SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİK YAYIMLANDI
Banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amacıyla Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 4 Haziran 2021 tarihli ve 31501 sayılı Resmî Gazete'de yayımlanmıştır.
19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) 73 ve 93 üncü maddelerine dayanılarak hazırlanan Yönetmelik 24/03/2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) yönelik hükümler ve tanımlar içermektedir. Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından hazırlanan Yönetmelik 01 Ocak 2022 tarihinde yürürlüğe girecek olup, Yönetmelik ile getirilen düzenlemeler aşağıdaki gibidir.
I. Müşteri Sırrı
Yönetmelik’e konu “banka sırrı” ve “müşteri sırrı” kavramları Yönetmelik’te özel olarak tanımlanmamaktadır. Bununla birlikte, Yönetmelik
hükme bağlamaktadır.
II. Sır Saklama Yükümlülüğü
Yönetmelik’te sır saklama yükümlülüğüne ilişkin düzenlemeler genel hatları ile Kanun’un 73 üncü maddesi ile paralellik göstermektedir. Yönetmelik’in “Sır Saklama Yükümlülüğü” başlıklı 4 üncü maddesinde, sıfat ve görevleri dolayısıyla banka ve müşteri sırlarını öğrenen kişilerin gerek görev süresi boyunca gerek görev süresi sonrasında söz konusu sırları, kanunen yetkili kılınan merciler hariç olmak üzere açıklayamayacakları hüküm altına alınmıştır. Bu yükümlülük, müşteri sırrı niteliğini haiz bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerlidir.
III. Sır Saklama Yükümlülüğünün İstisnaları
Sır saklama yükümlülüğünün istisnaları Yönetmelik’in 5 inci maddesinde detaylı olarak ele alınmaktadır. Buna göre, kanunen yetkili kılınan merciler ile banka sırrı ve müşteri sırrı niteliğini haiz bilgilerin paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmemektedir. Yönetmelik’te ayrıca Kanun’da istisna kabul edilen aşağıda belirtilen hallerin de, sadece belirtilen amaçlar ile sınırlı kalınması ve gizlilik sözleşmesi yapılması kaydıyla sır saklama yükümlülüğünün istisnaları olduğu belirtilmektedir.
Yukarıda (ii) numaralı paragrafta belirtilen istisna bakımından Yönetmelik ayrıca, konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında yapılacak paylaşımlarda aktarım yapılan tüm üçüncü kişilere ilişkin bilgilerin, ilgili gizlilik sözleşmesinin bir örneğinin, gerçekleştirilen paylaşım amaçlarının ve sır niteliğindeki bilgilerin güvenliğinin sağlanması için alınan tedbirlerin altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda derhal BDDK’ya raporlanmasını ve bu paylaşımlara ilişkin bilgilerin ayrıca denetime hazır şekilde banka nezdinde saklanması gerekli kılmaktadır.
Yönetmelik’te ayrıca aşağıda belirtilen durumların da sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği kabul edilmektedir:
IV. Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler
Yönetmelik, sır niteliğindeki bilgilerin paylaşılmasına dair genel ilkeleri, 6 ncı maddede düzenlemekte olup, istisnai haller kapsamında yapılacak paylaşımlar da dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak üzere ve ölçülülük ilkesine uygun olarak ve bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilecektir. Yönetmelik, yapılacak paylaşımların ölçülü olabilmesi için asgari olarak,
ilkelerinin tamamının sağlamasını zorunlu kılmıştır. Ayrıca gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nın 4 üncü maddesinde yer verilen genel ilkelere uyulacağı belirtilmiştir.
Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacaktır.
Sair kanunların emredici hükümleri saklı kalması kaydıyla müşteri sırrı niteliğindeki bilgiler, Yönetmelik’te belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerin dışında, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacak ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemeyecektir. Müşteri talep ve talimatları yazılı şekilde ya da veri saklayıcısı yoluyla alınabilecektir.
Yönetmelik uyarınca işlemin doğası gereği banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanması için müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işleminin zorunlu unsuru olduğu yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, verilerin paylaşılmasına ilişkin müşteri talebi veya talimatı yerine geçecektir.
V. Bilgi Paylaşım Komitesi
Yönetmelik’in 7 nci maddesi ile, bankaların, istisna tutulan haller kapsamında yapılacak paylaşımları da kapsamak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunluluğu getirilmiştir. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacaktır.
Daha fazla bilgi ve destek için info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.
LBF Partners
Avukatlık ve Danışmanlık
View in PDF Format