Banka ve Müşteri Sırrı Niteliğindeki Bilgilerin Paylaşılması

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik

Bankacılık Düzenleme ve Denetleme Kurumu(BDDK) tarafından, 5411 sayılı Bankacılık Kanunu’na dayanılarak, bugün yayınlanan Resmi Gazete’de “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” yayınlanmıştır. Yönetmelik, “banka sırrı” ve “müşteri sırrı” niteliğindeki verilerin paylaşım ve aktarım esaslarını düzenlemektedir. Bu düzenlemeler, açık bankacılık ve finansal teknolojile (fintech) açısından oldukça önem arz etmektedir.

Yönetmelik’in kişisel verilerin korunmasını, bankacılık açısından düzenlemesini ele aldığı söylenebilecektir.

Banka Sırrı ve Müşteri Sırrı Kavramları

Müşteri Sırrı

Yönetmeliğin düzenleme esaslarından bahsetmeden önce, “banka sırrı” ve “müşteri sırrı” kavramlarını da açıklamakta fayda vardır. Yönetmelik’te “müşteri sırrı kavramı”, Bankacılık Kanunu’na benzer şekilde, “Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. “ifadesi ile düzenlenmiştir. [1] Yani müşteri ilişkisi kurulması anından sonraki verileri müşteri sırrı kavramına dahil etmektedir. Bunun yanında, fıkranın devamında ise “Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de birinci fıkra kapsamındaki yükümlülüğe tabidir. “ ifadesi ile, müşteri ilişkisi kurulmasa da, diğer bankalar nezdinde müşteri sırrı niteliğindeki mevcut bilgilerin de “müşteri sırrı” niteliğinde gibi koruma altında olacağı düzenlenmiştir.

Son yıllarda Avrupa’da PSD2 ile, ülkemizde de 6493 sayılı Kanun ile gördüğümüz, finansal teknolojileri (fintech) düzenleyen mevzuatlar ile, “açık bankacılık” kurumu oldukça gelişmiş ve yaygınlaşmış olmasının sonucu olarak, başka banka nezdindeki bilgilerin de müşteri sırrı niteliğinde korunacağının bu yönetmelikte düzenlendiğini görmekteyiz.

Bunların yanında, aynı madde 4. Fıkrada ise, müşteri ilişkisi öncesi kurulsa da, sonradan müşteri ilişkisi sonrası müşteri sırrı niteliğindeki bilgilerle birlikte işlenmesi durumunda da “müşteri sırrı” niteliğinde olacağı düzenlenmiştir.

Banka Sırrı

Yönetmelikte, banka sırrı ve müşteri sırlarının farklı veriler olduğu belirtilmekle birlikte, banka sırrı kavramının sınırları da Yönetmelik m.5/5’te “Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgiler… “ ifadesi ile düzenlendiği görülmektedir. İfadeden “banka sırrı” kavramının, müşteri sırrı dışında, “yalnızca bankaya ait bilgiler”i içerdiği belirtilmiştir. Fıkranın devamında ise bu bilgilerin banka yönetim kurulu kararı ile, banka sorumluluğunda “üçüncü taraflar” ile paylaşılmasının aykırılık teşkil etmeyeceği düzenlenmiştir.

Müşteriyi Tanıma (KYC)

Yönetmelik m.5/6. Fıkrada, müşterilerin talep veya talimatı ile bilgilerin teyiti, kamu kurum ve kuruluşlarından sağlanabilecektir.

Ayrıca 8. Fıkraya göre, “finansal gruba bağlı kuruluşlar”, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde bilgi paylaşımında bulunabileceklerdir.

Bilgi Paylaşımında Genel İlkeler ve KVKK

Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, şu esaslara dikkat edilerek paylaşılabilecektir:

  • Belirtilen amaçlarla sınırlı olarak
  • Ölçülü
  • Amaçların gerektirdiği kadar veri olacak şekilde.

Ayrıca paylaşımlarda, paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olmas ve paylaşılacak verilerin toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması gerekmektedir.

Bunun yanında gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nin 4 üncü maddesinde yer verilen genel ilkelere uyulması zorunludur. Ayrıca KVKK’nın yurtdışına aktarımında uygulanacak zorunluluklar, bu veriler için de geçerli olacaktır. ( KVKK ile ilgili ayrıntılı bilgi için, bzk: Hukuk ve Bilişim Dergisi, 5 ve 6. Sayı)

Yönetmeliğin, 1 Ocak 2022 tarihinde yürürlüğe gireceği düzenlenmiştir. Bu süre zarfında bankalar ve fintechler, hukuki ve teknik uyumlarını gerçekleştirmelidirler.

Kaynaklar