Elektronik Ödeme Kuruluşlarının Faaliyetleriyle İlgili Dikkat Edilmesi Gereken Hususlar

Daha önce yayınlamış olduğumuz elektronik ödeme kuruluşlarının kuruluşu ve yönetim kurulu üyelerinin sorumluluğu başlıklı bilgi notumuza ilaveten işbu bilgi notuyla ödeme kuruluşları kurulduktan sonra faaliyetleri sırasında dikkat edilmesi gereken hususlarını irdeleyeceğiz.

1. Faaliyet İzni Alındıktan Sonra Ödeme Kuruluşlarının Denetimi:

Merkez Bankası ödeme kuruluşlarında, şubesinde, temsilcisinde veya dışarıdan hizmet aldığı kuruluşlarda da denetim yapmaya yetkilidir. Ödeme kuruluşu denetimler sırasında istenecek her türlü bilgi ve belgeyi vermek, defter ve sair belgeleri ibraz etmek ve incelemeye hazır tutmak zorundadır. Merkez Bankası, bağımsız denetimler de dahil olmak üzere, ödeme kuruluşlarının denetimleri sonucunda tespit edilen hususlarla ilgili olarak gerekli tedbirlerin alınmasını ister, tedbirlerin alınması için altı aya kadar süre verebilir ve bu süre içinde de gerekli tedbirler alınıncaya kadar kuruluşların faaliyet izinlerini geçici olarak durdurabilir. Nihai olarak da Kurul, ilgili tedbirlerin alınmaması halinde faaliyet iznini iptal etmeye yetkilidir. Merkez Bankası, ödeme kuruluşuna verilen faaliyet iznini;
  • Faaliyet izni alınmasına rağmen bir yıl içinde faaliyete başlamama,
  • Faaliyet izni alınmasına rağmen kuruluşun bu yetkiden açıkça feragat ettiğini veya faaliyetlerini durdurduğunu Kurum’a bildirmesi,
  • Faaliyet izninin gerçeğe aykırı beyan ve belgelerle alınmış olduğunun tespiti,
  • Ödeme kuruluşunun yukarıda sayılan faaliyet izni için gerekli şartları kaybettiğinin tespiti,
  • Belge ve kayıtların saklanması yükümlülüğü ile ilgili olarak ilgili otorite tarafından istenen bilgi ve belgelerin geçerliliğini etkileyecek herhangi bir değişiklik olması durumunda Kurum’un derhal bilgilendirilmemesi,
  • Kurul’un, ödeme kuruluşunun faaliyetlerine devam etmesinin ödemelerin güvenliğini tehdit ettiği kanısına varması durumlarında en az beş üyesinin oyuyla iptal edebilir.
Faaliyet izninin iptal olduğu durumlardan başka faaliyet izninin sona ermesi de mümkündür. Ödeme kuruluşunun faaliyet izni;
  • Birleşme veya bölünme gibi ödeme kuruluşunun hukuki yapısını değiştiren işlemlerde ödeme kuruluşunun tüzel kişiliği sona erdi ise,
  • Ticaret Kanunu uyarınca ödeme kuruluşunun anonim şirket varlığı kendiliğinden, organlarının eksikliği yahut haklı sebeple fesih sonucu sona erdi ise,
  • Faaliyete başladıktan sonra bir yıl içinde altı aydan uzun bir süre faaliyette bulunulmadı ise bu altı aylık sürenin sonunda sona ermektedir.
Ödeme kuruluşlarının Kanun kapsamında denetimi Merkez Bankası tarafından yapılmakla beraber, kuruluşlar Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunun Teşkilatı ve Görevleri Hakkında Kanun Hükmünde Kararname çerçevesinde bağımsız denetime tabidir.

2. Ödeme Kuruluşlarının İç Kontrol ve Risk Yönetim Birimleri Oluşturması Zorunlu mudur?

Kuruluşun faaliyetlerini etkin ve verimli bir şekilde ve Kanun’a uygun olarak yürütülmesini sağlamak amacıyla ve aynı zamanda muhasebe ve raporlama sistemlerinin bütünlüğünü ve güvenilirliğini sağlamak amacıyla yeterli ve etkin bir iç kontrol sistemi oluşturması zorunludur. İç kontrol birimi kurulmasının ardından iç kontrol personeli tarafından, iç kontrol faaliyetlerine ilişkin olarak haziran ve aralık sonu itibariyle yılda iki kez yönetim kuruluna veya yönetim kurulunun belirleyeceği genel müdür dışındaki bir yönetim kurulu üyesine raporlama yapılması da zorunlu tutulmaktadır. Ödeme kuruluşunun maruz kalınabilecek tüm risklerin tanımlanmasını, ölçülmesini, izlenmesini, kontrol edilmesini ve raporlanmasını sağlamak üzere etkin bir risk yönetimi sistemi kurmasını zorunlu tutmaktadır. Ödeme kuruluşları, yukarıda belirtilen Kanun ve Yönetmeliklere ek olarak, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine ilişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelik (“Masak Yönetmeliği”) kapsamında birtakım yükümlülüklere tabidir. Bu kapsamda ödeme kuruluşları, tarafına verilen faaliyet iznini izleyen 30 gün içerisinde kuruluşa uyum görevlisi atamak ve bu kapsamda uyum birimi oluşturmakla yükümlüdür. Uyum birimi ile amaçlanan risk yönetimi ve buna ilişkin faaliyetleri düzenleme altına almaktır.

3. Üçüncü Kişi Ve Kuruluşlar İle İmzalanan Sözleşmeler ve Bilgilendirme Yükümlülüğü

Ödeme Hizmeti Kullanıcıları/Müşteriler İle İmzalanan Sözleşmeler Ödeme kuruluşlarının yaptıkları sözleşme biçimleri ve sözleşme taraflarının hak ve yükümlülükleri mevzuatta özel olarak düzenlenmiştir. Bu konuda Yönetmelik bir defaya mahsus gerçekleştirilen ve çerçeve sözleşme kapsamında olmayan ödeme işlemini ‘tek seferlik ödeme işlemi’ olarak kabul ederek ödeme kuruluşunun ödeme ilişkisi kurulmadan önce kullanıcılara bilgi verme yükümlülüğü olduğunun altını çizmiştir. Söz konusu bilgilendirme kuruluşun internet sitesi aracılığı ile de yapılabilmektedir. Ödeme kuruluşu tarafından sunulan hizmetlerden yararlanacak kullanıcılar hizmetlere ilişkin şartlar, riskler ve istisnai durumlarla ilgili olarak açık bir şekilde bilgilendirilir. Kuruluş sunmakta olduğu hizmetlere ilişkin riskler ve tehditler hakkında kullanıcılarını uyarır ve bu hususlarda kullanıcı farkındalığı oluşturulması için azami özen gösterir. Tek seferlik ödeme işlemleri yerine süreklilik arz eden periyodik ödeme ilişkileri söz konusu ise, yazılı olarak ‘çerçeve sözleşme’ düzenlenmesi gerekmektedir. Çerçeve sözleşmenin içeriği ise Yönetmelik’te öngörülen içeriğe uygun olarak düzenlenmek zorundadır.  26.06.2020 tarihinde yürürlüğe giren yeni Torba Kanun ile çerçeve sözleşmelerin yazılı şekilde veya uzaktan iletişim araçlarının kullanılmasıyla mesafeli olarak ya da bankanın belirlediği bilişim veya elektronik haberleşme cihazı üzerinden gerçekleştirilecek, müşteri kimliğinin doğrulanmasına imkan verecek yöntemler yoluyla kurulacak şekilde düzenleneceği düzenlenmiştir. Sözleşme öncesi bilgilendirme yükümlülüğü aynı şekilde ödeme kuruluşu nezdinde doğmaktadır. Burada da internet sitesinde söz konusu bilgilendirmenin yayınlanması yeterli kabul edilmektedir. Tek seferlik işlemden farklı olarak ödeme kuruluşunun çerçeve sözleşmedeki her türlü değişikliği, bu değişikliklerin yürürlüğe girme tarihinden en az otuz gün önce kullanıcıya bildirmesi gerekmektedir. Yukarıda yer alan hususlara ek olarak, uzaktan iletişim aracı ile kurulan sözleşmelerde (elektronik ortamda imzalanan sözleşmeler) ise yazılı şekil şartı aranmamaktadır. Mevzuat kapsamında yukarıda bahsedilen bilgilendirme yükümlülüklerinin yerine getirildiğine dair ispat yükümlülüğü ödeme hizmeti sağlayıcısına aittir. Bu bilgilendirme yükümlülüklerinin yerine getirilmesi için ödeme hizmeti kullanıcısından herhangi bir ücret talep edemez. Ancak sözleşmede kararlaştırılmış ise, ödeme hizmeti kullanıcısının ek bilgi, daha sık bilgilendirilme veya bilgilerin çerçeve sözleşmede öngörülenden farklı yöntemlerle iletilmesini talep etmesi halinde kendisinden bu işlemin maliyetiyle orantılı ücret talep edilebilir. Yönetmelik sözleşmenin feshini ayrıca düzenlemiş ve taraflar arasında feshe ilişkin bir ihbar süresine karar verilmemişse ödeme hizmeti kullanıcısının sözleşmeyi istediği zaman feshedebileceğini öngörmüştür. Kararlaştırılan ihbar süresi olması durumunda da bu süre bir ayı geçememektedir. Fesih durumunda ödeme hizmeti kullanıcısından maliyetle orantılı bir fesih ücreti istenebilir fakat bu husus sözleşmede düzenlenmiş olmalıdır. Eğer sözleşme bir yıldan uzun süreli veya belirsiz olarak düzenlenmişse bir yıldan sonraki fesihlerde bu şekilde bir ücret talep edilemez. Ödeme hizmeti sağlayıcısı belirsiz süreli bir sözleşmeyi en az iki ay öncesinden bildirmek suretiyle feshedebilir fakat bu durum da sözleşmede düzenlenmiş olması koşuluna bağlıdır. Ödeme hizmeti ücretinin peşin ödenmesi durumunda, fazla ödenen tutarın kullanıcıya iade edilmesi gerekir. Üye İşyerleri Ve Temsilciler İle İmzalanan Sözleşmeler Ödeme kuruluşu, hizmet vermekte olduğu üye işyerleri ve temsilciler ile yapacağı sözleşmelerde hassas ödeme verilerinin gizliliğinin ve güvenliğinin sağlanması hususunda gerekli önlemlerin alınmasını, hizmetlerin gerçekleştirilmesi için gerekli olan terminaller ve kuruluş arasındaki iletişim haricinde kendi nezdinde hassas ödeme verisini tutmamasını, işlememesini veya kaydetmemesini, önemli bir güvenlik olayı yaşanması halinde bu durumun ivedilikle kuruluşa bildirilmesini şart koşacak hükümlerin yer almasını sağlamakla yükümlüdür. Kuruluş, üye işyerleri ve temsilciler ile yapacağı sözleşmelerde yer alacak bu hükümlerin gereklerinin yerine getirildiğini gözetmekle ve gereğinin yerine getirilmediğinin anlaşılması halinde sözleşmeyi feshetmekle yükümlüdür.

4. Belge, Kayıt, Bilgi ve Veriler Nerede Saklanacaktır?

Ödeme Sistemleri Kanunun 23. Maddesi gereği Belgeler ve Kişisel veriler 10 yıl boyunca Türkiye’de saklanmak zorundadır. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır. Paypal örneği üzerinden değerlendirmemiz gerekirse BDDK açıklamasına göre Paypal Kanunun 23. maddesi ve yönetmeliğin 16. maddesi gereğince yerine getirilmesi gereken verileri Türkiye’de tutmayı kabul etmediği gerekçesi ile lisans alamamış ve Türkiye’den çekilmek zorunda kalmıştır. Bu verilerin tutulması konusunda Kişisel Verilerin Korunması Kanunu kapsamında değerlendirdiğimizde ise şu şekilde düzenlemeler karşımıza çıkmaktadır. Ödeme ve elektronik para kuruluşları, yürüttükleri faaliyet ve vermekte oldukları hizmete ilişkin olarak kullanıcıların 6698 Sayılı KVKK’nın 3/1-d maddesinde tanımlanan şekliyle “kişisel verileri”ni kanuna ve faaliyetin niteliğine uygun olarak işleyebilirler. Kişisel verilerin işlenmesi kapsamına, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem girmektedir. 6698 Sayılı KVKK’ nın 5/1. Maddesi uyarınca kişisel veriler ilgilinin açık rızası olmaksızın işlenemez. Kullanıcıların kişisel verilerinin işlenebilmesi için öncelikle kişisel verinin hangi amaçlarla ve ne kapsamda işleneceği konusunda kullanıcılar bilgilendirilmeli ve kişisel verinin işlenmesi hususunda kullanıcıların açık rızaları alınmalıdır. Açık rızanın belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve özgür iradeyle açıklanması gereklidir. Aynı maddenin 2. fıkrasında ise kişisel verilerin açık rıza olmadan işlenebilmesi ve aktarılabilmesi halleri düzenlenmiştir. Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemler almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen şartların varlığı halinde ilgilinin açık rızası aranmaksızın kişisel veriler üçüncü kişilere aktarılabilir. 6493 sayılı Kanun’un “Belge ve kayıtların saklanması ile kişisel bilgilerin korunması, değişikliklerin bildirilmesi” başlıklı 23. Maddesinin 2. fıkrası ile “Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır” ifadesiyle ödeme ve elektronik para kuruluşlarının kişisel verileri ancak belirli amaçlar ve şartlarla işleyebileceği hüküm altına alınmıştır. Yine 6493 sayılı Kanun da ödeme kuruluşlarının yürütecekleri faaliyetlerin sürekliliğine ve ödeme hizmeti kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması hususu düzenlenmiş olup ödeme ve elektronik para kuruluşlarının kullanıcıların bilgilerine ve bilgilerin gizliliğine gereken özeni göstermeleri gerekmektedir. KVKK’nın genel hükümleri çerçevesinde ödeme kuruluşlarının gerekli idari ve teknik önlemleri de alması gerekecektir. Teknik tedbirlere örnek vermek gerekirse erişim loğları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, silme, yok etme veya anonim hale getirme, anahtar yönetimi sistemlerinin kurulması gerekmektedir.  Alınması gereken idari önlemler için de kişisel veri envanterinin hazırlanması, belli kurumsal politikaların hazırlanması, belli tip sözleşmeler (veri sorumlusu- veri işleyen arasında vs.), gizlilik taahhütnameleri, kurum için periyodik denetimler, risk analizleri, disiplin yönetmelikleri, kurumsal iletişim süreçleri, eğitim ve farkındalık faaliyetleri ve VERBİS sistemine bildirim sayılabilir. Ödeme ve elektronik para kuruluşları kullanıcıların kişisel bilgi ve verilerini saklama hususunda uymaları gereken özen yükümlülüğüne aykırı davrandıkları takdirde Kanun’un 31/2. maddesi gereğince cezai yaptırımla karşı karşıya kalacaklardır. Buna göre; ödeme hizmeti kullanıcısının ödeme hizmeti aracıyla ilgili yükümlülükleri saklı kalmak kaydıyla, ödeme aracını kullanmaya yetkili olanlar dışındaki üçüncü kişilerin ödeme aracı ile ilgili kişisel güvenlik bilgilerine erişimin engellenmesi için gerekli önlemleri almayan, ödeme aracının ve ödeme aracıyla ilgili kişisel güvenlik bilgilerinin ödeme hizmeti kullanıcısına güvenli bir şekilde ulaştırılmasını sağlamayan kuruluşların görevlileri ve işlemi yapan kişiler, bir yıldan üç yıla kadar hapis ve bin güne kadar adli para cezası ile cezalandırılır. Aynı maddenin 3. fıkrasında da “suçun dikkatsizlik, tedbirsizlik veya meslekte yetersizlik nedeniyle işlenmesi durumunda, ilgili kuruluşların görevlileri ve işlemi yapan kişiler bin güne kadar adli para cezası ile cezalandırılır” denmektedir. Sonuç olarak, kişisel veriler; 6493 sayılı Kanun ve  6698 sayılı KVKK kapsamında, ödeme ve elektronik para kuruluşları tarafından ‘veri sorumlusu’ sıfatıyla, kuruluşların vermekte oldukları hizmet ve buna ilişkin olarak yerine getirmeleri gereken hukuki yükümlülükleri çerçevesinde, belirli bir amaca ilişkin olarak, kişisel veri sahiplerinin bilgilendirilmesi koşuluyla işlenebilir, değiştirilebilir ve gerektiğinde 3. kişilere aktarılabilir.