Kişilerin kendileri ile ilgili verileri koruyabilmeleri, kişilik hakkının ayrılmaz bir parçasıdır. Aynı zamanda kişisel verilerin korunmasını istemek Türkiye Cumhuriyeti Anayasası ve Uluslararası İnsan Hakları Belgeleri tarafından da kişilere tanınmış bir haktır. Kişisel verilerin korunması hakkının muhatabı devlet kurumları olabildiği gibi aynı zamanda özel hukuk kişileri de olabilmektedir. Ülkemizde bu korumayı sağlamak amacıyla 2016 yılında 6098 sayılı Kişisel Verileri Koruma Kanunu (KVKK) çıkarılmıştır.
Kişisel verilerin bir diğer görünümü de müşteri sırrı niteliğindeki ekonomik değer taşıyan bilgilerdir. Kişilerin özel hayatlarına dair verilere nazaran bu bilgiler maddi açıdan farklılık taşımaktadır. Gerçek ve tüzel kişilerin ekonomik faaliyetlerini güven ve huzur içerisinde idame ettirebilmesi için ticari sır niteliğindeki bu bilgilerin korunması oldukça önem arz etmektedir. Aksi bir durumda kişilerin maddi ve manevi açıdan büyük zararlara uğraması kaçınılmazdır. Bu durumu öngören yasa koyucu, Türk Ceza Kanunun 239. Maddesinde “Ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması” fiilini suç olarak tanımlamıştır. Bunun yanı sıra Bankacılık Kanunu’nun 73. Maddesinde “Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.” hükmü mevcuttur. Ve devamında bankacılık kanunu çerçevesinde sırların saklanması konusu düzenlenmiştir. Aynı maddenin 3. ve 4. Fıkralarında sır saklama yükümlülüğünün istisnaları, bu istisnaların hangi kurumlar için geçerli olduğu gibi hususlar genel hatları ile düzenlenmiştir. Bu konudaki ayrıntıların düzenlenmesi için Bankacılık Denetleme ve Düzenleme Kurumu (BDDK) yetkili kılınmıştır.
Bu yetki uyarınca BDDK tarafından, banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirleyen “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik“ 4 Haziran 2021 tarihinde Resmi Gazete’de yayımlandı. Yönetmelik 1 Ocak 2022 tarihinde yürürlüğe girecek. KVKK ve Kişisel Sağlık Verileri Hakkında Yönetmelik’ten alıntılar taşıyan bu yönetmelik ile banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amaçlanıyor. Yönetmelik ile bir takım kavramlar tartışmaları ortadan kaldırmak amacıyla daha ayrıntılı açıklanmakta, bunun yanı sıra bankalara yeni bir takım yükümlülükler getirilmektedir. Yönetmelikte kısaca şu başlıklar düzenleniyor;
Müşteri sırrı kavramı tanımlanmış ve sır saklama yükümlülüğü kanundakine benzer şekilde tekrarlanmıştır.
Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamındadır. Bunun yanında müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de birinci fıkra kapsamındaki yükümlülüğe tabidir. İşbu müşteri sırrı niteliğindeki bilgilerin otomatik olmayan veya herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle, yani manuel biçimde elde edilmesi halinde de yükümlülük geçerlidir.
Kanunda da belirtildiği üzere sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük sadece görev zamanı ile kısıtlı değildir, görevden ayrıldıktan sonra da devam eder.
Sır saklama yükümlülüğünün istisnaları belirlenmiştir.
İlk olarak kamu düzeninden kaynaklanan bir istisna olan kanunda yetkili kılınan merciiler ile bilgi paylaşılması istisnası düzenlenmiştir. Buna göre banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez. Buradaki “kanunen açıkça yetkili kılınma kavramı” ile ilgili tartışmalar mevcuttur. Yukarıda da açıklandığı üzere bu bilgilerin hukuken edinmeye yetkili olmayan kişilere verilmesi TCK kapsamında suç olarak tanımlanmaktadır. Bunun yanında verilen bilginin sınırları, miktarı ve niteliği de kanunda açıkça belirtildiği kadar olmalıdır. Aksi bir durumda kişilerin özel hayatın gizliliği hakkı ve kişilik hakları ihlal edilecektir. Doktrinde baskın olarak yönetmelik, genelge, tebliğ benzeri düzenlemeler ile tanınan yetkinin geçerli olmadığı, “kanunen açıkça yetkili kılınmak” kavramının dar yorumlanması gerektiği görüşü hâkimdir. Bunun yanı sıra bütün yargı makamlarının incelemekte oldukları uyuşmazlıklarla ilgili kendilerine tanınan yetkiler çerçevesinde bilgi ve belge talep etmeye yetkili oldukları konusunda şüphe yoktur.
Bunun yanında gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez:
a)Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.
b)Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.
c)Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.
ç)Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.
Bu düzenlemelere ek olarak ilgili maddenin içerisinde “banka sırrı” kavramı da açıklığa kavuşturulmuştur. Banka sırrı, müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgilerdir. Örnek olarak bankanın iç işleyişi ile ilgili bilgiler, stratejiler, yöntemler gösterilebilir. Bu bilgiler herhangi bir müşteriye ait olmadıkları taktirde banka sırrı kavramının içine dahil edilmektedirler. Söz konusu bu banka sırlarının, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez. Banka Yönetim Kurulu bu yetkisini usul ve esasları belirlemek suretiyle Genel Müdürlüğe devredebilir.
Ek olarak bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketlerce, müşterilerin kamu kurum ve kuruluşlarına kendi talepleri ile verdikleri müşteri sırrı niteliğindeki bilgilerin teyit edilmesi konusunda müşteri talep ya da talimatının alınmış olması şartıyla, söz konusu kamu kurum ve kuruluşlarına bu bilgilerin sadece doğru olup olmadığı şeklinde cevap verilmesi sır saklama yükümlülüğüne aykırılık teşkil etmez. Burada ilgili konuyla alakalı olarak müşterinin açık talep veyahut talimatının alınması şartının vurgulanması önemlidir. Bankaların bu ölçüde pozitif ve negatif sorumlulukları bulunmaktadır.
Ayrıca bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmasının ispatı için zorunlu olması halinde, söz konusu uyuşmazlığın tarafı olan gerçek veya tüzel kişilere ait müşteri sırrı niteliğindeki bilgilere veya banka sırrı niteliğindeki bilgilere ilişkin olarak, yurt içindeki ya da yurt dışındaki yargı makamları ile tahkim, arabuluculuk ve hakem heyeti gibi alternatif uyuşmazlık çözmeye yetkili makamlarla ya da bu makamlarla paylaşmak üzere söz konusu uyuşmazlıklarda bankayı temsil eden taraflarla yapılan paylaşımlar sır saklama yükümlülüğüne aykırılık teşkil etmez.
Sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler belirlenmiştir.
Yönetmelikte sır niteliğindeki bilgilerin paylaşılmasını ilişkin istisnaların haricinde bu istisnaların uygulanmasında uyulacak ilkeler ve ölçütler de belirlenmiştir. Bunlardan en önemlisi her türlü hak kısıtlamasında temel ölçütlerden biri olarak kabul edilen “ölçülülük ilkesi”dir. Yönetmeliğe göre; 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.
Hukuk literatüründe ölçülülük ilkesi 3 alt başlıktan oluşmaktadır; elverişlilik, gereklilik, orantılılık. 1-Elverişlilik, kullanılan aracın ulaşılmak istenilen amaca elverişli olması anlamına gelmektedir. Yönetmelikte sırrın paylaşılmasına izin verilen istisnai hallerin doğru ve hukuka uygun tespiti ile bu ilke sağlanmış olacaktır. 2-Gereklilik, kullanılan aracın ulaşılmak istenen amaç bakımından asgari gereklilikte olması gerektiğini, varsa daha hafif bir araç ile müdahale edilmesi gerektiğini açıklayan ilkedir. Yönetmelikte;
a) Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.
b) Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması
c) Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.
ç) Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (c) bendinde belirtilen yöntemlerin kullanılması.
d) Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.
İlkeleri ile gereklilik şartı sağlanmaya çalışılmıştır. 3-Orantılılık ise her durumda ve şartta araç ile amaç arasındaki olması gereken dengeyi ifade eder.
Bütün bunlara ek olarak yönetmelikte istisnanın istisnası olarak tanımlanabilecek şu düzenleme bulunmaktadır; Gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nin 4 üncü maddesinde yer verilen genel ilkelere uyulması zorunludur. Müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamaz.
Bankalara “Bilgi Paylaşım Komitesi” kurma zorunluluğu getirilmiştir.
İşbu yönetmelik ile bankalara “Bilgi Paylaşım Komitesi” birimi kurma yükümlülüğü getiirlmiştir. Bankaların, 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunludur. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşur.
Sonuç ve Değerlendirme
Daha önce taslağı açıklanan ve BDDK tarafından taslak üzerine görüşler toplanarak hazırlanan bu yönetmelik oldukça önemli sorulara cevap getirmiş, oldukça önemli kavramları açıklamıştır. Yönetmeliğin 1 Ocak 2022 tarihinde yürürlüğe girmesi sebebiyle de bankalara gerekli düzenlemeleri yapabilecekleri bir müddet tanınmıştır. Yönetmelikte özellikle ölçülülük kavramının kullanılması, alanına göre daha sade bir dilin tercih edilmesi, müşterinin açık ve aktif rızasının aranması gibi hususlar oldukça olumlu niteliktedir. Yönetmelik yürürlüğe girene kadar uygulamalı ve örnekli rehberlerin yayımlanması, genelgeler ve özelgeler ile bankaların sorularının cevaplanması ile uygulamadaki sorunlar da giderilecektir.