Elektronik Postayla Ekstre Gönderilmesi Dönemi Sona Erdi

20 Haziran 2020 Tarihli ve 31161 Sayılı Resmi Gazetede yayımlanan “Bankaların Bilgi Sistemleri  Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” yayınlandı. Bu Yönetmelik ile, 15.03.2020 tarihli Resmi Gazete’de yayımlanan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”in yürürlük tarihinde değişiklik yapıldı.  Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’ in 37. maddesinin 8. fıkrası hükmü bankalara elektronik ortamda müşterilerinin hassas veya sır niteliğindeki verileri içeren her türlü ekstre, dekont hesap özeti gibi bilgilerini bankacılık hizmeti sunulan kanal üzerinden paylaşmayı zorunlu hale getirmişti. 

 Küresel pandemi koşullarından önce aslen 01.07.2020 tarihi itibariyle tümüyle yürürlüğe girecek olan yönetmelik, yapılan değişiklik sonucunda 01.01.2021 tarihinde yürürlüğe girecek. Öte yandan bankalara açıklanan yükümlülüğü getiren yönetmeliğin 37/8 hükmü için yürürlük tarihi değiştirilmedi.

Bu Hüküm Ne Sağlıyor?

Veri minimizasyonu ve verilerin korunması ilkeleri çerçevesinde müşterilere ait ve Yönetmelikte “hassas veya sır niteliğinde” olarak adlandırılan verilerin, sunucuların önemli bir kısmının yurt dışında bulunmasından kaynaklı olarak gayri ihtiyari yapılan verilerin yurtdışına aktarılması faaliyetinin önüne geçilmesi ve bu anlamda kişisel verilerin korunması kanunuyla uyum yakalanması sonuçlarına da ulaşılmış olacak.  

Bu sebeple bankalar artık hesap dökümü, ekstre gibi müşteri bilgilerini mobil bankacılık veya internet bankacılığı kanallarından kimlik doğrulamalar gerçekleştirildikten sonra gösterecekler. Mobil uygulamalara ve internet bankacılıklarına eklenecek olan seçeneklerle kullanıcılar kendilerine ait bu gibi bilgileri ilgili sekme ve arayüzlerden takip edebilecek ve inceleyebilecekler. 

Bankacılık Düzenleme ve Denetleme Kurumu bu düzenlemeyle yalnız yurt dışına veri aktarımının engellenmesini değil aynı zamanda verisi işlenen müşterilerin de bilgilendirilmesi zorunluluğunu getiriyor. 

Kişisel Verilerin Korunması Boyutu

Yönetmelikte hassas ve kişisel verinin tanımına yer verilmiş ve Kişisel Verilerin Korunması Kanunu ile bütünlük yakalanmaya çalışılmıştır. Tanımlar kısmında verilmiş olan kişisel veri tanımı yönetmelikte şu şekilde ifade edilmiştir:

         Kişisel veri: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda tanımlanan kişisel veriyi,

          Hassas veri ise kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki veriler olarak tanımlanmıştır. Her ne kadar 6698 sayılı kanunda alenen “hassas” veri tanımına yer verilmemiş olsa da, Kişisel Verileri Koruma Kurumu’nun yayınladığı “ 6698 Sayılı Kanun’da Yer Alan Temel Kavramlar” isimli rehberde özel nitelikli kişisel veriler tanımında eş anlamlısı olacak şekilde hassas veri terimine de yer verilmiştir. Öte yandan, 6698 sayılı kanunun mehazı olan Avrupa Birliği Veri Koruma Tüzüğü (GDPR) çerçevesinde düzenlenen “hassas veri” ile aynı olduğunu söylemek de mümkün değildir. Çünkü GDPR’ da yer hassas veri kavramı için çizilen çerçeve BDDK’nin ilgili yönetmeliğinde çizilen çerçeveden çok daha geniş kapsamlıdır. 

 Öte yandan Yönetmelikte sır niteliğindeki verinin tanımına yer verilmeyerek yoruma açıklık bırakılmıştır. Zira Yönetmelik’te Kişisel Verilerin Korunması Kanununda tanımlanan  özel nitelikte kişisel veriler de ifade edilmediğinden, örnekleme yoluyla ve yorum yapma yoluyla hangi verilerin sır niteliğinde olduğuna yine uygulamadaki aktörler karar ve yön vermek durumunda kalacaklardır. 

Yönetmeliğin yürürlüğe girmesinden sonra 01.07.2020 tarihi itibariyle ekstre, dekont gibi işlem verilerinin elektronik posta yoluyla paylaşılması hizmetinin sonlandırılması durumu haricinde yönetmeliğin 13. maddesinde düzenlenen iz kayıtlarının oluşturulması ve takibi zorunluluğu, dış hizmet alımı süreçlerinin yönetimine dair tedbirler ve diğer maddelerdeki “hassas veri”ye ilişkin tedbirler ile kimlik doğrulamaya ilişkin maddeler de yürürlüğe girecek. Veri ve işlem güvenliği için olumlu sınırlamalara yer veren yönetmeliğin diğer hükümleri ise 2021 itibariyle hayatımıza dahil olacak.