- Haziran 11, 2021
- Dr. Ali Tolga Erendaç
- 0 Comments
- Bilgilendirme
Müşteri Sırrı Yönetmeliği
Dr. Ali Tolga Erendaç
A. Giriş
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 4 Haziran 2021 tarih ve 31501 sayılı Resmi Gazete’de yayımlanmış olup, 1 Ocak 2022 tarihinde yürürlüğe girecektir. Bu bilgilendirme notunda Yönetmelik ile getirilen düzenlemelerin genel bir değerlendirmesi yapılacaktır.
B. Değerlendirme
1. Genel Olarak Banka/Müşteri Sırrı ve Kişisel Veri Kavramları
Banka sırrı ve müşteri sırrı kavramı, mülga 3182 sayılı Bankalar Kanunu ve 4389 sayılı Bankalar Kanunu ile halen yürürlükte bulunan 5411 sayılı Bankacılık Kanunu’nda[1] (BaK) önceden beri yer alan kavramlardır. Kişisel veri kavramı ise hukukumuza 2016 yılında Kişisel Verilerin Korunması Kanunu[2] (KVKK) ile girmiştir.
Banka sırrı, banka tüzel kişiliğine ait bilgilerdir. Müşteri sırrı, gerçek ve tüzel kişilere ait bilgilerdir. Kişisel veri ise, gerçek kişilere ait her türlü bilgi olarak tanımlanmıştır (KVKK m. 3/ f. 1/ b. d). Gerçek kişilere ait müşteri sırrı aynı zamanda KVKK kapsamında da kişisel veri niteliğindedir.
BaK m. 73’de banka sırrı ve müşteri sırrı sadece üçüncü kişilere açıklanması (aktarılması veya paylaşılması) boyutu ile düzenlenmişken, KVKK, verinin paylaşılması faaliyetini de kapsayacak şekilde bilginin elde edilmesinden kullanılmasına kadar tüm yönleriyle işlenmesini konu edinmiştir. Bilginin üçüncü kişilerle paylaşılması için Bankacılık Kanunu ve Yönetmelikte verinin “açıklanması” terimi tercih edilmişken, KVKK’da kişisel verilerin “aktarılması veya paylaşılması” terimi tercih edilmiştir.
KVKK m. 8/f. 3’de verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı tutulmuştur. KVKK m. 9/f. 6’da ise kişisel verilerin yurt dışına aktarılmasına ilişkin hükümler saklı tutulmuştur. Dolayısıyla KVKK, gerçek kişilere ait verinin paylaşılması bakımından genel nitelikte bir kanun iken, Bankacılık Kanunu ve Yönetmelik gerçek kişi müşteriye ait verinin aktarılması yönünden özel kanun hükmündedir.
2. Yönetmeliğin Kapsamı
Yönetmeliğin “Amaç ve Kapsam” başlıklı 1’nci maddesine göre düzenlenmenin kapsamına bankalar (mevduat bankaları, katılım bankaları, yatırım ve kalkınma bankaları) girmektedir.
BDDK denetime tabi diğer anonim şirketler (finansal kiralama şirketleri, faktöring şirketleri, finansman şirketlerin ile tasarruf finansman şirketleri, varlık yönetim şirketleri) ile ödeme kuruluşları ve elektronik para kuruluşları, aracı kurumlar, sigortalar gibi BDDK’nın düzenleme ve denetime tabi olmayan şirketler bu Yönetmelik hükümlerine tabi değildir.
3. Banka Sırrı ve Müşteri Sırrını Saklama Yükümlülüğü
BaK m. 73/f. 3 hükmüne göre sıfat ve görevleri nedeniyle banka sırrı ve müşteri sırrını öğrenenler, bu bilgileri saklanmakla yükümlüdür ve bu yükümlülüğe aykırılık cezai yaptırıma tabidir. BaK m. 159’/f. 1’e göre 73’üncü maddenin üçüncü fıkrasında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden iki bin güne kadar adlî para cezası hükmolunur.
Banka tarafından bilinen bir bilginin ne zaman müşteri sırrı sayılacağı ile ilgili olarak Yönetmelikte müşteri ilişkisi kurulmasına işaret edilmektedir (Yönetmelik m.4/ f. 3). Müşteri ilişkisi ile kastedilenin bir sözleşme ilişkisi mi yoksa borç ilişkisi mi olduğu açık değildir[3]. Banka ile sözleşme ilişkisi olmayan teminat mektubu muhatabına ilişkin bir bilginin müşteri sırrı sayılıp sayılmayacağı tartışılabilir. Müşteri ilişkisinin sözleşme ilişkisi olarak kabul edilmesi halinde mektup muhatabına ilişkin bilgi müşteri sırrı sayılmaz çünkü banka ile teminat mektubu muhatabı arasında sözleşme ilişkisi yoktur. Müşteri ilişkisi borç ilişkisi olarak kabul edilirse, mektup muhatabına ilişkin bilgi müşteri sırrı sayılır, çünkü banka muhataba karşı teminat mektubunu tazmin etme borcunu yüklenmiştir. Kanaatimizce sır saklama yükümlülüğünün cezai yaptırma tabi olması nedeniyle genişletici bir yorum yapılmamalı ve müşteri ilişkisi ile kastedilenin sözleşme ilişkisi olduğu kabul edilmelidir. Dolayısıyla banka ile sözleşme ilişkisine girmiş gerçek ve tüzel kişiye ait bilgiler müşteri sırrı niteliğindedir.
Müşteri sırrı kavramına gerçek ve tüzel kişilerin bankalara bizzat verdikleri bilgiler yanında (Yönetmelik m.4/ f. 3), bankalar tarafından müşteri hakkında edilen bilgiler de girer (Yönetmelik m.4/ f. 2). Yönetmelikte bir bankanın müşterisi olup olmadığına dair bilgi de müşteri sırrı kapsamında sayılmıştır. Buna göre bir kişinin bir bankada hesabı bulunmadığı şeklinde bilgi açıklaması yapılması sır saklama yükümlülüğüne aykırılık oluşturur. (Yönetmelik m.4/ f. 3),
4. Banka Sırrı ve Müşteri Sırının Açıklanabileceği Durumlar
BaK m. 73/ f. 3’de sır niteliğindeki bilgilerin hangi istisnai hallerde açıklanabileceği tek bir cümle içinde düzenlenmeye çalışılmıştır. Yönetmelikte bu istisnalar bentlere ayrılmıştır.
4.1. Banka Sırrının Açıklanabileceği Durumlar
Banka sırrı, yönetim kurulu kararı ile açıklanabilir (Yönetmelik m. 5/ f. 5).
4.2. Müşteri Sırrının Açıklanabileceği Durumlar
Müşteri sırrı ya BaK m. 76/ f. 3’de sayılan durumlarda müşteri rızası olmadan ve bu durumlar dışında her zaman müşterinin rızası ile açıklanabilir.
4.2.1. Müşterinin Rızasıyla Bilgi Açıklanması
Müşteri sırrı, müşterinin açık rızasının bulunması halinde banka tarafından açıklanabilir. Yönetmelik m. 6/ f. 3’de geçen “müşterinin açık rızası”, “müşteriden gelen bir talep ya da talimat” gibi terimler hukuken müşteri niteliğindeki gerçek veya tüzel kişiye ait tek taraflı irade beyanlarını ifade eder.
Yönetmelik m. 6/ f. 3’de tereddüde neden olan bir hüküm yer almaktadır. Buna göre “müşteri sırrı niteliğindeki bilgiler …müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz …”. Tereddüde neden olan ifade “müşteri rızası alınsa dahi” ifadesidir. Uygulamada müşterilerden bilgi paylaşılmasına yönelik rıza beyanları, müşteri ile banka arasında sözleşmenin kurulması sırasında alınmaktadır. Yönetmelikteki ifadeden sanki sözleşme kurulurken alınan rıza beyanlarının bilgi paylaşımı için yeterli olmayacağı intibaı uyanmaktadır. Burada üzerinde durulması gereken mesele, müşteri beyanının açık rıza sayılması için taşıması gereken yasal unsurların ne olduğudur ki böylece yasal unsurları taşıyan açık bir rıza beyanın bulunması halinde müşterinin ayrıca talep veya talimat şeklinde irade beyanında bulunmasına gerek bulunmayacaktır.
“Açık rıza” Yönetmelik m. 3/f. 1/ b. a hükmü ile atıf yapılan KVKK m. 3/f. 1/ b. a’da tanımlanmıştır. Buna göre açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. KVKK’da yapılan tanım gerçek kişilerin açık rıza beyanına yönelik olsa da Yönetmelik müşteri sırrı kavramının gerçek ve tüzel kişiler için düzenlediğinden, Yönetmelik kapsamındaki açık rıza hem gerçek hem de tüzel kişi müşteriler için geçerlidir. KVKK m. 3/f. 1/ b. a’daki tanıma göre açık rızanın unsurları şu şekildedir; (i) belirli bir konuya ilişkin olma (ii) bilgilendirmeye dayanma (iii) özgür iradeyle açıklanmış olma. Kişisel Verilerin Korunması Kurumu tarafından hazırlanan rehberde[4] bu unsurlara ilişkin bazı açıklamalar yapılmıştır. Belirli bir konuya ilişkin olma unsuru için açık rıza beyanının kapsamı genel nitelikte olmaması ve belirli bir duruma özgülenmiş olması gerektiği düzenlenmiştir. Bilgilendirmeye dayanma unsuru için açık rızanın kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerektiği, bu kapsamda kişiye yapılacak bilgilendirmenin, mutlaka verinin işlenmesinden önce yapılması gerektiği ve veri işleme ile ilgili bütün konularda bilgilendirmenin açık ve anlaşılır bir biçimde gerçekleştirilmiş olması gerektiği belirtilmiştir. Özgür iradeyle açıklanmış olma unsuru için bir irade beyanı olan açık rıza beyanının kişinin özgür iradesini etkileyecek hallerden arınmış olması gerektiği ifade edilmiştir.
Açık rıza beyanın unsurları kanun ile düzenlenmişken, Yönetmelik m. m. 6/ f. 3’de yasal unsurları içeren bir açık rızasının bulunmasına rağmen bilgi paylaşımı için müşteriden gelen bir talep ya da talimat şeklinde ayrı bir irade beyanı aranması ne BaK’ya ne de KVKK’ya uygun bir düzenleme olmamıştır. Her iki kanunda da böyle bir şart yer almamaktadır. Bankaların örneğin müşteri memnuniyetini ölçmek için bilgisinin paylaşılmasına yasal unsurları taşıyan şekilde açık rıza veren müşterinin bilgilerini, bu ölçümü yapmak için hizmet verecek şirket ile paylaşabilmesi için ayrıca müşteriden talep veya talimat şeklinde ikinci bir irade beyanında bulunmasına gerek olmaması gerekir. Dolayısıyla Yönetmelik m. m. 6/ f. 3’de geçen müşterinin açık rızası alınsa dahi ifadesinin çıkarılması yerinde olacaktır.
Yönetmelik m. 6/ f. 4’de ise müşterinin talep veya talimat şeklinde irade beyanında bulunmasında kullanılacak yöntemler düzenlenmiştir. Buna göre müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilir. Müşterinin vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesi sağlanmalıdır. Hemen belirtelim ki bu fıkra hükmünü müşterinin açık rıza beyanında bulunması yöntemleri olarak esas almak yukarıdaki değerlendirmemize uygun olacaktır.
Yönetmelik m. 6/ f. 6’da müşterinin bilgi paylaşıma yönelik açık rızasının zımnen yapıldığı haller düzenlenmiştir. Buna göre işlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından müşteri talep ya da talimatı yerine geçer. Hemen belirtelim ki Yönetmelikte bu yönde bir hüküm olmasaydı dahi sayılan hallerde müşterinin bilgisinin paylaşılmasına dair açık rızası bulunduğunun kabul edilmesi zaten gerekirdi.
Yönetmelik m. m. 6/ f. 3’de yerinde olarak düzenlenen bir diğer hüküm de müşterinin bilgilerini paylaşmaya dair açık rıza göstermesinin veya talep ya da talimat vermesinin bankanın vereceği hizmetler için bir ön şart haline getirilemeyecek olmasıdır.
- Müşterinin Rızası Olmadan Bilgi Açıklanması
Müşterinin açık rızası olmamasına rağmen bankaların müşteri sırlarını açıklayabileceği bazı durumlar vardır. Bu durumlar aşağıdaki tabloda kiminle hangi bilgilerin ve hangi şartlarda paylaşılabileceği şeklinde açıklanmıştır.
Bilgi Paylaşılan | Paylaşılabilecek Bilgi | Paylaşım Şartları |
Diğer bankalar Finansal kuruluşlar Risk Merkezi Beş banka ya da finansal kuruluş tarafından kurulacak şirketler | Her türlü bilgi | Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması şarttır (Yönetmelik m. 5/ f. 2) Müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmez (Yönetmelik m. 5/ f. 6) |
Bankanın ana ortaklıkları | Konsolide finansal tablo hazırlama çalışmaları kapsamındaki bilgi Risk yönetimi uygulamaları kapsamındaki bilgi İç denetim uygulamaları kapsamındaki bilgi | Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması şarttır (Yönetmelik m. 5/ f. 2) Gizlilik sözleşmesi hükümleri ile karşı tarafın gerekli teknik ve idari tedbirleri almasının sağlanması gerekir (Yönetmelik m. 6/ f. 3). Gizlilik sözleşmesinin bir örneği, gerçekleştirilen paylaşımın amaçları, sır kapsamındaki bilgilerin gizliliği ve güvenliğinin sağlanmasına yönelik hâkim ortak/ana ortaklık tarafından veya hâkim ortağın/ana ortaklığın bu kapsamda hizmet aldığı taraflarca alınan teknik ve idari tedbirler ile bu madde kapsamında banka sırrı ve müşteri sırrı niteliğindeki bilgilerin aktarıldığı tüm üçüncü tarafların unvanı ve bulunduğu ülke bilgiler, altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde derhal BDDK’ya raporlanır. Müşterinin kimliğini belirli veya belirlenebilir kılacak şekilde yapılan tüm paylaşımlar banka nezdinde denetime hazır şekilde bulundurulur ve söz konusu bilgiler talebi halinde BDDK’ya gönderilir (Yönetmelik m. 6/ f. 9) Risk yönetimi amacıyla yapılabilecek paylaşımlar, İSEDES Yönetmeliğinde yer verilen risk yönetim sistemi içinde yer alan uyum, kredi, itibar riskleri de dâhil olmak üzere tüm risk kategorilerine ilişkin risk yönetim faaliyetlerini kapsar. 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 7/2/2013 tarihli ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanunda tanımlanan suçların işlenmesine ilişkin mali suç riski de uyum riski kapsamında ele alınır. Uyum riski amacıyla yapılacak paylaşımların, paylaşımı yapan ya da paylaşımın yapıldığı karşı tarafın tabi olduğu ulusal ya da uluslararası bir mevzuattan kaynaklanması şarttır (Yönetmelik m. 6/ f. 4) |
Banka paylarının muhtemel alıcıları Banka kredi alacaklarının muhtemel alıcıları (bankalar veya varlık yönetim şirketleri) | Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılacak bilgi Krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılacak bilgi | Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması şarttır (Yönetmelik m. 5/ f. 2) |
Değerleme kuruluşları Derecelendirme kuruluşları Destek hizmeti kuruluşları Bağımsız denetim şirketleri | Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi. | Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması şarttır (Yönetmelik m. 5/ f. 2) İSEDES Yönetmeliğinin 3’üncü maddesinde tanımlanan birincil sistemler kapsamında olmayan, destek hizmetlerine veya değerleme, derecelendirme ve bağımsız denetim dışındaki hizmet alımlarına ilişkin yapılacak paylaşımlar için müşterinin talep ya da talimatının bulunması zorunludur (Yönetmelik m. 6/ f. 5) |
Yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflar | Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgiler |
Grup şirketleri | 5549 sayılı Kanunun 5 inci maddesi uyarınca finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde paylaşacağı bilgiler |
Yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercileri | Türkiye’deki şube veya ortaklıklarında denetim yapma ve bilgi talepleri ile bankaların yurt dışındaki şube veya ortaklıklarının konsolidasyon kapsamında yer alan bilgiler | Yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin, kendi ülkelerindeki finansal piyasalarda faaliyet gösteren kuruluşların Türkiye’deki şube veya ortaklıklarında denetim yapma ve bilgi talepleri ile bankaların yurt dışındaki şube veya ortaklıklarının konsolidasyon kapsamında yer alan bilgilerine ilişkin taleplerinin yerine getirilmesi hususunda Kanunun 98 inci maddesi hükümleri saklıdır. Kurum muadili yabancı mercilerin talebi üzerine gerçekleştirilecek bilgi paylaşımı, Kanunun 98 inci maddesine uygun olarak Kurum nezdinde bulunan bilgiler ile karşılanmasının mümkün olması halinde doğrudan Kurum tarafından, Kurum nezdinde bulunan bilgilerin yeterli olmaması halinde ise Kurulca verilecek izin dahilinde bankalar tarafından yerine getirilir. 5 inci maddenin beşinci fıkrası uyarınca banka sırrı niteliğindeki bilgilerin, paylaşım öncesinde Kuruma yazılı olarak bildirimde bulunulması şartıyla, Kurum muadili yabancı mercilerin talebi üzerine bu merciler ile paylaşılması bu fıkraya aykırılık teşkil etmez (Yönetmelik m. 6/ f. 9)Kurul, ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, 5 inci maddede belirtilen paylaşımlar da dâhil olmak üzere, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklamaya yetkilidir. 5 inci madde kapsamında yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanması esastır. Kurul, karşılıklılık ilkesine uymadığı tespit edilen bir ülkede bulunan taraflar ile 5 inci madde kapsamında yapılacak paylaşımları kısıtlamaya, durdurmaya veya yasaklamaya yetkilidir (Yönetmelik m. 6/ f. 11). |
Özel kanunları ile yetkili diğer kişi ve kurumlar | Özel kanunları ile bankalardan bilgi almaya yetkili oldukları konulardaki bilgiler |
5. Banka Sırrı ve Müşteri Sırının Açıklanması Sırasında Uygulanacak Kurallar
Banka sırrı ve müşteri sırrının paylaşılacağı bir durumda bilginin paylaşılmasına esas alınacak kurallar Yönetmelikte şu şekilde belirlenmiştir.
- Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak kaydıyla paylaşılabilir (Yönetmelik m. 6/ f. 1). “Belirtilen amaç” ifadesinden kasıt, Yönetmelik m. 5/f. 2’de sayılan hallerdir. Örneğin, muhtemel alıcılar için paylaşılacak bilgi banka payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılacak bilgi olmalıdır. Ancak Yönetmelik m. 5/f. 2’de bilgi paylaşılabilecek her durum için bir amaç belirtilmemiştir. Örneğin, bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması mümkündür. Gerçi Yönetmelik m. 5/f. 6’da müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda bilgi paylaşımı düzenlenmiştir ama bu kişiler arasında bilgi paylaşımı sadece bilgilerin teyidi için yapılmaz. Kredi riskine yönelik bilgi paylaşımında bir bilgi teyidi söz konusu değil, doğrudan bilgi verme söz konusudur. Dolayısıyla, Yönetmelik m. 6/ f. 1’deki “belirtilen amaçlarla sınırlı olmak” ifadesinin “paylaşılan bilginin kullanım amacıyla sınırlı olmak” üzere şeklinde yorumlanması yerinde olur.
- Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir. Ölçülülük ilkesinin uygulanmasına yönelik bazı örnekler sınırlı olmamak üzere alt bentler halinde Yönetmelik m. 6/ f. 1’de sayılmıştır.
- Gerçek kişiye ait müşteri sırrının paylaşılmasında KVKK m. 4’deki düzenlenen ilkelere de uyulur (Yönetmelik m. 6/ f. 2). KVKK m. 4’deki ilkeler verilerin işlenmesi ile ilgilidir. Bilginin açıklanmasına yönelik uygulanabilecek ilkeler “hukuka ve dürüstlük kurallarına uygun olma” ilkesidir. “Sınırlı ve ölçülü olma” ilkesi zaten Yönetmelikte ayrıca düzenlenmiştir. “Doğru ve gerektiğinde güncel olma”, “belirli, açık ve meşru amaçlar için işlenme” ile “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkeler verinin paylaşılması ile doğrudan ilgili ilkeler değildir.
- Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamaz (Yönetmelik m. 6/ f. 2). Dolayısıyla bu bilgilerin paylaşımı için müşterinin açık rızası bulunması gerekir.
6. Bilgi Paylaşım Komitesinin Kurulması
Yönetmelik m. 7’de bankalar için Bilgi Paylaşım Komitesi (BPK) kurma zorunluluğu getirilmiştir. Bu Komitenin çalışma esasları banka yönetim kurulu tarafından onaylanır. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşur. Komitenin görevi müşteri sırrı ve banka sırrı niteliğindeki bilgilerinin paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almaktır.
C. Sonuç
Bankacılık Kanunu m. 76/f. 3’de bir madde hatta bir cümle ile düzenlenmiş olan banka sırrı ve müşteri sırrının paylaşılabileceği hallerin bir Yönetmelik ile detaylandırılması ve KVKK mevzuatı ile paralellik sağlanması yerinde olmuştur. Bilginin kanuna aykırı paylaşılmasının cezai yaptırıma tabi olduğu göz önüne alındığında, müşteri bilgilerinin üçüncü kişilerle paylaşılmasından önce bir komite tarafından karar alınması da aykırılıkların önlenmesi bakımından yerinde bir düzenlemedir. Diğer yandan Yönetmelikte tereddüt yaratan aşağıdaki hususların değerlendirilmesinin yerinde olacağı düşüncesindeyiz.
- Yönetmelik m. 6/ f. 1’deki “belirtilen amaçlarla sınırlı olmak” ifadesinin “paylaşılan bilginin kullanım amacıyla sınırlı olmak” üzere şeklinde değiştirilmesi mümkündür.
- Yönetmelik m. 6/ f. 3’de geçen “…müşterinin açık rızası alınsa dahi” tümcesinin çıkarılması, BaK ve KVKK uyum için gereklidir.
- Yönetmelik m. 6/ f. 5’de geçen İSEDES Yönetmeliğinin 3 üncü maddesinde tanımlanan birincil sistemler kapsamında olmayan, destek hizmetlerine veya değerleme, derecelendirme ve bağımsız denetim dışındaki hizmet alımlarında müşterinin talep ya da talimatının aranması şartının kaldırılması yerinde olacaktır.
[1] RG, T. 01.11.2005/ S. 25983 (mük.).
[2] RG, T. 24.03.2016/ S. 29667.
[3] Borç ilişkisi ve sözleşme ilişkisi için bkz. Kemal Oğuzman, Turgut Öz, Borçlar Hukuku Genel Hükümler, 16. Bası, Cilt 1, İstanbul, 2018, s. 17 vd.; Necip Kocayusufpaşaoğlu, Borçlar Hukuku Genel Bölüm, Borçlar Hukukuna Giriş-Hukuki İşlem-Sözleşme, 1. Cilt, 7. Bası, İstanbul, 2017, s. 70 vd.; Tekinay/ Akman/ Burcuoğlu/ Altop, Tekinay Borçlar Hukuku, 7. Bası, İstanbul 1993, s. 5 vd.
[4] Rehber için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/334ee925-1a83-453d-9b58-9b4ffab4b30e.pdf.
Bu dokuman Erendaç Hukuk Danışmanlık & Avukatlık tarafından hazırlanmış olup, her hakkı saklıdır.
© 2021
Leave a Comment