Bankaların Bilgi Güvenliği Yönetimi Kapsamında Banka Müşterilerinin Kişisel Verilerinin Korunması

Abstract

Teknolojinin finans sektöründeki konumunun güçlenmesi ve bu sektörde dijital sistemlerin kullanımının yaygınlaşması ile kişisel verilerin korunması hukuku, birçok alanda olduğu gibi, müşteri verilerinin güvenliğinin sağlanması noktasında da önemini arttırmıştır. Günümüzde bankacılık sektöründe faaliyet gösteren finansal kuruluşların finansal işlemlerde kullandığı verilerden, müşteri ilişkilerinin kurulması süreçlerinde toplanan verilere kadar birçok farklı süreçte kişisel veri işlediklerini görmekteyiz. Bu çalışmada bankaların, kişisel veri işleme süreçlerindeki kişisel veri güvenliği ihlallerinden doğan sorumluluğu, Kişisel Verilerin Korunması Kurulu tarafından bankalardaki kişisel veri güvenliği ihlallerine ilişkin verilen kurul kararları ekseninde ve mevzuat kapsamındaki yükümlülükleri ile incelenmektedir. Bu çalışmanın amacı bankaların kişisel veri güvenliğinden kaynaklanan sorumluluğun incelenmesi yoluyla bankaların kişisel veri güvenliğine ilişkin yükümlülüklerinin değerlendirilmesidir.

Keywords

• Kişisel Veri
• Bankacılık Sektörü
• Bankalar
• Müşteri Sırrı
• Kişisel Veri Güvenliği

Protection of Bank Customers' Personal Data Within Information Security Governance of Banks

Abstract

Personal data protection law raised its importance in providing security of the customers’ data, due to strengthening place of technology in finance and extending use of digital systems in this sector, as in all other sectors. Today we see that, personal data are processed in many ways including from data used in financial transactions of financial institutions in banking sector to personal data collected in customer relation procedures. In this article, liability arising from misdemeanor on personal data security breach of the banks shall be evaluated with inspecting decisions given by the Personal Data Protection Board on the personal data security breaches of the Banks and banks’ responsibilities arising from legislation. The aim of this study is to evaluate the banks liability arising from personal data security by evaluating their responsibility thereof.

Keywords

• Personal Data
• Banking Sector
• Banks
• Customer Secret
• Personal Data Security

References

1. Akkurt, S. S. (2023). “Açık Rıza”, iç. Kişisel Verilerin Korunmasına Akademik Bakış - KVKK Akademi Derleme Çalışması (Ed. AKSOY, Pınar Çağlayan / AKSOY, Hüseyin Can), Ütopya Grafik, 155-195.
2. Aksoy, H. C. (2010). Medeni hukuk ve özellikle kişilik hakkı yönünden kişisel verilerin korunması. Ankara: Çakmak Yayınevi.
3. Alımcı, E. (2022). Kişisel Verilerin Korunması Hukuku ve Bankaların Güven Kuruluşu Olarak Kabul Edilmesi Kapsamında Banka Bünyesinde Gerçekleşen Veri İhlalinin Değerlendirilmesi. Ankara Barosu Dergisi, 80(1), 47-76.
4. Aydın, S. (2018). Bankacılık Sektöründe Kişisel Verilerin Korunması ve İşlenmesinin Bireyler Üzerinde Algısı ve Etkileri. [Yayınlanmamış yüksek lisans tezi]. T.C. İstanbul Arel Üniversitesi.
5. Ayözger Öngün, A. Ç. (2019). Kişisel verilerin korunması hukuku: Elektronik haberleşme sektörüne ilişkin özel düzenlemeler dahil. İstanbul: Beta Basım Yayın.
6. Bankacılık Düzenleme ve Denetleme Kurumu. (2022). Sır Niteliğinde Bilgilerin Paylaşılması Hakkında Yönetmeliğin uygulamasına ilişkin 2022/1 sayılı Genelge. https://www.bddk.org.tr/Mevzuat/DokumanGetir/1135 (Erişim Tarihi: 24.10.2024).
7. Başar, C. (2020). Türk idare hukuku ve Avrupa Birliği hukuku ışığında kişisel verilerin korunması. İzmir: On İki Levha Yayıncılık. Biega A. J. & Finck M. (2021). ‘‘Reviving Purpose Limitation and Data Minimisation in Data Driven Systems’’ Technology and Regulation.
8. Börekçi, E. B. (2020). Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136). On İki Levha Yayıncılık.

9. Candemir A. (2020). Bankacılık Sektöründe Kişisel Verilerin Korunması Alanında Yaşanan Gelişmeler. https://blog.lexpera.com.tr/bankacilik-sektorunde-kisisel-verilerin-korunmasi-alaninda-yasanan-gelismeler/ (Erişim Tarihi:11.09.2024)
10. Civan Kemiksiz, R. (2022). Büyük veri çağında kişisel veri güvenliği üzerine bir alan araştırması: Dijital yerliler ve dijital göçmenlerin güvenlik algıları. Maltepe Üniversitesi İletişim Fakültesi Dergisi, 9(1), 64-91.
11. Çekin, M. S. (2019). Avrupa birliği hukukuyla mukayeseli olarak 6698 sayılı kişisel verilerin korunması kanunu. İstanbul: On İki Levha Yayıncılık.
12. Çetin, H. (2014). Kişisel Veri Güvenliği ve Kullanıcıların Farkındalık Düzeylerinin İncelenmesi. Akdeniz İİBF Dergisi, 14(29), 86-105.
13. Demirtaş, A. (2024). CHATGPT’nin Gölgesinde Kişisel Verilerin Korunması. Kişisel Verileri Koruma Dergisi, 6(1), 14-27.
14. Develioğlu, H. M. (2017). 6698 sayılı kişisel verilerin korunması kanunu ile karşılaştırmalı olarak avrupa birliği genel veri koruma tüzüğü uyarınca kişisel verilerin korunması hukuku. İstanbul: On İki Levha Yayıncılık.
15. Dülger, M. V. (2019). Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi Yayıncılık.
16. Dülger, M. V. (2020). Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi Yayıncılık.
17. European Commission. What does data protection ‘by design’ and ‘by default’ mean? https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_en (Erişim Tarihi: 12.09.2024).
18. Erdoğdu, A. (2019). Bankacılık Sektöründe Kişisel Verilerin Korunması ve Müşteri İlişkileri Yönetimi. Kişisel Verileri Koruma Dergisi, 1(2), 87-94.
19. Erturan, E. (2019). Prof. Dr. Sabih Arkan'a Armağan.Veri Sorumlusunun Siber Tehditleri ve İnternet Dolandırıcılığını Önlemek Amacıyla “Başkalarının” Kişisel Verilerini İşlemesinin “Meşru Menfaat” Kapsamında Değerlendirilmesi Meselesi, On İki Levha Yayıncılık, 421-436.
20. Gazdağı, O. & Çetinyokuş, T. (2020). Bankacılık Sektöründe Bilgi Güvenliği ve İş Sürekliğinin Sağlanması Amacıyla ISO/IEC 27001 ve ISO 22301 Standartlarının Uygulanmasına Yönelik Kavramsal İnceleme. Journal of Humanities and Tourism Research, 10(2), 475-491.
21. Gündüz, M. Ş. (2022). Uluslararası insan hakları açısından kişisel veri güvenliği. Ankara: Adalet Yayınevi.
22. Hafızoğlu, E. (2024). Banka hukukunda sır kavramı. [Yayınlanmamış yüksek lisans tezi]. Bahçeşehir Üniversitesi.
23. Henkoğlu, T. (2017). Kişisel Verileriniz Ne Kadar Güvende? Bilgi Güvenliği Kapsamında Bir Değerlendirme. Arşiv Dünyası, (18-19), 36-47.
24. Kangal, Z.T. (2019). Kişisel Verilerin Ceza ve Kabahatler Hukukunda Korunması. İstanbul: On İki Levha Yayıncılık.
25. Karamustafaoğlu, M. & Ünsal Özden, S. & Uz, İ. (2021). Kişisel Veri Aktarımı ve Bankacılık Kanunu Madde 73 Değişikliği. Kişisel Verileri Koruma Dergisi, 3(1), 17-40.
26. Kartal, M.T. (2018). Kişisel Verilerin Korunması: Türk Bankacılık Sektörü Üzerine Kavramsal Bir Değerlendirme. Uluslararası Ekonomi ve Yenilik Dergisi, 4 (1), s.1-18.
27. Kaya, M. B. (2024). KVKK Reformu: 2024 Değişiklikleri (Dijital Baskı 1.0), https://mbkaya.com/hukuk/kvkk-reformu.pdf (Erişim Tarihi: 24.10.2024).
28. Khiar, Dr. I. L. & Trautwein K. & Huber A. & Stamm J. (2017). The EU General Data Protection Regulation (GDPR) in the Banking Industry. (https://www.pwc.ch/en/publications/2017/gdpr_banking_industry_report_en.pdf) (Erişim Tarihi: 24.10.2024).
29. Korucu, O. (2021). Veri güvenliğinin iyileştirilmesi sürecinde risk tabanlı küresel standart, çerçeve ve en iyi uygulama yaklaşımları. Ankara: Adalet Yayınevi.
30. Kişisel Verileri Koruma Kurumu. Araç Kiralama Sektöründeki Kara Liste Uygulamaları hakkında Kişisel Verileri Koruma Kurulu’nun 23/12/2021 Tarihli ve 2021/1304 Sayılı İlke Kararı. https://www.resmigazete.gov.tr/eskiler/2022/01/20220120-10.pdf (Erişim Tarihi: 26.10.2024).
31. Kişisel Verileri Koruma Kurumu. (2019). Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf (Erişim Tarihi: 12.09.2024).
32. Kişisel Verileri Koruma Kurumu. Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi hakkında Kişisel Verileri Koruma Kurulu’nun 03/08/2023 Tarihli ve 2023/1310 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7775/2023-1310 (Erişim Tarihi: 08.08.2024).
33. Kişisel Verileri Koruma Kurumu. Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 Tarihli ve 2021/1104 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7263/2021-1104 (Erişim Tarihi: 24.10.2024).
34. Kişisel Verileri Koruma Kurumu. Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında Kişisel Verileri Koruma Kurulu’nun 21/10/2021 Tarihli ve 2021/1069 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7262/2021-1069 (Erişim Tarihi: 05.08.2024).
35. Kişisel Verileri Koruma Kurumu. Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulu’nun 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı. https://www.kvkk.gov.tr/Icerik/4114/2017-62 (Erişim Tarihi: 25.07.2024).
36. Kişisel Verileri Koruma Kurumu. Bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi hakkında Kişisel Verileri Koruma Kurulu’nun 12/01/2023 Tarihli ve 2023/67 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7592/2023-67 (Erişim Tarihi: 11.09.2024).
37. Kişisel Verileri Koruma Kurumu. Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması hakkında Kişisel Verileri Koruma Kurulu’nun 10/03/2022 Tarihli ve 2022/224 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7296/2022-224 (Erişim Tarihi: 06.08.2024).
38. Kişisel Verileri Koruma Kurumu. Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi Hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 Tarihli ve 2021/361 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7109/2021-361 (Erişim Tarihi: 26.07.2024).
39. Kişisel Verileri Koruma Kurumu. Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında Kişisel Verileri Koruma Kurulu’nun 06/02/2020 Tarihli ve 2020/103 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/6733/2020-103 (Erişim Tarihi: 13.09.2024).
40. Kişisel Verileri Koruma Kurumu. Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlatması hakkında Kişisel Verileri Koruma Kurulu’nun 27/04/2021 Tarihli ve 2021/424 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7114/2021-424 (Erişim Tarihi: 05.08.2024).
41. Kişisel Verileri Koruma Kurumu. Bir bankanın veri ihlali hakkında 05/05/2020 tarihli ve 2020/344 sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/6764/2020-344 (Erişim Tarihi: 13.09.2024).
42. Kişisel Verileri Koruma Kurumu. Bir banka tarafından ilgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesine ilişkin Kişisel Verileri Koruma Kurulu’nun 16/01/2020 tarihli ve 2020/32 sayılı Kurul Karar Özeti. https://kvkk.gov.tr/Icerik/6700/2020-32 (Erişim Tarihi: 24.10.2024).
43. Kişisel Verileri Koruma Kurumu. (2018). Kişisel Veri Güvenliği Rehberi (teknik ve idari tedbirler). https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf (Erişim Tarihi: 12.09.2024).
44. Kişisel Verileri Koruma Kurumu. (2022). Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/12236bad-8de1-4c94-aad6-bb93f53271fb.pdf (Erişim Tarihi: 12.09.2024).
45. Kişisel Verileri Koruma Kurumu. İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi hakkında Kişisel Verileri Koruma Kurulu’nun 09/09/2021 Tarihli ve 2021/909 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7141/2021-909 (Erişim Tarihi: 05.08.2024)
46. Kişisel Verileri Koruma Kurumu. İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması Hakkında Kişisel Verileri Koruma Kurulu’nun 12/01/2021 Tarihli ve 2021/32 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7107/2021-32 (Erişim Tarihi: 29.07.2024).
47. Kişisel Verileri Koruma Kurumu. İlgili kişinin, kişisel verisi olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılması hakkında Kişisel Verileri Koruma Kurulu’nun 18/09/2019 Tarihli ve 2019/277 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/5545/2019-277 (Erişim Tarihi: 25.07.2024).
48. Kişisel Verileri Koruma Kurumu. İlgili kişiye ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında Bankadan tazminat talep etmesi hakkında Kişisel Verileri Koruma Kurulu’nun 16/01/2020 Tarihli ve 2020/43 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/6715/2020-43 (Erişim Tarihi: 25.07.2024).
49. Kişisel Verileri Koruma Kurumu. İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 13/04/2021 Tarihli ve 2021/358 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7106/2021-358 (Erişim Tarihi: 29.07.2024).
50. Kişisel Verileri Koruma Kurumu. Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul’un 24.01.2019 Tarih ve 2019/10 Sayılı Kararına İlişkin Duyuru, https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi (Erişim Tarihi: 01.12.2023)
51. Kişisel Verileri Koruma Kurumu. Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması hakkında 25/03/2019 tarihli ve 2019/81 sayılı Kurul Kararı ve 31/05/2019 Tarihli ve 2019/165 Sayılı Karar Özeti. https://www.kvkk.gov.tr/Icerik/5496/2019-81-165 (Erişim Tarihi: 09.09.2024)
52. Kişisel Verileri Koruma Kurumu. Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması hakkında Kişisel Verileri Koruma Kurulu’nun 27/02/2020 Tarihli ve 2020/167 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/6738/2020-167 (Erişim Tarihi: 09.09.2024)
53. Kişisel Verileri Koruma Kurumu. Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması hakkında Kişisel Verileri Koruma Kurulunun 10/02/2022 Tarihli ve 2022/103 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7293/2022-103 (Erişim Tarihi: 24.10.2024)
54. Kişisel Verileri Koruma Kurumu. Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulu’nun 22/12/2020 Tarihli ve 2020/966 Sayılı İlke Kararı. https://www.kvkk.gov.tr/Icerik/6858/2020-966 (Erişim Tarihi: 11.09.2024).
55. Kişisel Verileri Koruma Kurumu. Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması Hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 Tarihli ve 2021/79 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7111/2021-79 (Erişim Tarihi: 26.07.2024).
56. Kişisel Verileri Koruma Kurumu. Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması hakkında Kişisel Verileri Koruma Kurulu’nun 03/08/2022 Tarihli ve 2022/768 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/7570/2022-768 (Erişim Tarihi: 12.09.2024).
57. Kişisel Verileri Koruma Kurumu. Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi Hakkında Kişisel Verileri Koruma Kurulu’nun 30/01/2020 Tarihli ve 2020/78 Sayılı Kurul Karar Özeti. https://www.kvkk.gov.tr/Icerik/6922/2020-78 (Erişim Tarihi: 26.07.2024).
58. Kişisel Verileri Koruma Kurumu. Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin 31/05/2018 Tarih ve 2018/63 Sayılı İlke Kararı. https://www.kvkk.gov.tr/Icerik/5248/2018-63 (Erişim Tarihi: 29.07.2024).
59. Küzeci, E. (2019). Kişisel verilerin korunması, Ankara: Turhan Kitabevi.
60. Küzeci, E. (2021). Kişisel Verilerin Korunması, İstanbul: On İki Levha Yayıncılık.
61. Özcan G. (2020). Bankacılık İş ve İşlemlerinde Kişisel Verilerin Korunması. İstanbul: On İki Levha Yayıncılık. Sevindi N. S., & Ordu M. E. (2023). AB ve Türk Hukukunda Veri İhlalinin Tespiti ve Bildirim Süresinin Karşılaştırmalı Değerlendirmesi. Kişisel Verileri Koruma Dergisi, C5(1), 12-22.
62. Türkiye Bankalar Birliği. (2024). Dijital, İnternet ve Mobil Bankacılık İstatistikleri (Aralık 2023). https://www.tbb.org.tr/Content/Upload/istatistikiraporlar/ekler/4312/Dijital-Internet-Mobil_Bankacilik_Istatistikleri-Aralik_2023.pdf (Erişim Tarihi: 12.09.2024).
63. Türkiye Bankalar Birliği. (2024). Dijital, İnternet ve Mobil Bankacılık İstatistikleri (Haziran 2024). https://www.tbb.org.tr/Content/Upload/istatistikiraporlar/ekler/4437/Dijital-Internet-Mobil_Bankacilik_Istatistikleri-Haziran_2024.pdf (Erişim Tarihi: 12.09.2024).
64. Vural, Y. & Sağıroğlu, Ş. (2008). Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 23(2), 507-522.
65. Yurtoğlu, T. (2020). Türk Bankacılık Sektörü Açısından Kişisel Verilerin Korunması Kanunu’nun Değerlendirilmesi. [Yayınlanmamış yüksek lisans tezi]. Ankara Hacı Bayram Veli Üniversitesi.
66. Yürük, Z. (2023). Veri sorumlusunun veri güvenliğine ilişkin idari ve teknik tedbirleri alma yükümlülüğü. İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi, 22(48), 899-920.
67. Zor, A. (2020). Veri Sorumlusunun Yükümlülükleri ve Bu Yükümlülükleri İhlalinden Doğan Özel Hukuk Sorumluluğu. İstanbul: On İki Levha Yayıncılık.