07.07.2020
4dk okuma süresi
Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi urulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt ışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.
Kalın harfler ile yazılan kısım yeni eklenmiştir.
Müşteri sırrı, bir kişi (gerçek ya da tüzel kişi olması farketmez) ile bir banka arasındaki, bankacılık faaliyetlerinden (Bank. Kn. Md. 4. kapsamında) kaynaklanan her türlü işlem ve ilişkiden doğan her türlü bilgiyi ifade eder.
Bu açıdan bakıldığında, bankacılık anlamında müşteri sırrı olarak kabul edilen her bilginin genel geçer bir şekilde kişisel veri olduğunu söylemek mümkün değildir. Örneğin, bir bankanın tüzel kişi müşterisine ait bilgiler tartışmasız şekilde müşteri sırrı kavramına dahilken, bu bilgilerden çok azı kişisel veri niteliğinde olabilir. Bu bakımdan, müşteri sırrının, kişisel veriden daha geniş bir alana sirayet ettiğini söyleyebiliriz.
Ancak yine de çoğu durumda, aynı bilginin hem kişisel veri hem de müşteri sırrı niteliğinde olduğunu söyleyebiliriz.
Söz konusu fıkrada ilk olarak müşteri sırrı tanımlanmıştır; buna göre müşteri sırrı; «bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler»dir.
Bu düzenlemeden önce mevzuatımızda müşteri sırrının tanımı bulunmamaktaydı. Ancak, tanım bu haliyle oldukça sorunludur. Müşteri sırrı tanımı belirli bir amaç için sınırlandırılmış olmakla birlikte neticeten bu tür veriler dışındaki verileri de dışlamıştır; örneğin, bir kişinin bir bankadan kredi talep ettiğini ve bunun herhangi bir sebeple banka tarafından reddedildiğini düşünelim. Bu durumda, ilgili banka ile müşteri ilişkisi kurulmamış olduğu için bu kişiye ait bilgiler müşteri sırrı olarak değerlendirilmeyecektir. Bu durum ise bankacılık sistemindeki sırların saklanması düzenlemelerinin amacı ile bağdaşmayacaktır.
Kişisel veriler arasında, banka müşterisi olmadan önce- olduktan sonra şeklinde ikili bir ayrım yapmak hukuk tekniği açısından sorunludur. Bankalar bu iki veri grubunu ayırırken ciddi sorun yaşayacaktır.
Bu durum; banka müşterilerinin bankacılık faaliyetlerinden doğan bilgilerinin yeterince korunamaması neticesini doğuracaktır. Ayrıca, Bank K. m.159’da düzenlenen suçun uygulama alanı da daraltılmıştır.
İkinci olarak, diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgilerin, 73/4 fıkrada belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 6698 sayılı KVKK uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve bunlara aktarılamayacağı düzenlenmiştir.
Bu düzenleme ile müşteri sırrının paylaşılması, herhangi bir kişisel verinin paylaşılmasından daha sıkı kurallara bağlanmış gibi görünmektedir. Öyle ki, kişinin verilerinin işlenmesine açık rıza göstermesi bile yeterli sayılmamıştır. Bu tür verilerin paylaşılması ancak
durumunda mümkün olacaktır.
Yukarıda da ifade ettiğimiz üzere, bankacılık uygulamasında hemen hemen her «müşteri sırrı» aynı zamanda bir «banka sırrı» niteliğindedir. Dolayısıyla, bankaların –istisnalar haricinde- kendi bilgilerini içeriyor olsa da müşteri sırrı niteliğindeki bilgileri müşterinin talebi/talimatı olmaksızın paylaşmaları artık mümkün değildir. Bankacıların bu konuya dikkat etmesi gerekmektedir.
Getirilen düzenleme sadece kişisel verilerin işlenmesi yöntemlerinden biri olan «paylaşılma/aktarılma» ile sınırlıdır. Dolayısıyla, aynı zamanda müşteri sırrı niteliğinde olan kişisel verilerin diğer işlenme yöntemleri bakımından bu maddenin uygulanma kabiliyeti bulunmamaktadır.
Esasında bu hüküm yeni değildir; zira maddenin değişiklikten önceki halinde de banka ve müşteri sırrının ancak kanunen yetkili mercilere verilebileceği açıkça düzenlenmiş idi. Bu bakımdan yapılan düzenlemenin esaslı bir değişiklik oluşturduğu söylenemez.
Bunlar özetle şunlardır;
düzenleme, açık rızayı devre dışı bırakarak müşterinin talebi ya da talimatını (talimat, bankacılık sözleşmelerinin çoğunun bir iş görme sözleşmesi olduğu göz önüne alındığında teknik olarak uygun bir terimdir) aramaktadır. Bu nedenle KVKK’da düzenlenen diğer hukuka uygunluk nedenlerinin bulunması da tek başına müşteri sırrının paylaşılması için yeterli olmayacaktır.
Üçüncü olarak, yukarıda sayılan ve oldukçageniş bir alana yayılan istisnalar için Kişisel Verilerin Korunması Hukuku’na hakim olan bazı ilkeler kanuna dercedilmiştir. Buna göre; sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.
Dördüncü olarak, esasında Kişisel Verileri Koruma Kurulu’nun yetki ve görev alanında olan bazı hususlar - daha da güçlendirilerek- Bankacılık Düzenleme ve Denetleme Kurulu’nun hakimiyet alanına kaydırılmıştır.
Buna göre Kurul,
Görüldüğü üzere, yapılan değişiklik her ne kadar bankaların veri paylaşmasını/aktarmasını güçleştirmiş gibi görünse de esasında konu incelendiğinde durumun hiç de öyle olmadığı görülecektir.
Özellikle, Bank. Kanunu m.73/4’teki istisnaların genişliği göz önüne alındığında, aslında bu düzenlemenin temel amacının -Bankaların müşteri sırrı paylaşımının/aktarımının önünde engel olarak görülen- KVKK hükümlerinin devre dışı bırakılması olduğu anlaşılmaktadır.
Söz konusu düzenlemenin nihai amacı bir yana bırakıldığında, düzenlemenin hukuk tekniği açısından yeterli olmadığı ve bankacılık uygulamasında birçok soruna sebep olacağı düşünülmektedir.
Söz konusu hüküm, üzerinde yeterince tartışılmadan alelacele kaleme alınmış intibaası uyandırmaktadır. Bu haliyle düşünülen faydalarından daha fazla soruna sebep olabilir.