Evaluation of the Data Violation Occurred within the Bank under The Law on Protection of Personal Data and Acceptance of Banks as Trust Bodies

Year 2022, Volume: 80 Issue: 1, 47 - 76, 02.01.2022

Ezgi Alımcı

https://doi.org/10.30915/abd.1118300

Abstract

The protection of personal data, one of the people's fundamental rights and freedoms, has become a crucial issue in developing technology and changing life conditions. Especially in banking transactions where sensitive personal data are processed, protected, and stored, banks must take the necessary administrative and technical measures against the relevant persons' data and create a firewall against data breaches. However, it is possible to encounter situations such as the abuse of trust by banks and the illegal transfer of information to third parties. Also, in some cases, it is seen that the data breaches experienced are caused by the bank employees acting out of personal emotions. This paper will discuss data breaches occurring in banks and the effect of these violations on banks as trust institutions. Although a significant level of security is provided in terms of legal regulations for the data processed in banks, banks cannot provide it in practice due to a lack of technical infrastructure and systems.

Keywords

personal data, data breach, the data controller, trust institutions, processing of personal data in the banking sector

Kişisel Verilerin Korunması Hukuku ve Bankaların Güven Kuruluşu Olarak Kabul Edilmesi Kapsamında Banka Bünyesinde Gerçekleşen Veri İhlalinin Değerlendirilmesi

Abstract

Kişilerin temel hak ve özgürlüklerinden birisi olan kişisel verilerin korunması, gelişen teknoloji ve buna bağlı değişen hayat koşulları içerisinde oldukça önemli bir konu hâline gelmiştir. Özellikle hassas kişisel verilerin işlendiği, korunduğu ve saklandığı bankacılık işlemlerinde, bankaların ilgili kişilerin kişisel verilerine karşı gerekli idari ve teknik tedbirleri almaları ve veri ihlallerine karşı bir güvenlik duvarı oluşturmaları, kişilik hakkı olan kişisel verilerin değeri gözetildiğinde oldukça önem arz etmektedir. Ancak bankaların kendilerine duyulan güveni suiistimal etmeleri ve banka çalışanları tarafından sahip oldukları yetkilerin kötüye kullanılması gibi durumların meydana gelmesi ile gerçek kişilere ait bilgilerin hukuka aykırı yollarla üçüncü kişilere aktarıldığı durumlarla karşılaşılabilmektedir. Bu kapsamda çalışmamızda kamu nezdinde güven kuruluşu olarak kabul gören bankalarda meydana gelen veri ihlalleri ve bu ihlallerinin bankalara karşı duyulan güven duygusuna olan etkisi ele alınmaktadır. Günümüzde her ne kadar bankalarda işlenen verilere kanuni düzenlemeler açısından önemli boyutta bir güvenlik sağlanıyor olsa da fiiliyatta bankaların bunu sorunsuz sağlayabilecek bir teknik altyapıya, sisteme sahip olamamalarından ötürü bu kanuni güvenliğin gerçekten sağlanamadığı görülmektedir.

Keywords

kişisel veri, veri ihlali, veri sorumlusu, güven kuruluşu olan bankalar, bankacılık sektöründe kişisel verilerin işlenmesi

References

• Akgül, Aydın. Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması. 2. Baskı. İstanbul: Beta, 2014.
• Alıcı, Yaşar. Bankacılık Kanunu Şerhi. İstanbul: On İki Levha, 2017.
• Avcı, Yasemin. “Kişisel Verilerin Korunması.” Yüksek Lisans Tezi, Konya: Selçuk Üniversitesi Sosyal Bilimler Enstitüsü, 2019.
• Aydın, Ali. “KVKK Kapsamında Veri İşleyenin Sorumluluğu.” İstanbul Barosu, Mayıs 2020.
• Battal, Ahmet. Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu. Ankara: Banka ve Ticaret Hukuku Araştırma Enstitüsü Yayınları, 2001.
• Başalp, Nilgün. Kişisel Verilerin Korunması ve Saklanması. Ankara: Yetkin Yayınları, 2004.
• Başara, Turan Gamze. “Kişisel Veri İşleme Sözleşmesi.” Uyuşmazlık Mahkemesi Dergisi, no. 16, (Aralık 2020): 57-90.
• Dülger, Murat Volkan. Kişisel Verilerin Korunması Hukuku. 3. Baskı. İstanbul: Hukuk Akademisi, 2020.
• Eren, Fikret. Borçlar Hukuku. 17. Baskı. Ankara: Yetkin Yayınları, 2014.
• Hatipoğlu, Selami. “Kişisel Verilerin Korunması ve İdarenin Sorumluluğu.” Yüksek Lisans Tezi, Edirne: Trakya Üniversitesi, Sosyal Bilimler Enstitüsü, 2019.
• Kangal, Zeynel. Kişisel Verilerin Ceza ve Kabahatler Hukukunda Korunması. İstanbul: On İki Levha, 2019.
• Kişisel Verileri Koruma Kurumu. 100 Soruda Kişisel Verilerin Korunması Kanunu. (Ankara: KVKK Yayınları, Aralık 2019) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/185c2130-8070-4b2b-a91e-1d48322ca352.pdf Erişim Tarihi: 11.05.2021.
• Memiş, Tekin. “Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni.” Beykent Üniversitesi Hukuk Fakültesi Dergisi 3, no. 6, (Aralık 2017).
• Oğuzman, Mustafa Kemal ve Turgut Öz. Borçlar Hukuku Genel Hükümler II. İstanbul: Vedat Kitapçılık, 2013.
• Öngün, Çiğdem Ayözger. Kişisel Verilerin Korunması Hukuku. 2. Baskı. İstanbul: Beta Yayıncılık, 2019.
• Özdemir, Hayrunnisa. Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması. Ankara: Seçkin Yayıncılık, 2009.
• Tandoğan, Haluk. Türk Hukukunda Bankacının Hukuki Sorumluluğu. Ankara, 1974.
• Article 29 Working Party. “Opinion 4/2007 on theConcept of Personal Data.” https://www.clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf Erişim Tarihi: 09.05.2021.
• Candemir, Arif. “Bankacılık Sektöründe Kişisel Verilerin Korunması Alanında Yaşanan Gelişmeler”, LexperaBlog, https://blog.lexpera.com.tr/bankacilik-sektorunde-kisisel-verilerin-korunmasi-alaninda-yasanan-gelismeler/ (İET:10.05.2021).
• Equifax. “Consumer Notice.” https://www.equifaxsecurity2017.com/consumer-notice/ Erişim Tarihi: 10.05.2021.
• Kişisel Verileri Koruma Kurumu. “Bir Banka Nezdinde Gerçekleşen Veri İhlali ile İlgili Olarak Kişisel Verileri Koruma Kurulunun 26/11/2019 Tarihli ve 2019/352 Sayılı Karar Özeti.” https://www.kvkk.gov.tr/Icerik/6656/2019-352 Erişim Tarihi: 10.05.2021.
• Kişisel Verileri Koruma Kurumu. “Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Fibabanka AŞ.” https://www.kvkk.gov.tr/Icerik/6900/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Fibabanka-AS Erişim Tarihi: 12.05.2021.
• Kişisel Verileri Koruma Kurumu. “6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı ve Kapsamı.” https://www.kvkk.gov.tr/Icerik/4185/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununun-Amaci-ve-Kapsami Erişim Tarihi: 11.05.2021.
• Kişisel Verileri Koruma Kurumu. “Kişisel Veri İhlali Bildirimi.” https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi Erişim Tarihi: 09.05.2021.
• Kişisel Verileri Koruma Kurumu. “Kişisel Verileri Koruma Kurulu Karar Özetleri, Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınması.” https://www.kvkk.gov.tr/Icerik/5416/Kisisel-Veri-Guvenliginin-Saglanmasi-Amaciyla-Uygun-Guvenlik-Duzeyini-Temin-Etmeye-Yonelik-Gerekli-Idari-ve-Teknik-Tedbirlerin-Alinmamasi Erişim Tarihi: 10.05.2021.
• Kişisel Verileri Koruma Kurumu. “Veri Sorumlusu ve Veri İşleyen.” https://www.kvkk.gov.tr/Icerik/4195/Veri-Sorumlusu-ve-Veri-Isleyen Erişim Tahi: 10.05.2021. Turan, Yağmur. “Türk Hukuku ve Yargıtay Kararları Işığında Bankaların Hukuki Sorumluluğuna İlişkin Örnek Değerlendirme.” Elmas Yeşiloğlu (blog) https://www.elmasyesiloglu.com/tr/blogumuzu-kesfedin/makaleler/turk-hukuku-ve-yargitay-kararlari-isiginda-bankalarin-hukuki-sorumluluguna-iliskin-ornek-degerlendirme, Erişim Tarihi: 07.05.2021.
• Yeniçağ Gazetesi. “Yapı Kredi'de büyük skandal. Binlerce müşteriyi ilgilendiriyor.” 16 Nisan 2021. https://www.yenicaggazetesi.com.tr/yapi-kredide-buyuk-skandal-binlerce-musteriyi-ilgilendiriyor-446377h.htm, Erişim Tarihi: 10.05.2021.