AÇIK BANKACILIK KAPSAMINDA MÜŞTERİ SIRRI ve KVKK BAĞLAMINDA DEĞERLENDİRİLMESİ
Yazar: Direnç Dilara Konaçoğlu
Editör: Tuna Özabuş
Açık Bankacılık Nedir?
İngiltere kökenli olan ”açık bankacılık”, bankacılık işlemlerinde kullanılan finansal verilerin üçüncü taraflarla çeşitli amaçlar doğrultusunda paylaşıldığı bir kurum olarak tarif edilebilir. Açık bankacılık hizmetleri Türk hukukunda Bankacılık Denetleme ve Düzenleme Kurulu (BDDK) tarafından yayımlanan, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in “Tanımlar ve Kısaltmalar” başlıklı 3. maddesinin birinci fıkrasının (a) bendinde “Müşterilerin ya da müşteriler adına hareket eden tarafların API[1], web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” şeklinde tanımlanmıştır.
Açık Bankacılıkta Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 3/1’e göre veri sorumlusu “kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt siteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”yi ifade eder.
Açık bankacılık hizmetlerinde üç temel işleme faaliyeti bulunduğundan söz edilebilir. Bunlar:
- Gerçek kişi müşterinin kişisel verilerinin, bankacılık hizmetlerinin sunulması amacıyla banka tarafından işlenmesi.
- Gerçek kişi müşterinin belirli kategorilerdeki kişisel verilerinin, banka tarafından üçüncü taraf sağlayıcıya aktarımı ve bununla eş zamanlı olarak üçüncü taraf sağlayıcının bu verileri kendi veri kayıt sistemine kaydetmesi. (Bu duruma örnek olarak bankaların API aracılığıyla kendi veri kayıt sistemini üçüncü taraf sağlayıcının kendi veri kayıt sistemine çekmesi için aktarımda bulunulması gösterilebilir.)
- Gerçek kişi müşterinin kişisel verilerinin, açık bankacılık ürün ve hizmetlerinden faydalanılması amacıyla üçüncü taraf sağlayıcı tarafından işlenmesi. (Bu duruma örnek olarak müşterinin üçüncü taraflara aktarılan farklı bankalardaki hesap ve bakiye benzeri bilgilerinin müşteriye harcama veyahut yatırım tavsiyesinde bulunulması için işlenmesi gösterilebilir.[2])
Açık Bankacılık Kapsamında İşlenen Verilerin Hukuki Niteliği:
KVKK m. 3/d kapsamında açık bankacılık bağlamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait olarak işlenen veriler “kişisel veri” statüsündedir.
Açık bankacılıkta işlenen verilerden kimlik doğrulama amacı başta olmak üzere müşteriye ait olan ve üçüncü kişilerce ele geçirilmesi durumunda müşterinin ayırt edilebilme mekanizmalarının zarar göreceği veya bu kişilerce dolandırıcılık vb. hukuka aykırı işlemler yapılmasına imkan verebilecek nitelikteki veriler “hassas veri” statüsündedir.[3]
Bankacılık faaliyetlerine özgü olarak bankalarla müşteriler arasındaki hukuki bir ilişki kurulmasından itibaren gerçek ve tüzel kişilere ait veriler “müşteri sırrı” statüsündedir.[4]
- Kişisel Veri Niteliğindeki Veriler:
Bankalar ve üçüncü taraf sağlayıcılar bakımından gerçek kişiyle ilgili belirli veya belirlenebilir nitelikteki tüm veriler KVKK uyarınca kişisel veri niteliğindedir. Açık bankacılık kapsamında iki bileşenli kimlik doğrulaması bu konuda örnek teşkil edebilir. BDDK tarafından hazırlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’e göre biyometrik verilerin kişisel veri kapsamında işlenmesi mümkündür (m. 34/1).
Biyolojik veriler kişinin kimliğini tanımlamaya ya da doğrulamaya yarayan; kişiye ait fizyolojik, fiziksel veya davranışlar özellikler içeren verilerdir..[5] Dolayısıyla açık bankacılık kapsamında kişinin parmak izi, avuç içi izi dahil olmak üzere kişinin harcama alışkanlıkları da biyometrik veriye örnek gösterilebilir.
- Hassas Veri Niteliğindeki Veriler:
Ödeme Hizmetleri Direktifi 2’ye göre (PSD 2[6]) hassas ödeme verisi, “kişisel güvenlik kimlik bilgileri de dahil olmak üzere sahtekarlık amacıyla kullanılabilecek veriler” şeklinde tanımlanmıştır. (PSD 2 m. 4/32)
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik incelendiğinde madde 3/o’da hassas veri tanımı ile bu verilere yönelik bir tanım yapılmıştır. Söz konusu maddede hassas veri, “Kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi hâlinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki veriler” olarak tanımlanmıştır.
Özellikle kimlik doğrulama amacıyla kullanılan müşteriye ait parola, parmak izi gibi işlem güvenliğini sağlamak ve özellikle elektronik bankacılık hizmetlerinde müşterinin ayırt edilmesini sağlamak amacıyla kullanılan veriler, hassas veri niteliğinde değerlendirilebilir. Dolayısıyla kural olarak hassas veriler, özel nitelikteki kişisel veri vasfını taşımasalar da kişinin parmak izinin kimlik doğrulama amacıyla kullanılması gibi istisnai durumlarda hem hassas veriden hem de özel nitelikteki kişisel veriden söz edilebilecektir.
- Müşteri Sırrı Niteliğindeki Veriler:
Bankacılık Kanunu m. 73’te müşteri sırrı, “Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler” olarak tanımlanmıştır. KVKK kapsamında yalnızca gerçek kişilere ait verilerin müşteri sırrı bağlamında incelenebileceği aşikârdır.
Müşteri sırrı kavramı açısından üzerinde durulması gereken noktalardan biri de sırrın ne olduğudur. Kişisel veri bağlamında düşünüldüğünde sır, kişinin gizli bilgi ve belgeleridir. Gizlilikten kasıt, alenen bilinilmiyor olmaktır. Bu bağlamda sır kavramının belirlenmesinde bir sübjektif ve bir objektif unsuru bulunuyor olduğundan bahsedilmektedir. Sübjektif unsur, saklanması konusunda sahibinin iradesinin bulunması; objektif unsur ise sırra konu bilgilerin daha önce başkaları tarafından bilinmiyor veyahut belirli sayıda kişi tarafından biliniyor olmasıdır.[7] Mevzuatımızda esasen sır kavramına yer veren haksız rekabete ilişkin Türk Ticaret Kanunu’nun 57/7. maddesinde sır, “hüsnüniyet kaidelerine aykırı bir şekilde elde ettiği veya öğrendiği imalat veya ticaret sırlarından haksız yere faydalanmak veya onları başkalarına yaymak” olarak tanımlanmıştır.
Bazı taraflar müşteri sırrı kavramının, tarafı korumak için olabilecek en geniş anlamıyla anlaşılması gerektiğini savunmaktadır. Bu noktada, bankanın müşterisiyle yaptığı işlemlerin müşteri sırrı kapsamında olduğu gibi o bankanın müşterisi olmasa dahi bankaya havale talimatı veren kişi ile banka arasında da müşteri ilişkisi ve müşteri sırrı ilişkisi bulunmaktadır. Bu anlayışa göre bankada herhangi bir hesap numarası bulunmayan bir kişinin anlık bir işlemi gerçekleştirmek adına banka şubesine girmesi, kişiyi bankanın müşterisi yapmak için yeterli olacaktır[8]
Öğretideki aksi görüşe göreyse müşteri ilişkisi kurulmamış kişilere ait verilerin müşteri sırrı kapsamında korunmasına gerek yoktur. Bu görüşün temelinde, aşağıda detaylıca bahsedilecek BDDK tarafından yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’in ilgili maddesinde geçen “Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı hâline gelir.” lafzı yatmaktadır. Bu bağlamda örneğin bir bankadan finansal bir ürün almak için başvuruda bulunan kişilerin başvurularının belirli gerekçelerle reddedilmesi durumunda, bu kişilere ilişkin veriler müşteri sırrı kapsamında değerlendirilmeyecektir.
Hangi görüş benimsenirse benimsensin gerçek kişilere ait veriler müşteri sırrı sayılmasa bile KVKK kapsamında kişisel veri sayılacağından, yönetmelikle getirilen yeni düzenlemeye uyum sağlanması konusunda bu nokta gözden kaçırılmamalıdır.
Müşterinin Talep ya da Talimatı
2020 yılında 7222 sayılı Kanun ile Bankacılık Kanunu m. 73’e eklenen cümle ile müşteri sırrı niteliğindeki verilerin müşterinin açık rızası alınsa dahi ondan gelen bir talep ya da talimat olmaksızın yurt içindeki veya yurt dışındaki üçüncü taraflara aktarılamayacağı düzenlenmiştir.[9]
Kanun koyucunun ilgili maddenin gerekçesi yönünden görüşü, “Öte yandan, sır saklama ödevinin yükümlüsü olan bankaların kanunların tanıdığı bir istisna ya da herhangi bir mecburiyet bulunmadığı hâlde, 6698 sayılı Kanun uyarınca kendi belirleyecekleri amaç ve yöntemler için ve kendi hazırlayacakları rıza metinleri ile bu yükümlülüklerini delmeleri yasaklanmakta, bu kapsamda, sır saklama yükümlülüğünün bankanın aktif rol aldığı rıza metni yöntemiyle değil, sır sahibi müşterinin aktif rol aldığı ”müşterinin talebi ya da talimatı” yöntemiyle kaldırılabilmesini sağlamak amacıyla düzenleme yapılmaktadır. Bunun yanında, 5411 sayılı Kanun’un 73. maddesinin 4. fıkrası uyarınca sır saklama yükümlülüğünden istisnaya tabi tutulan tarafların bu kolaylığı suistimal ederek fıkrada belirtilen amaçlarla orantılı olmayacak şekilde sır niteliğindeki bilgileri paylaşmalarının önüne geçilmesi amaçlanmaktadır.” şeklindedir.
Gerekçede, kanun koyucunun konuyu ele alış şeklinin altında yatan sebepler incelendiğinde kanun koyucunun KVKK kapsamında alınan rızaların güvenilirliğinin sorgulanmaya açık olduğu, verilen rızaların özgür iradeye dayanmadığı ve açık rızanın kolayca suistimal edilebileceği görüşünde olduğu görülmektedir.
İlgili madde lafzında geçen “müşterinin açık rızası alınsa dahi” söyleminden, açık rıza olmaksızın talep ya da talimat doğrultusunda verilerin yurt dışına aktarılabilmesine imkân tanındığı şeklinde yorum yapmak mümkündür. İşbu düzenleme, müşteri tarafından verilen açık rızanın yok sayılmasına cevaz vermektedir. Açık rıza, kural olarak rıza veren kişinin özgürce ortaya koyduğu ”olumlu irade beyanı” niteliğindedir. Dolayısıyla gerçek kişi müşterilerine ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK m. 4’te yer alan genel ilkelere uyma zorunluluğu söz konusuyken, ilgili düzenlemeyle bu zorunluluk bertaraf edilmektedir. ”Aydınlatma yükümlülüğü” ve ”açık rıza” temininin mevzuata uygun şekilde yerine getirildiği hâllerde ayrı bir talep ya da talimat ihtiyacının doğmasını sağlamak, rızanın işlevini göz ardı edeceği gibi KVKK’ya da aykırılık teşkil edecektir.
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik
BDDK tarafından Bankacılık Kanunu’nun 73 ve 93. maddelerine dayanarak hazırlanan 4 Haziran 2021 tarihli ve 31501 sayılı Resmi Gazete’de yayımlanan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” uyarınca, sır saklama yükümlülüğüne çeşitli düzenlemeler getirilmiş ve bu yükümlülüğe istisna hâller detaylıca sıralanmıştır. Yönetmelik’te sınırlı olarak sayılan istisna hâllerinde söz konusu paylaşımların sır saklama yükümlülüğüne aykırılık teşkil etmemesi, gizlilik sözleşmesi yapılması ve paylaşımların belirtilen amaçlarla sınırlandırılması koşullarına bağlanmıştır.
Yönetmeliğin ikinci bölümünde sır saklama yükümlülüğünün kapsamı, “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkalarına açıklayamazlar.” şeklinde belirlenmiştir. Bölümün devamında sır saklama yükümlülüğünün bankalarda müşteri ilişkisi kurulduktan sonra oluşan verilerin müşteri sırrı kapsamında olduğu belirtilmiştir. Ancak müşteri ilişkisi kurulmamış olsa dahi başka bir bankaca sahip olunan müşteri sırrı niteliğindeki verilerin öğrenilmesi, ilgili bankayı da yükümlü kılmaktadır. Söz konusu tanımın kapsamı incelendiğinde Bankacılık Kanunu m. 73 ile paralellik gösterdiği görülmektedir. Bu noktada müşteri sırrı kapsamı kişisel veri kavramına yaklaştırılmıştır.
Yönetmeliğin diğer maddesinde, bankaların risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterinin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşterinin talep ya da talimatı alınmışsa söz konusu kurumların bilgilerini doğruluğunu teyit etmesi sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği şeklinde düzenleme getirilmiştir. Her ne kadar yönetmelik, bilgilerin doğruluğunun teyidi için sadece doğru olup olmadığı şeklinde cevap verilmesini aramış olsa da KVKK kapsamında açık rıza verme iradesi göz ardı edilerek yalnızca talep ya da talimat şartının aranması, yukarıda ele alınan çatışmanın önemli bir örneği niteliğindedir.
Verilerin paylaşımıyla ilgili ilkeler madde 6’da düzenlenmiştir. Buna göre müşteri sırrı ve banka sırrı niteliğindeki belgeler, sadece belirtilen amaçlarla sınırlı olmak koşuluyla ve ölçülülük ilkesine uygun olarak paylaşılabilir. Bu noktada paylaşılan verinin sadece bir kısmının değil tamamının belirtilen amacın gerçekleşmesi için gerekli olduğunun kanıtlanabilir olması gerekmektedir. Verilerin isimsiz hâle getirilmesi, toplulaştırılması veya kimliksizleştirilmesi hâlinde amaca ulaşma bağlamında bir değişiklik söz konusu olmayacaksa bu değişikliklerin gerçekleştirilmesi gerekmektedir.
Yönetmeliğin 6. maddesinin üçüncü fıkrasında, “…müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart hâline getirilemez.” denilmiştir. İlgili maddenin devam fıkrasında, müşterinin talep ya da talimatının süreklilik arz eden işlemler için süresiz olabileceği veya birden çok işlemi kapsayabileceği düzenlenmiştir. Kanun koyucunun rıza verme eyleminin rıza yorgunluğuna dönüşmesini engellemeyi amaçladığı söylenebilir. Bu noktada rıza yorgunluğu kavramına da değinmekte fayda olacaktır. Rıza yorgunluğu, kişinin kişisel verilerinin işlenmesine yönelik taleplere topluca olumlu veya olumsuz tepki gerçekleştirmesi sonucu kişisel veri işlemeye yönelik rızanın talep edilmesinin anlamsızlaşması olarak düşünülebilir. Örnek olarak kişilerin internette gezinirken kişisel verilerinin çerezler (cookies) aracılığıyla işlenmesi veya işlenmemesi tercihinde bulunmaları gösterilebilir. [10]
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
Bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esasları düzenleme amacı taşıyan yönetmeliğin “Verilerin Paylaşılması” başlıklı 10. maddesinde, Bankacılık Kanunu’nun 73. maddesinde yapılan değişikliklere paralel bir düzenleme getirilmiştir. İlgili maddede, “Banka, müşterinin kendisinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, Kanunda yer alan istisnai hâller haricinde yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamaz ve bunlara aktaramaz.” denilmiş ve maddenin devamında müşterinin, bilgilerini paylaşmaya açık rıza göstermesi verilecek hizmet için bir ön şart hâline getirilemez denilerek açık rızanın herhangi bir şarta bağlanamayacağı belirtilmiştir. Bu konuya örnek olarak bankaların hizmet sözleşmesinin bir parçası olarak müşterinin ödeme detaylarının üçüncü kişilerle pazarlama amacıyla paylaşılmasına yönelik rıza alması verilebilir. Sözleşme konusu bankacılık hizmeti açısından doğrudan gerekli olmayan bu veri işleme faaliyetine yönelik rıza, hizmetin ön şartı hâline getirilmiş olup dolayısıyla özgür bir biçimde verilmiş olma koşulunu sağlamadığı için geçersiz olacaktır.[11]
Öte yandan istenen veriler, sözleşmenin kurulması veya ifası kapsamındaki yükümlülüklerin yerine getirilmesi için gerekliyse bu durumda kişisel verilerin işlenmesi için kişinin açık rızasının alınmasından söz edilemeyecektir. Örneğin, bankaların müşterileri olan veya olmayan ilgili kişilere yönelik sunduğu bazı hizmetler için (SMS ile kredi talebi gibi) talebin alınması, değerlendirilmesi ve cevaplanması süreçlerinde kişisel veri işlenmekte ancak taraflar arasında henüz bir sözleşme bulunmamaktadır. Banka ile ilgili kişiler arasındaki sözleşme ilişkisinin kurulma aşamasına (icaba davet ve icap) ilişkin veri işleme faaliyetleri açısından da ilgili kişilerden açık rıza alınması gerekmemektedir. Bir kredi sözleşmesindeki borç veren taraf olan bankanın, bildirimlerin yapılması için kişiye ait her türlü iletişim bilgisine sahip olması gerekmekte olup bunun için kişinin açık rızasının alınmasına gerek bulunmamaktadır.[12]
SONUÇ
Bankacılık Kanunu’nun 73. maddesine eklenen cümle ile müşteri sırrı niteliğindeki verilerin müşterinin açık rızası alınsa dahi ondan gelen bir talep ya da talimat olmaksızın yurt içindeki veya yurt dışındaki üçüncü taraflara aktarılamayacağı maddesinin özü ve kanun koyucunun benimsediği amaç incelendiğinde müşterinin talep ve talimatının müşterinin özgür iradesine dayanmasının açık rızanın bazı unsurlarıyla benzeştiği söylenebilecektir. Nitekim 7222 sayılı Kanun m. 10 gerekçesinde dikkat çekilen “ilgili kişinin aktif rol alması” koşulu ile açık rızanın “özgür bir iradeyle ortaya koyulması” ve “olumlu irade beyanına dayanması” koşulları temelde aynıdır.
Öte yandan, madde 73’ün lafzı dikkate alındığında Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ile açık rızanın yok sayılması, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te ise açık rıza tanımı yapılarak şartlarının çerçevelendirilmesinin mevzuatta uyuşmazlığa neden olduğu yadsınamazdır.
KAYNAKÇA
5411 sayılı Bankacılık Kanunu
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, 2020
DÜLGER, V., Kişisel Verilerin Korunması Hukuku, Seçkin Yayınları, Ankara, 2019
Kişisel Verileri Koruma Kurumu, Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber, Ankara, 2021
Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’ Ankara, 2022
REİSOĞLU R., Bankacılık Kanunu Şerhi (2 Cilt), Cilt II, Adalet Yayınları, 2007
TAŞDELEN, S., Bankacılık Kanunu Şerhi, Onikilevhayayınları, İstanbul, 2006
TAŞTAN, F. ve SARUHAN, U., Açık Bankacılık KVKK’yaBir Tehdit Mi?, Ankara Yıldırım Beyazıt Üniversitesi Medeni Hukuk Makale Koleksiyonu, Ankara, 2020
DİPNOTLAR
[1] API (Application Programming Interface) farklı uygulamaların birbirleriyle etkileşime girerek veri alışverişi yapmasını sağlayan ara yazılım olarak tanımlanabilir. API’ler genellikle bir uygulamanın özelliklerini geliştirmek ve işlevselliğini artırmak veya süreçleri otomatik hâle getirmek için kullanılır.
[2] Taştan-Saruhan, ‘Açık Bankacılık KVKK’ya Bir Tehdit Mi?’, Ankara Yıldırım Beyazıt Üniversitesi Medeni Hukuk Makale Koleksiyonu, s. 28, 2020
[3] Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik m. 3/o
[4] 5411 sayılı Bankacılık Kanunu m. 73/3
[5] Kişisel Verileri Koruma Kurumu tarafından yayımlanmış olan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber
[6] PSD 2 ve PSD (Revize Edilmiş Ödeme Hizmetleri Direktifi) Avrupa’daki ödeme hizmeti sağlayıcıları için kural ve düzenlemeleri belirleyen Avrupa Birliği mevzuatıdır. PSD2, finans piyasasına yeni oyuncular getirerek ödemeleri daha güvenli, daha hızlı ve daha emniyetli hâle getirmeyi amaçlamaktadır.
[7] Taşdelen, Servet, ‘Bankacılık Kanunu Şerhi’, 2006 s. 752
[8] Prof. Dr. Seza Reisoğlu (2007), ‘Bankacılık Kanunu Şerhi’, Cilt II, Ankara
[9] Bankacılık Kanunu m.73/3: “Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.”
[10] Taştan, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2017 “Özellikle internet ortamında rıza beyanlarının alınmasında farklı mekanizmaların kullanılmasına izin verilmeli, hangi veriye yönelik nasıl bir işleme gerçekleştiriliyorsa bu kapsam ve amacı yansıtan bağlamsal bir yaklaşım kabul edilmelidir.”
[11] Doç. Dr. Murat Volkan DÜLGER, Kişisel Verilerin Korunması Hukuku, 2019, s. 145.
[12] KVKK Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi