Giriş

11 Nisan 2025 Tarihli ve Kişisel Verileri Koruma Kurumu (KVKK) internet sitesinde  yayımlanan Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi uyarınca (“Rehber”) ödeme ve elektronik para sektörünün KVKK’ya uyumluluk süreçlerinin etkin olarak sağlanabilmesi için tüm süreçler rehberde ayrıntılı olarak ele alınmıştır. 

İşbu bilgi notunda bu düzenlemeler incelenecektir. 

Rehber Kapsamı

İlgili Rehber uyarınca ,elektronik para ihracı, mobil ödeme, POS hizmetleri, fatura ödeme ve para havalesi gibi hizmetlerde faaliyet gösteren kuruluşlar açısından;

• Aydınlatma yükümlülüğü ve açık rıza süreçleri
• Özel nitelikli verilerin işlenmesi
• Kişisel verilerin yurtdışına aktarımı
• Teknik ve idari güvenlik tedbirleri
• Veri sorumlusu ve veri işleyen ilişkiler
• VERBİS’e kayıt, saklama–imha yükümlülüğü, şikayet ve başvuru süreçleri

başlıklarında  kişisel veriler işlenirken uyulması gereken temel ilkeler, dikkat edilmesi gereken hususlar ve örnek uygulamalar rehberde düzenleme altına alınmıştır.

Tanımlar

Veri Sorumlusu: Kişisel verilerin işleme amacını belirleyen kişi/kuruluş.

Veri İşleyen: Veri sorumlusunun talimatlarına dayanarak kişisel verileri işleyen kişi/kuruluş.

Kuruluşlar: 6493 sayılı Kanun kapsamında faaliyet gösterebilecek kurumlar; bankalar, ödeme kuruluşları, elektronik para kuruluşları

Veri Kategorileri: Ödeme ve elektronik para sektöründe işlenen kişisel verilerin kategorilerinin belirlenmesi.

Hizmetlerin Niteliği: İşlenen kişisel verilerin, sunulan hizmetin niteliğine göre değişiklik gösterebileceği.

Alıcı: Ödeme işlenime konu fonun ulaşması istenen gerçek veya tüzel kişi

Gönderen: Kendi ödeme hesabından veya ödeme hesabı bulunmaksızın ödeme emri veren gerçek veya tüzel kişi

Ödeme hizmeti kullanıcısı: Gönderen alıcı veya her iki sıfatıyla belirli bir ödeme hizmetinden faydalanan gerçek veya tüzel kişi

Veri Sorumlusu ile Veri İşleyen

İlgili Rehber uyarınca  iş modelleri detaylı olarak kurgulanmıştır. Ayrıca sadece finteklerin iş modelleri değil, temsilci ve dış hizmet sağlayıcılar gibi finteklerin etkileşimde bulunduğu taraflarla ilişkisi de KVKK perspektifinden kapsamlı biçimde ele alınmıştır.

Bu başlıkta “veri sorumlusunun” ve “veri işleyenin” tanımları yapılmaktadır. Veri sorumlusunun, kişisel verilerin işleme amacını belirleyen kişi/kuruluş olduğu; veri işleyenin ise, veri sorumlusunun talimatları doğrultusunda bu verileri işleyen kişi/kuruluş olduğu belirtilmektedir. Ayrıca, her iki tarafın sorumlulukları ve yükümlülükleri detaylandırılmaktadır.

İlgili rehberde iş modellerine göre veri sorumlularının kimler olabileceğine dair tadadi, başka bir deyişle bunlarla sınırlı olmayan somut olay kapsamında aşağıdaki tabloda yer almayan veri sorumlusu ve işleyenlerin de olabilmesi mümkün olduğu belirtilmiştir.

Veri Sorumlusu

6698 sayılı Kanun’a göre veri sorumlusuna örnek olarak;

• POS hizmeti sunan kuruluşlar; işyeri ilişkisinin kurulması, çerçeve sözleşme imzalanması, kimlik tespiti gerçekleştirilmesi, ödeme işlemlerinin gerçekleştirilmesi bakımından söz konusu kişilerin kişisel verilerini işlemekte ve bu kapsamda veri sorumlusu olmaktadır
• POS hizmetlerine API ile bağlanan ve ayrı çalışan yazılımlar esnasında. Söz konusu süreçlerde kişisel verilerin işlenme amacını ve vasıtasını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek ve tüzel kişilerin de veri sorum olacağı değerlendirilmektedir.
• Karekod ile ödeme yapılırken ilgili kişinin kart verileri işyeri tarafından işlenmemektedir. Burada kart verilerini işleyen doğrudan ödeme kuruluşu olup işyeri ile gerçekleştirilen veri akışı ödemenin kim tarafındani hangi saatte, ne kadar tutar ile gerçekleştirildiği yönündedir. Bu anlamda yalnızca ödeme işlemi ile sınırlı olarak ödeme aracının ait olduğu kişinin ad ve soyadı bilgisi işyeri tarafından işlenmekte, ödeme iadesi vb sonraki işlemler ödeme kuruluşunun kendi sistemleri üzerinden gerçekleştirilmektedir. Bu aşamada ödeme kuruluşlarının kart bilgilerini şifreli bir şekilde saklayabilmesi 6698 sayılı Kanun’un 3. maddesi gereğince veri sorumlusu sıfatını haiz olması üzerinde bir etkisi bulunmamaktadır. Kart bilgilerini yalnızca veri sorumlusu tarafından alınmış bir güvenli tedbiri olabileceği değerlendirilmektedir.
• Elektronik ticaret sitesi üzerinden yapılan ödemede kart bilgilerinin kendisine ödeme kuruluşlar/bankalar tarafından sağlanan altyapı üzerinden Bankanın/ödeme kuruluşunun işyeri ile kurulan entegrasyon ile kart verileri ödeme kuruluşuna aktarılmaktadır. Link POS aracılığıyla gerçekleşen ödemelerde ise ödeme kuruluşu tarafından sağlanan altyapıyı kullanarak oluşturulur. Ancak elektronik ticaret sitesinin kart bilgilerini site arayüzünde işlendiği ve işlenen verinin ödeme kuruluşuna aktarılması halinde her iki kuruluş da(elektronik ticaret sitesi ve ödeme kuruluşu) veri sorumlusu olarak tanımlanabilecektir
• POS hizmeti sunulan ve kart kaydetme seçeneğinin seçilmesi halinde pazarlama stratejileri belirlenmesi amacıyla müşteri tercihlerinin izlenmesi vb işleme faaliyetleri bakımından bu veriye erişim sağlayan ve verileri işleyerek bundan faydalanan kişi veya kişilerin veri sorumlusu olarak kabul edilecektir.
• Ticari işletmenin gerçek kişi tacire ait olması durumunda akdedilen 6698 sayılı kanun 5.maddesinin ikinci fıkrası gereğince POS hizmeti sunan ödeme kuruluşu tarafından işlenmekte olup Kuruluşlar söz konusu kişisel veriler bakımından veri sorumlusu olarak değerlendirilmektedir.
• Fatura ödemeye aracılık hizmeti sunan kuruluşlar, ilgili faturanın sorgulanması, fatura karşılığı ödemenin kabul edilmesi, ödemeye ilişkin dekont düzenlenmesi bakımından ödeme hizmeti kullanıcılarının, temsilcilik ilişkisi kurulması bakımından ise temsilcilerin yetkililerinin kişisel verilerini işlemekte ve bu kapsamda veri sorumlusu olmaktadır. 

Veri işleyen

Veri sorumlularının yanı sıra veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen veri işleyenler de veri güvenliğine ilişkin tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması adına gerekli teknik ve idari tedbirleri alma yükümlülüğü altındadır.

İlgili rehberde verilen örnekler de de veri sorumlularının veri işleyen olduğu durumlarda görülmektedir buna örnek olarak;

• Para havalesi hizmetlerinin ödeme kuruluşunun temsilcileri tarafından sağlandığı senaryoda söz konusu ilişkide kişisel verileri işlenen ödeme hizmeti kullanıcıları bakımından, ödeme kuruluşu veri sorumlusu, temsilciler ise veri işleyen olarak değerlendirilebilecektir.
• Fatura ödemeye ödeme kuruluşunun temsilcileri tarafından sağlandığı durumda ödeme kuruluşu veri sorumlusu, temsilciler ise veri işleyen olarak değerlendirilebilecektir.
• Mobil ödeme hizmeti sunan ödeme kuruluşları mobil ödemeye ilişkin hizmet ilişkisi kurulması, mobil ödeme işleminin gerçekleştirilmesi bakımından ödeme hizmeti kullanıcılarının, temsilcilik ilişkisi kurulması bakımından ise temsilcilerin ve/veya temsilcilerin yetkililerinin kişisel verilerini işlemektedir

İşlenen Kişisel Veriler

İlgili Rehberde sunulan işlenen kişisel verilere ilişkin işlenen  veriler sektörde işlenen kişisel verilerin tamamını içermemekle birlikte sunulan hizmetin niteliğine ve somut olaya göre işlenecek kişisel verilerin durumu değişkenlik göstermektedir.

Kuruluşların işyerleri ile kurdukları iş ilişkisi kapsamında  5549 sayılı Kanun ve diğer MASAK düzenlemelerine göre kuruluşların yükümlülüklerini yerine getirmeleri için işlenmesi zorunlu olan işyerlerine ilişkin muhtelif kişisel veriler de ek olarak  işlenmektedir. 

MASAK 5 kapsamında sınırların aşılması halinde ödeme hizmeti kullanıcısının uzaktan kimlik tespiti süreçlerini tamamlaması ve kimlik tespiti aşamasında kimlik bilgisi,iletişim bilgisi, görsel ve işitsel veriler ve  biyometrik veriler gibi kişisel veriler işlenmektedir.

MASAK 5 kapsamında müşterinin tanınmasına ilişkin esaslar ile kimlik tespiti uyarınca kimlik ve iletişim bilgileri gibi bazı kişisel veriler talep edilmektedir. Ayrıca işlem sonrası düzenlenen dekontta alıcı ve göndericiye ait bazı kişisel verilere(işlemin düzenlenme tarihi ve işlem türü, dekont numarası, alıcı bilgileri, gönderici bilgileri işlem referans numarası, ödeme tutarı, hizmet bedeli, imza) yer verilmektedir

Ödeme işlemi kapsamında işleme dahil edilen tüm veriler, uluslararası standart olan PCI DSS ve 6493 sayılı kanun kapsamında hazırlanan Veri Paylaşım Servisleri hakkında tebliğde yer alan hükümler kapsamında işlenmektedir.

MASAK 5 kapsamında müşterinin tanınmasına ilişkin esaslar kapsamında kimlik tespiti uyarınca sanal POS hizmeti sağlayan ödeme kuruluşları, işyerlerinden kişisel veri içeren bazı bilgi ve belgeleri talep edebilmektedir.

Bu kapsamda ödeme kuruluşunun temsilcinin, temsilci sorgu panelinden fatura ödemesi gerçekleştirecek ödeme hizmet kullanıcısının bilgileri ile(sözleşme numarası, abone numarası veya telefon numarası) fatura sorgulamasının gerçekleştirilmesi sırasında, bunu üzerine fatura üreten kurum veya ödeme hizmet sağlayıcıdan alınan fatura borç listesinin temsilci paneline aktarıldığı ödeme hizmet kullanıcısının ilgili fatura ödeme işlemi sonrası düzenlenen, dekontta müşteriye ait bazı kişisel verileri yer almaktadır. Bu veriler;

• İşlemin düzenlenme tarihi
• İşlem türü
• Dekont numarası
• Ödeme şekli
• BSMV kapsamında matrah ve turarı
• İşlem referans numarası
• Abone numarası
• Müşteri ad-soyad
• Son ödeme tarihi
• Ödeme tutarı
• Hizmet bedeli
• Toplam tutar bilgileri vb

Üçüncü kişinin başkası adına düzenlenmiş faturayı ödemesi halinde yalnızca faturadaki veriler işlenmekte ödemeyi gerçekleştiren üçüncü kişinin herhangi bir kişisel verisi elde edilmemekte ve işlenmemektedir.

Ödeme hizmetleri hakkında yönetmeliğin çerçeve sözleşme hükmü uyarınca söz konusu sözleşmenin taşıması gereken şartlar çerçevesinde de birtakım veriler işlenmektedir.

Genel İlkeler

Her hal ve şartta 6698 sayılı kanun’un 4.maddesinde Kişisel verilerin genel ilkeler uygunluğunun sağlanması gerekmektedir, kişisel verilere ilişkin genel ilkeler şu şekildedir;

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Söz konusu ilkelerin her biri birbiriyle yakın bir bağ içerisinde olup kişisel verilerin korunmasında eşit öneme sahiptir.

Veri Sorumlusunun Yükümlülükleri

Açık Rıza

Kanunda sayılan kişisel verilerin işlenme şartlarından birisi olmaması halinde ilgili kişinin açık rızasının alınması yoluna gidilir. Fakat 6698 sayılı Kanun’da yer alan veri işleme şartlarından birisinin olmasına rağmen ilgili kişinin açık rızasının alınması durumunda bu işlem hukuka aykırılık teşkil edecektir

Aydınlatma Yükümlülüğü

İlgili rehberde Kuruluşların, ödeme hizmeti kullanıcılarının, temsilcilerinin, işyerleri ile kurdukları muhtelif iş ilişkisi kapsamında işlenen kişisel verilerin türleri ve kategoriler ele alınmıştır. Bu kapsamda Kuruluşların aydınlatma yükümlülükleri gibi bazı yükümlülüklerin nasıl yerine getireceği konusunda çözümler sunmuştur

İlgili Rehber uyarınca örnek olaylar da;

• POS hizmetinde; işyeri birden fazla kuruluşla çalışıyorsa ilgili kişinin kullandığı ödeme aracı hizmetine göre, hangi kuruluş tarafından sağlanıyorsa bunun bilgisi ve kuruluşun işlem bazında ve ödeme sırasında yapılması aydınlatma yükümlülüğü yerine getirilmelidir.
• Fatura ödemeye aracılık hizmetinde ise veri sorumlusu niteliğini haiz kuruluş tarafından yerine getirilmelidir. Fakat bu hizmet genelde temsilciler tarafından sağlanmakta olduğundan kuruluş tarafından yetkilendirilmeleri halinde temsilciler tarafından aydınlatma yükümlülüğü yerine getirilmelidir.
• Mobil ödeme hizmeti bakımından; mobil operatör ve ödeme kuruluşu sundukları hizmet uyarınca ayrı ayrı veri sorumlularıdır. Bu hizmetin sağlanmasında, ilgili kişi ileiletişime geçilen ilk anda aydınlatma yükümlülüğü yerine getirilmelidir.

Kişisel Verilerin Saklanması ve İmhası

İlgili Rehber kişisel verilerin ne kadar süreyle saklanacağı ve hangi durumlarda imha edileceği konusu, KVKK, MASAK ve diğer ilgili mevzuatlara göre belirleneceği hakkında bilgiler içermektedir;

6698 sayılı Kanun’un 4 ve 7. maddeleri ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e” göre herhangi bir veri işleme şartı kalmamışsa kişisel veriler, re’sen ve ilgilinin talebi üzerine derhal imha edilmelidir. 

Veri sorumlusunun saklama ve imha yükümlülüğü uyarınca; 5549 sayılı Kanun’un 8. maddesinde 8 yıl; 6493 sayılı Kanun’un 23. maddesine göre, ilgili belge ve kayıtlar en az 10 yıl süre ile saklanmalıdır.

Veri Güvenliği

Kişisel verilerin korunması için alınması gereken idari ve teknik tedbirlerden izlenmesi gereken yol haritasından riski minimize etmek için atılması gereken adımlardan uluslararası  ve ulusal güvenlik standartları hakkında bilgiler içermektedir. 

Veri sorumlularının almakla yükümlü oldukları teknik ve idari tedbirlerin yanı sıra veri güvenliğinin sağlanmasını teminen denetim yetkisi düzenlenmiştir.

Yurtdışına veri aktarımı

Kuruluşlar yurtdışına veri aktarırken dikkat etmesi gereken noktalar ve yurtdışındaki yetkili kişilerle yapılan işbirliklerinin kişisel veriler üzerindeki etkileri ve bu süreçte uymaları gereken yükümlülükleri Rehberde düzenleme alanı bulmuştur. Bu kapsamda ödeme ve elektronik para kuruluşlarının yurt dışı aktarım süreçlerinde  standart sözleşme gibi uygun güvence süreçlerini yürütülmesi gerekliliği belirtilmiştir. 

Rehberde Bankaların yararlandığı özel düzenleme istisnasından faydalanamayacağı belirtilmiştir.

İlgili rehbere buradan ulaşabilirsiniz.