11 Nisan 2025 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği iş birliğiyle Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi (“Rehber”) yayımlanmıştır.
Rehber, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (“6493 sayılı Kanun”) kapsamında düzenlenen hizmetleri sunan ödeme kuruluşları ve/veya elektronik para kuruluşları (“Kuruluşlar”) için hazırlanmıştır. Kuruluşların, çeşitli faaliyetlerini yürütürken 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, sektör bazlı dikkat etmeleri gereken usul ve esasları detaylı biçimde ele almaktadır.
1. Hizmete Özgü Taraf Sıfatlarının Belirlenmesi
Rehber’de, 6493 sayılı Kanun kapsamında Kuruluşların sundukları hizmetin niteliğine göre veri sorumlusu veya veri işleyen sıfatını üstlenebilecekleri değerlendirilmiştir. Elektronik para ihracı, para havalesi, POS hizmetleri, fatura ödeme aracılığı ve mobil ödeme gibi farklı dijital hizmet modellerinde, kişisel verilerin işlenmesine ilişkin sorumluluk; ödeme kuruluşu, elektronik para kuruluşu, mobil operatör, işyeri veya bankalar gibi farklı aktörler arasında, hizmet bazlı olarak değişebilecek şekilde sınıflandırılmıştır.
Ödeme hizmetinin yapısal özelliklerine bağlı olarak, bazı durumlarda aynı aktörün hem veri sorumlusu hem de veri işleyen sıfatını birlikte taşıyabileceği; ayrıca veri işleyen rolünün, hizmet sağlayıcının temsilcileri tarafından da üstlenilebileceği belirtilmiştir. Özellikle müşteri destek hizmetleri, çağrı merkezleri, pazarlama veya bilgi işlem gibi operasyonel alanlarda gerçekleştirilen kişisel veri işleme faaliyetleri açısından bu tarafların veri işleyen olarak değerlendirilmesi gerektiği, bu ilişkilerin yazılı sözleşmelerle açıkça düzenlenmesinin zorunlu olduğu vurgulanmıştır.
Rehber’de, ödeme hizmeti süreçlerinde kişisel verileri doğrudan kuruluşlarla paylaşan ve bu nedenle veri işleme faaliyetinin tarafı olan kişiler “ilgili kişi” olarak tanımlanmakta ve bu kişilere ilişkin veri işleme faaliyetleri KVKK’nin genel ilkeleri ile açıkça ilişkilendirilmektedir. Öte yandan, bu kapsamın dışında kalan, ödeme işlemlerinin ifası sırasında dolaylı olarak verileri işlenen ancak doğrudan hizmet sağlayıcının müşterisi olmayan kişiler bakımından farklı bir değerlendirme yapılmaktadır. Rehber, Avrupa Veri Koruma Kurulu’nun (EDPB) 06/2020 sayılı rehberine atıfla bu kişileri “sessiz taraf” olarak tanımlamakta; bu kişilere ait verilerin, yalnızca işlemin gerçekleşmesi için gerekli olduğu ölçüde ve ilk veri işleme amacıyla sınırlı şekilde kullanılabileceğini ifade etmektedir. Bu verilerin başka amaçlarla işlenebilmesi ise ancak açık ve geçerli bir hukuki dayanağın varlığı hâlinde mümkün olabilecektir.
2. İşlenen Kişisel Veriler ve Veri İşleme Şartları
Ödeme ve elektronik para sektöründe faaliyet gösteren veri sorumluları tarafından işlenen kişisel veriler, sunulan hizmetin niteliğine göre değişiklik göstermekte olup; genellikle kimlik (ad, soyad, TCKN, doğum tarihi vb.), iletişim (telefon, e-posta, adres), finansal (IBAN, banka hesap bilgileri, kart bilgisi), işlem güvenliği (IP adresi, şifre, giriş/çıkış verileri), mesleki deneyim, müşteri işlem, görsel-işitsel kayıtlar ile biyometrik veriler gibi kategorilere ayrılmaktadır.
Bu kapsamda, söz konusu veri kategorilerinin işlenmesi yalnızca hizmetin teknik gerekliliklerinden değil, aynı zamanda Kuruluşların tabi olduğu sektörel ve yasal yükümlülüklerden de kaynaklanabilmektedir. Bu duruma örnek olarak, Kuruluşlar, 5549 sayılı Kanun Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (“5549 sayılı Kanun”) ile Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (“Tedbirler Yönetmeliği”) uyarınca, kimlik tespiti ve işlem güvenliğini sağlama yükümlülüğü kapsamında teyidi zorunlu olan çeşitli kişisel veriler işleyebilmektedir. Ayrıca, Mali Suçları Araştırma Kurulu’nun (MASAK) 5 No’lu Tebliği kapsamındaki düzenlemeler incelendiğinde, ödeme kuruluşlarının anonim ön ödemeli araçlar yoluyla sundukları hizmetlerde kimlik tespiti yapmalarının gerekli olduğu durumlar ile temsilciler aracılığıyla toplanan kişisel verilerin nasıl saklanıp paylaşılacağına ilişkin esasların ayrıntılı şekilde belirlendiği görülmektedir.
Rehber ayrıca, KVKK madde 5 ve 6 kapsamında düzenlenen kişisel veri işleme şartlarını ödeme ve elektronik para hizmetlerine özgü örneklerle somutlaştırmaktadır. Örneğin, ödeme hizmeti kullanıcılarının veya işyerlerinin olağandışı işlem hareketlerinin, konum bilgilerinin ya da kullanılan cihazlara ilişkin teknik verilerin işlenmesi gibi faaliyetlerin, dolandırıcılık ve sahteciliğin önlenmesi amacıyla meşru menfaat işleme şartı kapsamında değerlendirilebileceği belirtilmektedir. Böylelikle, Kuruluşlara hangi işleme faaliyetinin hangi hukuki sebebe dayalı olarak gerçekleştirilebileceğine dair uygulamaya dönük bir rehberlik sunulmaktadır.
3. Sektör Bazında Kişisel Verilerin Aktarılması
Rehber, ödeme ve elektronik para sektöründe kişisel verilerin aktarılmasına ilişkin yükümlülükleri, KVKK madde 8 ve 9 uyarınca düzenlenen veri işleme şartlarına dayanarak kapsamlı biçimde ele almaktadır. Bu bağlamda, özellikle 5549 sayılı Kanun ve Tedbirler Yönetmeliği uyarınca Kuruluşlar tarafından MASAK’a yapılacak bildirim yükümlülükleri ile Türkiye Cumhuriyeti Merkez Bankası (TCMB) nezdinde yürütülen gözetim faaliyetleri kapsamında talep edilen bilgi ve belgelerin aktarımı, KVKK madde 8 uyarınca aktarım hukuki sebebi olarak düzenlenen “veri sorumlusunun hukuki yükümlülüğü” kapsamında değerlendirilmektedir.
Yurt dışına veri aktarımı bakımından ise Rehber, yakın zamanda değişikliğe uğrayan KVKK madde 9’a uygun olarak yeterlilik kararı, uygun güvenceler ve istisnai haller olmak üzere üç temel aktarım rejimine dayalı değerlendirmeler yapmaktadır. Özellikle ödeme hizmetlerinin yurt dışında yerleşik tüzel kişilere birlikte sunulması gibi sektöre özgü iş modellerinde kişisel veri aktarımına ihtiyaç duyulabileceği, bu gibi hallerde hem veri koruma hem de ödeme hizmetleri mevzuatlarında düzenlenen gerekliliklere uygun hareket edilmesi gerektiği belirtilmektedir.
Rehber’de, yurt dışına kişisel veri aktarımına ilişkin sektöre özgü düzenlemelere örnek olarak, para havalesi işlemlerinin yurt dışına gerçekleştirilmesi hâlinde, ödeme hizmeti sağlayıcısının KVKK madde 9 altında yer alan aktarım şartlarını karşılaması gerektiği belirtilmiştir. Bu kapsamda gerçekleştirilecek aktarımların ise, “istisnai aktarım halleri” olarak nitelendirilebileceği ve dolayısıyla ilgili kişinin açık rızasına dayalı olarak gerçekleştirilebileceği ele alınmıştır. Ayrıca, Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Tebliğ”) madde 21 uyarınca, ödeme işleminin taraflarından birinin yurt dışında bulunması durumunda, işlemin sorunsuz şekilde tamamlanabilmesi için gerekli olan verilerin ölçülülük ilkesi çerçevesinde ve yalnızca bu amaçla yurt dışındaki üçüncü kişilerle paylaşılabileceği hüküm altına alınmıştır. Ancak bu verilerin her hâlükârda, Tebliğ’de Kuruluşlara yönelik düzenlenen “birincil sistem” kuralına uygun olarak yurt içinde saklanmaya devam etmesi zorunluluk arz etmektedir.
4. Veri Güvenliği ve Denetim
Rehber, Kuruluşların KVKK madde 12 kapsamında veri güvenliğine ilişkin teknik ve idari tedbirleri alma yükümlülüğünü, sektörel niteliklerle birlikte ele almaktadır. Örnek olarak ise, 6493 sayılı Kanun madde 23 ile getirilen yurt içi veri saklama zorunluluğu, Kuruluşların tüm bilgi sistemleri ve yedeklerinin Türkiye’de barındırılması şartına; belgelerin asgari 10 yıl süreyle güvenli şekilde muhafaza edilmesii yükümlülüğüne değinilmiştir.
Rehber, ayrıca Kurum tarafından yayımlanan “Veri Güvenliği Rehberi”ne paralel olarak sektörün risk profilini, organizasyonel yapısını ve teknolojik altyapısını dikkate alarak uygulanabilecek teknik ve idari tedbirleri sunmakta; antivirüs sistemleri, yedekleme, şifreleme, erişim logları, silme/anonimleştirme gibi teknik önlemler ile risk analizleri ve sözleşmesel kontroller gibi idari önlemleri ayrıntılandırmaktadır.
Son olarak, denetim mekanizmalarına özel olarak yer verilen Rehber’de, TCMB gözetim yetkisi kapsamında Kuruluşların tüm işlem kayıtlarını, belgelerini ve sistem erişimlerini denetime hazır hâlde tutmaları gerektiği vurgulanmıştır. 6493 sayılı Kanun madde 21 gereğince TCMB tarafından yapılan denetimlere ek olarak, Kuruluşlar ayrıca bağımsız denetime tabi olup bu denetimlerde kişisel verilerin korunmasına yönelik eksikliklerin belirlenmesi hâlinde, Kuruluşlardan ivedilikle gerekli teknik ve idari düzeltmeleri yapmaları beklenmektedir.
Rehber’in tam metnine buradan ulaşabilirsiniz.
