Yeni Gelişme
5411 Sayılı Bankacılık Kanunu’nda (“Bankacılık Kanunu”) değişiklik yapan kanun 25 Şubat 2020 tarihinde Resmi Gazete’de yayımlanıp aynı tarihte yürürlüğe girdi. Değişiklikler bankacılık faaliyetleri kapsamındaki veri koruma uygulamalarına ilişkin değişiklikler getiriyor.
Ne Değişecek?
- Bankacılık Kanunu’nun 73. maddesi “müşteri sırrı” tanımını getirmiştir. Müşteri sırrı, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlandı. Bu kapsamda Bankacılık Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan “kişisel veri” tanımından farklı bir tanımı benimsedi. Bir verinin kişisel veri olarak tanımlanabilmesi için gerçek kişiye ait olması ve tek başına veya başka bir veri ile birleştirildiğinde gerçek kişinin kimliğini belirlenebilir kılması gerekirken, müşteri sırrı bankacılık faaliyetleri kapsamındaki yalnızca gerçek kişiye değil, tüzel kişiye ilişkin tüm verileri de içerecek şekilde düzenlendi.
- 73. madde uyarınca müşteri sırları, KVKK kapsamında müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın Türkiye’deki ya da yurt dışındaki üçüncü kişilere aktarılamayacak. Diğer kanunların emredici hükümleri ve 73. madde kapsamında istisna olarak düzenlenen belirli bakanlıklarla bilgi paylaşma yükümlülükleri bu kuralın istisnası olarak belirlendi.
- Ek olarak, Bankacılık Düzenleme ve Denetleme Kurulu (“Kurul”), ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğindeki verilerin yurt dışındaki üçüncü kişilere aktarımını yasaklamaya ve bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin Türkiye’de bulundurulmasına karar vermeye yetkili kılındı.
- Müşteri veya banka sırrı niteliğindeki bilgilerin paylaşımı ve aktarımı, madde içerisinde istisna olarak düzenlenen paylaşımlar da dâhil olmak üzere, sadece belirtilen amaçlarla sınırlı ve ölçülü olması kaydıyla gerçekleştirilebilecek.
- Müşteri sırlarının paylaşılması ve aktarılmasına ilişkin kapsam, şekil, usul ve esasları belirleme ve bunlara ilişkin sınırlamalar getirme yetkisi Kurul’a verildi.
Sonuç
Değişikliklerle birlikte bankalar KVKK’da düzenlenenden daha sıkı bir veri koruması rejimine tabi kılınmış oldu. Müşteri sırrının yerli veya yurt dışında bulunan kişilere aktarımı açısından getirilen ek yükümlülüklerle birlikte (i) müşteri sırrı ifadesinin geniş kapsamı, (ii) bankalar tarafından işlenen veri miktarının fazlalığı ve (iii) çoğu bankanın yerli ve yabancı üçüncü kişi servis sağlayıcılarla çalıştığı göz önüne alındığında, bankaların ek iş yükü altına girmeleri gerekebilecektir. Bankaların bu değişiklikleri nasıl uygulamaya koyacağı şu an için muğlak olmakla birlikte bankaların ve ilgili hizmet sağlayıcıların kişisel verilerin korunmasına dair uygulamalarını özenle değişikliklere uygun hale getirmesi ve beklenen ikincil mevzuatı dikkatle takip etmeleri önerilmektedir.