Bankaların Elektronik Ortamda Müşterilerine İleteceği Sır Niteliğindeki Veriler
Bankacılıktaki müşteri sırrının korunması düzenlemeleri ile Anayasa’nın ticari hayatı da kapsayan hükümleri çerçevesinde özel hayatın gizliliği teminat altına alınmakta aynı zamanda bankaların güven ve itibarının tesisine de imkan sağlanmaktadır. Teknoloji ve iletişimdeki devasa ilerlemeler, artan dijital uygulamalar bankaların iş modellerinin değişimini zorunlu kılmakta, alternatif hizmet kanallarına göçün hızlanması, bu hizmetlerin kullanımından kaynaklanabilecek riskler, siber ve fiziksel güvenlik kontrolleri gibi bilgi sistemleri yönetimi bileşenlerine ilişkin kontrollerin gelişmeler karşısında güncellenmesi ihtiyacını da gün yüzüne çıkarmaktadır. Bu bağlamda 25.02.2020 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren 7222 sayılı Kanun ile 5411 sayılı Bankacılık Kanunu’nun sırların saklanması başlıklı 73. maddesinde kişisel verilerin korunması düzenlemelerini de oldukça yakından ilgilendiren önemli bir düzenlemeye gidilmiştir. Değişiklik öncesinde Bankacılık Kanunu’nda müşteri sırrı ibaresi yer almakla birlikte bu kavrama ilişkin herhangi bir tanıma yer verilmemişti. Düzenleme ile birlikte “müşteri sırrı”; bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlanmıştır. 7222 sayılı Kanunun gerekçesindeki açıklamalardan hareketle, müşteri ilişkisi kurulmadan önce bankanın ilgili kişilerden veya çeşitli kanallardan topladığı kişisel verilerin “müşteri sırrı” olarak kabul edilmediği sonucuna ulaşılmaktadır. Bu bakımdan gerçek kişi müşterilerin bankalar ile müşteri ilişkisine girmeden önce de var olan ve bankalar dışındaki pek çok şirket, kuruluş tarafından da işlenmekte olan telefon bilgisi, adres, lokasyon bilgisi gibi kişisel veriler için yalnızca 6698 sayılı Kişisel Verilerin Korunması Kanunu uygulama alanı bulacaktır. Banka ile müşteri ilişkisi kurulduktan sonra oluşan gerçek kişilere ait bankacılık faaliyetlerine özgü mevduat bilgisi, krediler, kredi skoru, hesap hareketleri gibi bilgiler için ise hem 5411 sayılı Kanunun sır saklamaya ilişkin yükümlülüklerinin hem de 6698 sayılı Kanun hükümlerinin uygulama alanı bulacağı ancak sır kapsamındaki müşteri bilgileri için 5411 sayılı Kanunun hükümlerinin özel nitelikli kanun hükümleri olarak ele alınması gerektiği netleştirilmiştir.
Bu gelişmeler ile birlikte Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 15.03.2020 tarihli Resmi Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (BS Yönetmeliği) ile müşteri sırrına ilaveten “hassas veri” kavramı getirilerek “Kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki verileri” tanımlanmıştır. Bakıldığında “hassas veri” tanımının aslında bankacılık mevzuatına yeni getirilen bir kavram olduğu söylenilemez. Nitekim Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’te Aralık 2008’te yapılan değişiklikle “kartlara ilişkin hassas veri” kavramı getirilerek “Banka kartı veya kredi kartı üzerinde yer alan ve ele geçirilmesi durumunda finansal işlem gerçekleştirmede kullanılabilecek bilgi setini / setlerini, ve ayrıca kart hamili doğrulamada kullanılan ve gizli kalması gereken PIN bilgisi” olarak tanımlanmıştır. Bu bakımdan her hassas veri, müşteri sırrı iken her müşteri sırrı hassas veri olmayacaktır. Dolayısıyla kişisel verilerin korunması açısından “kişisel veriler”in bir nokta ötesini kişileri ayrımcılığa maruz bırakabilecek “özel nitelikli kişisel veriler” dersek benzetme yoluyla bankacılıkta da “müşteri sırrına ilişkin veriler”in bir nokta ötesini müşterileri dolandırıcılığa maruz bırakabilecek “hassas veriler” diyebiliriz. Bununla birlikte kişisel veri mevzuatında “özel nitelikli kişisel veriler” sayma usulü ile tahdidi olarak belirlenmişken bankacılık mevzuatında ise mahiyeti gereğince “hassas veri”, tanımı yapılmak suretiyle tadadi olarak belirtilmiştir.
MÜŞTERİ SIRLARININ KORUNMASI TABLOSU | ||
Banka–Müşteri İlişkisi | Mevzuatın Türü | Koruma Konusu Olan Veriler |
Kurulmadan Önce | Kişisel Verileri Koruma Mevzuatı | Kişisel Veri (Gerçek Kişilere ait Veri) |
Özel Nitelikli Kişisel Veri (Ayrımcılığa Maruz Bırakabilecek) | ||
Kurulduktan Sonra | Bankacılık Mevzuatı | Müşteri Sırrına ilişkin Gerçek ve Tüzel Kişilere ait Veri |
Hassas Veri (Dolandırıcılığa Maruz Bırakabilecek) |
Müşteri sırrının korunması özelinde ihdas edilen düzenlemeler arasındaki BS Yönetmeliği’nin 1 temmuzda yürürlüğe giren müşterilerin bilgilendirilmesi başlıklı 37.maddesinin sekizinci fıkrasında “Bankanın elektronik ortamda müşterilerine ileteceği hassas veri veya sır niteliğinde veri içeren her türlü ekstre, dekont, hesap özeti gibi bilgilerin elektronik bankacılık hizmeti sunulan kanallar üzerinden gönderilmesi esastır. Banka, bu gibi bilgilerin sunulmasında elektronik dağıtım kanallarının kullanılması için müşterilerine gerekli yönlendirmeleri yapmakla yükümlüdür.” denilmektedir. Söz konusu fıkrada geçen “elektronik bankacılık hizmeti”; internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık servisleri ile ATM ve kiosk cihazları gibi müşterilerin, uzaktan bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri her türlü elektronik dağıtım kanalı olarak tanımlanmaktadır. Böylelikle bankaların elektronik ortamda müşterilerine ileteceği hassas veri veya sır niteliğinde veri içeren bilgilerin (kredi kartı hesap ekstresi vb.); e-posta, kısa mesaj (SMS) gibi uygulamalarla gönderilmemesi ve müşterilerin elektronik bankacılık hizmeti sunulan kanallara yönlendirilmesi gerekliliği doğmaktadır. Bu kural önemli bir uygulama değişikliği getirmekte olup; sadece Bankalar özelinde değil müşteri özelinde de tercih ve alışkanlıkların değiştirilmesini gerekli kılmaktadır.
Bilindiği üzere bilişim teknolojilerinin yaygınlaşması, bilhassa mobil cihazların sürekli çevrim içi olmaya imkan vermesiyle beraber ticarette kullanılan iletişim kanallarının bu mecralara göçü hızlanmıştır. SMS’lerin görüntü vb. içerikleri iletebilmesi, e-postaların akıllı telefonlar vasıtasıyla günün her anında görülebilmesi gibi kullanım kolaylıklarıyla birlikte tüketicileri bilgilendirme gibi bir takım yükümlülükler getiren düzenlemelerin de etkisiyle SMS, e-posta gibi ticari elektronik iletilerin bankalarca tercih edilen başat bir iletişim yöntemine dönüşmesi; bilgi güvenliği risklerini de beraberinde getirmiştir. Bununla birlikte kişilerin korunması ve bilgi güvenliği risklerinin giderilmesine yönelik katı düzenlemelerin ihdası; çatışan menfaatler arasında bir denge sanatı olan hukuk açısından tüm ticaretin elektronik ortama taşındığı bir dönemde ticari iletişim hakkının kullanımını sınırlandırıcı ve günlük hayatı zorlaştırıcı etkisiyle de değerlendirmeyi gerektirebilir. Nitekim ülkemizde elektronik bankacılık hizmetlerini kullanmayan kitleleri de göz önüne aldığımızda getirilen düzenlemenin şedit bir şekilde uygulanması; öngörülemeyen neticelerin pratikte doğmasına ve bu dengenin ölçüsüz şekilde bozulmasına yol açabilirdi.
Bu bağlamdaki tereddütler ve sektörden gelen sorulara ilişkin olarak BDDK’nın kuruluş birliklerine (TBB, TKBB) gönderdiği 25.06.2020 tarihli ve E.5768 sayılı yazı ile BS Yönetmeliği’nin 37.maddesinin sekizinci fıkrasının uygulamasına ilişkin yapılan ilave açıklamalara aşağıda yer verilmektedir:
- Fıkrada geçen söz konusu bilgilerin müşteri hakkında finansal hareketleri de içeren sır kapsamındaki veya dolandırıcılıkta kullanılabilecek hassas veri niteliğindeki bilgiler olması sebebiyle yurt dışına çıkmamasının önemi dikkate alınarak değerlendirme yapılması gerekmektedir.
- Bankaların müşterilere fıkra kapsamındaki hizmetleri sunmak üzere dijital kanallarına kolay erişebilir, farklı cihazlarla uyumlu ve kullanıcı dostu yeni özelliklerin eklenmesi sağlanmalıdır.
- Müşteri eğer elektronik bankacılık uygulaması kullanıyor ise müşterinin bu bilgileri e-posta sağlayıcıları üzerinden alması yerine daha güvenli ve kullanımı kolay olan bankanın kendi elektronik dağıtım kanalları üzerinden aynı şekilde temin edilebileceği konusunda gerekli yönlendirmelerin yapılması gerekmektedir.
- Bankaların gerekli yönlendirmeleri yapmalarına rağmen müşterilerin söz konusu bilgileri e-posta yoluyla almaya devam etmek istemeleri halinde müşterilerin bu konuda kendilerinin talep oluşturmaları ve müşterilerin oluşturacakları bu talepte bildirecekleri e-posta adresinin ise banka tarafından doğrulanması sonrasında söz konusu bilgilerin e-posta ile gönderimi mümkün olabilecektir. Bu kapsamda mevcut müşterilerin bankada kayıtlı e-posta adreslerini herhangi bir elektronik dağıtım kanalından teyit etmeleri, müşterilerin e-posta adreslerinin doğrulanması gereğini karşılayacaktır. Mevcut müşterilerin e-posta adresini değiştirmek ya da yeni müşterilerin e-posta ile bilgilendirilmek istemeleri durumunda söz konusu bilgilerin e-posta ile bilgilendirilmeyi talep eden doğru kişiye gönderilmesini garanti altına alacak e-posta doğrulama işlemi gerekmektedir.
- Müşteri eğer bankanın elektronik dağıtım kanallarını kullanmıyor ve söz konusu bilgileri hali hazırda sadece e-posta ile alıyorsa, bundan sonra gönderilen e-postalarda müşterinin söz konusu bildirimlere elektronik dağıtım kanalları üzerinden de ulaşabileceği konusunda bilgilendirme yapılmalı ve müşterinin veri gizliliği konusundaki farkındalığı artırılmalıdır.
- Ticari müşterilerin Türk Ticaret Kanunu hükümleri uyarıca aldıkları Kayıtlı Elektronik E-posta adresine bu fıkra kapsamındaki bildirimler yapılabilecektir.
- Türkiye’de faaliyet gösteren elektronik haberleşme sunan operatörlerden alınacak hizmetler kapsamında müşterilerin doğrulanmış cep telefonu numaralarına söz konusu bildirimlerin SMS / MMS ile yapılması mümkün olabilecektir.
- Bu fıkra kapsamında bankalar tarafından sunulan elektronik dağıtım kanallarının iyileştirilmesi, bilgilendirme ve yönlendirme gibi faaliyetler BDDK’ca yakinen takip edilecek ve belirlenecek tarihler arasındaki kullanıcı davranış değişiklikleri anahtar performans göstergesi olarak anılan hükme uyum konusunda dikkate alınacaktır.
- Söz konusu bildirimlerin görüntülenmesi için müşterilerin elektronik dağıtım kanallarına yönlendirilmesini sağlamak üzere iletilecek e-posta veya SMS metinleri içerisinde elektronik dağıtım kanalındaki ilgili menüye ulaşılması amacıyla herhangi bir bağlantıya yönlendirme yapılması uygun görülmemektedir.
Sonuç itibariyle taslak olarak kamuoyunun görüşüne açıldığı 25 Aralık 2018’den Resmi Gazete’de yayımlandığı 15 Mart 2020 tarihine kadar son derece şeffaf bir şekilde tüm tarafların görüşleri alınıp, titizlikle değerlendirilen uzun soluklu bir çalışmanın ürünü olan BS Yönetmeliği ile ilgili olarak madde 37 / 8 hakkında getirilen ilave açıklamalar tereddütleri gidermiş ve uygulamasını netleştirmiştir.
Yönetmelik, Tebliğ gibi ikincil düzenlemelere ek olarak bankaların faaliyetlerini etkin bir biçimde yürütebilmesi, dolayısıyla risklerini etkin bir şekilde yönetebilmesi için ölçülülük ilkesi çerçevesinde uymaları gereken açıklayıcı kurallar; bankacılık düzenleme sistematiğinde uygulama rehber(ler)i olarak yayımlanabilmektedir. Bu bağlamda anılan BDDK resmi yazısında olduğu üzere BS Yönetmeliği’nin madde 37 / 8 ve diğer maddeleriyle ilgili açıklayıcı detay kuralların sektörde uygulama birliğini sağlaması ve bankalara yol göstermesi açısından bir uygulama rehberi olarak yayımlanabileceğini belirtiriz.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
BDDK’nın Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğe ilişkin Açıklama Konulu 25.06.2020 Tarihli ve E.5768 sayılı Yazısı: