Publications Come back

SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİK YAYIMLANDI

07.07.2021

SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİK YAYIMLANDI

Banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amacıyla Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 4 Haziran 2021 tarihli ve 31501 sayılı Resmî Gazete'de yayımlanmıştır.

19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) 73 ve 93 üncü maddelerine dayanılarak hazırlanan Yönetmelik 24/03/2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) yönelik hükümler ve tanımlar içermektedir. Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından hazırlanan Yönetmelik 01 Ocak 2022 tarihinde yürürlüğe girecek olup, Yönetmelik ile getirilen düzenlemeler aşağıdaki gibidir.

I. Müşteri Sırrı

Yönetmelik’e konu “banka sırrı” ve “müşteri sırrı” kavramları Yönetmelik’te özel olarak tanımlanmamaktadır. Bununla birlikte, Yönetmelik

  1. bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceğini,
  2. Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilginin de müşteri sırrı olduğunu ve
  3. Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesinin de sır saklama yükümlülüğüne tabi olduğunu

hükme bağlamaktadır.

II. Sır Saklama Yükümlülüğü

Yönetmelik’te sır saklama yükümlülüğüne ilişkin düzenlemeler genel hatları ile Kanun’un 73 üncü maddesi ile paralellik göstermektedir. Yönetmelik’in “Sır Saklama Yükümlülüğü” başlıklı 4 üncü maddesinde, sıfat ve görevleri dolayısıyla banka ve müşteri sırlarını öğrenen kişilerin gerek görev süresi boyunca gerek görev süresi sonrasında söz konusu sırları, kanunen yetkili kılınan merciler hariç olmak üzere açıklayamayacakları hüküm altına alınmıştır. Bu yükümlülük, müşteri sırrı niteliğini haiz bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerlidir.

III. Sır Saklama Yükümlülüğünün İstisnaları

Sır saklama yükümlülüğünün istisnaları Yönetmelik’in 5 inci maddesinde detaylı olarak ele alınmaktadır.  Buna göre, kanunen yetkili kılınan merciler ile banka sırrı ve müşteri sırrı niteliğini haiz bilgilerin paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmemektedir. Yönetmelik’te ayrıca Kanun’da istisna kabul edilen aşağıda belirtilen hallerin de, sadece belirtilen amaçlar ile sınırlı kalınması ve gizlilik sözleşmesi yapılması kaydıyla sır saklama yükümlülüğünün istisnaları olduğu belirtilmektedir.

  1. Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması,
  2. Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi,
  3. Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.
  4. Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.

Yukarıda (ii) numaralı paragrafta belirtilen istisna bakımından Yönetmelik ayrıca, konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında yapılacak paylaşımlarda aktarım yapılan tüm üçüncü kişilere ilişkin bilgilerin, ilgili gizlilik sözleşmesinin bir örneğinin, gerçekleştirilen paylaşım amaçlarının ve sır niteliğindeki bilgilerin güvenliğinin sağlanması için alınan tedbirlerin altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda derhal BDDK’ya raporlanmasını ve bu paylaşımlara ilişkin bilgilerin ayrıca denetime hazır şekilde banka nezdinde saklanması gerekli kılmaktadır.

Yönetmelik’te ayrıca aşağıda belirtilen durumların da sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği kabul edilmektedir:

  1. Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.
  2. Bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.
  3. Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.
  4. 5549 sayılı Kanunun 5 inci maddesi uyarınca finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde bilgi paylaşımı yapılması sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir. 

IV. Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler

Yönetmelik, sır niteliğindeki bilgilerin paylaşılmasına dair genel ilkeleri, 6 ncı maddede düzenlemekte olup, istisnai haller kapsamında yapılacak paylaşımlar da dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak üzere ve ölçülülük ilkesine uygun olarak ve bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilecektir. Yönetmelik, yapılacak paylaşımların ölçülü olabilmesi için asgari olarak,

  1. belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi,
  2. paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması,
  3. paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması,
  4. bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (iii) maddede belirtilen yöntemlerin kullanılması,
  5. paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması,

ilkelerinin tamamının sağlamasını zorunlu kılmıştır. Ayrıca gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nın 4 üncü maddesinde yer verilen genel ilkelere uyulacağı belirtilmiştir.

Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacaktır.

Sair kanunların emredici hükümleri saklı kalması kaydıyla  müşteri sırrı niteliğindeki bilgiler, Yönetmelik’te belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerin dışında, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacak ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemeyecektir. Müşteri talep ve talimatları yazılı şekilde ya da veri saklayıcısı yoluyla alınabilecektir.

Yönetmelik uyarınca işlemin doğası gereği banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanması için müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işleminin zorunlu unsuru olduğu yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, verilerin paylaşılmasına ilişkin müşteri talebi veya talimatı yerine geçecektir.

V. Bilgi Paylaşım Komitesi

Yönetmelik’in 7 nci maddesi ile, bankaların, istisna tutulan haller kapsamında yapılacak paylaşımları da kapsamak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunluluğu getirilmiştir. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacaktır.

Daha fazla bilgi ve destek için info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.

LBF Partners

Avukatlık ve Danışmanlık

View in PDF Format