‘Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi’ hazırlandı

Kişisel Verileri Koruma Kurumu (KVKK), ‘Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’ni yayımladı. Rehber; KVKK ve Türkiye Bankalar Birliği iş birliğinde hazırlandı. Gerek BDDK gerekse müşteriler tarafından bankaların tüketici şikâyetlerini ve müşteri ilişkilerini en iyi şekilde yönetmeleri bekleniyor. Kişisel verilerin toplanılması ve işlenmesi sırasında, kişisel verilerin korunması hakkına en az zarar verecek yani en uygun aracın seçilmesi ölçülülük ilkesinin gereği olarak açıklanmakta.

Temmuz 2022 tarihli ‘Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’nin giriş bölümünde şu bilgilere yer verildi: “Bankacılık faaliyetleri kapsamında bankalar tarafından çeşitli kanallar üzerinden yoğun bir biçimde kişisel veri elde ediliyor ve bunu müteakiben söz konusu kişisel veriler çeşitli amaçlarla işleniyor. Bu sebeple hâlihazırda bankacılık mevzuatına uygun olarak faaliyetlerini yürüten bankaların 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat çerçevesinde uyması gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklerin iyi uygulama örnekleri vasıtasıyla ortaya konulması hususunda bir ihtiyaç bulunuyor.”

KVKK ve Türkiye Bankalar Birliği bünyesinde çalışma grupları kuruldu

Rehberde şu noktalara vurgu yapılmakta: “Her geçen gün kişisel verilerden yararlanmak suretiyle daha verimli iş modelleri oluşturuluyor ve bireylere sunulan ürün ve hizmetler iyileştiriliyor. Benzer şekilde bankalar da daha etkin iş süreçleri oluşturmak ve müşteri memnuniyetini en üst düzeye çıkarmak adına teknolojik gelişmeler sonucu ortaya çıkan karmaşık ve ileri düzey kişisel veri işleme tekniklerini kullanıyor. Özellikle dijital bankacılık uygulamalarının yaygınlaşmasıyla bankalar tarafından gerçekleştirilen işleme faaliyetlerine konu kişisel veri kategorileri çeşitlendi ve özel nitelikli kişisel veriler başta olmak üzere hukuka aykırı olarak elde edilmesi halinde ilgili kişiler nezdinde telafisi güç zararların doğmasına neden olabilecek kişisel veriler de bankacılık faaliyetleri kapsamında işlenmeye başlandı. Bununla birlikte bankaların kişisel veri toplama vasıtaları da eş zamanlı olarak çoğaldı, kişisel verilerin elde edilmesi kolaylaştı. Anayasal güvence altında bulunan kişisel verilerin korunmasını isteme hakkı bağlamında ilgili kişilerin maruz kaldığı risk derecesi göz önünde bulundurularak; KVKK ve Türkiye Bankalar Birliği bünyesinde çalışma grupları kuruldu.” Çalışma gruplarının periyodik toplantıları sonucunda ‘Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi’ sektörle iş birliği içinde hazırlandı.

Bankalar güvenlik önlemlerini çeşitlendiriyor

Rehberin amacı; bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kanuna ve bu Kanuna dayanılarak Kişisel Verileri Koruma Kurulu tarafından çıkartılan ikincil mevzuata uygun olarak gerçekleştirilmesi konusunda veri sorumlusu bankaları yönlendirmek ve bu çerçevede iyi uygulama örnekleri oluşturmak olarak açıklanmakta. Rehber; bankaların kişisel verilerin korunması alanında uyması gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklere ilişkin genel açıklamaları içeriyor. Bankacılık uygulamalarında şube, ATM, internet şubesi, çağrı merkezi, mobil uygulama gibi benzer mecralar aracılığıyla kişinin açık rızası alınabilir. Şube kanalıyla ilgili kişilerden, ıslak imza veya onun yerini tutacak mevzuatın öngördüğü dijital imza, e-imza gibi diğer yöntemlerle açık rıza metinleri için onay alınabilir. Bilgi güvenliğinin sağlanması amacıyla ‘Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’ ile bankalar için açıkça öngörülen yükümlülükler bulunmakla birlikte bankalar, karşı karşıya kalabilecekleri güvenlik risklerini bertaraf etmek için gerekli güvenlik önlemlerini çeşitlendirmekte.

Büyük veri teknolojisinden faydalanılıyor – Biyometrik veriler işlenirken tedbirler alınmalı

Gerek BDDK gerekse müşteriler tarafından bankaların tüketici şikâyetlerini ve müşteri ilişkilerini en iyi şekilde yönetmeleri bekleniyor. Bu çalışmalar; veri işlemeyle analiz faaliyetleri ve iletişimi kapsamakta. Bu kapsamda müşterinin ürün ve kanal kullanım detayları, şikâyet geçmişi gibi banka nezdinde tutulan veriler kullanılabilmekte. Bu bilgilerin, bankaların sistemsel işleyişini devam ettirmek, müşteri aleyhine sonuç doğurabilecek hataları tespit etmek, düzeltmek ve bunlara karşı önlem almak amacıyla işlenmesi sonucunda müşteri deneyimi iyileştirilerek müşteri memnuniyeti de artırılmakta. Büyük veri teknolojisiyle metinlerin analiz edilmesi, soru-yanıt makineleri, otomatik konuşma ve komut anlama, konuşma üretme, bilgi sağlama gibi başlıklardan faydalanabilmekte. Biyometrik veriler ancak kanunlarda açıkça öngörülen hallerde ilgili kişinin açık rızası bulunmaksızın işlenebilecek. Ayrıca veri işlemeyle gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması gerekmekte. Bu sebeple veriler işlenecekleri amacın gerçekleştirilmesiyle ölçülü olarak işlenmelidir. Bu kapsamda, kişisel verilerin toplanılması ve işlenmesi sırasında kişisel verilerin korunması hakkına en az zarar verecek, yani en uygun aracın seçilmesi ölçülülük ilkesinin gereğidir. Rehber’e göre biyometrik verilerin işlendiği durumlarda veri sorumluları, biyometrik verilerin bulut sistemlerinde yalnızca kriptografik yöntemler kullanılarak muhafaza edilmesi, biyometrik verilerin işlendiği yazılım üzerindeki kullanıcı işlemlerinin izlenebilir ve sınırlanabilir olması, biyometrik çözümü kullanamayan veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanması ve biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler alması gibi teknik ve idari tedbirleri almalıdır. Dolayısıyla bankalar, kanunlarda açıkça öngörülen bir husus bulunmaması halinde biyometrik verileri ancak ilgili kişinin açık rızasıyla işleyebilecek. Veri sorumlusuna yapılacak başvuruların yöntemi de belirlemiş durumda. Buna göre; ilgili kişi veri sorumlusuna Türkçe olarak; Yazılı / KEP adresi / Mobil imza / Güvenli Elektronik imza / e-posta / Başvuru Yazılımı-Uygulaması yöntemlerinden birini kullanarak başvurabilecek. Rehbere, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/12236bad-8de1-4c94-aad6-bb93f53271fb.pdf linkinden ulaşılabilir.