close
home Anasayfaya Geri Dön close Close

www.tunesoft.com.tr

menu Menu
Fintech Şirketlerinde KVKK Uyum Süreci Nasıl Yönetilir?
Fintech şirketlerinin KVKK uyum süreçlerine dair kaleme aldığımız yeni blog yazımızda, veri sorumlusu/veri işleyen ayrımından açık rıza yükümlülüklerine, veri güvenliği önlemlerinden yurt dışına veri aktarımına kadar birçok kritik başlığı ele aldık.
tunesoft Etiket: Genel Tarih: 6 Ağustos 2025
İlgili Kişi Başvuruları Yönetiminde Nelere Dikkat Edilmelidir? Geri Açık Rıza Ne Zaman Gerekir, Ne Zaman Gerekmez? İleri

Finansal teknolojiler alanında faaliyet gösteren şirketler; dijital ödeme, para transferi, mobil cüzdan, fatura ödeme gibi hizmetlerle bireylerin günlük yaşamlarına dokunurken, aynı zamanda yoğun kişisel veri işleme faaliyetleri de yürütmektedir. Bu nedenle fintech şirketlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uyum süreçlerini titizlikle kurgulamaları büyük önem taşımaktadır. Kişisel Verileri Koruma Kurumu ile Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği’nin ortak çalışmaları neticesinde yayımlanan “Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi”, sektördeki belirsizlikleri gidermeyi hedeflerken; fintech şirketleri için adım adım uygulanabilir bir rehber niteliği taşımaktadır.

KVKK uyum sürecinde ilk adım olarak, faaliyet bazında hangi kişisel verilerin işlendiğinin tespit edilmesi ve asgari unsurları içeren sağlam bir kişisel veri envanterinin oluşturulması, uyumun sürdürülebilirliğinin sağlanması açısından elzemdir. Rehberde, hangi tarafın “veri sorumlusu” veya “veri işleyen” sıfatıyla hareket ettiğinin netleştirilmesi gerektiği vurgulanmakta; özellikle altyapı sağlayıcıları ile nihai hizmet sunucuları arasındaki rol ayrımları somut örneklerle açıklanmaktadır.

Bununla birlikte, kişisel verilerin işlenme şartları, sunulan hizmet türüne göre farklılık gösterebilmektedir. Örneğin, para transferi ya da kimlik doğrulama gibi işlemlerde kanuni yükümlülük ya da bir sözleşmenin kurulması gibi hukuki dayanaklar yeterli olabilecekken; davranışsal analiz, kampanya mesajları veya kullanıcı profillemesi gibi amaçlar bakımından açık rıza alınması gerekecektir. Bu hallerde, açık rıza kullanıcının özgür iradesiyle ve KVKK’nın 3. maddesinde belirtildiği şekilde, bilgilendirilmeye dayalı olarak alınmalı; hizmetin sunulması bu rızaya bağlanmamalıdır.

Veri güvenliği ise bir diğer kritik alandır. Rehberde, çok taraflı işlem süreçlerinde kişisel verilerin bütünlüğünün ve gizliliğinin korunması için alınabilecek teknik ve idari tedbirlere kapsamlı şekilde yer verilmiştir. Fintech şirketleri için erişim kontrolü, loglama, şifreleme, veri maskeleme, sızma testi ve kullanıcı doğrulama gibi önlemlerin uygulanması özellikle önemlidir. Buna ek olarak, çalışanlara düzenli farkındalık eğitimlerinin verilmesi, gizlilik taahhütnamelerinin alınması ve veri işleyen üçüncü taraflarla yapılan sözleşmelerin KVKK’ya uygun hale getirilmesi gibi önlemler de alınmalıdır.

Yurt içi ve yurt dışı veri aktarımı konuları da fintech şirketlerinin dikkatle yaklaşması gereken bir diğer başlıktır. Özellikle bulut hizmetleri, global ödeme altyapıları ve API bazlı servis entegrasyonları sebebiyle veri aktarımı sık karşılaşılan bir durumdur. Yurt dışına veri aktarımı söz konusuysa, KVKK’nın 9. maddesi uyarınca yeterli korumanın bulunduğu ülkelere aktarım, Kurul tarafından onaylı taahhütname, standart sözleşme veya açık rıza gibi alternatiflerin değerlendirilmesi gerekmektedir.

Geri İleri