Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı Görüşe Sunuldu

Bankacılık Düzenleme ve Denetleme Kurumu (“Kurum”) tarafından 15 Şubat 2021 tarihinde Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) görüşe açılmıştır.

İlgili Mevzuat

Sır niteliğindeki bilgilere ilişkin dayanak düzenleme bilindiği üzere 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) 73. Maddesi ile hükme bağlanmıştır. Anılan madde hükmünün 3. Fıkrası uyarınca, sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacaklardır.

Bankacılık faaliyetine kapsamında, gerçek veya tüzel kişilerin banka ile müşteri ilişkisi kurulduktan sonra oluşan verileri “müşteri sırrı” haline gelmektedir. Yine alınan madde hükmü uyarınca, müşteri sırrı niteliğindeki bilgilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılması ve bunlara aktarılaması mümkün değildir.

Kanun Madde 73/5 uyarınca, sır niteliğindeki bilgilerin, mevzubahis maddenin üçüncü ve dördüncü fıkraları uyarınca paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Kurul yetkili kılınmıştır. Bu kapsamda hazırlanan Taslak Yönetmelik görüşe açılmıştır.

Taslak Yönetmelik Neler Getiriyor?

Taslak Yönetmelik madde 4 ile Kanun madde 73’e getirilen paralel düzenlemeler ile birlikte, Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de, ilgili kişilerin açıklamama yükümlülüğü kapsamında kabul edilmiştir.

Anılan hükmün 4. Fıkrası uyarınca, kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı nitliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelecektir.

Sır Saklama Yükümlülüğü İstisnaları

TaslakYönetmelik madde 5 ile sır saklama yükümlülüğünden istisna olacak haller aşağıdaki şekilde düzenlenmiştir:

(i) Banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması,

(ii) Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı:

a. Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla bilgi ve belge alışverişinde bulunması.

b. Konsolide finansal tablo hazırlama çalışmaları ve risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.

c. Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi,

d. Değerleme, derecelendirme veya destek hizmeti ile bağımsız denetim faaliyetlerine ve gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.

(iii) İkinci fıkranın (b) bendi kapsamında yapılacak paylaşımların, sadece söz konusu bentte belirtilen amaçlar ile sınırlı kılınması, gizlilik sözleşmesi yapılması, söz konusu sözleşme hükümleri ile karşı tarafın gerekli teknik ve idari tedbirleri almasının sağlanması koşuluyla, hakim ortak ile yapılması ya da hakim ortağın/ana ortaklığın belirleyeceği konsolide tablo hazırlama ya da konsolide risk yönetimi uygulamaları kapsamında hizmet aldığı bir grup şirketi ile yapılması,

(iv) Müşteri sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması,

(v) Kamu kurum ve kuruluşlarına müşteri talebi ile verilen ve söz konusu bilgilerin teyit edilmesi konusunda müşterinin açık rızası alınmış olması şartıyla, müşteri sırrı niteliğindeki bilgilerin, ilgili bankalar ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketler üzerinden teyit edilmesine yönelik olarak söz konusu kamu kurum ve kuruluşlarına ilgili bilginin doğru olup olmadığı şeklinde cevap verilmesi.

Taslak Yönetmelik madde 5 uyarınca, müşteri sırrı niteliğindeki bilgiler müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmadıkça üçüncü kişilere açıklanamayacaktır. Müşteri talep veya talimatının yazılı şekilde alınması mümkün olduğu gibi, kalıcı veri saklayıcısı yoluyla da alınabilecektir.

Anılan madde hükmünün 5. fırkası uyarınca ise, işlemin doğası gereği bilgi paylaşımına gerek duyulan, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, üçüncü fıkrada belirtilen müşteri talep ya da talimatı yerine geçecektir.

Ölçülülük İlkesi

Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, Taslak Yönetmelik madde 6 uyarınca sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilecektir.

Paylaşımların ölçülü kabul edilmesi hususunda ise asgari olarak aşağıdaki unsurların tamamının sağlanması aranmıştır:

(i) Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.

(ii) Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.

(iii) Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.

(iv) Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (iii) numaralı başlıkta belirtilen yöntemlerin kullanılması.

(v) Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.

Taslak Yönetmelik madde 5/2 uyarınca ise, gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nin 4’üncü maddesine yer verilen genel ilkelere uyulması zorunludur. Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan ve Madde 5 ile düzenlenen hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacaktır.

Bilgi Paylaşım Komitesi

Taslak Yönetmelik madde 7 uyarınca, bankaların, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan bir Bilgi Paylaşım Komitesi kurması zorunlu kılınmıştır.

Taslak Yönetmelik'e aşağıdaki link üzerinden ulaşabilirsiniz:

https://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_1069.pdf