Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”)geçtiğimiz hafta (15 Şubat 2021 haftası) Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı’nı (“Taslak Yönetmelik”) kamuoyu görüşüne açtı.

Taslak Yönetmeliğin dikkat çeken konu başlıkları aşağıdaki şekildedir

Taslak Yönetmelik Kanuna getirilen düzenlemeleri açıklığa kavuşturmayı hedeflemektedir

Bilindiği üzere, 2019 yılında 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) “Sırların Saklanması” başlıklı 73. maddesine ek hükümler getirilmiş ve söz konusu hükümler içerdiği muğlaklıklar ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kurduğu ilişki bağlamında eleştirilere konu olmuştu.

2019 yılındaki değişiklikte aynı zamanda “sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye ve bunlara ilişkin sınırlamalar getirmeye” BDDK yetkili kılınmıştı.

BDDK, Taslak Yönetmelik gerekçesinde Kanun’da yer alan bu yetkiye atfederek Taslak Yönetmelik ile temel olarak

  • Sır saklama yükümlülüğün, bu yükümlülüğün istisnalarının ve müşteri sırrı kavramının netleştirilmesinin ve

“Kimliksizleştirme” ve “İşleme” kavramı veri koruma mevzuatındakinden daha geniş şekilde ele alınmaktadır

“Kimliksizleştirme” tanımı geniş ele alınmıştır

Adını veri koruma mevzuatında “Pseudonymisation” olarak bildiğimiz “Kimliksizleştirme” bugüne kadar Türk mevzuatında ilk kez Kişisel Sağlık Verileri Hakkında Yönetmelikte düzenlenmişti.

Taslak Yönetmelik ile beraber kimliksizleştirme kavramı finans dünyasının kendi dinamikleri ele alınarak yeniden düzenlenmektedir; kimliksizleştirme Taslak Yönetmelik uyarınca “müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesi” olarak ifade edilmektedir.

Finans sektöründeki müşterilerin tüzel kişi olması durumunu da dikkate alan BDDK, söz konusu tanımı salt gerçek kişilerin kişisel verilerini değil, tüzel kişilerin verilerini de kapsar şekilde yapmaktadır.

Bu noktada ilgili tanımın “müşteri” ile sınırlı tutulmasının amacı anlaşılamamıştır. Mevcut hali ile müşteri olmak için eylemde bulunan ancak olamayan (örn. kredi başvurusu reddedilen) kişilerin verilerinin paylaşıma tabi olması durumunda kimliksizleştirme uygulanmasına gerek olmayacağı yönünde bir yorum yapmak mümkündür.

“İşleme” tanımı geniş ele alınmıştır

Taslak Yönetmelik kapsamında veri işleme “verilerin, elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, paylaşılması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak ifade edilmiştir.

KVKK’nın kişisel veri işleme tanımının neredeyse aynısı olan bu tanımda tek eksik unsur “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollar” ibaresidir.

BDDK’nın, bu kısmı, tanım kapsamından hariç tutmayı bilinçli olarak gerçekleştirdiğini söylemek mümkündür. Nitekim Taslak Yönetmeliğin devam hükümlerinde sır saklama yükümlülüğünün müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olduğunun altı çizilmiştir. BDDK’nın burada KVKK’da halen tartışma konusu olan “veri kayıt sistemi” ve “kısmen otomatik olan yollar” kavramlarından doğabilecek muğlaklıkların önüne geçmek istediği görülmektedir.

Bu bağlamda, BDDK’nın müşteri verilerine olan yaklaşımının KVKK’nın kişisel verilere olan yaklaşımından daha geniş bir kapsayıcılıkta olduğunu söylemek mümkündür.

Müşteri sırrı ve banka sırrı kavramlarının çerçevesi çizilmektedir

Müşteri Sırrı Kavramının Sınırları

Bankacılık Kanunu m.73’de “bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler” olarak ifade edilen “müşteri sırrı” kavramı Taslak Yönetmelikte tekrar edilmiştir.

Tanımda yer alan “müşteri ilişkisi kurulduktan sonra” ibaresi, gerçek veya tüzel kişinin ancak banka müşterisi olduktan sonra elde edilen verilerinin müşteri sırrı kapsamına gireceği sonucunu doğurmaktadır.

Bu bağlamda müşteri ilişkisi kurulmamış kişilere ait veriler müşteri sırrı kapsamına girmemektedir. Örneğin, bir bankadan finansal bir ürün almak için başvuru yapan ancak belirli gerekçelerle başvurusu reddedilen kişiye ilişkin veriler müşteri sırrı kavramına girmeyeceği gibi bu verilerin sır saklama yükümlülüğüne tabi olup olmayacağı da muallaktadır. Taslak Yönetmelik buna doğrudan bir cevap vermese de, Kanundan farklı olarak ek bir düzenleme getirerek,

  • Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesini ve öğrenilmesini sır saklama yükümlülüğüne tabi kılmaktadır, ve

Bu noktada, gerçek kişilere ait veriler müşteri ilişkisi kurulmamış olsa bile kişisel veri sayılacağı için KVKK uyarınca yer verilen düzenlemelere uyum sağlanmasının zorunluluğu gözden kaçırılmaması gerektiğinin altını çizmek gerekir.

Banka Sırrı Kavramının Sınırları

Taslak Yönetmelik öncesinde doktrin nezdinde “banka sırrı” kavramı hakkında fikir birliği sağlanamamıştı.

Banka sırrını, müşteri ilişkisi kurulmamış tüzel kişi ve gerçek kişi verileri, müşteri sırrı ve hassas verileri de içinde barındıran bir üst küme olarak düşünen bir kesim bulunmaktaydı. Diğer yandan, banka sırrını, bankanın kendi organizasyonel yapısına ait bilgiler olarak tanımlayan görüşler de azımsanmayacak derecedeydi.

Taslak Yönetmelikle birlikte, banka sırrının müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgiler olduğu belirtilmiştir. Böylelikle, banka sırrının, ilgili bankanın kendi iç yapısıyla ilgili bilgiler olduğu ve herhangi bir müşteriye ait olmadığı sonucuna varılması mümkündür. İlgili tanımda, müşteri olmayan kişi bilgilerinin banka sırrı sayılıp sayılmayacağı konusunda bir netlik bulunmasa da, hüküm içerisindeki “yalnızca” ifadesinden, müşteri sayılmayan kişi bilgilerinin banka sırrı kapsamına girmeyebileceği sonucuna varılabilmektedir.

Sır Saklama Yükümlülüğünün istisnaları belirlenmektedir

Taslak Yönetmelik, Kanun’un 73. maddesini tekrar ederek “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar” demek suretiyle sır saklama yükümlülüğüne ilişkin ana kuralı koymaktadır.

Bunun yanında Taslak Yönetmelik, Kanun’un 73. maddesinde belirtilen istisnaları 73. maddeye kıyasla daha anlaşılır ve sistematik bir biçimde tek tek belirtmiştir. Taslak Yönetmelik ile sır saklama yükümlülüğüne ilişkin getirilen istisnalar Kanun ile uyumlu olmakla birlikte, konuya ilişkin olarak ek istisnaların da düzenlendiği görülmektedir.

Kanunen açıkça yetkili kılınan merciler ile paylaşılması başta olmak üzere, i)gizlilik sözleşmesi yapılması ve ii)sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla aşağıdaki haller de istisna olarak belirlenmektedir.

  • Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla bilgi ve belge alışverişinde bulunması,

Bununla beraber banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmektedir.

Sır niteliğindeki bilgilerin paylaşılmasına ilişkin ilkeler detaylı bir şekilde belirtilmektedir

Bilgi paylaşımı konusunda Taslak Yönetmelik sistematiğinin KVKK’da belirtilen ilkelerle uyumlu olduğu görülmektedir.

İstisna kapsamında paylaşılacak bilgiler de dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabileceği belirtilmektedir.

Taslak Yönetmelik, ölçülülük ilkesinden ne anlaşılması gerektiğine de değinerek paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olmadığını vurgulamıştır.

Veri paylaşımının ölçülü kabul edilebilmesi için ise aşağıda yer verilen şartların tamamının yerine getirilmesi zorunludur.

  • Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi,

Yukarıdaki hükümlerin tamamının uygulanması ve bunun hesap verilebilirliğinin sağlanması gerekliliğinin, bankaların iç süreçleri açısından ciddi operasyonel yük doğuracağını söylemek mümkündür.

Veri paylaşımında müşterinin açık rızasının yeterli olmadığı, aktif bir talebin bulunması gerektiği vurgulanmaktadır

KVKK, kişisel verilerin aktarımlarında açık rızayı hukuki bir sebep olarak kabul ederken, bu konuya ilişkin olarak Kanunda yer verilen “aktarım için açık rıza değil, müşterinin aktif talebinin bulunması zorunluluğu” Taslak Yönetmelik ile detaylandırılmaktadır.

Müşteri, paylaşım konusunda açık rıza vermiş olsa bile aktarımın gerçekleştirilemeyeceği, müşterinin ilgili bankaya bu yöndeki talebini veya talimatını iletmesinin gerekli olduğu vurgulanmaktadır. Ayrıca KVKK sistematiğine uygun olarak açık rızanın hizmet şartına bağlanamayacağı da ifade edilmektedir.

Müşterinin açık rızasının yeterli olmamasının sebebi ise, bankaların kendi hazırlayacakları açık rıza metinlerinin, müşterinin özgür iradesini yansıtmayacağını; dolayısıyla müşterinin ilgili işleme yalnızca “onay” vermesini değil, “aktif” davranarak olumlu irade beyanını yansıtmasının sır niteliğindeki verilerin daha özellikli olarak korunmasını sağlamasından kaynaklanmaktadır.

Görüldüğü üzere, Taslak Yönetmelik, KVKK’da yer alan açık rızayı, müşteri talebinden ayrı tutarak, gerçek kişiye ait verilerin aktarılması durumunda her iki düzenlemenin aradığı şartlara uyum sağlanmasının beklendiği; tüzel kişilere ait verilerin aktarılması durumunda ise yalnızca müşteri talebinin alınmasının yeterli olacağı bir sonuç yaratmıştır.

Son olarak, Taslak Yönetmelik, birincil sistemler dışında alınan hizmetlerde de hizmet sağlayıcılar ile yapılan paylaşımlar için müşterinin talebini veya talimatını içeren aktif bir hareketin aranacağını düzenlenmektedir.

Müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunlu olduğu işlemler bakımından “müşteri talebi”nin ne olacağı açıklanmaktadır

Taslak Yönetmelik uyarınca yurt içinde ya da yurt dışında yer alan banka, ödeme hizmet sağlayıcıları veya mesajlaşma sistemleri ile etkileşim içerisinde bulunmanın zorunluluk teşkil ettiği ve bu doğrultuda müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunluluk arz ettiği, fon transferi, akreditif, teminat mektubu, referans mektubu gibi işlemler için aşağıdaki iki durumun müşteri talebi ya da talimatı yerine geçeceği düzenlenmektedir;

  • ilgili işlemin müşteri tarafından başlatılması ya da

Yukarıdaki hüküm ile, Kanun uyarınca veri paylaşımı için bir şart olan müşteri talepleri/emirlerinin , dijital dünyadaki kullanıcı deneyimini bozmadan alınabileceği açık bir şekilde hüküm altına alınmaktadır.

Yurt dışına aktarım konusunda karşılıklılık ilkesinin benimsendiği belirtilmektedir

Taslak Yönetmelikte, Bankacılık Düzenleme ve Denetleme Kurulu’na müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklama yetkisi verilmektedir.

Bununla beraber yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanmasının esas olduğu; bu ilkeye uymayan bir ülkede bulunan taraflar ile yapılan paylaşımlara Kurul’un kısıtlama, durdurma ya da yasaklama getirebileceği belirtilmektedir.

Bankalara Bilgi Paylaşım Komitesi kurma zorunluluğu getirilmektedir

Taslak Yönetmelik ile getirilen bir diğer yenilik de “Bilgi Paylaşım Komitesi”dir; Bankalara görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan bir Bilgi Paylaşım Komitesi kurması zorunluluğu getirilmektedir.

Bu komitenin sorumluluğu; Taslak Yönetmeliğin 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almak olarak tanımlanmaktadır.

Kanun hükümlerinin KVKK karşısında özel nitelikte olduğu belirtilmektedir

Taslak Yönetmelik gerekçesinde, KVKK kapsamında yer verilen pek çok aktör ve tanımın Taslak Yönetmelikte de ayrıca belirtilmesinin ve müşteri sırrına ilişkin olarak KVKK’ya nazaran daha özellikli hükümler getirilmesinin sebebi; Kanun ve alt düzenlemeler ile KVKK arasındaki uygulamada var olabilecek tereddütlerin giderilmesi ve bu suretle banka ile müşteri ilişkisi kurulduktan sonra oluşan gerçek kişilere ait bankacılık faaliyetlerine özgü bilgiler için Kanunun sır saklamaya ilişkin hükümlerin KVKK karşısında özel nitelikli kanun hükümleri olarak ele alınması gerektiğinin netleştirilmesi olarak açıklanmaktadır.

Genel Değerlendirme

Müşteri Sırrı ve Banka Sırrı kavramlarının kapsamları bugüne kadar doktrinel açıdan da bir çok tartışmaya konu olmuştur. Taslak Yönetmelik bu kavramları açık ve net tanımlamaya çalışması anlamında bir takım belirsizlikleri gidermeyi hedeflemekte ve bunu büyük oranda başarmaktadır.

Ancak son yıllarda bilgi teknolojilerinin gelişmesi ile gerek Bilgi Sistemleri Yönetmeliği gibi sektörel, gerek Kişisel Verilerin Korunması Kanunu gibi kanunların çıkması ile beraber bu düzenlemelerin birbirleri ile ne şekilde konuşacağı halen muğlaktır. BDDK’nın bir mevzuat yaratma tekniği olarak konuyu temel kural ve ilkeler ile yönetmesi doğrudur ancak söz konusu üst seviyedeki temel kural ve ilkelerin işin detaylarının belirlenmesinde sıkıntı yaratabileceği düşünülmektedir.

Bu nedenle BDDK’nın ilgili Yönetmelik sonrasında müşteri sırrı, banka sırrı, hassas veri, sessiz kalan taraf verisi vb. kavramlarının nasıl ve müşteri hikayesinin hangi aşamasında doğduğunun kabul edilmesi gerektiğine ve bu verilerden doğan yükümlülüklere ilişkin somut örnekler bir rehber yayımlaması kanaatimizce bankaların BDDK’nın isterlerini yerine getirmesinde büyük kolaylık sağlayacaktır.

Sorunuz olması halinde [email protected] ve [email protected] aracılığıyla bizlere ulaşabilirsiniz.

Yazarlar: Av. Gülsima Palaz– Av. Yaşar K. Canpolat