Müşteri Sırrı Niteliğindeki Bilgilerin Paylaşımı


Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması ile Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik Işığında Müşteri Sırrı Niteliğindeki Bilgilerin Paylaşımı

Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması’nın (“Anlaşma”), 31 Aralık 2019 tarihinde Cumhurbaşkanı’nca onaylanmasına karar verilmişti. 1 Haziran 2021 tarihinde Resmî Gazete’de yayımlanan Cumhurbaşkanlığı Kararnamesi ile Anlaşmanın yürürlük tarihi 1/1/2019 tarihinden itibaren başlayan vergilendirme dönemlerine uygulanmak üzere 3/2/2020 olarak tespit edilmiştir.


Anlaşma, Vergi Konularında Karşılıklı İdari Yardımlaşma Sözleşmesinin uygulamasına ilişkin olarak düzenlenmiştir. Bu kapsamda, devletlerin vergi süreçleri ve şeffaflık konusunda yardımlaşmaları amaçlanmaktadır.


Anlaşma, kısaca, taraf devletlerin diğer taraf devletlerde ikamet eden vatandaşları ile taraf devlet ülkesinde ikamet eden diğer taraf devlet vatandaşlarının bilgilerinin karşılıklı olarak paylaşılmasını düzenlemektedir. Ayrıca, taraf iç mevzuatlar uyarınca o devlette yerleşik sayılan veya vergi mükellefi olan taraf devlet bağlantılı tüzel kişiler de düzenlemeler kapsamındadır.


Otomatik değişim kapsamında, Anlaşmada belirtilen yıllardan başlamak üzere bilginin ait olduğu takvim yılının sona ermesini takip eden 9 ay içinde bilgi, değişime tabi tutulacaktır.


Değişime tabi olacak bilgiler:

  • Hesap sahibi sıfatını taşıyan gerçek kişiler için kişinin adı, adresi, veri kimlik numarası, doğum yeri ve doğum tarihi; tüzel kişiler için ise Kontrol Eden Kişi varsa tüzel kişiliğin adı/unvanı, adresi vergi kimlik numarası ve her bir bildirimi zorunlu kişinin adı, adresi, vergi kimlik numarası, doğum yeri ve tarihi bilgileri;

  • Hesap numarası, bildirimi yapan finansal kuruluşun unvanı ve varsa kimlik numarası, ilgili bildirim döneminin sonu itibarıyla hesap bakiyesi veya değeri;

  • Saklama hesabı söz konusu ise hesapta tutulan varlıklardan elde edilen ve ilgili bildirim dönemi boyunca her bir olayda hesaba ödenen veya alacak kaydedilen faizin toplam brüt tutarı, bildirim yapan finansal kuruluşun bir saklamacı, simsar, temsilci veya hesap sahibi için acente gibi hareket ettiği hesaba ilgili bildirim dönemi boyunca ödenen veya alacak kaydedilen finansal varlık satışı veya itfasından elde edilen brüt hasılat;

  • Mevduat hesabı söz konusu ise ilgili bildirim dönemi boyunca hesaba ödenen veya alacak kaydedilen faizin toplam brüt tutarı

  • Diğer hesaplar bakımından bildirim yapan finansal kuruluşun yükümlüsü veya borçlusu olduğu hesap sahibinin hesabıyla ilgili olarak ilgili bildirim dönemi boyunca hesap sahibine ödenen veya alacak kaydedilen, ilgili bildirim dönemi boyunca hesap sahibine yapılan itfa ödemelerinin toplam tutarı dahil brüt tutar olarak tespit edilmiştir.


Anlaşmaya göre, söz konusu bilgileri finansal kuruluşlar doğrudan aktarmayacak, Yetkili Makama aktaracak ve Yetkili Makam, taraf ülkelerin Yetkili Makamları ile değişimi gerçekleştirecektir.


Gizlilik ve veri koruma önlemleri hususunda ise kişisel verilerin gerekli düzeyde korunmasını sağlayacak ölçüde iç mevzuat ve Yetkili Makamca belirlenebilecek olan koruma önlemlerine, Vergi Konularında Karşılıklı İdari Yardımlaşma Sözleşmesi’nde düzenlenen gizlilik kurallarına ve diğer koruma önlemlerine tabi olunduğu belirtilmiştir.


Türk hukuku bakımından Banka ve müşteri sırrı niteliğindeki bilgilerin paylaşılmasındaki esaslar ise 04.06.2021 tarihli 31501 sayılı Resmî Gazetede yayınlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik (“Yönetmelik”) ile düzenlenmiştir. Önemle belirtmek gerekir ki Yönetmeliğin yürürlük tarihi 01.01.2022 olarak belirlenmiştir. Yönetmelik, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun 73 ve 93’üncü maddelerine dayanılarak hazırlanmıştır. Bankacılık Kanunu’nun 73. Maddesindeki düzenlemeler ilgili yönetmelikte toplanmış ve detaylandırılmıştır.


Bankacılık Kanunu 73. Maddesine göre, bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Müşteri sırrı niteliğindeki bilgiler, 73. Madde 4. fıkrasında belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.


Yönetmeliğin 4. Maddesinde sır saklama yükümlülerinin kapsamı ayrıca belirtilmiştir. Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, sır saklama yükümlüleridir. Bu tanıma göre bankalara veya müşterilere ait veriler, “sır” olarak tanımlanabilir. Ayrıca banka ile müşteri arasında bir ilişki kurulmamış olsa dahi başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de kişiyi sır saklama yükümlüsü kapsamına dahil eder.


Yönetmeliğin 5. Maddesi ise Bankacılık Kanunu 73. Maddesi 4. Fıkrası kapsamında belirlenen sır saklama yükümlülerinden istisna halleri saymıştır. Özellikle belirtmek gerekir ki, aşağıda belirtilen istisnalar için Yönetmelik, gizlilik sözleşmelerinin yapılmasını zorunlu bırakmış, sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin paylaşılmasını sır saklama yükümlülüğünün istisnası hallerine getirmiştir;


  • Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması.

  • Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıklarına bilgi ve belge verilmesi.

  • Doğrudan veya dolaylı pay sahipliği yoluyla banka sermayesinin yüzde onunu ve daha fazlasını temsil eden payların satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere muhtemel alıcılara bilgi ve belge verilmesi veya krediler dâhil varlıkların ya da bu varlıklara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında kullanılmak üzere bilgi ve belge verilmesi.

  • Değerleme, derecelendirme, destek hizmeti ile bağımsız denetim faaliyetlerinde veya gerekli teknik ve idari tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bu hizmeti sağlayanlara bilgi ve belge verilmesi.


Banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin, kanunen açıkça yetkili kılınan merciler ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmediği gibi gizlilik sözleşmesinin imzalanması da zorunlu bırakılmamıştır.


Banka sırlarının paylaşılması, müşteri sırlarının paylaşılması noktasından ayrıldığı bölüm ise aynı maddenin 5. fıkrasında düzenlenmiştir. Buna göre, müşteri sırrı niteliğinde olmayıp yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin, banka yönetim kurulu kararı ile üçüncü taraflar ile paylaşılması sır saklama yükümlülüğüne aykırılık teşkil etmez.


Gizlilik Sözleşmesi

Konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları kapsamında bankaların sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ve finansal kuruluşlar ile bankalar arasında yapılacak gizlilik sözleşmelerinin, aynı maddenin 9. Fıkrasına göre hazırlanması ve Bankacılık Düzenleme ve Denetleme Kurumu’na raporlanması zorunlu bırakılmıştır. Raporlama, altı aylık dönemler halinde ve kritik bir değişiklik olması durumunda söz konusu değişiklik özelinde yapılır.


Sır Niteliğindeki Bilgilerin Paylaşılmasına İlişkin Genel İlkeler

Sır niteliğindeki bilgilerin paylaşılmasındaki genel ilkelerin 6698 sayılı KVKK’nın Genel İlkeler başlıklı 4. Maddesinde belirlenen genel ilkeler çerçevesinde düzenlenmiştir. Ancak, sır niteliğindeki bilgiler sadece gerçek kişi müşterilere ait değil hem bankalara hem de tüzel kişi müşterilere ait olduğundan “kişisel veri” olarak tanımlanmamaktadır.


Müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir. Özellikle belirtmek gerekir ki, paylaşılan verilerin bir kısmı olmadan da belirtilen amacın gerçekleşmesi sağlanabiliyor ise paylaşımın ölçülü olduğu kabul edilemez. Bu kapsamda, paylaşımların ölçülü olabilmesi için asgari olarak aşağıdaki hususların tamamının yerine getirilmesi zorunludur:


  • Belirtilen hangi amaçlarla ilişkiliyse paylaşımların yalnızca söz konusu amaçların gerektirdiği kadar veriyi içermesi.

  • Paylaşımların içerdiği veri ya da veri setlerinin tamamının belirtilen amaçların gerçekleştirilmesi için gerekli olduğunun gösterilebilir olması.

  • Paylaşılacak veriler toplulaştırıldığında, kimliksizleştirildiğinde ya da anonim hale getirildiğinde söz konusu amaçlar yine de gerçekleştirilebiliyor ise bu yöntemlerin uygulanması.

  • Bilgisi paylaşılacak müşteri aynı zamanda ana ortaklık, hâkim ortak ya da grup şirketinin de ortak müşterisi değilse, taraflarla paylaşılacak söz konusu gerçek/tüzel kişi müşteriye ilişkin sır niteliğindeki bilgilerin, anılan müşterinin kimliğini belirli veya belirlenebilir kılacak nitelikte olmaması ve toplulaştırılma, kimliksizleştirilme ya da anonim hale getirme yöntemlerinin kullanılması.

  • Paylaşım yapılacak tarafların ve paylaşım metotlarının mümkün olan en az veri kopyası oluşturacak şekilde kurgulanması.


Önemle belirtmek gerekir ki, müşteri sırrı niteliğinde olsa dahi, sağlık ve cinsel hayata ilişkin kişisel veriler, sır saklama yükümlülüğünden istisna tutulan hallerden biri dayanak gösterilerek, yurt içindeki ya da yurt dışındaki taraflarla paylaşılamaz.


Sır saklama yükümlülüğü istisnasına girmeyen haller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz. Bu talebin ya da talimatın alınması yazılı şekilde olabileceği gibi kanıtlanabilir nitelikte olmak kaydıyla kalıcı veri saklayıcısı yoluyla da alınabilir. Yönetmelik bu noktada müşteri talimatının alınmasında önemli bir istisna getirmiştir. Yurt içinde ya da yurt dışında kurulu banka, ödeme hizmeti sağlayıcısı, ile etkileşimin gerekli olduğu ve işlemin tamamlanabilmesi için yurt içindeki ya da yurt dışındaki taraflarla müşteri sırrı niteliğindeki bilgilerin paylaşılmasının işlemin zorunlu unsuru olduğu, yurt içi/yurt dışı fon transferi, teminat mektubu, gibi işlemler için, işlemin müşteri tarafından başlatılması ya da elektronik bankacılık hizmetlerine yönelik dağıtım kanalları üzerinden müşteri tarafından emir girilmesi, talimat ya da talep yerine geçer.


Yurtdışında bulunan Bankacılık Düzenleme ve Denetleme Kurumu muadili mercilerin, kendi ülkelerindeki finansal piyasalarda faaliyet gösteren kuruluşların Türkiye’deki şube veya ortaklıklarında denetim yapma ve bilgi taleplerinin nasıl karşılanacağı Yönetmeliğin 6. Maddesi 9. Fıkrasında düzenlenmiştir. Bilgi paylaşımının Bankacılık Düzenleme ve Denetleme Kurumu nezdinde bulunan bilgiler ile karşılanmasının mümkün olması halinde doğrudan Kurum tarafından, Kurum nezdinde bulunan bilgilerin yeterli olmaması halinde ise Bankacılık Düzenleme ve Denetleme Kurulu’nca verilecek izin dahilinde bankalar tarafından yerine getirilir. Yalnızca bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgilerin paylaşılmasından önce Kuruma yazılı olarak bildirimde bulunulması şartı getirilmiştir.


YAZAR

Bilgi Teknolojileri Birimi