Amaç ve Kapsam

Rehber’in amacı, bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve KVKK’ya dayanılarak Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından çıkartılan ikincil mevzuata uygun olarak gerçekleştirilmesi konusunda veri sorumlusu bankaları yönlendirmek ve bu çerçevede iyi uygulama örnekleri oluşturmaktır. Rehber’de, bankacılık sektöründe kişisel verilerin korunması alanında uyması gereken usulve esaslara ve bankaların yükümlülüklerine ilişkin genel açıklamalar yer verilmiştir. Ayrıca; bankacılık sektöründe Veri Sorumlusu/Veri İşleyen İlişkisine yer verilmiştir.

Bankacılık Sektöründe Veri Sorumlusu - Veri İşleyen İlişkisi

Bankalar, kişisel veri işleme faaliyetlerine göre veri sorumlusu veya veri işleyen veya ortak veri sorumlusu sıfatını haiz olmaktadır. Bankalar, 5411 sayılı Bankacılık Kanunu’nun (“Bankacılık Kanunu”) 4. maddesi uyarınca gerçekleştirdiği bankacılık faaliyetleri açısından veri sorumlusu olup, bankaların Veri Sorumluları Sicili kapsamında sorumlulukları gündeme gelmektedir. Bununla birlikte, acente ve aracı kuruluş olduğu sigorta, bireysel emeklilik, yatırımürünleri, uluslararası hızlı para transferi ile fatura/vergi/harç ödeme faaliyetlerinde bulunduğu durumlarda bankanın veri sorumlusu ya da veri işleyen olduğuna karar verilirken somut olayın koşulları değerlendirilerek yorum yapılması gerekmektedir. Dolayısı ile bankaların her somut olay bazında taraflar arasındaki ilişki ve veri akışını değerlendirmek suretiyle veri sorumlusu/veri işleyen/ortak veri sorumlusu sıfatları tespit edilmelidir. Bu doğrultuda, Rehber’de veri sorumlusu-veri işleyen arasında yapılacak veri işleme sözleşmesinde dikkat edilmesi gereken asgari unsurlara ve ne şekilde yapılması gerektiğine ilişkin açıklamalara yer verilmiştir. Rehber’de bankacılık düzenlemeleri doğrultusunda, Destek Hizmetleri, İştirakler ve Bağlı Ortaklıklar, Açık Bankacılık ve Bankaların Acente Sıfatıyla Hareket Ettiği Durumlar ayrı olarak ele alınarak hangi durumlarda veri sorumlusu veya veri işleyen olabileceklerine ilişkin değerlendirmeler yapılmıştır.

Bankacılık Sektöründe Kişisel Veri İşleme Şartları

Rehber’de, bankacılık faaliyetlerinin kapsamı ve sınırları, ilgili mevzuat düzenlemelerinde kesin bir şekilde belirlenmiş olduğundan esasen bankalarca yapılan veri işleme uygulamalarının büyük ölçüde, açık rıza dışındaki hukuka uygunluk nedenleri kapsamında ele alınacağı belirtilmiştir. Ayrıca, her birveri kategorisi, birden fazla amaçla işlenerek işlendikleri amaca göre farklı hukuka uygunluk nedenlerine tabi olabilecekleri gibi, bir işleme amacının birden fazla hukuka uygunluk nedenine de dâhil olabileceği de ifade edilmiştir.

• Açık Rıza

Rehber’de öncelikle açık rıza tanımına ve şartlarına yer verilmiş olup, bankacılık sektöründe hangi durumlarda açık rızaya başvurulabileceği örnekler ile açıklanmıştır. Aydınlatma yükümlülüğünün yerine getirilmesi ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. İlgili kişilerden alınacak olan açık rızanın “yazılı olma” koşulu bulunmadığı için bankanın ıslak imzalı ve yazılı bir metin temin etme zorunluluğu bulunmamakla birlikte açık rıza alındığının ispat yükümlülüğü veri sorumlusu bankada olacaktır. İspatın sağlanması açısından “kalıcı veri saklayıcısı” olarak kabul edilen araç ve yöntemler aracılığı ile açık rızanın alınması, ispat hususunda bankaların kullanabileceği elverişli yöntemlerdendir. Bu doğrultuda, Rehber’de, bankacılık uygulamalarında açık rıza,  şube, ATM, internet/mobil bankacılık, mobil uygulama, çağrı merkezi, SMS, e-posta gibi benzer mecralar aracılığıyla kişinin açık rızası alınabileceği belirtilmiştir.

• Kanunlarda Öngörülmesi ve Hukuki Yükümlülüğün Yerine Getirilmesi

Kanunlarda öngörülmesi ve hukuki yükümlülüğün yerine getirilmesi amacıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin mevcut olması durumunda, açık rıza alma yoluna başvurulmamalıdır. Bankacılık uygulamaları özelinde, Rehber’de, Bankacılık Kanunu ve ikincil mevzuat uyarınca Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) veya bağımsız danışmanlık ve denetim şirketleri tarafından bankacılık sektörüne özgü, finansal veya güvenlik amacıyla gerçekleştirilen denetimlerde bankalarca bilgi paylaşımında bulunulması; ilgili düzenlemelerin ne şekilde uygulanması gerektiğine dair ilgili kurumların (T.C. Gümrük veTicaret Bakanlığı, Mali Suçları Araştırma Kurumu, Gelir İdaresi Başkanlığıgibi) başvuruda bulunan bankalara veya Türkiye Bankalar Birliği’ne/Türkiye Katılım Bankaları Birliği’ne, üyelerine duyurulmak üzere gönderdikleri yol gösterici yazı ve kararları çerçevesinde kişisel verilerin işlenmesi; Suç Gelirlerinin Aklanmasının Önlenmesine ilişkin ilgili mevzuat uyarınca bankaların yapılan işlemler bazında gerçek kişilere ilişkin olarak kimlik tespiti yükümlülüğünün olması ve bu yükümlülüğün yerine getirildiğini ispat amacıyla yapılan işlemler; 5941 sayılı Çek Kanunu’nun 2’nci maddesinin ikinci fıkrası uyarınca, çek karnesi tahsis sürecinde çek karnesi talebinde bulunan ilgilikişinin çek yasaklısı olup olmadığının tespitine yönelik adli sicil kaydı sorgusu yapılması durumlarında, kanunlarda öngörülmesi ve hukuki yükümlülüğün yerine getirilmesi sebeplerine dayalı olarak veri işlenebileceği belirtilmiştir.  Ek olarak, Bankacılık Kanunu 73’üncü maddesi ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik uyarınca, ilgili kişinin açık rızası alınmaksızın, belirtilen amaçlarla sınırlı ve ölçülülük ilkesine uygun ve amacın gerektirdiği kadar veriyi içermek kaydıyla bankaların kanunen açıkça yetkili kılınan mercilere kişisel veriler aktarılabilecektir.  Kurul, risk grubunun Bankacılık Kanununda tanımlandığı, Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesini bankaların hukuki yükümlülüğünün yerine getirilmesi kapsamında değerlendirmiştir.

• Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesi

Rehber’de, bankaların müşterileri olan veya olmayan ilgili kişilere yönelik sunduğu bazı hizmetler için (SMS ile kredi talebi gibi) talebin alınması, değerlendirilmesi ve cevaplanması süreçlerinde, kişisel veri işlenmesi durumunda, her ne kadar taraflar arasında henüz bir sözleşme bulunmasa da banka ile ilgili kişiler arasındaki sözleşme ilişkisinin kurulma aşamasına (icaba davet ve icap) ilişkin veri işleme faaliyetleri açısından ilgili kişilerden açık rıza alınması gerekmediği belirtilmiştir. Diğer bir örnek olarak,  bir kredi sözleşmesindeki borç veren taraf olan bankanın, ilgili kişiye bildirimleri yapabilmesi için kişiye ait her türlü iletişim bilgisine sahip olması gerektiği, bunun için kişinin açık rızasının alınmasına gerek bulunmadığı ifade edilmiştir.

• Meşru Menfaat

Rehber’de, bankanın hukuk düzeni içerisinde cevaz verilen hukuki veya iktisadi menfaatlerinin ancak belli koşullarda meşru menfaat kapsamında değerlendirilmesinin mümkün olabileceği belirtilmiştir.  Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınmasının önem arz edeceği ifade edilmiştir. Ek olarak, Rehber’de bankacılık uygulamalarında, bilgi güvenliğinin sağlanması amacıyla; dolandırıcılık tedbirleri kapsamında; bankacılık alanında müşteri gruplarının (segmentasyon) belirlenmesi; müşterilere hitap eden ürün hizmetlerin tespiti; strateji çalışmalarının yürütülmesi; müşteri memnuniyetinin sağlanması amaçlarıyla meşru menfaat kapsamında veri işlenebileceği belirtilmiş ve bu başlıklar detaylı olarak incelenmiştir. Yine Rehber’de, strateji çalışmalarının yürütülmesi kapsamında veri işlenmesi durumunda ise yapay zekâ kullanımında veotomatik karar alma mekanizmalarında dikkat edilmesi gereken unsurlara yer verilmiştir. Bu doğrultuda, yapay zekânın çıktısı olan modellerin gerçek kişilere uygulandığı ikinci aşamaya geçildiğinde, amaca bağlı olarak yeniden bir hukuki sebep değerlendirmesi yapılması gerektiği vurgulanmıştır.

• Bir Hakkın Tesisi ve Korunması içinZorunlu Olması

Rehber’de, bankaların faaliyetlerini güvenli bir şekilde yürütebilmesinin maruz kaldıkları risklerin belirlenmesine ve yönetilmesine bağlı olduğu ve bankanın ticari menfaatini güvende tutmak amacıyla, alacakların tahsil edilmesi amacıyla kredi borçlusu müşteri ile iletişime geçmesi gerekebileceği belirtilmiştir. Bu gibi durumlarda hakkın tesisi ve korunması için zorunlu olarak bankaların veri işleme faaliyeti gerçekleştirebileceği ifade edilmiştir.

• Özel Nitelikli Kişisel Verilerin Bankalar Tarafından İşlenebilmesi

Bankacılık sektöründe oldukça fazla özel nitelikli kişisel veri işlenmektedir. Özel nitelikli kişisel verilerin işlenmesinde genel olarak, Kurul’un 31 Ocak 2018Tarihli ve 2018/10 sayılı Kararı’nın dikkate alınması ve ilgili kararda belirtilen önlemlerin alınması gerekmektedir. Ek olarak, Rehber’de, bankacılık uygulamalarında ilgili mevzuatlar kapsamında kimlik belgesi suretlerinin alınması sebebi ile din ve kan grubu bilgisinin işlenmesi, sağlık raporları, adli sicil kayıtları, ceza mahkûmiyeti ve güvenlik tedbiriyle ilgili mahkeme kararları, çalışanların sağlık verileri ve sigorta acentesi sıfatıyla alınan sağlık verileri gibi özel nitelikli kişisel verilerin işlendiği durumlarda bankaların ne gibi hususlara dikkat etmesi gerekliliğine ilişkin açıklamalara detaylı olarak yer verilmiştir. Yine bankalar tarafından, kimlik doğrulama süreçlerinde biyometrik veri işlendiği ancak biyometrik veri işlenen süreçlerde eğer biyometrik veri işlenmesi ile ulaşılmak istenen amaca biyometrik veri işlenmeden de ulaşılması mümkün ise (örneğin, giriş-çıkışlarda avuç içi yerine kimlik kartı kullanılması), biyometrik veri işlenmesini gerektirmeyen alternatif bir yolun tercih edilmesinin uygun olacağı aksi halde ilgili kişinin açık rızasının alınması gerektiği ifade edilmiştir.

Bankacılık Sektöründe Kişisel Verilerin Aktarılması

Bankacılık uygulamalarında yurt içi veri aktarımları, KVKK’nın 8’inci maddesi kapsamında gerçekleştirilebilecektir. Rehber’de veri aktarımlarına ilişkin genel uygulamalara yer verilmekle birlikte, bankacılık sektörü özelinde mevzuat veuygulama gereği veri aktarımları tek tek ele alınmıştır. Bu doğrultuda,bankalar, mahkemeler, savcılıklar, BDDK, Sayıştay, Sermaye Piyasası Kurulu (“SPK”), Türkiye Cumhuriyet Merkez Bankası (“TCMB”), Tasarruf Mevduatı Sigorta Fonu (“TMSF”), Gelir İdaresi Başkanlığı (“GİB”), Sosyal Güvenlik Kurumu (“SGK”), Mali SuçlarıAraştırma Kurumu (“MASAK”)  ve bunlarla sınırlı olmamak üzere kanunlar kapsamında bankalardan bilgi ve belge talep etmeye yetkili mercilere kişisel veri aktarımı yapılabilecektir. Rehber’de, bankalar tarafından ilgili mevzuatlar uyarınca kamuyu aydınlatma yükümlülüğü altında açıklamaların yapılması, finansal raporların yayınlanması ve yetkili mercilere aktarılması, işçi, gemi adamı ve gazetecilerin istihkak ödemelerinin yapıldığı hesaplara ait bilgilerin kanunla yetkili kılınan mercilere aktarılması, gelir testi yapılmasına ve sosyal yardım hak sahiplerinin belirlenmesine ilişkin bilgilerin kanunla yetkili kılınan mercilere aktarılması, kısmen veya tamamen karşılığı bulunmayan çeki keşide edenlerin bankalarca bilinen adreslerinin çek hamiline verilmesi, Sayıştay’a veri aktarılması, icra ve iflas müdürlükleri ile veri paylaşılması durumları da ayrı olarak ele alınmıştır. Yine Rehber’de bankaların, şüpheli işlem bildirim zorunluluğu çerçevesinde gerçekleştirilen; ana ortak/bağlı ortaklara;  muhtemel alıcılara; banka ve finansalkuruluşlara;  Risk Merkezi, BankalarArası Kart Merkezi ve Kredi Kayıt Bürosu’na; iştiraklere; değerleme,derecelendirme ve Destek Hizmeti Kuruluşlarına ve iş ortaklarına gerçekleştirilen veri aktarımlarında detaylı olarak hangi hususlara dikkatedilmesi gerektiği belirtilmiştir. 

Yurtdışı veri aktarımlarında ise KVKK ‘nın 9’uncu maddesi uygulanacağı ifade edilmiştir. KVKK’ın 9’uncu maddesinin 6’ıncı fıkrası uyarınca,  kişisel verilerin yurtdışına aktarılmasında diğer kanunlarda yer alan hükümlerin saklı tutulduğu düzenlenmiştir. Budoğrultuda, yurt dışına veri aktarımına ilişkin özel hükümlerin varlığı halinde; bu hükümlerin öncelikli olarak uygulanacağı,  Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 10’uncu maddesinin gerekçesinde de ifade edildiğiüzere, esasen kişisel verilerin bankacılık hukukunda özel bir görünümü olangerçek kişi müşteri sırları (müşteri bilgileri) bakımından Bankacılık Kanunu’nun hükümlerinin, KVKK’ya göre özel hüküm niteliğini haiz bulunmakta olduğu ve özel norm-genel norm ilişkisinde özel normların uygulama alanı bulacağı ifade edilmiştir. Bu kapsamda, Bankacılık Kanunu’nun 73’üncü maddesi, Bankacılık Kanunu’nun 73 ve 93’üncü maddelerine dayanılarak hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ve müşteri sırrının paylaşımın düzenlendiği ilgili diğer mevzuata uygun şekilde müşteri sırrı niteliğini haiz kişisel verilerin yurt dışına aktarılabileceği belirtilmiştir.

Veri Sorumlusu olarak Banka’nın Yükümlülükleri

• Aydınlatma Yükümlülüğü

Her banka, kişisel veri kategorileri, veri toplama yöntemi, işleme amaçları ve hukukigerekçeleri ile kişisel verilerin aktarıldığı taraflar kapsamında, kendi işleyiş ve sistemlerine uygun olarak kendi aydınlatma metinlerini oluşturabilecektir. Diğer taraftan aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Veri Sorumluları Sicil Bilgi Sistemi’nde (“VERBİS”) açıklanan bilgilerle uyumlu olmalıdır. Rehber’de belirtildiği üzere, Bankacılık Kanunu’nun 4’üncü maddesinde yer alan bankacılık faaliyet konuları aşağıda sıralanan başlıklar altında toplanmıştır: i) Müşteri Edinimi/Hesap Açılış ii) Kredi iii) Yatırım İşlemler. Rehber’de Bankanın veri işleme amaçlarının çok sayıda olması sebebiyle, belirtilen bu kapsamda aydınlatma metinlerinin bankalarca hazırlanmasının uygun olacağı ifade edilmiştir. Ayrıca, Rehber’de bankacılık sektöründe tüm veri işleme amaçlarının müşterilere sağlıklı ve yönetilebilir bir şekilde aktarılmasında katmanlı aydınlatma yönteminin kullanılmasının benimsenebileceği ve bankacılık uygulamalarında aydınlatma yükümlülüğü, şube, internet sitesi, internet şubesi, mobil şube ve mobil uygulama, çağrı merkezi/IVR, e-posta, fiziki posta, SMS, ATM aracılığı ile gerçekleştirilebileceği belirtilmiştir. Rehber’de çağrı merkezi/IVR, SMS ve ATM’de sunulabilecek aydınlatma metinleri örneklerine de yer verilmiştir. Ayrıca, Rehber’de bankacılık uygulamalarında gerçekleştirilen özel durumlarda aydınlatma yükümlülüğünün nasıl yapılması gerektiğine ilişkin detaylı açıklamalara yer verilmiştir. Bu doğrultuda, imza yetkilileri ve gerçek faydalanıcıların aydınlatılması, Risk Grubu’ndakilerin aydınlatılması, varlığın sahibi dışındaki kişilere ilişkin kişisel verilerin ve çek-senetlerde son ciranta dışındaki kişilerin kişisel verilerinin işlenmesi, maaş ödeme anlaşmaları, kredi kartları ve banka kartları işlemlerinde özel olarak hangi hususlara dikkat edilmesi gerektiğine yer verilmiştir.

• Veri Sorumluları Sicili, Sicile Kayıt ve Veri Envanteri Hazırlama Yükümlülüğü

Rehber’de VERBİS ve kişisel veri işleme envanterine ilişkin genel açıklamaların yanı sıra bankacılığa özgü veri kategorileri, kişi grupları, alıcı grupları ve bankacılık sektöründe mevzuatlara uygun referans alınabilecek azami süreler özel olarak açıklanmıştır.

• Kişisel Verilerin Silinmesi, Yok Edilmesi,Anonim Hale Getirilmesi

Rehber’de ,6102 sayılı Türk Ticaret Kanunu’nun 64, 65 ve 82’inci maddeleri ile 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesi uyarınca, bankaların gerçekleştirdiği işlemlerle ilgili belgeleri 10 yıl süreyle saklama yükümlülüğü bulunduğu; bunun yanı sıra bankalarca ürün ve hizmetlerin sunulması, bir sözleşme ilişkisini de doğurduğundan, saklama sürelerinin belirlenmesinde 6098 sayılı Türk Borçlar Kanunu’nun zamanaşımı sürelerini düzenleyen 146’ncı maddesinde yer alan her alacağın 10 yıllık zamanaşımına tabi olduğu hususunun da dikkate alınacağı belirtilmiştir. Mevduat ve Katılım Fonunun Kabulüne, Çekilmesine ve Zamanaşımına Uğrayan Mevduat, Katılım Fonu, Emanet ve Alacaklara İlişkin Usul ve Esaslar Hakkında Yönetmelik ve düzenleyici kurumlarca (BDDK, TMSF gibi) belirlenerek bankalara bildirilen bu husustaki usul ve esaslar çerçevesinde, bankaların asgari olarak fona devir tarihine kadar saklama yükümlülüğü bulunmaktadır.

KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi,yok edilmesi veya anonim hale getirilmesi gerekmektedir.. Rehber’de bankacılık uygulamalarında hangi durumlarda verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi gerektiği örnekler ile açıklanmıştır. Ayrıca, bankacılık sektöründe bilgi sistemlerinin karmaşık yapısı, birçok bankacılık ürününün oluşturduğu verideki bir değişikliğin diğer ürünlerin verilerine sirayet etmesine, bir ürünün verilerinin ortadan kaldırılmasının diğer ürünlerin verilerininde bir kısmının karanlıkta kalmasına, kopuk bir muhasebe hareketi silsilesi izlenmesine ve anlaşılmasının güçleşmesine neden olduğu belirtilmiştir. Bu kapsamda, bir gerçek kişinin herhangi bir tekil verisi için işleme amaçları rasında “veri bütünlüğünün korunması”, “müşteri bilgilerinin tutarlılığının sağlanması” gibi amaçlar da bulunmaktadır. Bu amaçların, KVKK’nın 5’inci maddesinin ikinci fıkrasının (ç) bendindeki veri sorumlusunun özellikle hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (örneğin BDDK düzenlemeleri) ve f bendindeki ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması kapsamında ele alınabileceği ifade edilmiştir. Son olarak, Rehber’de, kişisel verilerin islenmesi, yok edilmesi ve anonim hale getirilmesi tanımlanmış ve tablolar halinde teknik açıdan değerlendirilerek açıklanmıştır.

• Veri Güvenliği

Veri sorumlusu sıfatını haiz bankaların KVKK’nın 12’nci maddesi uyarınca veri güvenliğine ilişkin yükümlülükleri bulunmaktadır. Ek olarak, bankaların yasal mevzuattan kaynaklanan örneğin; Bankacılık Kanunu, Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, Bilgi Güvenliğine İlişkin Teknikve İdari Önlemler başlığı altında bankacılık sektöründe uygulanan ikincil mevzuatlar kapsamında veri güvenliğine ilişkin yükümlülükleri de mevcuttur. Ayrıca Rehber’de, Kurul tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’nde yer alan Teknik Tedbirler özet tablosunun, Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile kıyaslanmasında karşılık gelen maddeler tablolar halinde gösterilmiştir. Bu doğrultuda, bankacılık sektöründe veri güvenliğine ilişkin önlemler: kişiselv eri güvenliği rehberi mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmalarının yürütülmesi, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, veri işleyenler ile ilişkilerin yönetimi, kişisel verilerin mümkün olduğunca azaltılması gerekliliği başlıklar halinde ele alınmıştır. Tüm bunlarla birlikte, bankaların denetim yapma yükümlülüğü ve uluslararası standartlara uyumluluk da veri güvenliğine ilişkin önlemler arasında sayılmıştır. 

Rehber’e buradan ulaşabilirsiniz.