25.02.2020 tarihli Resmi Gazete'de yayınlanan ve aynı gün yürürlüğe giren 7222 sayılı "Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun'un" 10. maddesi ile 5411 sayılı Bankacılık Kanunu'nun 73. maddesinde önemli değişiklikler yapılmıştır.

  • Yeni düzenleme ile Bankacılık Kanunu'nun 73. maddesine "müşteri sırrı" kavramı getirilmiş ve bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler olarak tanımlanmıştır. Burada dikkat çeken husus hem gerçek kişilere ait hem de tüzel kişilere ait verilerin "müşteri sırrı" olarak tanımlanmış olmasıdır.
  • Bir diğer yenilik ise, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan haller haricinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle müşteri sırlarının paylaşılamayacağı ve aktarılamayacağıdır.

KVKK açık rızayı "Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlamıştır. Bu tanım uyarınca bankaların müşterilerinden aldıkları açık rızanın kabul edilebilmesi için;

  • İlgili kişiden rıza talep etmeden önce kişisel verilerin hangi sebeple işleneceği ve aktarılacağı hakkında ilgili kişiyi bilgilendirmeli,
  • İlgili kişi tarafından verilen rıza, müşterinin bilgilendirilmiş olduğu konuyla ilgili olmalı,
  • Rıza herhangi bir şart veya koşula bağlanmadan özgür irade ile verilmiş olmalıdır.

Açık rıza, niteliği itibariyle kişinin bilgilendirilmesine ve özgür iradesine dayanan, kendi isteği doğrultusunda verdiği onaydır. Bu onay aynı zamanda kişiye bağlı bir hak olarak karşımıza çıkar ve istenildiği zaman geri alınabilen bir niteliğe sahiptir. Dolaysıyla isteyerek verilen ve talep doğrultusunda geri alınabilen "açık rıza" haricinde düzenlemeye konu kanuna talep şartı getirilmesi bankaları, kişisel verilerin daha hassas korunması yükümlülüğü ile karşı karşıya getirmiştir.

Hangi paylaşımların müşteri sırlarının paylaşım kuralının ihlali sayılmayacağı madde içeriğinde yer almaktadır.

  • Düzenlemenin son kısmında ise, Bankacılık Düzenleme ve Denetleme Kurulu'na (BDDK) ekonomik güvenlik gerekçesine dayanarak, müşteri sırrı ya da banka sırrı niteliğindeki her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklama yetkisi verilmiştir.

Bu düzenleme ile kişisel veri aktarımı gibi özel bir konuda Kişisel Verileri Koruma Kurumu'nun yanı sıra sektörün düzenleyici ve denetleyici kurumu olan BDDK'ya da benzer bir yetki verilmiştir.

Yapılan değişiklikler ile bankalar, KVVK'da düzenlenenden daha sıkı bir veri koruması rejimine tabi kılınmıştır. Bugün için geçerli olan hukuk, bankaların müşterisinden herhangi bir talep veya talimat gelmeden yurt dışına aktarım yapamayacağı yönündedir. Hukukun bütünlüğü ilkesi gereğince bu yasak hem BDDK'yı hem de KVKK'yı bağlar. Aksi bir durumla karşı karşıya kalınması halinde ilgili banka her iki kurumun da menziline girmiş ve her iki hukuk disiplinini de ihlal etmiş olur. Dolaysıyla bankaların bu hususta çok dikkatli olması gerekecektir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.