metnin ifadeleri baÛlayãcã olmamakla birlikte, yöntemi göstermek amacãyla belirtilmiătir. Yukarãdaki örneÛe uygun olacak ăekilde, 1’e basarak metni dinlemeye karar veren kiăilere dinletilecek ses kaydãnda, metnin tamamãnãn ilgili kiăiye dinletilmesinin öncesinde bu metinlerin eriăilebileceÛi diÛer ortamlarãn ifade edilmesi halinde, bu ifade okunduktan sonra baÛlantãnãn kesilmesi ya da ilgili kiăinin telefonu kapatmasã durumlarãnda da veri sorumlusu banka, aydãnlatma yükümlülüÛünü yerine getirmiă olur. 101 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Yukarãdaki örneÛe uygun olacak ăekilde, 2’ye basarak metni dinlememeye karar veren kiăiler yönünden aydãnlatma yükümlülüÛü yerine getirilmiă olur. 3.6. Elektronik Posta âlgili kiăilerin bankaya iletiăime geçmek üzere verdikleri elektronik posta adreslerine (örneÛin hesap özetlerinin, kredi kartã ekstrelerinin gönderildiÛi adresleri) veya elektronik tebligat adreslerine iletilecek aydãnlatma metinleri ile bilgilendirme yapãlabilir. 3.7. Fiziki Posta âlgili kiăi tarafãndan bankalara iletiăim/tebligat adresi olarak bildirilen adrese aydãnlatma metninin gönderilmesi (örneÛin, kredi kartã hesap özeti ile aynã zarfta gönderilmesi) ile bilgilendirme yapãlabilir. 3.8. SMS SMS kanalãyla yapãlan aydãnlatmalarda, kanalãn izin verdiÛi uzunlukta bir metne ve tãklandãÛãnda aydãnlatma metnine yönlendiren bir linke yer verilerek katmanlã aydãnlatma yapãlabilir. Örnek SMS Metni “..... tarafãndan hazãrlanan kiăisel verilerinizin iălenme ve aktarãlma amacã, toplanma yöntemi, hukuki sebep ve haklarãnãza iliăkin aydãnlatma metnine ulaămak için <link> tãklayãnãz.” 3.9. ATM

verilerek katmanlã aydãnlatma yapãlabilir. Örnek SMS Metni “..... tarafãndan hazãrlanan kiăisel verilerinizin iălenme ve aktarãlma amacã, toplanma yöntemi, hukuki sebep ve haklarãnãza iliăkin aydãnlatma metnine ulaămak için <link> tãklayãnãz.” 3.9. ATM Kãsa Mesaj Servisi (SMS) gibi sãnãrlã karakter girilebilen bir alan olan ATM kanalãndan yapãlan bilgilendirmelerde, kãsa bir metne yer verildikten sonra ilgili kiăinin aydãnlatma metnine eriăebileceÛi ăekilde katmanlã aydãnlatma yapãlmasã mümkündür. 102 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK Örnek ATM Metni “..... tarafãndan hazãrlanan kiăisel verilerinizin iălenme ve aktarãlma amacã, toplanma yöntemi, hukuki sebep ve haklarãnãza iliăkin aydãnlatma metnine ulaămak için buton/menü’yü tãklayabilirsiniz/ metne ... linkinden(*) ulaăabilirsiniz.” (*) Ekran tasarãmlarãna göre bankalarca tercih edilecek ifadeye yer verilebilecektir 4- Aydãnlatma YükümlülüÛünün Yerine Getirilmesinde Özel Durumlar 4.1. âmza Yetkilileri ve Gerçek Faydalanãcãlarãn Aydãnlatãlmasã Tüzel kiăileri temsile yetkili gerçek kiăilerin temsil yetkilerinin tevsik edilmesi amacãyla ibraz edilen belgelerde, bu gerçek kiăilerin kiăisel verileri yer almakta ve bu veriler tüzel kiăiyi temsile yetkili kiăilerin belirlenmesi amacãyla iălenmektedir. Ticari hayatãn doÛal akãăã içinde, bir tüzel kiăiyi temsile yetkili gerçek kiăinin, temsile yetkili olduÛu tüzel kiăinin ilgili belgelerinde kiăisel verilerinin bulunduÛu ve bu belgelerin söz konusu yetkilendirmeyi tevsik amacãyla ilgili kurum ve kuruluălara aktarãlacaÛã ve bu kuruluălar tarafãndan bu amaçla iăleneceÛine iliăkin aydãnlatma yükümlülüÛü temsilciyi atayan tüzel kiăidedir.

belgelerinde kiăisel verilerinin bulunduÛu ve bu belgelerin söz konusu yetkilendirmeyi tevsik amacãyla ilgili kurum ve kuruluălara aktarãlacaÛã ve bu kuruluălar tarafãndan bu amaçla iăleneceÛine iliăkin aydãnlatma yükümlülüÛü temsilciyi atayan tüzel kiăidedir. Dolayãsãyla, tüzel kiăileri temsile yetkili gerçek kiăilerin hali hazãrda, söz konusu iăleme amacã yönünden kiăisel verilerinin Banka’ya aktarãlacaÛã hususunda tüzel kiăi tarafãndan bilgilendirildikleri göz önüne alãnarak, verilerin aktarãldãÛã kurum ve kuruluălarãn (bankalarãn) bu amaçla sãnãrlã olarak gerçekleătirilen veri iălemeleri yönünden, Aydãnlatma TebliÛi’nin 6’ncã maddesi kapsamãnda ayrãca bir aydãnlatma yapãlmasãna gerek bulunmamaktadãr. 4.2. Risk Grubu’ndakilerin Aydãnlatãlmasã Risk Grubu’nda yer alan kiăilerin aydãnlatãlmasãna iliăkin olarak; Kurul’un 26/07/2018 tarihli ve 2018/92 sayãlã Kararã ile, bankalarca, 5411 sayãlã Bankacãlãk 103 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

26/07/2018 tarihli ve 2018/92 sayãlã Kararã ile, bankalarca, 5411 sayãlã Bankacãlãk 103 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Kanunu ve ilgili diÛer mevzuat kapsamãnda, bankalarãn kredi kullandãrãm faaliyetlerinde kredi baăvurusunda bulunan kiăilerin “Risk Grubu”nda bulunan ilgili kiăilerin kiăisel verilerinin iălenmesi faaliyeti sãnãrlarã dahilinde, bir baăka deyiăle sadece bu faaliyet özelinde yerine getirilecek aydãnlatma yükümlülüÛünün, 5411 sayãlã Kanunun 73’üncü ve 159’uncu maddeleri ile 5237 sayãlã Türk Ceza Kanununun 239’uncu madde hükümleri dikkate alãnmak suretiyle, her bir kredi kullandãrãm iălemi özelinde “risk grubu”nda bulunan ilgili kiăilerin tek tek aydãnlatãlmasã suretiyle deÛil de, kolayca eriăilebilecek ăekilde ve sadece “Risk Grubu” faaliyetleri bakãmãndan genel bir aydãnlatma yapãlabileceÛi kanaatine varãlmãătãr. Kiăisel Verileri Koruma Kurulu’nun ilgili kararã doÛrultusunda bankalarca internet sitesi marifetiyle aydãnlatma yapãlabilecektir. 4.3. VarlãÛãn Sahibi Dãăãndaki Kiăilere âliăkin Kiăisel Verilerin ve Çek- Senetlerde Son Ciranta Dãăãndaki Kiăilerin Kiăisel Verilerinin âălenmesi

Kiăisel Verileri Koruma Kurulu’nun ilgili kararã doÛrultusunda bankalarca internet sitesi marifetiyle aydãnlatma yapãlabilecektir. 4.3. VarlãÛãn Sahibi Dãăãndaki Kiăilere âliăkin Kiăisel Verilerin ve Çek- Senetlerde Son Ciranta Dãăãndaki Kiăilerin Kiăisel Verilerinin âălenmesi Teminat iălemlerinde, varlãÛãn sahibi dãăãndaki gerçek kiăilerin verilerinin de teminata alãnan varlãÛãn temel bilgileriyle bütünleămiă bir ăekilde banka uhdesine geçmesi mümkün olabilmektedir. VarlãÛãn önceki (veya kimi durumda sonraki) sahibi, vekâletle yapãlan iălemlerde vekil veya tapu sicilinde görevli memurlar ile Türk Borçlar Kanunu’nun ilgili hükümlerine göre kefaletin geçerli sayãlabilmesi için aranan eăin rãza bilgisi ve benzeri durumlarda verileri iălenen kiăilerin kiăisel verileri bu kapsamdadãr. Bu kapsamdaki veriler, teminata iliăkin bilgi ve belgelerin doÛal ve zorunlu unsurlarã olduklarãndan ve olasã ihtilaƼarda delil olarak ileri sürüleceklerinden, maskelenmeleri de mümkün deÛildir. Bu tip verilerin bankaca üzerinde analiz gerçekleătirilmeye uygun ăekilde sãnãƼandãrãlmadãÛã (örneÛin varlãÛãn eski sahibine veya onay vermiă tapu sicil memuruna göre sorgulanamadãÛã) durumlarda bunun Kanun’da tanãmlanmãă “tamamen veya kãsmen otomatik olan ya da herhangi bir veri kayãt sisteminin parçasã olmak kaydãyla otomatik olmayan yollarla iăleme” kapsamãndaki bir veri iăleme faaliyeti olmadãÛã söylenebilecektir. iălemin Kanun kapsamãnda bir kiăisel veri iăleme faaliyeti olmamasã nedeniyle 104 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

kapsamãndaki bir veri iăleme faaliyeti olmadãÛã söylenebilecektir. iălemin Kanun kapsamãnda bir kiăisel veri iăleme faaliyeti olmamasã nedeniyle 104 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK ve bankalarãn bu kiăiler ile iălem anãnda bir temasã bulunmadãÛãndan bankalarãn ilgili kiăileri tespit edip aydãnlatma yapmasã ƻili olarak mümkün olmayãp hayatãn olaÛan akãăãna aykãrãdãr. Dolayãsãyla bankalarãn bu kiăilere karăã herhangi bir aydãnlatma yükümlülüÛü bulunmadãÛã söylenebilecektir. Yine, uygulamalarda bankalar tarafãndan, tahsilinde müăterilerine ait risklere mahsup edilmek üzere kambiyo senetleri tahsile veya bedelleri kredi borcuna mahsup edilmek üzere teminata alãnabilmektedir. Bu gibi durumlarda, son ciranta dãăãndaki keăideci, ara ciranta, avalist vb. kiăilerin isim, imza gibi verileri ilgili belgenin doÛal ve zorunlu unsuru olduÛundan elde edilmektedir. Ancak kambiyo senedinin baăka bir veri sorumlusu tarafãndan Bankaya iletilmesi suretiyle ilgili kiăilerin kiăisel verilerinin Bankaya aktarãlmasã halinde söz konusu kiăisel verilerin Bankaya aktarãlacaÛãna dair aydãnlatma yükümlülüÛü aktaran veri sorumlusuna ait olacaÛãndan bu durumda Bankanãn ayrãca ilgili kiăiye aydãnlatma yapmasã gerekmeyecektir. ilgili veriler olasã ihtilaƼarda delil olarak ileri sürüleceklerinden maskelenmeleri de mümkün deÛildir. 4.4. Maaă Ödeme Anlaămalarã

ait olacaÛãndan bu durumda Bankanãn ayrãca ilgili kiăiye aydãnlatma yapmasã gerekmeyecektir. ilgili veriler olasã ihtilaƼarda delil olarak ileri sürüleceklerinden maskelenmeleri de mümkün deÛildir. 4.4. Maaă Ödeme Anlaămalarã Bankalar maaă ödeme anlaămasã yapmãă olduklarã kurumlardan, maaă ödemesi yapãlacak olan kiăilerin kimlik tespitini gerçekleătirmek amacãyla kiăisel verilerini temin etmekte ve toplu hesap açãlãăã yapmaktadãrlar. Suç Gelirlerinin Aklanmasãnãn ve Terörün Finansmanãnãn Önlenmesine Dair Tedbirler Hakkãnda Yönetmelik’in 6’ncã maddesi kimlik tespitinde gerekli olan bilgilerin ne olduÛunu sãralã olarak düzenlemekte, Mali Suçlarã Araătãrma Kurulu Genel TebliÛi (Sãra No: 5) toplu maaă hesap açãlãălarãnda alãnmasã gereken zorunlu bilgileri belirlemektedir. Bu kapsamda bankalar, müăteri ile yüz yüze gelmeden, maaă ödeme anlaămasã gereÛince, kimlik tespitine iliăkin gerçek kiăilerin kiăisel verilerini elde ederek veri kayãt sistemine kaydetmekte ve bu kiăilere aydãnlatma yapabilme imkânã bulunmamaktadãr. Bununla birlikte söz konusu kiăisel verilerin ilgili kuruluătan bankalara aktarãlmasãnda aydãnlatma yükümlülüÛünün veri sorumlusu sãfatãnã haiz kuruluăta olduÛu, bu yükümlülüÛü doÛrudan yerine getirebileceÛi 105 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

haiz kuruluăta olduÛu, bu yükümlülüÛü doÛrudan yerine getirebileceÛi 105 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ gibi yetkilendirdiÛi kiăi aracãlãÛãyla da yerine getirebileceÛi göz önünde tutulmalãdãr. Söz konusu kiăisel verilerin elde edilmesinden sonraki süreçte ise bankacãlãk faaliyetlerine iliăkin aydãnlatma yükümlülüÛünün bankalarda olduÛu açãktãr. Bankalar yapãlan toplu hesap açãlãăãnã takiben maaă müăterisi olacak kiăiler ile akdettikleri hizmet sözleămesi ile müăteri iliăkisi kurmaktadãrlar. Bu durumda kiăisel verilerin ilgili kiăilerden elde edilmemesi durumu ve bankanãn kiăisel verileri iălemesinin 6698 sayãlã Kanunun 5’inci maddesinin 2’nci fãkrasãnãn (ç) bendinde yer alan hukuka uygunluk sebebine dayandãÛã göz önüne alãndãÛãnda, bankanãn veri kayãt sisteminde tuttuÛu söz konusu kiăisel veriler için kiăisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kiăisel verilerin ilgili kiăi ile iletiăim amacãyla kullanãlacak olmasã durumunda, ilk iletiăim kurulmasã esnasãnda, kiăisel verilerin aktarãlacak olmasã halinde, en geç kiăisel verilerin ilk kez aktarãmãnãn yapãlacaÛã esnada ilgili kiăiyi aydãnlatma yükümlülüÛünü yerine getirmesi gerekmektedir. 4.5. Kredi Kartlarã ve Banka Kartlarã âălemleri Bankalar baăta 5464 sayãlã Banka Kartlarã ve Kredi Kartlarã Kanunu olmak üzere Bankacãlãk Kanunu ve ikincil mevzuatlarã kapsamãnda banka kartlarã ve kredi kartlarãnãn çãkarãlmasã ve kullanãmãna iliăkin hizmet vermektedir.

4.5. Kredi Kartlarã ve Banka Kartlarã âălemleri Bankalar baăta 5464 sayãlã Banka Kartlarã ve Kredi Kartlarã Kanunu olmak üzere Bankacãlãk Kanunu ve ikincil mevzuatlarã kapsamãnda banka kartlarã ve kredi kartlarãnãn çãkarãlmasã ve kullanãmãna iliăkin hizmet vermektedir. Bankalar ulusal ve uluslararasã kartlã sistem kuruluălarã ile yaptãÛã anlaămalar ve ilgili mevzuatlar uyarãnca kartlarãn farklã banka cihazlarãnda kullanãlmasãna olanak saÛlarlar. Bankalar kart sahibi müăterilerinin kartlarãnã farklã banka cihaz ve poslarãnda kullanmalarã halinde hangi verilerinin üçüncü kurum ve kuruluălara aktarãlacaÛã konusunda aydãnlatmakla yükümlüdürler. Bu hususta aydãnlatãlan kart sahiplerinin kartlarãnã baăka banka cihaz ve poslarãnã kullanmalarã halinde ikinci kez cihaz ve pos sahibi banka tarafãndan aydãnlatãlmalarãna gerek bulunmamaktadãr. B. Veri Sorumlularã Sicili, Sicile Kayãt ve Kiăisel Veri âăleme Envanteri Hazãrlama YükümlülüÛü 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu’nun 16’ncã maddesinde 106 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK kamuya açãk bir veri sorumlularã sicili tutulacaÛã belirtilmiătir. Veri sorumlusu olan bankalarãn da Veri Sorumlularã Sicili’ne kayãt yükümlülüÛü mevcuttur. Veri Sorumlularã Siciline kayãt baăvurusu aăaÛãdaki hususlarã içeren bir bildirimle yapãlãr: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri b) Kiăisel verilerin hangi amaçla iăleneceÛi c) Veri konusu kiăi grubu ve gruplarã ile bu kiăilere ait veri kategorileri hakkãndaki açãklamalar ç) Kiăisel verilerin aktarãlabileceÛi alãcã veya alãcã gruplarã d) Yabancã ülkelere aktarãmã öngörülen kiăisel veriler e) Kiăisel veri güvenliÛine iliăkin alãnan tedbirler f) Kiăisel verilerin iălendikleri amaç için gerekli olan azami süre

hakkãndaki açãklamalar ç) Kiăisel verilerin aktarãlabileceÛi alãcã veya alãcã gruplarã d) Yabancã ülkelere aktarãmã öngörülen kiăisel veriler e) Kiăisel veri güvenliÛine iliăkin alãnan tedbirler f) Kiăisel verilerin iălendikleri amaç için gerekli olan azami süre 30.12.2017’de yayãmlanan Veri Sorumlularã Sicili Hakkãnda Yönetmelik (“Yönetmelik”) ile de, Veri Sorumlularã Siciline yapãlacak kayãtlara iliăkin usul ve esaslar belirlenmiătir. Yönetmelik ile “kiăisel veri iăleme envanteri” tanãmã getirilmiătir. Bu tanãm, veri sorumlularãnãn iă süreçlerine baÛlã olarak gerçekleătirmekte olduklarã kiăisel veri iăleme faaliyetlerini; kiăisel veri iăleme amaçlarã, veri kategorisi, aktarãlan alãcã grubu ve veri konusu kiăi grubuyla iliăkilendirerek oluăturduklarã ve kiăisel verilerin iălendikleri amaçlar için gerekli olan azami süreyi, yabancã ülkelere aktarãmã öngörülen kiăisel verileri ve veri güvenliÛine iliăkin alãnan tedbirleri açãklayarak detaylandãrdãklarã envanteri ifade etmektedir. Yasal yükümlülüklerinin yanã sãra “Veri Sorumlusu” veya “Veri iăleyen” sãfatãyla veri iăleyen bankalar, süreçlerindeki veri iălemenin amacãnã, ölçülülük gereksinimlerine uygunluÛunu, süresini ve diÛer ilgili ăartlarãnã takip etmek ve düzenlemek amacãyla bir veri envanterine ihtiyaç duyar. Bu veri envanteri, uygun bir veri yönetimi aracã ile banka sorumluluÛunda güncel olarak takip edilir. 107 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Veri envanteri Veri Sorumlularã Siciline yapãlacak bildirime de temel olacak yeterli bilginin saÛlanabilmesi için asgari olarak aăaÛãdaki kategorileri içerir;

107 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Veri envanteri Veri Sorumlularã Siciline yapãlacak bildirime de temel olacak yeterli bilginin saÛlanabilmesi için asgari olarak aăaÛãdaki kategorileri içerir; • âălenen veri kategorisi • Veri iăleme amaçlarã • Veri alãcã gruplarã • Veri saklama süreleri • Veri konusu kiăi gruplarã • Verinin aktarãldãÛã ülkeler • Veri koruma için uygulanan güvenlik tedbirleri • âălemenin hukuki sebebi Bununla beraber veri iălenen süreçlerin detaylarãna iliăkin bilgiler, veri iălenen iă istasyonlarã, iălenen verinin niteliÛine dair bilgi, verinin toplanma yöntemleri, verinin aktarãm yöntemleri gibi ilave bilgiler ile hazãrlanmãă veri envanterinin niteliÛi arttãrãlabilir. Veri envanteri süreç sahipleri tarafãndan beyan usulü olarak hazãrlanabileceÛi gibi, veri keăif araçlarã ile de desteklenebilecektir. Sicil baăvurularãnda sicile açãklanacak bilgiler Kiăisel Veri iăleme Envanteri’ne dayalã olarak hazãrlanmalãdãr. Veri sorumlularã sicilinde yer alan bilgilerle, envanterde yer alan bilgilerin tutarlã ve güncel olmasã banka tarafãndan yürütülen periyodik gözden geçirmeler ile saÛlanãr. Zira veri sorumlularã, sicile sunulan ve sicilde yayãmlanan bilgilerin eksiksiz, doÛru, güncel ve hukuka uygun olmasãndan sorumludur. 1- BankacãlãÛa Özgü Veri Kategorileri Veri envanterinde yer alan ve bankacãlãÛa özgü olarak tanãmlanan veri kategorilerinin baăãnda ƻnansal iălem kayãtlarã, borç/bakiye bilgileri, ƻnansal istihbarat ve takip verileri, kredi risk skor bilgileri, ƻnansal dolandãrãcãlãk/ fraud verileri gibi veri kategorileri yer almaktadãr 108 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 2- Kiăi Gruplarã

istihbarat ve takip verileri, kredi risk skor bilgileri, ƻnansal dolandãrãcãlãk/ fraud verileri gibi veri kategorileri yer almaktadãr 108 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 2- Kiăi Gruplarã Kiăisel veri iăleme envanterinde müăteri, baăvuru sahibi, lehdar, keƻl, garantör, hukuki halef, müăterek borçlu, risk grubunda yer alan kiăiler için birinci derece yakãnlarã, hissedar gibi bankacãlãk iălemleri kapsamãnda iălenen verilerin sahibi olan veri konusu kiăi gruplarã olabileceÛi gibi; ziyaretçi, aday, personel, tedarikçi temsilcisi gibi kurumsal idare süreçlerinde iălenen verilerin sahibi olan veri konusu kiăi gruplarã da yer alabilmektedir. 3- Alãcã Gruplarã Veri envanterinde de ifade edilen bir diÛer baălãk olan alãcã gruplarã arasãnda; banka iătirakleri, iătirakleri ve grup ƻrmalarã, resmi kurumlar, Bankalarãn Destek Hizmeti Almalarãna âliăkin Yönetmelik kapsamãnda tanãmlanmãă olan destek hizmeti kapsamãndaki ƻrmalar, destek hizmeti kapsamãnãn dãăãndaki hizmet alãnan taraƼar, eÛitim ƻrmalarã, baÛãmsãz denetim ƻrmalarã, danãămanlãk hizmeti alãnan ƻrmalar, avukatlãk hizmeti alãnan taraƼar, varlãk yönetim ăirketleri, KKB / Risk merkezi gibi risk deÛerlendirme kurumlarã, muhabir bankalar, talimatlandãrãlmãă hizmetler kapsamãnda ƻnansal iălem kayãtlarãnãn paylaăãldãÛã diÛer ƻnansal kuruluălar, araătãrma ăirketleri gibi her bir veri iăleme sürecine özgü olarak tanãmlanabilecek alãcã ve alãcã gruplarã yer almaktadãr. 4- Azami Süreler

kayãtlarãnãn paylaăãldãÛã diÛer ƻnansal kuruluălar, araătãrma ăirketleri gibi her bir veri iăleme sürecine özgü olarak tanãmlanabilecek alãcã ve alãcã gruplarã yer almaktadãr. 4- Azami Süreler Envanterde ifade edilen her bir veri kategorisi için süreç bazãnda azami saklama süresi belirlenmelidir. Bu süreler belirlenirken; mevzuatta öngörülen saklama süreleri, mevzuatta öngörülen bir sürenin bulunmamasã halinde ise iălendikleri amaç için gerekli olan saklama süreleri; a) âlgili veri kategorisinin iălenme amacã kapsamãnda veri sorumlusunun faaliyet gösterdiÛi sektörde genel teamül gereÛi kabul edilen süre, b) âlgili veri kategorisinde yer alan kiăisel verinin iălenmesini gerekli kãlan ve ilgili kiăiyle tesis edilen hukuki iliăkinin devam edeceÛi süre, c) âlgili veri kategorisinin iălenme amacãna baÛlã olarak veri 109 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ sorumlusunun elde edeceÛi meăru menfaatin hukuka ve dürüstlük kurallarãna uygun olarak geçerli olacaÛã süre, ç) âlgili veri kategorisinin iălenme amacãna baÛlã olarak saklanmasãnãn yaratacaÛã risk, maliyet ve sorumluluklarãn hukuken devam edeceÛi süre, d) Belirlenecek azami sürenin ilgili veri kategorisinin doÛru ve gerektiÛinde güncel tutulmasãna elveriăli olup olmadãÛã, e) Veri sorumlusunun hukuki yükümlülüÛü gereÛi ilgili veri kategorisinde yer alan kiăisel verileri saklamak zorunda olduÛu süre, f) Veri sorumlusu tarafãndan, ilgili veri kategorisinde yer alan kiăisel veriye baÛlã bir hakkãn ileri sürülmesi için belirlenen zamanaăãmã süresi dikkate alãnarak belirlenir. Bu sürelerde referans alãnabilecek düzenlemelerden bazãlarã;

f) Veri sorumlusu tarafãndan, ilgili veri kategorisinde yer alan kiăisel veriye baÛlã bir hakkãn ileri sürülmesi için belirlenen zamanaăãmã süresi dikkate alãnarak belirlenir. Bu sürelerde referans alãnabilecek düzenlemelerden bazãlarã; • 15 yãl - âă SaÛlãÛã ve GüvenliÛi Hizmetleri YönetmeliÛi madde 7 • 10 yãl - 5510 sayãlã Kanun madde 86 • 10 yãl - 5411 s. Bankacãlãk Kanunu • 10 yãl - 6098 s. Türk Borçlar Kanunu • 8 yãl - SPK Bilgi Suistimali veya Piyasa DolandãrãcãlãÛã Suçlarã Hakkãnda • Bildirim YükümlülüÛü TebliÛi madde 10 • 3 yãl - Sermaye Piyasasã Kurulu’nun VII-128.7 sayãlã Sermaye Piyasasãnda • Faaliyette Bulunanlar için Lisanslama ve Sicil Tutmaya iliăkin Esaslar • Hakkãnda TebliÛi madde 17/1 • 8 yãl - 5555 Suç Gelirlerinin Aklanmasãnãn Önlenmesine Hakkãnda • Kanun madde 8 • 8 yãl - Kimlik Paylaăãm Sistemi YönetmeliÛi madde 18 Bankalar, varlãk durumu ve para hareketlerine dair her türlü araătãrma ve raporlama verisini saÛlayabilecek en temel ve tekil kuruluă olduÛu için, saklama süreleri belirlenirken, teamülde resmi kurumlarãn ihtiyaç duyduÛu verilerin tarih aralãÛã da dikkate alãnãr. Bu durum bazen, bazã ƻnansal verilerin kiăiyi direkt olarak tariƼeyen verilerden arãndãrãlarak süresiz olarak 110 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK saklanmasãnã gerektirebilir. Böyle bir durumda ancak anonim hale getirilmiă kiăisel veriler kiăisel veri niteliÛini haiz olmayacaÛãndan süresiz olarak saklanmasã mümkün olabilecektir. Veri sorumlularã sicilinde yer alan bilgilerden aăaÛãdakiler kamuya açãklanãr:

saklanmasãnã gerektirebilir. Böyle bir durumda ancak anonim hale getirilmiă kiăisel veriler kiăisel veri niteliÛini haiz olmayacaÛãndan süresiz olarak saklanmasã mümkün olabilecektir. Veri sorumlularã sicilinde yer alan bilgilerden aăaÛãdakiler kamuya açãklanãr: a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kiăisinin adã, adresi ve alãnmãă olmasã halinde KEP adresi b) Kiăisel verilerin hangi amaçlarla iălenebileceÛi c) Veri konusu kiăi grubu ve gruplarã ile bu kiăilere ait veri kategorileri ç) Kiăisel verilerin aktarãlabileceÛi alãcã ve alãcã gruplarã d) Yabancã ülkelere aktarãmã öngörülen kiăisel veriler e) Sicile kayãt tarihi ile kaydãn sona erdiÛi tarih f) Kiăisel veri güvenliÛine iliăkin alãnan tedbirler g) Kiăisel verilerin iălendikleri amaç için gerekli olan azami süre. Veri sorumlularã, sicilde kayãtlã bilgilerde deÛiăiklik olmasã halinde meydana gelen deÛiăiklikleri, VERBâS üzerinden yedi gün içerisinde Kuruma bildirir. C. Kiăisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi 1- Bankacãlãkta Bilgilerin Saklanmasã 6102 sayãlã Türk Ticaret Kanunu’nun 64, 65 ve 82’inci maddeleri ile 5411 sayãlã Bankacãlãk Kanunu’nun 42’nci maddesi uyarãnca, bankalarãn gerçekleătirdiÛi iălemlerle ilgili belgeleri 10 yãl süreyle saklama yükümlülüÛü bulunmaktadãr. Bunun yanã sãra bankalarca ürün ve hizmetlerin sunulmasã, bir sözleăme iliăkisini de doÛurduÛundan, saklama sürelerinin belirlenmesinde 6098 sayãlã Türk Borçlar Kanunu’nun zamanaăãmã sürelerini düzenleyen 146’ncã maddesinde yer alan her alacaÛãn 10 yãllãk zamanaăãmãna tabi olduÛu hususu da göz önünde bulundurulur.

iliăkisini de doÛurduÛundan, saklama sürelerinin belirlenmesinde 6098 sayãlã Türk Borçlar Kanunu’nun zamanaăãmã sürelerini düzenleyen 146’ncã maddesinde yer alan her alacaÛãn 10 yãllãk zamanaăãmãna tabi olduÛu hususu da göz önünde bulundurulur. DiÛer taraftan, Mevduat ve Katãlãm Fonunun Kabulüne, Çekilmesine ve Zamanaăãmãna UÛrayan Mevduat, Katãlãm Fonu, Emanet ve Alacaklara iliăkin Usul ve Esaslar Hakkãnda Yönetmelik ve düzenleyici kurumlarca (BDDK, 111 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ TMSF gibi) belirlenerek bankalara bildirilen bu husustaki usul ve esaslar çerçevesinde, bankalarãn asgari olarak fona devir tarihine kadar saklama yükümlülüÛü bulunmaktadãr. 2- âăleme Amacãnãn Ortadan Kalkmasã Kiăisel Verilerin Korunmasã Kanunu’nda, Kanun ve ilgili diÛer kanun hükümlerine uygun olarak iălenmiă olmasãna raÛmen, iălenmesini gerektiren sebeplerin ortadan kalkmasã halinde kiăisel verilerin resen veya ilgili kiăinin talebi üzerine veri sorumlusu tarafãndan silinmesi, yok edilmesi veya anonim hale getirilmesi gereÛine yer verilmiătir. Kanunun “Kiăisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” baălãklã 7’nci maddesinde kiăisel verilerin silinmesine iliăkin diÛer kanunlarda yer alan hükümlerin saklã olduÛu da belirtilmiătir. YönetmeliÛin 7’nci maddesinin 1’inci fãkrasãndaki düzenlemeden ise kiăisel verilerin iălenmesini gerektiren sebeplerin ortadan kalkmasã ile Kanun’un 5’inci ve 6’ncã maddelerinde yer alan kiăisel verilerin iălenme ăartlarãnãn tamamãnãn ortadan kalkmasãnãn kastedildiÛi anlaăãlmaktadãr.

1’inci fãkrasãndaki düzenlemeden ise kiăisel verilerin iălenmesini gerektiren sebeplerin ortadan kalkmasã ile Kanun’un 5’inci ve 6’ncã maddelerinde yer alan kiăisel verilerin iălenme ăartlarãnãn tamamãnãn ortadan kalkmasãnãn kastedildiÛi anlaăãlmaktadãr. Bankacãlãk açãsãndan iăleme amacã genel olarak, Bankacãlãk Kanunu’nun 4’üncü maddesinde belirlenen faaliyetlerin gerçekleătirilmesi ve mevzuat ile belirlenen yasal saklama sürelerine uyulmasã olarak özetlenebilecektir. Bununla birlikte, veri sorumlusu bankalar açãsãndan insan kaynaklarã yönetimi, pazarlama, iăyeri güvenliÛi gibi tüm veri sorumlularã için geçerli olabilecek bankacãlãktan kaynaklanmayan farklã iăleme amaçlarãnãn mevcut olabileceÛi de tabiidir. Bu hususlar her banka tarafãndan gerekli deÛerlendirmeler yapãlarak oluăturulacak kiăisel veri iăleme envanteri ile saklama ve imha politikasãnda belirtilir. Örnek olarak, aăaÛãdaki durumlarãn tamamãnãn birlikte gerçekleămesi halinde, sürekli iă iliăkisi tesis edilen müăterilerle ilgili ilk iăleme amacãnãn ve kiăisel verilerin saklanmasã suretiyle iălenmesi amacãnãn ortadan kalktãÛã kabul edilmelidir. 112 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK • Müăterinin, hesaplarãnãn kapatãlarak, sürekli iă iliăkisine son verilmesi yönünde talebinin olmasã • Sürekli iă iliăkisinin sona ermesini takiben, müăteri belgelerinin muhafazasã konusunda yasal düzenlemelerden kaynaklanan saklama sürelerinin geçmiă olmasã • Müăteri ile banka arasãnda devam eden herhangi bir hukuki ihtilafãn bulunmamasã • Müăteri hesaplarã üzerinde, hesaplarãn kapatãlmasãnã engelleyecek herhangi bir haciz, rehin vb. kaydãn bulunmamasã verilebilir.

sürelerinin geçmiă olmasã • Müăteri ile banka arasãnda devam eden herhangi bir hukuki ihtilafãn bulunmamasã • Müăteri hesaplarã üzerinde, hesaplarãn kapatãlmasãnã engelleyecek herhangi bir haciz, rehin vb. kaydãn bulunmamasã verilebilir. âlgili kiăilerin, Kanunun ilgili kiăi haklarãnã düzenleyen 11’inci maddesinin birinci fãkrasãnãn (e) bendi çerçevesinde kiăisel verilerinin silinmesi veya yok edilmesine iliăkin talepte bulunmasã durumunda bankalar açãsãndan derhal silme yükümlülüÛü ortaya çãkmamaktadãr. Detaylandãrmak gerekirse, ilgili kiăinin müăteri olmasã ve halihazãrda devam eden ürün ve hizmet kullanãmlarãnãn bulunmasã (mevduat hesabã, kredi/kredi kartã borcunun devamã, fatura ödeme talimatã vb.) durumunda öncelikle ilgili kiăiye bu kullanãmlarãn devam etmesi halinde iăleme amacãnãn devam ettiÛi ve mevzubahis amaçlar kapsamãnda iălenen kiăisel verilerinin silinmesinin mümkün olmadãÛã yönünde yanãt verilebilecektir. Bu yönde talepte bulunan ilgili kiăilere, ürün ve hizmet kullanãmãnãn sona erdirilmesi, karăãlãklã borç ve alacaklarãn sonlanmasã ile yukarãda belirtilen ilgili mevzuatta düzenlenen saklama sürelerinin geçmesinden sonraki ilk periyodik imhada taleplerinin yerine getirileceÛi yönünde yanãt verilmesi uygun olacaktãr.

alacaklarãn sonlanmasã ile yukarãda belirtilen ilgili mevzuatta düzenlenen saklama sürelerinin geçmesinden sonraki ilk periyodik imhada taleplerinin yerine getirileceÛi yönünde yanãt verilmesi uygun olacaktãr. Kiăisel verilerin korunmasãna iliăkin mevzuatta ifade edilen iăleme amacã kavramã, bankacãlãkta ürün, hizmet, faaliyet baÛlamãnda ve süreç bazãnda deÛerlendirilebilecektir. Bu durumda imha iăleminin gerçekleătirilmesi için söz konusu ürün, hizmet, faaliyet veya sürecin sona ermesi ve bunlara iliăkin veri imha politikasãnda belirtilen saklama sürelerinin sona ermiă olmasã koăulunun saÛlanmasã gözetilir. Mevzuatãn lafzi bir yorumuyla ulaăãlan sonuç bu ăekilde olmakla birlikte bankalarãn faaliyetlerini kiăisel verilerin korunmasãna iliăkin bir düzenlemenin bulunmadãÛã, aÛãrlãkla sektöre özgü regülasyonlarãn olduÛu ve henüz dijitalleămenin baălamadãÛã 113 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ bir faaliyet ortamãnda tasarlamãă olmalarã nedeniyle lafzi bir yorum ile ulaăãlan amaç bazlã ayrãătãrmanãn bankalarãn veri mimarisine uygulanmasã uzun zaman ve yüksek maliyet gerektirmesinin yanã sãra verilerin bütünlüÛü ve ulaăãlabilirliÛi ile iă sürekliliÛinin saÛlanmasã yükümlülüÛü açãsãndan da riskler barãndãrmaktadãr. Bu bakãmdan kiăisel verilerin imha sürecinin titizlikle yönetilmesi önem arz etmektedir.

ve ulaăãlabilirliÛi ile iă sürekliliÛinin saÛlanmasã yükümlülüÛü açãsãndan da riskler barãndãrmaktadãr. Bu bakãmdan kiăisel verilerin imha sürecinin titizlikle yönetilmesi önem arz etmektedir. Yukarãda yer verilen hususlar doÛrultusunda her bir banka kendi kaynaklarãnã, veri ve süreç mimarisini göz önünde bulundurarak kãsa, orta ve uzun vadeli imha hedeƼerini belirlemelidir. Kademeli olarak eriăilecek amaç bazlã imha yapãsã (bir verinin imhasãnãn, iliăkili diÛer verilerinin tutarlãlãÛãnã ve hesap verilebilirliÛini bozmaksãzãn gerçekleătirilebilmesi) tesis edilinceye kadar iăleme amacã sona eren kiăisel verilerin imhasãnda bankalar kendi sistemlerine uygun teknik ve idari tedbirleri almalãdãrlar.

ve hesap verilebilirliÛini bozmaksãzãn gerçekleătirilebilmesi) tesis edilinceye kadar iăleme amacã sona eren kiăisel verilerin imhasãnda bankalar kendi sistemlerine uygun teknik ve idari tedbirleri almalãdãrlar. Bankacãlãk sektöründe bilgi sistemlerinin girift yapãsã, birçok bankacãlãk ürününün oluăturduÛu verideki bir deÛiăikliÛin diÛer ürünlerin verilerine sirayet etmesine, bir ürünün verilerinin ortadan kaldãrãlmasãnãn diÛer ürünlerin verilerinin de bir kãsmãnãn karanlãkta kalmasãna, kopuk bir muhasebe hareketi silsilesi izlenmesine ve anlaăãlmasãnãn güçleămesine neden olmaktadãr. ÖrneÛin, bir gerçek kiăiye ait veri yãÛãnãnãn her bir tekil elemanãnãn (örneÛin, o kiăinin kredisinin belirli bir tarihteki tahsil hareketi) aslãnda diÛer tekil elemanlarãn muhasebe ve bilgi iălem baÛlamãnda tutarlã ve bütünsel bir ăekilde izlenmesine olanak vermesi için de tutulmasã ve saklanmasã gerekebilmektedir. Bu kapsamda, bir gerçek kiăinin herhangi bir tekil verisi için iăleme amaçlarã arasãnda “veri bütünlüÛünün korunmasã”, “müăteri bilgilerinin tutarlãlãÛãnãn saÛlanmasã” gibi amaçlar da bulunmaktadãr. Bu amaçlarãn Kanun’un 5’inci maddesinin ikinci fãkrasãnãn (ç) bendindeki veri sorumlusunun özellikle hukuki yükümlülüÛünü yerine getirebilmesi için zorunlu olmasã (örneÛin BDDK düzenlemeleri) ve f bendindeki ilgili kiăinin temel hak ve özgürlüklerine zarar vermemek kaydãyla, veri sorumlusunun meăru menfaatleri için veri iălenmesinin zorunlu olmasã kapsamãnda ele alãnabileceÛi düăünülmektedir. 114 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 3- âmha Yöntemleri

meăru menfaatleri için veri iălenmesinin zorunlu olmasã kapsamãnda ele alãnabileceÛi düăünülmektedir. 114 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK 3- âmha Yöntemleri YönetmeliÛin 7’nci maddesinin 5’inci fãkrasãnda veri sorumlularãna imha için silme, yok etme veya anonim hale getirme yöntemlerinden birini seçme imkanã tanãnmãătãr. Yönetmelik kapsamãnda kiăisel verilerin; silinmesi, kiăisel verilerin ilgili kullanãcãlar için hiçbir ăekilde eriăilemez ve tekrar kullanãlamaz hale getirilmesi,yok edilmesi, kiăisel verilerin hiç kimse tarafãndan hiçbir ăekilde eriăilemez, geri getirilemez ve tekrar kullanãlamaz hale getirilmesi, anonim hale getirilmesi, kiăisel verilerin baăka verilerle eăleătirilse dahi hiçbir surette kimliÛi belirli veya belirlenebilir bir gerçek kiăiyle iliăkilendirilemeyecek hale getirilmesi iălemi olarak tanãmlanmãătãr. Bu yöntemlerin teknik açãdan deÛerlendirilmesine aăaÛãdaki tabloda yer verilmiăti 115 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ âRMF>ºSYJRN 9JPSNP&«ãPQFRFXã :^LZQFSFGNQJHJP 9JPSNPQJW &[FSYFOQFW )J_F[FSYFOQFW 2ZMYJRJQ7NXPQJW šWSJP:^LZQFSFGNQJHJP 'FSPFHãQãP :^LZQFRFQFWã

WFP[JWN^J GFSPFHãQãP GFSPFHãQãP GFSPFHãQãP ilgili kul Z^LZQF Z^LZQF INWRJ FQFSQFWãSIF QFSãHãQFWãS RFQFWãSIF RFQFWãSIF Z^LZQF JWNăNRNSNS ilgili kul ^ÀPXJP STPYFQFWãS SFGNQNW PFQIãWãQRF QFSãHãQFWãS RNPYFWIF šWSJÛNS XãPFSZS JWNăNRNSJ IJÛNăNPQNP IFJPXNPQJW Ƙ8NQNSJHJP IFPNXNQRJ ve tekrar gereke olabile [JWNQJWNS ^ºSYJRN PZQQFSãRã HJPYNW HJÛNSIJS TQZăYZWZQF SNSLJWJP SFPFUFRF Veriler, veri HFPUWT XNSNRQJWNSN XNXYJRQJ TWYF^ÀP ƻQIJ^JW PFWăãQF ;JWN^N WNSIJ^JW sek risk FQFSXãSãWQã RFPYFIãW ITX^F PFUQFRF^F N«JWRJP PZQQFSãHãQFW [JWNYFGFSã IJ[FR IãăãSIF XJ[N^JXNS JIJHJPYNW YJINW LJSJQ IJNQLNQN RÀIÀWQÀP 8NQNSRJ GFSPFHãQãP )TX^F [JăZGJ Z^LZQF XZSZHZXZ «FQãăFSQFWã RFQFWãSãS [JWNYFGFSã SFPFUFYãQ JWNăNRNSJ À_JWNSIJ RFXãƙLNGN PFUFRF TUJWFX^TS ;JWNSNS lar gerek hala sis ;JWNN_TQJ YNWRJPYJ YJRQJWIJ ve koru INW ^JWPFUQF SFPQãGNW Veriler, veri IãÛãZSZ TWYFRF XNXYJRQJ YZQRFRFQã PFWFSYNSF WNSIJ^JW GZSFLºWJ GºQLJXN PFUQFRF^F PFUFXNYJ YFăãSãW IJ[FR UQFSQFRFXã JIJHJPYNW

TWYFRF XNXYJRQJ YZQRFRFQã PFWFSYNSF WNSIJ^JW GZSFLºWJ GºQLJXN PFUQFRF^F PFUFXNYJ YFăãSãW IJ[FR UQFSQFRFXã JIJHJPYNW ^FUãQRFQã IãW8NQNSJS ;JWNN_TQJ Veriler, veri )ÀăÀPIJ [JWN^JSFXãQ GNWTWYFRF XNXYJRQJ olsa veri [JMFSLN FQãSIãÛã WNSIJ^JW GÀYÀSQÀÛÀ ăFWYQFW N«NSNQLNQN PFUQFRF^F FQYãSIF PZQQFSã IJ[FR SÀGT_RF JWNăNR HãQFWãS JIJHJPYNW XFÛQFSFHF JWNăNRNSJ WNXPNGZQZS ÛãGJQNWQJS ve tekrar RJQNINW PZQQFSãRã RFPYFIãW SFPFUFQã TQFHFPYãW

KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK âRMF>ºSYJRN 9JPSNP&«ãPQFRFXã :^LZQFSFGNQJHJP 9JPSNPQJW &[FSYFOQFW )J_F[FSYFOQFW 2ZMYJRJQ7NXPQJW šWSJP:^LZQFSFGNQJHJP 'FSPFHãQãP :^LZQFRFQFWã >TP*YRJ 9JPSNPTQF ;JWNITX ;JWNSNSMN« )ÀăÀPIJ 9ÀR WFP[JWNSNS ^FQFWãPF GNWăJPNQIJ olsa veri GFSPFHãQãP GZQZSIZÛZ ^ãYQFWãLJWN LJWNIºS GÀYÀSQÀÛÀ FQFSQFWãSIF TWYFRIFS IºSIÀWÀ IÀWÀQJRJ_ Z^LZQFSF geri QJRJ^JHJP TQRFXã SÀGT_RF GNQNWšW LJYNWNQJRJ_ ăJPNQIJ SJÛNSƘ'NW GN«NRIJ 5:7,*34 WNXPNGZQZS RÀăYJWN^J NRMF 14,,.3, FNYƻ_NPXJQ JINQRJXNSN LNGN^ºS RFPYFIãW GJQLJQJWNS NKFIJJIJW YJRQJWQJ PFÛãYNRMF ^TPJINQNW RFPNSF XãSIFS LJ«NWNQRJP XZWJYN^QJ NRMF JINQRJXNƙ gibi. 117 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ âRMF>ºSYJRN 9JPSNP&«ãPQFRFXã :^LZQFSFGNQJHJP 9JPSNPQJW &[FSYFOQFW )J_F[FSYFOQFW 2ZMYJRJQ7NXPQJW šWSJP:^LZQFSFGNQJHJP 'FSPFHãQãP :^LZQFRFQFWã

âRMF>ºSYJRN 9JPSNP&«ãPQFRFXã :^LZQFSFGNQJHJP 9JPSNPQJW &[FSYFOQFW )J_F[FSYFOQFW 2ZMYJRJQ7NXPQJW šWSJP:^LZQFSFGNQJHJP 'FSPFHãQãP :^LZQFRFQFWã &STSNR ;JWNSNS Veri 0F^ãYQFWIF 9ÀRZ^ &SFMYFW Muhasebe -FQJ GZQZSIZÛZ ITX^FQFWã LZQFRFQFW [JWNPTSZ hareketleri ,JYNWRJ TWYFRIF XFIJHJ [JJSYJL RZSIFPN gibi eski NQLNQNPNăN [JPF^ãYQFWã belirli WFX^TSQFWã PNăNXJQ[JWN tarihli ile hiçbir FQFSQFWãS GF_ãSIF[J FQFSQFWãS ƻSFSXFQ ăJPNQIJ À_JWNSIJ WFUTWQFRF IFSITQF^ã [JWNQJWIJ NQNăPNQJSIN NRMFXãN«NS QFWPFU [JWNGÀ XFIJHJ WNQJRJ^J FSTSNR XFRãSIF YÀSQÀÛÀSÀ belirli HJPMFQJ Z^LZQFSF «TPIJYF^Qã GT_RFRFP PNăNXJQ[JWN LJYNWNQRJ QJăYNWRJ bilir. FSFQN_ N«NS«TP FQFSQFWãSãS XNSNNKFIJ gerektire INPPFYQNZ^ FSTSNRQJă JIJW ^FUãQãW HJÛNSIJS LZQFSRF YNWNQRJXN Z_ZS QãIãW WNXP N«NSPZQQF :^LZQF soluklu ve TQFXãQãÛã[J SãQFGNQNW RFQN^JYQJWN IJWJHJXN SFGNQJHJP ^ÀPXJP ^ÀPXJPGNW birçok GNWNRMF ^ºSYJRINW YJPSNP ^ºSYJRN TQFHFPYãW GZQZS RFPYFIãW ;JWNQJWNS FSTSNR hale LJYNWNQRJ XNSIJPF^ãY TWYFRã ve ilgili KFFQN^JY FQFSãLº_ ºSÀSIJ

YJPSNP ^ºSYJRN TQFHFPYãW GZQZS RFPYFIãW ;JWNQJWNS FSTSNR hale LJYNWNQRJ XNSIJPF^ãY TWYFRã ve ilgili KFFQN^JY FQFSãLº_ ºSÀSIJ GZQZSIZ rularak Z^LZS YJPSNÛNS belir QJSRJXN LJWJPRJP YJINW 118 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK D. Veri GüvenliÛi Veri sorumlusu sãfatãnã haiz bankalarãn 6698 sayãlã Kanun’un 12’nci maddesi uyarãnca veri güvenliÛine iliăkin yükümlülükleri bulunmaktadãr. Bankalarãn aăaÛãda detaylarã sunulan kendi mevzuatã kapsamãnda tabi olduÛu yükümlülükler de 6698 sayãlã Kanundan kaynaklanan yükümlülüklerine uyulmasãnda katkã sunmaktadãr. 1- Bankalarãn Yasal Mevzuattan Kaynaklanan Yükümlülükleri Bankalar, bankacãlãk iălemlerinin güvenliÛinin saÛlanmasã için 5411 sayãlã Bankacãlãk Kanunu, 5464 sayãlã Banka Kartlarã ve Kredi Kartlarã Kanunu, Sermaye Piyasasã mevzuatã gibi çeăitli düzenlemelere tabi kãlãnmãătãr. 1.1. Bankacãlãk Kanunu 5411 sayãlã Bankacãlãk Kanunu’nun “Sãrlarãn Saklanmasã” konu baălãklã 73’üncü maddesi, banka mensuplarã için “görevleri sãrasãnda öÛrendikleri bankalara ve bunlarãn baÛlã ortaklãk, iătirak, birlikte kontrol edilen ortaklãklarã ve müăterilerine ait sãrlarã bu Kanuna ve özel kanunlarãna göre yetkili olanlardan baăkasãna açãklayamaz ve kendilerinin veya baăkalarãnãn yararlarãna kullanamazlar” hükmünü içermektedir. 1.2. Bankalarãn âç Sistemleri ve âçsel Sermaye YeterliliÛi DeÛerlendirme Süreci Hakkãnda Yönetmelik

baăkasãna açãklayamaz ve kendilerinin veya baăkalarãnãn yararlarãna kullanamazlar” hükmünü içermektedir. 1.2. Bankalarãn âç Sistemleri ve âçsel Sermaye YeterliliÛi DeÛerlendirme Süreci Hakkãnda Yönetmelik BDDK tarafãndan yayãmlanan bu Yönetmelik hükümlerine iliăkin olarak ayrãntãlã açãklamalara aăaÛãda “Denetim” baălãÛãnda altãnda yer verilmektedir. 1.3. Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik Bu yönetmelik, faaliyetlerinin ifasãnda kullandãklarã bilgi sistemlerinin yönetimi ile elektronik bankacãlãk hizmetlerinin sunulmasãnda ve bunlara iliăkin risklerin yönetiminde esas alãnacak asgari usul ve esaslar ile tesis 119 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ edilmesi gereken bilgi sistemleri kontrollerini düzenlemiă olup, bu haliyle 6698 sayãlã Kiăisel Verilerin Korunmasã Kanunu ve baÛlã mevzuatta kiăisel veriler için öngörülen teknik ve idari tedbirleri kapsamaktadãr. KVKK ile paralel kaleme alãnmãă maddelerden biri olarak açãk bankacãlãk[54] faaliyetleri için veri paylaăãmãnãn söz konusu olacaÛã noktada müăterinin talebi olmaksãzãn paylaăãmãn yapãlamayacaÛã belirtilerek Müăterinin, bilgilerini paylaămaya dair açãk rãza göstermesi verilecek hizmet için bir ön ăart haline getirilemeyeceÛi düzenlenmiătir.[55] Kiăisel Verileri Koruma Kurumu tarafãndan benzer içerikte iliăkili yayãn Kiăisel Veri GüvenliÛi Rehberi (Teknik ve idari Tedbirler) olarak görünmektedir. Bu belgede yer alan Teknik Tedbirler baălãÛãndaki birçok madde Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik ‘le örtüămektedir. Konuya iliăkin yapãlan eăleătirme “Bilgi GüvenliÛine iliăkin Teknik ve idari Önlemler” baălãÛãnda yer almaktadãr.

Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik ‘le örtüămektedir. Konuya iliăkin yapãlan eăleătirme “Bilgi GüvenliÛine iliăkin Teknik ve idari Önlemler” baălãÛãnda yer almaktadãr. 1.4. Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda Yönetmelik Bu yönetmelik, banka sãrrã ve müăteri sãrrã niteliÛindeki bilgilerin paylaăãm ve aktarãmlarãna iliăkin kapsam, ăekil, usul ve esaslarã belirleyerek, bilgi paylaăãmãndaki ilkeleri ve yükümlülükleri belirleyerek, alãnmasã gereken idari tedbirlere yer vermiătir. 1.5. Bilgi GüvenliÛine âliăkin Teknik ve âdari Önlemler Bankacãlãk sektörü, Kiăisel Verilerin Korunmasã Kanunu ve diÛer kanunlara ek olarak; Bankacãlãk Kanunu ile Bankacãlãk Düzenleme ve Denetleme Kurumu (BDDK) tarafãndan yayãnlanan ikincil mevzuata tabidir. Bu çerçevede, bankalar, bilgi sistemlerinin iălerliÛini ve güvenliÛini saÛlamak için gerekli önlemleri [54] Müăterilerin ya da müăteriler adãna hareket eden taraƼarãn API, web servis, FTP gibi yöntemlerle bankanãn sunduÛu bir takãm ƻnansal servislere uzaktan eriăerek bankacãlãk iălemlerini gerçekleătirebildikleri veya gerçekleătirilmesi için bankaya talimat verebildikleri elektronik daÛãtãm kanallarãnã” ifade etmektedir. [55] Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik Madde 10 120 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

elektronik daÛãtãm kanallarãnã” ifade etmektedir. [55] Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik Madde 10 120 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK almakla yükümlüdür. Bankacãlãk sektörüne özgü düzenlemeler, kiăisel veriler dahil olmak üzere tüm müăteri ve banka bilgilerinin güvenliÛinin saÛlanmasãnã amaçlamaktadãr. Ayrãca, Bankacãlãk Kanunu’nda yer alan gizlilik yükümlülükleri de banka bünyesinde sãkã sãkãya uygulanmakta olup, bu durum bilgi güvenliÛi ve kiăisel verilerin korunmasã açãsãndan hayati öneme sahiptir. Kritik altyapã, iălediÛi bilginin gizliliÛi, bütünlüÛü veya eriăilebilirliÛi bozulduÛunda, can kaybãna, büyük ölçekli ekonomik zarara, ulusal güvenlik açãklarãna veya kamu düzeninin bozulmasãna yol açabilecek biliăim veya endüstriyel kontrol sistemlerini barãndãran sistemlerdir. Bankacãlãk alanãnda faaliyet gösteren veri sorumlularãnãn da bu kapsamda deÛerlendirileceÛi dikkate alãndãÛãnda Bankacãlãk sektörünün veri güvenliÛi açãsãndan uyum saÛlamasã gereken bazã mevzuat, düzenleme ve standartlar; • 5651 Sayãlã ânternet Ortamãnda Yapãlan Yayãnlarãn Düzenlenmesi ve Bu Yayãnlar Yoluyla âălenen Suçlarla Mücadele Edilmesi Hakkãnda Kanun, • Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik, • “Özel Nitelikli Kiăisel Verilerin âălenmesinde Veri Sorumlularãnca Alãnmasã Gereken Yeterli Önlemler” ile ilgili Kiăisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayãlã Kararã, • Ödeme Kartã Endüstrisi Veri GüvenliÛi Standardã (Payment Card Industry -PCI- Data Security Standard -DSS-), olup, bu düzenlemelerin birbirleri ile örtüăen yönleri bulunmaktadãr.

Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayãlã Kararã, • Ödeme Kartã Endüstrisi Veri GüvenliÛi Standardã (Payment Card Industry -PCI- Data Security Standard -DSS-), olup, bu düzenlemelerin birbirleri ile örtüăen yönleri bulunmaktadãr. Kurul tarafãndan yayãnlanan Kiăisel Veri GüvenliÛi Rehberi’nde yer alan Teknik Tedbirler özet tablosunun, Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik ile kãyaslanmasãnda karăãlãk gelen maddeleri aăaÛãdaki tabloda gösterilmiătir. 121 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Yetki Matrisi Kimlik ve Eriăim Yönetimi Md.11 Yetki Kontrol Kimlik ve Eriăim Yönetimi Md.11 Kimlik ve Eriăim Yönetimi Md.11 âz Kayãtlarãnãn Eriăim Loglarã Oluăturulmasã ve Takibi Md.13 Kullanãcã Hesap Kimlik ve Eriăim Yönetimi Md.11 Yönetimi AÛ GüvenliÛi AÛ GüvenliÛi Md.14 Uygulama Gü- venliÛi Güvenlik Konƻgürasyonu Yönetimi Md.15, Güvenlik Açãklarã ve Yama Yönetimi Md.16, Ăifreleme Veri GizliliÛi Md.9, Eriăilebilirlik Yönetimi ve Yedek-le- me Md.21 Kimlik DoÛrulama ve âălem GüvenliÛi, Md.34, TEKNâK TEDBâRLER Sãzma Testi Siber Olay Yönetimi, Sãzma Testi ve Siber âstihbarat Paylaăãmã Md.18 Saldãrã Tespit ve AÛ GüvenliÛi Md.14, Siber Olay Yönetimi, Sãzma Önleme Sistem- Testi ve Siber âstihbarat Paylaăãmã Md.18 leri Kimlik ve Eriăim Yönetimi Md.11, âz Kayãtlarãnãn Log Kayãtlarã Oluăturulmasã ve Takibi Md.13 Veri Maskeleme Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãn- da Yönetmelik Md.6 Veri Kaybã Önleme Güvenlik Konƻgürasyonu Yönetimi Md.15, Güvenlik Yazãlãmlarã Açãklarã ve Yama Yönetimi Md.16

Log Kayãtlarã Oluăturulmasã ve Takibi Md.13 Veri Maskeleme Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãn- da Yönetmelik Md.6 Veri Kaybã Önleme Güvenlik Konƻgürasyonu Yönetimi Md.15, Güvenlik Yazãlãmlarã Açãklarã ve Yama Yönetimi Md.16 Yedekleme Eriăilebilirlik Yönetimi ve Yedekleme Md.21 Güvenlik Duvarlarã AÛ GüvenliÛi Md.14 Güvenlik Konƻgürasyonu Yönetimi Md.15, Güvenlik Güncel Anti-Virüs Açãklarã ve Yama Yönetimi Md.16 Sistemleri Silme, Yok Etme Bankacãlãk Kanunu Md.42 veya Anonim Hale Veri GizliliÛi Md.9, Kimlik DoÛrulama ve âălem Getirme GüvenliÛi Md.34 Anahtar Yönetimi 122 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK âdari tedbirler baălãÛã beklenen faaliyet konusu KVKK’ya iliăkin beklenen aktiviteler ile örtüămesine raÛmen faaliyet içeriÛi açãsãndan farklãlaămaktadãr. Kiăisel Veri GüvenliÛi Rehberi idari tedbirler bölümü ile Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik’i (Yönetmelik) karăãlaătãrdãÛãmãzda bankacãlãk sektöründe karăãlãk gelen konularã aăaÛãdaki gibi özetleyebiliriz. - Kiăisel Veri GüvenliÛi Rehberi Mevcut Risk ve Tehditlerin Belirlenmesi

(Yönetmelik) karăãlaătãrdãÛãmãzda bankacãlãk sektöründe karăãlãk gelen konularã aăaÛãdaki gibi özetleyebiliriz. - Kiăisel Veri GüvenliÛi Rehberi Mevcut Risk ve Tehditlerin Belirlenmesi Bankalar, bilgi varlãklarãnãn[56] güvenlik gereksinimlerine uygun kontroller tesis etmek için bu varlãklarã sãnãƼandãrarak detaylã bir varlãk envanteri hazãrlar. Bilgi varlãklarãnãn bir parçasã olan veriler için kiăisel veri olup olmadãÛã kontrol edilir. Verilerin güvenlik sãnãfã asgari olarak bu verilerin gizlilik derecesi, bütünlük gereksinimi, eriăilebilirlik gereksinimi ve hassas veri, kiăisel veri ya da sãr kapsamãndaki veri olup olmadãÛã gibi kriterler göz önünde bulundurularak belirlenir. (Bilgi varlãklarã envanteri ve sãnãƼandãrãlmasã Madde 6) Bankalar, bankacãlãk faaliyetlerinde bilgi teknolojilerini kullanãyor olmasãndan kaynaklanan riskleri analiz etmek, azaltmak, takip etmek ve raporlamak üzere bir BS risk yönetim süreci tesis eder. Risk analizleri sonucu hazãrlanan güncel risk deÛerlendirme raporu ve güncel risk aksiyon planã birleătirilerek bankanãn BS risk envanteri oluăturulur. BS risk envanteri kapsamãnda riskler takip edilerek yönetim kuruluna ve üst düzey yönetime yãlda en az bir defa raporlanãr. (Bilgi sistemleri risk yönetim süreci Madde 7) - Çalãăanlarãn EÛitilmesi ve Farkãndalãk Çalãămalarã YönetmeliÛin 19.maddesi (Bilgi GüvenliÛi FarkãndalãÛãnã Artãrma) gereÛince; [56] Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik Madde 3 Tanãmlar Bilgi varlãÛã: Bankacãlãk faaliyetlerinin yürütülmesinde kullanãlan veriler ile bu verilerin taăãndãÛã, saklandãÛã, iletildiÛi veya iălendiÛi sistem, yazãlãm, aÛ cihazlarã, BT donanãmlarã, iă süreçleri gibi Banka için deÛeri olan varlãÛã, 123

verilerin taăãndãÛã, saklandãÛã, iletildiÛi veya iălendiÛi sistem, yazãlãm, aÛ cihazlarã, BT donanãmlarã, iă süreçleri gibi Banka için deÛeri olan varlãÛã, 123 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Banka genelinde bilgi güvenliÛi farkãndalãk seviyesini artãrmak için kapsamlã bir bilgi güvenliÛi farkãndalãÛã eÛitim programã oluăturmasã saÛlanãr. Bu eÛitim programã Bilgi GüvenliÛi Komitesi tarafãndan onaylanãr ve programãn içeriÛi yãlda en az bir defa yeni teknolojiler ve ortaya çãkan yeni riskler dikkate alãnarak gözden geçirilir ve güncellenir. Bu eÛitim programãnãn haricinde kurum içi bültenler hazãrlar, varsa banka iç portalãnda bilgi güvenliÛi ile ilgili bir bölüm oluăturur, çalãăanlarãna periyodik olarak bilgi güvenliÛiyle ilgili hatãrlatma mesajlarã gönderir, çalãăanlara yönelik düzenli olarak bilgi güvenliÛi farkãndalãÛãnã ölçecek anketler yapar. Üst yönetim de dâhil olmak üzere banka çalãăanlarã, dãă hizmet saÛlayãcãlar ve müăteriler gibi bankanãn bilgi güvenliÛini ilgilendiren paydaălara yönelik, bilgi güvenliÛi farkãndalãÛãnã artãracak çalãămalarãn yapãlmasã saÛlanãr. (Bilgi güvenliÛi organizasyonu, roller ve sorumluluklar Madde 8) - Kiăisel Veri GüvenliÛi Politikalarãnãn ve Prosedürlerinin Belirlenmesi

bilgi güvenliÛi farkãndalãÛãnã artãracak çalãămalarãn yapãlmasã saÛlanãr. (Bilgi güvenliÛi organizasyonu, roller ve sorumluluklar Madde 8) - Kiăisel Veri GüvenliÛi Politikalarãnãn ve Prosedürlerinin Belirlenmesi Bilgi güvenliÛi yönetim sisteminin banka genelinde nasãl uygulanacaÛã bilgi güvenliÛi politikasã, prosedürleri ve süreç dokümanlarã ile düzenlenir. Bankanãn bilgi güvenliÛi politikasã yönetim kurulu tarafãndan onaylanãr ve banka genelinde çalãăanlara ulaătãrãlmasã saÛlanãr. Bu kapsamda bilgi sistemlerine iliăkin kabul edilebilir kullanãm standartlarã belirlenir. (Bilgi güvenliÛi organizasyonu, roller ve sorumluluklar Madde 8/2) Yönetmelik gereÛince bankanãn Bilgi GüvenliÛi Politikasã ve bu çerçevedeki diÛer ilgili prosedürler de yer alan Yönetmelik maddelerine aăaÛãda yer verilmiătir. • Bilgi sistemlerinin kullanãmãndan kaynaklanan riskleri yönetmek ve bilgi varlãklarãnã korumak amacãyla uygulanmasã gereken usul ve esaslar ile tesis edilmesi gereken kontrolleri tarif eden BS politika, prosedür ve süreç dokümanlarã (Madde 5) • Bilgi güvenliÛi yönetim sisteminin banka genelinde nasãl uygulanacaÛãbilgi güvenliÛi politikasã, prosedürleri ve süreç 124 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK dokümanlarã (Madde 8) • Siber olay yönetimi, çözüm prosedürü ve müdahale planlarã (Madde18) • DeÛiăiklik yönetimi süreçleri kullanãcã dokümanlarã ve prosedürleri (Madde 24) • Eriăilebilirlik yönetimi dokümanlarã ve yedekleme prosedürü (Madde 27) • Bilgi sistemleri sürekliliÛinin saÛlanmasã kapsamãnda kurtarma ve geri dönüă prosedürleri (Madde 28) • Dãă hizmet alãmã sürecinin yönetimi için gerekli prosedürler (Madde 29)

(Madde 24) • Eriăilebilirlik yönetimi dokümanlarã ve yedekleme prosedürü (Madde 27) • Bilgi sistemleri sürekliliÛinin saÛlanmasã kapsamãnda kurtarma ve geri dönüă prosedürleri (Madde 28) • Dãă hizmet alãmã sürecinin yönetimi için gerekli prosedürler (Madde 29) YönetmeliÛin 29’uncu maddesi (Dãă Hizmet Alãmã Sürecinin Yönetimi) gereÛince; Banka üst yönetimi, dãă hizmet[57] olarak alãnacak hizmetlerin banka açãsãndan doÛuracaÛã risklerin yeterli düzeyde deÛerlendirilmesi, yönetilmesi ve dãă hizmet saÛlayãcã ile iliăkilerin etkin bir ăekilde yürütülebilmesine olanak saÛlayan yeterli bir gözetim mekanizmasã tesis edilmesini saÛlar. Bu kapsamda dãă hizmetin doÛuracaÛã risklerin belirlenmesi, hizmet alãmãna iliăkin koăul, kapsam ve tanãmlar yazãlã sözleămeye baÛlanãr. Sözleăme dãă hizmetlerin eriăilebilirliÛinin, performansãnãn, kalitesinin, taahhüt edilen hizmet seviyelerine uyulup uyulmadãÛãnãn, bu hizmetler kapsamãnda gerçekleăen güvenlik ihlali olaylarãnãn, dãă hizmet saÛlayãcãnãn gizlilik, bütünlük ve eriăilebilirlik ile ilgili güvenlik kontrollerinin, operasyonel ve ƻnansal durumunun yükümlülüklerini yerine getirmeye uygun olup olmadãÛãnãn ve sözleăme ăartlarãna uygunluÛunun düzenli aralãklarla takip edilmesi saÛlanãr. - Kiăisel Verilerin Mümkün OlduÛunca Azaltãlmasã Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda YönetmeliÛin 5’inci maddesi kapsamãnda yapãlacak paylaăãmlarãn ölçülü olabilmesi için;

edilmesi saÛlanãr. - Kiăisel Verilerin Mümkün OlduÛunca Azaltãlmasã Sãr NiteliÛindeki Bilgilerin Paylaăãlmasã Hakkãnda YönetmeliÛin 5’inci maddesi kapsamãnda yapãlacak paylaăãmlarãn ölçülü olabilmesi için; [57] Dãă hizmet: 5/11/2011 tarihli ve 28106 sayãlã Resmi Gazete’de yayãmlanan Bankalarãn Destek Hizmeti Almalarãna âliăkin Yönetmelik kapsamãndaki destek hizmetleri de dâhil olmak üzere bankalarãn bilgi sistemlerine iliăkin dãăarãdan temin ettikleri, bankacãlãk verilerinin gizliliÛi, bütünlüÛü ve eriăilebilirliÛi ile bankacãlãk hizmetlerinin sürekliliÛini etkileme potansiyeli olan, bankacãlãk verilerine eriăimi bulunan ya da bu verilerin paylaăãldãÛã hizmet alãmlarãnã, 125 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ • Belirtilen hangi amaçlarla iliăkili ise, paylaăãmlarãn yalnãzca söz konusu amaçlarãn gerektirdiÛi kadar veriyi içermesi, • Paylaăãmlarãn içerdiÛi veri ya da veri setlerinin tamamãnãn belirtilen amaçlarãn gerçekleătirilmesi için gerekli olduÛunun gösterilebilir olmasã, • Paylaăãlacak veriler toplulaătãrãldãÛãnda, kimliksizleătirildiÛinde ya da anonim hale getirildiÛinde söz konusu amaçlar yine de gerçekleătirilebiliyor ise bu yöntemlerin uygulanmasã, • Paylaăãm yapãlacak taraƼarãn ve paylaăãm metotlarãnãn mümkün olan en az veri kopyasã oluăturacak ăekilde kurgulanmasã unsurlarãn asgari olarak yerine getirilmesi zorunlu kãlãnmãătãr. 2- Denetim

• Paylaăãm yapãlacak taraƼarãn ve paylaăãm metotlarãnãn mümkün olan en az veri kopyasã oluăturacak ăekilde kurgulanmasã unsurlarãn asgari olarak yerine getirilmesi zorunlu kãlãnmãătãr. 2- Denetim 5411 sayãlã Bankacãlãk Kanunu’nun 29’uncu maddesi “Bankalar, maruz kaldãklarã risklerin izlenmesi, kontrolünün saÛlanmasã, faaliyetlerinin kapsamã ve yapãsãyla uyumlu ve deÛiăen koăullara uygun, tüm ăube ve konsolidasyona tâbi ortaklãklarãnã kapsayan yeterli ve etkin bir iç kontrol, risk yönetimi ve iç denetim sistemi kurmak ve iăletmekle yükümlüdürler” ifadesini içermektedir. Uygulama detaylarã Bankalarãn iç Sistemleri ve içsel Sermaye YeterliliÛi DeÛerlendirme Süreci Hakkãnda Yönetmelik ile düzenlenen bu hususun bankalara getirdiÛi yükümlülüklerin uygulanmasã, denetim sistemi kurma yükümlülüÛü bulunmayan çok sayãda baăka sektörü de düzenleme misyonu bulunan 6698 sayãlã Kanun’un 12’nci maddesinin 3’üncü fãkrasã çerçevesinde denetim yükümlülüÛünü her yönüyle kapsamaktadãr. Kiăisel Verileri Koruma Kurumunun yayãmlamãă olduÛu Kiăisel Veri GüvenliÛi Rehberi (Teknik ve idari Tedbirler)’nde de denetim hususunda belirtildiÛi üzere veri sorumlusu, kiăisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptãrãr, denetim sonucunda ortaya çãkan raporlarã ve hizmet saÛlayãcãyã yerinde inceleyebilir. Bankalarãn iç denetim birimleri, baÛlã olduklarã ve denetim yükümlülüÛünü düzenleyen mevzuat uyarãnca 6698 sayãlã Kanun’da belirtilen denetim yükümlülüklerini karăãlamaktadãrlar. 126 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

düzenleyen mevzuat uyarãnca 6698 sayãlã Kanun’da belirtilen denetim yükümlülüklerini karăãlamaktadãrlar. 126 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK KVKK’nãn 12’nci maddesinin 3’üncü fãkrasã hükmü çerçevesinde yapãlan tüm bilgi teknolojileri denetimlerinde; BDDK’nãn Bankalarãn Bilgi Sistemleri ve Elektronik Bankacãlãk Hizmetleri Hakkãnda Yönetmelik ve BDDK tarafãndan yayãnlanan Bilgi Sistemlerine iliăkin Sãzma Testleri Genelgesi uyarãnca alãnmasã gerekli teknik ve idari tedbirlerin kontrolü saÛlanãr. Ayrãca bankalar, 6698 sayãlã Kanun’un 12’nci maddesi hükmüne istinaden aldãklarã güvenlik önlemlerinin uygulanmasãnda aynã zamanda Bankalarãn iç Sistemleri ve içsel Sermaye YeterliliÛi DeÛerlendirme Süreci Hakkãnda YönetmeliÛin içerisinde düzenlenen iletiăim kanallarãnãn tesisinde, Bankacãlãk Kanunu’nun 73’üncü maddesine aykãrãlãk teăkil edilmemesi hususuna da özen göstermektedir. Bankalar 5464 sayãlã Banka Kartlarã ve Kredi Kartlarã Kanunu ve Banka Kartlarã ve Kredi Kartlarã Hakkãnda Yönetmelik kapsamãnda kart çãkarãlmasã, kullanãm ve kartlã ödemeler sisteminde yer alan kuruluă olarak faaliyet göstermektedir. Bu kanun ve yönetmelik gereÛi bu hizmetleri veren bankalar; Veri iăleme, kaydetme veya iletiăiminde asgari seviyede uluslararasã standart olan Ödeme Kartã Endüstrisi Veri GüvenliÛi Standardãnãn (Payment Card Industry -PCI- Data Security Standard -DSS-) hükümlerini dikkate alãrlar. Bankalar bilgi güvenliÛi süreçlerini etkin yürütmek ve sürdürebilmek için uluslararasã standart olan ISO/IEC 27001, Bilgi GüvenliÛi Yönetimi Sistemi (BGYS)’nin standardãnãn gereklerini yerine getirecek ăekilde kaynaklarãn tahsis ederek, kurulmasã ve iăletilmesini saÛlarlar.

Bankalar bilgi güvenliÛi süreçlerini etkin yürütmek ve sürdürebilmek için uluslararasã standart olan ISO/IEC 27001, Bilgi GüvenliÛi Yönetimi Sistemi (BGYS)’nin standardãnãn gereklerini yerine getirecek ăekilde kaynaklarãn tahsis ederek, kurulmasã ve iăletilmesini saÛlarlar. ISO/IEC 27001 Bilgi GüvenliÛi Yönetim Standardã bankalarda yer alan risklerin daha somut bir ăekilde ölçülebilmesini ve deÛerlendirmesini saÛlayarak bilgi güvenliÛi konusunda daha etkin önemlerin alãnmasãnã saÛlayan bir standarttãr. ISO/IEC 27001 ve PCI DSS standartlarã çerçevesi, kiăisel verilerin güvenliÛiyle sãnãrlã kalmamak üzere sahip olunan tüm verilerin güvenliÛine yönelik bir 127 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ güvenlik seviyesi ve metodolojisi içermektedir. Söz konusu standartlar çerçevesine uyumlu olduÛu konuyla ilgili periyodik denetim ve raporlarla tespit edilmiă her banka, 6698 sayãlã Kanunun gerektirdiÛi veri güvenliÛi yükümlülüÛünü saÛlamak adãna alãnacak tedbirlere destekleyici nitelikte tedbirler almãă olacaktãr. ISO/IEC 27701 Kiăisel Veri Yönetim Sistemi standardã kiăisel veri iăleyen veri sorumlularã ve veri iăleyenlerin sorumluluklarãna yönelik rehberlik eden, kiăisel veri yönetim sisteminin gereksinimlerini ortaya koyarak hesap verilebilir bir sistem geliătirmeyi saÛlayan bir standarttãr. E. âlgili Kiăinin Haklarã ve Ăikâyetlerin Yönetilmesi

sorumlularã ve veri iăleyenlerin sorumluluklarãna yönelik rehberlik eden, kiăisel veri yönetim sisteminin gereksinimlerini ortaya koyarak hesap verilebilir bir sistem geliătirmeyi saÛlayan bir standarttãr. E. âlgili Kiăinin Haklarã ve Ăikâyetlerin Yönetilmesi Anayasanãn 20’nci maddesinde; “Herkes, kendisiyle ilgili kiăisel verilerin korunmasãnã isteme hakkãna sahiptir. Bu hak; kiăinin kendisiyle ilgili kiăisel veriler hakkãnda bilgilendirilme, bu verilere eriăme, bunlarãn düzeltilmesini veya silinmesini talep etme ve amaçlarã doÛrultusunda kullanãlãp kullanãlmadãÛãnã öÛrenmeyi de kapsar. Kiăisel veriler, ancak kanunda öngörülen hallerde veya kiăinin açãk rãzasãyla iălenebilir. Kiăisel verilerin korunmasãna iliăkin esas ve usuller kanunla düzenlenir.” ăeklinde hüküm bulunmaktadãr. Dolayãsãyla, kiăisel verilerin korunmasãnã isteme hakkã, esasãnda Anayasa’da da güvence altãna alãnmãă bir haktãr. DayanaÛãnã Anayasa’dan alan bu hakkãn kullanãlmasãna iliăkin açãklamalara aăaÛãda yer verilmektedir. 1- Veri Sorumlusu Temsilcisi Veri sorumlusu temsilcisi; Türkiye’de yerleăik olmayan veri sorumlularãnã asgari temsile yetkili Türkiye’de yerleăik tüzel kiăi ya da Türkiye Cumhuriyeti vatandaăã gerçek kiăiyi ifade eder. Veri sorumlusu temsilcisinin, 30 Aralãk 2017 tarihli ve 30286 sayãlã Resmî Gazete’de yayãmlanan Veri Sorumlularã Sicili Hakkãnda YönetmeliÛin 128 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK

Veri sorumlusu temsilcisinin, 30 Aralãk 2017 tarihli ve 30286 sayãlã Resmî Gazete’de yayãmlanan Veri Sorumlularã Sicili Hakkãnda YönetmeliÛin 128 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK (“Yönetmelik”) 11’inci maddesinin (c) bendi uyarãnca “Kiăisel Verileri Koruma Kurulu (Kurul) tarafãndan baăkaca bir esasãn belirlenmemiă olmasã halinde; ilgili kiăilerin Kanun’un 13 üncü maddesinin birinci fãkrasã uyarãnca veri sorumlusuna yönelteceÛi baăvurularã veri sorumlusu adãna alma ve veri sorumlusuna iletme” ve (ç) bendi uyarãnca “Kurul tarafãndan baăkaca bir esasãn belirlenmemiă olmasã halinde; ilgili kiăilere Kanun’un 13’üncü maddesinin üçüncü fãkrasã uyarãnca veri sorumlusunun cevabãnã iletme” yükümlülükleri bulunmaktadãr. 2- Baăvuru ve Ăikayetlerin Alãnmasã ve Yanãtlanmasã Kanun’un 3’üncü maddesinde ilgili kiăi; “kiăisel verisi iălenen gerçek kiăi” olarak tanãmlanmãătãr. Bu kapsamda tüzel kiăiler ilgili kiăi sãfatãyla veri sorumlusuna baăvuruda bulunamaz. Kanun, ilgili kiăilerin Kanun’un uygulanmasãna iliăkin taleplerini iletebilmeleri ve kiăisel verilerine iliăkin haklarãnã korumalarã için birtakãm hak arama yöntemleri getirmektedir. Böylelikle ilgili kiăiler kiăisel verilerinin korunmasãna iliăkin haklarãnã kullanmak adãna doÛrudan yargã yoluna baăvurmanãn yanã sãra Kanun’un 11’inci maddesindeki haklarãnã kullanabileceklerdir. Kanun’da baăvuru ve ăikâyetlerle ilgili usul ve esaslar 13, 14 ve 15’inci maddelerde düzenlenmiătir. 2.1. Veri Sorumlusuna Baăvuru

yoluna baăvurmanãn yanã sãra Kanun’un 11’inci maddesindeki haklarãnã kullanabileceklerdir. Kanun’da baăvuru ve ăikâyetlerle ilgili usul ve esaslar 13, 14 ve 15’inci maddelerde düzenlenmiătir. 2.1. Veri Sorumlusuna Baăvuru Veri sorumlusuna baăvuru usul ve esaslarã Kanun’da ve 10 Mart 2018 tarihli ve 30356 sayãlã Resmî Gazete’de yayãmlanan Veri Sorumlusuna Baăvuru Usul Ve Esaslarã Hakkãnda TebliÛ’de (“TebliÛ”) düzenlenmektedir. Kanun’un 11’inci maddesine göre ilgili kiăilerin veri sorumlusuna baăvurusu için kademeli bir baăvuru usulü öngörülmüătür. âlgili kiăinin sahip olduÛu haklarã kullanabilmeleri için öncelikle veri sorumlusuna baăvurmalarã zorunludur. Bu yol tüketilmeden Kurula ăikayet yoluna gidilmesi mümkün deÛildir. TebliÛ’in 5’nci maddesi baăvuruda yer almasã gereken unsurlarã düzenlemektedir. 129 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Buna göre baăvuruda bulunmasã gereken zorunlu unsurlar aăaÛãdaki gibidir: • Ad-Soyad • TC Kimlik No (baăvuran Türk vatandaăã ise) • Tebligata esas ikametgah veya iăyeri adresi • Baăvuru yazãlã ise imza • Uyruk, Pasaport No/Varsa Kimlik No (baăvuran Türk vatandaăã deÛilse) • Varsa bildirime esas e-posta adresi, telefon, faks no • Talep Konusu 2.1.1. Ăekil ve Usul

• Tebligata esas ikametgah veya iăyeri adresi • Baăvuru yazãlã ise imza • Uyruk, Pasaport No/Varsa Kimlik No (baăvuran Türk vatandaăã deÛilse) • Varsa bildirime esas e-posta adresi, telefon, faks no • Talep Konusu 2.1.1. Ăekil ve Usul Veri sorumlusuna yapãlacak baăvurularãn ăekli konusunda Kanun’da iki temel hüküm bulunmaktadãr. Bunlardan ilki yazãlã baăvuru olup, genel hükümler gereÛi ãslak imza içeren belge ile yapãlan baăvurudur. Buna ek olarak elektronik ortamda da baăvuru yapãlabilmektedir. Yazãlã baăvuru haricindeki diÛer yöntemler konusunda ise Kurul yetkilendirilmiă olup, Kurul buna istinaden TebliÛ’in 5’inci maddesinde veri sorumlusuna yapãlacak baăvurularãn yöntemini belirlemiătir. Buna göre; ilgili kiăi veri sorumlusuna Türkçe olarak; • Yazãlã, • KEP adresi, • Mobil imza, • Güvenli Elektronik imza, • E-posta (ilgili kiăi tarafãndan veri sorumlusuna daha önce bildirilen,veri sorumlusunun sisteminde kayãtlã bulunan dolayãsãyla kimlik doÛrulamasãnãn yapãlabildiÛi elektronik posta adresi), • Baăvuru Yazãlãmã/Uygulamasã (veri sorumlusunun baăvuru amacãna yönelik geliătirmiă olabileceÛi bir yazãlãm ya da uygulama) yöntemlerinden birini kullanarak baăvurabilecektir. Veri sorumlusu baăvuruda yer alan talepleri talebin niteliÛine göre en kãsa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandãracak, ancak 130 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK iălemin ayrãca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alãnabilecektir. Kanun’un 13’üncü maddesi gereÛince ilgili kiăinin talebi ücretsiz olarak sonuçlandãrãlãr. TebliÛ’in 6’ncã ve 7’nci maddesi uyarãnca;

iălemin ayrãca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alãnabilecektir. Kanun’un 13’üncü maddesi gereÛince ilgili kiăinin talebi ücretsiz olarak sonuçlandãrãlãr. TebliÛ’in 6’ncã ve 7’nci maddesi uyarãnca; • Yazãlã olarak verilecek cevaplarda, 10 sayfaya kadar ücret alãnmaz iken 10 sayfanãn üzerindeki her sayfa için 1 Türk lirasã iălem ücreti alãnabilir, • Cevabãn CD, Ƽash bellek gibi bir kayãt ortamãnda verilmesi halinde veri sorumlusu tarafãndan talep edilebilecek ücret kayãt ortamãnãn maliyetini geçemez, • Baăvurunun, veri sorumlusunun hatasãndan kaynaklanmasã halinde alãnan ücret ise ilgiliye iade edilir. Bu düzenlemeler uyarãnca, Bankanãn en yakãn ăubesine ilgili kiăinin kimliÛini tevsik edici belgeler ve talebini içeren yazãlã dilekçe ile bizzat elden veya Kurulca belirlenen diÛer yöntemleri kullanmak suretiyle alãnmãă olan baăvurular, zorunlu olarak bulunmasã gereken yasal ăartlarã içermesi halinde en kãsa sürede ve en geç otuz gün içinde sonuçlandãrãlacaktãr. 30 günlük süre, yazãlã baăvurularda, veri sorumlusuna veya temsilcisine evrakãn tebliÛ edildiÛi tarih itibariyle, diÛer yöntemlerle yapãlan baăvurularda; baăvurunun veri sorumlusuna ulaătãÛã tarih itibariyle baălayacaktãr. Bankanãn ilgili iă birimlerinde yapãlacak araătãrma sonucunda ilgili kiăinin baăvurudaki talepleri kabul edilebileceÛi gibi gerekçesi açãklanmak suretiyle ret de edilebilir.

baăvurunun veri sorumlusuna ulaătãÛã tarih itibariyle baălayacaktãr. Bankanãn ilgili iă birimlerinde yapãlacak araătãrma sonucunda ilgili kiăinin baăvurudaki talepleri kabul edilebileceÛi gibi gerekçesi açãklanmak suretiyle ret de edilebilir. ÖrneÛin, ilgili kiăiden kiăisel verilerinin imhasã hakkãnda alãnmãă bir baăvuruda, veri iălemenin hukuka uygunluk nedenlerinin devam edip etmediÛi ve hukuka uygunluk nedenlerinin ortadan kalkmãă olmasã halinde, verilerin yasal saklama sürelerinin devam edip etmediÛi kontrol edilir. Veri iălemenin hukuka uygunluk nedenlerinin devam etmesi halinde ya da hukuka uygunluk nedenlerinin ortadan kalkmãă olmasã ile birlikte yasal saklama sürelerinin devam ediyor olmasã halinde, talep olumsuz olarak yanãtlanãr. 131 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Baăvuruda zorunlu yasal ăartlarãn bulunmadãÛãnãn tespit edilmesi halinde ise baăvuru reddedilir ve ilgili kiăiye ret gerekçesi ile bildirilir. TebliÛ’in 6’ncã maddesi göre, veri sorumlusunun cevabãnda bulunmasã gereken asgari unsurlar aăaÛãdaki gibidir: Veri sorumlusu veya temsilcisine ait bilgiler, • Baăvuru sahibinin adã ve soyadã, Türkiye Cumhuriyeti vatandaălarã için T.C. kimlik numarasã, yabancãlar için uyruÛu, pasaport numarasã veya varsa kimlik numarasã, tebligata esas yerleăim yeri veya iă yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarasã, • Talep konusu, • Veri sorumlusunun baăvuruya iliăkin açãklamalarãdãr. TebliÛ’in 6’ncã maddesine göre veri sorumlusu cevabãnã mutlaka ya yazãlã ya da elektronik ortamda göndermelidir. 2.2. Kurula Ăikayet âlgili kiăinin veri sorumlusuna baăvurusu sonucunda veri sorumlusu tarafãndan;

TebliÛ’in 6’ncã maddesine göre veri sorumlusu cevabãnã mutlaka ya yazãlã ya da elektronik ortamda göndermelidir. 2.2. Kurula Ăikayet âlgili kiăinin veri sorumlusuna baăvurusu sonucunda veri sorumlusu tarafãndan; • Baăvurunun reddedilmesi, • âlgili kiăi tarafãndan verilen cevabãn yetersiz bulunmasã, • Süresinde baăvuruya cevap verilmemesi halinde ilgili kiăi Kurula ăikayette bulunabilir. Kanun’un 14’üncü maddesi, Kurul’a ăikayet için altmãă günlük bir süre öngörmüătür. Bu altmãă günlük sürenin baăvuruya cevap alãnamadãÛã, baăvuruya verilen cevabãn yetersiz görüldüÛü veya 30 günlük sürenin sonrasãnda ilgili kiăi baăvurusuna cevap verildiÛi durumlarda hangi andan itibaren baălayacaÛã tartãăma konusu olmuătur. Kurulun 24.01.2019 tarihli ve 2019/9 sayãlã kararã ile; • âlgili kiăi tarafãndan yapãlan baăvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kiăinin veri sorumlusunun cevabãnã müteakip 30 gün içerisinde ăikâyette bulunabileceÛi, bu itibarla söz konusu hallerde ilgili kiăinin veri sorumlusuna baăvurduÛu 132 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK tarihten itibaren 60 günlük süresinin bulunmadãÛã, • âlgili kiăi tarafãndan yapãlan baăvuruya veri sorumlusunca bir cevap

132 KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ | KVKK tarihten itibaren 60 günlük süresinin bulunmadãÛã, • âlgili kiăi tarafãndan yapãlan baăvuruya veri sorumlusunca bir cevap verilmediÛi durumda ise ilgili kiăinin veri sorumlusuna baăvurduÛu tarihten itibaren 60 gün içinde Kurula ăikâyette bulunabileceÛi, • âlgili kiăi tarafãndan yapãlan baăvuruya veri sorumlusunca Kanun’da tanãnan 30 günlük süre sonrasãnda bir cevap verilmesi halinde ilgili kiăinin, Kanun’da veri sorumlusuna tanãnan 30 günlük süre sonrasãnda verilecek cevabã beklemekle yükümlü olmadãÛã ve veri sorumlusuna tanãnan sürenin dolmasã ile birlikte Kurula ăikâyette bulunabileceÛi göz önüne alãnarak, ilgili kiăinin veri sorumlusunun kendisine cevap verdiÛi tarihten itibaren 30 gün deÛil, veri sorumlusuna baăvurduÛu tarihten itibaren 60 gün içinde Kurula ăikâyette bulunabileceÛi belirtilmiătir. 2.2.1. Kimlik Tespiti/DoÛrulama

verdiÛi tarihten itibaren 30 gün deÛil, veri sorumlusuna baăvurduÛu tarihten itibaren 60 gün içinde Kurula ăikâyette bulunabileceÛi belirtilmiătir. 2.2.1. Kimlik Tespiti/DoÛrulama Bir kiăinin iddia ettiÛi kiăi olup olmadãÛãnãn tespit edilmesine kimlik tespiti/ doÛrulama denilmektedir. Kiăisel verilerin doÛru ve gerektiÛinde güncel olmasã ilkesi ve veri güvenliÛinin saÛlanmasã gereÛi olarak, alãnan bir baăvuruda ancak kimlik tespitinin yapãlabiliyor olmasã halinde baăvurunun kabul edilebilmesi, alãnmasã gereken makul bir önlem olarak kabul edilir. Kurul’un 06.05.2021 tarihli ve 2021/470 sayãlã kararãna konu olayda ilgili kiăi veri sorumlusunun sisteminde tanãmlã olmayan bir e-posta adresinden baăvuru yaparak belirli bir hesabãn hareketlerine eriămek istemiătir. Veri sorumlusu ilgili hesap hareketlerini ăifreleme yöntemi kullanarak paylaămãă ve gönderilen e-postadaki telefon numarasãnãn aranmasã ile ăifre anahtarãnãn paylaăãlacaÛãnã belirtmiătir. Kurul bu durumda, ilgili kiăilerin kiăisel verilerinin yetkisiz üçüncü kiăilerin eline geçmemesi için veri sorumlusu tarafãndan kullanãlan yöntemi Kanun’a uygun bulmuătur. Bu bakãmdan, kiăisel verileri ile ilgili bilgi talep eden ilgili kiăinin kimlik tespitinin yapãlabiliyor olmasã, baăvurusunun kabul edilebilir olabilmesi için zorunlu olup, ilgili kiăinin baăvurusu ile birlikte kimliÛini tevsik edici belgeleri de ulaătãrmasã gerekmektedir. Aksi takdirde üçüncü bir kiăiye, bir baăkasã hakkãnda kiăisel veri niteliÛinde bilgilerin iletilmesi ile veri güvenliÛinin ihlaline sebebiyet verilmesi söz konusu olacaktãr. 133 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ

veri niteliÛinde bilgilerin iletilmesi ile veri güvenliÛinin ihlaline sebebiyet verilmesi söz konusu olacaktãr. 133 KVKK | KâĂâSEL VERâLERâN KORUNMASINA âLâĂKâN BANKACILIK SEKTÖRÜ âYâ UYGULAMALAR REHBERâ Ayrãca, Bankacãlãk Kanunu’nun 73’üncü maddesi uyarãnca da müăteri sãrrãnãn ihlali niteliÛinde deÛerlendirilebilecek bu durumda bankalara Kanun’un 159’uncu maddesi uyarãnca cezai yükümlülük öngörülmektedir. ÖrneÛin, Bankaya daha önce bildirilmemiă, dolayãsãyla sistemde kayãtlã bulunmayan bir elektronik posta ile yapãlmãă bir baăvuruda, baăvurucunun kimlik tespitinin yapãlmasã mümkün olmadãÛãndan, baăvurunun zorunlu olarak bulunmasã gereken yasal ăartlarã içermediÛi gerekçesi ile reddedilir. Kimlik teyidinin yapãlamadãÛã mecralardan yapãlacak baăvurularda, baăvurunun kabul edilmesi bankanãn ihtiyarãnda olup, ilgili kiăiler kimlik tespiti yapãlabilen güvenli baăvuru kanallarãna yönlendirilebilecektir. 134 ARALIK 2024 Nasuh Akar Mah. 1407. Sokak No: 4 06520 Balgat - Çankaya / ANKARA Telefon: +90 312 216 50 00 Web: www.kvkk.gov.tr