Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”), 08.01.2025 tarihinde Kurumun internet sitesinde yayınlanmıştır.
12.03.2024 tarihli 32487 sayılı Resmî Gazete ‘de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun ile Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GVKT”) uyum kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) Kişisel Verilerin Yurt Dışına Aktarılmasına ilişkin değişiklikler göz önüne alınarak Rehber güncellenmiştir.
Kişisel verilerin yurt dışına aktarılmasına yönelik güncellenen Rehberde öncelikle Kişisel Verilerin Yurt Dışına Aktarılma Yöntemlerine değinilmekte, ardından bankacılık uygulama örnekleriyle kişisel verilerin yurt dışına aktarılmasına ilişkin açıklamalara yer verilmektedir.
Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9. maddesinin;
a) Birinci fıkrasında, Kanunun 9. maddesi ile kişisel verilerin yurt dışına aktarılması ancak Kanunun 5. ve 6. Maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması,
b) Dördüncü fıkrasında, yeterlilik kararının bulunmaması durumunda, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, anılan fıkrada belirtilen uygun güvencelerden birinin taraflarca sağlanması,
c) Altıncı fıkrasında ise yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece bahse konu altıncı fıkrada belirtilen istisnai hallerden birinin varlığı
Halinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır.
Bunlara ek olarak, kanunlarda ve usulüne göre yürürlüğe konulmuş uluslararası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin özel bir düzenlemenin mevcut olması hâlinde, kişisel verilerin yurt dışına aktarılması faaliyetinin bu hükümlere uygun olarak gerçekleştirilmesi gerekecektir.
Bu çerçevede 5411 sayılı Bankacılık Kanunun “Sırların saklanması” başlıklı 73. maddesinin Kanunun 9. maddesinin onuncu fıkrası kapsamında değerlendirilmesi marifetiyle gerçekleştirilecek yurtdışına veri aktarımları bakımından dikkate alınması gerekmektedir. 04.06.2021 tarihli ve 31501 sayılı Resmi Gazetede yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ile müşteri sırrı niteliğindeki bilgilerin paylaşımı ve aktarımlarına ilişkin kapsam, şekil, usul ve esaslar belirlenmiştir. Dolayısıyla, 6698 sayılı Kanunun gerek 4. maddesinin birinci fıkrasında yer verilen “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” gerek 9. maddesinin onuncu fıkrasında öngörülen “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükümleri uyarınca müşteri sırrı niteliğindeki kişisel verilerin yurt dışına aktarımı bakımından 5411 sayılı Kanunda öngörülen mezkûr düzenleme ile anlan Yönetmelik hükümlerinin göz önünde bulundurulması gerekmektedir.
Yeterlilik Kararına dayalı yurt dışına kişisel veri aktarımları bakımından;
Yeterlilik kararının sadece bir ülkenin geneli için değil, o ülkenin belirli bir sektörü veya uluslararası kuruluşlar için de verilebilmesine olanak sağlanmıştır. Bu bağlamda, gerekli şartların sağlanması durumunda Bankacılık sektörü bakımından yeterlilik kararı alınabilmesi mümkündür.
Yeterlilik kararının bulunmaması halinde uygun güvencelere dayalı yurt dışına kişisel veri aktarımları bakımından;
a) Kamu Kurum ve Kuruluşları arasında anlaşmanın varlığı: Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlamanın varlığı ve aktarıma Kurul tarafından izin verilmesi,
b) Onaylanmış Bağlayıcı Şirket Kurallarının Varlığı: Aynı teşebbüs grubu içinde bulunan şirketler arasında, Kurul tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının bulunması durumunda, Kanunun 5 ve 6 nc maddelerindeki veri işleme şartlarından biri de mevcut ise, Kuruldan ek bir izin alınmadan bu şirketler arası veri aktarım gerçekleştirilebilecektir. Böylece Kurulca onaylanan bağlayıcı şirket kuralları olan bir teşebbüs grubunun Türkiye’deki şirketinden, aynı grubun yabancı ülkedeki şirketine Kuruldan bir kez daha izin alınmaksızın veri aktarımı yapılabilir,
c) Standart Sözleşmenin Varlığı: Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmelerin varlığı ve Kurula bildirimde bulunması.
d) Taahhütnamenin Varlığı: Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurulun izninin bulunması.
Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin de sağlanamaması durumunda arızi olmak kaydıyla yurtdışına kişisel veri aktarımı yapılabilecektir. Ancak arızi aktarım, sadece Kanunun 9. maddesinin altıncı fıkrası ve Yönetmeliğin 16. maddesinin ikinci fıkrasında sayılan hallerden birinin varlığı halinde mümkündür. Bu haller;
- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Aktarımın üstün bir kamu yararı için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Rehberde Bankalar açısından uygulanabilecek arızi hallere örnek olarak; Türkiye’de kurulu “A” bankasının, para gönderme talebini karşılamak üzere ilgili müşterinin kişisel verilerini Etiyopya’da kurulu “B” bankasına göndermesi ilgili kişinin bir yeterlilik kararının ve uygun güvencelerin yokluğundan ötürü doğacak risklere ilişkin muhakkak bilgilendirilmesinden sonra açık rızasına başvurularak, aktarımın düzenli olmaması, süreklilik göstermemesi ve nadiren gerçeklemesi ve Bankanın mutat işlemleri arasında yer almaması kaydıyla gerçekleştirilebilecektir. Bir Banka tarafından dava sürecini yürütmek amacıyla kişisel verilerin yurt dışına aktarılması bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, arızi haline dayanılarak aktarımın düzenli olmaması, süreklilik göstermemesi ve nadiren gerçekleşmesi kaydıyla gerçekleştirilebilecektir.
Müşteri Sırrı;
Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi müşteri sırrı olarak kabul edilmektedir. Bununla birlikte, Yönetmeliğin 4’üncü maddesinin üçüncü fıkrasında müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin diğer bir banka tarafından elde edilmesi ve öğrenilmesi halinde, bu verilerin de diğer banka için müşteri sırrı niteliğini haiz olacağı öngörülmüştür. Bu anlamda, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek kişilere ait kişisel veriler tek başına müşteri sırrı olarak kabul edilmemektedir. Ancak bu nitelikteki kişisel verilerin, ilgili gerçek kişinin banka müşterisi olduğunu gösterecek şekilde tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde müşteri sırrı haline gelecektir.
Yukarıda açıklanan usul ve esaslar çerçevesinde; 5411 sayılı Bankacılık Kanunu’nun 73. maddesi, 5411 sayılı Bankacılık Kanunu’nun 73. ve 93. maddelerine dayanılarak hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ve müşteri sırrının paylaşımının düzenlendiği ilgili diğer mevzuata uygun şekilde müşteri sırrı niteliğini haiz kişisel veriler yurt dışına aktarılabilecektir.
Söz konusu aktarımlar bakımından Kanunun diğer hükümlerine uygun davranılması gerekliliği devam etmektedir. Özellikle Kanunun 4. maddesinde düzenlenen genel ilkelere uygun olarak kişisel verilerin işlenmesi ve 12. maddesi uyarınca gerekli idari ve teknik tedbirlerin alınması gerekmektedir.
Rehberin tam metnine aşağıdaki linkten ulaşabilirsiniz.
Konuyla ilgili detaylı bilgi edinmek ve uyum sürecinde profesyonel destek almak için bizimle her zaman iletişime geçebilirsiniz.
İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.
