05 Haziran 2021

25 Şubat 2020 tarih ve 31050 sayılı Resmî Gazete ’de yayımlanarak aynı tarihte yürürlüğe giren 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Torba Kanun”) ile 5411 sayılı Bankacılık Kanunu’nda (“Bankacılık Kanunu”) değişiklik yapılmıştır. Torba Kanun ile Bankacılık Kanunu’nun Sırların Saklanması başlıklı 73. maddesine, müşteri sırrı niteliğindeki bilgilerin paylaşım esas ve şartlarına ilişkin düzenlemeler getirilmiş ve sır niteliğinde olan bilgilerin paylaşımına ilişkin kapsam, şekil, usul ve esasları belirleme ve bunlara ilişkin sınırlamalar getirme yetkisi Bankacılık Düzenleme ve Denetleme Kurumu’na (“BDDK”) verilmiştir.

BDDK’nın yetkilendirilmesi ile sır saklama yükümlülüğünün istisnalarının ve sır niteliğindeki bilgilerin paylaşılmasındaki esasların belirlenmesi için uzun zamandır beklenen, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 4 Haziran 2021 tarih, 31501 Sayılı Resmi Gazete ‘de yayımlanmıştır. Yönetmelik hükümlerinin yürürlük tarihi 1 Ocak 2022 olarak belirlenmiştir.

Yönetmeliğin Temel Amaç ve Etkisi

Kişisel verilerin korunmasını düzenleyen temel mevzuat 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve yetkili idari kurum Kişisel Verileri Koruma Kurumu iken, Torba Kanun ile Bankacılık Kanunu’nun da yapılan değişikliklerle kişisel verilere ilişkin düzenlemelerin kapsamı genişletilmiş ve konuya ilişkin olarak bankacılık sektörü açısından BDDK etkin hale getirilmiştir. 

Yönetmelikle Bankacılık Kanunu’nda yer alan düzenlemelere belirli açılardan netlik kazandırılırken ilave düzenleme ve bunlara dair istisnalar getirilmiştir. 

Yönetmelik Kapsamında Müşteri Sırrı

Bankacılık Kanunu ve Yönetmelik’te, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin, müşteri sırrı hâline geleceği kabul edilmiştir. Yönetmelik’te Bankacılık Kanunu’na ek olarak, bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamına alınmıştır (“Müşteri Sırrı”). Yönetmelikte ayrıca, taraflar arasında müşteri ilişkisi bulunmasa dahi, bir başka banka nezdinde müşteri sırrı niteliğinde olan bilgilerin elde edilmesi ve öğrenilmesi hali de sır saklama yükümlülüğü kapsamına alınmıştır.

Görüldüğü üzere Yönetmelik’te müşteri sırrı kavramı, kişisel veri tanımından daha geniş biçimde tüzel kişileri de kapsayacak şekilde ele alınmıştır.

Yönetmelik Kapsamında Müşteri Sırrının Korunması

Bankacılık Kanunu’ndaki düzenleme tekrar edilerek:

Sıfat ve görevleri dolayısıyla Müşteri Sırrını öğrenenler (görevlerinden ayrıldıktan sonra dahi) Bankacılık Kanunu ve Yönetmelik’te ver verilen belirli istisnalar haricinde Müşteri Sırrını bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamamakla yükümlüdür. 

KVKK altındaki düzenlemelerden farklı olarak Yönetmelik uyarınca diğer kanunların emredici hükümleri ve Yönetmelik altında belirtilen istisnalar hariç olmak üzere Müşteri Sırrı, müşterinin açık rızası bulunsa dahi müşterinin talebi veya talimatı olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz.

Söz konusu yükümlülüğü ihlal edenler hakkında ihlalin niteliğine göre Bankacılık Kanunu’nda belirtilen hapis ve idari para cezası uygulanır.  Müşteri Sırrının saklanması yükümlülüğünü kendileri ya da başkaları için yarar sağlamak amacıyla ihlal edenler hakkında verilecek cezalar ise artırılır. Ayrıca, belirli hallerde sorumluların Bankacılık Kanunu kapsamına giren kuruluşlarda görev yapmaları, iki yıldan aşağı olmamak üzere geçici veya sürekli olarak yasaklanır. 

Müşteri Sırrının Paylaşılabilmesine İlişkin İstisnai Hallerden Bazıları

Yönetmelik, Bankacılık Kanunu’nda yer alan belirli istisnaları açıklayarak ve/veya genişleterek, belirli hallerde, Müşteri Sırrının gizlilik sözleşmesi yapılması kaydıyla açıklanabilmesine imkân tanımıştır.  Müşteri Sırrı saklama yükümlülüğünün bu istisnai hallerinden bazıları aşağıdaki gibidir:

  • Banka ve finansal kuruluşların kendi aralarında, Risk Merkezi ya da en az beş banka veya finansal kuruluş tarafından kurulmuş şirket vasıtasıyla bilgi alışverişinde bulunması,
  • Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi,
  • Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin %10’unu ve daha fazlasını temsil eden payların satışı amacı ile yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi,
  • Krediler dâhil varlıkların veya bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi,
  • Değerleme, derecelendirme, destek hizmeti, bağımsız denetim faaliyetleri veya hizmet alımlarında hizmeti sağlayanlara bilgi ve belge verilmesi.

Yönetmelik ayrıca müşteri tarafından kamu kurum ve kuruluşlarına müşterilerin kendi talepleri ile verdikleri Müşteri Sırrı niteliğindeki bilgileri, müşterinin talep ve talimatının alınmış olması şartıyla, bankaların, risk merkezinin veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerin teyit etmesine izin vermektedir. 

Ayrıca Yönetmelik Müşteri Sırrının bankanın taraf olduğu uyuşmazlıklarda kullanılmasının zorunlu olduğu hallerde, yurt içindeki ya da yurt dışındaki yargı mercileri ve bankayı temsil eden taraflarla paylaşılmasına da izin vermektedir.

Sır Niteliğindeki Bilgilerin Paylaşılmasında Genel İlkeler

Müşteri Sırrı (yukarıda belirtilen istisna kapsamındaki hallerde yapılacak paylaşımlar da dâhil olmak üzere) ancak amaçla sınırlı ve ölçülü olduğu, ayrıca gerçek kişi müşteri söz konusu ise KVKK 4. maddede yer alan ilkelere uyulduğu müddetçe paylaşılabilecektir. Bu nedenle Yönetmelik, ölçülülük hususunda koşullar getirmiş ve koşulların tamamının yerine getirilmesini zorunlu tutmuştur. Şöyle ki paylaşımlar:

  • Amaçların gerektirdiği kadar veriyi içermelidir.
  • Verilerin kimliksizleştirme, anonimleştirme, toplulaştırma işlemleri ile amaç doğrultusunda kullanılmasını sağlıyorsa bu yöntemler kullanılarak yapılmalıdır.
  • Müşteri ana ortaklık, hâkim ortak veya grup şirketinin de ortak müşterisi değil ise müşterinin kimliği belirlenebilecek nitelikte olmamalıdır.
  • En az veri kopyası oluşturulacak şekilde kurgulanmalıdır.

Her ne kadar istisnai haller kapsamında olsa dahi, birincil sistemler[1] kapsamında olmayan, değerleme, derecelendirme, destek hizmeti, bağımsız denetim faaliyetleri veya hizmet alımları kapsamında yapılacak bilgi paylaşımlarında da müşterinin talep veya talimatı aranmaktadır.

Müşterilerin Rıza, Talep ve Talimatları Hakkında

  • Müşterinin açık rızası, talep veya talimatı bankanın hizmet sunmasında ön şart olarak kullanılamaz.
  • Müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olması kaydıyla kalıcı veri saklayıcısı (kısa mesaj, elektronik posta vesair) yoluyla da alınabilir.
  • Müşteri tarafından verilen talep veya talimat, müşteri tarafından istenildiğinde iptal edilebilir ve değiştirilebilir olmak kaydıyla birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik süresiz olabilir.

Bilgi Paylaşım Komitesi ve Raporlama

Yönetmelik ile birlikte bankalara Bilgi Paylaşım Komitesi kurma zorunluluğu getirilmiştir. Söz konusu komite, Müşteri Sırrı ve banka sırrı paylaşımını koordine etmek, taleplerin uygunluğunu değerlendirmek ve bunları kayıt altına almakla yükümlü olup, görev tanımı ve çalışma esasları banka yönetim kurulu tarafından onaylanacaktır. Yönetmelik gereğince, bu komitenin asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşturulması gerekmektedir.

Ayrıca Yönetmelik ile getirilen zorunluluk gereği; Müşteri Sırrının paylaşılmasına ilişkin istisnai bazı hallerde yapılacak paylaşımlara ilişkin, (i) gizlilik sözleşmesinin bir örneği, (ii) gerçekleştirilen paylaşımın amaçları, (iii) Müşteri Sırrının gizliliği ve güvenliğinin sağlanmasına yönelik alınan teknik ve idari tedbirler ile (iv) banka sırrı ve Müşteri Sırrı niteliğindeki bilgilerin aktarıldığı tüm üçüncü tarafların unvanı ve bulunduğu ülke bilgileri, BDKK tarafından uygun görülen biçim ve yöntemlere göre, altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde derhal BDKK’ya raporlanacaktır.

Yayla Altufan Konukçu Avukatlık Ortaklığı

Bu bülten, konuya ilişkin limitli bilgi içermektedir. Bahsi geçen Yönetmeliğin ve/veya söz konusu Yönetmeliğe ilişkili mevzuat, uygulama ve değerlendirmelerin tamamını içermemektedir.  Hukuki görüş teşkil etmemektedir ve bu şekilde yorumlanmamalıdır.

-----------

[1]  Birincil sistemler: Bankacılık faaliyetlerinin yürütülmesini ve Kanunda, Kanuna ilişkin alt düzenlemelerde ve ilgili diğer mevzuatta bankalar için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını ifade eder (Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik madde 3. f(1), e).

CLIENT ALERT


For further information, please contact:


YAYLA ALTUFAN KONUKÇU
Attorneys at Law
+ 90 (212) 236 36 44
[email protected]
www.yaklaw.com

Levent Mah. Sülün Sok. N.23
34330, Beşiktaş/Istanbul

Bu yayın, hukuki gelişmelere ilişkin genel ve limitli bilgi içermektedir. Bu yayın, hukuki görüş ve yönlendirme içermemektedir ve bu şekilde yorumlanmamalı ve kullanılmamalıdır.