Hatırlanacağı üzere Kişisel Verileri Koruma Kurumu (“Kurum”) ve Türkiye Bankalar Birliği gerçekleştirdikleri ortak çalışması sonucu 2022 yılı Temmuz ayında Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’ni (“Rehber”)yayımlamış bankacılık sektöründeki dijitalleşme ve veri güvenliği ön plana alınarak bankaların kişisel veri işleme süreçlerine ilişkin birçok husus detaylı olarak ele alınmıştı.
2024 yılında Kişisel Verileri Koruma Kanunu’nda (“Kanun”) kişisel verilerin yurt dışına aktarımı (“YD Aktarımı”) ve özel nitelikli kişisel verileri (“ÖNKV”) işlenmesine ilişkin meydana gelen değişikliklerin Rehbere yansıtılması beklenmekteydi. Kurul, bankalarla bir araya gelmiş, özellikle yurt dışına aktarım konusundaki yeni rejime ilişkin fikir alış verişinde bulunulmuştu.
Rehberde başta;
Destek Hizmetleri
Destek hizmetleri ilişkisi ve veri işleme süreçleri
İştirak ve Ortaklıklar
Grup şirketler arasında veri aktarımı ve kullanımı
Açık Bankacılık
API tabanlı hizmetler, müşteri verilerinin paylaşımı ve güvenliği
Acente Sıfatıyla Gerçekleştirilen Faaliyetler
Sigorta ve yatırım ürünleri gibi acentelik faaliyetlerinde veri işleme sınırları
Kanala Özgü Açık Rıza Süreçleri
Şube, ATM, mobil uygulama ve internet bankacılığı gibi kanallarda açık rıza süreçleri için örnek uygulamalar
Bankacılık Kanunu ve Yurt Dışı Veri Aktarımı
(Özellikle BK 73 kapsamındaki yurt dışı veri aktarımı düzenlemeleri)
gibi süreçler olmak üzere detaylı bir inceleme gerçekleştirilmiş, iyi uygulama örnekleri ele alınmıştı.
Rehberde, Türkiye Bankalar Birliği ile yapılan işbirliğinin etkileri de görülmüştür.
Kurum tarafından 2024 08.01.2025 tarihinde yayımlanan güncel rehberde ise YD Aktarım rejimindeki ve ÖNKVlerin (Müşteri ve Çalışan) işlenmesine ilişkin değişikliklerin yansıtıldığı görülmektedir.
Bu yansımaya ilişkin en dikkat çeken husus ise kuşkusuz BK madde 73 kapsamındaki YD Aktarımı istisnası ile çelişki yaratabilecek bir örneklem olmuştur. Bilindiği üzere BDDK 2022 yılında yayımladığı genelge ile müşteri talebi ile başlatılan SWIFT işlemine konu para transferi çerçevesinde aktarılacak verilerin BK madde 73 kapsamında yer alması gerektiği değerlendirmesinde bulunmuştur.
Kurum ise konuya ilişkin ilgili örneklemde yurt dışına para gönderme talebini karşılamak üzere müşteri kişisel verisinin arızi haller kapsmında ilgili kişiinin bir yeterlilik kararının ve uygun güvencelerin yokluğundan ötürü doğacak risklere ilişkin bilgilendirilmesinden sonra açık rızası alınarak gerçekleştirilebileceği değerlendirmesinde bulunmuştur.
Kurum tarafından ilerleyen dönemlerde bir açıklama veya güncelleme yapılması ilgili örneklemin daha sağlıklı değerlendirilmesi açısından sağlıklı olacağı görüşündeyiz.