Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Yayımlandı!
Bilindiği üzere finansal piyasalarda güven ve istikrarın sağlanması, kredi sisteminin etkin bir şekilde çalışması ve tasarruf sahiplerinin hak ve menfaatlerinin korunması açısından bankacılık sisteminin etkili ve ihtiyatlı kurallar ile düzenlenmesi bir gereklilik olarak karşımıza çıkmaktadır. Bu bakımdan;
- 5411 sayılı Bankacılık Kanunu (Kanun) ve alt düzenlemeleri ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) arasındaki uygulamada var olabilecek tereddütlerin giderilmesi,
- Banka ile müşteri ilişkisi kurulduktan sonra oluşan gerçek kişilere ait bankacılık faaliyetlerine özgü bilgiler için Kanunun sır saklamaya ilişkin hükümlerinin KVKK karşısında özel nitelikli kanun hükümleri olarak ele alınması,
- Sır saklama yükümlülüğünün bankanın aktif rol aldığı rıza metni yöntemiyle değil, sır sahibi müşterinin aktif rol aldığı “müşterinin talebi ya da talimatı” yöntemiyle kaldırılabileceğinin açıklığa kavuşturulması,
- Müşterilerin açık rızası olsa bile talep ya da talimatı olmadan sır niteliğindeki bilgilerin yurtiçindeki ve yurtdışındaki kişilere aktarılamayacağının hüküm altına alınması ve ekonomik güvenliğe ilişkin yapacağı değerlendirme sonrası Bankacılık Düzenleme ve Denetleme Kurulu’na (Kurul), müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin yurtdışına aktarılmasını yasaklama yetkisinin verilmesi,
- Bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurtiçinde bulundurulması hususunda karar alma konusunda Kurula kanunen yetki verilmesi,
- Sır saklama yükümlülüğünden istisnaya tabi tutulan tarafların bu kolaylığı suiistimal ederek belirtilen amaçlarla orantılı olmayacak şekilde sır niteliğindeki bilgileri paylaşmalarının önüne geçilmesi,
- Sır niteliğindeki bilgilerin paylaşımına ilişkin uygulamada yaşanabilecek tereddütleri gidermek açısından bu paylaşımların kapsam, şekil, usul ve esaslarının belirlenmesi veya ihtiyaç duyulması halinde bu paylaşımlara sınırlama getirilmesine yönelik olarak Kurula yetki verilmesi amaçları ile
25 Şubat 2020 tarihli ve 31050 sayılı Resmi Gazete’de yayımlanan 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (7222 sayılı Kanun) ile Kanunun sırların saklanması başlıklı 73.maddesinde değişikliğe gidilmiştir. Konuyla bağlantılı detaylı bilgi için 12.07.2020 tarihli bankaların elektronik ortamda müşterilerine ileteceği sır niteliğindeki veriler adlı yazımıza buradan ulaşabilirsiniz.
Yukarıda belirtilen gelişmeler ışığında BDDK tarafından hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (Yönetmelik) 4 Haziran 2021 tarihli ve 31501 sayılı Resmi Gazete’de yayımlanmış olup; 1 Ocak 2022 tarihinde yürürlüğe girecektir. Bankalara uyum için, Yönetmeliğin 01.01.2022 olan yürürlük tarihini gözettiğimizde yaklaşık 6 aylık bir süre tanınmış diyebiliriz.
Yönetmeliğin Getirdikleri
Anılan Yönetmelik ışığında getirilen önemli yenilik ve değişikliklere özetle aşağıda yer verilmiştir:
- Sır niteliğindeki bilgilerin paylaşımına ilişkin usul ve esaslar belirlenmiştir.
7222 sayılı Kanunun getirdiği düzenlemelerin açıklığa kavuşturulması açısından Yönetmelik ile Banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin genel ilkeler ile usul ve esaslar belirlenmiştir. Ayrıca uygulamada tartışma konusu olabilen banka sırrı ve müşteri sırrı kavramlarının çerçevesi de çizilerek daha belirgin hale getirilmiştir.
- Kimliksizleştirme, toplulaştırma gibi yeni kavramlar bankacılık mevzuatına girmiştir.
Kişisel verilerin korunmasına ilişkin düzenleme evreninden aşina olunduğu söylenebilecek kimliksizleştirme, veri işleme, anonim hale getirme gibi kavramlar artık bankacılık mevzuatına da girmiştir. Yönetmelikte tanımlanan “toplulaştırma” kavramının da ülkemiz mevzuatında ilk kez yer aldığı da söylenebilecektir. Bununla birlikte sır niteliğindeki bilgilerin paylaşımında; verilerin toplulaştırma, kimliksizleştirme ya da anonim hale getirilmesi yöntemlerinin uygulanması mümkünse bu yöntemlerin tercih edilmesi zorunlu kılınmaktadır.
- Sır saklama yükümlülüğünden istisna tutulan haller sayılmıştır.
5411 sayılı Bankacılık Kanunu’nun sırların saklanması başlıklı 73.maddesinde “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar.” denilerek sır saklama yükümlülüğüne ilişkin ana kural ortaya konmaktadır. Bununla birlikte Yönetmelik ile “gizlilik sözleşmesi yapılması” ve sadece “belirtilen amaçlar ile sınırlı kılınması” koşuluyla sır niteliğindeki bilgilerin hangi hallerde paylaşımının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği sayılmıştır.
- Bankacılık mevzuatı ve KVKK arasındaki ayrım netleştirilmiştir.
Bankacılıkta “müşteri sırrı”; bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlanmıştır. Bu bakımdan 5411 sayılı Bankacılık Kanunu ve alt düzenlemeleri ile KVKK arasındaki tereddütleri gidermeye hizmet etmesi amacıyla hazırlanan tabloya aşağıda yer verilmektedir:
MÜŞTERİ SIRLARININ KORUNMASI TABLOSU | ||
Banka–Müşteri İlişkisi | Mevzuatın Türü | Koruma Konusu Olan Veriler |
Kurulmadan Önce | Kişisel Verileri Koruma Mevzuatı | Kişisel Veri (Gerçek Kişilere ait Veri) |
Özel Nitelikli Kişisel Veri (Ayrımcılığa Maruz Bırakabilecek) | ||
Kurulduktan Sonra | Bankacılık Mevzuatı | Müşteri Sırrına ilişkin Gerçek ve Tüzel Kişilere ait Veri |
Hassas Veri (Dolandırıcılığa Maruz Bırakabilecek) |
Gerçek kişi müşterilerin bankalar ile müşteri ilişkisine girmeden önce de var olan ve bankalar dışındaki pek çok şirket tarafından da işlenmekte olan adres, telefon bilgisi gibi genel nitelikteki kişisel veriler için yalnızca KVKK’nın uygulama alanı bulacağı; banka ile müşteri ilişkisi kurulduktan sonra oluşan gerçek kişilere ait bankacılık faaliyetlerine özgü mevduat bilgisi, kredi skoru, hesap hareketleri gibi bilgiler için ise hem 5411 sayılı Kanunun sır saklamaya ilişkin yükümlülüklerinin hem de KVKK hükümlerinin uygulama alanı bulacağı, ancak sır kapsamındaki müşteri bilgileri için 5411 sayılı Kanunun hükümlerinin özel nitelikli kanun hükümleri olarak ele alınması gerektiği netleşmektedir.
Yönetmelik ile sır saklama yükümlülüğü kapsamında banka ile müşteri ilişkisi kurulmadan önce sır kapsamına girebilecek (başka bir banka müşterisi olduğunun öğrenilmesi vd.) bilgilere yönelikte esaslar belirlenmiştir. Ayrıca gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nın 4.maddesinde yer verilen genel ilkelere uyulması zorunlu kılınmaktadır. Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel verilerin, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacağı da hüküm altına alınmaktadır.
- Bankalara Bilgi Paylaşım Komitesi kurma zorunluluğu getirilmiştir.
Bankalara görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanacak bir Bilgi Paylaşım Komitesi kurma zorunluluğu getirilmiştir. Komitenin sorumluluğu; ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek alınan kararları kayıt altına almak denilebilecektir. Bu komitenin üyelik yapısının asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşması gerekecektir.
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te (BS Yönetmeliği) “varlık sahibi” denilerek “bilgi varlıklarına yönelik güvenlik gereksinimlerini belirleyerek varlık muhafızlarına ileten ve bu gereksinimlere uygun güvenlik kontrollerinin varlık muhafızları tarafından uygulandığını gözeterek bilgi varlığının idamesi ve erişilebilirliğinden sorumlu olan kişi” tanımlanmaktadır.
- Bankalarca ana ortakla paylaşılacak bilgiler için BDDK’ya raporlama yükümlülüğü getirilmiştir.
Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin %10 veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesinde esaslar belirginleştirilmiş ve aynı zamanda bankalara altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde BDDK’ya raporlama yükümlülüğü getirilmiştir.
Söz konusu raporlamanın kapsam ve içeriğinin; paylaşımlara ilişkin gizlilik sözleşmesinin bir örneği, gerçekleştirilen paylaşımın amaçları, sır kapsamındaki bilgilerin gizliliği ve güvenliğinin sağlanmasına yönelik hâkim ortak/ana ortaklık tarafından veya hâkim ortağın/ana ortaklığın bu kapsamda hizmet aldığı taraflarca alınan teknik ve idari tedbirler ile bu madde kapsamında banka sırrı ve müşteri sırrı niteliğindeki bilgilerin aktarıldığı tüm üçüncü tarafların unvanı ve bulunduğu ülke bilgilerinden oluşacağı söylenebilecektir. Anılan raporlamanın biçim ve yöntemine ilişkin bilgilerin ise 6 aylık uyum süreci içerisinde BDDK tarafından bankalara iletileceği öngörülmektedir.
- Bankalarca ana ortakla risk yönetimi amacıyla yapılabilecek paylaşımların çerçevesi belirlenmiştir.
Bankalarca hâkim/ana ortakla risk yönetimi amacıyla yapılabilecek paylaşımlar için Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliği’nde risk yönetim sistemi içinde yer alan uyum, kredi, itibar riskleri de dâhil olmak üzere tüm risk kategorilerine ilişkin risk yönetim faaliyetlerini kapsadığı belirtilerek oluşabilecek tereddütler giderilmiştir.
Yönetmelik’te 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun’da tanımlanan suçların işlenmesine ilişkin mali suç riski de “uyum riski” kapsamında ele alınmıştır. Bununla birlikte uyum riski amacıyla yapılacak paylaşımların, paylaşımı yapan ya da paylaşımın yapıldığı karşı tarafın tabi olduğu ulusal ya da uluslararası bir mevzuattan kaynaklanması şart kılınmıştır. Ayrıca karşı tarafın uyum riski amacıyla yapılacak paylaşımlar için, paylaşım öncesinde BDDK’nın uygun görüşünün alınması şartıyla – bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse – bu taraflarla paylaşılacak söz konusu müşteriye ilişkin sır niteliğindeki bilgiler için aşağıdaki şartların aranmayacağı düzenlenmiştir:
- Anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması,
- Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.
Bununla birlikte konsolide risk yönetimi amacıyla paylaşılacak verilerin, banka ana sermayesinin %10’u veya daha fazlası oranında kredi kullandırılmış bir gerçek ya da tüzel kişiye veya bir risk grubuna ait olması halinde ise, söz konusu veriler için paylaşım öncesinde BDDK uygun görüşünün alınmış olması ve yukarıda sayılan diğer şartların aranmayacağı hüküm altına alınmıştır.
Ayrıca 5549 sayılı Kanunun eğitim, iç denetim, kontrol ve risk yönetim sistemleri ile diğer tedbirler başlıklı 5.maddesi uyarınca finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde bilgi paylaşımının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmiştir. Bilindiği üzere 31.12.2020 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren 7262 sayılı Kitle İmha Silahlarının Yayılmasının Finansmanının Önlenmesine İlişkin Kanun ile finansal grup bünyesinde uyum programı çalışmalarında kullanılması amacıyla müşteri bilgilerinin paylaşılabilmesine imkân tanınmış ve akabinde detayları Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelik ile hüküm altına alınmıştı.
- Bankaların ana ortakla iç denetim uygulamaları kapsamındaki paylaşımlarının müşteri kimliğini belirlenebilir kılacak veriler içermemesi gerekecektir.
Sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, “sadece belirtilen amaçlarla sınırlı olmak” ve “ölçülülük ilkesine uygun olarak” bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabileceği düzenlenmiştir. Bu bakımdan bankalarca hâkim/ana ortakla iç denetim uygulamaları kapsamında yapılan paylaşımların (denetim çalışma kağıtları vd.) müşterinin kimliğini belirli veya belirlenebilir kılacak veriler içermemesi gerekmektedir.
- Banka sırrı niteliğindeki bilgilerin paylaşımı ancak yönetim kurulu kararı ile mümkün kılınmıştır.
Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği hüküm altına alınmıştır. Ayrıca banka yönetim kurulunun bu yetkisini usul ve esaslarını belirlemek suretiyle genel müdürlüğe devredebileceği düzenlenmiştir.
- Veri paylaşımı için alınması gereken müşteri aktif talebine ilişkin kurallar belirlenmiştir.
Müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz. Bu doğrultuda Yönetmelik ile sır saklama yükümlülüğünün bankanın aktif rol aldığı rıza metni yöntemiyle değil, sır sahibi müşterinin aktif rol aldığı “müşterinin talebi ya da talimatı” yöntemiyle kaldırılabileceği hüküm altına alınarak detaylandırılmıştır.
- Veri paylaşımının doğası gereği zorunlu olduğu işlemler için istisnalar belirlenmiştir.
İşlemin doğası gereği yurt içinde ya da yurt dışında yer alan banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşim içerisinde bulunmanın gerekli olduğu ve bu doğrultuda müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunluluk arz ettiği; fon transferi, akreditif, teminat mektubu, referans mektubu gibi işlemler için aşağıdaki iki durumun “müşteri talebi ya da talimatı” yerine geçeceği düzenlenmiştir:
- İlgili işlemin müşteri tarafından başlatılması ya da
- Elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi.
BS Yönetmeliği’nde elektronik bankacılık hizmetleri “İnternet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık servisleri ile ATM ve kiosk cihazları gibi müşterilerin, uzaktan bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri her türlü elektronik dağıtım kanalı” olarak tanımlanmaktadır.
- Müşteri talep veya talimatını sorgulama-görüntüleme imkanı verecek yapının kurulumu gerekli kılınmıştır.
Yönetmelik ile –veri paylaşımının doğası gereği zorunlu olduğu işlemler dışında – müşterinin bankaya vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesine imkan veren bir yapının tasarımı gerekli kılınmaktadır. Bilindiği üzere, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğe uygun olarak; tüketicilerin istenmeyen SMS, e-posta ve sesli aramalar gibi ticari elektronik iletilerle ilgili maruz kaldığı rahatsızlıkların ortadan kaldırılması için tasarlanan Ticari Elektronik İleti Yönetim Sistemi (İYS) ile tüketiciler verdiği tüm ticari elektronik ileti onaylarını görüntüleyebilmekte ve kaldırabilmektedir.
Yönetmelikte, bankaca yöntem olarak ister yazılı isterse kalıcı veri saklayıcısı yoluyla alınsın müşteri talep ya da talimatının, aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir ya da değiştirilebilir olması beklenmektedir. Bu bakımdan finansal hizmetlerin dijitalleşme seyrini dikkate aldığımızda veri paylaşımı amacıyla alınacak müşteri talep / talimatları için de İYS’ye benzer sayılabilecek bir yapının bankalar tarafından elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden kurulumunun gerekebileceği anlaşılmaktadır.
- Yurt dışına veri aktarım konusunda karşılıklılık ilkesi benimsenmiştir.
7222 sayılı Kanunun getirdiği düzenlemeye paralel olarak ekonomik güvenliğe ilişkin yapacağı değerlendirme sonrası Kurulun sır niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklamaya yetkili olduğu hüküm altına alınmıştır. Bununla beraber Yönetmelik ile sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanması benimsenmiştir. Dolayısıyla Kurul, karşılıklılık ilkesine uymadığı tespit edilen bir ülkede bulunan taraflar ile sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımları da kısıtlamaya, durdurmaya veya yasaklamaya yetkili kılınmıştır.
Sonuç
Bilindiği üzere bir itibar müessesesi olarak görülen bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü Ticaret Kanunu’nda yer alan anonim şirket statüsündeki herhangi bir tacirden farklıdır. Bu sebeple iktisadi hayatın merkezinde bulunan ve geniş kitleleri etkileyen bankalardan beklenen basiret ölçüsü ve özen yükümlülüğü daha ağır olduğu için BDDK tarafından getirilen düzenlemelerin; daha sıkı nitelik taşıdığını söylemek yersiz olmayacaktır.
Bu bakımdan 1 Ocak 2022’de yürürlüğe girecek Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik; bankaların bünyesinde yeni görevlerin adreslenmesi, fiili iş akışlarındaki değişikliklerin tasarımı, sistemsel yatırım, oluşacak ciddi operasyonel yükler gibi doğuracağı gereksinimlerle bir uygulama değişikliğinden ziyade bir kültür değişikliğini de beraberinde getirmektedir.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik:
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı – Genel Gerekçe: