04.06.2021 tarihinde yayımlanan Yönetmelik, 01.01.2022 tarihinde yürürlüğe girecek olup, banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasların belirlemektedir.

Yönetmelik’te 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) atıfta bulunulmakla birlikte, 5411 sayılı Bankacılık Kanunu kapsamında da sır saklama yükümlülüğü, bu yükümlülüğün istisnaları ve “müşteri sırrı” kavramına yönelik standartlar getirilmiştir. 

Sır saklama yükümlülüğü kapsamında, sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenlerin söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamayacakları ve bu yükümlülüklerinin görevden ayrıldıktan sonra da devam ettiği düzenlenmiştir. Bu yükümlülüğün, müşteri sırrı niteliğindeki bilgilerin, otomatik olmayan ya da herhangi bir veri kayıt sisteminin parçası olmayan yöntemlerle elde edilmesi ve öğrenilmesi halinde de geçerli olduğu belirlenmiştir. 

Ek olarak; bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin, müşteri sırrı hâline geldiği ve bir gerçek veya tüzel kişi müşterinin, bankanın müşterisi olduğunu gösterir her türlü bilginin de müşteri sırrı kapsamında olduğu Yönetmelik ile düzenlenmiştir.
Bu doğrultuda, müşteri ilişkisi kurulmamış olsa dahi, başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de yine sır saklama yükümlülüğü kapsamındadır.

Yönetmelik’in 5. maddesinde sır saklama yükümlülüğünün istisna halleri ve 6. maddesinde sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler sayılmıştır. Yönetmelik’te istisna tutulan hallere ilişkin hükümler, sadece belirtilen amaçlarla sınırlılık ve bu amaçların gerektirdiği kadar veriyi içerecek ölçülülük ilkelerini kapsayacak şekilde düzenlendiği görülmektedir. Ayrıca müşteri sırrı niteliğindeki bilgilerin, sır saklama yükümlülüğünden istisna tutulan haller haricinde, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı, müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesinin, bankanın vereceği hizmetler için bir ön şart haline getirilemeyeceği belirlenmiştir.

Son olarak; yönetmeliğe uyum için bankaların Bilgi Paylaşım Komitesi kurmaları zorunlu kılınmıştır. Bu komite asgari olarak, bilgi paylaşımını talep eden ya da kendisinden bilgi talep edilen iş kolu, iç kontrol birimi, uyum birimi ve hukuk birimi temsilcileri ile ilgili varlık sahiplerinden oluşacak olup, ilgili komite, ölçülülük ilkesini dikkate alarak müşteri sırrı ve banka sırrı niteliğindeki bilgilerin paylaşımını koordine etmek ve gelen paylaşım taleplerinin uygunluğunu değerlendirerek bunları kayıt altına almakla sorumlu olacaktır. Bilgi Paylaşım Komitesi’nin görev tanımları ile çalışma esasları, bankaların yönetim kurulları tarafından onaylanması gerektiği düzenlenmiştir.