Bu bültenimizi podcast olarak da dinleyebilirsiniz!
Yeni gelişmeler
5411 sayılı Bankacılık (“Kanun”) 73. maddesi hükmü, müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlara ilişkin kapsam, şekil, usul ve esasları belirleme veya bunlara ilişkin sınırlamalar getirme konusunda Bankacılık Düzenleme ve Denetleme Kurumunu (‘BDDK‘) yetkili kılıyor. Bu kapsamda BDDK daha önce 7 Haziran 2021 tarihli Hukuk Bültenimizde ele aldığımız üzere, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında (“Yönetmelik”) yayımlamıştı. BDDK, Yönetmelik hükümlerine ilişkin bazı soruları açıklığa kavuşturduğu ve Yönetmelik’te öngörülen başvuru süreçlerinin usul ve esaslarını belirlediği 2022/1 sayılı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Genelge’yi (“Genelge”) 11 Ağustos 2022’de yayımladı. Genelge’ye buradan ulaşabilirsiniz.
Genelge ne getiriyor?
Genelge ile bilhassa aşağıda yer alan konu başlıkları özelinde Yönetmelik uygulamasına ilişkin hususlara açıklık getiriliyor.
Banka çalışanı bilgileri
Genelge’de banka çalışanı bilgilerinin kural olarak kişisel veriler çerçevesinde değerlendirileceği ortaya konmakla beraber, bazı çalışan bilgilerinin “bankanın mali durumu hakkında ya da kredi verme ve mevduat toplama gibi temel faaliyetlerine ilişkin banka yönetim esasları ve bankanın uyguladığı teknik yöntemler ile banka potansiyeli” hakkında bilgi barındırabileceğini belirterek bu bilgilerin banka sırrı olarak ele alınmasının mümkün olabileceği vurgulanıyor.
Kimliksizleştirmeden yapılacak paylaşımlar için BDDK görüşü
Genelge’de risk yönetimi faaliyetleri kapsamında uyum riski için ana ortak ile yapılacak müşteri sırrı paylaşımlarına yönelik esaslar ve ölçülülük ilkesi için yapılacak BDDK başvurusunun esasları açıklanıyor. Alıcının uyum riski nedeniyle ortak müşteriye ait olmayan bilgilerin kimliksizleştirilmeden ana ortak ile paylaşımında BBDK’ya yapılacak başvuruda aşağıdaki bilgilere yer verilmesi gerekecek:
- Yapılacak paylaşımların içeriği, paylaşım amacı ve mevzuat çerçevesinde gerekliliği.
- Bilgi Paylaşım Komitesinin ölçülülük ve uygunluk görüşü.
Genelge, BBDK’ya yapılacak başvuruda da yer verilmesi gerektiği üzere, ana ortağın talep ettiği bilginin mevzuattan ileri gelen bir yükümlülükten veya bir haktan kaynaklanıyor olması ve bu bilginin sunulmaması halinde ana ortağın yaptırıma uğrama riski bulunuyorsa, söz konusu paylaşımın uyum riski olarak değerlendirileceğini açıklıyor.
Ayrıca Genelge’de iç denetim uygulamalarında denetim çalışma kağıtları da dahil olmak üzere müşterinin kimliğini belirli veya belirlenebilir kılacak bilgilerin paylaşılmaması gerektiği vurgulanıyor. Ancak söz konusu paylaşım uyum riski kapsamında değerlendiriliyorsa ve bunun için bankanın denetim çalışma kağıtları ya da iç denetim uygulamaları kapsamındaki müşteri bilgilerine erişilmesi gerekiyorsa, bu bilgilerin olduğu gibi paylaşılabilmesi için BDDK görüşü alınabilecek.
Ek olarak, Türkiye’de bir banka olan ana ortağın yine Türkiye’deki ortaklığı statüsünde olan diğer bir bankadan uyum riski yönetimi amacıyla bilgi talep etmesi durumunda, bu bilginin paylaşımında BDDK görüşü alınmasına ve kimliksizleştirmeye gerek bulunmayacak.
Yabancı otoritelerle yapılacak paylaşımlar
BDDK muadili yabancı bir otorite, doğrudan Türkiye’deki bankayı hedef alan bir talepte bulunursa veya otoritenin talebi “uyum riski” kapsamında kabul edilecek bir talep değilse, bilgi paylaşımı için Kanun’un 98. maddesi ve Yönetmelik’in 6. maddesinin 9. fıkrası uyarınca karşılıklılık ilkesi doğrultusunda BDDK onayının alınması gerekiyor.
Genelge’de paylaşımın yalnızca banka sırrı içermesi durumunda da BDDK onayı alınması kuralının aynen geçerli olacağı ve Yönetim Kurulu kararına istinaden paylaşım yapılamayacağı açıklanıyor.
SWIFT işlemleri kapsamında paylaşımlar
BDDK, SWIFT işlemlerinde, işlem sonrası kontrolleri için ana ortak ile yapılacak müşteri sırrı paylaşımların “uyum riski” amacıyla yapılan paylaşım olarak değerlendirilebileceğini, ancak burada ölçülülük ilkesinin de dikkate alınması gerektiğini ifade ediyor.
Genelge, söz konusu paylaşımlarda talep/talimat mekanizmasına da dayanılabileceğini açıklıyor. Yönetmelik uyarınca, işlemin doğası gereği yurt dışında kurulu sistemlerle etkileşimin gerekli olduğu ve bilgilerin paylaşımının zorunlu olduğu hallerde, işlemin başlatılmasına yönelik müşteri emri girilmesi, “talep/talimat” yerine geçiyor. Bu kapsamda bilgi paylaşımının alınan talimata istinaden, ayrıca kimliksizleştirme tedbiri uygulanmadan yapılması söz konusu olabilecek. Müşterinin talimatına konu SWIFT gibi para transferi işlemlerinin gerçekleştirilmesi sonrasında gelebilecek bilgi taleplerinin karşılanmasını sistem kurallarının veya ilgili muhabir bankanın zorunlu kılması durumunda, müşterinin işlemin gerçekleştirilmesi öncesinde söz konusu sistem ve ne gibi bilgilerin paylaşılabileceğine dair bilgilendirilmesi şartıyla bu işlem sonrası bilgi paylaşımları yapılabilecek.
Öte yandan, söz konusu bilgi paylaşımının yalnızca zorunlu bilgilerle sınırlı olması gerekecek.
Banka sırları ve yönetim kurulu kararı
Genelge, banka sırlarının yönetim kurulu kararı alınmak suretiyle, üçüncü kişilerle paylaşılabileceğini vurguluyor ve yönetim kurulu kararında, istisna kapsamına giren paylaşımların belirtilmesine gerek bulunmadığını ortaya koyuyor.
Saklama ve raporlama yükümlülükleri
Yönetmelik’in 5. maddesinin 9. fıkrası uyarınca yapılacak raporlamalar için ilk rapor tarihi, Temmuz-Aralık dönemi için 31 Ocak 2022, Ocak – Haziran 2023 dönemi için ise 31 Temmuz olarak belirlendi. Raporun format ve içeriği Kurum tarafından ayrıca duyurulacak olup, bu format ve içeriğin Kurum tarafından değiştirilmesi söz konusu olabilecektir.
İlaveten, müşterilerin kimliğini belirli kılabilecek bilgilerin paylaşımına ilişkin bilgilerin 10 yıl süreyle saklanması gerekecek.
Müşteri talep ve talimatı
Risk yönetimi/konsolide finansal tablo hazırlama/iç denetim kapsamına giren paylaşımlarda talep/talimata dayanılmasının Yönetmelik’in 6. maddesinin 8. fıkrası uyarınca BDDK görüşü alma yükümlülüğünü ortadan kaldırmayacağı Genelge ile netleştirildi.
Talep ve talimatlar için aşağıdaki hususların göz önünde bulundurulması gerekecek:
- Banka tarafından hazırlanan örnek metinler kullanılabilir. Ancak, metinler müşteri tarafından talimata dönüştürülmesi gerekecek. Müşterinin talebin içeriğini anladığı ve onayladığına ilişkin yazılı beyanının alınması gerekecek. Bu örnek metinler bir sözleşme kapsamında alınıyor ise sözleşme metninden açıkça ayırt edilebilir şekilde olması gerekecek.
- Onaylar dijital imza ile alınabilecek.
- Talep ve talimatlar internet/mobil bankacılık ile sorgulanabilir nitelikte olacak.
Ortak müşteriler
Yönetmelik uyarınca ortak müşterilere ilişkin paylaşımlar istisna dahilinde ise kimliksizleştirilmeden yapılabilecek. Genelge ile ortak müşteri kriterleri belirleniyor. Bu kapsamda bir müşterinin ortak müşteri kabul edilmesi için (i) aynı gerçek/tüzel kişinin (ii) eş zamanlı olarak (iii) hem Türkiye’deki bankanın hem de ana ortağın/hakim ortağın/grup şirketinin müşterisi olması gerekecek.
Özel nitelikli kişisel bilgiler
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin müşteri sırrı haline gelmesi durumunda, bu bilgilerin, sır saklama yükümlülüğünden istisna tutulan hallere dayanılarak üçüncü kişilerle paylaşılması mümkün olacak. Öte yandan, sağlık ve cinsel hayata ilişkin bilgilerin, müşteri sırrı haline gelmiş olsa da, müşterinin açık rızası olmadan sır saklama yükümlülüğünün istisnalarına dayanılarak üçüncü kişilerle paylaşılması mümkün olmayacak.
Hukuki danışmanlarla bilgi paylaşımı
Hukuki danışmanlarla yapılan paylaşımlar hizmet alımı kapsamında istisna olarak kabul edilmekle beraber danışman bankayı bir uyuşmazlık için doğrudan temsil ediyorsa müşteri sırları kimliksizleştirmeden paylaşılabilecekken potansiyel bir temsil ilişkisi var ise, müşteri sırlarının kimliksizleştirmeden paylaşımı için müşteri talep/talimatı aranacak.
Sonuç
Genelge ile Yönetmelik hükümlerine ilişkin bankaların gündeme getirdiği soru ve belirsizlikler netleştirilmiş ve Yönetmelikte belirtilen başvuru süreçlerine ilişkin ayrıntılar sağlanmıştır.
