Açık bankacılık mevzuatı ve kişisel verilerin korunması
Bir önceki yazımızda açık bankacılık uygulamalarından bahsetmiştik. Bu yazımızda ise Türkiye’de ve dünyada açık bankacılığın tabi olduğu yasal düzenlemeleri ve bu düzenlemeler ışığında kişisel verilerin gizliliği konularını ele alacağız.
Açık bankacılık kavramı ve uygulamaları birçok mevzuat kapsamında ele alınıyor. Avrupa Birliği mevzuatı çerçevesinde ilk olarak 2007 yılında Ödeme Hizmetleri Direktifi ile açık bankacılık uygulamalarının önü açıldı, ardından 2015 yılında Ödeme Hizmetleri Direktifi 2 (PSD 2) ile bu uygulamalara ilişkin düzenlemeler kapsamlı bir hale getirilerek yasal bir temele oturtuldu. Türkiye’de ödeme hizmetleri ilk olarak 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile düzenlendi. Açık bankacılığın temelini oluşturan yasal düzenleme olarak ise 2019 yılında 7192 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun kabul edildi. Açık bankacılık tanımı Türkiye’de ilk kez Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te yer aldı.
Temel olarak açık bankacılık, müşteri verilerinin üçüncü taraflarla paylaşılmasına imkân verdiğinden ve asıl amaç bu verilerin aktarılması suretiyle müşterilere çeşitli hizmetler sağlanması olduğundan, müşterilere ait verilere yetkisiz erişimin önlenmesi ve veri ihlallerinin önüne geçilmesi büyük önem arz ediyor. Bu kapsamda işlenecek kişisel veri niteliğindeki müşteri verilerinin hangi yasal düzenlemeler kapsamında işleneceği ve aktarılacağını tespit etmek gerekiyor.
Açık bankacılıkta gerçekleşen temel kişisel veri işleme faaliyetlerini; müşterilere bankacılık hizmetlerini sunmak amacıyla müşteri verilerinin banka tarafından işlenmesi, bankalar tarafından işlenen müşteri verilerinin üçüncü kişi hizmet sağlayıcılara aktarılması ve müşteri verilerinin açık bankacılık hizmetlerinin sunulması amacıyla üçüncü kişi hizmet sağlayıcılar tarafından işlenmesi olarak düşünebiliriz. PSD 2’de, müşterilerin onayının alınması durumunda bankaların müşteri verilerini üçüncü kişi hizmet sağlayıcılar ile paylaşması bir zorunluluk olarak düzenlenirken, Türk hukukunda bu yönde bir veri paylaşımı zorunluluğuna ilişkin herhangi bir düzenleme bulunmuyor. Bunun Türkiye’de açık bankacılığın gelişiminin önünde bir engel olarak karşımıza çıkacağını söylemek mümkün. Avrupa Birliği mevzuatına bakıldığında, açık bankacılık uygulamaları kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu olması gerekiyor. Türkiye’de ise bu yaklaşıma paralel olarak, Kişisel Verilerin Korunması Kanunu’na (KVKK) uyum ön plana çıkıyor.
Temel olarak müşteri verilerinin işlenebilmesi için bankaların, ödeme kuruluşlarının ve üçüncü kişi hizmet sağlayıcıların müşterileri aydınlatma yükümlüklerini yerine getirmeleri ve gerekli hallerde müşterilerden açık rıza almaları gerekiyor. Ancak, bankalar ayrıca Bankacılık Kanunu’na tabi olduklarından, kişisel veri niteliğindeki müşteri sırlarına yönelik bankacılık düzenlemelerini de dikkate almak gerekiyor. Bankacılık Kanunu’nda müşteri sırlarının üçüncü kişilerle paylaşılabilmesi için müşterinin açık rızası olsa dahi, müşterinin ayrıca talimat vermesi gerekiyor. Bu düzenleme KVKK’da düzenlenen açık rızanın işlevini yitirmesine sebep oluyor. Buna ek olarak, Bankacılık Kanunu’nda müşteri verilerinin yurt dışına aktarılmasına ilişkin özel düzenlemeler de yer alıyor, Bankacılık Düzenleme ve Denetleme Kurulu müşteri verilerinin yurt dışındaki üçüncü kişilerle paylaşılmasını ya da yurt dışına aktarılmasını yasaklamaya yetkili kılınıyor. Düzenlemeler her ne kadar veri güvenliğinin sağlanması amacıyla getirilmiş olsa da açık bankacılığın gelişimine engel olacak nitelikte. Müşteri verilerinin üçüncü taraf hizmet sağlayıcıları tarafından işlenebilmesi için ise açık rızanın yanı sıra müşterinin istek veya onayı aranıyor. Bu istek veya onayın ne şekilde alınacağına yönelik bir yöntem henüz belirlenmiş değil.
Açık bankacılık hizmetlerinin sunulabilmesi için müşteri verilerinin üçüncü kişilere aktarılması gerektiğinden, bu aktarımın gerçekleşebilmesi için yine müşterilerin açık rızası gerekiyor. Kişisel Verileri Koruma Kurulu’nun, müşterilerin açık rızasının, bir hizmetin sunulmasının ön şartı olarak belirlendiği durumlarda açık rızanın sakatlanacağı yönündeki yaklaşımının ilgili açık bankacılık hizmetlerinin sunulmasına ne derece etki edeceği zamanla anlaşılacak.
Son olarak, kişisel verilerin güvenli bir şekilde saklanması, açık bankacılık konusundaki en büyük endişelerden birini teşkil ediyor. Bankalar tarafından işlenen verilerin güvenlik sınıfının, verilerin kişisel veri ya da sır kapsamındaki veri olup olmadığı gibi kriterler göz önünde bulundurularak belirlenmesi, en az iki bileşenli kimlik doğrulama yönteminin benimsenmesi, kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayın yaşanması halinde bankalara müşterileri bilgilendirme yükümlülüğü getirilmesi gibi düzenlemeler veri güvenliği açısından olumlu gelişmeler olarak karşımıza çıkıyor. Ancak bu düzenlemeler diğer ödeme hizmeti sağlayıcılarını kapsamadığından, açık bankacılığın gelişimi için bir an önce bu yönde adımlar atılması gerekiyor.
Bütün bu belirsizlikler dikkate alındığında, Türkiye’de açık bankacılık uygulamalarının etkin bir şekilde hayata geçmesi için yasal düzenlemelerin, hukuk sisteminin bütünlüğü göz önünde bulundurularak geliştirilmesi ve özellikle veri güvenliği konularında bütün hizmet sağlayıcıları kapsayacak şekilde ek yükümlükler getirilmesi önem arz ediyor.