04.06.2021 tarihli ve 31501 sayılı Resmi Gazete’de “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”(“Yönetmelik”) yayımlanmıştır.
Yönetmelik ile banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amaçlanmış olup; Yönetmelik 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun (“Kanun”) 73 ve 93 üncü maddelerine dayanılarak hazırlanmıştır.
Yönetmelik, Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan ifadelere de atıf yapması ile önem arz etmektedir. Öte yandan, ilgili kişiye yönelik kişisel verilerin veri sahibi ile ilişkilendirilemeyecek hale getirme işlemine dair KVKK’da yer almayan tanımlara Yönetmelikte yer verilmektedir.
Yönetmelik; tanımladığı kavramlar gereği, gerek kişisel verilerin korunması gerekse de bankacılık düzenlemelerine temas etmektedir. KVKK’nda farklı olarak; Kimliksizleştirme ve Toplulaştırma kavramlarına yer verilmektedir.
Kimliksizleştirme;
“Müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesini”
ifade etmektedir.
Kimliksizleştirme kavramı KVKK’da düzenlenmemiş olmakla birlikte; ilk olarak Türk mevzuatında Kişisel Sağlık Verileri Hakkında Yönetmelik’te tanımlanmıştır. Öte yandan, kimliksizleştirme kavramı her ne kadar ilk bakışta KVKK’da yer alan anonimleştirme kavramı ile benzerlik gösterse de; KVKK amaç olarak gerçek kişilerin verilerini konu alırken; kimliksizleştirme kavramı ile birlikte finans sektöründeki tüzel kişi müşteriler de gerçek kişiler ile birlikte kişisel veri işleme faaliyetlerinin öznesi konumunda yer almaktadır. Yönetmelikte ayrıca anonim hale getirme kavramına da kimliksizleştirmeden farklı olarak yer verilmiştir.
Bir başka deyişle kimliksizleştirme işleminde; gerçek/tüzel kişi müşteriye ilişkin veriler, işleme faaliyetine konu olurken kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşterinin diğer verileri ile farklı ortamda bulunacak ve fakat bu veriler bir araya getirilmedikçe de müşteriyle ilişkilendirilmeyecektir. Yönetmelik ilişkilendirmeme faaliyetinde de her hâlükârda teknik ve idari tedbirlerin alınmasını şart koşmuştur.
Öte yandan anonim hale getirme işlemi KVKK’da veri imha yöntemlerinden biri olarak kabul edilmekle birlikte Yönetmelikte KVKK tanımından ayrı olarak aşağıdaki şekilde tanımlanmıştır.
“Müşteriye ilişkin verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek hale getirilmesini ifade eder.’’
Bu tanımdan hareketle gerek anonim hale getirme gerekse kimliksizleştirme faaliyetlerine konu olan müşteriler gerçek veya tüzel kişi olabilmektedir. Kimliksizleştirme işleminde kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşterinin verileri farklı işleme ortamlarında saklanarak bir araya getirilmedikçe gerçek/tüzel kişi müşteriyi belirli veya belirlenebilir kılma ihtimali bulunmamaktadır. Anonim hale getirme işleminde ise gerçek/tüzel kişi müşterinin verileri başka verilerle eşleştirilse dahi gerçek/tüzel kişi müşteriyi belirli veya belirlenebilir kılma ihtimali bulunmamaktadır. Bu özelliğiyle anonim hale getirme, kimliksizleştirme işleminden ayrılmaktadır.
Toplulaştırma ise;
“Müşteriye ilişkin verilerin, gruplama, özetleme, toplu gösterim gibi istatistiksel amaçlarla diğer müşterilere ilişkin verilerle birleştirilerek kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek şekilde işlenmesini”
İfade etmektedir.
Toplulaştırma işlemi kimliksizleştirme ve anonim hale getirme yönteminden ayrılarak bu işlem yapılırken; veri, gerçek/tüzel kişi müşteri ile ilişkilendirilmeyecek şekilde işlenmektedir. Toplulaştırmada asıl amaç verinin “gruplama, özetleme, toplu gösterim gibi istatistiksel” amaçlarla veri işleme faaliyetine konu olmasıdır.
Yönetmeliğin 4. ve 5. maddelerinde sır saklama yükümlülüğü ve istisna tutulan hallere açıklık getirilmiştir. Yönetmeliğin 4.maddesi, Kanun’un 73.maddesinde tanımlanan banka ve müşteri sırrını öğrenenlere, bu sırları açıklamama yükümlülüğü yüklemektedir. Bu yükümlülük kişilerin görevden ayrılmalarından sonra da devam eder.
Yönetmelik, müşteri sırrının ne olduğunu 4.maddenin 3.fıkrasında aşağıdaki şekilde açıklamaktadır:
“Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamındadır…”
Bununla birlikte Yönetmelik; müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi durumunu da sır saklama yükümlülüğü kapsamına dâhil etmektedir.
Yönetmeliğin 4.maddesinin son fıkrası aşağıdaki düzenlemeyi haizdir:
“Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir…”
Belirtmek gerekir ki bu yükümlülük, verilerin müşteri sırrı haline gelmesinden itibaren başlar. Müşteri ilişkisi kurulmasından bağımsız olarak, gerçek kişileri belirlenebilir kılan her türlü bilginin kişisel veri olduğu dikkate alındığında; yukarıda yer verilen düzenlemelere ek olarak KVKK’da öngörülen yükümlülüklere de uygun davranılması gerekmektedir.
Kanun’un 73.maddesinin ilk fıkrasında öngörüldüğü üzere, asıl olan Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personelinin görevleri sırasında öğrendikleri banka ve müşteri sırlarını saklamakla yükümlü olmalarıdır. Öte yandan, ilgili maddenin devamında sır saklama yükümlülüğüne ilişkin istisnalara da yer verilmiştir.
Yönetmelik ile, Kanun’da düzenleme alanı bulan sır saklama yükümlülüğüne ek düzenlemeler getirilmiştir. Sır saklama yükümlülüğüne aykırılık teşkil etmeyen haller ancak müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması durumunda geçerli olacaktır.
Tüm bunlara ek olarak,
Yönetmeliğin 5.maddesinde sıralanan banka veya müşteri sırrı niteliğindeki bilgilerin paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.
Yönetmeliğin 6. maddesi ile, sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dâhil olmak üzere, banka sırrı ve müşteri sırrının paylaşımında yalnızca aktarım amacı ile sınırlı olmak ve ölçülülük ilkesine uygun davranılması gerektiği hüküm altına alınmıştır. Belirtmek isteriz ki, paylaşımı yapılan bilginin, aktarımı yapılan tarafça önceden bilinmesi veya bilinmemesi bilginin paylaşıldığı ve bu paylaşım ile sır saklama yükümlülüğünün ihlal edildiği gerçeğini ortadan kaldırmayacaktır.
Her halükarda, gerçek kişi müşterilere ilişkin sır niteliğini haiz bilgilerin paylaşımında KVKK’nın 4. maddesinde hüküm altına alınan genel ilkelere riayet edilmesi gerekmektedir. Öte yandan KVKK’da paylaşımı özel tedbirleri gerektiren sağlık ve cinsel hayata ilişkin kişisel veriler, Yönetmelikte öngörülen istisna haller de dâhil olmak üzere hiçbir surette yurt içi ve yurt dışındaki taraflar ile paylaşılamaz.
Gerek Kanun hükümleri gerekse Yönetmeliğin 5. maddesinde belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşteri sırrı niteliğindeki bilgiler müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz.
Son olarak Yönetmeliğin 7.maddesi ile bankalara; müşteri sırrı ve banka sırrı niteliğindeki bilgilerin,
amacı ile “Bilgi Paylaşım Komitesi” kurma zorunluluğu getirilmiştir.
Öncelikle, KVKK’da tanımlanmayan ve fakat kişisel veriler ile yakın temas içerisinde olan “kimliksizleştirme” ve “toplulaştırma” kavramlarının Yönetmelik ile sınırı daha net biçimde çizilmiştir. Bunun yanı sıra daha öncesinde Kanun’un 73.maddesi ile düzenlenen müşteri ve banka sırrına ilişkin sır saklama yükümlülüğünün istisnaları, Yönetmelik ile açıklığa kavuşturulmuştur. Son olarak; Yönetmelik kapsamında bankaların “Bilgi Paylaşım Komitesi” kurmaları zorunlu hale getirilmiş ve bu şekilde Yönetmelik’e uyum süreci nispeten daha kademeli biçimde gerçekleştirilmesine olanak sağlanmıştır.
Yönetmelik, 01.01.2022 tarihinde yürürlüğe girecektir.
Bilgi ve değerlendirmelerinize sunulur.
Yazar : Av. İrem Akıncı - Av. Birce Aksakal
04.06.2021 tarihli ve 31501 sayılı Resmi Gazete’de “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”(“Yönetmelik”) yayımlanmıştır.
Yönetmelik ile banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlenmesi amaçlanmış olup; Yönetmelik 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun (“Kanun”) 73 ve 93 üncü maddelerine dayanılarak hazırlanmıştır.
Yönetmelik, Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan ifadelere de atıf yapması ile önem arz etmektedir. Öte yandan, ilgili kişiye yönelik kişisel verilerin veri sahibi ile ilişkilendirilemeyecek hale getirme işlemine dair KVKK’da yer almayan tanımlara Yönetmelikte yer verilmektedir.
Yönetmelik; tanımladığı kavramlar gereği, gerek kişisel verilerin korunması gerekse de bankacılık düzenlemelerine temas etmektedir. KVKK’nda farklı olarak; Kimliksizleştirme ve Toplulaştırma kavramlarına yer verilmektedir.
Kimliksizleştirme;
“Müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesini”
ifade etmektedir.
Kimliksizleştirme kavramı KVKK’da düzenlenmemiş olmakla birlikte; ilk olarak Türk mevzuatında Kişisel Sağlık Verileri Hakkında Yönetmelik’te tanımlanmıştır. Öte yandan, kimliksizleştirme kavramı her ne kadar ilk bakışta KVKK’da yer alan anonimleştirme kavramı ile benzerlik gösterse de; KVKK amaç olarak gerçek kişilerin verilerini konu alırken; kimliksizleştirme kavramı ile birlikte finans sektöründeki tüzel kişi müşteriler de gerçek kişiler ile birlikte kişisel veri işleme faaliyetlerinin öznesi konumunda yer almaktadır. Yönetmelikte ayrıca anonim hale getirme kavramına da kimliksizleştirmeden farklı olarak yer verilmiştir.
Bir başka deyişle kimliksizleştirme işleminde; gerçek/tüzel kişi müşteriye ilişkin veriler, işleme faaliyetine konu olurken kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşterinin diğer verileri ile farklı ortamda bulunacak ve fakat bu veriler bir araya getirilmedikçe de müşteriyle ilişkilendirilmeyecektir. Yönetmelik ilişkilendirmeme faaliyetinde de her hâlükârda teknik ve idari tedbirlerin alınmasını şart koşmuştur.
Öte yandan anonim hale getirme işlemi KVKK’da veri imha yöntemlerinden biri olarak kabul edilmekle birlikte Yönetmelikte KVKK tanımından ayrı olarak aşağıdaki şekilde tanımlanmıştır.
“Müşteriye ilişkin verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek hale getirilmesini ifade eder.’’
Bu tanımdan hareketle gerek anonim hale getirme gerekse kimliksizleştirme faaliyetlerine konu olan müşteriler gerçek veya tüzel kişi olabilmektedir. Kimliksizleştirme işleminde kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşterinin verileri farklı işleme ortamlarında saklanarak bir araya getirilmedikçe gerçek/tüzel kişi müşteriyi belirli veya belirlenebilir kılma ihtimali bulunmamaktadır. Anonim hale getirme işleminde ise gerçek/tüzel kişi müşterinin verileri başka verilerle eşleştirilse dahi gerçek/tüzel kişi müşteriyi belirli veya belirlenebilir kılma ihtimali bulunmamaktadır. Bu özelliğiyle anonim hale getirme, kimliksizleştirme işleminden ayrılmaktadır.
Toplulaştırma ise;
“Müşteriye ilişkin verilerin, gruplama, özetleme, toplu gösterim gibi istatistiksel amaçlarla diğer müşterilere ilişkin verilerle birleştirilerek kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek şekilde işlenmesini”
İfade etmektedir.
Toplulaştırma işlemi kimliksizleştirme ve anonim hale getirme yönteminden ayrılarak bu işlem yapılırken; veri, gerçek/tüzel kişi müşteri ile ilişkilendirilmeyecek şekilde işlenmektedir. Toplulaştırmada asıl amaç verinin “gruplama, özetleme, toplu gösterim gibi istatistiksel” amaçlarla veri işleme faaliyetine konu olmasıdır.
Yönetmeliğin 4. ve 5. maddelerinde sır saklama yükümlülüğü ve istisna tutulan hallere açıklık getirilmiştir. Yönetmeliğin 4.maddesi, Kanun’un 73.maddesinde tanımlanan banka ve müşteri sırrını öğrenenlere, bu sırları açıklamama yükümlülüğü yüklemektedir. Bu yükümlülük kişilerin görevden ayrılmalarından sonra da devam eder.
Yönetmelik, müşteri sırrının ne olduğunu 4.maddenin 3.fıkrasında aşağıdaki şekilde açıklamaktadır:
“Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilgi de müşteri sırrı kapsamındadır…”
Bununla birlikte Yönetmelik; müşteri ilişkisi kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi durumunu da sır saklama yükümlülüğü kapsamına dâhil etmektedir.
Yönetmeliğin 4.maddesinin son fıkrası aşağıdaki düzenlemeyi haizdir:
“Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir…”
Belirtmek gerekir ki bu yükümlülük, verilerin müşteri sırrı haline gelmesinden itibaren başlar. Müşteri ilişkisi kurulmasından bağımsız olarak, gerçek kişileri belirlenebilir kılan her türlü bilginin kişisel veri olduğu dikkate alındığında; yukarıda yer verilen düzenlemelere ek olarak KVKK’da öngörülen yükümlülüklere de uygun davranılması gerekmektedir.
Kanun’un 73.maddesinin ilk fıkrasında öngörüldüğü üzere, asıl olan Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personelinin görevleri sırasında öğrendikleri banka ve müşteri sırlarını saklamakla yükümlü olmalarıdır. Öte yandan, ilgili maddenin devamında sır saklama yükümlülüğüne ilişkin istisnalara da yer verilmiştir.
Yönetmelik ile, Kanun’da düzenleme alanı bulan sır saklama yükümlülüğüne ek düzenlemeler getirilmiştir. Sır saklama yükümlülüğüne aykırılık teşkil etmeyen haller ancak müşteri sırrı niteliğindeki bilgilerin bu konuda kanunen açıkça yetkili kılınan merciler ile paylaşılması durumunda geçerli olacaktır.
Tüm bunlara ek olarak,
Yönetmeliğin 5.maddesinde sıralanan banka veya müşteri sırrı niteliğindeki bilgilerin paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmeyecektir.
Yönetmeliğin 6. maddesi ile, sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dâhil olmak üzere, banka sırrı ve müşteri sırrının paylaşımında yalnızca aktarım amacı ile sınırlı olmak ve ölçülülük ilkesine uygun davranılması gerektiği hüküm altına alınmıştır. Belirtmek isteriz ki, paylaşımı yapılan bilginin, aktarımı yapılan tarafça önceden bilinmesi veya bilinmemesi bilginin paylaşıldığı ve bu paylaşım ile sır saklama yükümlülüğünün ihlal edildiği gerçeğini ortadan kaldırmayacaktır.
Her halükarda, gerçek kişi müşterilere ilişkin sır niteliğini haiz bilgilerin paylaşımında KVKK’nın 4. maddesinde hüküm altına alınan genel ilkelere riayet edilmesi gerekmektedir. Öte yandan KVKK’da paylaşımı özel tedbirleri gerektiren sağlık ve cinsel hayata ilişkin kişisel veriler, Yönetmelikte öngörülen istisna haller de dâhil olmak üzere hiçbir surette yurt içi ve yurt dışındaki taraflar ile paylaşılamaz.
Gerek Kanun hükümleri gerekse Yönetmeliğin 5. maddesinde belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşteri sırrı niteliğindeki bilgiler müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz.
Son olarak Yönetmeliğin 7.maddesi ile bankalara; müşteri sırrı ve banka sırrı niteliğindeki bilgilerin,
amacı ile “Bilgi Paylaşım Komitesi” kurma zorunluluğu getirilmiştir.
Öncelikle, KVKK’da tanımlanmayan ve fakat kişisel veriler ile yakın temas içerisinde olan “kimliksizleştirme” ve “toplulaştırma” kavramlarının Yönetmelik ile sınırı daha net biçimde çizilmiştir. Bunun yanı sıra daha öncesinde Kanun’un 73.maddesi ile düzenlenen müşteri ve banka sırrına ilişkin sır saklama yükümlülüğünün istisnaları, Yönetmelik ile açıklığa kavuşturulmuştur. Son olarak; Yönetmelik kapsamında bankaların “Bilgi Paylaşım Komitesi” kurmaları zorunlu hale getirilmiş ve bu şekilde Yönetmelik’e uyum süreci nispeten daha kademeli biçimde gerçekleştirilmesine olanak sağlanmıştır.
Yönetmelik, 01.01.2022 tarihinde yürürlüğe girecektir.
Bilgi ve değerlendirmelerinize sunulur.
Yazar : Av. İrem Akıncı - Av. Birce Aksakal