KVKK ELEKTRONİK PARA KURULUŞLARI REHBERİ

KVKK Ödeme ve Elektronik Para Kuruluşlarındaki Kişisel Verilerin Korunması Rehberi

İşte ödeme ve elektronik para sektöründe kişisel verilerin korunmasına ilişkin rehberin başlıkları ve alt başlıklarıyla birlikte ayrıntılı açıklamaları:

1. Giriş

Bu bölümde, rehberin amacı ve kapsamı tanımlanmaktadır. Teknolojik gelişmelerin finans sektöründeki etkisi ve yeni iş modellerinin ortaya çıkmasıyla birlikte, ödeme ve elektronik para kuruluşlarının öneminin arttığı vurgulanmaktadır. Sektörün hukuki düzenlemelerine olan bağlılık ve kişisel verilerin korunması gerekliliği belirtilmektedir.

  • Teknolojik Gelişmeler: Finans sektörü, teknolojik yeniliklerle çeşitlenmekte ve bu, ödeme ve elektronik para kuruluşlarının hızla büyümesine yol açmaktadır.
  • Hukuki Düzenlemeler: Kuruluşlar, 6493 sayılı Kanun ve sair yönetmeliklerle yönlendirilmektedir.

2. Kişisel Verilerin Korunma Yükümlülükleri

Ödeme kuruluşları ve elektronik para kuruluşları, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında çeşitli yükümlülüklere sahiptir. Bu bölümde bu yükümlülüklerin kapsamı, amaçları ve sonuçları detaylandırılmaktadır, ayrıca kurumların denetim yetkileri ve hukuk çerçevesinde alınacak önlemler üzerinde durulmaktadır.

  • Uyum Yükümlülükleri: 6698 sayılı KVKK ve ilgili ikincil düzenlemelere uyma zorunluluğu ve bu yükümlülüklerin yerine getirilmesinde sorumluluklar.
  • Kurumsal Denetim: Kişisel Verileri Koruma Kurumu, veri işleme süreçleri üzerinde denetim ve düzenleme görevine sahiptir.

3. Veri Sorumlusu ve Veri İşleyen Tanımları

Burada, “veri sorumlusunun” ve “veri işleyenin” tanımları yapılmaktadır. Veri sorumlusunun, kişisel verilerin işleme amacını belirleyen kişi/kuruluş olduğu; veri işleyenin ise, veri sorumlusunun talimatları doğrultusunda bu verileri işleyen kişi/kuruluş olduğu belirtilmektedir. Ayrıca, her iki tarafın sorumlulukları ve yükümlülükleri detaylandırılmaktadır.

  • Veri Sorumlusu: Kişisel verilerin işleme amacını belirleyen kişi/kuruluş.
  • Veri İşleyen: Veri sorumlusunun talimatlarına dayanarak kişisel verileri işleyen kişi/kuruluş.
  • Kuruluşlar: 6493 sayılı Kanun kapsamında faaliyet gösterebilecek kurumlar; bankalar, ödeme kuruluşları, elektronik para kuruluşları.

4. İşlenen Kişisel Veriler

Bu başlık altında, ödeme ve elektronik para sektöründe işlenen kişisel verilerin türleri ve kategorileri ele alınmaktadır. Örnekler vererek hangi tür verilerin nasıl işlendiği ve bu işlemlerin hukuki dayanakları açıklanmaktadır. Ayrıca, hizmetlerin niteliğine göre işlem gören kişisel verilerin çeşitliliği vurgulanmaktadır.

  • Veri Kategorileri: Ödeme ve elektronik para sektöründe işlenen kişisel verilerin kategorilerinin belirlenmesi.
  • Hizmetlerin Niteliği: İşlenen kişisel verilerin, sunulan hizmetin niteliğine göre değişiklik gösterebileceği.

5. Aydınlatma Yükümlülüğü

Kuruluşların aydınlatma yükümlülükleri açıkça belirtilmektedir. Kişisel verilerin işlenmesi sırasında ilgili kişilere yapılacak bilgilendirme ve aydınlatma yöntemleri (sözlü, yazılı, elektronik) üzerinde durulmaktadır. Ayrıca, aydınlatmanın kapsamı ve bu yükümlülüğün nasıl yerine getirileceği hakkında bilgiler verilmektedir.

  • Aydınlatmanın Yöntemi: Kuruluşların aydınlatma yükümlülüğünü nasıl yerine getirebileceği; sözlü, yazılı, elektronik yöntemler.
  • Temsilciler ile İletişim: Gerçek kişi temsilcilerin kişisel verilerinin işlenmesi sırasında aydınlatma yükümlülüklerinin yerine getirilmesi gerekliliği.

6. Veri Güvenliği

Bu bölümde, kişisel verilerin korunması için alınması gereken teknik ve idari tedbirlerden bahsedilmektedir. Kuruluşların veri güvenliğini sağlamak için takip etmesi gereken prosedürler, risk yönetimi ve güvenlik standartları üzerine bilgi verilmektedir.

  • Teknik ve İdari Tedbirler: Kuruluşlar tarafından alınması gereken güvenlik önlemleri; yetki kontrolü, erişim logları, şifreleme.
  • Yükümlülükler: Veri işleyenlerin de veri güvenliğini sağlamakla yükümlü olması ve gerekli tedbirleri alması gerekliliği.

7. Kişisel Verilerin Saklanması ve İmhası

Kişisel verilerin ne kadar süreyle saklanacağı ve hangi durumlarda imha edileceği konusu açıklanır. Saklama sürelerinin KVKK ve diğer ilgili mevzuata göre nasıl belirleneceği, ayrıca saklama ve imha politikalarının önemi üzerinde durulmaktadır.

  • Saklama Süreleri: Kişisel verilerin ne kadar süreyle saklanacağı ve imha prosedürleri.
  • Yasal Gereklilikler: Saklama ve imha politikalarının KVKK ile uyumlu olarak oluşturulması.

8. Yurt Dışına Veri Aktarımı

Kuruluşların yurt dışına veri aktarımı sırasında dikkat etmeleri gereken hususlar açıklanmaktadır. Bununla birlikte, yurt dışında yetkili kişilerle yapılan işbirliklerinin kişisel veriler üzerindeki etkileri ve bu süreçte uymaları gereken hukuki gereklilikler üzerinde tartışılmaktadır.

Bu başlıklar, kişisel verilerin korunmasına yönelik standartları ve iyi uygulamaları daha ayrıntılı olarak açıklamakta ve sektör içerisindeki uygulamaları yönlendirmektedir.

  • Hukuki Çerçeve: Yurt dışına veri aktarırken dikkate alınması gereken hukuki gereklilikler.
  • İzin ve Onay: İlgili kişilerin verilerinin yurt dışına aktarılması için gereken yasal izinler.

9. Genel İlkeler

  • Kişisel Veri İşleme İlkeleri: Kişisel verilerin işlenmesine dair genel kurallar (hukuka uygunluk, şeffaflık, doğruluk, amaç sınırlılığı).
  • Uygulama: Bu ilkelerin her birinin nasıl uygulanacağı ve veri işlemede dikkat edilmesi gereken hususlar.

10. Bağımsız Denetim

  • Denetim Süreçleri: Ödeme ve elektronik para kuruluşlarının bağımsız denetime tabi olması, bu süreçte kişisel verilerin korunmasının denetim başlığı olarak ele alınması.
  • Sonuçlar: Denetimde tespit edilen eksikliklerin ivedilikle giderilmesi gerekliği.

11. Kişisel Verilerin Korunması ve İşlenmesinde Alınacak Bilgiler

Bu bölüm, kişisel verilerin korunmasına yönelik yasal düzenlemeleri ve süreçleri detaylandırır. Banka ve finans kuruluşları için önemli olan veri koruma yasalarının temelini oluşturur.

11.1. Kimlik Tespiti

Alınacak Bilgiler:

Kimlik tespiti sürecinde, kimliği belirlemek için gereken bilgiler ve belgeler belgelenmelidir. Bu bilgiler arasında:

– Kimlik Bilgileri: Ad, soyadı, TCKN, doğum tarihi, doğum yeri.

– İletişim Bilgileri: Telefon numarası, e-posta adresi, adres.

– Meslek ve Eğitim Bilgileri: Meslek bilgisi.

– İşlem Güvenliği Bilgileri: IP adresi, internet erişim bilgileri, şifreler.

Doğrulama Yöntemleri:  

– Uzaktan Kimlik Tespiti: Yakın alan iletişimi ile kimlik belgeleri doğrulanır. Gerekirse optik karakter tanıma ve ek testler uygulanabilir.

– Biyometrik Veriler: Yüz tanıma ve canlılık testi, kimliğin doğrulanması için kullanılır.

11.2. Kişisel Veriyi İşleme Yükümlülükleri

– Açık Rıza: Kişisel verilerin işlenmesi için kişinin açık rızası zorunludur.

– Veri İşleme Şartları: Yasal zorunluluk veya sözleşmeyle ilgili şartlar geçerlidir.

11.3. Veri Güvenliği Önlemleri

– Teknik ve İdari Tedbirler: 

  – Veri Güvenliği Planı: Şifreleme, veri maskeleme, sızma testleri gibi güvenlik önlemleri gerekmektedir.

  – İdari Önlemler: Veri işleme envanterleri, gizlilik taahhütleri.

Yönetimsel Yetki ve Kontrol: 

– Yetki matrisleri, kullanıcı hesap yönetimi, erişim kontrolleri.

11.4. İlgili Kişilerin Hakları

Kişisel verileri işlenen bireyler, veriye erişim, düzeltme, silme ve veri işlemesine itiraz etme haklarına sahiptir.

11.5. Mevzuat Güncellemeleri

Kişisel verilerin korunmasına yönelik yasal düzenlemelerin sürekli güncellendiği ve farklı sektörler için belirli uyum yükümlülüklerinin olduğu vurgulanmaktadır.

11.6. İyileştirme ve Denetim

– Bağımsız denetimler ve sürekli iyileştirmelerin yapılması önerilmektedir.

– Kişisel veri ihlalleri için şikayet süreçleri detaylandırılmalıdır.

12. Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin İşlenmesi

Bu bölüm, ödeme ve elektronik para sektöründe kişisel verilerin işlenmesine özel detaylar sunar.

12.1. İşlenen Kişisel Veriler

Kategoriler:

Kişisel veriler, kimlik, iletişim, finansal veriler gibi çeşitli kategorilere ayrılır. Bu verilerin işlenmesi, yasa ve sözleşmelere dayanmaktadır.

12.2. Fatura Ödemeye Aracılık Hizmetleri

– Aydınlatma Yükümlülüğü: Fatıra ödemeyle ilgili olan kişilere, veri işlemeyle ilgili bilgilendirmelerin yapılması gerekmektedir.

– İşlem Bilgileri: İşlemlere ait tüm bilgiler (ödeme türü, tarih, alıcı, gönderici bilgileri) saklanmalıdır.

12.3. Para Havalesi Hizmetleri

– Kimlik Tespiti: Para havalesi esnasında kimlik tespiti, sürekli bir ilişki olmaması durumunda gerekmeyebilir. Ancak işlem düzeyine göre tanımlı olan kimlik bilgilerinin doğrulanması beklenir.

– İşlem Dekontları: Dekontlar, işlem tarihleri, türleri ve ilgili kişilerin bilgilerini içermektedir.

12.4. POS (Ödeme ve Elektronik Para) Hizmetleri

– Hizmet Tanımı: Ödeme hizmetleri, türlü sözleşmeler çerçevesinde icra edilmektedir.

– Kimlik Bilgileri: Ödeme işlemlerini gerçekleştirmek için gerekli kişisel veriler işlenmektedir.

12.5. Veri Güvenliği ve Koruma Önlemleri

– Açık Yönetmelikler: Hizmet sağlayıcıları için veri koruma tedbirleri belirlenmiştir.

– Veri Minimizasyonu: İşlemede yalnızca gerekli olan verilerin saklanması gereklidir.

12.6. Başvuru Süreçleri

– Başvuru Şekli ve İçeriği: Başvuruların yazılı veya elektronik olarak yapılması istenmektedir. İlgili herkes, kimlik bilgilerini içeren başvurularını sunmalıdır.

Sonuç

Belge, kişisel verilerin korunması ve işlenmesi süreçlerini ve gerekliliklerini kapsamlı bir şekilde ele almaktadır. Banka ve finans kuruluşları, yasal düzenlemelere uymak zorundadır. Belgede yer alan her bir bölüm, veri güvenliği ve müşteri korunmasına yönelik adımları içermektedir. Daha fazla bilginiz varsa veya spesifik konulara dair derinlemesine bilgi almak isterseniz, lütfen belirtin!

Av. Ali ERŞİN’in Hukuk ve Bilişim Dergisi 1. Sayı’sındaki “Elektronik Para Sistemlerinde Güvenlik Riskleri ve Yönetimi” isimli yazısına bağlantıdan ulaşabilirsiniz.

Yazarın “Kripto Para Borsaları ve Hak İhlalleri” isimli yazısını okumak için bağlantıya tıklayınız.

Yazarın “Edux Academy’deki” “Bilişim Suçları” eğitimine bağlantıdan kaydolun!

Yazar : Av. Ali ERŞİN (LL.M.) / Hukuk ve Bilişim Dergisi Genel Koor. / Edux Academy Genel Koor.

Tags:

Leave A Comment

Fields (*) Mark are Required

www.turksiberbirligi.com - © 2020 - 2024 | Tüm hakları saklıdır.