Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Yürürlüğe Girdi
İçindekiler
ToggleBDDK tarafından 04.06.2021 tarihli Resmi Gazete’de yayınlanan, 5411 sayılı Bankacılık Kanunu’nun (‘‘Kanun’’) sır saklama yükümlülüğüne ilişkin 73. maddesinin dayanak teşkil ettiği, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) 01.07.2022 itibarıyla yürürlüğe girmiştir.
Yönetmelik özetle, bankacılık faaliyetlerinden doğan banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarını düzenlemektedir. Konu sırlar olunca Yönetmelik kapsamında, Kişisel Verilerin Korunması Kanunu’na (“KVKK”) da sıkça değinilmiş, kişisel veri, açık rıza, veri anonimleştirme, kimliksizleştirme ve veri işleme faaliyetleri gibi temel kavramlar tanımlanmıştır.
Yönetmelik’te sıfat ve görevleri sebebiyle müşteri veya bankalara ait bilgileri öğrenen kişilerin görevden ayrılsalar dahi öğrendikleri bu bilgileri kanunen açıkça yetkili kılınan merciler, Yönetmelik çerçevesinde sır saklama yükümlülüğünden istisna tutulan haller ve müşterinin talebi ya da talimatı olması durumu hariç olmak üzere başka kişilerle paylaşamayacakları düzenlenmiştir.
Yönetmelik kapsamında bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler ile kişinin bankanın müşterisi olduğunu gösterir her türlü bilginin müşteri sırrı olduğu düzenlenmiştir.
Bu kapsamda müşteri ilişkisi kurulmadan müşteri adayı gerçek kişiler tarafından paylaşılan kişisel veriler kapsamında bankaların KVVK düzenlemeleri uyarınca veri sorumlusu sıfatıyla hareket etmeleri gerektiği unutulmamalıdır. Örneğin, banka müşterisi olmayan gerçek kişilerin bireysel kredi başvuru süreçlerinde temin edilen kişisel veriler bankalarca veri sorumlusu sıfatıyla işlenmektedir.
Ayrıca, Kanun’da yer alan tanımda yer verilmemesine rağmen, Yönetmelik uyarınca müşteri ilişkisi kurulmamış olsa dahi, kişinin bir başka banka nezdindeki müşteri sırrı niteliğindeki bilgilerinin elde edilmesi ve öğrenilmesi de sır saklama yükümlülüğü kapsamında değerlendirilmiştir. Örneğin, başka bir bankadan gelen EFT veya swift mesajında işlenen göndericiye ait IBAN bilgisi, bu kapsamda sayılabilecek bir örnektir.
Yönetmelik uyarınca tartışılması gereken bir diğer husus, Kanun’da “müşteri ilişkisi kurulmadan” kavramı mevcut olmamasına rağmen Yönetmelik’te bu olgunun müşteri sırrı kapsamının içine alınmasının mümkün olup olamayacağıdır. Zira kural olarak yönetmelikler, normlar hiyerarşisine göre kanunların çizmiş olduğu sınırları genişletememelidir.
Yönetmelik’in 6. maddesi ile düzenlenen sır niteliğindeki bilgilerin paylaşımına ilişkin genel ilkeler istisna kapsamında yapılacak paylaşımları da kapsamakta olup, bu ilkeler KVKK’da belirtilen ilkeler ile paralel bir şekilde düzenlenmiştir.
Yönetmelik’te müşteri verilerinin kimliksizleştirme ve toplulaştırması tanımlarına yer verilmiş ve bu yöntemlerin uygulanması halinde paylaşıma ilişkin amaç gerçekleştirilebiliyor ise bu yöntemlerin uygulanması zorunlu kılınmıştır.
Kişisel verilerin veri sahibiyle olan bağlantısını tamamen ortadan kaldıran veya büyük ölçüde zorlaştıran yöntemler kapsamında yer alan ancak aynı kümenin alt kavramlarını oluşturan anonimleştirme ve kimliksizleştirme tanımları arasındaki fark, verilerin kişisel veri özelliklerini değiştirerek, kanunun koruma kapsamı içinde yer alıp almayacağını belirleme açısından önem arz etmektedir.
Kimliksizleştirme; kişisel verilerin korunması mevzuatı kapsamında Yönetmelik ilanına kadar mevcut olmayan bir tanım olmakla ilk defa Yönetmelik’te tanımlanmış, bağlı bulunduğu anonimleştirme yöntemlerinden, Kişisel Sağlık Verileri Hakkında Yönetmelik ve GDPR’da (Avrupa Veri Koruma Tüzüğü) düzenlenen şifreleme, kodlama, bulanıklaştırma, takma ad kullanımı gibi yöntemler ile benzer nitelik sergilemektedir.
Kanaatimizce, söz konusu düzenleme KVKK’nın getirmiş olduğu düzenlemeleri destekler ve paralel nitelikte olup bankaların ve finansal kuruluşların hareket alanının sınırlarını çizmek açısından oldukça faydalı olmuştur.
Kanunlarda genel anlamda gizliliğe dair hükümler düzenlenirken KVKK’ya atıf yapılıyor olması, genel ilkeler olan ölçülülük, amaçla sınırlılık gibi değerlendirme kriterlerinin dahil edilmesi güncelde mevzuat uyum noktasında bir adım ileri gidiliyor olduğunun göstergesidir.
KKVKK’nın yatay eksende mevzuat tarafından desteklenmediği ve yeni doğan her bir mevzuatın içine yayılmadığı sürece hizmet etmeye çalıştığı amaca hiçbir zaman ulaşamama riski bulunmaktadır.
Finans ve Bankacılık sektörü hiç kuşkusuz birçok yeniliğe öncülük eden ve mevzuatı şekillendiren bir güce sahiptir. Dolayısıyla bu alanda atılan adımların başlangıcı ve devamının gelmesinin kaçınılmaz olduğu yorumu yapılabilecek olup Kişisel Verilerin Korunması mevzuatını mercek altına almış tüm paydaşlara umut verici bir yeniliktir.