Bankacılık sektöründe yurt dışı veri aktarımına KVKK değişikliğinin etkisi

Bankacılık sektöründe yurt dışı veri aktarımına KVKK değişikliğinin etkisi


Kişilerin temel hak ve özgürlüklerini koruyan, kişisel verileri işleyenlerin uyacağı usul ve esasları düzenleyen KVKK’nın kabul edilmesiyle, kişisel verilerin korunması hakkı somut bir hukuki düzenlemeye kavuştu. Ancak KVKK’nın özellikle yurt dışına veri aktarımına dair düzenlemeleri uygulama konusu tartışmalara neden oldu ama 12 Mart 2024 tarihinde KVKK’da değişiklik öngören hükümler yürürlüğe girdi.

Her sektör için acil çözümü beklenen yurt dışına veri aktarımında; açık rıza alma yönetimi genel bir aktarım sebebi olmaktan çıkarılarak  3 aşamalı bir sistem kabul edildi. Böylelikle kişisel verilerin aktarımı; (a) Yeterlilik kararına dayalı aktarım, (b) Yeterlilik kararı bulunmayan ülkelere 3 koşulun[1] varlığı halinde uygun güvencelere[2] dayalı aktarım, (c) Yeterlilik kararı veya güvencenin bulunmaması hâlinde tek seferlik veya geçici olarak veri aktarımının yapılabileceği arızi durumlara dayalı aktarım yoluyla mümkün oldu. 1 Eylül 2024 itibarıyla yürürlüğe girecek bu değişiklikle birlikte, yurt dışına veri aktarımı açık rızaya dayanılarak sadece arızi aktarım yolu için kabul edildi. Açık rızaya dayalı aktarım ise bu tarihe kadar uygulanmaya devam edecek.

Kimlik, iletişim, finansal,özel nitelikli veriler de dahil olmak üzere, veriye dayalı işlemlerin yoğun olarak gerçekleştirildiği bankacılık sektörü için KVKK kritik bir düzenleme oldu. Bankacılık Kanunu’nda değişiklik yapılarak “müşteri sırrı” tanımına yer verildi. Bankalarla müşteri ilişkisi kurulduktan sonra gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceği, sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve aktarılamayacağı şeklinde düzenlendi.

Halihazırda bankaların, müşteri sırrı niteliğindeki bilgilerin yurt dışına aktarımında müşterinin açık rızasının alınması müşterinin talimatının ya da talebinin olması ve KVKK’nın yurt dışına veri aktarımına ilişkin gerekliliklerin sağlanması şartı aranıyor. Yeterlilik kararının yayımlanmaması halinde, süreklilik arz eden bir aktarım söz konusuysa kanunda öngörülen güvencelere dayalı aktarım yöntemlerinden birinin seçilmesi gerekecek. AB’de sıklıkla kullanılan ve taslak olarak kamuoyu görüşüne sunulan standart sözleşme yönteminin çoğunlukla tercih edileceği dikkate alındığında; KVKK’nın 5. ve 6. maddelerinde yer alan hukuki işlem sebeplerine dayanılarak verinin aktarıldığı üçüncü tarafla standart sözleşme imzalanmasıyla yurt dışına aktarım mümkün hale gelecektir.

Bugüne kadar güvenli ülke listesinin olmaması, bağlayıcı şirket kuralları veya taahhütname yoluyla veri aktarımı için yapılan başvuruların çok az bir kısmının onaylanması nedeniyle tüm sektörler nezdinde çoğunlukla açık rızaya dayalı aktarım yöntemi tercih ediliyor. Bu değişiklikle Kanun’a uygun, daha kolay aktarımın yapılacağı öngörülüyor. Aktarımın daha kolay olacağı düşünülse de teknik ve idari tedbirleri sağlama, hukuki şartlara uyum, aktarım boyunca etki analizinin yapılması veri sorumluları tarafından dikkatle gözetilmelidir.

Özetle, veri aktarımı için Bankacılık Kanunu’na göre müşterinin açık rızasının yanında talep ve talimatına dayalı bir uygulamanın devamı bankacılık özelinde dezavantaj yaratacak. Daha önce KVKK hükümleri doğrultusunda düzenlenen bu maddenin yeni değişiklikler kapsamında güncellenmesi gerekecek.

 

[1] i. KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin bulunması, ii. Aktarımın yapılacağı ülkede de ilgili kişi haklarının kullanılabilmesinin mümkün olması ve iii. Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânı bulunması

[2] a.Kamu kurumları arası anlaşmalar ve Kurul tarafından aktarıma izin verilmesi,

b.Kurul tarafından onaylanmış bağlayıcı şirket kuralları,

c.Kurul tarafından ilan edilen standart sözleşmenin imzalanması ve Kurul’a 5 gün içerisinde bildirilmesi,

d.Yeterli koruma sağlayacak yazılı bir taahhütnamelerin imzalanması ve Kurul tarafından onaylanması

 

* Av. Tuğçe Gültekin'in Capital Dergisi için hazırladığı makaleden alınmıştır.

Makaledeki bilgi ve açıklamalardan dolayı EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye sorumluluk iddiasında bulunulamaz. Mevzuatın sık değiştirilen ve farklı anlayışlarla yorumlanabilen yapısı nedeniyle, herhangi bir konuda uygulama yapılmadan önce konunun uzmanlarından profesyonel yardım alınmasını tavsiye ederiz.


Özet

Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin korunması hakkını hukuki bir düzenlemeye kavuşturdu ancak özellikle yurt dışına veri aktarımı konusundaki düzenlemeleri tartışmalara neden oldu; 12 Mart 2024'te yürürlüğe giren değişikliklerle, açık rıza alma yöntemi genel aktarım sebebi olmaktan çıkarılarak 3 aşamalı bir sistem getirildi: yeterlilik kararına dayalı aktarım, yeterlilik kararı olmayan ülkelere belirli koşullar altında uygun güvencelere dayalı aktarım ve yeterlilik kararı veya güvence olmayan durumlarda tek seferlik veya geçici aktarım; bu değişiklikle, 1 Eylül 2024 itibarıyla yurt dışına veri aktarımı sadece arızi durumlarda açık rızaya dayalı olarak yapılacak. Bankacılık sektöründe müşteri verilerinin korunması için de önemli değişiklikler getirildi ve müşteri sırlarının paylaşılması için müşteri talebi veya talimatı şartı getirildi; bankaların yurt dışına veri aktarımı için KVKK'nın gerekliliklerini sağlaması ve AB'de kullanılan standart sözleşme yöntemini benimsemesi gerekecek. Güvenli ülke listesinin olmaması ve mevcut başvuruların az onaylanması nedeniyle, sektörler genellikle açık rızaya dayalı aktarımı tercih ediyor ve yeni düzenlemelerle aktarımın daha kolay olması bekleniyor ancak teknik ve idari tedbirlerin sağlanması ve hukuki şartlara uyumun devam etmesi gerekiyor.


Bize ulaşın
Daha fazla bilgi için bizimle iletişime geçin.