Bankacılıkta Sır Niteliğindeki Verilerin Korunmasında Tesis Edilecek Yapı ve Süreçler
Bilindiği üzere Bankacılık Düzenleme ve Denetleme Kurumu’nca (BDDK) hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (Sır Yönetmeliği veya Yönetmelik), 4 Haziran 2021 tarihli ve 31501 sayılı Resmi Gazete’de, 1 Ocak 2022 tarihinde yürürlüğe girmek üzere yayımlandı. Bankalara uyum için tanınan yaklaşık 6 aylık sürenin neredeyse yarısına doğru gelmek üzereyiz. Bu konu özelinde detay bilgi için gerek bankaların elektronik ortamda müşterilerine ilettiği sır niteliğindeki veriler adlı 12.07.2020 tarihli yazımıza gerekse Sır Yönetmeliği ile ilgili 06.06.2021 tarihli yazımıza sitemizden ulaşabilirsiniz.
Bununla birlikte sır niteliğindeki verilerin korunması konusunda bankacılık sektörünü ilgilendiren düzenlemeleri 2005 yılından bu zamana tarihsel bir perspektif ile ele alacak olursak genel hatlarıyla aşağıdaki şekilde belirtebiliriz:
- 01.11.2005 tarihli 5411 sayılı Bankacılık Kanunu’nun “sırların saklanması” başlıklı 73.maddesinde müşteri sırrı / banka sırrı yer almakla birlikte kavramsal açıdan herhangi bir tanımlamaya gidilmemiştir.
- 21.12.2008’de yapılan değişiklikle Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’te (Kart Yönetmeliği) “kartlara ilişkin hassas veri” tanımı getirilmiştir.
- 07.04.2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemeleri (KVKK) ile “gerçek kişilere ait veriler” koruma altına alınmıştır.
- 15.03.2020 tarihli Resmi Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (BS Yönetmeliği) ile “hassas veri” tanımlanmış; bankaların elektronik ortamda müşterilerine ileteceği “sır niteliğindeki verilere” ilişkin kurallar belirlenmiştir. Ayrıca bilgi güvenliği fonksiyonu ve organizasyonu ile rol ve sorumlulukları düzenlenmiştir.
- 25.02.2021 tarihli 7222 sayılı Torba Kanun ile “Bankacılık mevzuatı” ile “kişisel verileri koruma (KVK) mevzuatı” arasındaki tereddütler giderilmiştir. KVK mevzuatı sadece “gerçek kişiye ait kişisel verileri” kapsarken bankacılık mevzuatı kapsamı genişleterek hem “gerçek kişi” hem de “tüzel kişi” ve “banka sırrı” verilerinin korunmasına yönelik esasları belirlemiştir.
- 04.06.2021 tarihli Resmi Gazete’de yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik; Kişisel Verilerin Korunması Kanunu’na da atıfta bulunarak bilgi güvenliği ve mahremiyeti başta olmak üzere ilgili mevzuatın farklı alanlarına dokunan “sır niteliğinde veri” tanımına ilişkin uygulanması gereken standartları ve prosedürleri tanımlamakta olup; 01.01.2022’de yürürlüğe girecektir.
- Dijital kanallar üzerinden hizmet veren şubesiz bankaların faaliyet esaslarının ve bankacılık hizmetlerinin talep eden işletme ve yenilikçi girişimlere (Start-Up) bir servis modeli olarak sunulma şartlarının belirlenmesi amacıyla BDDK tarafından kurumsal internet sitesinde 19.08.2021 tarihinde Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik Taslağı yayımlanarak kamuoyunun görüşüne açılmış ve bir değişiklik olmadığı takdirde 2022’de yürürlüğe girmesi öngörülmektedir.
- BDDK tarafından açık bankacılık servisleri aracılığıyla sunulabilecek hizmetler ile işleyişine ilişkin usul ve esasların 2021 yılı bitmeden yayıma konulması beklenmektedir.
Bilindiği üzere bir itibar müessesesi olarak görülen bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü Ticaret Kanunu’nda yer alan anonim şirket statüsündeki herhangi bir tacirden farklıdır. Bu sebeple iktisadi hayatın merkezinde bulunan ve geniş kitleleri etkileyen bankalardan beklenen basiret ölçüsü ve özen yükümlülüğü daha ağır olduğu için BDDK tarafından getirilen düzenlemelerin; daha sıkı nitelik taşıdığını söylemek yersiz olmayacaktır. Bankacılık sektörü açısından veri perspektifiyle tabi olunan mevzuata ve tanımları ile kapsamına özet olarak aşağıdaki şekilde yer verebiliriz:
| Bankacılık Odağında Veri Koruma Tablosu | ||||
| Veri Türü | Kişisel Veri / Özel Nitelikli Kişisel Veri | Hassas Veri | Müşteri Sırrı | Banka Sırrı |
| Mevzuat | KVKK | BS Yönetmeliği
Kart Yönetmeliği |
Bankacılık Kanunu
Sır Yönetmeliği |
Bankacılık Kanunu
Sır Yönetmeliği |
| Tanım | Gerçek kişi ile ilişkili – ilişkilendirilebilen her türlü veri / Ayrımcılığa maruz bırakabilecek veriler | Dolandırıcılığa – Sahteciliğe maruz bırakabilecek veriler (Kimlik doğrulama, kart verileri, güvenlik sorusuna belirlenecek cevap (Örneğin; ticaret unvanı vd.) | Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler | Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren bankanın kamuya açıklamadığı veriler
|
| Kapsam | Gerçek | Gerçek / Tüzel | Gerçek / Tüzel | Banka |
Yukarıda belirtilen hususlar ışığında mevzuat perspektifiyle bankacılık odağında sır niteliğindeki verilere ilişkin aşağıdaki şemayı ele alabiliriz:
Sır niteliğindeki veri ve ilişkili kavramların daha iyi anlaşılabilmesi ve fikir vermesi açısından hazırladığımız yukarıdaki şemanın; yüzde yüz kapsayıcılığa haiz olduğunu belirtmek iddialı bir ifade olmakla birlikte ilgilenenler açısından geliştirilebilir nitelikte olduğunu da söyleyebiliriz. Bununla birlikte konuyu bankacılık mevzuatı ve kişisel verilerin korunması mevzuatı açısından ele alacak olursak aşağıdaki şemaya göz atabiliriz:
1 Ocak 2022’de yürürlüğe girecek Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik; bankaların bünyesinde yeni görevlerin adreslenmesi, fiili iş akışlarındaki değişikliklerin tasarımı, sistemsel yatırım, oluşacak operasyonel yükler gibi doğuracağı gereksinimlerle bir uygulama değişikliğinden ziyade esaslı bir kültür değişikliğini de beraberinde getirmektedir. Bu bakımdan bankaların, her ne kadar KVKK gereksinimleri vd. açılardan yapı ve süreçlerini kurarak işletse de BS Yönetmeliği ve Sır Yönetmeliği’nin getirdiği yeni anlayış ve yaklaşımla birlikte kesişim ve etkileşim sahaları gözetildiğinde çift başlılık, bürokrasi ve çatışma yaratma potansiyeli barındıran KVKK ve bankacılık mevzuatı gibi organizasyonel açıdan fonksiyonel ayrımlara gitmeksizin yapı ve süreçlerini bütüncül ve sistematik bir şekilde ele almaları gerektiğini söyleyebiliriz. Bankaların sır niteliğindeki verilerin korunmasına yönelik yapı ve süreçlerini tek bir merkezden bütünleşik bir yönetişimi mümkün kılacak ve olası çıkar çatışmalarına zemin hazırlamayacak şekilde tasarlamaları; bugünün dünyasında itibar erozyonuna, yasal yaptırımlara ve mali kayba yol açabilecek nitelikte sonuçlarla karşı karşıya kalmamaları açısından kritik nitelik taşımakta diyebiliriz.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
Makalenin yazarı Vahdet Deniz AKÇAOĞLU, 2007 – 2009 yılları arasında özel bir bankanın İç Kontrol Merkezi Başkanlığı’nda Denetçi olarak, 2009 yılından 2018 yılına kadar aynı bankanın Uyum Başkanlığı’nda Ürün ve Hizmetler Uyum Kontrol Yöneticisi olarak görev yaptı. 2019 yılından itibaren de İç Kontrol ve Uyum Başkanlığı’nda Etik ve Mevzuat Takip Yöneticisi olarak görev yapmaktadır. Bankacılık ve sermaye piyasası mevzuatı ile kurumsal yönetim, etik, iç sistemler konuları başta olmak üzere banka ve finans kurumlarını ilgilendiren her türlü mevzuat üzerinde çalışmaktadır.
