Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik

04/06/2021 tarihli 31501 sayılı Resmî Gazete’de Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (Yönetmelik) 01/01/2022 tarihi itibariyle yürürlüğe girmek üzere yayımlanmıştır. Yönetmelik hükümleri, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) Başkanı tarafından yürütülecektir.

I-) Amaç, Kapsam ve Dayanak

• Yönetmelik, banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amacıyla; 5411 sayılı Bankacılık Kanunu (Kanun)‘nun sırların saklanmasına ilişkin 73. Maddesi ile BDDK’nın görev ve yetkilerine ilişkin 93. Maddelerine dayanılarak hazırlanmıştır.

II-) Tanımlar

Yönetmelik’in tanımlara ilişkin 3. Maddesi uyarınca;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Ana ortaklık: Kontrolündeki ortaklıklar ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından belirlenen usûl ve esaslarla tanımlanan ortaklıkların finansal tablolarını kendi nezdinde konsolide eden banka veya finansal holding şirketini,

Ana sermaye: 05/09/2013 tarihli ve 28756 sayılı Resmî Gazete’de yayımlanan Bankaların Özkaynaklarına İlişkin Yönetmelikte belirlenen usul ve esaslar çerçevesinde hesaplanacak ana sermayeyi,

Anonim hale getirme: Müşteriye ilişkin verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek hale getirilmesini,

Banka: Mevduat bankaları ve katılım bankaları ile kalkınma ve yatırım bankalarını,

Finansal kuruluş: Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya bu Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini,

Grup şirketi: Yurt içinde veya yurt dışında yerleşik ana ortaklığın ya da hakim ortağın kontrolü altında faaliyet gösteren ortaklıkları,

Hâkim ortak: Bir ortaklığı doğrudan ya da dolaylı olarak, tek başına veya birlikte kontrol eden gerçek veya tüzel kişiyi,

İSEDES Yönetmeliği: 11/7/2014 tarihli ve 29057 sayılı Resmî Gazete’de yayımlanan Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliği,

Kalıcı veri saklayıcısı: Müşterinin gönderdiği veya kendisine gönderilen bilgiyi, bu bilginin amacına uygun olarak makul bir süre incelemesine elverecek şekilde kaydedilmesini ve değiştirilmeden kopyalanmasını sağlayan ve bu bilgiye aynen ulaşılmasına imkân veren kısa mesaj, elektronik posta, internet, CD, DVD, hafıza kartı ve benzeri her türlü araç veya ortamı,

Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununu,

Kimliksizleştirme: Müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesini,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,,

Kontrol: Bir tüzel kişinin; sermayesinin, asgari yüzde ellibirine sahip olma şartı aranmaksızın, çoğunluğuna doğrudan veya dolaylı olarak sahip olunması veya bu çoğunluğa sahip olunmamakla birlikte imtiyazlı hisselerin elde bulundurulması veya diğer hissedarlarla yapılan anlaşmalara istinaden oy hakkının çoğunluğu üzerinde tasarrufta bulunulması suretiyle veya herhangi bir suretle yönetim kurulu üyelerinin karara esas çoğunluğunu atayabilme ya da görevden alma gücünün elde bulundurulmasını,

Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,

Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,

KVKK: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Risk Merkezi: Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere kurulan merkezi,

Toplulaştırma: Müşteriye ilişkin verilerin, gruplama, özetleme, toplu gösterim gibi istatistiksel amaçlarla diğer müşterilere ilişkin verilerle birleştirilerek kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek şekilde işlenmesini,

Varlık sahibi: Bilgi varlıklarına yönelik güvenlik gereksinimlerini belirleyerek varlık muhafızlarına ileten ve bu gereksinimlere uygun güvenlik kontrollerinin varlık muhafızları tarafından uygulandığını gözeterek bilgi varlığının idamesi ve erişilebilirliğinden sorumlu olan kişiyi,

Veri işleme: Verilerin, elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, paylaşılması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

ifade edecektir.

III-) Sır Saklama Yükümlülüğü

Yönetmelik’in sır saklama yükümlülüğüne ilişkin 4. Maddesi uyarınca;

• Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacak olup, bu yükümlülükleri görevden ayrıldıktan sonra da devam edecektir.

• Bu yükümlülük, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olacaktır.

• Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelmektedir.

• Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamında olup, müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de bu yükümlülüğe tabii olacaktır.

• Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelecektir.

IV-) Sır Saklama Yükümlülüğünden İstisna Tutulan Haller

Yönetmelik’in sır saklama yükümlülüğünden istisna tutulan hallere ilişkin 5. Maddesi uyarınca;

• Banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

• Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir:

a) Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.

b) Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin %10 veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.

c) Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin %10’unu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.

ç) Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.

• Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında yapılacak paylaşımların, sadece belirtilen amaçlar ile sınırlı kılınması, gizlilik sözleşmesi yapılması, söz konusu sözleşme hükümleri ile karşı tarafın gerekli teknik ve idari tedbirleri almasının sağlanması koşuluyla, hakim ortak ile yapılması ya da hakim ortağın/ana ortaklığın belirleyeceği, konsolide finansal tablo hazırlama ya da konsolide risk yönetimi uygulamaları kapsamında hizmet aldığı bir grup şirketi ile yapılması sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

• Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

• Bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

• Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

• 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un eğitim, iç denetim, kontrol ve risk yönetim sistemleri ile diğer tedbirlere ilişkin 5. Maddesi uyarınca finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde bilgi paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.

• Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında yapılacak paylaşımlara ilişkin;

a) gizlilik sözleşmesinin bir örneği,

b) gerçekleştirilen paylaşımın amaçları,

c) sır kapsamındaki bilgilerin gizliliği ve güvenliğinin sağlanmasına yönelik hâkim ortak/ana ortaklık tarafından veya hâkim ortağın/ana ortaklığın bu kapsamda hizmet aldığı taraflarca alınan teknik ve idari tedbirler ile bu madde kapsamında banka sırrı ve müşteri sırrı niteliğindeki bilgilerin aktarıldığı tüm üçüncü tarafların unvanı ve bulunduğu ülke bilgileri,

Kurum’ca uygun görülen biçim ve yöntemlere göre, 6 aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde derhal Kurum’a raporlanacaktır.

• Müşterinin kimliğini belirli veya belirlenebilir kılacak şekilde yapılan tüm paylaşımlar banka nezdinde denetime hazır şekilde bulundurulacak ve söz konusu bilgiler Kurumca uygun görülen biçim ve yöntemlere göre talebi halinde Kurum’a gönderilecektir.

V-) Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ‘in sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkelere ilişkin 6. Maddesi uyarınca;

• Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilecektir.

• Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilecektir.

• Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilemeyecektir. Bu kapsamda, yapılacak paylaşımların ölçülü olabilmesi için asgari olarak aşağıdaki hususların tamamının yerine getirilmesi zorunludur:

a) Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.

b) Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.

c) Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.

ç) Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve toplulaştırma, kimliksizleştirme ve anonim hale getirme yöntemlerinin kullanılması.

d) Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.

• Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nın 4. Maddesinde yer verilen genel ilkelere uyulması zorunludur.

• Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacaktır.

• Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacak ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemeyecektir.

• Müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilecektir.

• Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilecek ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilecektir.

• Müşterinin vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesi esastır.

• İşlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından müşteri talep ya da talimatı yerine geçer.

• Müşterinin, talep ya da talimatı üzerine yapılacak paylaşımlarda ölçülülük ilkesine uyulup uyulmadığı müşterinin talep ya da talimatına uyulup uyulmadığı ile sınırlı olarak değerlendirilecektir.

• Müşterinin paylaşılmasını talep ettiği veri seti içinde başka müşterilere ya da başka bankaların müşterilerine ilişkin sır kapsamındaki bilgilerin de olması halinde ise, sır saklama yükümlülüğüne herhangi bir sınırlama olmaksızın uyulması zorunludur.

• Kurul, ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklamaya yetkili olacaktır.

• Sır saklama yükümlülüğünden istisna tutulan haller kapsamında yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanması esastır.

• Kurul, karşılıklılık ilkesine uymadığı tespit edilen bir ülkede bulunan taraflar ile bu paylaşımları kısıtlamaya, durdurmaya veya yasaklamaya yetkili olacaktır.

VI-) Bilgi Paylaşım Komitesi

Yönetmelik’in bilgi paylaşım komitesine ilişkin 7. Maddesi uyarınca;

• Bankaların, sır saklama yükümlülüğünden istisna tutulan haller kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin;

a) paylaşımını koordine etmek ve

b) gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almak

ile sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunludur.

• Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacaktır.

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ile ilgili metne buradan ulaşabilirsiniz.

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ile ilgili daha fazla bilgi almak için info@berkerberker.com adresinden bize ulaşabilirsiniz.