| Okuma Süresi: 3 Dakika

SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİK – DEĞERLENDİRME

ST. AV. EFE UTKU ÇAL

GİRİŞ

2020 yılında 5411 sayılı Bankacılık Kanunu’nun[1] 73. maddesinde yapılan değişiklik ile sır niteliğinde bilgilerin paylaşımı ve aktarımlarına ilişkin olarak Bankacılık Düzenleme ve Denetleme Kurulu yetkilendirilmişti. Mart 2021’de ise Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı yayımlanmıştı. Bugün ise uzun süredir beklenen Yönetmelik[2] yayımlandı.

YÖNETMELİK NEYİ AMAÇLIYOR

Yönetmelik, Bankacılık Kanunu çerçevesinde, banka ve müşteri sırrı niteliğindeki bilgilerin paylaşılmasına ve aktarılmasına ilişkin olmak üzere, bunların şekil, usul ve esasını belirlemeyi amaçlamaktadır.

MÜŞTERİ SIRRI

Bankacılık faaliyeti sırasında bankalarla müşteri ilişkisi kurulduktan itibaren oluşan gerçek ve tüzel kişilere ait veriler ve gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğuna kanıt gösterilen tüm veriler, müşteri sırrıdır. Buna ek olarak, müşteri ilişkisi olmasa dahi, bir başka banka nezdinde bulunan müşteri sırlarının elde edilmesi ve öğrenilmesi de bu kapsamdadır. Ayrıca, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ait veriler, ilgili banka ile müşteri ilişkisi kurulduktan sonra oluşan veriler ile işlendiğinde müşteri sırrı haline gelir.

SIR SAKLAMA YÜKÜMLÜLÜĞÜ

Yönetmelik’e göre, sıfat ve görevleri sayesinde bankalara veya müşterilere ait sırları öğrenen kişiler, bu sırları, bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu bilgilerin, otomatik olmayan veya herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olup; sayılan bu yükümlülükler, ilgili kişiler görevlerinden ayrılsalar dahi devam eder.

SIR SAKLAMA YÜKÜMLÜLÜĞÜNÜN İSTİSNALARI

Daha önce açıkladığımız üzere, kural olarak, kanunen açıkça yetkili kılınan merciler ile sır saklama yükümlülüğüne aykırı olmadan paylaşım yapılabilir. Bu kuralın bazı istisnaları ise şu şekildedir:

Bankalar ile finans kuruluşlarının her türlü bilgi ve belge alışverişinde bulunması;

Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamalarında bankaların sermayelerinin ana ortaklarına bilgi ve belge verilmesi;

Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesi satışında kullanılacak bilgi ve belge verilmesi;

Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde ve hizmet alımlarına yönelik işlemlerde kullanılacak bilgi ve belge verilmesi;

Müşteri sırrı niteliğinde olmayan, yalnızca bankaya ait bilgileri içeren banka sırlarının banka yönetim kurulu kararı ile üçüncü taraflar ile paylaşılması;

Kamu kurum ve kuruluşlarının müşteri sırrına ilişkin teyit talebi veya talimatı üzerine, bu bilgilerin doğru olup olmadığı şeklinde cevap verilmesi.

SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞMASINA İLİŞKİN GENEL İLKELER

İstisna kapsamında yapılacak paylaşımlar da dahil, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, belirtilen amaçlar dışında ölçülülük ilkesine aykırı biçimde paylaşılamaz.

Asgari olarak, amaçların gerektirdiği kadar veriyi içermesi, belirtilen amaçlar için gerekli olduğunun gösterilebilir olması, paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonimleştirildiğinde, söz konusu amaçların hala gerçekleştirilebiliyor olması, veri sahibi ana ortaklık, hakim ortak, grup şirketi ortak müşterisi değilse, taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşterinin bilgilerinin, müşterinin kimliğini belirli veya belirlenebilir kılmaması, mümkün olan en az veri kopyası oluşturulacak şekilde kurgulanması şartlarını içermelidir.

Gerçek kişilere ilişkin sır niteliğindeki bilgilerin paylaşımında Kişisel Verilerin Korunması Kanunu’nun (KVKK)[3] 4. Maddesinde yer alan genel ilkelere uyulması zorunlu olup bu bilgilerin müşteri sırrı niteliği olsa dahi sağlık ve cinsel hayata ilişkin olanların yurt içinde veya yurt dışında paylaşılması yasaktır.

İstisna halleri dışında kalan müşteri sırrı niteliğindeki bilgiler, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz. Burada belirtilen talep ya da talimat yazılı şekilde olabileceği gibi kanıtlanabilir nitelikte olması kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir.

Ayrıca, işlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkilemişimin gerekli olduğu ve işlemin tamamlanabilmesi için müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunlu olduğu, yurt içi veya yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi müşteri talep ya da talimatı yerine geçer.

Bankacılık Düzenleme ve Denetleme Kurulu (BDDK), güvenliğe ilişkin olarak, sır saklama yükümlülüğünün istisnaları da dahil her türlü verinin, yurt dışı ile paylaşılmasını yasaklamaya yetkilidir. Buna göre, istisna hükümleri kapsamında yapılacak paylaşımlar için karşılıklılık ilkesi uygulanır.

BİLGİ PAYLAŞIM KOMİTESİ

Bu Yönetmelik ile artık bankaların Bilgi Paylaşım Komitesi (BPK) kurma yükümlülüğü vardır. BPK, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olup bilgi paylaşımını talep eden veya kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşur.

SONUÇ

Mart ayında yayımlanan taslaktan çok farkı bulunmayan Yönetmelik’te, bankaların yurt içi ve yurt dışı transferlerine yönelik soru işaretleri en aza indirilmeye çalışılmış. Yönetmelik’te en çok dikkat çeken unsur, bankaların kurmakla yükümlü olduğu Bilgi Paylaşım Komitesi olmuş. Yönetmelik ile birlikte bankacılık sektörünün nasıl etkileneceğini, BPK uygulamasının başarılı bir entegre süreci geçirip geçirmeyeceğini ve BDDK’yi nasıl etkileyeceğini ilerleyen günlerde göreceğiz.

Kaynak:

[1] https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5411.pdf

[2] https://www.resmigazete.gov.tr/eskiler/2021/06/20210604-6.htm

[3] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5