BDDK 04.06.2021 tarih ve 31501 sayılı Resmi gazetede; ” SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİK” yayınladı.

Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK), banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin esasları belirleyen yönetmeliği Resmi Gazete’nin bugünkü sayısında yayımlandı. Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelecek.

Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilecek. Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilecek. Yönetmeliğe göre, banka ve finansal kuruluşların, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgileri kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla paylaşımı da sır saklama yükümlülüğüne aykırılık teşkil etmeyecek.

Sır saklama yükümlülüğüne aykırılık teşkil etmeyecek durumlar arasında; konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları, banka sermayesinin %10 ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında bilgi ve belge verilmesi de yer alıyor.

Bankaların, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunlu olacak. Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacaklar. Bu yükümlülük görevden ayrıldıktan sonra da devam edecek.

Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamında sayılacak. Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de bu kapsamdaki yükümlülüğe tabi olacak. Yönetmelik 2022 yılı başında yürürlüğe girecek.

Yönetmelikte yer alan bazı maddeler şu şekilde :

Sır saklama yükümlülüğü

MADDE 4 – (1) Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

(2) Birinci fıkra kapsamındaki yükümlülük, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerlidir.

(3) Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamındadır. Müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de birinci fıkra kapsamındaki yükümlülüğe tabidir.

(4) Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir. Söz konusu verilere ilişkin birinci fıkra kapsamındaki yükümlülük, bu verilerin müşteri sırrı haline gelmesinden itibaren başlar.

Sır saklama yükümlülüğünden istisna tutulan haller

MADDE 5 – (1) Banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez.

(2) Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez:

a) Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.

b) Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.

c) Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.

ç) Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.

(3) İkinci fıkranın (b) bendi kapsamında yapılacak paylaşımların, sadece söz konusu bentte belirtilen amaçlar ile sınırlı kılınması, gizlilik sözleşmesi yapılması, söz konusu sözleşme hükümleri ile karşı tarafın gerekli teknik ve idari tedbirleri almasının sağlanması koşuluyla, hakim ortak ile yapılması ya da hakim ortağın/ana ortaklığın belirleyeceği, konsolide finansal tablo hazırlama ya da konsolide risk yönetimi uygulamaları kapsamında hizmet aldığı bir grup şirketi ile yapılması sır saklama yükümlülüğüne aykırılık teşkil etmez.

(4) İkinci fıkranın (b) bendi ve üçüncü fıkra kapsamında risk yönetimi amacıyla yapılabilecek paylaşımlar, İSEDES Yönetmeliğinde yer verilen risk yönetim sistemi içinde yer alan uyum, kredi, itibar riskleri de dâhil olmak üzere tüm risk kategorilerine ilişkin risk yönetim faaliyetlerini kapsar. 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 7/2/2013 tarihli ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanunda tanımlanan suçların işlenmesine ilişkin mali suç riski de uyum riski kapsamında ele alınır. Uyum riski amacıyla yapılacak paylaşımların, paylaşımı yapan ya da paylaşımın yapıldığı karşı tarafın tabi olduğu ulusal ya da uluslararası bir mevzuattan kaynaklanması şarttır.

(5) Müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez. Banka Yönetim Kurulu bu yetkisini usul ve esasları belirlemek suretiyle Genel Müdürlüğe devredebilir.

(6) Bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmez.

(7) Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar sır saklama yükümlülüğüne aykırılık teşkil etmez.

(8) 5549 sayılı Kanunun 5 inci maddesi uyarınca finansal gruba bağlı kuruluşların, müşterinin tanınmasıyla hesap ve işlemlere ilişkin olarak grup içerisinde bilgi paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez.

(9) İkinci fıkranın (b) bendi ile üçüncü fıkra kapsamında yapılacak paylaşımlara ilişkin gizlilik sözleşmesinin bir örneği, gerçekleştirilen paylaşımın amaçları, sır kapsamındaki bilgilerin gizliliği ve güvenliğinin sağlanmasına yönelik hâkim ortak/ana ortaklık tarafından veya hâkim ortağın/ana ortaklığın bu kapsamda hizmet aldığı taraflarca alınan teknik ve idari tedbirler ile bu madde kapsamında banka sırrı ve müşteri sırrı niteliğindeki bilgilerin aktarıldığı tüm üçüncü tarafların unvanı ve bulunduğu ülke bilgileri, Kurumca uygun görülen biçim ve yöntemlere göre, altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde derhal Kuruma raporlanır. Müşterinin kimliğini belirli veya belirlenebilir kılacak şekilde bu madde kapsamında yapılan tüm paylaşımlar banka nezdinde denetime hazır şekilde bulundurulur ve söz konusu bilgiler Kurumca uygun görülen biçim ve yöntemlere göre talebi halinde Kuruma gönderilir.

Sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler

MADDE 6 – (1) 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir. Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılması da paylaşım olarak kabul edilir. Paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilemez. Bu kapsamda, 5 inci madde kapsamındakiler de dahil olmak üzere yapılacak paylaşımların ölçülü olabilmesi için asgari olarak aşağıdaki hususların tamamının yerine getirilmesi zorunludur:

a) Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.

b) Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.

c) Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.

ç) Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (c) bendinde belirtilen yöntemlerin kullanılması.

d) Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.

(2) Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nin 4 üncü maddesinde yer verilen genel ilkelere uyulması zorunludur. Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamaz.

(3) Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, 5 inci maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez.

(4) Üçüncü fıkrada belirtilen müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilir. Altıncı fıkrada belirtilen durumlar haricinde, müşterinin vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesi esastır.

(5) İSEDES Yönetmeliğinin 3 üncü maddesinde tanımlanan birincil sistemler kapsamında olmayan, destek hizmetlerine veya değerleme, derecelendirme ve bağımsız denetim dışındaki hizmet alımlarına ilişkin 5 inci maddenin ikinci fıkrasının (ç) bendi uyarınca yapılacak paylaşımlar için üçüncü fıkrada belirtilen müşterinin talep ya da talimatının bulunması zorunludur. 5 inci maddenin yedinci fıkrası kapsamında yapılan paylaşımlar için bu hüküm uygulanmaz.

(6) İşlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından üçüncü fıkrada belirtilen müşteri talep ya da talimatı yerine geçer.

(7) Müşterinin, talep ya da talimatı üzerine yapılacak paylaşımlarda birinci fıkrada belirtilen ölçülülük ilkesine uyulup uyulmadığı, müşterinin talep ya da talimatına uyulup uyulmadığı ile sınırlı olarak değerlendirilir. Müşterinin paylaşılmasını talep ettiği veri seti içinde başka müşterilere ya da başka bankaların müşterilerine ilişkin sır kapsamındaki bilgilerin de olması halinde ise, birinci fıkradaki yükümlülüğe herhangi bir sınırlama olmaksızın uyulması zorunludur.

(8) 5 inci maddenin ikinci fıkrasının (b) bendi ile üçüncü fıkrası kapsamında, kredi karşılık hesaplamaları ile içsel sermaye yeterliliği hesaplamaları gibi çok sayıda müşteriye ilişkin kapsamlı veri paylaşımını gerektiren paylaşımlar ile karşı tarafın uyum riski amacıyla yapılacak paylaşımlar için, paylaşım öncesinde Kurumun uygun görüşünün alınmış olması şartıyla, birinci fıkranın (ç) bendi uygulanmaz. 5 inci maddenin ikinci fıkrasının (b) bendi ile üçüncü fıkrası kapsamında konsolide risk yönetimi amacıyla paylaşılacak verilerin, banka ana sermayesinin yüzde onu veya daha fazlası oranında kredi kullandırılmış bir gerçek ya da tüzel kişiye veya bir risk grubuna ait olması halinde ise, söz konusu veriler için paylaşım öncesinde Kurumun uygun görüşünün alınmış olması ve birinci fıkranın (ç) bendine uyum şartı aranmaz. Kurul bu fıkrada yer alan sınırlamaları değiştirmeye ya da bu fıkrada yer alan hususlara ilişkin yeni sınırlamalar getirmeye yetkilidir.

(9) Yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin, kendi ülkelerindeki finansal piyasalarda faaliyet gösteren kuruluşların Türkiye’deki şube veya ortaklıklarında denetim yapma ve bilgi talepleri ile bankaların yurt dışındaki şube veya ortaklıklarının konsolidasyon kapsamında yer alan bilgilerine ilişkin taleplerinin yerine getirilmesi hususunda Kanunun 98 inci maddesi hükümleri saklıdır. Kurum muadili yabancı mercilerin talebi üzerine gerçekleştirilecek bilgi paylaşımı, Kanunun 98 inci maddesine uygun olarak Kurum nezdinde bulunan bilgiler ile karşılanmasının mümkün olması halinde doğrudan Kurum tarafından, Kurum nezdinde bulunan bilgilerin yeterli olmaması halinde ise Kurulca verilecek izin dahilinde bankalar tarafından yerine getirilir. 5 inci maddenin beşinci fıkrası uyarınca banka sırrı niteliğindeki bilgilerin, paylaşım öncesinde Kuruma yazılı olarak bildirimde bulunulması şartıyla, Kurum muadili yabancı mercilerin talebi üzerine bu merciler ile paylaşılması bu fıkraya aykırılık teşkil etmez.

(10) 5 inci maddenin ikinci fıkrasının (b) bendi ile üçüncü fıkrası kapsamında denetim çalışma kağıtları da dahil olmak üzere, iç denetim uygulamaları amacıyla yapılan paylaşımların müşterinin kimliğini belirli veya belirlenebilir kılacak veriler içermesi, birinci fıkraya aykırılık olarak kabul edilir.

(11) Kurul, ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, 5 inci maddede belirtilen paylaşımlar da dâhil olmak üzere, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını yasaklamaya yetkilidir. 5 inci madde kapsamında yapılacak paylaşımlar için karşılıklılık ilkesinin uygulanması esastır. Kurul, karşılıklılık ilkesine uymadığı tespit edilen bir ülkede bulunan taraflar ile 5 inci madde kapsamında yapılacak paylaşımları kısıtlamaya, durdurmaya veya yasaklamaya yetkilidir.

Bilgi paylaşım komitesi

MADDE 7 – (1) Bankaların, 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunludur. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşur.