Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’i 4 Haziran 2021’de yayımlandı. Bankacılık Kanunu’nun 73. maddesi ile mevzuata kazandırılan müşteri sırrı kavramı ve sır saklama yükümlülüğü, bu yönetmelikte daha ayrıntılı düzenlenerek konuya verilen önem ortaya konmuş oldu. Sır saklama yükümlülüğü, bu yükümlülüğün istisnaları ve müşteri sırrı kavramı netleştirilerek sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin genel ilkeler ile usul ve esasların belirlendiği Yönetmelik 1 Ocak 2022 tarihinde yürürlüğe girecek.
MÜŞTERİ SIRRI NEDİR?
Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilere müşteri sırrı denir. Tanımda yer alan “müşteri ilişkisi kurulduktan sonra” ibaresi, gerçek veya tüzel kişinin ancak banka müşterisi olduktan sonra elde edilen verilerinin müşteri sırrı kapsamına gireceği sonucunu doğurmaktadır. Bu bağlamda müşteri ilişkisi kurulmamış kişilere ait verilerin, örneğin bir bankadan finansal destek almak için başvuru yapan ancak başvurusu reddedilen kişiye ilişkin verilerin müşteri sırrı kavramına girip girmeyeceği ve bu verilerin sır saklama yükümlülüğüne tabi olup olmayacağı muallaktadır. Ancak Yönetmelik, müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesini ve öğrenilmesini de sır saklama yükümlülüğüne tabi kılmaktadır. Bu konuda dikkat edilmesi gerekir ki, gerçek kişilere ait veriler müşteri ilişkisi kurulmamış olsa bile kişisel veri sayılacağı için her halükarda KVKK uyarınca sorumluluk kapsamındadır.
Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, müşteri sırlarını bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Ve bu yükümlülük görevden ayrıldıktan sonra da devam etmektedir.
SIR SAKLAMA YÜKÜMLÜLÜĞÜNDEN İSTİSNA OLAN HALLER NELERDİR?
Müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez:
-Gizlilik sözleşmesi yapılması ve belirtilen amaçlar ile sınırlı kalması kaydıyla; banka ve finans kuruluşları arasında yapılan paylaşımlar, konsolide finansal tablo hazırlama çalışmaları ve risk yönetimi ve iç denetim uygulamaları kapsamında yapılan paylaşımlar, pay satışı amaçlı değerleme çalışmaların kapsamında yapılan paylaşımlar, değerlendirme, derecelendirme veya destek hizmeti, bağımsız denetim faaliyetleri ya da hizmet alımlarına ilişkin hizmet sağlayıcılar ile yapılan paylaşımlar,
-Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla bilgi ve belge alışverişinde bulunması,
-Kamu kurum ve kuruluşlarına müşteri talebi ile verilen ve söz konusu bilgilerin teyit edilmesi konusunda müşterinin açık rızası alınmış olması şartıyla, müşteri sırrı niteliğindeki bilgiler hakkında kamu kurum ve kuruluşlarına ilgili bilginin doğru olup olmadığı şeklinde cevap verilmesi,
-Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması,
ve
-Kanunen açıkça yetkili kılınan merciler ile yapılan paylaşımlar.
Buna göre Mal Müdürlükleri, Sermaye Piyasası Kurulu, Cumhuriyet savcısı, mahkemeler ve ilgili diğer kanunlardan belirtilen mercilerdeki yetkili kişilerce talep edilen kişisel veriler bankalar tarafından ilgilinin rızası olmaksızın aktarılabilecektir. Örneğin Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunu’nun şüpheli işlem bildirimi maddesi ile bankacılık faaliyetleri kapsamında gerçekleşen şüpheli işlemlerin bankalarca MASAK’a bildirilmesi zorunludur. Bu kişilere ait verilerin aktarımında ilgili kişilerden açık rıza temin edilmeyecektir.
Sır saklama yükümlülüğüne ilişkin bu istisnalar, sağlık ve cinsel hayata ilişkin kişisel veriler için geçerli değildir.
MÜŞTERİ SIRLARININ PAYLAŞILMASINDA AÇIK RIZA YETERLİ MİDİR?
Müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğü kapsamında ancak müşteri talebi veya talimatına istinaden yurt içindeki ve yurt dışındaki üçüncü kişiler ile paylaşılabilir. Özellikle vurgulanmaktadır ki, müşteri paylaşım konusunda açık rıza vermiş olsa bile aktarım gerçekleştirilemez, müşterinin ilgili bankaya bu yöndeki talebini veya talimatını iletmesi gereklidir. Ayrıca açık rızanın hizmet şartına bağlanamayacağı da belirtilmiştir. Dolayısıyla müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez.
Müşterinin bu talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir ve aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir.
Yönetmelik uyarınca yurt içinde ya da yurt dışında yer alan banka, ödeme hizmet sağlayıcıları veya mesajlaşma sistemleri ile etkileşim içerisinde bulunmanın zorunluluk teşkil ettiği ve bu doğrultuda müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunluluk arz ettiği, fon transferi, akreditif, teminat mektubu, referans mektubu gibi işlemler için, ilgili işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi halinde, bu işlemlerin müşteri talebi ya da talimatı yerine geçeceği düzenlenmektedir. Bu hükümle veri paylaşımı için bir şart olan müşteri taleplerinin veya emirlerinin, dijital dünyadaki kullanıcı deneyimini bozmadan alınabilmesi amaçlanmıştır.
SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASINA İLİŞKİN GENEL İLKELER NELERDİR?
Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.
Yapılan paylaşımların ölçülülük kapsamında sayılması için ise belirli şartlara sahip olması gerekmektedir. Öncelikle belirtilen hangi amaçlarla ilişkili ise, paylaşımlar yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermeli ve bu verilerin belirtilen amaçların gerçekleştirilmesi için gerekli olduğu gösterilebilir olmalıdır.
Buna rağmen paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemler uygulanmak zorundadır. Son olarak paylaşım yapılacak taraflar ve paylaşım metotları mümkün olan en az veri kopyası oluşturulacak şekilde kurgulanmalıdır. Bu kriterlere uyumun ve bunun hesap verilebilirliğinin sağlanması oldukça zor olduğundan ilgili süreci yönetecek bir komitenin kurulması ihtiyaç haline gelmektedir.
BİLGİ PAYLAŞIM KOMİTESİ KURULMASI ZORUNLU MUDUR?
Bankaların, ölçülülük ilkesini dikkate alarak müşteri sırrı niteliğindeki bilgilerin paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan Bilgi Paylaşım Komitesi kurması zorunludur. Bilgi Paylaşım Komitesi'nin görev tanımları ile çalışma esasları, bankaların yönetim kurulları tarafından onaylanacak olup asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacaktır.
KVKK İLE YÖNETMELİK ARASINDAKİ İLİŞKİ
Yönetmelik ile Kişisel Verilerin Korunması Kanunu arasındaki ilk fark müşteri sırrı tanımında görülmektedir. KVKK’da kişisel veri, gerçek kişiye ilişkin bilgi olarak tanımlanırken müşteri sırrı ek olarak tüzel kişilerin verilerini de koruma kapsamına almıştır.
Yönetmelik müşteri sırrını saklama yükümlülüğünü, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli kılmıştır. KVKK’nın kişisel veri işleme tanımında ise tamamen veya kısmen otomatik olan yollar ibaresi kullanılmaktadır. BDDK’nın bu yaklaşımının KVKK’nın kişisel verilere olan yaklaşımından daha geniş bir kapsayıcılıkta olduğunu görülmektedir.
Bunun dışında KVKK, kişisel verilerin aktarımlarında açık rızayı hukuki bir sebep olarak kabul ederken, Yönetmelik aktarım için açık rıza değil, müşterinin aktif talebinin bulunması zorunluluğu getirmiştir. Böylece bankaların KVKK'da düzenlenenden daha sıkı bir veri koruması rejimine tabi kılındığı söylenebilir.
>> Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik için TIKLAYINIZ
Av. Nagihan Merve AKASLAN
İstanbul Barosu