Yeni Gelişme
Türkiye Cumhuriyet Merkez Bankası'nın (“TCMB“) Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ'indeki (“Tebliğ“) değişiklikleri 7 Ekim 2023 tarihinde 32332 sayılı Resmi Gazete'de yayımlandı. Yapılan değişikler ile “yakın alan iletişimi” ile uzaktan iletişim aracı ile yürütülen işlemler bakımından kimlik tespitine yönelik internet tabanlı yöntemlerin kurulmasıyla ilgili düzenlemeler getirildi. Ödeme işlemine ilişkin müşteriden gelen talep ya da talimata bağlı olarak, verilerin yurt dışındaki ilgili üçüncü kişilere aktarılmasına ilişkin usul ve esaslar belirlendi.
Tebliğ'de yapılan değişikliklere buradan ulaşabilirsiniz.
Tebliğ değişikliği ne getiriyor?
Yapılan değişiklikler ile “yakın alan iletişimi” kavramı Tebliğ kapsamına alındı. Buna göre, Tebliğ Madde 3'te “yakın alan iletişimi”, elektronik cihazlar arasında iletişimi sağlamak için bu cihazların birbirine temas ettirilmesiyle veya yakın mesafede temassız olarak yaklaştırılmasıyla ortaya çıkan manyetik alan üzerinden veri iletiminin sağlandığı kısa menzilli kablosuz bağlantı teknolojisi olarak tanımlanmaktadır.
Denetim izlerinin oluşturulmasına ilişkin Tebliğ Madde 13/8 ile, herhangi bir nedenle denetim izi kayıt sisteminin durması halinde izlenecek usul ve esaslar düzenlenmektedir. Bu kapsamda, denetim izi kayıt sistemi tekrar devreye alınana kadar herhangi bir işlem gerçekleşmemesi esas olmakla birlikte, bu süre içerisinde herhangi bir işlemin gerçekleşmesi halinde, söz konusu işlemlere ait denetim izlerinin, sistemin güvenliği ve bütünlüğü korunarak denetim izi kayıt sistemine kaydedilmesi gerekmektedir. Buna paralel olarak, ödeme ve elektronik para kuruluşlarına (“Kuruluşlar“), bu süreçte gerçekleştirilen her türlü işlemin yetkili kişiler tarafından Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik ile Tebliğ hükümlerine uygun şekilde yapıldığını ispat etme ve bu işlemler sebebiyle herhangi bir tarafın zarara uğraması halinde tarafların uğradığı zararı tazmin etme yükümlülüğü getirilmektedir.
Bilgi sistemlerine ilişkin dış hizmet alımlarına ilişkin olarak, Tebliğ'e eklenen Madde 16/12 ile, dış hizmet alımına ilişkin sözleşmelerdeki asgari unsurları içeren Madde 16/9'daki hükümlerin, verilerin gizliliği, bütünlüğü ve erişilebilirliği ile Kuruluşların sunduğu hizmetin sürekliliğini etkileme potansiyeli olmayan, hassas müşteri verileri ve müşteri bilgilerinin dış hizmet sağlayıcı ile paylaşılmasına sebebiyet vermeyen ve Kuruluşlara özel olarak tasarlanıp sunulmayan hizmet alımlarına ilişkin sözleşmeler bakımından sözleşmenin niteliğine uygun düştüğü ölçüde uygulanacağı belirtilmektedir. Ayrıca, Tebliğ Madde 16/13 ile, kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetler bakımından, söz konusu ürün ve hizmetlerin Türkiye'de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye'de bulunması için azami özenin gösterilmesi gerektiği ve bu hususun dış hizmet alımında önemli bir kriter olarak değerlendirileceği ifade edilmektedir.
Benzer şekilde, Tebliğ Değişikliği kapsamında, bilgi sistemlerine ilişkin sınırlamaları belirleyen Tebliğ Madde 21'e eklenen son fıkra ile, ödeme işleminin tarafı veya hizmet sağlayıcısının yurt dışında bulunduğu durumlarda, Kuruluşlar'a, ihtiyaç duyulan verileri, ödeme işlemine ilişkin müşteriden gelen talep ya da talimata bağlı olarak yurt dışındaki ilgili üçüncü kişilere, 6698 sayılı Kişisel Verilerin Korunması Kanunu Madde 9'daki yükümlülükler saklı kalmak üzere, aktarma imkanı getirilmektedir. Ancak söz konusu aktarımın hukuka uygun gerçekleşebilmesi için belirli şartlar öngörülmektedir. Buna göre, ihtiyaç duyulan verinin yurt dışına aktarımı için (i) verilerin yurt içinde saklanmaya devam edilmesi, (ii) aktarımın sadece ödeme işleminin sorunsuz şekilde gerçekleşebilmesinin gerektirdiği kadarıyla sınırlı olması, (iii) aktarımın ölçülülük ilkesine uygun olması, (iv) aktarımın ödeme işlemine ilişkin müşteriden gelen talep ya da talimata bağlı olması gerekmektedir. Bununla beraber, TCMB'nin, ödemeler alanının gelişiminin olumsuz etkileneceğini değerlendirmesi halinde, yapılan aktarımları durdurabileceği veya bunlara ilişkin ilave sınırlandırma getirebileceği ifade edilmektedir.
Tebliğ değişikliği ile, Kuruluşlar'ın, TCMB tarafından uygun bulunan bir merkezi yapının kullanılamaması durumunda, uzaktan iletişim aracı ile yürüttüğü süreçte uzaktan kimlik tespitine ve kimliği tespit edilecek kişinin doğrulanmasına imkan verecek internet tabanlı bir yöntem kullanmaları gerektiği düzenlenmektedir. Söz konusu yöntemin takip edilebilmesi için, asgari olarak yerine getirilmesi gereken hususlar belirlendi.
Tebliğ Madde 22/7 ve 22/8'de düzenlenen uzaktan iletişim aracı ile yürütülecek süreçlere ilişkin şekil şartları ve alınacak güvenlik önlemleri Tebliğ değişikliği ile “kimliği tespit edilecek kişilere” yönelik olarak düzenlenmekte ve yazılılık şartı uygulanmaya devam edecektir.
Tebliğ değişikliği ile, ayrıca, uzaktan iletişim aracı ile kurulacak sözleşmelerde, sözleşme ilişkisinin çevrimiçi görüntülü görüşme ya da elektronik kanal üzerinden kurulmasının tercih edilmesi durumunda, müşterinin sözleşmeyi kuran irade beyanının, Tebliğ Madde 10 kapsamında güçlü kimlik doğrulama yapılması sonrasında aynı elektronik kanal üzerinden alınması gerektiği düzenlenmektedir. Ek olarak, Tebliğ kapsamında uzaktan kimlik tespitinin yapılması halinde, Tebliğ'de yer alan güçlü kimlik doğrulamanın gereklerinin yerine getirilmiş sayılacağı ifade edilmektedir.
Tebliğ'deki geçiş düzenlemeleri çerçevesinde, müşterilerine doğrudan çevrimiçi erişim imkânı sağlamayan ödeme hizmeti sağlayıcılarının Tebliğ Madde 24/1 kapsamında yerine getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar yerine getirmesi gerekmektedir. Ayrıca, nezdinde ödeme hesabı bulunduran ödeme hizmet sağlayıcıların, Tebliğ'de belirtilen kişilere veri paylaşım servisleri ile ilgili sunduğu hizmetleri, standart olmayan servisleri kullanarak 30/06/2024 tarihine kadar verebileceği belirtilmektedir.
Bununla beraber, aşağıdaki kuruluşların Tebliğ Madde 24/1 kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetlerini, 30/06/2024 tarihine kadar standart olmayan servisleri kullanarak verebileceği düzenlenmiştir:
a. 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun Geçici Madde 3/3 uyarınca, TCMB'ye faaliyet izni başvurusunda bulunmuş olup faaliyet izni değerlendirme süreci devam edenler ile
b. Tebliğ'de belirtilen özellikleri taşıyıp ödeme hizmetlerini sunmak üzere TCMB'den izin almış olan kuruluşlar,
Tebliğ ile TCMB'ye söz konusu süreyi altı ayı aşmamak üzere uzatma yetkisi verilmiştir.
Sonuç
Tebliğ Değişikliği ile, dijitalleşen dünyaya uyum adımları kapsamında, “yakın alan iletişimi” kavramı hayatımıza girmekte ve ödeme ve elektronik para kuruluşlarının, uzaktan iletişim aracı ile yürüttüğü işlemlerinde uzaktan kimlik tespitine ve kimliği tespit edilecek kişinin doğrulanmasına ilişkin izlenmesi gereken usuller yeniden düzenlenmektedir. Ayrıca, ödeme işlemine ilişkin müşteriden gelen talep ya da talimata bağlı olarak ihtiyaç duyulan verilerin yurt dışındaki ilgili üçüncü kişilere hukuka uygun şekilde aktarılabilmesi için gerekli şartlar belirlenmektedir. Değişiklikler kapsamında, ödeme ve elektronik para kuruluşlarının gerekli uyum çalışmalarını gerçekleştirmeleri önem arz etmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
