2022/1 Sır Niteliğindeki Bilgilerin Paylaşılması Hk. Yönetmeliğin Uygulanmasına İlişkin Açıklamalar

Söz konusu Yönetmeliğe ilişkin olarak uygulamada yaşanabilecek tereddütleri gidermek amacıyla, Yönetmeliğin uygulanmasında, 5411 sayılı Bankacılık Kanununun 73 üncü maddesinin beşinci fıkrası ile 93 üncü maddesi çerçevesinde alınan 11/08/2022 tarihli ve 10295 sayılı Kurul Kararı ile onaylanan ekte yer alan açıklamaların dikkate alınması gerekmektedir.

Tebliğ olunur.

SIR NİTELİĞİNDEKİ BİLGİLERİN PAYLAŞILMASI HAKKINDA YÖNETMELİĞİN UYGULANMASI HAKKINDA EK AÇIKLAMALAR

1. Sır Saklama Yükümlülüğüne İlişkin Açıklamalar (Madde 4)

1.1. Banka çalışanlarına ait verilerin banka sırrı niteliğindeki bilgi olarak değerlendirilip değerlendirilmeyeceği:

5411 sayılı Bankacılık Kanununun (Kanun) 73 üncü maddesinin üçüncü fıkrası uyarınca, bankacılık faaliyetlerine özgü olarak bankayla müşteri ilişkisi kurulduktan sonra oluşan veriler müşteri sırrı niteliğini haiz olmaktadır. 04/06/2021 tarihli ve 31501 sayılı Resmî Gazete’de yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Yönetmeliğin (Yönetmelik) 4 üncü maddesinin üçüncü ve dördüncü fıkralarında da bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceği, bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilginin de müşteri sırrı kapsamında olduğu, kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin verilerin, tek başına sır kapsamında bulunmadığı ancak ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde müşteri sırrı haline geleceği düzenlenmiştir.

Bu kapsamda, banka ile müşteri ilişkisi bulunmayan veya müşteri ilişkisi bulunsa dahi işveren-çalışan ilişkisinden kaynaklı olarak elde edilen banka çalışanına ait kişisel bilgilerin (T.C. kimlik numarası, adres, telefon, insan kaynakları verileri gibi), banka sırrı niteliğindeki bir bilgi ya da veriyle birlikte işlenmemiş olması kaydıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri olarak ele alınması gerekmektedir.

Bununla birlikte, insan kaynakları verileri gibi, banka çalışanlarına ait kimi veriler bir bankanın mali durumu hakkında ya da kredi verme ve mevduat toplama gibi temel faaliyetlerine ilişkin banka yönetim esasları ve bankanın uyguladığı teknik yöntemler ile banka potansiyeli hakkında bilgiler barındırabileceğinden, bankaca korunmasında ve gizli tutulmasında yarar görülmesi halinde bu nitelikteki verilerin de “banka sırrı” kapsamında ele alınması mümkündür.

Diğer taraftan, yukarıda da belirtildiği üzere, banka ile çalışanı arasında müşteri ilişkisi bulunduğu durumlarda, söz konusu çalışana ilişkin kişisel bilgilerin bu kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde müşteri sırrı haline geleceği de tabiidir.

2. Sır Saklama Yükümlülüğünden İstisna Tutulan Hallere İlişkin Açıklamalar (Madde 5)

2.1. Yönetmeliğin 5 inci maddesinin dördüncü fıkrası (“…Uyum riski amacıyla yapılacak paylaşımların, paylaşımı yapan ya da paylaşımın yapıldığı karşı tarafın tabi olduğu ulusal ya da uluslararası bir mevzuattan kaynaklanması şarttır.”) kapsamında, uyum riski yönetimi için talep edilen bilginin geçerli bir mevzuat maddesinden kaynaklandığı veya ilgili düzenleyicinin mevzuatın kendisine verdiği hak ile ana ortaktan uygulamasını talep ettiği bir kontrol çerçevesinde olduğu somut şekilde ortaya konulabiliyorsa ya da uyum riski kapsamında talep edilen bilgi ana ortaklığın/hâkim ortağın yasal yükümlülükleri çerçevesinde oluşturduğu dâhili politikalara/iş süreçlerine dayanıyorsa Yönetmeliğin 6 ncı maddesinin birinci fıkrasının (ç) bendine bağlı kalınmaksızın “ortak müşteri” niteliğinde olmayan müşteri bilgilerinin paylaşılıp paylaşılamayacağı:

Yönetmeliğin 5 inci maddesinin dördüncü fıkrasında; 5 inci maddenin ikinci fıkrasının (b) bendi ve üçüncü fıkrası kapsamında risk yönetimi amacıyla yapılabilecek paylaşımların, 11/7/2014 tarihli ve 29057 sayılı Resmî Gazete’de yayımlanan Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğinde (İSEDES Yönetmeliği) yer verilen risk yönetim sistemi içinde yer alan uyum, kredi, itibar riskleri de dâhil olmak üzere tüm risk kategorilerine ilişkin risk yönetim faaliyetlerini kapsadığına hükmedilmiştir.