Ercüment Erdem Av. Sevgi Ünsal Özden

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı Yayımlandı

Mart 2021

Giriş

5411 sayılı Bankacılık Kanunu (“BanK”) m.73’te geçtiğimiz yıl yapılan yasa değişikliği[1] kapsamında, sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Bankacılık Düzenleme ve Denetleme Kurulu (“BDDK”) yetkilendirilmişti. BanK m.73’te ve “Kurumun görev ve yetkileri” başlıklı m.93’te öngörülen bu yetkiler gözetilerek, bankaların en önemli yükümlülüklerinden biri olan sır saklama yükümlülüğünün, bu yükümlülüğün istisnalarının ve müşteri sırrı kavramının netleştirilmesini amaçlayan ve uzun süredir beklenen taslak yönetmelik (“Yönetmelik”) BDDK’nın internet sitesinde yayımlandı[2].

Yönetmelik Neleri Düzenliyor?

Yönetmelik gerekçesi ve hükümleri incelendiğinde, müşteri sırrı, veri işleme ve kimliksizleştirme gibi kavramların tanımlarının yapıldığı, sır saklama yükümlülüğünden istisna olarak kabul edilen hallerin netleştirildiği ve ayrıntılı bir şekilde bilgi paylaşımına dair ilkelerin belirlendiği göze çarpar.

Müşteri Sırrı

BanK m.73/3’e göre, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Yönetmelik bu tanımı genişleterek bir gerçek ya da tüzel kişi müşterinin banka müşterisi olduğunu gösterir her türlü bilginin müşteri sırrı kapsamında olduğunu belirtir. Devamında, müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesinin sır saklama yükümlülüğü kapsamında değerlendirileceği düzenlenir. Ayrıca Yönetmelik uyarınca, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ait veriler, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisi kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelecektir.

Bunun yanı sıra, Yönetmelik metninde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile paralel bir veri işleme tanımı yapıldığı ve kimliksizleştirme kavramına yer verildiği görülür. Yönetmelik m.3/1 (i)’e göre kimliksizleştirme, bankacılık faaliyetleri ve finans sektörünün özellikleri dikkate alınarak, “müşteriye ilişkin verilerin kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilmemesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin müşteriyle ilişkilendirilemeyecek şekilde işlenme” şeklinde tanımlanır.

Sır Saklama Yükümlülüğü

Yönetmelik’te sır saklama yükümlülüğü, bankacılık mevzuatı ile paralel şekilde düzenlenmiştir. Buna göre, sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerlidir.

Sır Saklama Yükümlülüğünden İstisna Haller

Temel kural olarak, banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez. Bunun yanı sıra, Yönetmelik m.6’da detaylı şekilde sıralanan bazı hallerde ise, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla, banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin paylaşımı sır saklama yükümlülüğüne aykırılık olarak değerlendirilmeyecektir. Bu istisna haller kısaca aşağıdaki şekilde sıralanabilir:

  • Bankaların ve finansal kuruluşların bilgi ve belge alışverişinde bulunması;
  • Konsolide finansal tablo hazırlama çalışmaları ve risk yönetimi ve iç denetim uygulamaları kapsamında bilgi ve belge verilmesi;
  • Pay satışı amaçlı değerleme çalışmaları kapsamında bilgi ve belge paylaşılması;
  • Değerleme, derecelendirme veya destek hizmeti ile bağımsız denetim faaliyetlerine ve hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge verilmesi;
  • Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararıyla üçüncü taraflar ile paylaşılması;
  • Kamu kurum ve kuruluşlarına müşteri talebi ile verilen bilgilerin, ilgili bankalar ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketler üzerinden teyit edilmesine yönelik olarak kamu kurum ve kuruluşlarına ilgili bilginin doğru olup olmadığı şeklinde cevap verilmesi.

Her ne kadar BanK m.73 metninde yukarıda belirtilen istisna hallerinden bazılarına yer verilmişse de uygulamada hangi hallerin istisna olduğu veya hangi hallerde müşteri talep ya da talimatının gerekli olduğu konularında tereddütler yaşanabiliyordu. Buna karşılık Yönetmelik m.6 çerçevesinde, sır saklama yükümlülüğüne aykırılık teşkil etmeyen hallerin bu tereddütleri açıklığa kavuşturacak şekilde ayrı bentler halinde detaylı şekilde açıklandığı, hangi koşullar altında ve kimlere aktarım yapıldığında bilgi paylaşımının istisna olarak kabul edileceğinin ve BanK m.73’teki istisna hallerinden bazılarının (örneğin, konsolide finansal tablo hazırlama çalışmaları ve risk yönetimi ve iç denetim uygulamaları kapsamında bilgi paylaşımı) kapsamının netleştirildiği görülür. Örneğin Yönetmelik’te, risk yönetimi amacıyla yapılacak bilgi paylaşımlarının İSEDES[3] Yönetmeliğinde yer verilen uyum, kredi, itibar riskleri de dahil olmak üzere tüm risk yönetim faaliyetlerini kapsadığı ifade edilir.

Ayrıca Yönetmelik, destek hizmeti alımı kapsamında yapılacak bilgi paylaşımlarına ilişkin olarak alınacak hizmetin birincil sistemler kapsamında olmaması halinde yapılacak bilgi paylaşımı için müşteri talep veya talimatının alınması zorunluluğunun devam edeceğini belirtir.

Sır Niteliğindeki Bilgilerin Paylaşımına İlişkin Genel İlkeler

Yönetmelik m.6 sır niteliğindeki bilgilerin paylaşımına dair genel ilkeler ve esasları ayrıntılı şekilde ele almasının yanı sıra istisnai hallerde yapılacak paylaşımlara dair özellik arz eden bazı konuları da düzenler.

Yönetmelik temel prensip olarak, müşteri ve banka sırrı niteliğindeki bilgi paylaşımlarının ölçülülük ilkesine uygun, belirtilen amaçlarla sınırlı ve amaç için gerekli olması gerektiğini vurgular. Ayrıca, paylaşılan veriler toplulaştırıldığında, anonim hale getirildiğinde ya da kimliksizleştirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyorsa bu yöntemlerin uygulanması gerektiğine dikkat çekilir. Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında ise KVKK m.4’te yer alan genel ilkelere[4] uyulması zorunludur. Öte yandan müşteri sırrı niteliğinde dahi olsa sağlık ve cinsel hayata ilişkin verilerin yurt içi ve yurt dışına aktarımı açıkça yasaklanmaktadır.

Madde 6 uyarınca, BanK m.73/3 hükmü ile de uyumlu olarak, sır saklama yükümlülüğünden istisna tutulan haller dışında, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın müşteri sırları yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz.

Müşteri talep ve talimatı yazılı şekilde olabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilecektir. Öte yandan, işlemin doğası gereği banka, ödeme hizmeti sağlayıcısı, ödeme veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi müşteri talep ya da talimatı yerine geçecektir. Özellikle bu düzenlemenin bankaların uygulamalarına ışık tutacağı açıktır.

Bilgi Paylaşım Komitesi ve Raporlama

Yönetmelik ile getirilen bir başka yenilik ise bilgi paylaşım komitesidir. Yönetmelik m.7 kapsamında, bankalar, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımını koordine etmekle ve gelen paylaşım taleplerinin uygunluğunu değerlendirmekle sorumlu bir bilgi paylaşım komitesi oluşturmakla yükümlüdür. Madde metninde ayrıca bu komitenin asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ve ilgili varlık sahiplerinden oluşacağı belirtilir.

Ayrıca Yönetmelik’in yürürlüğe girmesiyle birlikte, sır saklama yükümlülüğünün istisnası olarak kabul edilen bazı hallerde yapılan paylaşımlara ilişkin gizlilik sözleşmesinin bir örneği de dahil olmak üzere yapılan aktarıma ilişkin detayların ve alınan teknik ve idari tedbirlerin altı aylık dönemler halinde Bankacılık Düzenleme ve Denetleme Kurumu’na raporlanması beklenmektedir.

Sonuç

Yönetmelik gerekçesinde de belirtildiği gibi, BanK m.73’te meydana gelen son değişiklikler sonrasında merakla beklenmekte olan işbu Yönetmelik hükümlerinin bankalar açısından yurt içi ve yurt dışına aktarımlarda yol gösterici olması ve uygulamada var olabilecek tereddütleri gidermesi amaçlanır. Henüz BDDK tarafından internet sitesinde yayımlanarak ilgililerin görüşlerine açılmış taslak niteliğindeki Yönetmelik’in sektör uygulamalarına ne şekilde etki edeceği ise yürürlüğe girmesiyle birlikte görülecektir. BDDK’nın duyurusuna göre, Yönetmelik ile ilgili görüşler e-posta yoluyla kuruma iletilebilecektir. Dolayısıyla, Yönetmelik’in yürürlüğe girdiği versiyonun farklı olabileceği de unutulmamalıdır.

[1] 7222 sayılı Bankacılık Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 25.02.2020 tarih ve 31050 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe girdi, https://www.resmigazete.gov.tr/eskiler/2020/02/20200225-12.htm (Erişim Tarihi: 29.03.2021).

[2] https://www.bddk.org.tr/Mevzuat-Kategori/Duzenleme-Taslaklari/11 (Erişim Tarihi: 29.03.2021).

[3] Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik (İSEDES Yönetmeliği) 11.07.2014 tarihli ve 29057 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi, https://www.resmigazete.gov.tr/eskiler/2014/07/20140711-5.htm (Erişim Tarihi: 29.03.2021).

[4] KVKK m.4: “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”, https://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf  (Erişim Tarihi: 29.03.2021).