04 Haziran 2021 Tarihli ve 31501 Sayılı Resmî Gazetede Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (Yönetmelik) yayımlanmış olup işbu Yönetmelik, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından banka ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlemesine ilişkin detayları içermektedir. İlgili yönetmelik 01/01/2022 tarihinde yürürlüğe girecektir.
I- Amaç ve Kapsam
Anılan Yönetmelik, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun 73 ve 93 üncü maddelerine dayanılarak hazırlanmış olup yönetmeliğin amacı, banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesidir. Kişisel Verilerin Korunması Kanunu'na atıfta bulunan yönetmelik, Bankacılık Kanunu kapsamında da sır saklama yükümlülüğü, bu yükümlülüğün istisnaları ve müşteri sırrı kavramına yönelik düzenlemeler içermektedir.
II- Sır Saklama Yükümlülüğü ve İstisnaları
Yönetmeliğin 4. maddesi uyarınca; sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacaklardır. Bu yükümlülük görevden ayrıldıktan sonra da devam edecektir.
Aynı zamanda bu yükümlülük, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerlidir. Yönetmeliğin 4. maddesinin 3. fıkrası uyarınca ise hangi verilerin müşteri sırrı kapsamında olduğu düzenlenmiştir. İşbu fıkra uyarınca;
“Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamındadır. Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de birinci fıkra kapsamındaki yükümlülüğe tabidir.”
Böylece, bir gerçek veya tüzel kişinin, banka müşterisi olduğunu gösterir her türlü bilgi müşteri sırrı kapsamında sayılacaktır.
Sır saklama yükümlülüğünden istisna tutulan hallerden biri de banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılmasıdır. Aynı zamanda müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez.
Ayrıca Yönetmelik’in 5. maddesinin 7. fıkrası ile; Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmiştir.
III- Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler
Sır saklama yükümlülüğünden istisna tutulan haller de dahil olmak üzere müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilecektir. Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilir. Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilemez.
Yönetmeliğin 6. Maddesinin 2. Fıkrası uyarınca;
“Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nin[1] 4 üncü maddesinde yer verilen genel ilkelere uyulması zorunludur. Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamaz.”
hüküm altına alınarak gerçek kişilerin sağlık ve cinsel hayata ilişkin kişisel veriler, istisnasız olarak yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacağı ifade edilmiştir.
Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğünden istisna tutulan haller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacaktır.
Müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez. Müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilir.
Müşterinin, talep ya da talimatı üzerine yapılacak paylaşımlarda ölçülülük ilkesi ne uyulup uyulmadığına ilişkin değerlendirme, müşterinin talep ya da talimatına uyulup uyulmadığı ile sınırlı olarak yapılır. Bunun yanında, Müşterinin paylaşılmasını talep ettiği veri seti içinde başka müşterilere ya da başka bankaların müşterilerine ilişkin sır kapsamındaki bilgilerin de olması halinde ise yükümlülüğe herhangi bir sınırlama olmaksızın uyulması gerekmektedir.
IV- Bilgi Paylaşım Komitesi
Son olarak bankaların, sır saklama yükümlülüğünden istisna tutulan haller de dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunlu hale getirilmiştir.
Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacaktır.
İlgili yönetmeliğe aşağıdaki linkten ulaşabilirsiniz.
[1] Kişisel Verilerin Korunması Kanunu için bakınız: https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
Comments