Resmî Gazete’de 25 Şubat 2020 tarihinde yayınlanan 7222 sayılı “Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un” 10. maddesi ile 5411 sayılı Bankacılık Kanun’unda KVK Hukuku düzenlemelerini de oldukça yakından ilgilendiren bir değişiklik yapılmıştır.

Değişikliğin gerekçe metninde amacın uygulamada karşılaşılan zorlukları aşmak olduğunu okusak da bunun yeni soru ve sorunlara, hatta bazı boşluklara sebep olacağına dair riskler taşıdığı görüşündeyiz. Kanun koyucunun kendi düzenlemelerine karşı güvenini yitirmesi sonucu “açık rıza” ve “aydınlatma yükümlülüğü” işlevlerini yitirme riskini taşımakta, kanunun güvenilirliği sarsılmaktadır. Rıza metinlerinin işlevini yitirdiğinin kabul edilerek, etrafından dolanan ek prosedürler yaratılması aynı sorunları tekrar tekrar doğurma riski taşımaktadır. Sır hali hazırda içtihatlarda ve uygulamada müşteriyi koruyacak şekilde yorumlanan bilgiler olduğu halde, düzenlemedeki tanımındaki ve istisnalarındaki değişiklikler kurumların bu kanunları dolanması için yeni imkanlar yaratma riski içermektedir. Zira, bankaların hangi bilgileri sır olarak kabul etmeyip paylaşabilecekleri, sır olsalar dahi bunları kanunen kimlerle paylaşabilecekleri ile ilgili eklemeler uygulamada sorunlara sebep olabilecek boşluklar içermektedir.

I. Bankacılık Kanunu’nun 73. Maddesine Eklenen Yenilikler

Değişiklik, Kanun’un “sırların saklanması” kenar başlıklı 73. maddesinde, 3. fıkrasının 2. cümlesinden sonra gelecek şekilde yapılmıştır. Düzenleme hali hazırda “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder” şeklinde başlamaktaydı. Buna göre devamında gelecek şekilde yapılan ekleme şu şekildedir:

“Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.”

Ancak Kanun Koyucu yalnızca bununla kalmamış Kanun değişikliğine dair metinde aynı maddeye eklenmek üzere bir düzenleme daha öngörmüştür. Buna göre:

“Sır niteliğindeki bilgilerin, üçüncü ve dördüncü fıkralar uyarınca yapılacak paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Kurul yetkilidirşeklinde maddeye 5. fıkra olarak eklenmiştir.

II. Düzenleme sonrası “Açık Rıza”

İlk bakışta düzenlemede oldukça dikkat çekici olan nokta, üçüncü fıkraya eklenen kısımdaki “..açık rıza alınsa dahi..” ifadesidir.

Öncelikle açık rızadan Kişisel Verilerin Korunması Kanunu kapsamında ne anlaşılması gerektiğine bakılmalıdır. 6698 sayılı KVKK’ya göre bir işleme nedeni, yani hukuka uygunluk nedeni, olmadıkça verilerin işlenmesi yasaktır; ancak ilgili kişinin rızası kanunun deyimiyle genel bir istisna, bize göre bir diğer hukuka uygunluk nedeni oluşturur.[1] Mülga 95/46/EC sayılı Direktif’te[2] ilgili kişinin rızası; “kendisine dair kişisel verilerin işlenmesi için ilgili kişinin kabulüne işaret eden, özgürce ve bilgilendirme yapıldıktan sonra alınan rıza” şeklinde tanımlanmıştır. Aynı husus GDPR’da da düzenlenmiştir, buna göre; “ilgili kişinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergesi” rıza olarak tanımlanmıştır. Bu tanım uyarınca bankaların müşterilerinden aldıkları açık rızanın geçerli kabul edilebilmesi için;

i. ilgili kişiden rıza talep etmeden önce kişisel verilerin işlenmesi hakkında ilgili kişiyi bilgilendirilmeli,

ii. ilgili kişi tarafından verilen rıza müşterinin bilgilendirmiş olduğu konuyla ilgili olmalı,

iii. rıza herhangi bir şart veya koşula bağlanmadan özgür irade ile verilmiş olmalıdır.[3]

Görülüyor ki, açık rıza niteliği itibariyle zaten kişinin özgür iradesine ve bilgilendirilmesine dayanan kendi isteği doğrultusunda verdiği bir onaydır. Bu onay aynı zamanda kişiye bağlı bir hak olarak karşımıza çıkar ve istenilen zaman geri alınabilen bir niteliktedir. Dolayısıyla isteyerek verilen ve talep doğrultusunda geri alınabilen “açık rıza” düzenlemeye konulan talep şartı ile hiçbir anlamı yokmuşçasına işlevsiz kalmıştır. Bunun sebebini değişikliğe dair madde gerekçesinde, Kanun Koyucu “uygulamada var olabilecek tereddütleri gidermek” olarak dile getirmiştir.[4] Bu gösteriyor ki “açık rıza” kanun koyucunun gözünde güvenilirliğini yitirmeye başlamıştır.

Uygulamada bankacılık hizmetleri kapsamında kişisel verilerin işlenmesinin amacının, banka ürün ve hizmetlerinin müşteriye tanıtılması, bu bilgilerin verilememesi halinde hizmetin de verilemeyeceğinin ileri sürülmesi durumlarıyla karşılaşılması irade beyanının sakatlamasına sebep olacaktır.[5] Kanun koyucu da uygulamada rastlanan bu tarz rızanın şarta bağlanması, zorla alınması gibi örneğin müşterinin açık rıza vermemesinin banka ve müşteri arasında kurulan ilişkide, müşteri açısından muhtemel bir olumsuzluk doğuracağı ve açık rıza vermeyen müşterilerin düşük faizli kredi kullanma hakkını kaybedecekleri gibi[6] durumlar nedeniyle sakatlanacak iradeler ile verilen rızalardan dolayı, açık rızanın gerçek iradeyi yansıtmadığından endişe ediyor görünmektedir.

KVKK ile getirilen belirli standartları ve kurum ve kuruluşlar için standartlaştırılmaya çalışılan süreç ve ilkelerin içerisindeki önemli hususlardan birini bizzat kanun koyucunun dahi görmezden gelmesi ve güvenilmez bulması son derece sakıncalıdır. Ana sebeplere yoğunlaşarak yanlış uygulamaların ve eksikliklerin giderileceği yerde, sürekli yeni düzenlemelerle yama yapılan ve hatta temel ilkelerinden biri görmezden gelinen bir kanun güvenilirliğini yitirmektedir.

Aynı şekilde hem GDPR’ın 13. ve 14. maddelerinde hem KVKK’nın 10. maddesinde “aydınlatma yükümlülüğü” de düzenlenmiştir.[7] Buna göre veri işleyen ya da aktaran veri sorumlularının, ilgili kişiye veri işleyenin kimliği, verilerin hangi amaçla işleneceği, verilerin hangi amaçla kimlere aktarılacağı, kişisel verilerin toplama yöntemi ve hukuki sebebi ile KVKK’nın 11. maddesinde sayılan diğer hakları konusunda bilgi verme yükümlülüğü bulunmaktadır. Bu maddede yer verilen hususların eksik olması halinde kişiye yapılan aydınlatma ve sonrasında yapılan işlem zaten geçersiz olacaktır.[8]

Hem “aydınlatma yükümlülüğü” hem de “açık rıza” kanuna uygun bir şekilde yerine getirildiğinde, yine de açık bir talep ya da talimat beklemek bize göre hem mantığa aykırı hem de KVKK’ya aykırıdır.

Ancak bankaların tutmuş oldukları verileri BDDK düzenlemeleri gereğince yurt dışındaki sunucularda ya da bulut hizmetinde bulundurmaları yasaktır. Buna göre, bankalara ait tüm verilerin yurt içinde bulunan sunucularda barındırılması gerekmektedir. İşte bu düzenlemeyle, bankanın müşterisinden yani ilgili kişiden açık rıza almak suretiyle verilerini yurt dışına aktarılmasının önüne geçilmek istenmektedir. Ancak bunun için söz konusu düzenlemeye gerek yoktur. Bankaların kendilerine ait sektörel düzenlemelerinde yani KVKK’ya göre “özel normlarda” zaten bu aktarım yasaklanmış durumdadır. Dolayısıyla çok basit bir “genel norm” – “özel norm” karşılaştırmasıyla çözülebilecek bir durum için kanunda özel düzenleme yapılması gerekli değildir. Ayrıca bu konuda “tereddüt oluşması halinde” bu tereddüt çok kolayca BDDK ya da KVK Kurulu tarafından verilecek bir kararlar giderilebilir. Maalesef ülkemizde son yıllarda ortaya çıkan her sorun için torba kanunlar ile kanun çıkarma ve kazuistik yöntemle kanun oluşturma tekniğinin bir örneği de burada görülmektedir.

Olması gereken hukuk açısından bu tespiti yaptıktan sonra şu hususu belirtmeliyiz: Olan yani uygulanan hukuk açısından bankaların müşterilerinden rıza dahi alsalar verilerini yurt dışına aktarmaları yasaktır! Bu aktarım ancak işlem bazlı olarak müşterinden talep ya da talimat gelmesi halinde olabilir. Yani bankanın müşteriden belirli bir süreç için öncesinden aydınlatma yaparak ve açık rıza alarak, yani 6698 sayılı Kanuna uygun şekilde yurt dışına veri aktarması 7222 sayılı Kanun ile yasaklanmış ve bu işlem hukuka aykırı olarak kabul edilmiştir.

III. Düzenleme Sonrası “Açık Rıza” ve “Müşteri Sırrı” İlişkisi

Düzenlemenin girişinde tanımını yaptığı “sır” ile kanun koyucu, açık rızayı yetersiz gördüğünü ve oluşan bu durumu, sır kapsamında değerlendirerek detaylandırmıştır. Buna göre kanun gerekçesinde:

“Öte yandan, sır saklama ödevinin yükümlüsü olan bankaların kanunların tanıdığı bir istisna ya da herhangi bir mecburiyet bulunmadığı halde, 6698 sayılı Kanun uyarınca kendi belirleyecekleri amaç ve yöntemler için ve kendi hazırlayacakları rıza metinleri ile bu yükümlülüklerini delmeleri yasaklanmakta, bu kapsamda, sır saklama yükümlülüğünün bankanın aktif rol aldığı rıza metni yöntemiyle değil, sır sahibi müşterinin aktif rol aldığı “müşterinin talebi ya da talimatı” yöntemiyle kaldırılabilmesini sağlamak amacıyla düzenleme yapılmaktadır. Bunun yanında, madde ile 5411 sayılı Kanunun 73. maddesinin 4. fıkrası uyarınca sır saklama yükümlülüğünden istisnaya tabi tutulan tarafların bu kolaylığı suiistimal ederek fıkrada belirtilen amaçlarla orantılı olmayacak şekilde sır niteliğindeki bilgileri paylaşmalarının önüne geçilmesi amaçlanmaktadır.”

Bu düzenlemede de rıza metni yönteminin kişilerin aktif rol almadığı bir süreç olduğu dile getirilmiştir. Oysa yukarıda da bahsi geçtiği üzere bankacılıkta rızanın açık sayılması için sağlaması gereken koşullar, hazırlanan aydınlatma metinlerinin uyması gereken temel ilkeler[9], rızanın alınma şekilleri (yazılı ya da sözlü) için temel ilkeler ve -“battaniye rıza” olarak nitelendirilen- ilgili işlemle sınırlandırılmayan genel nitelikli rızanın alınmaması gibi adımlar takip edildiği takdirde ilgili kişinin de aktif olarak rol aldığını söylemek mümkün olacaktır. Kanun koyucu kendisi bu şekilde “rıza metni” ve “açık rıza” gibi prosedürlerin işlerliğini olumsuz yönde etkilemektedir.

IV. Düzenleme Öncesi ve Sonrası “Sır” Tanımı

Düzenleme yapılırken kanun koyucu ayrıca sır tanımına dair de bir eklemede bulunmuştur. Buna göre sır, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlanmıştır. Sır, genel anlamıyla sahibinin kişilik haklarına zarar verme tehlikesi içeren, gizli kalabilmesi hem kişisel hem de toplumsal anlamda önem taşıyan konudur ve herhangi bir duruma ilişkin gizli bilgiyi içerebileceğinden, sırların da türleri ve sınıflandırmaları oldukça fazladır.[10]

Bu noktada Kanun koyucunun madde metnine eklediği sır tanımından evvel bankacılık sırrının anlamına ilişkin “ticari sır” ana başlığı altındaki tanımına bakılması uygun olacaktır. Bunun için 21.10.2011 tarihinde hükümsüz kalan ve yenilenmesi Bakanlar Kurulunca uygun görülen tasarıdaki[11] müşteri sırrı tanımı uyarınca:

“Müşteri Sırrı, ticari işletme ve şirketlerin, bankaların, sigorta şirketlerinin, sermaye piyasasında ve mali piyasalarda faaliyet gösteren aracı kurumların, kendi faaliyet alanlarıyla ilgili olarak müşteriyle ilişkilerinde, müşterinin şahsi, iktisadi, mali, nakit ve kredi durumuna ilişkin doğrudan ve dolayısıyla edindikleri tüm bilgi ve belgelerdir.”

Yapılan tanımdan anladığımız üzere ticari işletmenin yani konu dahilinde bankanın değil müşterinin korunmaya çalışılan menfaatleri kapsamına, müşteriye dair her türlü bilgi girmektedir. Burada bir sınırlama öngörülmemiş, kendi faaliyet alanlarıyla ilgili olarak müşteriyle ilişkilerinde edindikleri her türlü bilgi denmiştir. Bunun dışında öğretide ve yargı kararlarında belirli ortak bir tanım bulunmamakla beraber, somut olaya göre yorum yapılmaktadır.[12] Ancak tüm yorumlar dahilinde genel prensip olarak müşterinin korunması prensibi ve müşteriden alınan her türlü bilginin bu kapsamda olması her türden ticari işletme için karşımıza çıkmaktadır.

Şimdi yapılan düzenleme ile eklenen sır tanımına gelecek olursak; kanun koyucunun “Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir”[13] şeklindeki düzenlemesi ile değişikliğe dair ikinci bir nokta gözümüze çarpmaktadır: Müşteri sırrı, yeni ekleme ile beraber bankacılık faaliyeti “sonrasında” oluşan verilerle sınırlı tutulmuştur. Yani sır toplanan tüm müşteri bilgilerini değil, yalnızca “oluşan” verileri kapsamaktadırlar. Oysa yukarıda eklediğimiz tanım ile birçok kanun ve yargı kararlarındaki tanımlar açısından böyle zamansal bir ayrım öngörülmemiştir.

Bu yeni durumu Banka Düzenleme ve Denetleme Kurulu gibi oluşumlar tam olarak nasıl yorumlayacaklar henüz bilmesek de görünüşte somut olaydaki banka ile müşteri arasındaki ilişki kurulmadan önce başka bankaların bünyesinde oluşmuş verilerin, bu banka açısından müşteri sırrı sayılmaması gibi durumlar söz konusu olabilir. Bununla beraber bankaların elde ettiği tüm kişisel verilere “müşteri sırrı” tanımı getirilmiş olmaktadır. Dolayısıyla yukarıda da belirtildiği üzere tüm verilere yönelik aydınlatma metinleri ve veri işlemlerine dair açık rıza alınması süreci zaten müşteri sırlarını da kapsamaktadır. Düzenlemenin kanun koyucunun güvensizliğini yansıtması ve soru işaretlerine sebep olması doğaldır.

V. Sırların Yurtdışına Aktarımı ve BDDK’nın Yetkisi

Düzenlemenin son kısmındaki, dikkate değer üçüncü noktaya bakacak olursak, BDDK’ya ekonomik güvenlik gerekçesine dayanarak, müşteri sırrı ya da banka sırrı niteliğindeki her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklama yetkisi verilmiştir.

Aslında bu düzenleme ile “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik[14]” içerisinde düzenlenen, “Verilerin Mahremiyeti” kenar başlıklı 45. maddesinin 2. fıkrasındaki “...müşterinin açık rızası alınsa bile müşteri bilgilerinin yurt dışıyla paylaşılması veya yurt dışına aktarılması Kurulun iznine tabidir” ile 3. fıkradaki “Birinci ve ikinci fıkradaki koşullar haricinde herhangi bir müşteri verisi de dahil olmak üzere, sır kapsamındaki her türlü verinin ve trafik bilgisinin yurt dışı ile paylaşılması yasaktır düzenlemelerine kanuni dayanak getirilmiştir.[15]

7222 sayılı Kanunun gerekçesinde de bu düzenlemeye ilişkin olarak kanun koyucu, 6698 sayılı Kanunda kişisel verilerin yurtdışına aktarılması konusunda diğer kanunlarda yer alan hükümlerin saklı olacağı belirtilmiş olsa da, 5411 sayılı Kanunda kişisel verilerin yurt dışına aktarımıyla ilgili olarak açık bir hüküm bulunmadığından, sır niteliğindeki verilerin yurtdışına aktarılması konusunda 5411 sayılı Kanun hükümlerinin özel nitelikli kanun hükümleri olarak ele alınmasını sağlamak amacında olduğunu belirtmiştir.[16]

Sonuçta kişisel veri aktarımı gibi hassas bir konuda Kişisel Verileri Koruma Kurumu’nun yanı sıra, aynı şekilde bir idari (ve yarı özerk) kurum olan BDDK’ya da benzer bir yetki verilerek, kişisel veri aktarımında belirleyici bir pozisyona gelmesi sağlanmıştır.

Değişikliğin sebep olduğu tüm sorulara zamanla BDDK’nın yaklaşımları ile cevap alınacağını ummaktayız. Zira akıllarda oluşan sorulardan biri, banka müşterilerinin kişisel verilerinin paylaşılması ve aktarılmasına ilişkin yetkilerin KVKK kapsamında Kişisel Verilerin Korunması Kurulu’nda iken artık BDDK’da mı olduğudur.

VI. Sır Saklama Yükümlülüğünün İstisnaları ve Kanunu Dolanma

Yukarıda değinilen noktalara ek olarak 1. fıkradaki düzenlemede söz konusu olan “istisna tutulan haller haricinde” tabiri bankaların aktarım ve paylaşım yasağının istisnalarını, yani sır saklamaya yükümlülüğünün ihlal edilebileceği durumları kastetmektedir. Bunlar iş sözleşmesi kapsamında resmî kurumlarla yapılan paylaşımlar, değerleme çalışmaları, risk yönetimi, kuruma dair iç/dış denetimler vb. olarak belirlenmiştir.

Sayılan istisnalardan biri olan “Değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması” düzenlemenin de etkisiyle, bankalar tarafından gerekçe olarak kullanılmaya yatkın olabilir, veri paylaştıkları kimseleri bu kapsamda değerlendirmeye başlayarak düzenlemeyi dolanma eğiliminde olabilirler.

Diğer istisnalar ise şöyledir:

- Çeşitli kanunlarda öngörülen iş sözleşmesi çerçevesinde, işçi, gemi adamı ve gazetecinin ücret, prim, ikramiye ve bu nitelikte her çeşit istihkak ödemelerinin özel olarak açılan banka hesabına yatırılması halinde, bu hesaplara ilişkin belge ve bilgilerin; SGK, Çalışma ve Sosyal Güvenlik Bakanlığı, Maliye Bakanlığı, Hazine Müsteşarlığı, gelir testinin yapılmasına ilişkin bilgi ve belgelerin Sosyal Güvenlik Kurumuna ve il veya ilçe sosyal yardımlaşma ve dayanışma vakıflarınca yapılan sosyal yardım hak sahiplerinin tespiti ile gelir testi işlemlerinin yürütülmesi amacıyla Aile ve Sosyal Politikalar Bakanlığı Sosyal Yardımlar Genel Müdürlüğüne verilmesi,

- Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişi,

- Doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmaları,

- Bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmaları,

- Risk yönetimi ve iç denetim uygulamaları,

- Kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmaları.

Sonuç

Kişisel verilerin korunması konusunda öncelikli olan kişilerin hukuka güvenmelerini ve kendilerini güvende hissetmelerini sağlamaktır. Ama ana ilkelere uygun hazırlanması gereken kanun ve uygulama için standartlar ve kontrol mekanizmaları getirilmesi gerekirken, bizzat kanun ağzıyla var olan kanunların işlemediğinin kabul edilmesi bizi bu öncelikten oldukça uzaklaştırmaktadır.

Kurumların kanunlara uymaları ve denetimleri sağlanamadıktan sonra “on” aşamalı bir yazılı ya da sözlü talep, rıza uygulamasını takip etsek de bir şey değişmeyecektir. Her geçen gün yeni bir idari (yarı özerk) kuruma yetki verilerek genişletilen denetim yetkilisi yelpazesi artık sorumlunun kim olacağının takibini de zorlaştırmaktadır. Bu şekilde dağıtılıp, yetki ve görevlere dair düzenin karmaşıklaştırılmasındansa tek elden, yargıyla ve kanunlarla paralel olarak doğru denetim yapılması daha önemlidir.

Bugün için olan hukuk, bankacılık sektörünün yapması gereken müşteriden bir talep ya da talimat gelmeden müşterinin her ne suretle olursa olsun yırt dışına aktarımının yasak olduğu yönündedir. Hukukun bütünlüğü ilkesi gereğince bu yasak hem BDDK’yı hem de KVKK’yı bağlar. Yani aksine bir durum olması halinde ilgili banka her iki kurumun da menziline girmiş ve her iki hukuk disiplinini de ihlal etmiş olur. Dolayısıyla bankaların bu hususa çok dikkat etmeleri gerekir.

Öte yandan görülüyor ki, KVKK konusunda daha pek çok kuruma kendi sektörleri açısından yetkiler verilmeye devam edilecektir. Bunun ise uygulamacılar açısından sistemin takibi açısından zorluklar çıkarmaya adaydır. Hep ifade ettiğimiz üzere kişisel verilerin korunması hukukunun macerası ülkemizde daha yeni başlamaktadır. VERBİS, cezalar vb. toz bulutu yere çöktükçe, bu ve benzeri daha pek çok detay ve sorunlu alan ortaya çıkacaktır. Yani bu pilav daha çok su çekmeye adaydır!

Murat Volkan Dülger / Merve Bakdur

---------------------------------------

* Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku Anabilim Dalı öğretim üyesi,

* Stajyer Avukat, Bonn Üniversitesi L.L.M.,

[1] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 2. Baskı, İstanbul, Hukuk Akademisi Eğitim ve Yayıncılık, 2019, s. 138 vd.

[2] Directive 95/46/EC of the European Parliament and of the Council.

[3] Göknil Özcan, Bankacılık İş ve İşlemlerinde Kişisel Verilerin Korunması, İstanbul, Onikilevha Yayıncılık, 2020, s. 48.

[4] 6/2/2020 tarihinde verilen 98 sayılı, 7222 sayılı Kanun’un Gerekçe Metni.

[5] Özcan, s. 51.

[6] Özcan, s. 52; Açık rıza karşılığı ek avantajlar sunulmasının, rızanın hukuka uygunluğunu ortadan kaldırdığına dair bkz: Dülger, Kişisel Verilerin Korunması Hukuku, s. 149.

[7] Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ, (Çevrimiçi) https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm (s.e.t. 26.2.2020); Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/5394/Aydinlatma-Yukumlulugunun-Yerine-Getirilmesi-Rehberi (s.e.t. 26.2.2020)

[8] Dülger, Kişisel Verilerin Korunması Hukuku, s. 289.

[9] Açık rızanın alınma şekli için bkz: Dülger, Kişisel Verilerin Korunması Hukuku, s. 152.

[10] Hilal Üçüncü, Medeni Yargılama Hukukunda Kişisel Verilerin ve Sırların Korunması, İstanbul, Onikilevha Yayıncılık, 2019, s. 21 vd.

[11] Ticari Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısı, (Çevrimiçi) http://www.kgm.adalet.gov.tr/tasariasamalari/tbmmkms/tbmmkom/ticarisir.pdf (s.e.t. 26.2.2020)

[12] Bazı tanım örnekleri ve inceleme için bkz: Üçüncü, s. 27 vd.

[13] Buradaki “veriler” tabirinden anlaşılması gereken kişisel veriler, KVKK’daki kişisel veri tanımının kapsadığı her türlü bilgidir. Bu noktada akla en temel müşteri bilgilerinden başlayarak genel ve özel nitelikli birçok bilgi gelmektedir. Bunların içerisinde meslek, iletişim bilgileri, ev veya iş adresi, kredi kartı geri ödeme durumu, borç durumu, hesap numarası, açılış tarihi gibi genel nitelikli ya da elektronik imza, dijital biyometrik imza gibi özel nitelikli bilgiler bulunmaktadır. Bilgilerin alım kaynakları ve detaylı bir inceleme için bkz: Özcan, s. 12 vd.

[14] Taslak metni için bkz: https://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_0867.pdf (Çevrimiçi) https://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_0867.pdf (s.e.t. 26.2.2020), metin 25.12.2018 tarihinde BDDK tarafından görüşe açılmış, geçici 1. maddeye göre de 1.1.2020 tarihine kadar bankalara uyum için geçiş süreci tanınmıştır; bu tarihten itibaren ismi “taslak” olan metin “yönetmelik” olarak hayatımıza girmiştir.

[15] Düzenlemenin Resmî Gazetede yayınlanması ile beraber benzer birçok eleştiri gelmeye başlamıştır, örnek için bkz: (Çevrimiçi) Onur Sümer, https://www.linkedin.com/posts/sumeronur_kvkk-kisiselveri-bddk-activity-6637976210452291584-m3Gi/ (s.e.t. 26.2.2020)

[16] 6/2/2020 tarihinde verilen 98 sayılı, 7222 sayılı Kanunun Gerekçe Metni.