Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Yayımlanmıştır
4 Haziran 2021 tarihli ve 31501 sayılı Resmî Gazete’de “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” (“Yönetmelik”) yayımlanmış olup, Yönetmelik ile banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esaslar belirlenmiştir.
Yönetmeliğin “Sır saklama yükümlülüğü” başlıklı 4 üncü maddesi, 5411 sayılı Bankacılık Kanunu’nun (“Kanun”) 73 ve 93 üncü maddelerine paralel olarak düzenlenmiş olup, sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenlerin, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacakları ve bu yükümlülüğün görevden ayrıldıktan sonra da devam edeceği düzenlenmiştir.
Söz konusu maddede; müşteri sırrı, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlanmış ve bir müşterinin, bankanın müşterisi olduğu her türlü bilginin de bu kapsamda yer aldığı belirtilmiştir.
Her ne kadar, kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmasa da, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelecektir.
Yönetmeliğin 5. Maddesinde ise “Sır saklama yükümlülüğünden istisna tutulan haller” düzenlenmiştir. Kanunen açıkça yetkili kılınan mercilerle yapılan paylaşımlar ile ilgili fıkranın 2. bendinde sayılan ve aşağıda belirtilen durumların, gizlilik sözleşmesi yapılması ve yalnızca belirtilen amaçlar ile sınırlı kalması şartıyla istisna kapsamında sayılacağı belirtilmiştir. Bir başka deyişle, Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir:
- Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.
- Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.
- Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.
- Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.
Müşteri sırrı niteliğinde olmayıp banka sırrı niteliğinde olan bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği düzenlenmiştir.
Ayrıca, bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmanın ispatı için zorunlu olması durumunda, ilgili uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilerin veya banka sırrı niteliğindeki bilgilerin, yargılama faaliyetinin yerine getirilmesi amacıyla yurtiçi ve yurtdışındaki mahkeme veya makamlarla paylaşılması ile bu makamlarla paylaşmak üzere uyuşmazlıklarda bankayı temsil eden taraflarla paylaşılmasının istisna kapsamında olacağı düzenlenmiştir.
İstisnalar kapsamında yapılabilecek bazı bilgi paylaşımları için raporlama yükümlülüğü getirilmiş ve altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde derhal Kurum’a, Yönetmelik’te belirtilen bilgileri içerecek şekilde raporlama yapılması gerektiği hüküm altına alınmıştır.
Yönetmeliğin “Sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler” başlıklı 6 ncı maddesinde, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabileceği ifade edilmiştir.
Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilecektir. Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilmeyecektir.
Paylaşımların ölçülü olabilmesi için asgari olarak aşağıdaki hususların tamamının yerine getirilmesi zorunlu kılınmıştır;
- Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.
- Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.
- Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.
- Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (c) bendinde belirtilen yöntemlerin kullanılması.
- Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.
İlgili yükümlülükler haricinde, gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4 üncü maddesinde yer verilen genel ilkelere uyulması zorunlu kılınmıştır.
Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacaktır.
6 ıncı maddede ayrıca, diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgilerin, sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemeyeceği düzenlenmiştir.
Yabancı ülke kanunlarına göre denetime yetkili ve Bankacılık Düzenleme ve Denetleme Kurumu (“Kurum”) muadili mercilerin, Türkiye’deki şube veya ortaklıklarında denetim yapma ve bilgi talepleri ile bankaların yurt dışındaki şube veya ortaklıklarının konsolidasyon kapsamında yer alan bilgilerine ilişkin taleplerinin yerine getirilmesi hususunda Kanun’un kurumlararası işbirliğini düzenlediği 98. maddesinin saklı olduğundan bahisle, bilgi talebinin Kurum nezdinde bulunan bilgiler ile karşılanmasının mümkün olması halinde doğrudan Kurum tarafından, Kurum nezdinde bulunan bilgilerin yeterli olmaması halinde ise Bankacılık Düzenleme ve Denetleme Kurulunca (“Kurul”) verilecek izin dahilinde bankalar tarafından yerine getirileceği hüküm altına alınmıştır. Ayrıca, müşteri sırrı niteliğinde olmayıp banka sırrı niteliğinde bilgilerin paylaşımı öncesinde Kurum’a yazılı olarak bildirimde bulunulması koşuluyla, Kurum muadili yabancı mercilerin talebi üzerine bu merciler ile paylaşılmasının bu fıkraya aykırılık teşkil etmeyeceği ifade edilmiştir.
Son olarak, Yönetmeliğin “Bilgi paylaşım komitesi” başlıklı 7 nci maddesinde, bankaların ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi’nin kurulmasının zorunlu olduğu düzenlenmiştir. Bu komitenin asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacağı öngörülmüştür.
İlgili Yönetmelik 01.01.2022 tarihinde yürürlüğe girecektir.
Yararlı olması dileğimizle.