Türkiye Cumhuriyeti Merkez Bankası (“T.C.M.B.” veya “Kurum”) tarafından çıkarılan ve 7 Ekim 2023 tarihli Resmî Gazete’de yayınlanan yönetmelik ve tebliğ ile birlikte, “Ödeme Hizmetleri ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik” ve “Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ”de değişiklikler yapıldı. Bu değişiklikler; Fintek alanında faaliyet gösteren kuruluşlar, ödeme hizmeti sağlayıcıları, elektronik para ihraç eden kuruluşlar (“Kuruluş”) ve bu finansal kuruluşların günlük hayata getirdiği finansa teknolojilerin ödeme hizmeti kullanıcıları tarafından kullanımına ilişkin önemli düzenlemeler getiriyor. Örneğin, yaygın ve yeni nesil bir ödeme aracı olarak “Dijital Cüzdan” (veya Sanal Cüzdan ya da Elektronik Hesap Cüzdanı); bu değişiklikler ile birlikte Türk mevzuatında ilk kez tanımlandı. Bu yazıda yeni mevzuat ile getirilen ana değişiklikleri açıklıyor olacağız.
DİJİTAL CÜZDAN MEVZUATTA İLK KEZ TANIMLANDI VE BU HİZMETİ VEREBİLECEK KİŞİLER SINIRLANDIRILDI
Dijital Cüzdan, Yönetmelik’te müşterinin tanımladığı ödeme hesabına veya ödeme aracına ilişkin bilgilerin saklandığı, bir elektronik cihaz, çevrim içi hizmet veya uygulama olarak sunulan ve müşteriye, tanımladığı bilgileri kullanarak ödeme işlemi gerçekleştirme imkânı sağlayan ödeme aracı olarak tanımlandı.
Ödeme hizmeti kuruluşları, dijital cüzdan hizmeti sunabilecek ancak bunun için ödeme aracı ihraç etme yetkisine sahip olmaları şart. Aynı şekilde, dijital cüzdanın işyerlerinde doğrudan ödeme aracı olarak kullanılmak istenmesi halinde, finansal kuruluşun elektronik para ihraç etme yetkisinin bulunması zorunluluğu var. Yalnızca, müşterinin hassas verilerini ödeme hizmet sağlayıcı adına saklama hizmeti verenlerin sunduğu hizmetler ise yönetmelikteki şartlara uyduğu sürece dijital cüzdan hizmeti kapsamında değerlendirilmeyecek.
07.10.2023 tarihinden önce dijital cüzdan hizmeti sunmakta olup; Kanun kapsamında ihdas edilen ödeme kuruluşu veya elektronik para kuruluşu kategorisine dâhil edilebilecek olan, ancak faaliyet izni bulunmayan kişiler, 07.10.2024 tarihine kadar bir yıl içinde Merkez Bankası’na başvurarak gerekli izinleri almak zorunda ve tüm kuruluşların getirilen yeni düzenlemelere yine 7 Ekim 2024 tarihine kadar uyum sağlaması gerekiyor.
ÖDEME KURULUŞUNUN İLAVE HİZMET SUNMAK İÇİN MÜŞTERİSİNDEN ONAY ALMASI ŞARTI BELİRLİ HALLERDE ARANMAYACAK
TCMB tarafından ödemeler alanının gelişimi için gerekli olduğuna karar verilmesi durumunda, Kurum tarafından belirlenmiş olan ilave ödeme hizmetlerinin sunumu için müşterinin onay ve talebinin alınması şartı uygulanmayacak. Ancak bu istisnanın geçerli olabilmesi için müşterinin ödeme hizmeti aldığı kuruluş ile arasında halihazırda başka bir ödeme hizmeti ile ilgili olarak sözleşme bulunması şartı aranıyor. Ayrıca bu halde dahi, ilave ödeme hizmetinin sunulmaya başlanmasından önce müşteriye gerekli bilgilendirmenin yapılması ve müşteri tarafından ilave ödeme hizmetinin istenmediğinin belirtilirse hizmet sunulmaması gerekmekte.
FAALİYET İZİN BELGESİ VE PAY DEVRİ ONAYI İÇİN TCMB’YE YAPILACAK BAŞVURU SÜREÇLERİNE İLİŞKİN DEĞİŞİKLİKLER
Merkez Bankası’na ödeme hizmet sağlayıcı veya elektronik para kuruluşu olarak faaliyet göstermek için yapılacak izin başvurularında, gerekli belgeler arasına yenileri eklendi. Bunlar; şirketin nitelikli pay sahipleri ile kontrolü elinde bulunduran pay sahiplerinin şirketteki sermaye taahhütlerinin kendi kaynaklarından karşıladıkları ve her türlü muvazaadan ari olarak nakden temin ve tevdi edildiğine ilişkin taahhütnameler, bu kişiler ile bu kişilerin doğrudan en az %33’üne sahip oldukları şirketlere ilişkin ilgili ticaret sicil müdürlüğünden alınacak iflas konkordato belgesi ile Findeks kredi notuna ilişkin belge. Ayrıca hem faaliyet izni belgesi hem de kuruluşların pay devirlerinin onayı için Merkez Bankası’na yapılacak başvurularda uyulması gereken süreler yeniden düzenlendi.
Ek olarak, Kuruluşun nihai pay sahiplerinin doğrudan veya dolaylı olarak kuruluş nezdindeki pay oranında herhangi bir değişikliğe sebep olmayacak şekilde aynı gruba ait şirketler arasında gerçekleşen pay edinim ve devirleri TCMB iznine tabi olmaktan çıkarıldı. Ancak her halükarda bu pay devirlerinin de ilgili kuruluşça öğrenilmesinin ardından on iş günü içerisinde Merkez Bankası’na bildirilmesi gerekmektedir.
ÖDEME KURULUŞLARININ FAALİYETTE BULUNMASINA İZİN VERİLEN ALANLAR GENİŞLETİLDİ
Finansal teknoloji sektöründe elektronik para ve ödeme hizmet sağlayıcı olarak faaliyet gösteren şirketlerin kural olarak kanunda belirtilen hizmetler dışında hizmet sunması bildiğiniz üzere yasak. Ancak, mevzuatın bu hususta kuruluşun ana hizmet konularına ilişkin eğitim ve danışmanlık sunması gibi tanımladığı istisnalar mevcut ve bu değişiklikler ile söz konusu istisnalar artırıldı. Getirilen yeni düzenleme ile istisnalar arasına pazarlama ve ilgili finansal kuruluşun sistemlerine yönlendirme gibi kuruluşun ödeme hizmetlerinin kullanımını arttırabilecek nitelikteki yan hizmetler, tüzel kişilere ilişkin olarak katma değerli hizmetler, gerçek kişilere ilişkin olarak nitelikli hizmetlerin sunulması, kıymetli maden ve kıymetli taş alım satımı ile ilgili faaliyetlere aracılık edilmesi eklendi.
KURULUŞUN, BANKA NEZDİNDE TUTMASI GEREKEN TEMİNAT TUTARI BELİRLENİRKEN ESAS ALINACAK KRİTER SAYISI AZALDI
Bilindiği üzere, fon sahiplerinin haklarının tazmin edilmesi ve kuruluşun Kanundan kaynaklanan yükümlülüklerinin yerine getirilmesini teminen kuruluşların TCMB nezdinde belirli bir miktar teminat bulundurması gerekiyor. Bu teminatın tutarının belirlenmesine ilişkin kriterleri düzenleyen madde hükmünde Merkez Bankası tarafından değişiklik yapıldı ve esas alınacak kriterler yediden ikiye indirildi:
- Kanun kapsamında idari para cezası uygulanmamış olması
- Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği hakem heyetlerinde kuruluş aleyhine sonuçlanan şikâyet ve itiraz başvurularının kuruluşla ilgili toplam başvurular içindeki payının yüzde onun üzerinde olmaması.
AÇIK BANKACILIK ALANINDA FAALİYET GÖSTERENLER İÇİN ÖDEME EMRİ İLE İLGİLİ AÇIKLAYICI BİR DÜZENLEME GETİRİLDİ
Yönetmelik’te yapılan değişiklik bir ödeme işleminin, “ödeme emri başlatma hizmeti” olarak kabul edilmesi için bu işlemi başlatan kişinin, işlemin gerçekleştirileceği ödeme hizmeti sağlayıcısının haricinde farklı bir ödeme hizmeti sağlayıcısını da kullanması gerektiğini vurguluyor. Gönderen tarafından alıcı aracılığıyla başlatılan ödeme işlemleri için ise, gönderenin kendi ödeme hesabının bulunduğu ödeme hizmeti sağlayıcısının dışında başka bir ödeme hizmeti sağlayıcısını kullanmaması durumunda, bu işlemler ödeme emri başlatma hizmeti olarak kabul edilmeyecek.
ANONİM ÖN ÖDEMELİ ARAÇLAR İÇİN PARASAL ARALIK BELİRLENDİ
Tebliğ kapsamında anonim ön ödemeli araçların tanımına ilişkin yapılan değişiklik ile birlikte, anonim ön ödemeli araç, 9/4/2008 tarihli ve 26842 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nin 2.2.9 uncu maddesinin birinci paragrafında ve 2.2.11 inci maddesinin birinci paragrafında belirtilen parasal sınırlar dahilinde kalan ödeme ve yüklemeler olarak tanımlandı.
DENETİM İZİ KAYIT SİSTEMİNE İLİŞKİN YENİ DÜZENLEME GETİRİLDİ
Kuruluşlar; müşteri bilgileri ve bilgi sistemlerine gerçekleştirilen fiziksel veya mantıksal erişimler ile yetkisiz erişim teşebbüslerine ve bilgi sistemlerinde gerçekleşen Kanun kapsamındaki faaliyetler ile ilgili yapılan işlemlerin takibine imkân verecek şekilde oluşturacağı denetim izi kayıt sistemine, Tebliğ’de yapılan değişiklik ile birlikte artık erişimin veya işlemin gerçekleştiği zaman ve kaynak ile hedef port ve IP bilgilerini de dahil edecek.
Herhangi bir nedenden dolayı kayıt sisteminin durması halinde, sistem tekrar devreye alınana kadar gerçekleşen işlemlere ait denetim izlerinin, sistem tekrar devreye alındıktan sonra güvenliği ve bütünlüğü korunarak sisteme kaydedilmesinin sağlanması gerekmekte. Sistemin durmasına rağmen işlemlerin gerçekleşmeye devam ettiği durumlarda, gerçekleştirilen işlemin yetkili kişiler tarafından mevzuat hükümlerine uygun şekilde yapıldığını ispat etme yükümlülüğü de Kuruluşa ait olacak. Yine, bu işlemler sebebiyle herhangi bir tarafın zarara uğraması durumunda Kuruluşa, tarafların uğradığı zararı tazmin etme yükümlülüğü de getirildi.
BULUT HİZMETLERİNE İLİŞKİN ŞARTLARDA DEĞİŞİKLİK YAPILDI
Halihazırda; Kuruluşların hassas müşteri verilerini, rekabete duyarlı verileri ve kişisel verileri saklayacak dışarıdan outsource olarak bulut hizmetleri almak istemesi halinde, dış hizmet sağlayıcıların Merkez Bankası tarafından uygun görülmüş olması gerekmekte. Ancak, getirilen yeni değişiklik ile birlikte kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilmesi gerektiği ve bu hususun dış hizmet alımında önemli bir kriter olarak değerlendirileceği de belirtiliyor. Ayrıca, bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması da şart. TCMB, kuruluşların kullanacağı güvenlik ürünleri ve diğer bilgi teknolojileri unsurları hakkında ilave şartlar belirlemeye de yetkili olacak.
VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN DÜZENLEME GETİRİLDİ
Kuruluşların birincil ve ikincil sistemleri ile veri yedekleme merkezlerini yurt içinde bulundurmaları zorunlu. Ancak gelen yeni düzenleme uyarınca artık ödeme işleminin taraflarından birinin (kendisinin veya hizmet sağlayıcısının) yurt dışında bulunduğu durumlarda kuruluş; verilerin yurt içinde saklanmaya devam edilmesi kaydıyla, sadece ödeme işleminin sorunsuz şekilde gerçekleşebilmesinin gerektirdiği kadarıyla sınırlı olmak şartıyla ve ölçülülük ilkesine uygun olarak ihtiyaç duyulan veriyi, ödeme işlemine ilişkin müşteriden gelen talep ya da talimata bağlı olarak ve 6698 sayılı Kanunun 9 uncu maddesine ilişkin yükümlülükler saklı kalmak üzere yurt dışındaki ilgili üçüncü kişilerle paylaşabilir. Fakat Merkez Bankası, yapacağı değerlendirme neticesinde ödemeler alanının gelişimini olumsuz etkileyeceğine karar vermesi durumunda, bu fıkra uyarınca yapılan paylaşımları durdurabilir veya bunlara ilişkin ilave sınırlandırma getirebilir.
UZAKTAN İLETİŞİM ARACI İLE YÜRÜTÜLECEK SÜREÇLER HAKKINDA DÜZENLEME GETİRİLDİ
Yeni mevzuat ile, Kuruluş tarafından uzaktan iletişim aracı ile yürütülecek kimlik tespiti ve sözleşme ilişkisinin kurulması süreçlerinde kimlik doğrulama yöntemleri ve kontrol mekanizmalarına ilişkin usul ve esaslarda da değişiklik yapıldı. Mevzuatta, kişinin çevrim içi gerçek zamanlı video, çevrim içi gerçek zamanlı hareketli fotoğraf veya çevrim içi görüntülü görüşme yöntemleri kullanılarak canlılık testinin yapılması ve uzaktan kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde alınması gereken çeşitli teknik aksiyonlar düzenleniyor. Bu noktada, Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehber ve kararlar, biyometrik verilerin işlenmesi sırasında dikkat edilecek hususları düzenlediği için uzaktan iletişim süreçlerinde de önem arz ettiğinin hatırlanması faydalı olacaktır.
Av. Burcu Gür