BDDK tarafından düzenlenen “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” 4 Haziran itibariyle yayınlandı. Canpolat Hukuk Bürosu’ndan Av. Yaşar K. Canpolat ve Av. Gülsima Palaz, yeni yönetmeliğin bankalar üzerindeki etkisini yorumladı.

Kişisel verilerin korunmasına yönelik bir düzenleme daha yürürlüğe girdi. Canpolat Hukuk Bürosu’ndan Av. Yaşar K. Canpolat ve Av. Gülsima Palaz, hazırladıkları yazıda düzenlemenin getirdiklerini yorumlarken bankaların uyması gereken yeni kurallara da dikkat çekti.

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından düzenlenen Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik 1 Ocak 2022’de yürürlüğe girmek üzere bugün tarihli (04.06.2021) Resmi Gazete’de yayımlandı.

Yönetmeliğin dikkat çeken konu başlıkları şu şekildedir.

Yönetmelik, Kanuna getirilen düzenlemeleri açıklığa kavuşturmayı hedeflemektedir

Bilindiği üzere, 2020 yılında 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) “Sırların Saklanması” başlıklı 73. maddesine ek hükümler getirilmiş ve söz konusu hükümler içerdiği muğlaklıklar ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kurduğu ilişki bağlamında eleştirilere konu olmuştu.

2020 yılındaki değişiklikte aynı zamanda “sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye ve bunlara ilişkin sınırlamalar getirmeye” BDDK yetkili kılınmıştı.

BDDK, geçtiğimiz aylarda yayımladığı Taslak Yönetmelik gerekçesinde Kanun’da yer alan bu yetkiye atfederek bu Yönetmelik ile temel olarak

  • Sır saklama yükümlülüğün, bu yükümlülüğün istisnalarının ve müşteri sırrı kavramının netleştirilmesinin ve
  • Kanunda belirtilen sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dâhil olmak üzere, sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin genel ilkeler ile usul ve esasların belirlenmesinin hedeflendiğini belirtmiştir.

“Kimliksizleştirme” ve “İşleme” kavramı Veri Koruma mevzuatındakinden daha geniş şekilde ele alınmaktadır

Adını veri koruma mevzuatında “Pseudonymisation” olarak bildiğimiz “Kimliksizleştirme” bugüne kadar Türk mevzuatında ilk kez Kişisel Sağlık Verileri Hakkında Yönetmelikte düzenlenmişti.

Yönetmelik ile beraber kimliksizleştirme kavramı finans dünyasının kendi dinamikleri ele alınarak yeniden düzenlenmektedir; kimliksizleştirme Yönetmelik uyarınca “müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesi” olarak ifade edilmektedir.

Finans sektöründeki müşterilerin tüzel kişi olması durumunu da dikkate alan BDDK, söz konusu tanımı salt gerçek kişilerin kişisel verilerini değil, tüzel kişilerin verilerini de kapsar şekilde yapmaktadır.

Bu noktada ilgili tanımın “müşteri” ile sınırlı tutulmasının amacı anlaşılamamıştır. Mevcut hali ile müşteri olmak için eylemde bulunan ancak olamayan (örn. kredi başvurusu reddedilen) kişilerin verilerinin paylaşıma tabi olması durumunda kimliksizleştirme uygulanmasına gerek olmayacağı yönünde bir yorum yapılabileceği tartışma konusu olabilecektir.

“İşleme” tanımı geniş ele alınmıştır

Yönetmelik kapsamında veri işleme “verilerin, elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, paylaşılması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak ifade edilmiştir.

KVKK’nın kişisel veri işleme tanımının neredeyse aynısı olan bu tanımda tek eksik unsur “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollar” ibaresidir.

BDDK’nın, bu kısmı, tanım kapsamından hariç tutmayı bilinçli olarak gerçekleştirdiğini söylemek mümkündür. Nitekim Yönetmeliğin devam hükümlerinde sır saklama yükümlülüğünün müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olduğunun altı çizilmiştir. BDDK’nın burada KVKK’da halen tartışma konusu olan “veri kayıt sistemi” ve “kısmen otomatik olan yollar” kavramlarından doğabilecek muğlaklıkların önüne geçmek istediği görülmektedir.

Bu bağlamda, BDDK’nın müşteri verilerine olan yaklaşımının KVKK’nın kişisel verilere olan yaklaşımından daha geniş bir kapsayıcılıkta olduğunu söylemek mümkündür.

“Toplulaştırma” tanımı yapılmıştır

Yönetmeliğin getirdiği bir diğer yenilik de “toplulaştırma” tanımıdır. Türk mevzuatında -bildiğimiz kadarıyla- bugüne kadar böyle bir kavramın tanımı yapılmamıştı.

Yönetmelik kapsamında “toplulaştırma” ibaresi “Müşteriye ilişkin verilerin, gruplama, özetleme, toplu gösterim gibi istatistiksel amaçlarla diğer müşterilere ilişkin verilerle birleştirilerek kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek şekilde işlenmesi” olarak tanımlanmıştır.

Akabinde sır niteliğindeki bilgilerin paylaşılması esnasında bu yöntemin uygulanmasının mümkün olması halinde -kimliksizleştirme veya anonimleştirme için olduğu gibi- bu yöntemin tercih edilmesi yükümlülüğü getirilmiştir.

Müşteri sırrı ve banka sırrı kavramlarının çerçevesi çizilmektedir

Bankacılık Kanunu m.73’de “bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler” olarak ifade edilen “müşteri sırrı” kavramı Yönetmelikte tekrar edilmiştir.

Tanımda yer alan “müşteri ilişkisi kurulduktan sonra” ibaresi, gerçek veya tüzel kişinin ancak banka müşterisi olduktan sonra elde edilen verilerinin müşteri sırrı kapsamına gireceği sonucunu doğurmaktadır.

Bu bağlamda müşteri ilişkisi kurulmamış kişilere ait veriler müşteri sırrı kapsamına girmediği sonucuna varılabileceği düşünülmektedir. Örneğin, bir bankadan finansal bir ürün almak için başvuru yapan ancak belirli gerekçelerle başvurusu reddedilen kişiye ilişkin veriler müşteri sırrı kavramına girmeyeceği gibi bu verilerin sır saklama yükümlülüğüne tabi olup olmayacağı da muallaktadır. Yönetmelik buna doğrudan bir cevap vermese de Kanundan farklı olarak ek bir düzenleme getirerek,

  • Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesini ve öğrenilmesini sır saklama yükümlülüğüne tabi kılmaktadır, ve
  • Müşteri ilişkisi kurulmadan önce var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilerin verilerinin, banka müşteri olduğunu gösteren şekilde tek başına ya da müşteri ilişkisi kurulması sonrasında oluşan verilerle işlenmesi halinde müşteri sırrı haline geleceklerini düzenlemektedir.

Bu noktada, gerçek kişilere ait veriler müşteri ilişkisi kurulmamış olsa bile kişisel veri sayılacağı için KVKK uyarınca yer verilen düzenlemelere uyum sağlanmasının zorunluluğu gözden kaçırılmaması gerektiğinin altını çizmek gerekir.

Banka Sırrı Kavramının Sınırları

Yönetmelik öncesinde doktrin nezdinde “banka sırrı” kavramı hakkında fikir birliği sağlanamamıştı.

Banka sırrını, müşteri ilişkisi kurulmamış tüzel kişi ve gerçek kişi verileri, müşteri sırrı ve hassas verileri de içinde barındıran bir üst küme olarak düşünen bir kesim bulunmaktaydı. Diğer yandan, banka sırrını, bankanın kendi organizasyonel yapısına ait bilgiler olarak tanımlayan görüşler de azımsanmayacak derecedeydi.

Yönetmelikle birlikte, banka sırrının müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgiler olduğu belirtilmiştir. Böylelikle, banka sırrının, ilgili bankanın kendi iç yapısıyla ilgili bilgiler olduğu ve herhangi bir müşteriye ait olmadığı sonucuna varılması mümkündür.

İlgili tanımda, müşteri olmayan kişi bilgilerinin banka sırrı sayılıp sayılmayacağı konusunda bir netlik bulunmasa da hüküm içerisindeki “yalnızca” ifadesinden, müşteri sayılmayan kişi bilgilerinin banka sırrı kapsamına girmeyebileceği sonucuna varılabilmektedir.

Sır saklama yükümlülüğünün istisnaları belirlenmektedir

Yönetmelik, Kanun’un 73. maddesini tekrar ederek “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar” demek suretiyle sır saklama yükümlülüğüne ilişkin ana kuralı koymaktadır.

Bunun yanında Yönetmelik, Kanun’un 73. maddesinde belirtilen istisnaları 73. maddeye kıyasla daha anlaşılır ve sistematik bir biçimde tek tek belirtmiştir. Yönetmelik ile sır saklama yükümlülüğüne ilişkin getirilen istisnalar Kanun ile uyumlu olmakla birlikte, konuya ilişkin olarak ek istisnaların da düzenlendiği görülmektedir.

Kanunen açıkça yetkili kılınan merciler ile paylaşılması başta olmak üzere, i) gizlilik sözleşmesi yapılması ve ii)sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla aşağıdaki haller de istisna olarak belirlenmektedir.

  • Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla bilgi ve belge alışverişinde bulunması,
  • Konsolide finansal tablo hazırlama çalışmaları ve risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi (Yönetmelikte bu alt başlık altındaki işlemler kapsamında yapılacak paylaşımlara ilişkin gizlilik sözleşmesinin, taraflarca alınan teknik ve idari tedbirler ile sır kapsamındaki bilgilerin aktarıldığı tüm üçüncü tarafların unvanı ve bulunduğu ülke bilgilerinin altı aylık dönemler halinde BDDK’ya raporlanacağı ve müşterinin kimliğini belirli veya belirlenebilir kılacak şekilde bu kapsamda yapılan tüm paylaşımların denetime tabi olacakları belirtilmektedir),
  • Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi,
  • Değerleme, derecelendirme veya destek hizmeti ile bağımsız denetim faaliyetlerine ve gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi,

Öte yandan, Taslak Yönetmelik’e ek olarak MASAK kapsamındaki paylaşımların da uyum riski kapsamında ele alınabileceği belirtilmiş ve uyuşmazlık kapsamında paylaşılan veriler de istisna kapsamına alınmıştır.

Bununla beraber banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmektedir.

Sır niteliğindeki bilgilerin paylaşılmasına ilişkin ilkeler detaylı bir şekilde belirtilmektedir

Bilgi paylaşımı konusunda Yönetmelik sistematiğinin KVKK’da belirtilen ilkelerle uyumlu olduğu görülmektedir.

İstisna kapsamında paylaşılacak bilgiler de dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabileceği belirtilmektedir.

Yönetmelik, ölçülülük ilkesinden ne anlaşılması gerektiğine de değinerek paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olmadığını vurgulamıştır.

Veri paylaşımının ölçülü kabul edilebilmesi için ise aşağıda yer verilen şartların tamamının yerine getirilmesi zorunludur.

  • Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi,
  • Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması,
  • Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması,
  • Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve yukarıda belirtilen yöntemlerin kullanılması,

Yukarıdaki hükümlerin tamamının uygulanması ve bunun hesap verilebilirliğinin sağlanması gerekliliğinin, bankaların iç süreçleri açısından ciddi operasyonel yük doğuracağını söylemek mümkündür.

Veri paylaşımında müşterinin açık rızasının yeterli olmadığı, aktif bir talebin bulunması gerektiği vurgulanmaktadır

KVKK, kişisel verilerin aktarımlarında açık rızayı hukuki bir sebep olarak kabul ederken, bu konuya ilişkin olarak Kanunda yer verilen “aktarım için açık rıza değil, müşterinin aktif talebinin bulunması zorunluluğu” Yönetmelik ile detaylandırılmaktadır.

Müşteri, paylaşım konusunda açık rıza vermiş olsa bile aktarımın gerçekleştirilemeyeceği, müşterinin ilgili bankaya bu yöndeki talebini veya talimatını iletmesinin gerekli olduğu vurgulanmaktadır. Ayrıca KVKK sistematiğine uygun olarak açık rızanın hizmet şartına bağlanamayacağı da ifade edilmektedir.

Müşterinin açık rızasının yeterli olmamasının sebebi ise, bankaların kendi hazırlayacakları açık rıza metinlerinin, müşterinin özgür iradesini yansıtmayacağını; dolayısıyla müşterinin ilgili işleme yalnızca “onay” vermesini değil, “aktif” davranarak olumlu irade beyanını yansıtmasının sır niteliğindeki verilerin daha özellikli olarak korunmasını sağlamasından kaynaklanmaktadır.

Görüldüğü üzere, Yönetmelik, KVKK’da yer alan açık rızayı, müşteri talebinden ayrı tutarak, gerçek kişiye ait verilerin aktarılması durumunda her iki düzenlemenin aradığı şartlara uyum sağlanmasının beklendiği; tüzel kişilere ait verilerin aktarılması durumunda ise yalnızca müşteri talebinin alınmasının yeterli olacağı bir sonuç yaratmıştır.

Son olarak, Yönetmelik, birincil sistemler dışında alınan hizmetlerde de hizmet sağlayıcılar ile yapılan paylaşımlar için müşterinin talebini veya talimatını içeren aktif bir hareketin aranacağını düzenlenmektedir.

Müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunlu olduğu işlemler bakımından “müşteri talebi”nin ne olacağı açıklanmaktadır

Yönetmelik uyarınca yurt içinde ya da yurt dışında yer alan banka, ödeme hizmet sağlayıcıları veya mesajlaşma sistemleri ile etkileşim içerisinde bulunmanın zorunluluk teşkil ettiği ve bu doğrultuda müşteri sırrı niteliğindeki bilgilerin paylaşılmasının zorunluluk arz ettiği, fon transferi, akreditif, teminat mektubu, referans mektubu gibi işlemler için aşağıdaki iki durumun müşteri talebi ya da talimatı yerine geçeceği düzenlenmektedir;

  • ilgili işlemin müşteri tarafından başlatılması ya da
  • elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi

Yukarıdaki hüküm ile, Kanun uyarınca veri paylaşımı için bir şart olan müşteri talepleri/emirlerinin, dijital dünyadaki kullanıcı deneyimini bozmadan alınabileceği açık bir şekilde hüküm altına alınmaktadır.

Yurt dışına aktarım konusunda karşılıklılık ilkesinin benimsendiği belirtilmektedir

Yönetmelikte, Bankacılık Düzenleme ve Denetleme Kurulu’na müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklama yetkisi verilmektedir.

Bununla beraber yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanmasının esas olduğu; bu ilkeye uymayan bir ülkede bulunan taraflar ile yapılan paylaşımlara Kurul’un kısıtlama, durdurma ya da yasaklama getirebileceği belirtilmektedir.

Bankalara Bilgi Paylaşım Komitesi kurma zorunluluğu getirilmektedir

Yönetmelik ile getirilen bir diğer yenilik de “Bilgi Paylaşım Komitesi”dir; Bankalara görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan bir Bilgi Paylaşım Komitesi kurması zorunluluğu getirilmektedir.

Bu komitenin sorumluluğu; Yönetmeliğin 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almak olarak tanımlanmaktadır.

Kanun hükümlerinin KVKK karşısında özel nitelikte olduğu belirtilmektedir

Yönetmelik gerekçesinde, KVKK kapsamında yer verilen pek çok aktör ve tanımın Yönetmelikte de ayrıca belirtilmesinin ve müşteri sırrına ilişkin olarak KVKK’ya nazaran daha özellikli hükümler getirilmesinin sebebi; Kanun ve alt düzenlemeler ile KVKK arasındaki uygulamada var olabilecek tereddütlerin giderilmesi ve bu suretle banka ile müşteri ilişkisi kurulduktan sonra oluşan gerçek kişilere ait bankacılık faaliyetlerine özgü bilgiler için Kanunun sır saklamaya ilişkin hükümlerin KVKK karşısında özel nitelikli kanun hükümleri olarak ele alınması gerektiğinin netleştirilmesi olarak açıklanmaktadır.

Genel Değerlendirme

Müşteri Sırrı ve Banka Sırrı kavramlarının kapsamları bugüne kadar doktrinel açıdan da birçok tartışmaya konu olmuştur. Yönetmelik bu kavramları açık ve net tanımlamaya çalışması anlamında birtakım belirsizlikleri gidermeyi hedeflemekte ve bunu büyük oranda başarmaktadır.

Ancak son yıllarda bilgi teknolojilerinin gelişmesi ile gerek Bilgi Sistemleri Yönetmeliği gibi sektörel, gerek Kişisel Verilerin Korunması Kanunu gibi kanunların çıkması ile beraber bu düzenlemelerin birbirleri ile ne şekilde konuşacağı halen muğlaktır.

BDDK’nın bir mevzuat yaratma tekniği olarak konuyu temel kural ve ilkeler ile yönetmesi doğrudur ancak söz konusu üst seviyedeki temel kural ve ilkelerin işin detaylarının belirlenmesinde sıkıntı yaratabileceği düşünülmektedir.

Bu nedenle BDDK’nın ilgili Yönetmelik sonrasında müşteri sırrı, banka sırrı, hassas veri, sessiz kalan taraf verisi vb. kavramlarının nasıl ve müşteri hikayesinin hangi aşamasında doğduğunun kabul edilmesi gerektiğine ve bu verilerden doğan yükümlülüklere ilişkin somut örnekler bir rehber yayımlaması kanaatimizce bankaların BDDK’nın isterlerini yerine getirmesinde büyük kolaylık sağlayacaktır.

* Bu makale, Canpolat Hukuk Bürosu avukatlarından Av. Yaşar K. Canpolat ve Av. Gülsima Palaz tarafından yazılmış ve ilk olarak 4 Haziran 2021 tarihinde kurumun Medium.com’daki sayfasında yayınlanmıştır.