Bankacılıkta 10 Yıl Kuralı: Veri Silme Talebi ve Yasal Zorunluluk (Karar: 2018/142)
Kişisel Verileri Koruma Kurulu (Kurul), 05/12/2018 tarihli bu kararıyla, bankacılık sektöründe “Unutulma Hakkı”nın sınırlarını net bir şekilde çizmiştir. Karar, bir veri sorumlusuna (bankaya) yapılan silme talebinin, özel kanunlarla belirlenmiş “saklama yükümlülükleri” karşısında neden geçersiz kalabileceğini açıklamaktadır.
1. Olayın Özeti: “Bankadaki Tüm Kayıtlarımı Silin”
Olay: Bir banka müşterisi (ilgili kişi), bankanın sistemlerinde yer alan kişisel verilerinin tamamen silinmesini talep etmiştir. Banka, yasal saklama sürelerini gerekçe göstererek bu talebi reddetmiştir. Bunun üzerine müşteri, bankanın verilerini hukuka aykırı olarak tutmaya devam ettiği iddiasıyla Kurul’a şikayette bulunmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Saklı Hükümler” ve Süreler
Kurul, bankanın verileri silmeme kararını incelerken KVKK ile diğer sektörel kanunlar arasındaki hiyerarşiyi analiz etmiştir:
- Genel İlkeler ve İstisnalar (Md. 4 ve 7): KVKK, verilerin “amaç için gerekli süre kadar” saklanmasını emreder. Ancak Madde 7/2, kişisel verilerin silinmesine ilişkin “diğer kanunlarda yer alan hükümlerin saklı olduğunu” açıkça belirtir. Yani, özel bir kanun “şu veriyi şu kadar sakla” diyorsa, KVKK’daki silme kuralı o süre dolana kadar işlemez.
- 5411 Sayılı Bankacılık Kanunu (Md. 42): Bankacılık Kanunu, bankaların faaliyetleri ile ilgili belgeleri (asıllarını veya kopyalarını) tarih ve numara sırasına göre 10 yıl süreyle saklamak zorunda olduğunu hükme bağlamıştır.
- İkincil Mevzuat: Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik de aynı şekilde 10 yıllık süreyi zorunlu kılar. Bu süre, sadece fiziksel kağıtları değil, faaliyetle ilgili her türlü elektronik mesaj ve yazışmayı da kapsar.
3. Karar Sonucu: “10 Yıl Geçmeden Silme Yapılamaz”
Kurul inceleme neticesinde;
- İlgili kişinin banka nezdindeki son işlemi üzerinden henüz 10 yıllık yasal saklama süresinin geçmediği,
- Bankanın bu verileri saklamasının “hukuki yükümlülüğün yerine getirilmesi” kapsamında olduğu,Tespit edildiğinden, şikayetçinin talebine yönelik Kurulca yapılacak bir işlem bulunmadığına karar verilmiştir.
4. Özgür Eralp Perspektifi: “Banka Kaydı, Birer Hukuki Hafızadır”
Bilişim hukuku dünyasında vatandaşlarımızın en çok yanıldığı nokta, bir hizmeti sonlandırdıkları an verilerinin de buharlaşması gerektiğini düşünmeleridir. Oysa bankalar, sadece sizinle olan ilişkisini değil, devletin denetim organlarına (BDDK, MASAK vb.) karşı olan sorumluluklarını yerine getirmek için bu kayıtları tutmak zorundadır. Yarın bir vergi incelemesinde veya şüpheli bir para trafiği sorgusunda o kayıtların orada olması şarttır.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bankaya “verilerimi sil” dilekçesi verdiğinizde alacağınız cevap %99 oranında “10 yıllık yasal süre” olacaktır. Ancak bu süre boyunca bankanın verilerinizi “pasif” konuma alması gerekir. Yani veriniz silinmez ama artık size reklam mesajı göndermek veya kredi teklif etmek için de kullanılamaz. Eğer banka “saklıyorum” diyerek size hala kampanya e-postası atıyorsa, işte o zaman saklama amacını aştığı için Kurul’un kapısını çalabilirsiniz.
Sıkça Sorulan Sorular
1. Banka hesabımı kapattığım an bilgilerim silinir mi?
Hayır. Hesabın kapatılması veya son işlem tarihinden itibaren 10 yıl boyunca banka bu kayıtları yasal denetimler için saklamakla yükümlüdür.
2. 10 yıl dolunca banka verilerimi kendiliğinden silecek mi?
Evet, veri imha politikası gereği yasal süresi dolan verilerin resen (kendiliğinden) silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.
3. “10 yıl” kuralı her belge için geçerli mi?
Evet, Bankacılık Kanunu kapsamındaki faaliyetlerle ilgili her türlü belge, yazışma ve kayıt bu 10 yıllık süreye tabidir.
4. Banka bu 10 yıl içinde verilerimi kullanabilir mi?
Sadece saklama amacına uygun olarak kullanabilir (denetim, mahkeme talebi, yasal raporlama). Pazarlama veya profil oluşturma gibi amaçlarla kullanması “amaçla sınırlılık” ilkesine aykırıdır.
5. KVKK Madde 7/2 neden var?
Bu madde, KVKK’nın diğer kanunlarla (Ticaret Kanunu, Bankacılık Kanunu vb.) çatışmasını önlemek için konulmuştur. Eğer bu madde olmasaydı, herkes “verimi silin” diyerek delilleri yok edebilir ve yasal denetimler imkansız hale gelirdi.
Kaynaklar
- KVKK Kurumu – 2018/142 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4 ve 7)
- 5411 Sayılı Bankacılık Kanunu (Madde 42)
Etiketler
KVKK, Bankacılık Kanunu, 10 Yıl Saklama Süresi, Veri Silme Talebi, Karar Özeti, Kişisel Verilerin İmhası, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Yasal Yükümlülük, BDDK, Finansal Veri Güvenliği
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),