Ülkemizde kişisel verilere ilişkin 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine bir fıkra eklenerek kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvence altına alınmıştır. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Hükmüne yer verilmiştir. Kişisel verilerin korunmasının anayasal bir hak olarak düzenlenmesinden sonra, 07.04.2016 tarihinde Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (Direktif) esas alınarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kişisel Verilerin Korunması Kanunu veya Kanun) yürürlüğe girerek, kişisel verilerin korunması kavramına yönelik müstakil, açık ve kanuni bir düzenleme oluşturulmuştur.
Bununla birlikte, ulusal mevzuatta çeşitli açılardan özellik arz eden kişisel verilerin yoğun bir şekilde işlendiği ve özel koruma gerektiren bazı sektörlere özgü düzenlemeler yapıldığı da görülmektedir. Örneğin, 5908 Sayılı Elektronik Haberleşme Kanunu ve ikincil düzenlemesi Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik ’te özellikle açık rızanın alınma şartları ve milli güvenliği ilgilendirdiğinden trafik ve konum bilgilerinin yurtdışına aktarımının yasaklandığı düzenlemelere yer verilmiş, yine sağlık sektöründe de Kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel veri olarak kabul edilen sağlık verileri daha sıkı koruma düzenlemelerine tabi tutulmuş, bunun yanı sıra Kişisel Sağlık Verileri Hakkında Yönetmelik ’te de özel düzenlemelere yer verilmiştir.
Çalışma konumuz olan bankacılık sektöründe de kişisel veriler, bankalar nezdindeki özellikle müşteri verisinin sosyo-ekonomik yönden büyük öneme sahip olması ve bankaların ellerinde büyük bir veri rezervi bulundurmaları nedeniyle daha sıkı koruma hükümlerine tabi tutulmuşlardır.
Öncelikle ifade etmek gerekir ki, bankalar Kişisel Verilerin Korunması Kanunu kapsamında da bir tüzel kişi veri sorumlusu olup, bu Kanun’dan kaynaklanan yükümlülükleri yerine getirmek zorundadır.
Bankacılık sektörüne özel yasal düzenlemelere bakıldığında ise, 5411 Sayılı Bankacılık Kanunun 73. Maddesinde 25 Şubat 2020 tarihli ve 31060 sayılı Resmî Gazete’de yayımı tarihinde yürürlüğe girmek üzere yayımlanan 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (7222 Sayılı Kanun) m. 10 ile “müşteri sırrı” ve “banka sırrı” kavramlarının korunmasına yönelik bankacılık sektörüne özel yükümlülükler getirilmiş, yine aynı paralelde 4 Haziran 2021 tarihli ve 31501 sayılı Resmî Gazete' de yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (Yönetmelik)’te de yine Müşteri Sırrı ve Banka Sırrı niteliğindeki bilgilerin paylaşılmasına ilişkin usul ve esasları düzenlemiştir. 01.01.2022 tarihinde yürürlüğe gireceği düzenlenen ilgili Yönetmelik’in yürürlük tarihi 01.07.2022 tarihine ertelenmiştir. Yine, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (Elektronik Bankacılık Yönetmeliği) ve Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliği (İSEDES Yönetmeliği) de bankacılık sektörüne özgü veri koruma düzenlemeleri içermektedir.
Kişisel Verilerin korunması Kanunu karşısında özel nitelikli normlar olan Bankacılık Kanunu m. 73 hükmü ve Yönetmelik hükümleri ile müşteri sırrı ve banka sırrı niteliğindeki verilere ilişkin düzenlemelere yer verilmiş, koruma ve paylaşıma ilişkin düzenlemeler yapılmıştır. Bu düzenlemelerden en çarpıcı olanı, sır niteliğindeki bilgilerin paylaşımında “açık rıza alınsa dahi” müşterinin talep veya talimatının bulunmaması halinde sır niteliğindeki bilgilerin paylaşımının yasaklanmış olmasıdır.
Bilindiği gibi Kişisel Verilerin Korunması Kanunu Kapsamında açık rıza; kişisel verilerin, Kanunun m5/2 ve m. 6/3 gereği hukuka uygunluk nedenlerinin bulunmadığı durumlarda işlenebilmesinin ve m.8 ve m.9 gereği yurt içinde veya yurt dışında üçüncü bir kişiye aktarılabilmesinin tek yoludur. Kişisel Verilerin korunması Kanunu m.3/1, a’ya göre açık rıza, belirli bir konuda, aydınlatmaya dayalı ve özgür iradeyle ortaya koyulan irade beyanıdır.
Bankacılık Kanunu m.73 değişikliğiyle ise; “Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.” hükmü düzenlenmiştir.
Yine aynı paralelde, Yönetmelik’in 6/3. maddesi “Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, 5 inci maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez.” hükmünü amirdir.
Ayrıca 01.01.2021 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (Elektronik Bankacılık Yönetmeliği) Verilerin paylaşılması başlıklı 10. Maddesinde, ilgili iki düzenlemeye paralel olarak; “(1)Banka, müşterinin kendisinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, Kanunda yer alan istisnai haller haricinde yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamaz ve bunlara aktaramaz. (2) Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.” hükmünü amirdir.
Tüm bu düzenlemelere göre, müşteri sırrı niteliğini haiz verilerin “açık rıza alınsa dahi” bankalar tarafından yurt içine veya yurt dışına aktarılabilmesi için ancak,
1. Müşteri talep veya talimatının bulunması,
2. Bu aktarımın mevzuatta öngörülmüş olması,
3. Veyahut da Bankacılık Kanunu m. 73 kapsamında bu aktarımın bir istisna olarak belirtilmiş olması
Gerekmektedir.
Yine m. 73’e göre müşteri sırrı niteliğindeki bilgiler her halükârda belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uyumlu şekilde amacın gerektirdiği kadar veri içermek şartıyla paylaşılabilecektir. Bu husus, 7222 sayılı Kanunun gerekçesinde sır saklama yükümlülüğünden istisna tutulan hallerde dahi bu durumun suiistimal edilerek orantısız veri aktarımının önüne geçilmesi amaçlanarak düzenlendiği ifade edilmiştir.
Hem Elektronik Bankacılık Yönetmeliği’nde, hem Kanunun 73/3 maddesinde, hem de Yönetmelik’te, 5. Maddede istisna tutulan haller haricinde bankanın veriyi müşterinin bir talebi ya da talimatı olmaksızın “açık rıza alınsa dahi” paylaşması, aktarması yasaklanmıştır. Bu düzenlemenin, Kişisel Verilerin Korunması Kanunu’nda düzenlenen “açık rıza” kavramını işlevsiz bıraktığı, Kişisel Verilerin Korunması Kanunu’nda sıkı koşullara bağlanmış açık rızanın yasa koyucular gözünde de aslında amacını gerçekleştiremeyeceği yönünde bir güvensizlik oluşturduğunun düşünüldüğü şeklinde eleştirilmiştir. Keza hüküm, açık rızanın olması halinde dahi buna itibar edilmeyerek müşterinin talebi ve ya talimatının bulunmasını zorunlu kılmaktadır.
Bankacılık Kanunun 73. Maddesinin değişiklik gerekçesinde; Bankacılık Kanunu ile Kişisel Verilerin Korunması Kanunu hükümleri arasında uygulamada özel-genel nitelikli kanun ayrımında yaşanabilecek sorunların giderilmesi amacıyla, Bankacılık Kanunu hükümlerinin özel nitelikli kanun olarak dikkate alınması gerektiği ve müşteri sırrı niteliğine sahip bilgilerin aktarımı açısından özel nitelikli kanun olarak Bankacılık Kanunu m. 73’ün dikkate alınması gerektiği ifade edilmiştir. Buradan hareketle de müşteri sırrı niteliğindeki verilerin aktarımı konusunda açıkça Bankacılık Kanunu m. 73 ve ilgili ikincil düzenlemeler yürürlük tarihleri itibariyle dikkate alınacaklardır. Fakat yine, müşteri sırrı niteliğine sahip kişisel veriler için Kişisel Verilerin Korunması Kanunu’nun da dikkate alınması zorunluluğu Yönetmeliğin Kişisel Verilerin Korunması Kanunu’nun genel ilkelerine uyulmasının zorunlu olduğunu belirten m. 6/2’de açıkça düzenlenmiştir. Buradan hareketle, Bankacılık Kanunu ve ilgili ikincil düzenlemeler öncelikli olmak üzere, Kişisel Verileri Koruma Kanunu hükümlerinden de sorumlu olan bankalar açısından kişisel verilerin işlenmesi faaliyetlerinin Kişisel Verilerin Koruma Kanunu’nun genel ve temel ilkeleri ile veri güvenliğine ilişkin düzenlemeler mutlak surette dikkate alınarak gerçekleştirilmelidir.
Madde gerekçesinin devamında, 73. Maddedeki sır niteliğindeki bilgilerin kanunların emredici hükümleri ile istisnalar haricinde aktarılmasına cevaz vermeyen düzenlemesine atfen, bankalar tarafından Kişisel Verilerin Korunması Kanunu kapsamında bankaca belirlenen amaçlar ve yöntemler için açık rıza alınmış olsa dahi bu açık rıza metinlerine itibar edilmesinin mümkün olmayacağı, herhangi bir mecburiyet ve ya mevzuatta sayılan istisna hallerinden biri olmadığı sürece sır saklama yükümlülüğünün delinmesinin yasaklanmış olduğu ifade edilmiştir.
Burada, özellikle bankanın kendinin aktif rol oynayarak bizzat hazırlayacağı açık rıza metnine değil de veri aktarımının ancak, bizzat müşteri tarafından hazırlanan, müşterinin aktif rol oynadığı talep veya talimatla mümkün olabileceği bir sistemin kurgulandığı ifade edilmiştir.
Gerekçe metninden, öncelikle Bankacılık Kanunu m. 73’te belirtilen müşteri talebi ya da talimatı yönteminin açık rızanın unsurlarıyla benzerlikler taşıması gerektiği sonucu çıkarılmalıdır. Buna göre gerekçede ifade edilen, “ilgili kişinin aktif rol alması” ile açık rızanın “özgür bir iradeyle ortaya koyulması” ve “olumlu irade beyanına dayanması” unsurlarıyla paraleldir. Yine, açık rızada olduğu gibi Bankacılık Kanunu m. 73 gereği verilecek müşteri talebi veya talimatının, belirli bir konuya özgü olması, maddenin ve ikincil düzenlemelerin temel amacına uygun olandır.
Yine, “müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez” şeklindeki düzenleme Kişisel Verileri Koruma Kanunu Kapsamında açık rızanın da geçerlilik koşuludur. Uygulamada hukuka aykırı bir şekilde açık rızanın ürün ve hizmetlerin ön koşulu olarak alınıyor olması şeklinde gerçekleşen vakıalar nedeniyle bankacılık gibi özellikli verilerin tutulduğu bir sektörde, uygulamadaki işbu hukuka aykırı durumun verdiği endişeyi gidermek amacıyla “açık rıza alınsa dahi” müşteri talep ve talimatının aranması ilgili düzenlemeyi eleştirilere açık ve açık rıza kavramının kanun koyucu gözünde dahi işlevsiz olarak değerlendirdiği sonucunu doğurmaktadır. Oysa, açık rıza, en az müşteri talep ve talimatı kadar güçlü bir irade ortaya koymaktadır. Keza açık rıza konusunda, Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlarda, genel nitelikte battaniye rıza olarak da ifade edilen genel rıza metinlerinin hukuka aykırı olduğu, açık rızanın ilgili kişinin özgür iradesi ile belirli bir konuya özgü ve ilgili kişinin aktif rol oynadığı bir şeklide alınması gerektiği hüküm altına alınmıştır. Aksi halde açık rıza metinlerine itibar edilemeyeceği ortadadır. Buradan hareketle kanun koyucunun Bankacılık Kanunu m. 73’ de açık rıza metinlerini “bankanın aktif rol oynadığı metin” şeklinde değerlendirmesi ve talep veya talimatın “müşterinin aktif rol oynadığı metinler” olarak nitelemesi açık rızanın işlevi ve amacı yönünden bazı sakıncalı değerlendirmeleri beraberinde getirmektedir. Keza açık rızanın geçerlilik koşulları da Kanun koyucunun çekinceleri ile paralel bir şekilde özgür iradeyle, ilgili kişinin aktif rol oynadığı, belirli bir olaya özgü ise geçerlidir. Bizce de, bu konuda açık rızanın gereği gibi alınmış olması halinde en az müşteri talep veya talimatı kadar güçlü bir irade beyanına ulaşılacaktır. Keza açık rızanın temel işlevi de budur. Bu nedenle ilgili düzenlemede “açık rıza alınsa dahi” şeklinde açık rızayı işlevsizleştiren bir düzenlemeye yer vermek yerine, özel nitelikli normlarla açık rızanın şekli ve gereği gibi alınıp alınmadığına ilişkin güçlü bir denetim mekanizmasının oluşturulması, hem kanun koyucunun ulaşmak istediği amaca daha uygun olacak, hem hukukun bütünlüğü ilkesini gözetildiği daha doğru bir yaklaşım gözetilecek hem de açık rıza gibi güçlü bir irade beyanını ifade eden kavramın işlevsiz kılınması engellenmiş olacaktır.
Bilindiği gibi, Kişisel Verilerin Korunması Kanunu kapsamında açık rıza, varlığını ispat yükü veri sorumlusunun üzerinde olmak üzere herhangi bir şekil şartına tabi değildir. Açık rıza kanıtlanabilir olmak kaydıyla yazılı, elektronik ortamda veya sözlü bir şekilde de alınabilecektir. Bankacılık Kanunu m. 73’te düzenlenen talep ve talimatın unsurları ise Yönetmelik m. 6/4’de yer almaktadır. Buna göre;
“Üçüncü fıkrada belirtilen müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilir. Altıncı fıkrada belirtilen durumlar haricinde, müşterinin vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesi esastır.” Bu düzenlemeye göre, talep veya talimatın sözlü bir şekilde alınması mümkün değildir. Hüküm, talep veya talimatın yazılı veya kanıtlanabilir olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınmasına cevaz vermiştir.
Düzenlemede geçen, kalıcı veri saklayıcısı aynı Yönetmelik’in Tanımlar başlıklı 3. Maddesinde Müşterinin gönderdiği veya kendisine gönderilen bilgiyi, bu bilginin amacına uygun olarak makul bir süre incelemesine elverecek şekilde kaydedilmesini ve değiştirilmeden kopyalanmasını sağlayan ve bu bilgiye aynen ulaşılmasına imkân veren kısa mesaj, elektronik posta, internet, CD, DVD, hafıza kartı ve benzeri her türlü araç veya ortam olarak ifade edilmiştir.
Yönetmelik m. 6/6 da müşterinin aktif talep ya da talimatına yönelik bir düzenleme öngörmüştür. Bu düzenleme;
“İşlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından üçüncü fıkrada belirtilen müşteri talep ya da talimatı yerine geçer.” şeklindedir. Bu düzenlemeyle müşterilerin başlattığı işlemlerde veya dijital kanallarda başlattığı emirler bakımından ayrıca bir açık rıza, talep veya talep alınmaksızın bu işlemlerin talep veya talimat yerine geçeceği düzenlenmiştir. Bu düzenleme bizce de dijital çağın gereklerine uygun yerinde bir düzenlemedir.
Yazar : Av. Feride Hilal İMAL
Ülkemizde kişisel verilere ilişkin 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine bir fıkra eklenerek kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvence altına alınmıştır. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Hükmüne yer verilmiştir. Kişisel verilerin korunmasının anayasal bir hak olarak düzenlenmesinden sonra, 07.04.2016 tarihinde Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (Direktif) esas alınarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kişisel Verilerin Korunması Kanunu veya Kanun) yürürlüğe girerek, kişisel verilerin korunması kavramına yönelik müstakil, açık ve kanuni bir düzenleme oluşturulmuştur.
Bununla birlikte, ulusal mevzuatta çeşitli açılardan özellik arz eden kişisel verilerin yoğun bir şekilde işlendiği ve özel koruma gerektiren bazı sektörlere özgü düzenlemeler yapıldığı da görülmektedir. Örneğin, 5908 Sayılı Elektronik Haberleşme Kanunu ve ikincil düzenlemesi Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik ’te özellikle açık rızanın alınma şartları ve milli güvenliği ilgilendirdiğinden trafik ve konum bilgilerinin yurtdışına aktarımının yasaklandığı düzenlemelere yer verilmiş, yine sağlık sektöründe de Kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel veri olarak kabul edilen sağlık verileri daha sıkı koruma düzenlemelerine tabi tutulmuş, bunun yanı sıra Kişisel Sağlık Verileri Hakkında Yönetmelik ’te de özel düzenlemelere yer verilmiştir.
Çalışma konumuz olan bankacılık sektöründe de kişisel veriler, bankalar nezdindeki özellikle müşteri verisinin sosyo-ekonomik yönden büyük öneme sahip olması ve bankaların ellerinde büyük bir veri rezervi bulundurmaları nedeniyle daha sıkı koruma hükümlerine tabi tutulmuşlardır.
Öncelikle ifade etmek gerekir ki, bankalar Kişisel Verilerin Korunması Kanunu kapsamında da bir tüzel kişi veri sorumlusu olup, bu Kanun’dan kaynaklanan yükümlülükleri yerine getirmek zorundadır.
Bankacılık sektörüne özel yasal düzenlemelere bakıldığında ise, 5411 Sayılı Bankacılık Kanunun 73. Maddesinde 25 Şubat 2020 tarihli ve 31060 sayılı Resmî Gazete’de yayımı tarihinde yürürlüğe girmek üzere yayımlanan 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (7222 Sayılı Kanun) m. 10 ile “müşteri sırrı” ve “banka sırrı” kavramlarının korunmasına yönelik bankacılık sektörüne özel yükümlülükler getirilmiş, yine aynı paralelde 4 Haziran 2021 tarihli ve 31501 sayılı Resmî Gazete' de yayımlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (Yönetmelik)’te de yine Müşteri Sırrı ve Banka Sırrı niteliğindeki bilgilerin paylaşılmasına ilişkin usul ve esasları düzenlemiştir. 01.01.2022 tarihinde yürürlüğe gireceği düzenlenen ilgili Yönetmelik’in yürürlük tarihi 01.07.2022 tarihine ertelenmiştir. Yine, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (Elektronik Bankacılık Yönetmeliği) ve Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliği (İSEDES Yönetmeliği) de bankacılık sektörüne özgü veri koruma düzenlemeleri içermektedir.
Kişisel Verilerin korunması Kanunu karşısında özel nitelikli normlar olan Bankacılık Kanunu m. 73 hükmü ve Yönetmelik hükümleri ile müşteri sırrı ve banka sırrı niteliğindeki verilere ilişkin düzenlemelere yer verilmiş, koruma ve paylaşıma ilişkin düzenlemeler yapılmıştır. Bu düzenlemelerden en çarpıcı olanı, sır niteliğindeki bilgilerin paylaşımında “açık rıza alınsa dahi” müşterinin talep veya talimatının bulunmaması halinde sır niteliğindeki bilgilerin paylaşımının yasaklanmış olmasıdır.
Bilindiği gibi Kişisel Verilerin Korunması Kanunu Kapsamında açık rıza; kişisel verilerin, Kanunun m5/2 ve m. 6/3 gereği hukuka uygunluk nedenlerinin bulunmadığı durumlarda işlenebilmesinin ve m.8 ve m.9 gereği yurt içinde veya yurt dışında üçüncü bir kişiye aktarılabilmesinin tek yoludur. Kişisel Verilerin korunması Kanunu m.3/1, a’ya göre açık rıza, belirli bir konuda, aydınlatmaya dayalı ve özgür iradeyle ortaya koyulan irade beyanıdır.
Bankacılık Kanunu m.73 değişikliğiyle ise; “Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.” hükmü düzenlenmiştir.
Yine aynı paralelde, Yönetmelik’in 6/3. maddesi “Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, 5 inci maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez.” hükmünü amirdir.
Ayrıca 01.01.2021 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (Elektronik Bankacılık Yönetmeliği) Verilerin paylaşılması başlıklı 10. Maddesinde, ilgili iki düzenlemeye paralel olarak; “(1)Banka, müşterinin kendisinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, Kanunda yer alan istisnai haller haricinde yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamaz ve bunlara aktaramaz. (2) Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.” hükmünü amirdir.
Tüm bu düzenlemelere göre, müşteri sırrı niteliğini haiz verilerin “açık rıza alınsa dahi” bankalar tarafından yurt içine veya yurt dışına aktarılabilmesi için ancak,
1. Müşteri talep veya talimatının bulunması,
2. Bu aktarımın mevzuatta öngörülmüş olması,
3. Veyahut da Bankacılık Kanunu m. 73 kapsamında bu aktarımın bir istisna olarak belirtilmiş olması
Gerekmektedir.
Yine m. 73’e göre müşteri sırrı niteliğindeki bilgiler her halükârda belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uyumlu şekilde amacın gerektirdiği kadar veri içermek şartıyla paylaşılabilecektir. Bu husus, 7222 sayılı Kanunun gerekçesinde sır saklama yükümlülüğünden istisna tutulan hallerde dahi bu durumun suiistimal edilerek orantısız veri aktarımının önüne geçilmesi amaçlanarak düzenlendiği ifade edilmiştir.
Hem Elektronik Bankacılık Yönetmeliği’nde, hem Kanunun 73/3 maddesinde, hem de Yönetmelik’te, 5. Maddede istisna tutulan haller haricinde bankanın veriyi müşterinin bir talebi ya da talimatı olmaksızın “açık rıza alınsa dahi” paylaşması, aktarması yasaklanmıştır. Bu düzenlemenin, Kişisel Verilerin Korunması Kanunu’nda düzenlenen “açık rıza” kavramını işlevsiz bıraktığı, Kişisel Verilerin Korunması Kanunu’nda sıkı koşullara bağlanmış açık rızanın yasa koyucular gözünde de aslında amacını gerçekleştiremeyeceği yönünde bir güvensizlik oluşturduğunun düşünüldüğü şeklinde eleştirilmiştir. Keza hüküm, açık rızanın olması halinde dahi buna itibar edilmeyerek müşterinin talebi ve ya talimatının bulunmasını zorunlu kılmaktadır.
Bankacılık Kanunun 73. Maddesinin değişiklik gerekçesinde; Bankacılık Kanunu ile Kişisel Verilerin Korunması Kanunu hükümleri arasında uygulamada özel-genel nitelikli kanun ayrımında yaşanabilecek sorunların giderilmesi amacıyla, Bankacılık Kanunu hükümlerinin özel nitelikli kanun olarak dikkate alınması gerektiği ve müşteri sırrı niteliğine sahip bilgilerin aktarımı açısından özel nitelikli kanun olarak Bankacılık Kanunu m. 73’ün dikkate alınması gerektiği ifade edilmiştir. Buradan hareketle de müşteri sırrı niteliğindeki verilerin aktarımı konusunda açıkça Bankacılık Kanunu m. 73 ve ilgili ikincil düzenlemeler yürürlük tarihleri itibariyle dikkate alınacaklardır. Fakat yine, müşteri sırrı niteliğine sahip kişisel veriler için Kişisel Verilerin Korunması Kanunu’nun da dikkate alınması zorunluluğu Yönetmeliğin Kişisel Verilerin Korunması Kanunu’nun genel ilkelerine uyulmasının zorunlu olduğunu belirten m. 6/2’de açıkça düzenlenmiştir. Buradan hareketle, Bankacılık Kanunu ve ilgili ikincil düzenlemeler öncelikli olmak üzere, Kişisel Verileri Koruma Kanunu hükümlerinden de sorumlu olan bankalar açısından kişisel verilerin işlenmesi faaliyetlerinin Kişisel Verilerin Koruma Kanunu’nun genel ve temel ilkeleri ile veri güvenliğine ilişkin düzenlemeler mutlak surette dikkate alınarak gerçekleştirilmelidir.
Madde gerekçesinin devamında, 73. Maddedeki sır niteliğindeki bilgilerin kanunların emredici hükümleri ile istisnalar haricinde aktarılmasına cevaz vermeyen düzenlemesine atfen, bankalar tarafından Kişisel Verilerin Korunması Kanunu kapsamında bankaca belirlenen amaçlar ve yöntemler için açık rıza alınmış olsa dahi bu açık rıza metinlerine itibar edilmesinin mümkün olmayacağı, herhangi bir mecburiyet ve ya mevzuatta sayılan istisna hallerinden biri olmadığı sürece sır saklama yükümlülüğünün delinmesinin yasaklanmış olduğu ifade edilmiştir.
Burada, özellikle bankanın kendinin aktif rol oynayarak bizzat hazırlayacağı açık rıza metnine değil de veri aktarımının ancak, bizzat müşteri tarafından hazırlanan, müşterinin aktif rol oynadığı talep veya talimatla mümkün olabileceği bir sistemin kurgulandığı ifade edilmiştir.
Gerekçe metninden, öncelikle Bankacılık Kanunu m. 73’te belirtilen müşteri talebi ya da talimatı yönteminin açık rızanın unsurlarıyla benzerlikler taşıması gerektiği sonucu çıkarılmalıdır. Buna göre gerekçede ifade edilen, “ilgili kişinin aktif rol alması” ile açık rızanın “özgür bir iradeyle ortaya koyulması” ve “olumlu irade beyanına dayanması” unsurlarıyla paraleldir. Yine, açık rızada olduğu gibi Bankacılık Kanunu m. 73 gereği verilecek müşteri talebi veya talimatının, belirli bir konuya özgü olması, maddenin ve ikincil düzenlemelerin temel amacına uygun olandır.
Yine, “müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart haline getirilemez” şeklindeki düzenleme Kişisel Verileri Koruma Kanunu Kapsamında açık rızanın da geçerlilik koşuludur. Uygulamada hukuka aykırı bir şekilde açık rızanın ürün ve hizmetlerin ön koşulu olarak alınıyor olması şeklinde gerçekleşen vakıalar nedeniyle bankacılık gibi özellikli verilerin tutulduğu bir sektörde, uygulamadaki işbu hukuka aykırı durumun verdiği endişeyi gidermek amacıyla “açık rıza alınsa dahi” müşteri talep ve talimatının aranması ilgili düzenlemeyi eleştirilere açık ve açık rıza kavramının kanun koyucu gözünde dahi işlevsiz olarak değerlendirdiği sonucunu doğurmaktadır. Oysa, açık rıza, en az müşteri talep ve talimatı kadar güçlü bir irade ortaya koymaktadır. Keza açık rıza konusunda, Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlarda, genel nitelikte battaniye rıza olarak da ifade edilen genel rıza metinlerinin hukuka aykırı olduğu, açık rızanın ilgili kişinin özgür iradesi ile belirli bir konuya özgü ve ilgili kişinin aktif rol oynadığı bir şeklide alınması gerektiği hüküm altına alınmıştır. Aksi halde açık rıza metinlerine itibar edilemeyeceği ortadadır. Buradan hareketle kanun koyucunun Bankacılık Kanunu m. 73’ de açık rıza metinlerini “bankanın aktif rol oynadığı metin” şeklinde değerlendirmesi ve talep veya talimatın “müşterinin aktif rol oynadığı metinler” olarak nitelemesi açık rızanın işlevi ve amacı yönünden bazı sakıncalı değerlendirmeleri beraberinde getirmektedir. Keza açık rızanın geçerlilik koşulları da Kanun koyucunun çekinceleri ile paralel bir şekilde özgür iradeyle, ilgili kişinin aktif rol oynadığı, belirli bir olaya özgü ise geçerlidir. Bizce de, bu konuda açık rızanın gereği gibi alınmış olması halinde en az müşteri talep veya talimatı kadar güçlü bir irade beyanına ulaşılacaktır. Keza açık rızanın temel işlevi de budur. Bu nedenle ilgili düzenlemede “açık rıza alınsa dahi” şeklinde açık rızayı işlevsizleştiren bir düzenlemeye yer vermek yerine, özel nitelikli normlarla açık rızanın şekli ve gereği gibi alınıp alınmadığına ilişkin güçlü bir denetim mekanizmasının oluşturulması, hem kanun koyucunun ulaşmak istediği amaca daha uygun olacak, hem hukukun bütünlüğü ilkesini gözetildiği daha doğru bir yaklaşım gözetilecek hem de açık rıza gibi güçlü bir irade beyanını ifade eden kavramın işlevsiz kılınması engellenmiş olacaktır.
Bilindiği gibi, Kişisel Verilerin Korunması Kanunu kapsamında açık rıza, varlığını ispat yükü veri sorumlusunun üzerinde olmak üzere herhangi bir şekil şartına tabi değildir. Açık rıza kanıtlanabilir olmak kaydıyla yazılı, elektronik ortamda veya sözlü bir şekilde de alınabilecektir. Bankacılık Kanunu m. 73’te düzenlenen talep ve talimatın unsurları ise Yönetmelik m. 6/4’de yer almaktadır. Buna göre;
“Üçüncü fıkrada belirtilen müşterinin talep ya da talimatı yazılı şekilde alınabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Müşterinin talep ya da talimatı, talep ya da talimatın alındığı aynı yöntemlerle müşteri tarafından istenildiğinde iptal edilebilir veya değiştirilebilir olmak kaydıyla, birden çok işlemi kapsayabilir ve süreklilik arz eden işlemlere yönelik talep ya da talimat süresiz olabilir. Altıncı fıkrada belirtilen durumlar haricinde, müşterinin vermiş olduğu talep ya da talimatlarını elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden sorgulayabilmesi ve görüntüleyebilmesi esastır.” Bu düzenlemeye göre, talep veya talimatın sözlü bir şekilde alınması mümkün değildir. Hüküm, talep veya talimatın yazılı veya kanıtlanabilir olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınmasına cevaz vermiştir.
Düzenlemede geçen, kalıcı veri saklayıcısı aynı Yönetmelik’in Tanımlar başlıklı 3. Maddesinde Müşterinin gönderdiği veya kendisine gönderilen bilgiyi, bu bilginin amacına uygun olarak makul bir süre incelemesine elverecek şekilde kaydedilmesini ve değiştirilmeden kopyalanmasını sağlayan ve bu bilgiye aynen ulaşılmasına imkân veren kısa mesaj, elektronik posta, internet, CD, DVD, hafıza kartı ve benzeri her türlü araç veya ortam olarak ifade edilmiştir.
Yönetmelik m. 6/6 da müşterinin aktif talep ya da talimatına yönelik bir düzenleme öngörmüştür. Bu düzenleme;
“İşlemin doğası gereği yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ödeme, menkul kıymet mutabakat veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, yurt dışı akreditif, teminat mektubu, referans mektubu gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, söz konusu paylaşımlar bakımından üçüncü fıkrada belirtilen müşteri talep ya da talimatı yerine geçer.” şeklindedir. Bu düzenlemeyle müşterilerin başlattığı işlemlerde veya dijital kanallarda başlattığı emirler bakımından ayrıca bir açık rıza, talep veya talep alınmaksızın bu işlemlerin talep veya talimat yerine geçeceği düzenlenmiştir. Bu düzenleme bizce de dijital çağın gereklerine uygun yerinde bir düzenlemedir.
Yazar : Av. Feride Hilal İMAL