SIR NİTELİĞİNDE BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİK DÜZENLEMELERİNE İLİŞKİN BİLGİ NOTU

15 Haziran 2021

I. Giriş

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 1 Ocak 2022 tarihinde yürürlüğe girmek üzere 4 Haziran 2021 tarihli ve 31501 sayılı Resmi Gazete’de yayımlanmıştır.
Yönetmelik, 5411 sayılı Bankacılık Kanunu (“Bankacılık Kanunu”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) kesiştiği alanda görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenlere ilişkin sır saklama yükümlülüğü ile ilgili ayrıntılı düzenlemeler getirmektedir. Sektörün risk temelli niteliği gereği kimi kişisel veri niteliğini haiz, kimi sır niteliğinde pek çok verinin dolaşıma konu olması sebebiyle Bankacılık Kanunu’nun 73’üncü maddesinin çizdiği çerçevede bu tür verilerin kişisel veri niteliğinde olup olmasından bağımsız olarak sır sıfatını haiz olarak korunmasına ilişkin birtakım tedbirler de öngörülmüştür.
Yönetmelik ile getirilen düzenlemelerin ilgili mevzuat ışığında incelemesini aşağıda bulabilirsiniz.

II. Mevcut Düzenlemeler

Mevcut durumda Bankacılık Kanunu’nun 73’üncü maddesi, genel olarak sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenlere ilişkin sır saklama yükümlülüğünü düzenlemektedir. Bu yükümlülüğün kapsamında BDDK, Bankacılık Düzenleme ve Denetleme Kurulu (“Kurul”), Tasarruf Mevduatı Sigorta Fonu Kurulu üyeleri ve personeli de dahildir. Madde, bankalara ve müşterilerine ilişkin sırları düzenlemektedir. Dolayısıyla sır saklama yükümlülüğünün maddi kapsamını “müşteri sırrı" ve “bankacılık sırrı” olarak ifade etmek mümkündür. İşte bu sır niteliğindeki bilgileri öğrenenler, bu bilgileri görev sürelerinin sona ermesi ardından dahi kural olarak ancak kanunen açıkça yetkili kılınan mercilerle paylaşabilirler. Ancak aynı düzenlemede söz konusu sırlara ilişkin birtakım istisnalar da düzenlenmiştir. Örneğin, gizlilik sözleşmesi yapılması ve belirtilen amaç ile sınırlı kalınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında yapacakları her türlü bilgi ve belge alışverişleri (örneğin Kredi Kayıt Bürosu A.Ş ve bir Kredi Kayıt Bürosu A.Ş kuruluşu olan Findeks gibi uygulamalar aracılığıyla), bu kuruluşların sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da halihazırda bu oranda paya sahip ana ortaklıkların yapacağı konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında sır saklama yükümlülüğü uygulanmayacaktır.

Bankacılık faaliyetine özgü bir işleme ilişkin müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ilişkin veriler müşteri sırrı olarak değerlendirilecektir. Sır saklama yükümlülüğünün istisnaları haricinde bu tür verilerin paylaşılması, KVKK’nın belirli durumlara ilişkin öngördüğü açık rıza alma


sorumluluğundan bağımsız olarak müşterinin talep ve talimatına bağlı tutulmuştur. Ayrıca, ekonomik güvenlik gerekçelerine bağlı olarak, KVKK düzenlemelerinden bağımsız biçimde müşteri sırları ve bankacılık sırlarının yurtdışına aktarımı konusunda sınırlamalar getirmeye Kurul yetkili kılınmıştır.

Ayrıca KVKK’da belirtilen genel ilkelerden amaçla bağlantılılık ve sınırlılık ile ölçülülük ilkeleri kişisel veri içermelerinden bağımsız olarak bu verilerin paylaşılmasında da uygulanacaktır. Burada bankacılık işlemleri sırasında elde edilen verilerin hassas niteliği dikkate alındığında, kişisel veri mevzuatındaki “özel nitelikli veri” kategorisine benzer bir korumayı sağlama amacının bu özel düzenlemelerle yerine getirilmek istendiği anlaşılmaktadır. Esasen gerçek kişilerin tarafı olduğu bankacılık işlemlerinin çoğunlukla bu kişiyi tanımlanabilir hale getireceği ve kişisel veri niteliğine sahip olacağı açıktır. Ancak bankacılık riskleri karşısında müşteri sırrı kapsamına, tüzel kişi müşterinin kendi faaliyet alanında ticari sır olarak adlandırabileceği tüzel kişi finansal verileri de dahil edilmiştir. Her halükarda tüzel kişilerin sahip olabileceği çekinceler yanında, tüzel kişilere ait verilerin, tüzel kişi organizasyonunda yer alan gerçek kişileri de belirlenebilir hale getirebilmesi ve kişisel veri niteliğini taşıması mümkündür. Ancak bankacılık mevzuatının KVKK kapsamına giren durumlar dışında da uygulanacağı ve sektöre özel düzenlemeler getirdiği unutulmamalıdır.

Müşteri sırrı veya bankacılık sırlarının açıklanması halinde Türk Ceza Kanunu‘nun 239’uncu maddesinde düzenlenen “Ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması suçuna” ilişkin yaptırımlar uygulanabileceği gibi, Bankacılık Kanunu’nun 148’inci maddesindeki kanuna ve ikincil düzenlemelere aykırılık yaptırımları uygulanabilmektedir.

III. Yönetmelik ile Getirilen Yenilikler

1. Kişisel verilerin korunması ile ilgili kavramlar bankacılık mevzuatına dahil edilmiştir.

Yönetmelikle birlikte, veri işleme ve anonim hale getirme gibi kişisel verilerin korunmasına ilişkin mevzuatta yer alan kavramlar ilk defa, mevzuat içeriğine uygun olduğu ölçüde, bankacılık mevzuatına dahil edilmiş bulunmaktadır.

      1. Anonim hale getirme: Kişisel verilerin korunması ve veri güvenliği terminolojisinde sıklıkla adı geçen anonimleştirme bir güvenlik tedbiri olarak bir verinin herhangi bir kişiyle kesinlikle bir daha ilişkilendirilemeyecek bir biçimde, esaslı bir şekilde tadil edilmesi, gruplandırılması, karartılmasını ve bu amaçla gerçekleştirilen benzeri işlemleri ifade eden bir üst terimdir. Yönetmelikte anonimleştirme faaliyeti kişisel veri bağlamı dışında tutulmuş ve hem gerçek hem tüzel kişi müşterilerin verilerinin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirlenebilir bir müşteriyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır.
      2. Veri işleme: Veri işleme, kişisel verilerin korunması mevzuatı ile uyumlu olarak verilerin, elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, paylaşılması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Ancak kişisel verilerin korunması mevzuatındaki veri işleme tanımında yer alan “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleme” sınırlaması Yönetmelikteki tanıma alınmamıştır. Esasen KVKK’da yer alan bu ibare kanunun kapsamına ilişkin 2’nci maddede yer alıp kişisel verilerin korunması mevzuatının kapsamını belirleme amacı güttüğünden, daha geniş bir uygulama alanına sahip olması beklenen bankacılık mevzuatındaki sır saklama yükümlülüğü düzenlemelerine alınmamış olması kanun sistematiğine uygundur. Dolayısıyla Yönetmelik’in 4’üncü maddesinin 2’nci fıkrasında da açıkça belirtildiği gibi kişisel veri niteliğindeki bilgilerin otomatik yollarla veya veri kayıt sisteminin parçası olmadan “elde edilmesi” benzeri faaliyetler kişisel verilerin korunması mevzuatı kapsamında değerlendirilmeyecekken, bu tür veriler müşteri sırrı veya bankacılık sırrı niteliğini taşıdıkları halde sır saklama yükümlülüğü kapsamında değerlendirilecektir.
      3. Toplulaştırma: Yönetmelikte kullanılan toplulaştırma kavramı ise daha önce mevzuatımızda bulunmayan bir kavram olsa da, yaygın bir anonimleştirme tekniği olarak Yönetmelik’te yerini almıştır. Özetle, çok sayıda verinin kırılımlarından kurtarılarak genel ve özet bir şekilde ifade edilmesidir. Örneğin, kişilerin isimleri, yaşları ve ayakkabı numaralarının bulunduğu bir veri setinin “On altı yaşındaki gençlerin yüzde otuzunun ayakkabı numarası otuz altıdır” şeklinde ifade edilmesi ve verilerin, toplulaştırılan verilerle yer değiştirilerek saklanması toplulaştırma yönteminin kullanılmasını ifade eder.
      4. Kimliksizleştirme: Kişisel verilerin korunması ile ilgili mevzuatta ilk olarak Kişisel Sağlık Verileri Hakkında Yönetmelik’te yer alan kimliksizleştirme tanımı Yönetmelik ile gerçek kişilerin yanı sıra tüzel kişileri de kapsayacak şekilde genişletilmiştir. Esasen söz konusu ibare anonimleştirmeyle benzerlik göstermekte olup, ancak ilişkilendirilememenin gerçekleşmesi aranmamış, bu amaçla teknik ve idari tedbirlerin alınması ve fiili olarak ilişkilendirilemiyor olması yeterli görülmüştür. Bu kapsamda teknik bir güvenlik tedbiri olarak psödonimleştirmeden bahsedildiği söylenebilecektir. Psödonimleştirme, verilerin ilk bakışta herhangi bir kişiyle ilişkilendirilemeyecek şekilde değiştirilmesini sağlayan teknikleri ifade etmektedir. Anonimleştirmeden farkı ise söz konusu işlemin geri dönüştürülebilir olması, yani söz konusu verilerin birtakım işlemlerle tekrar ilgili kişilerle ilişkilendirilebilecek hale getirilebilmesidir. Ancak söz konusu veriler kişisel veri mevzuatı kapsamında kişisel veri ve bankacılık mevzuatı kapsamında sır niteliğini haiz olmaya devam edecektir.

Anonim hale getirme, toplulaştırma ve kimliksizleştirme kavramlarına sadece sırların paylaşımı sırasında amaç ile bağlantılı ve gerekli olduğu ölçüde veri işleme prensibi çerçevesinde mümkün olduğu takdirde uygulanması gereken bir güvenlik tedbiri olarak yer verilmiştir.

2. Sır saklama yükümlülüğünün kapsamı genişletilmiştir.

Bankacılık Kanunu’nun 73’üncü maddesindeki temel sistem korunmakla beraber, müşteri sırrı haline gelmeye ilişkin sınırlı tanım genişletilmiştir. Buna göre müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de sır saklama yükümlülüğüne tabidir. Yani müşteri sırrı tanımı bir bankanın kendi müşterileriyle ilgili sırları belirtse de sır saklama yükümlülüğünün kapsamı müşteri sırrı tanımını aşmakta olup, sadece yükümlülüğün kişi bakımından kapsamında bulunanların ilişkili oldukları bankanın müşterileriyle ilgili sırlardan ibaret değildir. Bu veriler gibi müşteri sırrı niteliğinde olmayan bilgiler de, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, veya müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelecektir. Bu andan itibaren bu veriler de sır saklama yükümlülüğü kapsamında değerlendirilecektir.

3. Sır niteliğinde bilgilerin paylaşılması ayrıntılı olarak düzenlenmiş, birtakım genel ilkelere uyulmasına bağlanmıştır.

Sır saklama yükümlülüğüne tabi verilerin paylaşılması ile ilgili olarak KVKK kapsamındaki açık rıza gerekliliğinden bağımsız olarak müşteri talebinin bulunması ilkesi korunmuştur.

Müşterinin menfaatini gözeten bir yaklaşım sergileyen Yönetmeliğin 6’ncı maddesinin 3’üncü fıkrasında açık rıza, talep ya da talimat hususlarının bir hizmet önkoşulu olarak ileri sürülemeyeceği de hükme bağlanmıştır. Ayrıca, talep ve talimata ilişkin daha detaylı düzenlemelere yer verilmiştir. Buna göre, müşterilerin talebi kanıtlanabilir ve aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik süresiz olabilir. Müşterinin vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesi esastır.

İşlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından üçüncü fıkrada belirtilen müşteri talep ya da talimatı yerine geçer.

Ek olarak paylaşımlarda birtakım genel ilkelere uyulması düzenlenmiştir. Böylece, KVKK’daki usulden ziyade esasa yönelik düzenleme yaklaşımı benimsenmiştir. Ayrıca KVKK’da belirtilen genel ilkeler kişisel veri niteliğini taşıyan veriler bakımından saklı tutulmuştur.
Bu ilkeler hem bankacılık sırlarının hem müşteri sırlarının paylaşılmasına uygulanacaktır. Bu tür paylaşımlar belirtilen amaçla sınırlılık ve ölçülülük ilkelerine uyumlu olmak zorundadır. Ölçülülük amacın gerektirdiği veri paylaşımı kapsamında belirlenecektir. Yönetmelik bu hususu askıda bırakmamış, ölçülülüğü sağlayacak zorunlu birtakım tedbirlere de yer vermiştir. Bu kapsamda:

      1. Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.
      2. Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.
      3. Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.
      4. Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (c) bendinde belirtilen yöntemlerin kullanılması.
      5. Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması

gerekmektedir.

Dikkat çekilmesi gereken bir diğer husus ise, maddede belirtilen ölçülülük ilkesinin sır saklama yükümlülüğünden istisna tutulan paylaşımlar için de uygulanacak olmasıdır. Bu durum KVKK mevzuatındaki açık rıza yükümlülüğünden istisna tutulma durumu ile benzeşmektedir, zira bu durumda da genel ilkelere uyulması gerekmektedir.

Son olarak, müşterinin, talep ya da talimatı üzerine yapılacak paylaşımlarda ölçülülük ilkesine uyulup uyulmadığı, müşterinin talep ya da talimatına uyulup uyulmadığı ile sınırlı olarak değerlendirilir. Ancak bunun için müşterinin paylaşılmasını talep ettiği veri seti içinde başka müşterilere ya da başka bankaların müşterilerine ilişkin sır kapsamındaki bilgilerin bulunmaması gerekmektedir.

 

4. Bankacılık Kanunu’nda öngörülen istisnalar muhafaza edilmiş, ek olarak banka yönetim kurulu kararı ile bilgi paylaşımı sır saklama yükümlülüğünden istisna tutulmuştur.

Sır saklama yükümlülüğünün uygulanmayacağı istisnai hâller bakımından Bankacılık Kanunu m. 73/4 ile paralellik bulunmaktadır. Ancak Yönetmelik, Bankacılık Kanunu’nda sayılan hallere ek olarak müşteri sırrı niteliği taşımayan, banka sırrı olarak nitelendirilen sırların banka yönetim kurulu kararı ile paylaşılabileceğini belirtmektedir. Bu düzenleme uyarınca yapılacak bir paylaşım banka sorumluluğunda gerçekleşecektir.


Öngörülen diğer bir istisna ise kamu kurum ve kuruluşlarınca müşteri sırrı niteliğinde bilgilerin teyidine ilişkindir. Bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş Kredi Kayıt Bürosu A.Ş. gibi şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talebi üzerine söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmez.


Yine yargı yetkisi çerçevesinde bir hakkın tesisi için uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilerin veya banka sırrı niteliğindeki bilgilerin, uyuşmazlık çözmeye yetkili makamlarla ya da bankayı temsil eden taraflarla paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez.

 

5. BDDK’ya raporlama yükümlülüğü getirilmiştir.

Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında sermayelerinin yüzde on veya daha fazlasına sahip olan ana ortaklıklarına bilgi ve belge verilmesi Bankacılık Kanunu ve Yönetmelik uyarınca düzenlenmiş sır saklama sorumluluğunun istisnai hallerinden biri olmakla birlikte Yönetmelik bu istisnai halin uygulanması aşamasında yeni bir yükümlülük getirmektedir. Bu tür paylaşımlarda sır saklama yükümlülüğünün uygulanmaması için altı aylık dönemlerle paylaşıma ilişkin bilgilerin ve imzalanan gizlilik sözleşmesinin BDDK’ya bildirim gerekliliği öngörmüştür. Yönetmelik, bu düzenleme ile bilginin gizliliğinin ve güvenliğinin sağlanmasını amaçlamıştır.


6. İstisnai haller söz konusu olduğunda yurt dışına veri aktarımı bakımından mütekabiliyet ilkesi benimsenmiştir.

5411 sayılı Bankacılık Kanunun 73’üncü maddesinde 7222 sayılı kanunla yapılan değişikliğe paralel olarak Kurul, Yönetmelik’in 5’inci maddesinde belirtilen istisnai haller de dahil olmak üzere müşteri sırrı ve banka sırrı niteliğindeki her türlü verinin yurtdışına aktarılmasını sınırlamaya yetkili kılmıştır. Yönetmelik’te buna ek olarak 5’inci maddedeki istisnai haller kapsamında yapılan paylaşımlar bakımından mütekabiliyet ilkesinin uygulanacağı belirtilmiş, mütekabiliyet ilkesini ihlal eden ülkelerde bulunan taraflar arasında bu kapsamda yapılacak olan paylaşımların Kurul tarafından yasaklanabileceği belirtilmiştir.

 

7. Hakim ortak ile banka arasında iç denetim uygulamaları kapsamında gerçekleşecek paylaşımların müşteri kimliğini belirlenebilir hale getirebilecek nitelikte veriler içermemesi gerektiği belirtilmiştir.

Yönetmelik’in 6’ncı maddesi ile 5’inci maddedeki istisnai haller de dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşılmasında, hakim ortakla paylaşılan bilgilerin söz konusu müşterinin kimliğini belirli edecek veya belirlenebilir kılacak nitelikte olmaması gerektiği belirtilmiş, bu kapsamda yapılacak olan paylaşımlarda toplulaştırma, kimliksizleştirme veya anonim hale getirme yöntemlerinin kullanılması gerektiği ifade edilmiştir.

 

8. Bilgi Paylaşımı Komitesi kurulması zorunluluğu getirilmiştir.

Yönetmelik’in 7. maddesi ile bankalara görev tanımları ve çalışma esasları banka yönetim kurulu tarafından onaylanan bir bilgi paylaşımı komitesi (“Bilgi Paylaşımı Komitesi”) kurulması zorunluluğu getirilmiştir. Bilgi Paylaşımı Komitesi, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımını ölçülülük ilkesini nazara almak suretiyle koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almak ile yükümlüdür. Bilgi paylaşımı komitesinin, madde metni uyarınca asgari olarak bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden teşkil edeceği belirtilmiştir.

 

IV. Sonuç

Yönetmelik ile, bankacılık mevzuatı ile kişisel verilerin korunması mevzuatları arasında, özellikle örtüşen hususlar bakımından ortaya çıkabilecek olan tereddütler giderilmiştir. Yönetmelik’te, bugüne kadar kapsam açısından birçok tartışmaya neden olan müşteri sırrı ve banka sırrı kavramları belirsizlikleri giderecek açıklıkta tanımlanmıştır. Buna ek olarak, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşılmasında takip edilmesi gereken usul ve esaslar belirlenmiştir. Bu bağlamda sır saklama yükümlülüğünün genel ilkeleri ve istisnai durumlar belirlenmiştir.


PDF İNDİR

Copyright © 2018 | Güner Hukuk Bürosu |Tüm Hakları Saklıdır

Bilgi Güvenliği Politikası | Çerez Politikası | Aydınlatma Metni

Bizi Linkedin'de Takip Edin