04.06.2021 Tarihli ve 31501 Sayılı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 6698 sayılı Kişisel Verilerin Korunması Kanunu Düzenlemeleri Çerçevesinde Değerlendirilmesi

04.06.2021 tarihli ve 31501 sayılı Resmi Gazete’de; yürürlük tarihi 01.01.2022 olan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”)” yayımlanmıştır. Her ne kadar düzenleme banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin usul ve esasları belirliyor olsa da bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilere ilişkin paylaşım esaslarını içerdiğinden 6698 s. Kişisel Verilerin Korunması Kanunu (“KVKK”) ile ilişkili olduğunu söyleyebiliriz. İşbu Yönetmelik ile sır saklama yükümlülüğün istisnalarının netleştirilmesi sağlanırken KVKK ile bağlantılı konular da kapsamlı şekilde açıklanmıştır. Aynı zamanda veri koruma mevzuatından bildiğimiz “kimliksizleştirme” terimi tüzel kişileri de kapsayacak şekilde bankacılık sektörünün hayatına bu düzenleme sayesinde girmiştir.

Aşağıda Yönetmeliğin KVKK ile ilişkilendirilen kısımlarına kısaca yer vermek isteriz;

“Tanımlar” başlıklı 3 üncü maddede;

(a) Açık rıza: KVKK’nın 3 üncü maddesinde tanımlanan açık rızayı,

(ç) Anonim hale getirme: Müşteriye ilişkin verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek hale getirilmesini,

(h) Kalıcı veri saklayıcısı: Müşterinin gönderdiği veya kendisine gönderilen bilgiyi, bu bilginin amacına uygun olarak makul bir süre incelemesine elverecek şekilde kaydedilmesini ve değiştirilmeden kopyalanmasını sağlayan ve bu bilgiye aynen ulaşılmasına imkân veren kısa mesaj, elektronik posta, internet, CD, DVD, hafıza kartı ve benzeri her türlü araç veya ortamı,

(i) Kimliksizleştirme: Müşteriye ilişkin verilerin; kimliği belirli veya belirlenebilir söz konusu gerçek/tüzel kişi müşteri ile ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili müşteriyle ilişkilendirilemeyecek şekilde işlenmesini,

(j) Kişisel veri: KVKK’nın 3 üncü maddesinde tanımlanan kişisel veriyi,

(n) KVKK: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

(ö) Toplulaştırma: Müşteriye ilişkin verilerin, gruplama, özetleme, toplu gösterim gibi istatistiksel amaçlarla diğer müşterilere ilişkin verilerle birleştirilerek kimliği belirli veya belirlenebilir bir gerçek/tüzel kişi müşteri ile ilişkilendirilemeyecek şekilde işlenmesini,

(r) Veri işleme: Verilerin, elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, paylaşılması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

hususlarına yer verilmiştir. İlk bakışta Yönetmelik’te “Anonimleştirme” kavramının KVKK'dakinden farklı olarak tanımlandığı ve anonimleştirmeden farklı olarak "Kimliksizleştirme" tanımı yapıldığı görülmektedir. Yine daha çok bilgi notlarında görmeye alışık olduğumuz “KVKK” kısaltması bir tanım olarak düzenlemede yerini almıştır.

“Anonim hale getirme” ve “Kimliksizleştirme” arasındaki fark

Anonim hale getirme tekniklerinin uygulanması sonucunda, verinin eski haline getirilmesi mümkün değildir. Verinin tekrar ilgili kişi ile ilişkilendirilmesi mümkünse; anonim hale getirme işlemi başarılı bir şekilde uygulanmamış olacaktır. Kimliksizleştirme işleminin uygulandığı durumlarda ise (Generalization ve supression teknikleri olarak bilinmektedir.) veriyi kişi ile tekrar ilişkilendirebilmek mümkündür. Bu işlemde temel olarak kişinin belirlenebilmesi riskini en aza indirecek şekilde kişisel olarak tanımlanabilir herhangi bir veri bireysel kayıtlardan çıkartılır veya gizlenir. Sonuç olarak anonim hale getirme işlemleri ile kişi ile veri arasındaki bağ tamamen koparılırken kimliksizleştirme işleminin uygulandığı durumlarda kişi ile veri arasındaki bağı tekrar kurmak mümkündür.

Sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler

6 ncı maddenin ilk fıkrasında, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabileceği ifade edilmiştir. Karşı tarafın bilgilerin içeriğine vakıf olup olmadığına bakılmaksızın sır kapsamındaki bilgilerin aktarılmasının da paylaşım olarak kabul edileceği ve paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğunun söylenemeyeceği ifade edilmiştir. Buradan bahisle, Yönetmelik kapsamında müşteri sırrı niteliğindeki verilerin paylaşılmasının ancak KVKK’daki “ölçülük” ve “amaçla orantılılık” ilkeleri çerçevesinde gerçekleştirilebileceği değerlendirilmektedir.

Bu kapsamda, yapılacak paylaşımların ölçülü olabilmesi için asgari olarak aşağıdaki hususların tamamının yerine getirilmesinin gerekliliği Yönetmelik’te düzenlenmiştir:

a)Belirtilen hangi amaçlarla ilişkili ise, paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.

b)Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.

c)Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.

ç)Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hakim ortak ya da grup şirketinin de ortak müşterisi değilse, bu taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve (c) bendinde belirtilen yöntemlerin kullanılması.

d)Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.

Bankacılık faaliyetleri kapsamında, gerçek veya tüzel kişilerin banka ile müşteri ilişkisi kurulduktan sonra oluşan verileri “müşteri sırrı” haline gelmektedir. Yönetmeliğin 6 ncı maddesinin ikinci fıkrasında gerçek kişi müşterilere ilişkin sır niteliğindeki bilgilerin paylaşımında KVKK’nın 4 üncü maddesinde yer verilen genel ilkelere uyulmasının zorunlu olduğu belirtilmiştir. Yine anılan madde hükmü uyarınca, müşteri sırrı niteliğindeki bilgilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden doğrudan gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılması ve bunlara aktarılması mümkün değildir. Düzenlemeye göre; müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek veya müşterinin açık rızası alınarak yurt içindeki ya da yurt dışındaki taraflarla paylaşılamayacaktır.

Son olarak; bankaların işbu Yönetmelik uyarınca, 5 inci madde kapsamında yapılacak paylaşımlar da dâhil olmak üzere, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin, paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bu değerlendirmeleri kayıt altına almakla sorumlu olan ve görev tanımları ile çalışma esasları banka yönetim kurulu tarafından onaylanan Bilgi Paylaşım Komitesi kurması zorunlu hale getirilmiştir. Bu komitenin asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacağı belirtilmiştir.