Müşteri Sırrı ve Kişisel Verilerin Kesişim Kümesi Bnk. Kanunu Md. 73'e İlişkin Bazı Tespitler


5411 sayılı Bankacılık Kanunu’nun en önemli maddelerinden biri olan «Sırların Saklanması» başlıklı 73. maddesinin 3. fıkrası 20.02.2020 tarih ve 7222 sayılı Kanun ile değiştirilmiş idi.
o İlgili Kanun’un gerekçesine göre bu değişiklik ile bankacılık mevzuatı ile 6698 sayılı Kişisel Verileri Koruma Kanunu arasındaki uygulamada var olabilecek tereddütlerin giderilmesi amaçlanmıştır.

İnceleme konusu düzenleme ile 4 önemli değişiklik yapılmıştır;
1) Müşteri sırrının tanımı yapılmıştır.
2) Müşteri sırrının paylaşılması/aktarılması (gerek yurt içi gerekse yurt dışı) KVKK’nın hakimiyet alanından çıkarılarak, bu konu için özel bir hukuki düzen yaratılmıştır.
3) Paylaşım bakımından «amaçla sınırlı olma» ve «ölçülülük ilkesi» getirilmiştir.
4) Kişisel Verileri Koruma Kurulu’nun yetki ve görev alanında olan bazı hususlar Bankacılık Düzenleme ve Denetleme Kurulu’nun hakimiyet alanına kaydırılmıştır.

Sırların Saklanması Md.73/3

Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.

73. Maddeye İlişkin Genel Bilgiler

  • Daha önce sadece «banka çalışanları» için getirilmiş olan sır saklama yükümlülüğü 2011 yılında genişletilmiş ve sıfat ve görevleri nedeniyle banka ve müşteri sırrına vakıf olan herkes madde kapsamına alınmıştır. Dolayısıyla, bu yükümlülüğün sadece banka çalışanları için söz konusu olduğunu söylemek artık mümkün değildir.
  • Söz konusu madde, sadece müşteri sırrını korumaz; aynı zamanda banka sırrını da korur. Bu husus uygulamada genellikle gözden kaçırılır.
  • Banka ve müşteri sırrı sadece «kanunen yetkili» olan kişilere açıklanabilir/verilebilir. Dolayısıyla, yönetmelik gibi diğer düzenleyici metinlerde yer alan yetki maddeleri, bu bilgilerin paylaşılması için yeterli olmaz.
  • Bu maddenin ihlali aynı Kanunun 159. maddesinde suç olarak tanımlanmıştır.

Müşteri Sırrı - Kişisel Veri Ayrımı

  • Müşteri sırrı, bir kişi (gerçek ya da tüzel kişi olması farketmez) ile bir banka arasındaki, bankacılık faaliyetlerinden (Bank. Kn. Md. 4. kapsamında) kaynaklanan her türlü işlem ve ilişkiden doğan her türlü bilgiyi ifade eder.
  • Bu açıdan bakıldığında, bankacılık anlamında müşteri sırrı olarak kabul edilen her bilginin genel geçer bir şekilde kişisel veri olduğunu söylemek mümkün değildir. Örneğin, bir bankanın tüzel kişi müşterisine ait bilgiler tartışmasız şekilde müşteri sırrı kavramına dahilken, bu bilgilerden çok azı kişisel veri niteliğinde olabilir. Bu bakımdan, müşteri sırrının, kişisel veriden daha geniş bir alana sirayet ettiğini söyleyebiliriz.
  • Ancak yine de çoğu durumda, aynı bilginin hem kişisel veri hem de müşteri sırrı niteliğinde olduğun usöyleyebiliriz.

Yenilikler - Müşteri Sırrı Tanımı?

Söz konusu fıkrada ilk olarak müşteri sırrı tanımlanmıştır; buna göre müşteri sırrı; «bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler»dir.

  • Bu düzenlemeden önce mevzuatımızda müşteri sırrının tanımı bulunmamaktaydı. Ancak, tanım bu haliyle oldukça sorunludur. Müşteri sırrı tanımı belirli bir amaç için sınırlandırılmış olmakla birlikte neticeten bu tür veriler dışındaki verileri de dışlamıştır; örneğin, bir kişinin bir bankadan kredi talep ettiğini ve bunun herhangi bir sebeple banka tarafından reddedildiğini düşünelim. Bu durumda, ilgili banka ile müşteri ilişkisi kurulmamış olduğu için bu kişiye ait bilgiler müşteri sırrı olarak değerlendirilmeyecektir. Bu durum ise bankacılık sistemindeki sırların saklanması düzenlemelerinin amacı ile bağdaşmayacaktır.
  • Yine, bankacılık uygulamasında neredeyse her müşteri sırrının aynı zamanda banka sırrı niteliğinde olması gerçeği göz önünde tutulmamıştır.
  • Kişisel veriler arasında, banka müşterisi olmadan önce- olduktan sonra şeklinde ikili bir ayrım yapmak hukuk tekniği açısından sorunludur. Bankalar bu iki veri grubunu ayırırken ciddi sorun yaşayacaktır.
  • Bu durum; banka müşterilerinin bankacılık faaliyetlerinden doğan bilgilerinin yeterince korunamaması neticesini doğuracaktır. Ayrıca, Bank K. m.159’da düzenlenen suçun uygulama alanı da daraltılmıştır.

İkinci olarak, diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgilerin, 73/4 fıkrada belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 6698 sayılı KVKK uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve bunlara aktarılamayacağı düzenlenmiştir.

  • Bu düzenleme ile müşteri sırrının paylaşılması, herhangi bir kişisel verinin paylaşılmasından daha sıkı kurallara bağlanmış gibi görünmektedir. Öyle ki, kişinin verilerinin işlenmesine açık rıza göstermesi bile yeterli sayılmamıştır. Bu tür verilerin paylaşılması ancak a) Emredici bir kanuni düzenleme bulunması b) Bank. Kanunu md.73/4’teki sır saklama yükümlülüğünün istisnalarından birinin bulunması ya da c) Müşterinin talebi ya da talimatının olması durumunda mümkün olacaktır.
  • Yine, müşteri sırrı, yurt dışına aktarılma bakımından KVKK’da belirlenen düzenden soyutlanmıştır. Özellikle son dönemde, kişisel verilerin yurt dışına gönderilmesinde yaşanan belirsiz/kaotik durum gözönüne alındığında, bankaların KVKK’daki düzenlemeye tabi olmadan yurt dışında bulunan üçüncü kişilerle 73. maddedeki şartlarla müşteri sırrı paylaşımında bulunabileceğini söyleyebiliriz.
  • Yukarıda da ifade ettiğimiz üzere, bankacılık uygulamasında hemen hemen her «müşteri sırrı» aynı zamanda bir «banka sırrı» niteliğindedir. Dolayısıyla, bankaların –istisnalar haricinde- kendi bilgilerini içeriyor olsa da müşteri sırrı niteliğindeki bilgileri müşterinin talebi/talimatı olmaksızın paylaşmaları artık mümkün değildir. Bankacıların bu konuya dikkat etmesi gerekmektedir.
  • Getirilen düzenleme sadece kişisel verilerin işlenmesi yöntemlerinden biri olan «paylaşılma/aktarılma» ile sınırlıdır. Dolayısıyla, aynı zamanda müşteri sırrı niteliğinde olan kişisel verilerin diğer işlenme yöntemleri bakımından bu maddenin uygulanma kabiliyeti bulunmamaktadır.

Yenilikler - Müşteri Sırrı Hangi Durumlarda Paylaşılabilir?

  • a) Emredici bir kanuni düzenleme bulunması: Esasında bu hüküm yeni değildir; zira maddenin değişiklikten önceki halinde de banka ve müşteri sırrının ancak kanunen yetkili mercilere verilebileceği açıkça düzenlenmiş idi. Bu bakımdan yapılan düzenlemenin esaslı bir değişiklik oluşturduğu söylenemez.
  • b) Bnk. Kanunu md.73/4’teki Sır Saklama Yükümlülüğünün İstisnalarından Birinin Bulunması:Bunlar özetle şunlardır;
    • Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması,
    • Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişi
    • Doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında
    • Sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında
    • Kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da
    • Değerleme, derecelendirme veya destek hizmeti alınması ile
    • Bağımsız denetim faaliyetlerinde ve
    • Gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması
  • c) Müşterinin talebi ya da talimatının olması; düzenleme, açık rızayı devre dışı bırakarak müşterinin talebi ya da talimatını (talimat, bankacılık sözleşmelerinin çoğunun bir iş görme sözleşmesi olduğu göz önüne alındığında teknik olarak uygu nbir terimdir) aramaktadır. Bu nedenle KVKK’da düzenlenen diğer hukuka uygunluk nedenlerinin bulunması da tek başına müşteri sırrının paylaşılması için yeterli olmayacaktır.

Paylaşımın Sınırları

Üçüncü olarak, yukarıda sayılan ve oldukça geniş bir alana yayılan istisnalar için Kişisel Verilerin Korunması Hukuku’na hakim olan bazı ilkeler kanuna dercedilmiştir. Buna göre; sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen maçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.

BAnkacılık Düzenleme ve Denetleme Kurulu & Kişisel Verileri Koruma Kurulu

Dördüncü olarak, esasında Kişisel Verileri Koruma Kurulu’nun yetki ve görev alanında olan bazı hususlar -daha da güçlendirilerek- Bankacılık Düzenleme ve Denetleme Kurulu’nun hakimiyet alanına kaydırılmıştır.
Buna göre Kurul,

  • Ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde,
  • Müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin,
  • Yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya,
  • Ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkili kılınmıştır.

Bankaların 73/4 Kapsamında Müşteri Talimatı/Talebi Olmaksızın Bilgi Paylaşımı Yapabilecekleri Durumlara Örnekler

  • Bankalardan bilgi istemeye kanunen yetkili bir kurumun bilgi talebi tartışmasız yerine getirilecektir. (Kanuni yetki)
  • Bankanın destek hizmeti aldığı bir kişiye ya da kurum ile ilgili müşterinin talebi ya da talimatına gerek olmaksızın müşteri sırrını paylaşması mümkündür. (73/4 istisnası)
  • Banka, hizmet aldığı hukuk bürosu ile ilgili müşterinin talebi ya da talimatına gerek olmaksızın müşteri sırrını paylaşabilecektir. (73/4 istisnası)
  • Banka varlıklarının varlık yönetim şirketlerine satışı amacıyla yapılacak değerleme çalışmaları kapsamında bilgi paylaşımı yapabilecektir. (73/4 istisnası)

Genel Değerlendirme

Görüldüğü üzere, yapılan değişiklik her ne kadar bankaların veri paylaşmasını/aktarmasını güçleştirmiş gibi görünse de esasında konu incelendiğinde durumun hiç de öyle olmadığı görülecektir.

Özellikle, Bank. Kanunu m.73/4’teki istisnaların genişliği göz önüne alındığında, aslında bu düzenlemenin temel amacının -Bankaların müşteri sırrı paylaşımının/aktarımının önünde engel olarak görülen- KVKK hükümlerinin devre dışı bırakılması olduğu anlaşılmaktadır.

Söz konusu düzenlemenin nihai amacı bir yana bırakıldığında, düzenlemenin hukuk tekniği açısından yeterli olmadığı ve bankacılık uygulamasında birçok soruna sebep olacağı düşünülmektedir.

Söz konusu hüküm, üzerinde yeterince tartışılmadan alelacele kaleme alınmış intibaası uyandırmaktadır. Bu haliyle düşünülen faydalarından daha fazla soruna sebep olabilir.

gdpr-image
www.pactahukuk.com kullanıcı deneyimini iyileştirmek, hata ayıklamak ve performans geliştirmek için çerezler kullanır. Sitemizi kullanarak Gizlilik Politikamızı ve Çerez Politikamızı kabul etmiş sayılırsınız.
KVKK Aydınlatma Metni