Bankacılık ve Finans Sektöründe KVKK Uygulamaları
Bir banka hesabı açtığınızda kimlik bilgilerinizi, gelir belgenizi, adresinizi ve hatta mesleğinizi paylaşırsınız. Kredi başvurusu yaptığınızda mali geçmişiniz, borç durumunuz ve harcama alışkanlıklarınız masaya yatırılır. Finans sektörü, bir kişi hakkında en kapsamlı veri profilini oluşturabilen sektörlerden biridir. Bu durum, müşteri verilerinin korunmasını yalnızca yasal bir zorunluluk değil, aynı zamanda bir güven meselesi haline getirmektedir.
Türkiye’de bankacılık ve finans sektörü, KVKK’nın yanı sıra 5411 sayılı Bankacılık Kanunu, BDDK düzenlemeleri ve MASAK mevzuatı gibi çok katmanlı bir hukuki çerçeveye tabidir. Bu rehberde, finans kuruluşlarının KVKK kapsamındaki yükümlülüklerini, bankacılık sırrı ile kişisel veri koruması arasındaki ilişkiyi ve pratik uyum adımlarını detaylı olarak ele alacağız.
Neden Önemli? Finans sektörü, siber saldırıların en yoğun
hedeflediği sektördür. Bir veri ihlali 13.6 milyon TL’ye kadar idari
para cezası, BDDK yaptırımları ve ciddi itibar kaybına neden olabilir.
Kimi İlgilendiriyor? Bankalar, katılım bankaları, sigorta şirketleri,
ödeme kuruluşları, elektronik para kuruluşları, faktoring/leasing şirketleri ve
fintech firmaları.
Çifte Koruma: Müşteri verileri hem KVKK hem de bankacılık sırrı
kapsamında iki katmanlı korumaya tabidir.
1. Finans Sektöründe İşlenen Kişisel Veri Türleri
Bir bankanın veya finans kuruluşunun işlediği veriler, birçok sektörden daha geniş ve daha hassastır. Müşteri ilişkisi boyunca toplanan veriler, o kişinin finansal portresini eksiksiz çizer. Bu verilerin herhangi birinin sızması, dolandırıcılık, kimlik hırsızlığı ve maddi zarara doğrudan kapı açar.
| Veri Kategorisi | Örnekler |
|---|---|
| Kimlik Bilgileri | TC kimlik no, ad-soyad, doğum tarihi, nüfus cüzdanı/ehliyet fotokopisi |
| İletişim Bilgileri | Adres, telefon, e-posta, KEP adresi |
| Finansal Bilgiler | Hesap numaraları, bakiye bilgileri, kredi geçmişi, gelir belgeleri, yatırım portföyü |
| İşlem Verileri | Havale/EFT kayıtları, kart harcamaları, ATM kullanım bilgileri, POS işlemleri |
| Risk ve Skorlama | Kredi notu (FINDEKS), risk skoru, KKB (Kredi Kayıt Bürosu) verileri |
| Dijital İz | Mobil bankacılık log kayıtları, IP adresi, cihaz bilgisi, konum verisi |
2. Bankacılık Sırrı ve KVKK: Çifte Koruma Kalkanı
Finans sektörünün diğer sektörlerden en büyük farkı budur: Müşteri verileri yalnızca KVKK ile değil, aynı zamanda 5411 sayılı Bankacılık Kanunu’nun 73. maddesi kapsamında “bankacılık sırrı” olarak da korunur. Bu iki düzenleme birbirini tamamlar ancak farklı boyutları vardır.
| Özellik | KVKK (6698) | Bankacılık Kanunu (5411 m.73) |
|---|---|---|
| Koruma Kapsamı | Tüm kişisel veriler | Müşteri sırrı ve bankacılık sırrı |
| Denetleyici Kurum | KVKK Kurulu | BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) |
| Ceza Türü | İdari para cezası (13.6 milyon TL’ye kadar) | Hapis cezası (1-3 yıl) + adli para cezası |
| Paylaşım Kuralı | Açık rıza veya kanuni istisna | Kanuni zorunluluk veya müşteri talimatı |
Bu çifte koruma, pratikte şu anlama gelir: Bir banka çalışanı, müşterinin hesap bilgisini yetkisiz bir kişiyle paylaşırsa, hem KVKK kapsamında idari para cezası hem de Bankacılık Kanunu kapsamında hapis cezası riski ile karşı karşıya kalır. Bankacılık sırrının ihlali, KVKK ihlalinden çok daha ağır cezai yaptırımlar içermektedir. Bu nedenle finans sektöründe veri güvenliği, diğer sektörlere kıyasla çok daha ciddi sonuçlar doğurabilir.
3. Finans Sektöründe Hukuki Veri İşleme Sebepleri
Finans kuruluşları, müşteri verilerini çeşitli hukuki sebeplere dayanarak işler. Burada kritik olan, her veri işleme faaliyeti için doğru hukuki sebebin belirlenmesidir. Yanlış hukuki sebebe dayanan bir veri işleme, hukuka aykırı kabul edilir.
a) Kanunlarda Açıkça Öngörülme (m.5/2-a)
Finans sektöründe en sık kullanılan hukuki sebeplerden biridir. Bankacılık Kanunu, MASAK mevzuatı, Sermaye Piyasası Kanunu ve BDDK düzenlemeleri, finans kuruluşlarına belirli verileri toplamayı ve saklamayı zorunlu kılar. Örneğin kimlik tespiti yapma yükümlülüğü (5549 sayılı Kanun), müşteri bilgilerinin işlenmesi için açık rıza gerektirmez.
b) Sözleşmenin İfası (m.5/2-c)
Hesap açılışı, kredi kullandırımı, sigorta poliçesi düzenleme gibi işlemler, sözleşmenin ifası kapsamında değerlendirilir. Bir müşterinin hesabına para transferi yapabilmek için hesap numarası ve kimlik bilgilerinin işlenmesi, sözleşmenin doğal bir gereğidir ve ayrıca açık rıza alınmasına gerek yoktur.
c) Meşru Menfaat (m.5/2-f)
Dolandırıcılık tespiti, risk yönetimi ve kredi skorlaması gibi faaliyetler, bankanın meşru menfaatine dayanabilir. Ancak burada denge testi yapılması şarttır: Bankanın menfaati, müşterinin temel hak ve özgürlüklerinden ağır basmamalıdır. Örneğin, müşterinin harcama alışkanlıklarını analiz ederek dolandırıcılığı önlemek meşru menfaat olabilirken, aynı veriyi profilleme yaparak hedefli reklam göstermek bu kapsamda değerlendirilemez.
d) Açık Rıza (m.5/1)
Pazarlama iletişimi, müşteri memnuniyeti anketleri, çapraz satış kampanyaları ve üçüncü taraf ortaklarla veri paylaşımı gibi faaliyetler için mutlaka açık rıza alınmalıdır. Önemli bir nokta: Müşterinin açık rızasını vermemesi, temel bankacılık hizmetlerinden yararlanmasını engellememelidir. “Rızanız yoksa hesap açamayız” demek hukuka aykırıdır.
4. Aydınlatma ve Açık Rıza: Finansa Özel Zorluklar
Finans sektöründe aydınlatma yükümlülüğü, veri işleme faaliyetlerinin çeşitliliği nedeniyle oldukça karmaşıktır. Bir banka; hesap açılışında, kredi başvurusunda, mobil uygulama indirmede, müşteri hizmetleri aramasında ve şube ziyaretinde farklı veriler toplar. Her bir kanal için aydınlatma yapılmalıdır.
Katmanlı Aydınlatma Yaklaşımı
KVKK Kurulu’nun tavsiye ettiği katmanlı aydınlatma modeli, finans sektörü için idealdir. Bu modelde:
- Birinci Katman (Kısa Bilgilendirme): ATM ekranlarında, mobil uygulama açılış sayfasında veya şube girişinde kısa ve öz bir bilgilendirme yapılır.
- İkinci Katman (Detaylı Metin): Web sitesinde veya başvuru formlarının ekinde tam aydınlatma metni sunulur. Bu metin, tüm işleme amaçlarını, aktarım yapılacak tarafları ve hukuki sebepleri detaylı olarak içerir.
Açık Rıza Alırken Dikkat Edilecekler
Finans sektöründe açık rıza, çoğu zaman yanlış uygulanmaktadır. En yaygın hatalar şunlardır:
- Toplu Rıza: “Tüm verilerimin işlenmesine onay veriyorum” şeklinde tek bir onay kutusu kullanmak geçersizdir. Her veri işleme amacı için ayrı ayrı rıza alınmalıdır.
- Koşula Bağlama: “Bu kutucuğu işaretlemezseniz hesap açamazsınız” yaklaşımı, rızanın özgür iradeyle verilmediği anlamına gelir ve geçersizdir.
- Önceden İşaretli Kutucuklar: Onay kutucuklarının önceden işaretlenmiş olarak sunulması, açık rıza olarak kabul edilmez.
5. Teknik ve İdari Tedbirler: Finansa Özel Güvenlik
Finans sektörü, KVKK’nın genel güvenlik gereksinimlerinin ötesinde, BDDK’nın bilgi sistemleri yönetmeliğine de tabidir. Bu iki düzenleme birlikte, sektördeki en kapsamlı güvenlik çerçevesini oluşturur.
Teknik Tedbirler
- Güçlü Şifreleme: Müşteri verileri hem aktarımda (TLS 1.2+) hem de depolamada (AES-256) şifrelenmelidir. Kart verileri PCI DSS standartlarına uygun korunmalıdır.
- Çok Faktörlü Kimlik Doğrulama (MFA): Hem müşteri hem de çalışan erişiminde MFA zorunlu olmalıdır. SMS OTP, biyometrik doğrulama veya donanım anahtarları kullanılabilir.
- SIEM ve SOC: Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemi ile 7/24 izleme yapan bir Güvenlik Operasyon Merkezi (SOC) kurulmalıdır.
- Veri Maskeleme: Çağrı merkezi ekranlarında kart numarası ve TC kimlik numarası maskelenmiş olarak gösterilmelidir.
- Penetrasyon Testleri: Yılda en az bir kez bağımsız penetrasyon testi yaptırılmalıdır.
İdari Tedbirler
- Veri Sınıflandırma: Tüm veriler gizlilik düzeyine göre sınıflandırılmalıdır (Gizli, Hizmete Özel, Genel).
- Personel Eğitimi: Tüm çalışanlara yılda en az iki kez KVKK ve bilgi güvenliği eğitimi verilmelidir. Sosyal mühendislik saldırılarına karşı farkındalık eğitimi kritiktir.
- Tedarikçi Yönetimi: Veri işleyen konumundaki tüm tedarikçilerle (IT altyapı, bulut hizmeti, çağrı merkezi) yazılı Veri İşleme Sözleşmesi imzalanmalıdır.
- Olay Müdahale Planı: Veri ihlali durumunda uygulanacak detaylı müdahale planı hazırlanmalı ve yılda en az bir kez tatbikat yapılmalıdır.
- VERBİS Kaydı: Tüm veri sorumluları, Veri Sorumluları Siciline (VERBİS) kayıt olmakla yükümlüdür.
Veri Saklama Süreleri
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Müşteri kimlik bilgileri | İlişki sona erdikten sonra 10 yıl | Bankacılık Kanunu / MASAK |
| Hesap hareketleri | 10 yıl | Türk Ticaret Kanunu m.82 |
| Kredi dosyaları | İlişki bitiminden itibaren 10 yıl | Bankacılık Kanunu |
| CCTV kayıtları (şube) | En fazla 2 yıl | KVKK Kurul kararları |
| Çağrı merkezi ses kayıtları | 3 yıl | BDDK düzenlemeleri |
6. Açık Bankacılık ve Veri Paylaşımı: Yeni Dönem
Açık bankacılık (Open Banking), müşterilerin finansal verilerini üçüncü taraf hizmet sağlayıcılarla (fintech’ler, ödeme kuruluşları) paylaşmasına olanak tanıyan bir modeldir. TCMB’nin düzenlemeleriyle Türkiye’de de hayata geçen bu model, KVKK açısından yeni sorunlar doğurmaktadır.
Açık Bankacılıkta KVKK Uyumu
- Müşteri Onayı Zorunlu: Verinin üçüncü tarafla paylaşılması için müşterinin açık ve belirli rızası gerekir. Bu rıza, hangi verilerin, hangi tarafla, ne kadar süreyle paylaşılacağını açıkça belirtmelidir.
- Amaç Sınırlaması: Paylaşılan veri, yalnızca belirtilen amaç için kullanılabilir. Bir ödeme başlatma hizmeti için alınan verinin, profilleme veya pazarlama amacıyla kullanılması hukuka aykırıdır.
- Teknik Güvenlik: API (Uygulama Programlama Arayüzü) üzerinden yapılan veri paylaşımlarında güçlü kimlik doğrulama, şifreleme ve erişim kayıtlarının tutulması zorunludur.
- Veri Minimizasyonu: Üçüncü tarafa yalnızca hizmetin gerektirdiği minimum veri aktarılmalıdır. Bir ödeme uygulaması için müşterinin tüm hesap geçmişini paylaşmak ölçülülük ilkesine aykırıdır.
7. Sık Sorulan Sorular (SSS)
Banka, müşteri bilgilerini KKB/Risk Merkezi ile paylaşabilir mi?
Evet. KKB (Kredi Kayıt Bürosu) ve Risk Merkezi ile veri paylaşımı, 5411 sayılı Bankacılık Kanunu m.73/4’te açıkça düzenlenmiştir. Bu paylaşım, kanuni yükümlülük kapsamında yapıldığından ayrıca açık rıza gerektirmez. Ancak müşterinin bu paylaşım hakkında aydınlatılması zorunludur.
Müşteri hesap bilgilerini avukatına verebilir miyiz?
Müşterinin yazılı talimatı olmadan hesap bilgilerini avukatına vermek bankacılık sırrının ihlalidir. Müşterinin açık ve yazılı talimatı veya noter onaylı vekaletname ile bu paylaşım mümkün hale gelir. Mahkeme kararı veya savcılık talebi gibi yasal zorunluluklarda ise paylaşım yapılabilir.
Çağrı merkezi görüşmeleri KVKK kapsamında mıdır?
Evet. Ses kayıtları kişisel veri niteliğindedir. Görüşme başında “Bu görüşme kalite ve güvenlik amaçlarıyla kaydedilmektedir” uyarısı yapılmalı ve aydınlatma metninde ses kaydı işleme amacı belirtilmelidir. Kayıtlar, BDDK düzenlemeleri uyarınca 3 yıl saklanmalı ve süre dolduğunda güvenli biçimde imha edilmelidir.
Fintech şirketleri de KVKK’ya tabi mi?
Kesinlikle evet. Ödeme kuruluşları, elektronik para kuruluşları ve diğer fintech firmaları, KVKK’nın yanı sıra TCMB’nin ödeme hizmetleri düzenlemelerine de tabidir. Lisanslı bir fintech şirketi, bankalarla aynı düzeyde veri koruma yükümlülüğü taşır. İzinsiz kişisel veri işleyen bir fintech, hem KVKK hem de TCMB yaptırımlarıyla karşılaşabilir.
Müşteri verilerini yurt dışındaki bulut sunucularda saklayabilir miyiz?
BDDK, bankaların bilgi sistemlerinin ana veri merkezinin Türkiye’de bulunmasını zorunlu kılar. Yedek sistemler yurt dışında olabilir ancak bu durumda hem KVKK’nın yurt dışı aktarım kuralları (yeterlilik kararı veya standart sözleşme) hem de BDDK’nın bilgi sistemleri yönetmeliği kapsamındaki izinler gereklidir. Müşteri verilerinin yurt dışına aktarımında çifte uyum sağlanmalıdır.
Kredi başvurusu reddedilen müşteri, verilerinin silinmesini isteyebilir mi?
Müşteri KVKK m.11 kapsamında verilerinin silinmesini talep edebilir. Ancak bankanın kanuni saklama yükümlülükleri devam ediyorsa (örneğin MASAK kapsamında kimlik bilgileri 10 yıl saklanmalıdır), bu süre dolmadan silme gerçekleştirilemez. Banka, müşteriye hangi verilerin neden silinemeyeceğini gerekçeli olarak bildirmelidir.
Bu rehber bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Finans kuruluşunuza özel durumlar için mutlaka bir KVKK uzmanına veya bankacılık hukukçusuna danışınız.
Nesil Teknoloji © 2024
