Open menu
01Aralık2021

Ödeme Hizmet Sağlayıcıları Hakkında Yönetmelik ve Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ Resmî Gazete’de Yayımlandı

Ödeme Hizmet Sağlayıcıları Hakkında Yönetmelik ve Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ Resmî Gazete’de Yayımlandı

Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmet Sağlayıcıları Hakkında Yönetmelik ("Yönetmelik") ile Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmet Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ ("Tebliğ") 01.12.2021 tarih ve 31676 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.

Her iki düzenleme de Resmî Gazete'de yayım tarihi itibariyle yürürlüğe girmiş olup mevcut düzenlemeler yürürlükten kaldırılmıştır. Yeni Yönetmelik ve Tebliğ ile kuruluşlar için lisans alma, hassas verilerin ve kişisel verilerin korunması hususunda önemli düzenlemeler getirilmiştir.

Yönetmelik Neleri Düzenliyor?

Yönetmelik'te dikkat çeken önemli düzenlemeler şunlardır:

  1. Kuruluşların, müşterinin onayı ve talebi olmaksızın herhangi bir hizmeti müşterilerin kullanımına sunamayacağı, müşterilerin hizmeti kullanmaktan vazgeçtiği taktirde taleplerinin derhâl yerine getirileceği,
  2. Kuruluşların faaliyet izinlerine ilişkin düzenlemeler getirilmiştir. Söz konusu düzenlemeler ile şirketlerin faaliyet izni alması daha da zorlaştırılmıştır.Bu kapsamda faaliyet izni başvurusunda bulunan şirketlerin istihbari incelemelerinin yapılacağı bu alandaki önemli bir düzenleme olmuştur. İşbu Yönetmelik ile faaliyet izinlerinin öncelikli olarak Türkiye Cumhuriyet Merkez Bankası ("TCMB") tarafından inceleneceği de düzenlenmiş oldu.
  3. Yeni kurulan ve mevcut tüm kuruluşların üyesi olmak zorunda olduğu Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği ("TÖDEB") de Yönetmelik ile yapılan düzenlemelere girmiş bulunmaktadır.
  4. Kuruluşların dış hizmet alımında kendisine ve müşterilerine ait hassas müşteri verileri ve kişisel verilerin korunması için gerekli tedbirlerin alınması gerekliliği düzenlenmiştir.
  5. Kuruluşların işlemlerini kesintisiz bir şekilde gerçekleştirebilmesi, acil ve beklenmedik durumlara ilişkin senaryoların planlanması için iş sürekliliği planının oluşturulması gerekliliği düzenlenmiştir.
  6. Bir diğer önemli düzenleme ise; Kuruluşların, asgari bir milyon TL tutarında mesleki sorumluluk sigortası yaptırmakla veya bu değerde teminat bulundurmakla yükümlü olduklarına ilişkin yapılan düzenlemedir.
  7. Kuruluşların, uzaktan iletişim aracı ile kurulan çerçeve sözleşmenin, tarafların eş zamanlı fiziksel varlığında kurulan çerçeve sözleşme kadar güvenli olması ve asgari düzeyde risk içermesi için gerekli teknolojik ve operasyonel önlemleri almakla yükümlü olduğu düzenlenmiştir. Ayrıca bu kapsamda uzaktan iletişim aracı ile kurulacak çerçeve sözleşmeler kapsamında da müşterilerden temin edilen bilgilerin doğruluğu ve gerçekçiliğinin kontrol edilmesinin akabinde hizmet verilmesi gerekliliği açıkça düzenlenmiş, bu hususta sorumluluk Kuruluşlara yüklenmiştir. Bu kapsamda Kuruluşların çalışanlarına yılda en az 1 defadan az olmamak kaydıyla eğitim vermeleri gerektiği de yapılan düzenlemeler arasında olup çalışanların farkındalığını artırılması amaçlanmıştır.
  8. Kuruluşların bilgilendirme yükümlülüklerine ilişkin usul ve esaslar düzenlenmiştir.
  9. Kuruluşlar nezdinde verilerin korunmasına ilişkin de önemli düzenlemeler getirilmiştir. Bu kapsamda kişilerin açık rızasının alınması, verilerin yurt içinde tutulması ve saklanması, üçüncü taraflarla paylaşımı konusunda değişiklikler dikkat çekmektedir. Yönetmelik kişisel verilerin işlenmesi faaliyetinde 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve bu Kanun uyarınca yapılan düzenlemelerin öncelikli olarak uygulanacağı hüküm altına alınmıştır.
  10. Son hükümlerle birlikte, Kuruluşların mücbir sebep hâlinde Yönetmelikte belirtilen bazı yükümlülüklerden sorumlu tutulmayacağı da dikkat çeken diğer bir düzenlemedir.

Tebliğ Neleri Düzenliyor?

Tebliğ ile amaçlanan, ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin denetlenmesi ve veri paylaşımına ilişkin usul ve esasların düzenlenmesidir. Bu kapsamda;

  1. Kuruluşların, müşterilerini ve Kişisel Verileri Koruma Kurulu'nu, hassas müşteri verilerinin ya da kişisel verilerin sızmasına ya da ifşasına neden olan bir güvenlik olayının yaşanması hâlinde mümkün olan en kısa sürede bilgilendirmesi gerektiği,
  2. Verilerin sınıflandırılması, bu verilere yetki, erişim, saklama ve imha politika ve prosedürlerinin oluşturulması ve bu hususta personelin bilgilendirilmesi gerekliliği,
  3. Hassas ve kişisel verilerin korunmasında teknik tedbirlere ilişkin düzenlemeler,
  4. Müşteri bilgilerinin, Kanunla açıkça yetkili kılınan merciler dışındaki taraflara, ancak müşterinin aydınlatılması ve açık rızasının alınması kaydıyla verilebileceği ve bu noktada açık rızasının 6698 sayılı Kanun'a uygun şekilde alınması gerekliliği,
  5. Yeterli ve etkin bir kimlik doğrulama sisteminin kurulması ve bazı hâllerde güçlü kimlik doğrulama yönteminin kullanılması,
  6. Kuruluş personelinin verilere, fiziksel ortamlara erişimine ilişkin yetki ve sınırlamaların belirlenmesi, yetkisiz erişimlerin engellenmesi,
  7. Kuruluşların güvenlik açıklarını ve ihlallerini tespit edebilmesi için belli periyodlarla sızma testlerinin, zafiyet taramalarının yapılması,
  8. Kuruluşun, Yönetmelik'in ilgili maddesi uyarınca oluşturulan iş sürekliliği planının bir parçası olarak bilgi sistemleri süreklilik planının hazırlanması gerekliliği,
  9. Verilerin yedeklenmesi, faaliyetlerin kesintisiz devamı için ikincil merkez ve sistemlerin kurulması ve bunların test edilmesi,
  10. Dış hizmet sağlayıcılara ilişkin erişim yetkilerinin düzenlenmesi; yetkinin, işin gerektirdiği bilgi ile sınırlandırılması

gibi dikkat çeken önemli düzenlemeler yapılmıştır. Kuruluşların uyumluluk süreçleri de Yönetmelik ve Tebliğ'de ayrıca düzenlenmiş olup, Kuruluşların belirlenen süre zarfında Yönetmelik ve Tebliğ'de yapılan düzenlemelere uyumluluğunu sağlamış olması da önem arz etmektedir.

Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı, Ticaret Hukuku Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Diğer Mevzuatlar