BANKA KİŞİSEL VERİLERİN KORUNMASI
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte pek çok sektörde faaliyet gösteren veri sorumlularının bu faaliyetleri doğrultusunda gerek müşterilerinin gerek bünyesinde çalışan personelin kişisel verilerine ilişkin yükümlülükleri bulunmaktadır. Bankacılık sektörü de bu sektörlerden biri olarak karşımıza çıkmakla beraber kişisel verilerin yoğun olarak işlendiği bu alanda faaliyet gösteren veri sorumlularının elde ettiği veriler oldukça önem arz etmektedir.
Çok yoğun bir şekilde kişisel verileri işleme faaliyetinin gerçekleştiği bu sektörde Kişisel Verilerin Korunması Kanunu yeterli olmadığı gerekçesi ile 5411 sayılı Bankacılık Kanunu’nda 25 Şubat 2020 tarihinde değişikliğe gidilmiştir. İlgili kanunun ‘Sırların Saklanması’ başlıklı 73. maddesinde değişikliğe gidilerek öncelikle müşteri sırrının ne olduğu konusuna değinilmiştir. Söz konusu değişiklikte müşteri sırrı; bankanın faaliyetleri doğrultusunda müşteri ilişkisi kurulduktan sonra oluşan veriler olarak tanımlanmıştır. Bu doğrultuda henüz daha banka ile ilgili kişi arasında müşteri ilişkisi kurulmadan bankanın elde ettiği ve ilgili kişinin daha önce pek çok yerde paylaştığı adres, telefon numarası gibi kişisel verileri müşteri sırrı niteliği taşımamakta, müşteri kaydı oluşturduktan sonraki aşamalarda meydana gelen; hesap numarası, müşteri numarası mevduat bilgisi, krediler gibi aralarındaki ilişkiye özgü gerçek ve tüzel kişiye ait veriler müşteri sırrı niteliğine haiz kabul edilmektedir.
DİĞER BAŞLIKLAR
Kişisel Verilerin Korunması Kanunundan ayrılan en önemli nokta ise değişikliğin devamında belirtilen bankacılık sırrı niteliğindeki verilerin aktarılması konusudur. Buna göre müşteri sırrı olarak nitelendirilebilecek veriler KVKK uyarınca kişilerin açık rızası alınsa dahi müşteriden ayrıca bu konuya ilişkin gelen bir talep ya da talimat olmaksızın yurtiçindeki veya yurtdışındaki üçüncü kişiler ile paylaşılamaz veya bu 3. kişilere aktarılamaz. Bu değişikliğin sektörel açıdan bankaları zorlayıcı olduğu uygulamada tartışılmakla beraber değişikliğin özünde bankaların müşterilerinden aldığı toplu rızalar ile KVKK kapsamında açık rızasının alınmasındaki koşullara uygun hareket edilmediği düşüncesi yer almaktadır. Buna göre bankalar müşteri sırrı niteliği taşımayan gerçek kişilere özgü kişisel verileri kişisel verilerin işlenme şartlarından biri olan ilgili kişinin açık rızasının mevcut olması halinde 3. kişilere aktarabilecekken, banka ile aralarındaki ilişkiye özgü olan ve müşteri ilişkisi oluştuktan sonra meydana gelen müşteri sırrı niteliğindeki verileri ilgili kişinin açık rızası olsa dahi kanuni bir yükümlülük gibi istisnai durumların olmadığı hallerde ilgili kişinin bir talebi ya da talimatı olmaksızın 3. kişilere aktaramayacaktır.