Yeni gelişmeler
5411 sayılı Bankacılık Kanunu’nun (”Kanun”) 73. maddesi hükmü, müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlara ilişkin kapsam, şekil, usul ve esasları belirleme veya bunlara ilişkin sınırlamalar getirme konusunda Bankacılık Düzenleme ve Denetleme Kurumunu (”BDDK”) yetkili kılıyor. Bu kapsamda BDDK daha önce 7 Haziran 2021 tarihli Hukuk Bültenimizde ele aldığımız üzere, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’i (“Yönetmelik“) yayımlamıştı. Yönetmelik 1 Temmuz 2022 tarihinde yürürlüğe girecek. Bu kapsamda BDDK, Yönetmelik hükümlerine ilişkin bazı soruları açıklığa kavuşturmak ve Yönetmelik’te öngörülen başvuru süreçlerinin usul ve esaslarını belirlemek için hazırladığı 2022/1 sayılı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Genelge Taslağı’nı (”Taslak Genelge”) bankaların görüşüne açtı.
Taslak ne getiriyor?
Taslak Genelge ile bilhassa aşağıda yer alan konu başlıkları özelinde Yönetmelik uygulamasına ilişkin hususlara açıklık getiriliyor.
Banka çalışanı bilgileri
Taslak Genelge’de banka çalışanı bilgilerinin kural olarak kişisel veriler çerçevesinde değerlendirileceği ortaya konmakla beraber, bazı çalışan bilgilerinin “bankanın mali durumu hakkında ya da kredi verme ve mevduat toplama gibi temel faaliyetlerine ilişkin banka yönetim esasları ve bankanın uyguladığı teknik yöntemler ile banka potansiyeli” hakkında bilgi barındırabileceğini belirterek bu bilgilerin banka sırrı olarak ele alınmasının mümkün olabileceği vurgulanıyor.
Kimliksizleştirmeden yapılacak paylaşımlar için BDDK görüşü
Taslak Genelge’de risk yönetimi faaliyetleri kapsamında uyum riski için ana ortak ile yapılacak müşteri sırrı paylaşımlarına yönelik esaslar ve ölçülülük ilkesi için yapılacak BDDK başvurusunun esasları açıklanıyor. Alıcının uyum riski nedeniyle ortak müşteriye ait olmayan bilgilerin kimliksizleştirilmeden ana ortak ile paylaşımında BDDK’ya yapılacak başvuruda aşağıdaki bilgilere yer verilmesi gerekecek:
- Yapılacak paylaşımların içeriği, paylaşım amacı ve mevzuat çerçevesinde gerekliliği.
- Bilgi Paylaşım Komitesinin ölçülülük ve uygunluk görüşü.
Taslak Genelge, BDDK’ya yapılacak başvuruda da yer verilmesi gerektiği üzere, ana ortağın talep ettiği bilginin mevzuattan ileri gelen bir yükümlülükten veya bir haktan kaynaklanıyor olması ve bu bilginin sunulmaması halinde ana ortağın yaptırıma uğrama riski bulunuyorsa, söz konusu paylaşımın uyum riski olarak değerlendirileceğini açıklıyor.
Ayrıca Taslak Genelge’de iç denetim uygulamalarında denetim çalışma kağıtları da dahil olmak üzere müşterinin kimliğini belirli veya belirlenebilir kılacak bilgilerin paylaşılmaması gerektiği vurgulanıyor. Ancak söz konusu paylaşım uyum riski kapsamında değerlendiriliyorsa ve bunun için bankanın denetim çalışma kağıtları ya da iç denetim uygulamaları kapsamındaki müşteri bilgilerine erişilmesi gerekiyorsa, bu bilgilerin olduğu gibi paylaşılabilmesi için BDDK görüşü alınabilecek.
Yabancı otoritelerle yapılacak paylaşımlar
BDDK muadili yabancı bir otorite, doğrudan Türkiye’deki bankayı hedef alan bir talepte bulunursa veya otoritenin talebi “uyum riski” kapsamında kabul edilecek bir talep değilse, bilgi paylaşımı için Kanun’un 98. maddesi ve Yönetmelik’in 6. maddesinin 9. fıkrası uyarınca karşılıklılık ilkesi doğrultusunda BDDK onayının alınması gerekiyor.
Taslak Genelge’de paylaşımın yalnızca banka sırrı içermesi durumunda da BDDK onayı alınması kuralının aynen geçerli olacağı ve Yönetim Kurulu kararına istinaden paylaşım yapılamayacağı açıklanıyor.
SWIFT işlemleri kapsamında paylaşımlar
BDDK, SWIFT işlemlerinde, işlem sonrası kontrolleri için ana ortak ile yapılacak müşteri sırrı paylaşımların “uyum riski” amacıyla yapılan paylaşım olarak değerlendirilebileceğini, ancak burada ölçülülük ilkesinin de dikkate alınması gerektiğini ifade ediyor.
Taslak Genelge, söz konusu paylaşımlarda talep/talimat mekanizmasına da dayanılabileceğini açıklıyor. Yönetmelik uyarınca, işlemin doğası gereği yurt dışında kurulu sistemlerle etkileşimin gerekli olduğu ve bilgilerin paylaşımının zorunlu olduğu hallerde, işlemin başlatılmasına yönelik müşteri emri girilmesi, “talep/talimat” yerine geçiyor. Bu kapsamda bilgi paylaşımının alınan talimata istinaden, ayrıca kimliksizleştirme tedbiri uygulanmadan yapılması söz konusu olabilecek.
Öte yandan, söz konusu bilgi paylaşımının yalnızca zorunlu bilgilerle sınırlı olması gerekecek.
Banka sırları ve yönetim kurulu kararı
Taslak Genelge, banka sırlarının yönetim kurulu kararı alınmak suretiyle, üçüncü kişilerle paylaşılabileceğini vurguluyor ve yönetim kurulu kararında, istisna kapsamına giren paylaşımların belirtilmesine gerek bulunmadığını ortaya koyuyor.
Saklama ve raporlama yükümlülükleri
Yönetmelik’in 5. maddesinin 9. fıkrası uyarınca yapılacak raporlamalar için ilk rapor tarihi 31 Aralık 2022 olarak belirlenmişti. Taslak Genelge ekinde bu raporlar için kullanılarak formata yer veriliyor. Raporun paylaşım konusu bilgiler, gizlilik sözleşmeleri, paylaşım amaçları, teknik ve idare tedbirler, paylaşım yapılan üçüncü kişilerin unvan ve ülkelerini içermesi gerekecek.
İlaveten, müşterilerin kimliğini belirli kılabilecek bilgilerin paylaşımına ilişkin bilgilerin 10 yıl süreyle saklanması gerekecek.
Müşteri talep ve talimatı
Risk yönetimi/konsolide finansal tablo hazırlama/iç denetim kapsamına giren paylaşımlarda talep/talimata dayanılmasının Yönetmelik’in 6. maddesinin 8. fıkrası uyarınca BDDK görüşü alma yükümlülüğünü ortadan kaldırmayacağı Taslak Genelge ile netleştirildi.
Talep ve talimatlar için aşağıdaki hususların göz önünde bulundurulması gerekecek:
- Banka tarafından hazırlanan örnek metinler kullanılabilir. Ancak, metinler müşteri tarafından talimata dönüştürülmesi gerekecek. Müşterinin talebin içeriğini anladığı ve onayladığına ilişkin yazılı beyanının alınması gerekecek.
- Onaylar dijital imza ile alınabilecek.
- Talep ve talimatlar internet/mobil bankacılık ile sorgulanabilir nitelikte olacak.
Ortak müşteriler
Yönetmelik uyarınca ortak müşterilere ilişkin paylaşımlar istisna dahilinde ise kimliksizleştirilmeden yapılabilecek. Taslak Genelge ile ortak müşteri kriterleri belirleniyor. Bu kapsamda bir müşterinin ortak müşteri kabul edilmesi için (i) aynı gerçek/tüzel kişinin (ii) eş zamanlı olarak (iii) hem Türkiye’deki bankanın hem de ana ortağın/hakim ortağın/grup şirketinin müşterisi olması gerekecek.
Özel nitelikli kişisel bilgiler
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin müşteri sırrı haline gelmesi durumunda, bu bilgilerin, sır saklama yükümlülüğünden istisna tutulan hallere dayanılarak üçüncü kişilerle paylaşılması mümkün olacak. Öte yandan, sağlık ve cinsel hayata ilişkin bilgilerin, müşteri sırrı haline gelmiş olsa da, müşterinin açık rızası olmadan sır saklama yükümlülüğünün istisnalarına dayanılarak üçüncü kişilerle paylaşılması mümkün olmayacak.
Hukuki danışmanlarla bilgi paylaşımı
Hukuki danışmanlarla yapılan paylaşımlar hizmet alımı kapsamında istisna olarak kabul edilmekle beraber danışman bankayı bir uyuşmazlık için doğrudan temsil ediyorsa müşteri sırları kimliksizleştirmeden paylaşılabilecekken potansiyel bir temsil ilişkisi var ise kimliksizleştirmeden paylaşım için müşteri talep/talimatı aranacak.
Sonuç
Taslak Genelge ile 1 Temmuz 2022 tarihinden itibaren yürürlüğe girecek olan Yönetmelik hükümlerine ilişkin bankaların gündeme getirdiği soru ve belirsizliklerin netleştirilmesi ve Yönetmelikte belirtilen başvuru süreçlerine ilişkin ayrıntıların sağlanması amaçlanıyor.