Bankacılık Düzenleme ve Denetleme Kurumu (“Kurum”) tarafından yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması hakkında Yönetmelik

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, 01/01/2022 tarihinde yürürlüğe girmek üzere 04/06/2021 tarihli ve 31501 sayılı Resmî Gazete’de yayımlanmıştır. Yönetmelik banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amacıyla Kurum tarafından düzenlenmiştir.

Bilindiği üzere 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) “Sırların Saklanması” başlıklı 73’üncü maddesinde bankaların sır saklamasına ilişkin düzenlemelere yer verilmektedir. İlgili maddeye 20 Şubat 2020 tarihinde eklenen ek fıkra ile sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Bankacılık Düzenleme ve Denetleme Kurulu (“Kurul”) yetkili kılınmıştır. Söz konusu kapsamda Kurum tarafından yayımlanan Yönetmelikte yer alan önemli hususlar aşağıda özetlenmiştir:

► Müşteri sırrı: Yönetmelik’te, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi müşteri sırrı olarak tanımlanmıştır. Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir.

► Sır saklama yükümlülüğü: Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olacaktır. Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi halinde de sır saklama yükümlülüğü doğacaktır.

► Sır saklama yükümlülüğünden istisna haller: Yönetmelikte, Kanun ile uyumlu olarak banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmiştir. Bunun yanı sıra, Yönetmelik madde 6’da sıralanan bazı hallerde ise gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kalınması koşuluyla, banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin paylaşımının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği hüküm altına alınmış olup ilgili istisna haller kısaca aşağıdaki şekilde sıralanabilir:

• Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması,
• Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi,
       - Denetim çalışma kağıtları da dahil olmak üzere, iç denetim uygulamaları amacıyla yapılan paylaşımların müşterinin kimliğini belirli veya belirlenebilir kılacak veriler içermesi, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine aykırılık olarak kabul edilir.
• Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi,
• Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi,
• Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararıyla banka sorumluluğunda üçüncü taraflar ile paylaşılması,
• Bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi,
• Bankanın taraf olduğu uyuşmazlıklarda zorunlu olması halinde, uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar.

►Sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler: Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir. Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilir. Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilmeyecektir. Paylaşımların ölçülü olabilmesi için yerine getirilmesi zorunlu olan asgari hususlar aşağıdaki gibidir;

a) Paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi,

b) Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması,

c) Söz konusu amaçlar veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde gerçekleştirilebiliyor ise bu yöntemlerin uygulanması,

ç) Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu kişilerle paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (c) bendinde belirtilen yöntemlerin kullanılması,

d) Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.

Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK madde 4’te yer verilen genel ilkelere uyulması zorunlu tutulmuş olup, müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel verilerin, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek paylaşılamayacağı belirtilmiştir.

Sır saklama yükümlülüğünden istisna tutulan haller dışında, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın müşteri sırları yurt içindeki veya yurtdışındaki üçüncü kişilerle paylaşılamayacağı düzenlenmiş olup, müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesinin bankaların vereceği hizmetler için bir ön şart haline getirilemeyeceği hüküm altına alınmıştır.

Kurul, ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, istisna haller de dâhil olmak üzere, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklamaya yetkili kılınmıştır. Öte yandan sır saklama yükümlülüğünden istisna tutulan haller kapsamında yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanacağı, aksi taktirde Kurul’un yapılacak paylaşımları kısıtlama, durdurma ve yasaklama yetkisinin olduğu düzenlenmiştir.

► Bilgi paylaşım komitesi kurma zorunluluğu: Bankalara, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları yönetim kurulu tarafından onaylanacak Bilgi Paylaşım Komitesi kurması yükümlülüğü getirilmiştir. Komitenin asgari kompozisyonu ise şu şekilde olacaktır; bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahipleri.

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu