Bankacılık Mevzuatında Veri Aktarımı ve Saklanmasına Dair Yeni Düzenlemeler

Bankacılık Mevzuatında Veri Aktarımı ve Saklanmasına Dair Yeni Düzenlemeler

25 Şubat 2020 tarihinde yürürlüğe giren 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile Bankacılık Kanunu’nda değişiklik yapılarak, bankaların veri yönetimini etkileyecek düzenlemeler getirildi. Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından Bankacılık Kanununda yapılan değişikliklere uygun olarak hazırlanan ve benzer derecede önemli yükümlülükler içeren “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (“Yönetmelik”) ise 15 Mart 2020 tarihli Resmi Gazetede yayınlanarak yürürlüğe girerek, bankaların bilgi sistemleri yönetimi hakkında düzenlemeler içerirken, veri gizliliği ve verilerin paylaşımına ilişkin düzenlemeler de getirmiştir.

Müşteri Sırrı tanımı

Bankacılık Kanunu madde 73’te yapılan değişiklik ile müşterilerin bankalar ile bankacılık faaliyetleri doğrultusunda kurdukları müşteri ilişkisinden sonra oluşan tüzel ve gerçek kişilere ait verilerin müşteri sırrı haline geleceği düzenlenmiştir.

Bu tanımda dikkat edileceği üzere, bankaların bankacılık faaliyetleri dışında yürüttükleri hizmetler doğrultusunda kurulan müşteri ilişkileri müşteri sırrı kapsamı dışında bırakılmaktadır. Yine bankaların dolaylı olarak müşteri ilişkisi kurmadan hizmet verdiği durumlarda edindiği veriler de bu tanımın dışında kalmaktadır.

Müşteri sırrı tanımı, müşterilere ait kişisel verileri kapsamakla birlikte kişisel olmayan verileri de kapsayabilir. Bu açıdan değerlendirmeye konu verilerin öncelikle müşteri sırrı kapsamında kalıp kalmadığı, ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında kişisel veri olup olmadığı ayrı ayrı değerlendirilmelidir.

Müşteri sırrı niteliğindeki verilerin aktarılması

Bankacılık Kanunu’nda yapılan değişiklik ile, BDDK’ya ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar alma konusunda yetki verilmiştir.

Buna istinaden, müşteri sırrının aktarımı noktasında yurt içi ve yurt dışı ayrımı yapılmadan bir düzenleme yapılmıştır. Müşteri sırrı kapsamında edinilen veriler KVKK uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen yazılı ya da ispat edilebilir bir talep ya da talimat olmaksızın yurt içi ve yurt dışındaki üçüncü kişilere aktarılamayacağı düzenlenmiştir. Diğer kanunlardaki emredeci hükümler, denetim işlemleri, mahkeme talepleri, şirket alım satımları, ilgili bakanlıklara yapılacak paylaşımlar ve madde 73 de sayılan diğer istisnalar bu kapsam dışındadır.

Burada üzerinde önemli durulması gereken nokta, KVKK m. 9’da sayılan yurt dışına kişisel veri aktarımını hukuka uygun hale getiren koşullar kapsamında ya da ve bu maddeye dayanarak ilan edilen “Bağlayıcı Şirket Kuralları” uyarınca, bankaların müşteri sırrı kapsamındaki verileri, yurt dışına müşteriden gelecek talimat ya da talep olmaksızın aktaramayacağıdır.

Bu kapsamda, müşteri sırrı niteliğindeki bilgilerin yurt dışına aktarımı söz konusu olduğunda dikkate alınması gereken iki husus bulunmaktadır: (i) Yönetmelik uyarınca müşterinin talimat ya da talebinin alınması ve (ii) KVKK bakımından yurt dışına aktarım için madde 9 gereklerine uygunluk sağlanması.

Sistem yerelleştirmesi

Bankacılık Kanunu’ndaki yeni düzenlemeler ile BDDK, bankaların bankacılık işlemlerini yürütmekte kullandıkları birincil ve ikincil sistemlerini yurt içinde bulundurulmasında karar almaya yetkilendirilmiştir.

Bankaların birincil ve ikincil sistemleri söz konusu düzenleme öncesinde de “Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik” uyarınca yurt içinde bulunduruluyordu. Bankacılık Kanunu’ndaki değişiklik sonrasında getirilen Yönetmelik m. 25 altında, bütün sistemlerin kaçıncı yedek olduğuna bakılmaksızın yurt içinde bulundurulması gerektiği düzenlenmiştir. Ayrıca, birincil veya ikincil sistemler kapsamında olan bir faaliyet için dış hizmet ya da bulut bilişim hizmeti alınması halinde, dış hizmet sağlayıcının sunduğu hizmete ilişkin faaliyetleri yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de birincil ve ikincil sistemler kapsamında ele alınır ve yurt içinde bulundurulur ifadesi ile bulut hizmeti sunucularının da sistemlerinin Türkiye’de bulunması gerektiğinin altı çizilmiştir.

Kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye'de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterileceği ve dış hizmet alımında önemli bir kriter olarak değerlendirileceği ve bu tür sağlayıcıların ve üreticilerin Türkiye'de müdahale ekiplerinin bulunması gerektiği hususunda ek düzenleme Yönetmelik ile getirilmiştir.

Yaptırım

Bankacılık Kanunu’nun “sırların açıklanması” başlıklı 159. Maddesi’nde müşteri sırrı niteliğini haiz verilerin aktarılmasını düzenleyen m. 73/3’e aykırı davranılması durumunda bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunacağı düzenlenmektedir. Bankacılık Kanunu’nun 148. Maddesine göre, kanuna veya kanun uyarınca çıkarılan düzenlemelere uymayanlar hakkında idari para cezası uygulanması mümkündür. Diğer yandan KVKK kapsamında kişisel verilerin hukuka aykırı olarak aktarılması idari para cezası yaptırımlarına, ayrıca Türk Ceza Kanunu kapsamında da cezai yaptırımlara tabi tutulmaktadır.

Sonuç

Bankacılık Kanunu’nda yapılan değişiklikler ve çıkarılan Yönetmelik hükümleri birlikte değerlendirildiğinde bankaların elinde bulundurduğu verileri tanımlaması ve yurt dışına aktarım yöntemini bu tanımlamaya uyan yöntemler ile gerçekleştirmesi gerekmektedir. Bunun yanında kişisel verilerin yurt dışına aktarılması hususundaki belirsizlikler de devam etmektedir, dolayısıyla veri aktarımının hem kişisel veri hem de müşteri sırrı kapsamında farklı boyutları ile ele alınması yerinde olacaktır.

----------------------------

Kişisel Verilerin Korunması ve Gizlilik ve Finans 

Begüm Yavuzdoğan Okumuş ve Direnç Bada 


Paylaş: