Türkiye'de Yasal Gereklilikler: Ödeme Müşterilerinin Kişisel Verilerinin İşlenmesi

Dijital ödeme sistemleri, doğası gereği büyük miktarda kişisel veri işlemektedir. Türkiye'de, bu verilerin işlenmesi ve korunması, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olmak üzere çeşitli yasal düzenlemelere tabidir. Bu makale, ödeme sistemlerinde kişisel verilerin işlenmesi için Türkiye'deki yasal gereklilikleri ve uyum için atılması gereken adımları ele almaktadır.

KVKK ve Ödeme Sistemleri

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girmiştir ve Türkiye'de kişisel verilerin işlenmesine ilişkin temel yasal çerçeveyi oluşturmaktadır.

KVKK'nın Temel İlkeleri

Ödeme sistemlerinde kişisel veri işlerken uyulması gereken temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Ödeme Sistemlerinde İşlenen Kişisel Veriler

Ödeme sistemleri genellikle aşağıdaki kişisel verileri işler:

  • Ad, soyad, iletişim bilgileri
  • Finansal veriler (banka hesap bilgileri, kredi kartı bilgileri)
  • Kimlik doğrulama verileri (şifreler, güvenlik soruları)
  • İşlem verileri (ödeme tutarı, tarih, alıcı/gönderici bilgileri)
  • Davranışsal veriler (ödeme alışkanlıkları, işlem geçmişi)
  • Konum verileri (işlemin gerçekleştiği yer)

Bu verilerin çoğu, KVKK kapsamında "kişisel veri" olarak değerlendirilir ve bazıları (özellikle finansal veriler) "özel nitelikli kişisel veri" olarak daha sıkı koruma gerektirir.

Veri Sorumlusu ve Veri İşleyen Kavramları

KVKK, veri sorumlusu ve veri işleyen arasında ayrım yapar:

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Örnek: Bir ödeme hizmeti sunan banka veya finansal kuruluş.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Örnek: Ödeme işlemlerini gerçekleştirmek için kullanılan bir ödeme geçidi sağlayıcısı.

Bu ayrım, sorumlulukların belirlenmesi açısından önemlidir. Veri sorumlusu, KVKK'ya uygunluğu sağlamaktan birincil olarak sorumludur, ancak veri işleyenler de uyum konusunda belirli yükümlülüklere sahiptir.

Kişisel Verilerin İşlenme Şartları

KVKK'ya göre, kişisel veriler ancak aşağıdaki şartlardan en az birinin varlığı halinde işlenebilir:

Açık Rıza

İlgili kişinin, kişisel verilerinin işlenmesine ilişkin bilgilendirilmeye dayanan ve özgür iradesiyle açıkladığı rızadır.

Örnek: Müşterinin, ödeme bilgilerinin pazarlama amaçlı kullanılmasına onay vermesi.

Kanunlarda Açıkça Öngörülmesi

Bir kanun hükmü kişisel verilerin işlenmesini gerektiriyorsa, açık rıza aranmaksızın işlenebilir.

Örnek: Suç gelirlerinin aklanmasının önlenmesi hakkında kanun gereği müşteri kimlik bilgilerinin saklanması.

Sözleşmenin İfası

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise, açık rıza aranmaksızın işlenebilir.

Örnek: Ödeme işleminin gerçekleştirilmesi için gerekli müşteri bilgilerinin işlenmesi.

Hukuki Yükümlülük

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde, açık rıza aranmaksızın işlenebilir.

Örnek: Vergi mevzuatı gereği ödeme kayıtlarının tutulması.

Hayati Önem

İlgili kişinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, açık rıza aranmaksızın işlenebilir.

Meşru Menfaat

Veri sorumlusunun meşru menfaatleri için zorunlu olması halinde, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, açık rıza aranmaksızın işlenebilir.

Örnek: Dolandırıcılığı önlemek amacıyla risk değerlendirmesi yapılması.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler, işlenmeleri halinde kişilere ayrımcılık yapılmasına neden olabilecek verilerdir. Bunlar:

  • Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar
  • Kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği
  • Sağlık ve cinsel hayat
  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler
  • Biyometrik ve genetik veriler

Bu verilerin işlenmesi için kural olarak açık rıza gereklidir. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilir.

Ödeme sistemlerinde, özellikle biyometrik veriler (parmak izi, yüz tanıma) kimlik doğrulama amacıyla kullanılabilmektedir. Bu durumda, açık rıza alınması ve ek güvenlik önlemleri uygulanması gerekir.

Veri Güvenliği Yükümlülükleri

KVKK, veri sorumlularına kişisel verilerin güvenliğini sağlama yükümlülüğü getirmektedir:

Teknik Tedbirler

  • Veri güvenliğini sağlayan uygun teknolojilerin kullanılması
  • Güncel anti-virüs sistemleri ve güvenlik duvarlarının kullanılması
  • Kişisel verilerin şifrelenmesi
  • Sızma testlerinin düzenli olarak yapılması
  • Yetki matrisi oluşturulması ve erişim loglarının tutulması

İdari Tedbirler

  • Çalışanlar için veri güvenliği eğitimleri düzenlenmesi
  • Gizlilik taahhütnameleri imzalanması
  • Veri güvenliği politikalarının oluşturulması
  • Risk analizlerinin yapılması
  • Veri ihlali müdahale planlarının hazırlanması

Veri İhlali Bildirimi

KVKK'ya göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede (72 saat içinde) ilgilisine ve Kişisel Verileri Koruma Kurumu'na bildirmekle yükümlüdür.

İlgili Kişinin Hakları

KVKK, ilgili kişilere (veri sahiplerine) aşağıdaki hakları tanımaktadır:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
  • Kişisel verilerin silinmesini veya yok edilmesini isteme
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Ödeme hizmeti sağlayıcıları, müşterilerine bu hakları kullanabilmeleri için gerekli mekanizmaları sunmalıdır.

Veri Sorumluları Siciline Kayıt (VERBİS)

KVKK kapsamında, belirli kriterleri karşılayan veri sorumlularının Veri Sorumluları Siciline (VERBİS) kayıt olmaları zorunludur. Ödeme hizmeti sağlayıcıları genellikle bu kapsama girmektedir.

VERBİS'e kayıt sırasında şu bilgiler sunulmalıdır:

  • Veri sorumlusu kimlik ve adres bilgileri
  • Kişisel verilerin işlenme amaçları
  • Veri konusu kişi grupları ve veri kategorileri
  • Alıcı veya alıcı grupları
  • Yabancı ülkelere aktarım
  • Veri güvenliğine ilişkin alınan tedbirler
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

Veri Aktarımı

Ödeme sistemlerinde, verilerin çeşitli taraflar arasında aktarılması sıkça görülür. KVKK, kişisel verilerin aktarımına ilişkin özel hükümler içerir:

Yurt İçi Aktarım

Kişisel veriler, ilgili kişinin açık rızası olmaksızın ancak KVKK'nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı halinde (örneğin, sözleşmenin ifası, hukuki yükümlülük) üçüncü kişilere aktarılabilir.

Yurt Dışı Aktarım

Kişisel verilerin yurt dışına aktarılması için:

  • İlgili kişinin açık rızası olmalı, veya
  • KVKK'nın 5. ve 6. maddelerindeki şartlardan biri sağlanmalı VE
  • Verilerin aktarılacağı ülkede yeterli korumanın bulunması veya veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul'un izninin alınması gerekir.

Ödeme sistemleri için bu, özellikle uluslararası ödeme ağları veya bulut hizmetleri kullanıldığında önemlidir.

Diğer Yasal Düzenlemeler

Ödeme sistemlerinde kişisel verilerin işlenmesi, KVKK dışında başka yasal düzenlemelere de tabidir:

6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun

Bu kanun ve ilgili yönetmelikler, ödeme hizmeti sağlayıcılarının uyması gereken güvenlik ve veri koruma standartlarını belirler.

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun

Bu kanun, ödeme hizmeti sağlayıcılarına müşteri kimlik bilgilerini doğrulama ve belirli işlemleri kaydetme ve raporlama yükümlülükleri getirir.

5411 sayılı Bankacılık Kanunu

Bankalar için müşteri bilgilerinin gizliliği ve güvenliği ile ilgili özel hükümler içerir.

BDDK ve TCMB Düzenlemeleri

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ve Türkiye Cumhuriyet Merkez Bankası (TCMB), ödeme sistemleri ve finansal kuruluşlar için veri güvenliği standartlarını belirleyen düzenlemeler yayınlar.

Ödeme Sistemlerinde KVKK Uyumu İçin Pratik Adımlar

Ödeme hizmeti sağlayıcıları için KVKK uyumunu sağlamak üzere atılması gereken adımlar:

1. Veri Envanteri Oluşturma

  • İşlenen tüm kişisel verilerin kapsamlı bir envanterini oluşturun
  • Veri işleme amaçlarını, hukuki dayanaklarını ve saklama sürelerini belirleyin
  • Veri akış haritası çıkararak, verilerin nereden toplandığını ve kimlere aktarıldığını belirleyin

2. Politika ve Prosedürlerin Güncellenmesi

  • Kişisel Verilerin Korunması Politikası hazırlayın
  • Veri Saklama ve İmha Politikası oluşturun
  • Veri İhlali Müdahale Prosedürü geliştirin
  • Çalışan Gizlilik Taahhütnameleri hazırlayın

3. Aydınlatma ve Açık Rıza Mekanizmaları

  • KVKK uyumlu aydınlatma metinleri hazırlayın
  • Gerekli durumlarda açık rıza almak için mekanizmalar oluşturun
  • Çerezler ve benzer teknolojiler için bilgilendirme ve onay mekanizmaları geliştirin

4. Veri Güvenliği Önlemleri

  • Kişisel verilerin şifrelenmesini sağlayın
  • Erişim kontrol mekanizmaları uygulayın
  • Düzenli güvenlik testleri yapın
  • Personel için düzenli eğitimler düzenleyin

5. Veri Sahibi Hakları Prosedürü

  • Veri sahiplerinin haklarını kullanabilmeleri için başvuru kanalları oluşturun
  • Başvuruları değerlendirme ve yanıtlama süreçlerini belirleyin
  • Başvuru formları hazırlayın

6. Üçüncü Taraf Yönetimi

  • Veri işleyen sıfatıyla çalışan tüm üçüncü taraflarla KVKK uyumlu sözleşmeler imzalayın
  • Üçüncü tarafların veri güvenliği uygulamalarını düzenli olarak değerlendirin

7. VERBİS Kaydı

  • VERBİS'e kayıt yükümlülüğünüzü kontrol edin
  • Gerekli ise VERBİS kaydınızı tamamlayın ve düzenli olarak güncelleyin

Sonuç

Türkiye'de ödeme sistemlerinde kişisel verilerin işlenmesi, KVKK ve diğer ilgili mevzuatın getirdiği kapsamlı yükümlülüklere tabidir. Ödeme hizmeti sağlayıcıları, bu yasal gerekliliklere uyum sağlamak için sistematik bir yaklaşım benimsemeli ve düzenli olarak uyum durumlarını gözden geçirmelidir.

Verilerin güvenliğini sağlamak, ilgili kişilerin haklarına saygı göstermek ve şeffaf veri işleme uygulamaları benimsemek, sadece yasal bir zorunluluk değil, aynı zamanda müşteri güvenini kazanmak ve sürdürmek için de kritik öneme sahiptir.

Ckdas olarak, ödeme sistemlerinizin KVKK ve diğer yasal düzenlemelere uyumlu olmasını sağlamak için kapsamlı çözümler sunuyoruz. Daha fazla bilgi için bizimle iletişime geçebilirsiniz.

Bu web sitesi, size en iyi deneyimi sunmak için çerezleri kullanır. Web sitemizi kullanarak, çerez kullanımımızı kabul etmiş olursunuz. Çerezler hakkında daha fazla bilgi için Çerez Politikamızı inceleyebilirsiniz.

Çerez Ayarları

Gerekli Çerezler

Bu çerezler, web sitesinin temel işlevlerini sağlamak için gereklidir ve devre dışı bırakılamaz.

Analitik Çerezler

Bu çerezler, web sitesi trafiğini analiz etmemize ve kullanıcı davranışlarını anlamamıza yardımcı olur.

Pazarlama Çerezleri

Bu çerezler, size ilgili reklamlar göstermek için kullanılır ve pazarlama kampanyalarımızın etkinliğini ölçmemize yardımcı olur.

Tercih Çerezleri

Bu çerezler, tercihlerinizi hatırlamamıza ve web sitesi deneyiminizi kişiselleştirmemize olanak tanır.