Turkey: Bankalar - Sır Niteliğindeki Bilgilerin Paylaşılması

4 Haziran 2021 tarihinde 31501 sayılı Resmi Gazete'de Bankacılık Düzenleme ve Denetleme Kurumu tarafından Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ("Yönetmelik")¹ yayımlanmıştır. Bu Yönetmelik 1 Ocak 2022 tarihinde yürürlüğe girecektir.

Bu Yönetmeliğin amacı banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesidir.

Sır Saklama Yükümlülüğü ve Sır Niteliğindeki Bilgilerin Paylaşılması

1-Sır Saklama Yükümlülüğü

İlgili Yönetmeliğe göre sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacakları gibi bu yükümlülükleri görevden ayrıldıktan sonra da devam edecektir.

Yükümlülük müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olacaktır.

Bilindiği üzere bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelmektedir ve bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamındadır. Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de sır saklama yükümlülüğünün kapsamı alanındadır.

Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelmektedir.

Söz konusu verilere ilişkin sır saklama yükümlülüğü, bu verilerin müşteri sırrı haline gelmesinden itibaren başlayacaktır.

2-Sır Saklama Yükümlülüğünden İstisna Tutulan Haller

Yayımlanan yönetmeliğe göre banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

Aynı zamanda gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir;

a) Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.

b) Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.

Ancak bu kapsamda yapılacak paylaşımların, sadece söz konusu amaçlar ile sınırlı kılınması, gizlilik sözleşmesi yapılması, söz konusu sözleşme hükümleri ile karşı tarafın gerekli teknik ve idari tedbirleri almasının sağlanması koşuluyla, hakim ortak ile yapılması ya da hakim ortağın/ana ortaklığın belirleyeceği, konsolide finansal tablo hazırlama ya da konsolide risk yönetimi uygulamaları kapsamında hizmet aldığı bir grup şirketi ile yapılması sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği de vurgulanmıştır.

c) Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.

ç) Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.

Tüm bunların yanı sıra müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği gibi Banka Yönetim Kurulu bu yetkisini usul ve esasları belirlemek suretiyle Genel Müdürlüğe devredebilecektir.

Yayımlanan yönetmelikle belirtilen bir diğer konu ise Bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği de ifade edilmiştir.

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun² 5 inci maddesi uyarınca finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde bilgi paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

3-Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler

Sır saklama yükümlülüğünden istisna tutulan haller kapsamında yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabileceği gibi karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilecektir.

Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilememektedir. Bu kapsamda, yapılacak paylaşımların ölçülü olabilmesi için asgari olarak aşağıdaki hususların tamamının yerine getirilmesi zorunlu tutulmuştur:

a) Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi,

b) Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması,

c) Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması,

ç) Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve yukarıda belirtilen yöntemlerin kullanılması,

d) Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması,

Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında Kişisel Verilerin Korunması Kanunu'nun³ 4'üncü maddesinde yer verilen genel ilkelere uyulması zorunlu kılınmıştır.

Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılması yasaklanmıştır.

Ayrıca diğer ilgili kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı gibi müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemeyecektir.

Bu husus, müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilmektedir. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilmekte ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilecektir.

Müşterinin, talep ya da talimatı üzerine yapılacak paylaşımlarda ölçülülük ilkesine uyulup uyulmadığı, müşterinin talep ya da talimatına uyulup uyulmadığı ile sınırlı olarak değerlendirilmektedir. Bununla birlikte müşterinin paylaşılmasını talep ettiği veri seti içinde başka müşterilere ya da başka bankaların müşterilerine ilişkin sır kapsamındaki bilgilerin de olması halinde ise, sır saklama yükümlülüğüne herhangi bir sınırlama olmaksızın uyulması zorunlu kılınmıştır.

4-Bilgi Paylaşım Komitesi

İlgili Yönetmelik ile bankaların, sır saklama yükümlülüğünün istisnai halleri kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunlu tutulmuştur. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşmalıdır.

Footnotes

1. 4 Haziran 2021 tarih ve 31501 Sayılı Resmi Gazete. Bu linkten 17 Aralık 2021 tarihinde erişim sağlanmıştır: https://www.resmigazete.gov.tr/eskiler/2021/06/20210604-6.htm linkinden 17.12.2021

2. 11.10.2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun

3. 24.03.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.