BDDK sır niteliğindeki bilgilerin paylaşılması ile ilgili önemli bir düzenleme getirdi. 25.02.2020 tarihinde 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73. Maddesinde yapılan değişiklikle bankacılık faaliyetlerine konu müşteri ya da banka sırrı niteliğindeki verilere dair özel hükümler içerisinde bir sır saklama yükümlülüğü öngörülmüş ve BDDK, “sır niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye ve bunlara ilişkin sınırlamalar getirmeye” yetkili kılınmıştı. Müşteri sırrı kavramı ile kişisel veri kavramının birlikte nasıl anlaşılacağı uygulamacılar arasında eleştirilmiş ve bu belirsizliklerin giderilmesi ihtiyacı oluşmuştu.
Aşağıda detaylarıyla yer vereceğimiz düzenlemeler, 01.01.2021 tarihinde yürürlüğe girerek kişisel verilerin korunması bakımından önemli yenilikler ve pek çok konuya açıklık getirecektir.
BDDK Yönetmelikte Nelere Değiniyor?
Yönetmelik, sır saklama yükümlülüğünü ve bu yükümlülüğün istisnalarını, bilgilerin paylaşımına ilişkin usul ve esasları düzenlemekte; müşteri sırrı, bankacılık sırrı gibi kavramlara açıklık getirmektedir. Bununla beraber bankaların, müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımının koordine edilmesi, paylaşım taleplerinin değerlendirilmesi ve kayıt altına alınması görevleriyle yükümlendirilmiş Bilgi Paylaşım Komitesi kurması zorunlu hale gelmektedir.
Müşteri sırrı, bankanın müşterisi olduktan sonra oluşan müşteriye ait veriler olarak tanımlanmakta; başka bir bankanın müşteri sırrı olması, müşterisi olmasa da bu veriyi elde eden banka için müşteri sırrı olarak nitelendirilmektedir. Müşteri olmadan önce var olan verilerin ise müşteri olduktan sonra oluşan verilerle beraber işlendiğinde müşteri sırrı niteliğini kazandığı ifade edilmektedir. Banka sırrı ise, müşteriye ait olmayan yalnızca bankaya ait bilgiler olarak anlaşılmaktadır.
Sır niteliğindeki bilgilerin paylaşılması süreçlerinin tamamının ölçülü olması aranmakta ve ölçülülük için asgari olarak uygulanacak yöntemler sayılmaktadır. Kimliksizleştirme ve toplulaştırma gibi yöntemler ile KVKK’dan da bildiğimiz anonimleştirme yöntemleri; en az veri kopyası gerektiren paylaşım kurguları yaratılması gerekmektedir. KVKK m.4’e atıf ile müşteri sırrı olup kişisel veri niteliğini taşıyan sır niteliğinde bilgiler için işlenme amacıyla sınırlı, ölçülü bağlantılı olmaya ek olarak diğer KVKK ilkelerinin de mutlaka gözetileceği ifade edilmektedir. Sır niteliğindeki bilgilerin paylaşılması amacıyla açık rıza alınmış olması durumunda bile ayrıca müşteri talep veya talimatı bulunmadıkça bu bilgilerin paylaşılması mümkün olmayacağı önemli bir düzenleme olarak karşımıza çıkmaktadır.
İstisnaları düzenleyen 9 fıkradan oluşan 5. madde ile pek çok istisnaya yer verilmiştir. Bu istisnaların bazılarının sır niteliğinde bilgilerin amaç ile sınırlı olarak paylaşılmasının ilkesine aykırı paylaşımlara yol açabilecek şekilde düzenlendiğinden özellikle kişisel verilerin korunması kanuna aykırı uygulamalara sebep olabileceğini ifade etmek gerekmektedir.
Ayrıca bakınız, Bankacılıkta Islak İmza Zorunluluğu Resmi Olarak Kalktı!
McDonald’s Siber Saldırı Sonucu Veri İhlali Yaşadı!
Kaynak; https://www.resmigazete.gov.tr/eskiler/2021/06/20210604-6.htm