Banka Müşteri Sırrı Yönetmeliği Yayımlandı

Yeni Gelişmeler

5411 sayılı Bankacılık Kanunu’nun (”Kanun”) 73. maddesi hükmü, müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlara ilişkin kapsam, şekil, usul ve esasları belirleme veya bunlara ilişkin sınırlamalar getirme konusunda Bankacılık Düzenleme ve Denetleme Kurumunu (”BDDK”) yetkili kılmakta. Bu kapsamda BDDK daha önce 23 Şubat 2021 tarihli Hukuk Bültenimizde ele aldığımız üzere, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Taslağı’nı yayımlamıştı. 4 Haziran 2021 ve 31501 sayılı Resmi Gazete’de yayımlanan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” (“Yönetmelik“) uyarınca bu düzenleme, çeşitli değişiklikler ile birlikte 1 Ocak 2022 tarihinde yürürlüğe girecek.

Yönetmelik Ne Getiriyor?

• Sır Saklama Yükümlülüğü:

• Yönetmelik uyarınca sır saklama yükümlülüğü, Kanun’un 73. maddesine paralel şekilde kaleme alınmış durumda. Bu bağlamda banka ve müşteri sırrının kanunen yetkili kılınan merciler dışında başkasına açıklanamayacağı vurgulanıyor.
• Sır saklama yükümlülüğünün, müşteri sırrı niteliğindeki bilgilerin otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olduğu belirtiliyor.
• Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamında sayılıyor.
• Ayrıca, müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de sır saklama yükümlülüğüne tâbi kabul ediliyor.

• İstisnalar:

• Yönetmelik, sır saklama yükümlülüğünden istisna tutulan halleri detaylı olarak açıklıyor. Banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılmasında herhangi bir ek kısıtlama öngörülmezken, Yönetmelik’te sayılan diğer istisna hallerinde paylaşımın sır saklama yükümlülüğüne aykırılık teşkil etmemesi için iki şart öngörülüyor:
  • Gizlilik sözleşmesi yapılması
  • Sadece belirtilen amaçlar ile sınırlı kalınması

• Bu bakımdan Yönetmelik de Kanun’da da yer alan dört istisnaya yer verirken, bu istisnalar içinde yer alan konsolide finansal tablo hazırlama çalışmaları ve risk yönetimi ve iç denetim uygulamaları kapsamında bilgi paylaşımına izin verilen hallerin kapsamını netleştiriyor. Yönetmelik ayrıca konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında yapılacak paylaşımlarda aktarım yapılan tüm üçüncü taraflara ilişkin bilgilerin, ilgili gizlilik sözleşmesinin bir örneğinin, gerçekleştirilen paylaşım amaçlarının ve sır niteliğindeki bilgilerin güvenliğinin sağlanması için alınan tedbirlerin altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda derhal BDDK’ya raporlanmasını gerekli kılıyor. Bu paylaşımlara ilişkin bilgilerin ayrıca denetime hazır şekilde banka nezdinde saklanması gerekecek.
• Bu istisnalara ek olarak, Yönetmelik genel bir istisna hali daha öngörüyor. Buna göre, müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgiler, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılabilecek. Bu bilgilerin BDDK muadili yabancı mercilerle paylaşılması için ise BDDK’ya yazılı bildirimde bulunulması gerekecek. Ayrıca banka yönetim kurulu bu yetkisini ilgili usul ve esasları belirlemek kaydıyla banka genel müdürlüğüne devredebilecek.
• Yönetmelik uyarınca kamu kurum ve kuruluşlarına müşteri talebi ile verilen müşteri sırrı niteliğindeki bilgilerin, bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce yalnızca doğru olup olmadığının teyit edilmesi, söz konusu teyidin gerçekleştirilmesi için müşteri talebinin alınmış olması şartıyla sır saklama yükümlülüğüne aykırılık teşkil etmeyecek.
• Yönetmelik uyarınca bankaların taraf olduğu uyuşmazlıklarla ilgili olguların ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan kişilere ait müşteri sırrı veya banka sırrı niteliğindeki bilgiler yetkili makamlarla veya bankayı temsil etmeye yetkili kişilerle paylaşılabilecek.
• Son olarak, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında bir finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak finansal grup içerisinde bilgi paylaşımında bulunması sır saklama yükümlülüğüne aykırılık teşkil etmeyecek.

• Bilgi Paylaşım İlkeleri: Yönetmelik ayrıca sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeleri de düzenliyor.Müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımının ölçülülük ilkesine uygun olması gerekecek. Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olmadığı kabul edilecek.

  Bu hususta, paylaşımlar paylaşım amacının gerektirdiği kadar veri içermeli ve paylaşılan verilerin amaç için gerekli olduğu gösterilebilir olmalı. Ayrıca, paylaşılacak verilerin toplulaştırılması, kimliksizleştirilmesi ya da anonim hale getirilmesi ile amaç gerçekleştirilebiliyorsa, bu yöntemlerin uygulanması gerekecek. Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de müşterisi değilse, kural olarak bu taraflarla paylaşılacak sır niteliğinde bilgilerin anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması gerekecek. Ayrıca bilgi paylaşımının mümkün olan en az veri kopyasını oluşturacak şekilde kurgulanması gerekecek.

  Müşteri sırrı niteliğindeki verilerin, sır saklama yükümlülüğünden istisna tutulan haller haricinde yurt içi ve yurt dışındaki üçüncü kişilere paylaşımı için açık rıza tek başına yeterli olmayıp müşterinin talebi veya talimatının bulunması gerekecek. Müşteri talep ve talimatları yazılı şekilde ya da veri saklayıcısı yoluyla alınabilecek. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilecek ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilecek. Kural olarak müşteri vermiş olduğu talep veya talimatları elektronik bankacılık kanallarından sorgulayabilecek.
  Müşterinin talep ya da talimatı üzerine yapılacak paylaşımlarda ölçülülük ilkesine uyulup uyulmadığı, müşterinin paylaşılmasını talep ettiği veri seti başka kişilere ilişkin sır niteliğinde bilgiler içermiyor ise, müşterinin talep ya da talimatına uyulup uyulmadığı ile sınırlı olarak değerlendirilecek.

  Müşteri sırrı olsa dahi, sağlık ve cinsel hayata ilişkin kişisel verilerin sır saklama yükümlülüğünden istisna hallere dayanılarak yurt içindeki ya da yurtdışındaki taraflarla paylaşılması mümkün olmayacak.
  Yönetmelik uyarınca,

  (i) işlemin doğası gereği banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve
  (ii) işlemin tamamlanması için müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işleminin zorunlu unsuru olduğu

  yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, verilerin paylaşılmasına ilişkin müşteri talebi veya talimatı yerine geçecektir.

  • Bilgi Paylaşım Komitesi: Yönetmelik’in 7. maddesi bankalar için ”Bilgi Paylaşım Komitesi” kurma zorunluluğu öngörüyor. Bu kapsamda Yönetmelik ile komitenin nasıl teşekkül edeceği de açıklanmaktadır.

  Sonuç

  Yönetmelik ile

• Sır saklama yükümlülüğü, bu yükümlülüğün istisnalarının ve müşteri sırrı kavramının netleştirilmesi,
• Kanun’un 73. maddesinin dördüncü fıkrasında belirtilen sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dâhil olmak üzere, sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin genel ilkeler ile usul ve esasların belirlenmesi

amaçlanıyor.

1 Ocak 2022’de Yönetmelik’in yürürlüğe girmesiyle birlikte Kanun’un 73. maddesinin uygulama kapsamına ilişkin birçok soru işareti giderilmiş olacak.