Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik
2020 yılında 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) “Sırların Saklanması” başlıklı 73. maddesine ek düzenlemeler getirilmiş ve söz konusu düzenlemeler yoruma açık olmaları ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) yapılan atıflar sebebiyle eleştirilere konu olmuştu. Geçtiğimiz yıl yapılan bu değişikliklerden biri de sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye ve bunlara ilişkin sınırlamalar getirmeye” Bankacılık Düzenleme ve Denetleme Kurulu (“BDDK”) yetkili kılınması olmuştur.
Bu doğrultuda BDDK tarafından gerekli çalışmalar yapılarak, banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin olarak 1 Ocak 2022 tarihinde yürürlüğe girecek olan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 4 Haziran 2021 tarihinde 31501 sayılı Resmî Gazete’de yayımlanmıştır.
YÖNETMELİK NELER GETİRİYOR?
Yönetmelik ile Kanun’un 73. maddesinde düzenlenen sır saklama yükümlülüğü, bu yükümlülüğün istisnaları ile müşteri sırrı kavramları netleştirilmiş ve bu kavramlara bağlanan sonuçlar ayrıntılandırılmıştır. Aynı zamanda, banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına yönelik genel ilkeler ile ilgili usul ve esaslar düzenlenmiştir.
Sır Saklama Yükümlülüğü
Yönetmelik’te, Kanun’un 73. maddesi ile paralel olarak, sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenlerin söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacağı belirtilmiş, bu yükümlülüğün ilgililerin görevlerinden ayrılmasından sonra da devam edeceğinin altı çizilmiştir.
Peki hangi bilgiler bu mevzuat kapsamında sır olarak değerlendirilecektir? ‘Müşteri sırrı’, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlanmış olup bir müşterinin, bankanın müşterisi olduğu bilgisi de bu kapsamda sayılmıştır. Ayrıca, müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırları da sır saklama yükümlülüğü kapsamına dahil edilmiştir.
Sır Saklama Yükümlülüğünden İstisna Haller
Yönetmelik’in 5. maddesinde ise sır saklama yükümlülüğünün istisnaları düzenlenmiştir. Kanunen açıkça yetkili kılınan mercilerle yapılan paylaşımlar ile aşağıda belirtilen durumların, gizlilik sözleşmesi yapılması ve yalnızca belirtilen amaçlar ile sınırlı kalması şartıyla istisna kapsamında sayılacağı belirtilmiştir:
- Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.
- Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.
- Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.
- Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.
Diğer taraftan, Yönetmelik kapsamında müşteri sırrı niteliğinde olmayıp banka sırrı niteliğinde olan bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü kişiler ile paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmiştir.
Ayrıca, bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmanın ispatı için zorunlu olması durumunda, ilgili uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilerin veya banka sırrı niteliğindeki bilgilerin, yargılama faaliyetinin yerine getirilmesi amacıyla yurtiçi ve yurtdışındaki mahkeme veya makamlarla paylaşılması ile bu makamlarla paylaşmak üzere uyuşmazlıklarda bankayı temsil eden taraflarla paylaşılmasının istisna kapsamında olacağı düzenlenmiştir.
Raporlama Yükümlülüğü
Yönetmelik uyarınca konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında yapılacak bilgi paylaşımları için raporlama yükümlülüğü getirilmiş ve 6 aylık dönemler halinde -ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde derhal- Kurum’a, Yönetmelik’te belirtilen bilgileri içerecek şekilde raporlama yapılması gerektiği hüküm altına alınmıştır. Görüldüğü üzere, istisnai hallerde dahi bu paylaşımlar, yapılacak raporlamalar aracılığıyla denetleme altında tutulacaktır.
Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler
Yönetmelik’in 6. maddesi uyarınca sır niteliğindeki bilgilerin paylaşılmasına dair genel ilkeler belirlenmiş olup sadece belirtilen amaçlarla sınırlı olarak ve ölçülülük ilkesine uygun olarak verilerin paylaşılabileceği ifade edilmiştir. Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülülük ilkesine uygun olmayacağı belirtilmiştir. Yapılacak paylaşımlarda, ölçülülük ilkesi kapsamında bulunması gereken asgari unsurlara ilgili maddede detaylı şekilde yer verilmiştir.
Yönetmelik’in 6. maddesinin 2. fıkrasında ise, gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nın 4. maddesinde düzenlenen kişisel verilerin işlenmesine dair genel ilkelere uyulmasının zorunluluğu vurgulanmıştır. Ayrıca, müşteri sırrı, KVKK uyarınca özel nitelikli kişisel veri sayılan sağlık ve cinsel hayata ilişkin bir veri ise, Yönetmelik’in 5. maddesinde sır saklama yükümlülüğünden istisna tutulan hallere dayanılarak dahi yurt içi veya yurt dışındaki taraflarla paylaşılamayacağı düzenlenmiştir. Bu noktada, özel nitelikli kişisel veriler bakımından KVKK’nın öncelikli şekilde uygulanacağı görülmektedir.
Aynı maddenin 3. fıkrası gereğince müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğünden istisna tutulan haller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacaktır. KVKK’da yer alan, hizmetin açık rıza şartına bağlanmasının rızayı sakatlayacağı yönündeki kuralına uygun olarak, müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi hususunun, banka tarafından verilecek hizmetler bakımından bir ön şart haline getirilemeyeceği ifade edilmiştir. Belirtmek gerekir ki; müşteriden bu yönde alınan talep ya da talimatlar ispatlanabilir nitelikte olmalıdır.
Yurt içinde ya da yurt dışında kurulu banka, ödeme hizmet sağlayıcıları gibi taraflar ile yapılacak işlemler ile fon transferi, yurt dışı akreditif, teminat mektubu gibi işlemler için, müşteri sırrı paylaşımının zorunlu olması halinde (i) ilgili işlemin müşteri tarafından başlatılması veya (ii) elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, müşteri talep ya da talimatı yerine geçecektir. İlaveten, birincil sistemler kapsamında olmayan ve destek hizmetlerine veya değerleme, derecelendirme ve bağımsız denetim dışındaki hizmet alımlarına ilişkin yapılacak paylaşımlar için müşterinin talep ya da talimatının bulunmasının zorunlu olduğu belirtilmiştir.
Yabancı ülke kanunlarına göre denetime yetkili ve Bankacılık Düzenleme ve Denetleme Kurumu (“Kurum”) muadili mercilerin, Türkiye’deki şube veya ortaklıklarında denetim yapma ve bilgi talepleri ile bankaların yurt dışındaki şube veya ortaklıklarının konsolidasyon kapsamında yer alan bilgilerine ilişkin taleplerinin yerine getirilmesi hususu da düzenlenmiştir. Bu durumda, Kanun’un kurumlar arası iş birliğini düzenlediği 98. maddesinin saklı olduğundan bahisle, bilgi talebinin Kurum nezdinde bulunan bilgiler ile karşılanmasının mümkün olması halinde doğrudan Kurum tarafından, Kurum nezdinde bulunan bilgilerin yeterli olmaması halinde ise Kurul’ca verilecek izin dahilinde bankalar tarafından yerine getirileceği hüküm altına alınmıştır. Ayrıca, müşteri sırrı niteliğinde olmayıp banka sırrı niteliğinde bilgilerin paylaşımı öncesinde Kurum’a yazılı olarak bildirimde bulunulması koşuluyla, Kurum muadili yabancı mercilerin talebi üzerine bu merciler ile paylaşılmasının bu fıkraya aykırılık teşkil etmeyeceği ifade edilmiştir.
Ayrıca Kurul’a, ekonomik güvenliğe ilişkin yapacağı değerlendirme sonucunda sır saklama yükümlülüğünden istisna tutulan haller de dahil olmak üzere müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklama yetkisi verilmiştir. Bu konuda değerlendirme yapılırken karşılıklılık ilkesinin önemi vurgulanmıştır.
Bilgi Paylaşım Komitesi Kurma Zorunluluğu
Yönetmelik’in 7. maddesinde düzenlendiği üzere bankalara Bilgi Paylaşım Komitesi kurma zorunluluğu getirilmiştir. Bilgi Paylaşım Komitesinin sorumluluğu, sır saklama yükümlülüğünden istisna tutulan haller de dahil olmak üzere müşteri sırrı ya da banka sırrı niteliğinde olan bilgilerin (i) ölçülülük ilkesine uygun şekilde paylaşılmasının koordine edilmesi, (ii) gelen paylaşım taleplerinin uygunluğunun değerlendirilmesi ve (iii) ilgili değerlendirmelerin kayıt altına alınması olarak tanımlanmış olup Komitenin kimlerden oluşması gerektiği de düzenlenmiştir.
GENEL DEĞERLENDİRME
Sonuç olarak; Kanun’un 73. maddesi ve 1 Ocak 2022 tarihinde yürürlüğe girmesi planlanan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” ile birlikte müşteri ve banka sırrına ilişkin sır saklama yükümlülüğüne ilişkin esaslar ve istisnaları açıklığa kavuşturulmuş ve bankaların bilgi paylaşma komitesi kurması zorunluluk haline getirilmiştir. Ayrıca, söz konusu mevzuatta KVKK ile paralel düzenlemeler yapılarak müşteri sırlarının, kişisel veri nitelikleri de bir kez daha vurgulanmıştır.
