BANKALARI DOĞRUDAN İLGİLENDİREN YENİ VE KARMAŞIK BİR DÜZENLEME ÜZERİNE:
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Neler Getiriyor?
Banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımına ilişkin kapsam, şekil, usul ve esasları belirlemek üzere 4 Haziran 2021 tarihli ve 31501 sayılı Resmi Gazete’de 1 Ocak 2022 tarihinde yürürlüğe girmek üzere “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” (“Yönetmelik”) yayımlanmıştır. Her şeyden önce bu ne anlama gelmektedir? Buna göre Yönetmelik kapsamına giren herkes 1 Ocak 2022 tarihi itibariyle bu Yönetmelik hükümlerine uygun hale gelmek zorundadır! Kimlerin, nelere uyumlu hale gelmesi gerektiğini ise aşağıda açıklayacağım.
Öte yandan konunun kişisel verilerin korunması mevzuatı ile yakın ilişkisi bakımından Yönetmelik’in kimlere nasıl yükümlülükler getirdiğini belirleyebilmek için veri koruma mevzuatı ile birlikte ele alınması da son derece önemli ve gereklidir.
Bundan önce Yönetmelik’in daha iyi anlaşılması adına kısa bir süre önce yapılan bir değişikliği de hatırlatmakta fayda var. Zira 25 Şubat 2020 tarihli ve 31060 sayılı Resmi Gazete’de yayımı tarihinde yürürlüğe girmek üzere yayımlanan 7222 sayılı “Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” 10. maddesi ile 5411 sayılı Bankacılık Kanunu’nda bazı değişiklikler öngörmüştü. Ne var ki bu değişiklikler özellikle açık ve net olmaması nedeniyle eleştirilere konu olmuştu. Konunun bu kez bir Yönetmelik ile ele alınmış olması, bankacılık sektöründe gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin daha detaylı açıklamalara yer vermesi bakımından sevindiricidir. Ancak Yönetmelik’in bununla birlikte birçok yeni soru işaretini de beraberinde getirdiği belirtilmelidir.
Son olarak Yönetmelik’in Bankacılık Düzenleme ve Denetleme Kurulu (“BDDK”) tarafından yayımlandığını belirterek hükümleri yürütme görevli organın da BDDK olduğunu belirtmek gerekir. Zira ileride bu açıdan da bazı karışıklıklara değineceğim.
Bu yazıda da söz konusu Yönetmelik neticesinde kimlerin ne yapması gerektiğini açıklamaya çalışacağım. Ne yapılması gerektiğinin net olarak belirlenemediği noktalarda ise kendi düşüncemi ve önerimi belirteceğim.
I. Bazı Temel Kavramlar
Yönetmelik hükümlerinin tam olarak anlaşılması için şüphesiz burada yer alan temel kavramların açık ve belirli olması gerekir. Zira kimlerin bu hükümlere uyumlu hale gelmesi gerektiğine ilişkin kapsamın belirlenebilmesi için bu kavramların ne anlama geldiğine ihtiyaç vardır. Bu noktada ilk eleştiriyi Yönetmelik’te yer alan bazı kavramların doğrudan tanımlanmamış olmasına getirmek gerekir. Zira bu durum hükümlerin anlaşılmasında bir karışıklığa yol açmaktadır.
Yönetmelik’te yer alan bazı temel kavramları bankacılık mevzuatı ve kişisel verilerin korunması mevzuatı ile birlikte okuyarak açıklığa kavuşturmaya çalışalım.
1. Müşteri Sırrı - Banka Sırrı Ayrımı
Yönetmelik’te ilk olarak “banka sırrı” ve “müşteri sırrı” kavramları dikkat çekmektedir. Zira bu kavramlar Yönetmelik’in “Amaç ve kapsam” başlıklı 1. maddesinde yer almakta ancak Yönetmelik’in amacını açıklayacak kadar önemli olan bu kavramlar, tanımlar maddesinde açıklanmamaktadır. Oysaki bu kavramlar hem oldukça geniş, hem de diğer mevzuatlarla yakın ilişki içindedir. Yönetmelik, sır niteliğindeki bilgilerin paylaşım ve aktarımını düzenlediğinden bu kavramların daha detaylı açıklanması gerekir.
Bu bakımdan ele alınması gereken ilk husus, “sır” sözcüğünün neyi ifade ettiğine ilişkindir. Sır, genel anlamıyla sahibinin kişilik haklarına zarar verme tehlikesi içeren, gizli kalabilmesi hem kişisel hem de toplumsal anlamda önem taşıyan konudur ve herhangi bir duruma ilişkin gizli bilgi içerebileceğinden sırların da türleri ve sınıflandırmaları oldukça fazladır.[1] Nitekim mevzuatımızda da sır kavramını ele alan pek çok düzenleme bulunmaktadır. Buradan hareketle sır sözcüğü “genel olarak herkes tarafından bilinmeyen ve bilenler tarafından açıklanmadığı sürece genel olarak herkes tarafından bilinmesi mümkün ya da olası olmayan bilgi” olarak tanımlanabilir.
Müşteri sırrı kavramı ise Yönetmelik’in 4. maddesinin 3. fıkrasında 5411 sayılı Bankacılık Kanunu’nun (“5411 sayılı Kanun”) 73. maddesinin 3. fıkrasında olduğu şekilde düzenlenmiştir: “Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı haline gelir”. Fıkranın devamında müşteri sırrı kavramının biraz daha açıklandığını ve “bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi”nin de müşteri sırrı kapsamına dahil edildiğini görüyoruz. Bu düzenlemeleri bir örnekle açıklamak gerekir ise;
X Bankası, Y gerçek veya tüzel kişisi olan bir üçüncü kişiyle müşteri ilişkisi kurduğu an, Y kişisine ait tüm veriler X Bankası için müşteri sırrıdır. Y kişisinin X Bankasının müşterisi olduğunu göstermeye yarayan her türlü bilgi yine müşteri sırrı kavramına dahildir. Ayrıca X Bankası ile Y kişisi arasında müşteri ilişkisi kurulduğu andan sonra bu ilişki çerçevesinde yapılan işlemler neticesinde Y kişisine ait olarak ortaya çıkan bilgiler de bu kapsamdadır.
Ne var ki sır saklama yükümlülüğünün kapsamının müşteri sırrı kavramı ile sınırlandırılmadığının altını çizmek gerekir. Bu yükümlülüğün kapsamını ise aşağıda belirteceğim.
Burada dikkat edilmesi gereken bir diğer husus ise tüzel kişilere ait verilerin de bu kavrama dahil edilmiş olmasıdır. Zira 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile getirilen düzenlemeler uyarınca sadece gerçek kişilerin verileri, kişisel veri kapsamında değerlendirilmektedir. Tüzel kişilerin verileri, içeriğinde gerçek kişiye ilişkin bilgi içermedikçe kişisel veri kavramı ve dolayısıyla KVKK kapsamında değildir.[2]
Kişisel veriler hangi noktada söz konusu olabilir sorusunun cevabı olarak, ancak gerçek kişiye ilişkin bir müşteri sırrının olduğu durumlarda kişisel verilerden bahsetmek mümkün olacaktır. Bu demektir ki, gerçek kişilere ait veriler, müşteri ilişkisi kurulsun ya da kurulmasın kişisel veri sayılacağı için KVKK’nın getirdiği düzenlemelere her halukarda tabii olacaktır. Öyleyse gerçek kişi müşterilere ilişkin müşteri sırrı niteliğindeki veriler, kişisel veri olmalarının yanı sıra müşteri sırrı niteliğini de haiz olacaktır. Buna karşın, tüzel kişilere ait müşteri sırları ise KVKK’nın kapsamına girmemekle birlikte yalnızca müşteri sırrı niteliği taşıyacak olup söz konusu Yönetmelik kapsamındadır.
Öte yandan Yönetmelik’te yer alan başka bir sır türü de banka sırrıdır. Ancak bu kavram doğrudan tanımlanmamış olup müşteri sırrına kıyasla daha belirsizdir. Yönetmelikten önce öğreti nezdinde bu kavramın ne anlama geldiğine ilişkin fikir birliği oluşmamıştır. Büyük bir çoğunluk banka sırrını, müşteri ilişkisi kurulmamış tüzel kişi ve gerçek kişi verileri ile müşteri sırrı ve hassas verileri de içinde barındıran bir üst küme olarak düşünürken diğerleri ise banka sırrını, bankanın kendi iç yapısına ait bilgiler olarak tanımlamaktadır. Yönetmelik ile doğrudan bir tanımlama yapılmamış olsa da “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5. maddesinin 5. fıkrası bir nebze yol göstericidir. Burada kullanılan “Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgiler…” ifadesi ile banka sırrının yalnızca bankaya ait bilgileri içerdiği şeklinde bir izlenim uyanmaktadır. Yönetmelik’in genel kullanımından da banka sırrının yalnızca bankanın kendi iç yapısıyla ilgili bilgileri ifade ettiğini düşünmekteyim. Ne var ki bu kavramın izlenimden öte doğrudan açıklığa kavuşturulması gerekir.
2. Kimliksizleştirme, İşleme ve Toplulaştırma
Yönetmelik’in “Tanımlar" başlıklı 3. maddesi kapsamında yer alan kimliksizleştirme ve toplulaştırma kavramları Türk mevzuatında sıklıkla karşılaşılan kavramlar değildir. Daha çok Avrupa Genel Veri Koruma Tüzüğü’nden (“GDPR”) aşina olduğumuz bu kavramlar ile işleme kavramının tanımlarına bakalım.
a. Kimliksizleştirme
Kimliksizleştirme, GDPR’da “Pseudonymisation” olarak karşımıza çıkmaktadır. Bu kavram, Türk mevzuatı kapsamında ilk kez 21 Haziran 2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik ile düzenlenmişti. Teknik bir terim olan ve ikinci kez karşımıza çıkan kimliksizleştirme, kişisel verilerin bulanıklaştırma, şifreleme, anahtar kodlama ve veri paylaşımı gibi teknolojiler vasıtasıyla açık tanımlayıcılarından sıyrılması ve genelleştirilmesiyle kişiyi belirlenebilir kılan özelliklerinden arındırılması anlamına gelir.
Söz konusu Yönetmelik’te ise kimliksizleştirme kavramı daha önce tanımlandığı şekline benzer olarak “müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesi” şeklinde tanımlanmıştır.
İlgili kavram, KVKK kapsamında sıklıkla kullanılan bir yöntem olan anonimleştirmeden farklıdır. Her ne kadar iki metot da kişinin; isim, adres veya kart numarası gibi verilerinin kaldırılma veya şifrelenme vasıtalarıyla maskelenmesini sağlaması bakımından benzerlik gösterse ve birbiriyle karıştırılsa da ikisi arasındaki fark, kimliksizleştirmenin geri dönüştürülebilir olmasıdır. Kimliksizleştirme metodunda, şifreleme anahtarı gibi ayrı tutulan bir bilgi sayesinde veriyi kişiye yeniden atfedebilmek gerektiğinde bu bilgiler dönüştürülerek kişiyi belirlenebilir kılan verilere yeniden ulaşılabilir.[3] Bu yöntem, veriyi kişisel olmayan veri kategorisine yerleştirmekten ziyade geçici bir çözüm sunar. Nitekim 26 nolu Gerekçeden de (Recital) anlayabileceğimiz üzere gelişen teknolojiler sayesinde bu yöntem sonrasında dahi yeniden kimliklendirme mümkündür. Bu nedenle de kimliksizleştirilen kişisel veriler, GDPR kapsamında kişisel veri olarak kalmaya devam eder.[4]
Nitekim yukarıda verilen Yönetmelik tanımına bakıldığında teknik ve idari tedbirlerin alınması yükümlülüğü dikkat çekmektedir. Bu yükümlülük, AB’nin veri işleyenlere getirdiği teknik önlemleri alma yükümlülüğüne paralel olarak, yeniden kimliklendirme ihtimali karşısında alınan bir önlem niteliğindedir.
Yönetmelik tanımında ortaya çıkabilecek bir sorun, tanımın müşteri kavramı ile sınırlandırılmış olmasıdır. Böyle bir sınırlandırılmadan yola çıkılarak, henüz müşteri olmamış kişilerin verilerinin paylaşımı söz konusu olduğunda kimliksizleştirme işleminin uygulanmasına gerek duyulup duyulmayacağı sorusu gündeme gelir.
b. Veri işleme
Tanımlar maddesi kapsamında ele alınan bir diğer kavram ise veri işlemedir. Anılan maddede bu kavram, KVKK’nın 3. maddesinde yer alan kişisel verilerin işlenmesi tanımına benzer şekilde “verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, paylaşılması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
Ancak veriler üzerinde gerçekleştirilen bu işlemlerin hangi yollarla yapıldığı takdirde veri işlemenin söz konusu olacağı KVKK’dan farklı olarak belirtilmemiştir. Zira KVKK’da yukarıda verilen tanımda geçen faaliyetlerin ancak “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” gerçekleştirilmesi halinde kişisel verilerin işlenmesi söz konusu olur. Yönetmelik kapsamında bir veri işlemeden bahsedebilmek için ise tanımdan anlaşıldığı kadarıyla böyle bir zorunluluk yoktur. Öte yandan Yönetmelik’in 4. maddenin 2. fıkrası ile her türlü veri işlemenin sır saklama yükümlülüğüne dahil edilmiş olduğu görülmektedir. Öyleyse herhangi bir sınırlama yapılmadığından tanımda geçen faaliyetlerin her türlü yol ile gerçekleştirilmesinin Yönetmelik çerçevesinde veri işleme olarak ele alındığı anlaşılmaktadır.
KVKK kapsamında tartışmalı olan veri kayıt sistemi ve kısmen otomatik yollar kavramlarına ilgili Yönetmelik’te yer verilmemiş olması ve hangi yollarla olduğuna bakılmaksızın veriler üzerinde gerçekleştirilen her türlü işlemin sır saklama yükümlülüğünün kapsamına dahil edildiği düşünüldüğünde, veri işleme kavramının Yönetmelik ile daha geniş bir şekilde ele alındığı ve dolayısıyla bu açıdan KVKK’nın kişisel verilere olan yaklaşımından daha korumacı bir tutum sergilendiğini söylemek yanlış olmayacaktır.
c. Toplulaştırma
Yine Yönetmelik’in tanımlar maddesinde yer alan ve daha önce karşılaşmamış olduğumuz toplulaştırma kavramı, “Müşteriye ilişkin verilerin, gruplama, özetleme, toplu gösterim gibi istatiksel amaçlarla diğer müşterilere ilişkin verilerle birleştirilerek kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek şekilde işlenmesi” olarak tanımlanmıştır. Yönetmelikte yer alan düzenleme uyarınca toplulaştırma yönteminin uygulanmasının mümkün olduğu hallerde bu yöntemin tercih edilmesi gerekir.
Bu kavram anonimleştirmeye benzemekle birlikte bazı yönlerden ondan ayrılmaktadır. Bir kere toplulaştırmanın konusunu kişisel veriler değil, “müşteriye ilişkin veriler” oluşturmaktadır. Bunun farkların yukarıda açıklamıştım. Öte yandan kişisel verilerin ancak gerçek bir kişiyi belirleyen ya da belirleyebilen veriler olması mümkün iken, toplulaştırmaya konu olacak müşteri verileri arasında hem gerçek hem de tüzel kişilere ilişkin veriler sayılmaktadır. Dolayısıyla kişisel veriye ilişkin anonimleştirme kavramının karşılığı olarak müşteri verisine ilişkin toplulaştırma kavaramının kullanılması suretiyle kavram karmaşasının önüne geçilmek istenmiştir. Bunun yerinde bir düşünce tarzı ve yöntem olduğunu ifade etmeliyim.
II. Sır Saklama Yükümlülüğü
Yönetmelik esas olarak sır saklama yükümlülüğüne ilişkindir. Yukarıda bazı temel kavramlar açıklandı. Bu açıklamalar nelerin saklanacağına ilişkindi. Şimdi nasıl ve ne şekilde saklanması gerektiğine bakalım.
1. Sır Saklama Yükümlülüğü Nedir?
Sır saklama yükümlülüğüne ilişkin ana kural, Yönetmelik’in “Sır saklama yükümlülüğü” başlıklı 4. maddesinde 5411 sayılı Kanun’un 73. maddesi tekrar edilmek suretiyle belirtilmiştir. Buna göre sır saklama yükümlülüğü uyarınca “sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar”.
Ayrıca bu yükümlülük görevden ayrıldıktan sonra da devam edecektir.
2. Yönetmelik Uyarınca Sır Saklama Yükümlülüğünün Kapsamı
Yönetmelik’in 4. maddesinin devamında sır saklama yükümlülüğün kapsamına ilişkin açıklamalar yer almaktadır.
İlk olarak yukarıda değinildiği gibi Yönetmelik, veri işleme faaliyetini, kullanılan yöntemler bakımından sınırlandırmamıştır. Zira kavramın tanımında KVKK’dan farklı olarak buna ilişkin bir ifade kullanılmamıştır. KVKK’da kişisel verilerin işlenmesi tanımında Yönetmelik’e kıyasla fazladan “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” ifadesi mevcuttur. Yönetmelik’te bu ibareye yer verilmemiş olması, Yönetmelik uyarınca veri işleme faaliyetinde bulunmak için veriler üzerinde gerçekleştirilen işlemlerin hangi yollarda yapıldığının herhangi bir önemi olmadığını düşündürmektedir.
Nitekim Yönetmelik’in 4/2. maddesinde sır saklama yükümlülüğü, müşteri sırrı niteliğinde olan bilgilerin otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olacak şekilde düzenlenmiştir. Bu ne anlama gelmektedir? Bir bankanın müşteri sırrı niteliğindeki bir bilgiyi alelade bir kağıda yazması dahi Yönetmelik kapsamında bir işlemedir ve sır saklama yükümlülüğüne tabidir. Dolayısıyla yükümlülüğün kapsamının bu açıdan oldukça geniş düzenlendiğine dikkat edilmelidir.
Yönetmeliğin 4/3. maddesinde müşteri ilişkisi kurulmamış olan kişilere ilişkin verilerin durumu düzenlenmiştir: “Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de birinci fıkra kapsamındaki yükümlülüğe tabidir.”
Başka bir banka açısından da müşteri sırrı niteliğinde olmayan bilgilerin durumu ise Yönetmelik’in 4/3. maddesinde düzenlenmiştir: “Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir.”
Yapılan açıklamalar ışığında müşteri sırrı ile sır saklama yükümlülüğünün kapsamının belirlenmesini bir örnek üzerinden inceleyelim:
Örnek: A Bankası, B A.Ş. ile an itibariyle banka-müşteri ilişkisi kurmuştur. C gerçek kişisi ise D Bankası’nın müşterisidir. E bankası ise F A.Ş. ile görüşmeler yapmaktadır, ancak hali hazırda A Bankasının müşterisidir. G gerçek kişisinin hiçbir banka nezdinde müşteri sıfatı yoktur.
Buna göre aşağıdaki somut örneklerin müşteri sırrı olma veya sır saklama yükümlülüğüne dahil olma durumu aşağıdaki gibidir:
Durum |
Müşteri Sırrı |
Sır Saklama Yükümlülüğü |
B A.Ş.’ye ait veriler A Bankası için |
✓ |
✓ |
C gerçek kişisine ait veriler D Bankası için |
✓ |
✓ |
F A.Ş.’ye ait veriler D Bankası için |
× |
✓ |
F A.Ş.’ye ait veriler A Bankası için |
✓ |
✓ |
A bankası ile B A.Ş. arasında müşteri ilişkisi kurulduktan sonra ortaya çıkan veriler |
✓ |
✓ |
C gerçek kişisinin D Bankasının müşterisi olduğunu gösterir her türlü bilgi |
✓ |
✓ |
C gerçek kişisine ait veriler A Bankası için |
× |
✓ |
G gerçek kişisinin verileri A, D ve E Bankaları açısından |
× |
× |
G gerçek kişisinin önceden var olan birtakım verilerinin, A Bankası ile müşteri ilişkisi kurulduktan sonra ortaya çıkan verilerle birlikte kullanılması halinde önceden var olan veriler, A Bankası için |
✓ |
✓ |
G gerçek kişisinin önceden var olan birtakım verilerinin, A Bankası ile müşteri ilişkisi kurulduktan sonra ortaya çıkan verilerle birlikte kullanılması halinde önceden var olan veriler, D ve E Bankaları için |
× |
✓ |
3. Sır Saklama Yükümlülüğünün İstisnaları
Yönetmelik’in 5. maddesinde ise bu yükümlülüğün istisnaları anlaşılır, sistematik ve geniş bir şekilde ele alınmıştır.
Her şeyden önce madde 5/1 uyarınca banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin konuyla ilgili kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık oluşturmayacaktır.
Madde 5/2 uyarınca gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kalınması koşuluyla, banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin anılan fıkrada sayılan durumlar kapsamında paylaşılması sır saklama yükümlülüğüne aykırılık oluşturmayacaktır. Sır saklama yükümlülüğüne aykırılık oluşturmayacak durumlar arasında; bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması, konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları, banka sermayesinin %10 ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında bilgi ve belge verilmesi de yer almaktadır.
Yönetmelik’te yer alan istisnaların tümünü burada tek tek açıklamanın gerekli olmadığını düşünüyorum. Zira müşteri sırrı kavramının Yönetmelik’te açık bir biçimde tanımlanması ve işleme faaliyetinin de her türlü işlemeyi kapsayacak şekilde düzenlenmesi sebebiyle söz konusu yükümlülüğün istisnalarının geniş bir şekilde düzenlenmiş olması oldukça yerindedir. Aksi takdirde amacını aşan ve pratikte uygulanamayan bir sonuç ortaya çıkar ki, bu yasal düzenlemeler için son derece tehlikeli bir durumdur. Kaldı ki bankaların zaten KVKK’ya ve diğer bankacılık mevzuatına da tabi olduklarının ve şimdi ek olarak söz konusu Yönetmelik’e de tabi hale geldiklerinin altını çizmek gerekir. Dolayısıyla bankalar açısından müşteri sırrı ve diğer yükümlülükler yine geçerlidir, her şeyden önemlisi aşağıda belirteceğim 6. maddeye tabi olmaları noktasında hiçbir şekilde bir istisna söz konusu değildir, dolayısıyla sır saklama yükümlülüğüne ilişkin istisnaların bu kadar geniş ve ayrıntılı düzenlenmesini bankacılık ve finans sektörünün sır saklanırken işler kılınması açısından yerinde bulduğumu ifade etmeliyim.
III. Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler
Yönetmelik’in “Sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler” başlıklı 6. maddesi bu bilgilerin paylaşılması sırasında uyulması gereken kuralları düzenlemektedir. Maddede yer alan düzenlemelere bakıldığında KVKK’da belirtilen ilkelerle uyumlu olduğu görülmektedir.
1. Ölçülülük İlkesi
Ölçülülük kavramı tartışmalı bir kavram olmakla birlikte Yönetmelik kapsamında ölçülülük ilkesi açıklanmıştır. Buna göre bu ilkeden, paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesinin sağlanamıyor olması anlaşılmalıdır.
İlgili maddede ölçülülük ilkesinin mevcut olduğuna kanaat getirmek için bulunması gereken asgari unsurlar belirtilmiştir:
i. Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi,
ii. Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması,
iii. Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması,
iv. Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve yukarıda belirtilen yöntemlerin kullanılması,
v. Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.
Ne var ki yönetmelikte detaylı bir şekilde tanımlanmış olan bu ilkenin mevcudiyetinden bahsedebilmek için yukarıda sayılan tüm şartların sağlandığının denetimi gerekmektedir. Ölçülülük ilkesinin uygulanmasının gerekliliği nedeniyle de yapılması gereken bu denetimin, bankaların iş süreçleri açısından işlevsel bir soruna yol açabilmesi söz konusudur.
2. Gerçek Kişi Müşterilere İlişkin Verilerin Paylaşılması
Yönetmelik’in 6/2. maddesinde gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşılması düzenlenmiş olup; bu paylaşım sırasında KVKK’nın 4. maddesine uygun hareket edilmesi gerektiği belirtilmiştir. Bankalar her halde KVKK’ya tabi olduğundan bu bakımdan çelişkili bir durumun yaratılmaması ve KVKK’ya atıf yapılarak uyumlu hareket edilmiş olması yerindedir.
3. Müşterinin Aktif Talep ya da Talimatı
Yönetmelik’in 6/3. maddesi bilgi paylaşımı için müşterinin talep ya da talimatını düzenlemektedir. Yukarıda da ifade edilen 25 Şubat 2020 tarihli değişiklik ile 5411 sayılı Kanun’un 73/3. fıkrasına eklenen “açık rıza alınsa dahi” ifadesi, tarafımızca da açık rızanın işlevsiz kaldığı ve kanun koyucunun gözünde açık rıza kavramının güvenilirliğini yitirdiği gibi birçok eleştiriye maruz kalmıştır. Bu eleştirilerin başlıca nedeni açık rızanın varlığına rağmen müşteriden ayrıca bir talep ya da talimat beklenmesidir. Buna göre müşteri, paylaşım konusunda açık rıza vermiş olsa bile ilgili bankaya bu yöndeki talep ve talimatını iletmeden aktarımın gerçekleşmesi mümkün değildir. Yönetmelik’in 6/3. maddesi ile bu durum aynen korunmuş, yalnızca sır saklama yükümlülüğünden istisna tutulan haller hariç tutulmuştur.
Öte yandan anılan fıkrada “müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi, bankanın vereceği hizmetler için bir ön şart haline getirilemez” ifadesiyle açık rızanın KVKK’ya uygun olarak hizmet şartına bağlanması engellenmiştir.
Burada değinilmesi gereken bir diğer nokta, yine bir gerçek kişi-tüzel kişi ayrımına ilişkindir. Zira Yönetmelik’in 6/3. fıkrası uyarınca, açık rıza ve müşteri talep ya da talimatı birbirinden ayrı tutulmuştur. Bu durumda akla gelen sorulardan biri de, KVKK kapsamında yer alan açık rıza gerçek kişilere uygulanırken tüzel kişiler KVKK kapsamında yer almadığından onlar için yalnızca müşteri talep ve talimatının yeterli olup olmayacağına ilişkindir. Eğer tüzel kişiler için ilgili durum söz konusu olacak ise gerçek kişilere ait verilerin aktarılması söz konusu olduğunda hem açık rızanın hem de talep ve talimatın şartlarının sağlanması gerektiği sonucu ortaya çıkmaktadır. Ancak bu durumda tüzel kişilerden alınacak olan açık rızanın taşıması gereken koşullar ne olacak ve neye göre belirlenecektir? Bu hususlar, Yönetmelik kapsamında belirsiz kalmakla birlikte bu sorunun var olmasının nedeni kanaatimizce Kişisel Verilerin Korunması Kanununda yer alan ana ilkelerden yola çıkılarak düzenleme yapılması yerine BDDK’nın -haklı olarak- konuyu yalnızca bankacılık ve finans sektörü açısından ele alması ve düzenleme yapmasıdır. İşte bu da söz konusu çelişkileri oluşturmakta ve buna bağlı olarak uygulamada çok sayıda sorun ortaya çıkmaktadır. Oysa bu tür düzenlemelerden etkilenenlerin ve uygulayıcıların beklentisi, bu tür düzenleyici kurumların bir araya gelerek tüm hassasiyetleri dikkate alarak, çelişki, belirsizlik ve karışıklık çıkarmayacak düzenlemeler yapmalarıdır.
Müşterinin talep ya da talimatının ne şekilde olacağına ilişkin düzenleme Yönetmelik’in 6/4. maddesinde yer almaktadır. Buna göre talep ya da talimat;
- Yazılı şekilde alınabilir veya kanıtlanabilir olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Kalıcı veri saklayıcısı tanımlar maddesinde şu şekilde açıklanmıştır: Müşterinin gönderdiği veya kendisine gönderilen bilgiyi, bu bilginin amacına uygun olarak makul bir süre incelemesine elverecek şekilde kaydedilmesini ve değiştirilmeden kopyalanmasını sağlayan ve bu bilgiye aynen ulaşılmasına imkân veren kısa mesaj, elektronik posta, internet, CD, DVD, hafıza kartı ve benzeri her türlü araç veya ortam. Yazılılık yanında elektronik ortamlara uygun olarak bu şekilde alternatif bir yöntemin getirilmiş olması yerindedir.
- Talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilir. Bu noktada banka tarafından yalnızca bir işlem için talep ya da talimat alınacak olması halinde, bunun müşteri tarafından iptal edilebilir veya değiştirilebilir olup olmaması gerektiği sorusu akla gelmektedir. Düzenlemenin tersinden bir işlem için alınan talep ya da talimatın iptal edilebilir ve değiştirilebilir olması zorunlu değildir.
- Müşteri tarafından elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulanabilmesi ve görüntülenebilmesi esastır.
Yönetmelik’in 6. maddesinin 6. fıkrası da yine müşterinin aktif talep ya da talimatını içerir bir düzenlemedir. Buna göre müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunlu olduğu işlemler bakımından, ilgili işlemin müşteri tarafından başlatılmasının ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesinin müşteri talep ya da talimatının yerine geçeceği belirtilmiştir. Bu sayede dijital dünyaya uyum sağlanarak müşteri tarafından başlatılan işlem ve emir girişi vasıtalarıyla kullanıcı deneyimi bozulmadan KVKK uyarınca açık rızanın yanı sıra Yönetmelik kapsamında veri paylaşımı için gerekli olan aktif talep şartı da yerine getirilmektedir.
4. Yurt Dışına Veri Aktarımı
Yönetmelik’in 6/11. maddesinde yurtdışına aktarım hususu ele alınmıştır. BDDK’ya müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklama yetkisi verilmiştir. Verilen bu yetki, kişisel verilerin aktarımı konusunda Kişisel Verileri Koruma Kurulu’nun yanı sıra, BDDK’nın da gündeme gelmesini sağlamıştır. Burada, banka müşterilerinin kişisel verilerinin paylaşımı ve aktarımı söz konusu olduğunda yetkinin hangi kuruma ait olacağı hususu belirsiz kalmıştır.
Bununla birlikte, aynı madde hükmü uyarınca yapılacak paylaşımlar için karşılıklılık ilkesi esas alınmıştır. Dolayısıyla karşılıklılık ilkesine uymayan bir ülkede bulunan taraflar ile paylaşım yapıldığında Kurul bu paylaşımlara kısıtlama, durdurma ya da yasaklama getirebilecektir. Tüm bu düzenlemeler dikkate alındığında, BDDK’ya yurt dışı aktarımına ilişkin verilen bu yetkilerin kapsamının oldukça geniş olduğunu söylemek yanlış olmayacaktır. Nitekim belirtmek gerekir ki, Kurul yasaklamaya yetkili olduğu gibi yurt dışı aktarımı için gerekli olan karşılıklılık ilkesine uyulup uyulmadığını denetlemekle de yetkili kılınmıştr. KVKK açısından da kişisel verilerin yurt dışına aktarılması hala konunun en belirsiz ve en tartışmalı noktalarından birini oluşturuyor iken; bir de üzerinde bu şekilde bir düzenlemenin getirilmesini yerinde bulmadığımı belirtmeliyim. Kişisel verilerin yurt dışına aktarım konusunda esas ve usulleri belirleme yetkisi Kişisel Verileri Koruma Kurulu’na (“KVK Kurulu”) verilmiş ve KVK Kurulu da konuyla ilgili olarak dikkate alınacak kriterler de dahil olmak üzere birçok düzenleme ve açıklama yayımlanmıştır. Buna rağmen yurt dışına aktarım hususu hala belirsizliğini korumakta ve uygulama açısından büyük bir sorun teşkil etmektedir. Bir tarafta konunun tüm uygulayıcıları tarafından konunun bir an önce uygulama açısından en uygulanabilir şekilde çözüme kavuşturulması isteği mevcutken ortaya konuyla ilgili yeni bir düzenleme bırakmak, yeni bir kurum yetkili kılmak, bir kriter koyarak KVK Kurulu tarafından daha önce belirlenen kriterlerin ne olacağı şeklinde bir sorgulama yapılmasına sebep olmak yerinde olmamıştır. Dolayısıyla bu düzenlemenin fayda sağlamaktan çok özellikle yetkili kurum bakımından olmak üzere konuyu daha karmaşık bir hale getireceğini öngörüyorum.
5. Bilgi Paylaşım Komitesi
Yönetmelik’in “Bilgi Paylaşım Komitesi” başlıklı 7. maddesi uyarınca bankalara, Bilgi Paylaşım Komitesi oluşturma zorunluluğu getirilmiştir. Bu komitenin sorumluluğu; Yönetmeliğin 5. maddesi kapsamındaki paylaşımlar da dahil olmak üzere, 6. maddede değinilen ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımlarını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almaktır.
Bankaların yoğun bir biçimde kişisel veri işleyen ve aktaran kurumlar olmaları sebebiyle KVKK’ya uyumluluk projelerinde komite kurmuş olmaları önemlidir. Getirilen bu yeni düzenleme ile birlikte bankaların, oluşturacakları bilgi paylaşımı komitelerinde KVKK komitesi üyelerinden yararlanmaları, bu üyeler arasından seçim yapmaları ve bu iki komitenin işbirliği içerisinde çalışmaları şeklinde bir yapı kurmaları faydalı olacaktır.
Sonuç
Yukarıda söz konusu Yönetmelik ile ilgili yapılan tüm açıklamalar ışığında, genel olarak yayımlanması gerekli bir Yönetmelik olduğunu ve bu düzenlenin yapılmış olmasını yerinde bulduğumu ifade etmeliyim. Ancak hala yukarıda belirtmiş olduğum bazı kavramların ya hiç tanımlanmamış ya da yeterince tanınlanmamış olmasını, ayrıca kurumlar arasında eşgüdüm sağlanarak aynı konuya dokunan farklı düzenleyici kurumların ortak bir mevzuat çıkarmamasını büyük bir eksiklik ve olumsuzluk olarak değerlendirmekteyim.
Şubat ayında yapılan değişiklik ve ilgili yönetmelik kapsamında BDDK gibi idari (yarı özerk) bir kuruma kendi sektörü açısından yetki verilmiştir. Bilindiği üzere gelişen ve değişen dünyamızda, bilgi teknolojileri de her geçen gün gelişmektedir. İleride daha birçok sektöre de bu gibi yetkilerin tanınması olasıdır. Ancak yapılan düzenlemelerin birbirlerini ne şekilde etkileyeceği hususu muğlaktır. Bu nedenle, sektörel açıdan tanınmış bu yetki dolayısıyla ortaya çıkacak hukuki sorunlarda kimin sorumlu olduğunun tespiti zorlaşacaktır. Bahsedilen muğlak durum nedeniyle, uygulamada bankalar açısından sorun yaşanmaması adına BDDK’nın bundan sonraki süreçte Yönetmelik’te yer alan düzenlemelerin nasıl ve ne şekilde uygulanması gerektiğine ilişkin ve yönetmelik uyarınca getirilen yükümlülüklere ilişkin somut örnekler içeren bir rehber yayınlaması ortaya çıkması olası sorunların çözümüne olumlu bir katkı niteliğinde olacaktır.
Öte yandan Yönetmelik, beraberinde yurt dışı aktarımına ilişkin de birçok sorun getirmektedir. Çünkü müşteri sırrı niteliğindeki bilgilerin aktarımında, özel ve sonraki kanun olması nedeniyle 7222 sayılı Kanun ile 5411 sayılı Bankacılık Kanunu’nda yapılan değişiklik sonrası yer alan sır saklamaya yönelik hükümler, KVKK karşısında özel nitelikli kanun hükümleri olarak ele alınacaktır. Nitekim bu makalenin konusu oluşturan Yönetmelik de bu değişilik gereğince çıkarılmıştır. Bu da demektir ki, müşteri sırrı niteliğindeki verilerin üçüncü taraflara aktarımında açık rıza alınmış olsa da müşterilerden talep ve talimat da alınması gerekecektir. Müşterinin talep ve talimatının gerekli görülmesi adeta KVKK kapsamında ele alınan açık rıza kavramını hiçe saymaktadır.
Son olarak, her ne kadar sektöre özgü düzenlemeler yapılmasında bir sakınca olmasa da bu düzenlemelerin hukukun tekliği ilkesine (bütünlüğüne) zarar verecek nitelikte olmamasına dikkat edilmelidir. Aksi takdirde, hukuk güvenliğinin sarsılması tehlikesi ile karşı karşıya kalınacaktır. Ayrıca ileride getirilebilecek sektör bazlı düzenlemelerde, bütüncül koruma yaklaşımı esas alınmaz ise uygulamada daha pek çok sorunla karşılaşılması kaçınılmaz olacaktır.
>> Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik için TIKLAYINIZ
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
---------------
[1] Hilal Üçüncü, Medeni Yargılama Hukukunda Kişisel Verilerin ve Sırların Korunması, İstanbul, Onikilevha Yayıncılık, 2019, s. 21 vd.
[2] KVKK Rehberi, “Tanımlar”, Erişim Tarihi: 05.06.2021, https://www.kvkkrehberi.com/tanimlar
[3] Termsfeed, Pseudonymization, Anonymization and the GDPR, Erişim Tarihi: 05.06.2021, https://www.termsfeed.com/blog/gdpr-pseudonymization-anonymization/
[4] ICO, What is personal data?, Erişim Tarihi: 05.06.2021, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/what-is-personal-data/