Kişilerin temel hak ve özgürlüklerinden birisi olan kişisel verilerin korunması, gelişen teknoloji ve buna bağlı değişen hayat koşulları içerisinde oldukça önemli bir konu hâline gelmiştir. Özellikle hassas kişisel verilerin işlendiği, korunduğu ve saklandığı bankacılık işlemlerinde, bankaların ilgili kişilerin kişisel verilerine karşı gerekli idari ve teknik tedbirleri almaları ve veri ihlallerine karşı bir güvenlik duvarı oluşturmaları, kişilik hakkı olan kişisel verilerin değeri gözetildiğinde oldukça önem arz etmektedir. Günümüzde fiiliyatta bankaların bunu sorunsuz sağlayabilecek bir teknik altyapıya, sisteme sahip olamamalarından ötürü bu kanuni güvenliğin gerçekten sağlanamadığı görülmektedir.
13.04.2021 tarihli Kurul kararına konu veri ihlalinde, bir banka çalışanı tarafından kendisine görevi nedeniyle tanımlanan Bankalar Birliği Risk Merkezi istihbarat kayıtlarını sorgulama yetkisi, görevi dışında kullanılarak sorgulamalar yapılmış ve edinilen bilgiler üçüncü kişilere aktarılmıştır. Bu veri ihlalinden üçüncü kişilere ait T.C. kimlik numarası, ad, soyad, iletişim bilgileri, kredi risk ve teminat durumu, ödeme performans bilgileri, karşılıksız çek ve protestolu senet ödeme bilgileri etkilenmiş, bu bilgilerin üçüncü kişiler ile hukuka aykırı bir şekilde paylaşıldığı tespit edilmiştir[1].
Bu kapsamda güven kuruluşu olarak kabul edilen bankalar nezdinde gerçekleşen kişisel veri ihlallerine dair değerlendirme ve açıklamalara ise aşağıdaki başlıklarda detaylıca yer verilmiştir.
2.Bankaların Güven Kuruluşu Olarak Kabul Edilmelerinin Niteliği
TTK’nın 18/2. maddesi kapsamında düzenlenen basiretli bir tacir gibi davranarak ticari işlerin yürütülmesi hususu aynı zam anda bankalar için de söz konusudur. Ancak burada bankaların daha da ağırlaştırılmış bir hukuki sorumluluğunun bulunduğunu belirtmekte yarar vardır[2]. Çünkü bankalar kamu nezdinde güven uyandıran kuruluşlardır ve kamu nezdinde önem arz eden bir güvenin korunmasının da sıradan bir tacire kıyasla daha yüksek özenle hareket gerektireceği açıktır. Diğer taraftan, TBK’nın 115/3. maddesi; “Uzmanlığı gerektiren bir hizmet, meslek veya sanat, ancak kanun ya da yetkili makamlar tarafından verilen izinle yürütülebiliyorsa, borçlunun hafif kusurundan sorumlu olmayacağına ilişkin önceden yapılan anlaşma kesin olarak hükümsüzdür” hükmünü ihtiva etmektedir.
Ancak bankalar, yükümlülüklerini yerine getirirken objektif özen ile davranmak zorundadırlar. Bankalar için söz konusu olan ağırlaştırılmış özen sorumluluğu nedeniyle bankaların, hafif kusurdan dahi sorumlu tutulacakları kabul edilmektedir[3].
Bir güven kuruluşu olarak kabul edilen ve belli bir tanınmışlığı bulunan Banka bünyesinde tespit edilen veri ihlali ile kişilerin bankalara duyduğu güvenin zedelenmesi kuvvetle muhtemel hâle gelecektir.
Diğer taraftan veri işleyenin ilgili kişi ile herhangi akdi bir ilişkisinin olmaması sebebiyle veri işleyenin hukuka aykırı bir fiilinden dolayı haksız fiil sorumluluğu gündeme gelecektir. Kişisel Verilerin Korunması Hakkında Kanunun (“KVKK”) 12. maddesindeki hüküm uyarınca veri sorumlusu da veri işleyenin söz konusu haksız fiilinden ötürü, veri işleyenle birlikte sorumlu addedilecektir. Bu bağlamda veri işleyenin; veri sorumlusu adına ve veri sorumlusunun verdiği talimat gereği işin ifası sırasında ilgili kişiye vermiş olduğu zararın, veri sorumlusu tarafından tazmin edilmesi gerekliliğinden söz etmek mümkün olacaktır[4].
Öte yandan TBK’nın 66. maddesi kapsamında adam çalıştıranın, çalışanın kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlü olduğu öngörülmüştür. Adam çalıştıranın, zarar meydana geldiğinde özen yükümünü yerine getirmediği karine olarak kabul edilir. Buna karşın sorumluluğun tayini açısından veri sorumlusu tarafından TBK’nın 66/2. maddesi kapsamında, veri işleyeni seçerken, veri işleme faaliyetiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğinin ispat edilebilmesi gereklidir[5]. Yine TBK’nın 66/4. maddesi uyarınca veri sorumlusu tarafından tazmin etmiş olduğu zarar için, veri işleyene, onun sorumlu olduğu ölçüde, rücu edilebilecektir. Tüzel kişi organını oluşturan kişiler için özel sorumluluk hali düzenlenmiş olduğundan tüzel kişi, TBK’nın 66. maddesi uyarınca sorumlu tutulmayacaktır. Tüzel kişiliğin olduğu hallerde veri sorumlusu da tüzel kişilik olacağı için sorumlu kişilik zaten tüzel kişilik olacaktır. Yönetimle görevli kişilerin sorumlulukları ise yine özel düzenlemelere tabidir[6].
Veri işleyenin ifa yardımcısı olması hali kapsamında değerlendirecek olursak da çalışan, çalıştıranın bir üçüncü kişiye olan borcun ifasında yardımcı oluyorsa ve çalışan bir borca aykırı davranışla alacaklıya zarar vermiş ise bu halde çalıştıran bu yardımcı şahsın fiillerinden sorumludur[7]. Ancak bazı durumlarda yardımcı şahsın davranışı hem borca aykırılık hem de genel davranış kurallarına aykırılık teşkil ediyor ise çalıştıranın TBK’nın 66. ve 116. Maddesi hükümlerinden kaynaklanan sorumlulukları gündeme gelecektir. Bu durumda da veri sorumlusunun veri işleyeni ifa yardımcısı olarak kullanması halinde uygulama alanı bulacak hüküm aynı kanunun 116. maddesi olacaktır ve ortaya çıkan zarardan her halde sorumlu tutulacaktır[8].
Veri işleyen tarafından gerçekleştirilen ihlali Türk Ceza Hukuku kapsamında değerlendirecek olursak; veri işleyenin hukuka aykırı bir şekilde kişisel verileri kaydetmesi, üçüncü kişiye aktarması, ele geçirmesi veya yok etmemesi fiillerinden doğan cezai sorumluluk, şahsilik ilkesi gereği sadece veri işleyeni kapsayacak olup, veri sorumlusunun herhangi bir cezai sorumluluğu bulunmayacağının kabulü gereklidir.
- Bankacılık Faaliyetleri Kapsamında Kişisel Verilerin Korunması
KVKK ile uyum amacıyla Bankacılık Kanunu’nun 73. maddesi kapsamında önemli bir kanuni değişiklik yapılmış olmasının yanı sıra özellikle elektronik bankacılık hakkında düzenlemeler ve ilgili ortamda verilerin korunmasının hakkındaki Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Yönetmelik”) yayımlanmıştır[9].
25 Şubat 2020 tarihli Resmî Gazetede yayımlanarak yürürlüğe giren “Bankacılık Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun“un 10. maddesi ile Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73. maddesine yeni düzenlemeleri eklenmiştir[10]. KVKK ile uyumun sağlanması amacıyla Bankacılık Kanunu’nun 73. maddesi kapsamında yapılan değişiklikler uyarınca müşteri sırrı niteliğindeki bilgilerin, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve dışındaki üçüncü kişilerle paylaşılamayacağı ve aktarılamayacağı (7222 Sayılı Kanun m. 10) düzenlenmiştir.
Yönetmeliğin “Siber olay yönetimi, sızma testi ve siber istihbarat paylaşımı” başlıklı 18. maddesinde ise bankalara, bünyelerindeki siber olayların yönetimi ve siber olaylara müdahale amacıyla yeterli teknik ve operasyonel becerilere sahip bir kurumsal siber olaylara müdahale ekibi kurulması yükümlülüğü getirilmiştir. Banka bünyesinde oluşturulacak Kurumsal SOME (“Siber Olaylara Müdahale Ekibi”) ile siber olayların BDDK’ya ve bankanın ilgili yönetim birimlerine raporlanması amaçlanmıştır[11].
Ülkemizde yaşanan veri ihlallerine benzer birçok ihlal diğer yabancı ülkelerde de söz konusu olabilmektedir. Örneğin, 2017 yılında bir kredi raporlama kuruluşu olan Equifax da yaşanan veri ihlali kapsamında, kişisel bilgiler, doğum tarihleri, telefon numaraları, sosyal güvenlik numaraları ve e-posta adresleri gibi tanımlayıcı bilgiler ve oldukça fazla kişinin kredi kartı numaralarının çalındığı tespit edilmiştir. Bu durum ciddi maddi zararlara neden olmuş ve yapılan incelemelerde ise çekirdek tüketici veya ticari kredi raporlama veri tabanlarında yetkisiz faaliyet olduğuna dair hiçbir kanıtın bulunamadığı belirtilmiştir. Yaşanılan veri ihlali akabinde Equifax tarafından ihlalden etkilenenlere gerekli bildirimler yapılmış ve bu ihlalden etkilenmelerinin bir nevi telafisi -aynı zamanda kendi itibarlarını korunmak amacıyla- olarak Equifax tarafından ilgili kişilere 12 aylık ücretsiz kredi izleme ve kimlik hırsızlığı koruması hizmeti sağlanmıştır[12].
Bu örnekler sonrasında basın ve yayın organları tarafından olaylar hakkında yayınlanan yazılarda da özellikle, bu veri ihlallerinin banka ve kredi kuruluşlarının intibaları üzerindeki olumsuz etkisinin vurgulandığı gözlenmektedir[13].
- Sonuç
Sonuç olarak, gelişen teknoloji ve buna bağlı sunulan hizmetlerde artan çeşitlilik ile çok sayıda insan elektronik bankacılık faaliyetlerini kullanmaya başlamış durumda ancak bu artışa rağmen, bankacılık faaliyetleri yoluyla, ilgili kişilerin verilerinin üçüncü kişilere aktarılmasına yönelik ihlallere devam edilmesi halinde toplumun başta elektronik bankacılık faaliyetlerinden yararlanmaktan uzaklaşabileceği unutulmamalıdır.
Banka kuruluşları kamu nezdinde kazandıkları güveni koruyabilmek adına gerekli tüm idari ve teknik tedbirleri alabilmelidir. Banka çalışanı tarafından görev adı altında hiçbir verinin dışarıya sızdırılamayacağının tam anlamda sağlanması gerekmektedir. Ancak gelinen aşamada her ne kadar bankalarda işlenen verilere kanuni düzenlemeler açısından önemli boyutta bir güvenlik sağlanıyor olsa da fiiliyatta bankaların bunu sorunsuz sağlayabilecek bir teknik altyapıya, sisteme sahip olamamalarından ötürü bu kanuni güvenliğin gerçekten sağlanamadığını görmekteyiz.
*İşbu yazı Ankara Barosu Dergisi 2022 – Cilt: 80 Sayı: 1’de yayınlanan makaleden alıntılanarak oluşturulmuştur (https://dergipark.org.tr/tr/pub/abd/issue/70043)
[1] Bkz. https://www.kvkk.gov.tr/Icerik/6950/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yapi-ve-Kredi-Bankasi-AS
[2] Battal, Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, s.37.
[3]Yağmur Turan, “Türk Hukuku ve Yargıtay Kararları Işığında Bankaların Hukuki Sorumluluğuna İlişkin Örnek Değerlendirme”, https://www.elmasyesiloglu.com/tr/blogumuzu-kesfedin/makaleler/turk-hukuku-ve-yargitay-kararlari-isiginda-bankalarin-hukuki-sorumluluguna-iliskin-ornek-degerlendirme , (İET: 07.05.2021). Ayrıca bkz. Yargıtay Hukuk Genel Kurulu’nun 10.06.2015 tarihli, 2013/11-2426 E., 2015/1540 K. sayılı kararı.
[4]Ali Aydın, “KVKK Kapsamında Veri İşleyenin Sorumluluğu”, İstanbul Barosu, Mayıs 2020. s.30 vd
[5]Fikret Eren, Borçlar Hukuku, Ankara 2014, 17. Baskı, s.618,619.
[6]Kemal Oğuzman/Turgut Öz, Borçlar Hukuku Genel Hükümler, Cilt 2, İstanbul 2013, s.114 vd.
[7]Eren, Borçlar Hukuku, s.618,619.
[8]Tekin Memiş, “Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni”, Beykent Üniversitesi Hukuk Fakültesi Dergisi, Cilt 3, Sayı 6, Aralık 2017, s.15 vd.
[9] Bkz: R. G.,15.03.2020 gün, s:31069, https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm(İET: 10.05.2021).
[10] Madde 73:“Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.” ve “Sır niteliğindeki bilgilerin, üçüncü ve dördüncü fıkralar uyarınca yapılacak paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Kurul yetkilidir.”
[11] Kurul tarafından bir banka nezdinde gerçekleşen veri ihlali ile ilgili olarak tesis edilen 26.11.2019 tarihli 2019/362 sayılı kararda ise özetle: “…Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısının olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı, bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu…” belirtilerek özellikle bankaların almakla yükümlü oldukları teknik tedbirlere vurgu yapılmış, netice itibariyle de veri sorumlusu aleyhine ihlaller kapsamında belli miktarda idari para cezasına hükmedilmiştir
[12]Bkz. https://www.equifaxsecurity2017.com/consumer-notice/(İET: 10.05.2021).
[13]Bkz.https://www.webtekno.com/yapi-kredi-veri-ihlali-h108762.htmlhttps://www.yenicaggazetesi.com.tr/yapi-kredide-buyuk-skandal-binlerce-musteriyi-ilgilendiriyor-446377h.htm, https://www.nytimes.com/2017/09/07/business/equifax-cyberattack.html(İET: 10.05.2021).
Yazı: Ezgi Alımcı, Tunca Avukatlık Ortaklığı
Not: Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
Irk Ayrımcılığı ile Mücadelede Toplumsal ve Bireysel Sorumluluk
Çeşmeler Musluklar ve Etik İkilem
Uluslararası Veri Aktarımının Global Kuralları
FEPA’nın Getirdikleri
Uluslararası Veri Aktarımının Global Kuralları
Avrupa Birliği’nde Kurumsal Sürdürülebilirlik Durum Tespiti Direktifi İçin Yürütülen Mücadelede Sona Gelindi!
Atatürk’ün TBMM’deki Etik Liderlik Örnekleri
Çeşmeler Musluklar ve Etik İkilem