Türkiye gibi finansal piyasaları banka temelli olan ülkelerde bankalar sistemik öneme sahip finansal kuruluşların başında gelmektedir. Kişisel Verilerin Korunması Hukuku ise elbette ki sunduğu hizmetler ile toplumun neredeyse hemen hemen hepsine hitap eden bankacılık sektörüne de temas etmiştir. KVKK bağlamında bankaların veri sorumlusu olarak tanımlandığından Kişisel Verileri Koruma Kurumu tarafından bankalara yüklü miktarda para cezaları uygulanabileceği öngörülmektedir.
Banka Hukuku
Banka Hukuku, bir taraftan bankaların kuruluşunu, işlevlerini, denetimlerini düzenleyen kamusal nitelikli, diğer taraftan da kişilerle olan bağını düzenleyen özel nitelikli kurallar bütünüdür.
Bankacılık hukukunun temel kanunu yürürlükte olan 5411 sayılı Bankacılık Kanunu’dur. Bankacılık Kanunu’nun yanı sıra, Türkiye Cumhuriyeti Merkez Bankası Kanunu, Türk Ticaret Kanunu, Türk Medeni Kanunu, Türk Borçlar Kanunu, İcra ve İflas Kanunu, Sermaye Piyasası Kanunu, Banka ve Kredi Kartları Kanunu, Türk Parasının Kıymetinin Korunması Hakkında Kanun, Çekle Ödemelerin Düzenlenmesi ve Çek Hamillerinin Korunması Hakkında Kanun, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun, Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu, Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ve diğer ilgili kararnameler, kanunlar, yönetmelikler, tebliğler, emsal kararlar banka hukukunun hukuki kaynaklarını oluşturmaktadır.
Kişisel Verilerin Korunması Mevzuatı
Kişisel verilerin korunması ile ilgili düzenlemelerin temelini Anayasa oluşturmaktadır. Anayasa’nın özel hayatın gizliliği başlıklı maddesinde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmü yer almaktadır (Anayasa, 1982: madde 20). Bu madde tüm vatandaşların kişisel verilerin korunmasını bir hak olarak kabul ederken ikincil mevzuatta yer alan tüm düzenlemelerin dayanağını da teşkil etmektedir. Kişisel verilerin korunması ile ilgili en önemli düzenleme ise 07.04.2016 tarihli Resmi Gazetede yayınlanan Kişisel Verilerin Korunması Kanunu’dur. Anayasa’da temel bir hak olarak düzenlenen kişisel verilerin korunması konusunda tarafların hak ve sorumlulukları KVKK’da tanımlanmıştır. Bu yazıda ise KVKK ile Bankacılık Kanunu’nda yer alan kişisel verilere ilişkin sorumlulukları inceleyeceğiz.
Bankacılık Sektöründe Kişisel Veri
KVKK’da belirtilen ayrıma göre açıklamak gerekirse özel nitelikli veri, toplum içinde ayrımcılığa ve kişilerin mağduriyetine yol açabilecek kişiye ait verilerin daha fazla korumaya ihtiyaç duyulan bir bölümünü ifade etmektedir. Banka hukuku nezdinde bakıldığında ise bankalar, düzenli olarak elde ettikleri çok sayıda özel nitelikli veri nedeniyle, tüm dünyada özel nitelikli verilerin işlenmesi konusunda uyum geliştirmesi gereken kuruluşların başında gelmektedir. Bankacılık iş ve işlemlerine konu olan özel nitelikli verilerin başında kimlik belgeleri içerisinde yer alan dini bilgiler, bankaya bildirilen ceza mahkûmiyet kararları ve sağlık bilgileri, dijital kanalların kullanımında işlenen biyometrik veriler özel nitelikli veri olarak değerlendirilebilir.
Genel nitelikli veriler kapsamı ise oldukça geniş olup; müşteri tanıma ilkeleri kapsamında edinilen kimlik tespit belgelerinde bulunan isim, kimlik kartı numarası, kişinin medeni durumu gibi bilgiler, banka ile akdedilen sözleşmeler ile elde edinilen meslek, iletişim bilgileri, ev veya iş adresi, kredi/kredi kartı başvurusu sırasında ilgili tarafından beyan edilen kişisel gelir, mülkiyetinde bulunan menkul ve gayrimenkuller, hesap bakiyesi gibi varlık durumuna ilişkin bilgiler, Hesap numarası gibi banka tarafından oluşturulan kişiyi tanımlayıcı bilgiler bankalarca işlemeye konu olan genel nitelikli kişisel verilere örnek olarak gösterilebilecektir.
Bankacılıkta Kişisel Verilerin Korunmasının Önemi
Finansal anlamda sahip olunan verilerin korunması neticesinde, Bankalarla ilgili yazılan birçok eserde ve Yargıtay kararlarında bankaların bir güven kurumu olarak nitelendirildiği görülmektedir. Banka ve müşteri arasındaki ilişki de güven ilişkisine dayandığından, bankaların müşteri bilgilerini koruması geçmişten beri bankacılık sektörünce zaten hassasiyet gösterilen bir konu olmuştur. Bankanın kurumsal prestij ve imajının güvenliksiz bir kurum algısıyla zedelenmesinin engellenmesi ve bireylerin maddi anlamda yaşanabilecek yüksek ölçekli tehdit ve risklerden korunması amacıyla Kişisel Verilerin Korunma Hukuku mevzuatına uyulması hem bireysel hem de kurumsal boyutta önem arz etmektedir.
Bankacılık İşlemlerinde Kişisel Verilerin İşlenmesi
Bankalarca kişisel verilen işlenmesinde öncelikli amaç sözleşmelerin müzakeresi, oluşturulması ve ifası ile bankacılık faaliyetlerinin eksiksiz olarak sürdürülmesidir. Zira bankaların yasal ve idari yükümlülükler kapsamında faaliyetlerini yürütmesi için ilgili kişilerin kişisel verilerini işlemesi gerekmektedir. Bu tür bankacılık faaliyetlerinin kapsamı ve sınırları da Bankacılık Kanunu kapsamında açık ve net bir şekilde belirlenmiş olduğundan, KVKK 5. maddesi uyarınca açık rıza gerekmemekte olup müşteriden alınan bir açık rıza metni olmamasına rağmen, bankacılık işlemi gerçekleştirecek kişinin rızası olduğu kabul edilebilecektir. Dolayısıyla; banka ve müşteri arasında kurulan hizmet ilişkisi kapsamında öncelikle diğer veri işleme şartlarının varlığı araştırılmalı, eğer bu şartlar yoksa müşterilerden kişisel verilerin işlenmesine ilişkin açık rıza alınmalıdır.
Açık Rıza Kavramı
Bankalar tarafından işlenen verinin hukuka aykırı olarak nitelendirilmemesinde müşteriden alınan rızanın üç temel öğeyi taşıması gerekmektedir.
Öncelikle kişi ancak kişisel verilerinin neden işlenmesine ihtiyaç duyulduğu konusunda kendisine bilgi verilmesi ve yalnızca izin verdiği kapsamda verilerinin kullanılacağını bilmesi halinde güvende olduğundan bu güvenin sağlanması için ilgili kişi tarafından verilen açık rıza belirli bir konuya ilişkin olmalıdır. Yani ilgiliden her türlü verinin işlenmesinin kabul edildiği yönünde alınan genel bir rıza beyanı hukuken geçerli değildir.
Açık rızanın hukuken geçerli kabul edilebilmesi için zorunlu olan bir diğer unsur ise açık rıza beyanının bilgilendirmeye dayalı olması yani aydınlatma yükümlülüğünün yerine getirilmiş olmasıdır.
Son olarak ilgili kişi rıza göstermeye mecbur bırakılmamalı, üzerinde dışsal herhangi bir baskı veya kişinin iradesini bozacak herhangi bir hal bulunmamalıdır. Örneğin kişisel verilerin işlenmesi bir hizmetin sunulmasının zorunlu şartı olarak kabul edildiği takdirde kişinin verilerinin işlenmesine özgür iradesiyle karar verdiği söylenemeyecektir. Nitekim açık rızanın şarta bağlanmasına ilişkin yapılan değerlendirme neticesinde, Kurul tarafından “veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının; Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği, ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,” belirtilerek idari para cezası uygulanması yönünde karar verilmiştir.
Bu noktada değinilmesi gereken bir diğer husus açık rızanın varlığı kişinin aktif bir eylemine dayanması gerekliliğidir. Bu da demektir ki kişinin örtülü rızası KVKK kapsamında geçerli bir rıza olarak kabul görmez. Örneğin dijital ortamda toplanacak açık rıza beyanlarının alınacağı sayfada gelen kutucukların kendiliğinden işaretlenmiş olmasının irade beyanı teşkil etmeyeceği kabul edilmekte, kişinin kutucukları bizzat kendisinin işaretlemesi gerektiği belirtilmektedir.
Sır Saklama Yükümlülüğü
Bankacılık Kanunu’nun 73. Maddesi ile mevzuata müşteri sırrı tanımı kazandırılmış olup; bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler müşteri sırrı sayılmıştır. Bu kapsamda Bankacılık Kanunu, KVKK’da yer alan kişisel veri tanımından farklı bir tanımı benimsemiş ve bankacılık faaliyetleri kapsamındaki verilerin yalnızca gerçek kişiye değil, tüzel kişiye ilişkin tüm verileri de kapsadığı düzenlenmiştir. Ayrıca müşteri sırrı niteliğindeki bu bilgilerin Bankacılık Kanunu’na yahut özel kanunlara göre açıkça yetkili kılınanlardan başkasına açıklayamayacakları belirtilmiştir. Öyleyse maddenin mefhumu muhalifinden yola çıkarak sır saklama yükümlülüğü altındaki kişilerin müşteri sırlarını kanunen “açıkça” yetkili kılınan mercilere açıklayabilecekleri sonucuna varılabilir.
Örneğin İİK 367. maddesi uyarınca “İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malumatı hakiki ve hükmi her şahıs derhal vermeye ve talep halinde mevcudu bu dairelere teslime mecburdur.” Bu madde gereğince İcra ve İflas Müdürlükleri tarafından borçlunun mevcuduna ilişkin talep edilen bilgi ve belgelerin bankalarca ilgili mercilere sunulması gerekir. Yaşanan bir somut olayda ise icra müdürlüğü tarafından borçlu olan müşteriye ait telefon numarası ve adres bilgileri istenilmiş, ilgili banka icra dairesi tarafından iletilen bu talebi bilgilerin müşteri sırrı niteliğinde olduğu gerekçesiyle yerine getirmemiştir. Bu konu yargıya taşınmış ve mahkeme, “bankanın, icra dairesinin borçlunun mevcuduna ilişkin bilgi talep etme yetkisini aşarak müşteri sırrı niteliğinde bulunan bilgilerin talep edildiği gerekçesine dayanamayacağı, dolasıyla sanığın bildirilmesi gereken bilgilerin icra dairesi bildirilmemesi nedeniyle para cezasına çarptırılması gerektiği” yönünde karar vermiş ve bu karar ilgili Yargıtay dairesince onanmıştır.(Y12 HD, E. 2015/33017, K. 2016/10595, KT. 11.4.2016)
Dikkat edilmesi gereken bir diğer husus ise ilgili merci tarafından talep edilen bilgi taleplerinin yerine getirilmesi sırasında talep edilen bilgi dışında başka bir bilgi verilmemesidir. Örnek Kurul kararında bahsedilen bir olayda mahkeme, davacının spor salonu üyeliğinin sona ermesine rağmen üyelik ücretinin iade edilmediği iddiasıyla açılan davada, ödemenin gerçekleştirilmiş olduğu bankadan işlem kayıtlarının ibrazını talep etmiş, ilgili banka tarafından mahkemeye cevaben hazırlanan yazı ekinde ise mahkeme tarafından talep edilmemesine rağmen altı aylık kredi kartı hesap özetine de yer verilmiştir. Bu duruma istinaden davalı taraf Kurum’a, adı geçen bankanın KVKK çerçevesinde kişisel verilerin muhafazasını sağlayamadığı iddiası ile başvuru yapmış, Kurul ise veri güvenliğinin sağlanamadığı gerekçesiyle banka hakkında idari para cezası uygulanmasına karar vererek, dava konusu dışında kalan bilgilerin mahkemeye sunulmasını kişisel verilerin korunması mevzuatına aykırı bulduğunu göstermiştir.
Bankanın Kredi Risk Değerlendirmesi
Bankalar faaliyetleri çerçevesinde genel ve sektörel bazda; kredi riski, faiz riski, bilanço riski, operasyonel riskler, iflas riskleri şeklinde çeşitli risklerle karşılaşmaktadırlar. Faaliyetlerini güvenli bir şekilde yürütebilmeleri ise maruz kaldıkları bu risklerin belirlenmesine ve yönetilmesine bağlıdır. Bankacılık Kanunu 52. maddesi ile maruz kalınacak riskleri ölçmek amacıyla gerekli bilgi ve belgelerin temin etme yetkisine sahiptir. Bu bilgi ve belgelerin neler olacağını belirlemek de bankaların inisiyatifine bırakıldığından, kredi risk değerlendirme süreçlerinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel verilerin açık rıza olmaksızın işlenebileceği sonucuna varılmaktadır. Ancak işlenen verilerin yalnızca meşru menfaat amacı için kullanılması gerekir. Aksi durumunda veri işlemenin hukuka uygun olduğundan söz edilemez.
Görüntü Kaydı
Bankacılık faaliyetlerinin güvenli bir şekilde yürütülebilmesi amacıyla bankalarca genel müdürlük birimleri, şubeler ve ATM’ler gibi alanlar güvenlik kamerasıyla kaydedilmek suretiyle izlenmektedir. Kamera ile görüntü kaydedilmesindeki meşru amaç bankaya karşı işlenen suçun ve suçlunun tespiti ile suçun önlenmesi için caydırıcı olmaktır. Bankalarca aydınlatma yükümlülüğüne uyulmak suretiyle görüntülerinin kamera ile kayıt altına alınması bankanın meşru menfaati olarak değerlendirilebilir. Lakin bu işlem kişinin temel ve hak ve özgürlüklerine müdahale etmemelidir.
Biyometrik Veriler
Teknolojinin gelişmesi neticesinde bankacılık sektöründe bankalar müşteri ile yüz yüze yapmış oldukları sözleşmelerde el yazısı ile atılan imza yerine, tablet, bilgisayar ekranı veya benzeri elektronik araçlar üzerine elle veya elektronik kalem vb. araçlarla imza almaya başlamışlardır. İlgili kişinin el yazısı ile tablete, bilgisayar ekranına veya benzeri elektronik olan araçlara atılan biyometrik imzanın kağıda atılan ıslak imzada olduğu gibi, bir biyometrik veri olduğu kabul KVKK uyarınca da özel nitelikli veri olarak değerlendirilmektedir. Bu nedenle bahse konu uygulamaların kullanılmasından önce kişilerin banka tarafından kaydedilen verilerin hangi amaçla ve ne şekilde işleneceği konusunda aydınlatma yükümlüğünün yerine getirilerek, bu konuya ilişkin açık rızasının alınması gerekmektedir.
Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle İlgili Veriler
Banka Çek Kanunu gereğince çek hesabı açtırmak isteyen gerçek veya tüzel kişinin çek yasaklısı olup olmadığını ilgili kanun hükümlerine göre araştırmak zorundadır. Çek talebinde bulunan kişinin çek yasaklısı olması halinde ilgilinin yasaklılık durumu banka sistem kayıtlarına işlenmektedir. Banka, ilgili kişiye ait yasaklılık bilgisini, Çek Kanunu’nda öngörülen bir yükümlülüğe istinaden işlediği için açık rıza aranmasına ihtiyaç bulunmamaktadır. Ancak bankaca kişinin yasaklılık durumuna ilişkin bilginin kullanımı yalnızca Çek Kanunu’nun amacı ile sınırlı olmalıdır. İlgilinin çek yasaklısı olması esas alınarak diğer bankacılık hizmetlerinden mahrum bırakılması veya banka tarafından sunulan avantajlardan yararlandırılmaması hakkaniyete aykırıdır. Bu durumda temel hak ve özgürlükler bakımından kişinin hak ve menfaatinin gözetilmesi gerekirken bunun ihlali ve kötü kullanımı söz konusu olduğundan ilgili açısından KVKK uyarınca da ihlal gerçekleşmiş sayılacaktır.
Bankaların Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, KVKK kapsamında veri sorumlusuna getirilen bir yükümlülük olmakla birlikte aydınlatmanın veri sorumlusu tarafından hangi yöntemle yapılacağı KVKK kapsamında düzenlenen bir husus değildir. Ancak Kişisel Verileri Koruma Kurumu tarafından yayınlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi’nde aydınlatma metninin doğrudan ya da katmanlı veri yöntemi olarak anılan yöntem ile yapılabileceği yönünde görüşler bulunmaktadır. Örneğin bankaların internet sitelerinin giriş sayfasında pop-up95 pencere içerisinde kişisel verilerin işlendiğine ilişkin bir bilgilendirme yapılarak ayrıntılı bilgilerin yer verildiği bir adrese yönlendirme yapılması mümkündür.
Veri sorumlusu her bir veri işleme etkinliği özelinde doğabilecek riskleri ayrıca değerlendirmeli ve işleme amacıyla bağlantılı olarak ilgiliyi bilgilendirmelidir. Bu bağlamda bankaların bankacılık faaliyetleri kapsamında ilgili kişilere yapmış oldukları bilgilendirme dışında kalan özel durumlarda, ilgili kişiye, kişisel verinin elde edildiği aşamada işleme amacına uygun ilave bir bilgilendirme yapılması uygun olacaktır. Bankaların özel bir bilgilendirmeye gerek duyulup duyulmadığını her somut olay bazında değerlendirmesi, her veri işleme özelinde genel olarak hazırlanan bilgilendirme metninin somut olayı karşılayıp karşılamadığı kontrol edilmelidir.
Bilgilendirme yöntemi bir şekil şartına bağlı değilse de aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusu bankaya aittir. Elbette ki banka tarafından aydınlatma yükümlülüğünün şekli seçilirken ilgiliye bilgilendirme yapıldığının ispatının sağlanmasına daha elverişli bir yolun tercih edilmesi faydalı olacaktır. Bu noktada hem açık rızaların alınması hem de aydınlatma yükümlülüğünün yerine getirilmesi sırasında profesyonel bir destek alınması gerekmektedir.
Bankacılık Sektöründe Kişisel Verilerin Aktarılması
25.02.2020 tarihli Resmi Gazete'de yayınlanan 7222 sayılı "Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun'un" 10. maddesi ile 5411 sayılı Bankacılık Kanunu'nun 73. maddesine göre banka görevlileri, sıfat ve görevleri dolayısıyla öğrendikleri bankalara veya müşterilerine ait sırları, bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Ve bu yetkili merciler haricinde, KVKK uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilere aktaramazlar.
Buna göre yalnızca Mal Müdürlükleri, Sermaye Piyasası Kurulu, Cumhuriyet savcısı, mahkemeler ve ilgili diğer kanunlardan belirtilen mercilerdeki yetkili kişilerce talep edilen kişisel veriler bankalar tarafından ilgilinin rızası olmaksızın aktarılabilecektir. Örneğin Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunu’nun şüpheli işlem bildirimi maddesi ile bankacılık faaliyetleri kapsamında gerçekleşen şüpheli işlemlerin bankalarca MASAK’a bildirilmesi zorunludur. Bu kişilere ait verilerin aktarımında ilgili kişilerden açık rıza temin edilmeyecektir. Bunun dışında veri aktarımı için açık rızaya ek olarak talep şartı getirilmesi sebebiyle bankaların KVVK'da düzenlenenden daha sıkı bir veri koruması rejimine tabi kılındığı görülmektedir.
Kişisel Verilerin Silinmesi
Her bankanın büyüklüğü ve faaliyet alanı doğrultusunda işleyeceği verilerin kapsamı ve hacmi de farklılık gösterebilmektedir. Bu nedenle her bir banka, işleyeceği verilerin kapsamı ve hacmine ilişkin gerekli değerlendirmeleri yaparak kişisel veri işleme envanteri oluşturmalı, kendi kaynakları ve yapısını göz önünde bulundurarak oluşturduğu kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikasını belirlemelidir. Bankaların işletmelerinde faydalandıkları muhasebe bilgi sistemi içerisinde işlenen verilerin anlamlı birer mali bilgiye dönüşebilmesi için veri bütünlüğü oldukça önemlidir.
Müşteri tarafından bankaya başvurularak kişisel verilerinin imha edilmesinin talep edildiği durumlarda, banka tarafından öncelikle kişisel verilerin işleme şartlarının mevcut durumu kontrol edilecektir. Eğer ki banka yaptığı kontrol sonucunda işlediği kişisel veriler için veri işleme şartlarının tamamının ortadan kalktığını tespit ederse talebe konu kişisel verileri, siler, yok eder veya anonim hale getirir.
Bir verinin imhası bile, o veriyle ilişkili olan diğer verilerinin tutarlılığını ve hesap verilebilirliğini bozabilmektedir. Örneğin müşteriye tanımlanan kredi limitinin değişkenlerinin izlenmesinde, bilgi işlem döngüsü içerisinde işlenen verilerden tutarlı bir sonuç elde edilebilmesi için kişiye ait kredinin tüm hareketlerinin tutulması ve saklanması gerekmektedir. Bu nedenle bu kişinin kredisine ait bir hareketin veri işlem kayıtlarından imha edilmiş olması verilerin tutarlılığını bozabilmektedir. Bu noktada yaşanabilecek kayıpların önüne geçebilmek için en etkili yöntem ise bu konuda uzman bir yazılım kullanmak olacaktır.
Av. Nagihan Merve AKASLAN
İstanbul Barosu
Kaynakça
Mustafa Tevfik Kartal, “Kişisel Verilerin Korunması: Türk Bankacılık Sektörü Üzerine Kavramsal Bir Değerlendirme”, Uluslararası Ekonomi ve Yenilik Dergisi, c .4, 2018
Seda Aydın, “Bankacılık Sektöründe Kişisel Verilerin Korunması ve İşlenmesinin Bireyler Üzerinde Algısı Ve Etkileri”, İstanbul Arel Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, İstanbul 2018
Göknil Özcan, “Bankacılık İş Ve İşlemlerinde Kişisel Verilerin Korunması”, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, İstanbul 2019