Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Genelge

30.09.2022 İdil Yıldırım Günaydın

Giriş

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) 11.08.2022 tarihinde 2022/1 sayılı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Genelge’yi (“Genelge”) yayımladı. Söz konusu Genelge ile, 5411 sayılı Bankacılık Kanunu’nun (“Bankacılık Kanunu”) BDDK’ya sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirleme ve bunlara ilişkin sınırlama getirmeye yetki veren 73.maddesi ile BDDK’nın görev ve yetkilerine ilişkin 93.maddesi altında hazırlanan ve 4.06.2021 tarihli ve 31501 sayılı Resmî Gazete’de yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’te (“Yönetmelik”) değinilen “ortak müşteri” kavramının kapsamı, ana ortaklık ve hakim ortaklık ile yapılacak paylaşımlar ve özel nitelikli kişisel verilere ilişkin yapılan paylaşımlar gibi çeşitli konular açıklığa kavuşturuldu. Bu makalede BDDK’nın Genelge ile yaptığı değerlendirmeler kısaca incelenir.


Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Genelge
% 0

Bankaların Sır Saklama Yükümlülüğüne İlişkin Açıklamaları

Genelge’de değinilen konulardan ilki banka çalışanlarına ait verilerin banka sırrı niteliğindeki bilgi olarak değerlendirilip değerlendirilemeyeceğidir. Genelge kapsamında banka çalışanına ait kişisel verilerin, banka sırrı niteliğindeki bir veriyle birlikte işlenmemiş olması kaydıyla, esasen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında belirlenen ilkeler doğrultusunda kişisel veri olarak ele alınması gerektiği belirtilir. Öte yandan, insan kaynakları verileri gibi, banka çalışanlarına ait kimi veriler bir bankanın mali durumu hakkında ya da kredi verme ve mevduat toplama gibi temel faaliyetlerine ilişkin banka yönetim esasları ve bankanın uyguladığı teknik yöntemler ile banka potansiyeli hakkında bilgiler barındırabileceğinden bu veriler banka sırrı olarak nitelendirilebilir.

Genelge, Yönetmeliğin sır saklama yükümlülüğünden istisna getirdiği hallere dair de açıklama getirir. Yönetmelik hükümleri kapsamında gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında paylaşılması mümkündür. Benzer şekilde Genelge’de konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi sır saklama yükümlülüğünden istisna tutulur. BDDK, bu durumda da Yönetmelik m.6’da belirtilen yapılacak paylaşımların ölçülü olması kriterinin altını çizer; bu doğrultuda yapılacak paylaşımların yalnızca paylaşım amacının gerektirdiği kadar veriyi içermesi ve paylaşıma konu edilen tüm veri setinin belirtilen paylaşım amaçlarının gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması gerekir. Ayrıca, Yönetmelik m.6/1’e göre bilgisi paylaşılacak müşteri aynı zamanda ana ortaklığın veya hâkim ortağın da ortak müşterisi değilse paylaşılacak sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması gerekir. Yönetmelikte de ifade edildiği şekilde ortak olmayan müşterileri bilgilerinin kimliksizleştirme gibi yöntemler kullanılmadan risk yönetimi amaçları için ana ortaklık veya hâkim ortaklık ile paylaşılması için BDDK’nın uygunluk görüşü gereklidir, yapılacak başvuruda bankaların i) hangi verileri paylaşacağı, paylaşılacak verilerin paylaşım amacının yerine getirilmesi için gerekli olup olmadığı ve uyum riski yönetimi için talep edilen bilgilerin geçerli bir mevzuat hükmünden kaynaklanıp kaynaklanmadığını somut bir şekilde ortaya koymaları ve ii) Yönetmelik m.7’de belirtildiği şekilde müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımını koordine eden ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan Bilgi Paylaşım Komitesi’nin ölçülülük değerlendirmesini iletmeleri gerekir.

Genelge’de ayrıca, yurt dışında bulunan bir düzenleyici otoritenin mevzuatın kendisine verdiği yetki kapsamında ana ortaklıktan veya hâkim ortaktan bilgi talep etmesi ve ana ortaklığın veya hâkim ortağın bu talebi karşılamaması halinde ilgili düzenleyici otoritenin yaptırımına tabi tutulması riski bulunması durumunda söz konusu taleplerin de uyum riski çerçevesinde değerlendirileceği ifade edilir. İlgili banka, BDDK’ya yapacağı başvuruda yukarıda belirtilen şartları aynı şekilde yerine getirmeli ve bu durumu somut bir şekilde ortaya koymalıdır.

Genelge’de yapılan bir diğer önemli nitelendirme ise ana ortaklığın muhabir banka olarak aracılık ettiği fon transferi işlemleri için mali suç riskinin bertaraf edilmesine yönelik ana ortaklıkça gerçekleştirilecek kontroller kapsamında bankadan talep edilecek sır niteliğindeki bilgilerin de uyum riski çerçevesinde ele alınmasının mümkün olacağıdır. BDDK, bu durumda bir kez daha yapılacak paylaşımlarda ölçülülük ilkesine uyulmasının önemine işaret eder. Genelge, Yönetmelik m.6/6’da yer alan “işlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından … müşteri talep ya da talimatı yerine geçer” hükmüne atıfta bulunarak müşteriye kullandırılan sistem kurallarının zorunlu kılmadığı ancak ana ortaklığın kendi risk yönetim kontrolleri çerçevesinde paylaşımı zorunlu tutulan müşteri bilgilerine ilişkin paylaşımın bu hüküm kapsamında olmayacağını ve müşteri talep ya da talimatı yerine geçmeyeceğini ekler.

Yönetmelik m.5/5 altında “… [m]üşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez”. Genelge, söz konusu hükümde yer verilen üçüncü taraflar tanımına açıklık getirerek ilgili kişilerin Yönetmelik m.5/5 dışındaki, aynı maddede belirtilen sır saklama yükümlülüğünden istisna tutulan haller dışında paylaşım yapılacak tarafları ifade ettiğini belirtir.

Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler Hakkındaki Açıklamalar

Bankacılık Kanunu m.73/3 ve Yönetmelik hükümleri uyarınca, diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez. Yönetmelik m.5 ile de bu şartın istisnasını oluşturan hükümler getirir. Yukarıda detaylandırıldığı şekilde Genelge, uyum riski çerçevesinde ortak olmayan müşterileri bilgilerinin kimliksizleştirme gibi yöntemler kullanılmadan ana ortaklık veya hâkim ortaklık ile paylaşılması için BDDK’ya yapılacak başvuruyu arar. Genelge kapsamında ilgili müşterinin “ortak” müşteri olarak nitelendirilebilmesi için aynı anda hem bankanın hem de bankanın ana ortaklığı veya hâkim ortağının müşterisi olması gerekir.

Genelge’de KVKK kapsamında hassas veri olarak nitelendirilen çeşitli verilerin de paylaşılması konusuna değinilir. Yönetmelik m.6/2’ye göre “[m]üşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamaz.” Genelge, sağlık ve cinsel hayata ilişkin kişisel verilerin, müşteri sırrı haline gelmiş olsa dahi, ilgili müşterinin açık rızası alınmaksızın yurt içindeki ya da yurt dışındaki taraflarla sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek paylaşılamayacağını vurgular.

Sonuç

Yukarıda detaylandırıldığı şekilde Genelge, sır niteliğindeki bilgilerin paylaşılmasına ilişkin önemli açıklamalar getirir. Bu kapsamda BDDK’nın ortak müşteri kavramına ilişkin yaptığı değerlendirmeler dikkat çekicidir. Genelge’nin Yönetmeliğin uygulanmasına dair önemli sorunlara ışık tuttuğu sonucuna varılabilir.

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Ödemeler Alanında Sunulan İş Modellerinin Ödeme Hizmeti Türleri İle İlişkilendirilmesine İlişkin TCMB Tarafından Yayınlanan Rehber
Hukuk Postası
Ödemeler Alanında Sunulan İş Modellerinin Ödeme Hizmeti Türleri İle İlişkilendirilmesine İlişkin TCMB Tarafından Yayınlanan Rehber

Türkiye Cumhuriyet Merkez Bankası (“TCMB”) tarafından Eylül ayında Ödemeler Alanında Sunulan İş Modellerinin Ödeme Hizmeti Türleri ile İlişkilendirilmesine İlişkin Rehber (“Rehber”) yayımlandı. Söz konusu Rehber, 6493 sayılı Ödeme ve Menkul Kıymetler Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik...

Banka ve Finans 31.10.2022

Yaratıcı hukuk çözümleri için iletişime geçin.