Ödeme Hizmetlerine ilişkin İkincil Mevzuat Yenilendi

Yeni Gelişme

Türkiye Cumhuriyet Merkez Bankası (“TCMB“) tarafından 1 Aralık 2021 tarih ve 31676 Sayılı Resmî Gazete’de yayımlanan ve Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik’i (”Mülga Yönetmelik”) yürürlükten kaldıran Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (“Yönetmelik“) ve Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’i (”Mülga Tebliğ”) yürürlükten kaldıran Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Tebliğ“) 1 Aralık 2021 tarihinde yürürlüğe girdi.

Yönetmelik Neler Getiriyor?

Yönetmelik aşağıdaki önemli değişiklikleri hüküm altına almakta:

Ödeme Hizmetleri ve Elektronik Para

• Yönetmelik sadece birebir itibari para karşılığı olarak çıkarılan, sanal olarak oluşturulup dijital ağlar üzerinden dağıtımı yapılan gayri maddi varlıkların:

1. yalnızca ihraç eden ödeme kuruluşu / elektronik para kuruluşu (”Kuruluş”) tarafından kabul edilen fon karşılığı ihraç edilmesi,
2. elektronik olarak saklanması,
3. 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun‘da (”Kanun”) tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılması; ve
4. ihraç eden Kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilmesi şartıyla
   elektronik para olarak kabul edileceğini hüküm altına alıyor. Bu bakımdan, bitcoin ve benzeri kripto varlıklar ile itibari para dışındaki varlıklara dayalı çıkartılan kripto varlıkların elektronik para niteliğinde olmadıklarına dair değerlendirmeler değişmeyecek.

• Türk ödeme sistemleri mevzuatında anonim ön ödemeli araç kavramı ilk kez Yönetmelik ile düzenleniyor. Yönetmelik, anonim ön ödemeli aracı, ”herhangi bir şekilde ödeme hesabına bağlı olmayan ve kimlik tespiti veya doğrulaması yapılmamış, önceden ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar yükleme yapılma imkanı bulunan veya bulunmayan şekilde ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli araç” olarak tanımlıyor. Bu kapsamda, market ve restoranlarda kullanılmak üzere çalışanlara sağlanan anonim yemek kartları ve anonim toplu ulaşım kartları anonim ön ödemeli araç kapsamında değerlendirilebilir nitelikte olacak.

Yönetmelik uyarınca, anonim ön ödemeli araçlar, yalnızca aşağıdaki işlemlerde kullanılabilecek:

1. Anonim ön ödemeli araç hamilinin fiziken işyerinde bulunduğu ve anonim ön ödemeli aracın fiziken kullanıldığı ödeme işlemleri.
2. Yönetmelik’te nitelikleri öngörülen güven damgasını alan hizmet sağlayıcı ve aracı hizmet sağlayıcılar nezdinde yapılacak mal veya hizmet alımlarına ilişkin ödeme işlemleri ve fatura ödeme işlemleri.

• Yönetmelik’in yürürlüğe girmesiyle birlikte ödeme hizmeti sağlayıcıları, sunmakta oldukları ödeme hesabı hizmetleri ve bunlara ilişkin altyapı hizmetlerini kullanma talebinde bulunan diğer ödeme hizmeti sağlayıcılarına bu hizmetleri mevzuattan doğan yükümlülükler ile güvenlik, operasyonel ve teknik gereklilikler saklı kalmak kaydıyla, diğer ticari müşterileri, iş ortakları ve işlem yaptığı diğer ödeme hizmeti sağlayıcıları ile benzer koşullarda sunmakla yükümlü olacak.

• Daha önce tek aşamadan oluşan faaliyet izni başvuruları Yönetmelik’te istihbari inceleme aşaması ve nihai aşama olmak üzere iki basamaklı olarak düzenleniyor. Bu kapsamda gerekli başvuru belgeleri seti genişletilirken prosedür bakımından daha sıkı şartlara tabi bir başvuru süreci öngörülüyor.

• Yönetmelik, işlemin her iki tarafının da Türkiye’de yerleşik olduğu ve tarafların Türkiye’de bulunan ödeme hizmeti sağlayıcılarını kullandığı ödeme işlemleriyle ilgili olarak bir döviz alım satım yasağı öngörüyor. İstisnai olarak, işlem taraflarından birinin yurt dışında bulunduğu hallerde ise sadece ödeme hizmetinin sunulmasıyla ilgili olmak ve Yönetmelik’te belirlenen şartları sağlamak kaydıyla Kuruluşlar döviz alım satım işlemi yapabilecek.

• Yönetmelik, Mülga Yönetmelik’te yer alan kredi kullandırma yasağının kapsamını genişletiyor. Buna göre Kuruluşlar kredi kullandıramayacak ve Kuruluşlar’ın kredi verdiği izlenimini yaratacak şekilde reklam ve pazarlama faaliyetlerinde bulunması da yasak kapsamında kabul edilecek.

• Mülga Yönetmelik’ten farklı olarak, TCMB’nin mevzuata aykırı bir durum tespit etmesi veya Kuruluş’un faaliyetlerinin kesintisiz ve sorunsuz bir şekilde sürdürülmesini tehdit ettiğine karar vermesi durumunda, ilgili Kuruluş’un yurt dışı şubesini kapatmasını ve belirli ülkelerde faaliyet göstermemesini talep edebilecek. TCMB ayrıca Kuruluş’un faaliyetleri esnasında şube kullanmasının Kuruluş’un faaliyetlerinin sorunsuz bir şekilde sürdürülmesi açısından risk oluşturduğunu veya Kuruluş’un şubeleri yönetme konusunda sorun yaşadığını tespit etmesi durumunda, ilgili Kuruluş’un şube veya şubeler aracılığıyla faaliyet sunmayı sonlandırmasını istemeye yetkili olacak.

• Yönetmelik’in getirdiği en önemli değişikliklerden biri, Kuruluşlar’ın yabancı ödeme ve e-para kuruluşları ile olan iş birliğini kanuni bir zemine oturtması gibi görünüyor. Yönetmelik’e göre Kuruluşlar, TCMB’den izin almış olan yurt dışında yerleşik tüzel kişilerle amaç veya faaliyetleri doğrultusunda iş birliği yapabilecek. Bu yabancı tüzel kişinin aynı zamanda merkezinin bulunduğu ülkenin ilgili makamları tarafından ödeme hizmeti sunma veya elektronik para ihracı konusunda yetkilendirilmiş olması gerekecek.

Ancak bu iş birliği yalnızca Kuruluş’un Kanun kapsamına giren ödeme hizmetlerini yurt içinde yerleşik müşterilerine yurt dışında yerleşik tüzel kişi ile birlikte sunması şeklinde yapılabilecek ve gönderen veya alıcıdan en az birisinin yurt dışında bulunduğu ödeme hizmetleri ile sınırlı olacak.

İş birliğine izin verilse de, iş birliği yapılan yurt dışında yerleşik tüzel kişi hizmetin görünen yüzü olamayacak. Bu kapsamda bu tüzel kişinin kendi marka ve logolarını yurt içinde faaliyet izni aldığı izlenimini yaratacak şekilde kullanması ve yurt içinde yerleşik müşterileri hedefleyecek şekilde internet sitesi kurması yasaklanıyor.

Yönetmelik ayrıca TCMB’yi iş birliklerinin sonlandırılması ve sınırlandırılmasını istemeye, Kuruluş’a ilave özkaynak yükümlülüğü ve teminat bulundurma yükümlülüğü getirmeye yetkili kılıyor.

• Yönetmelik’te aksi düzenlenmedikçe ödeme hizmeti sunma ve elektronik para ihraç etme faaliyeti dış hizmet alımına konu olamayacak.

Dış hizmet alımına konu edilebilecek faaliyetler ise aşağıdakilerle sınırlanıyor:

1. Ödeme hizmeti sunumu ve elektronik para ihracı dışında kalan faaliyetler.
2. Ödeme hizmeti sunumu ve elektronik para ihracı faaliyetleri ile ilgili olan bilgi sistemleri, pazarlama, reklam, kurumsal kaynak yönetimi, muhasebe, çağrı merkezi, Kuruluş’un idari işlerinin takibi faaliyetleri.

Yönetmelik Kapsamında Verilerin Korunması

• Yönetmelik hassas müşteri verisini Mülga Yönetmelik’ten farklı olarak, ödeme emrinin verilmesinde veya müşterinin kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler ile müşteri güvenlik bilgileri olarak tanımlıyor.

Kuruluşlar, ödeme emri başlatma hizmet sağlayıcıları ve hesap bilgisi hizmet sağlayıcıları hassas müşteri verilerinin güvenliğini sağlamakla yükümlü olacak.

İlaveten, hassas müşteri verilerine ilişkin olarak çeşitli yükümlülükler öngörülüyor. Bu kapsamda ödeme emri başlatma hizmet sağlayıcıları, müşterilerin hassas müşteri verilerini saklayamayacak ve benzer şekilde hesap bilgisi hizmet sağlayıcıları da hassas müşteri verilerini talep edemeyecek. Ancak gerekli güvenlik önlemlerinin alınması ve müşterinin açık rızasının olması kaydıyla ödeme hesabı sahibinin ismi, ödeme hesabının numarası, ödeme aracının numarası ve bankaca bu kapsamda değerlendirilmesine karar verilen diğer hususlar söz konusu hükümler kapsamında hassas müşteri verisi olarak değerlendirilmeyecek.

• Yönetmelik uyarınca kişisel verilerin işlenmesi faaliyetlerine öncelikli olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) uygulanacak. Bu doğrultuda verilerin korunmasına ilişkin aşağıdaki yükümlülükler söz konusu olacak:

1. Ödeme hizmeti sağlayıcısı, ödeme hizmeti faaliyetine ilişkin verilere gerekli bilgilendirmeleri yaparak erişebilecek. Ancak ödeme hizmeti ile doğrudan ilgili olmayan verilere erişmek için müşterinin onayına ihtiyacı olacak. Bu veriler arasında kişisel veri bulunduğu takdirde müşterinin ayrıca KVKK uyarınca açık rızası alınacak.
2. Yönetmelik uyarınca ödeme hizmeti sağlayıcıları tarafından ihraç edilmiş ödeme araçlarına ilişkin hassas müşteri verilerinin yurt içinde bulunan işyerleri nezdinde veya sorumluluğunda saklanması durumunda, bu verilerin ödeme hizmeti sağlayıcıları tarafından yurt içinde tutulması ve saklanması zorunlu tutulacak.
3. Yönetmelik’teki sınırlamalar uyarınca, ödeme hizmeti sağlayıcılarının hizmetleri kapsamında temin edilen veriler, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacak ve aktarılamayacak.

Tebliğ Neler Getiriyor?

Tebliğ Kuruluşlar tarafından kullanılan bilgi sistemlerinin yönetimi ve veri paylaşım servislerini düzenliyor.

• Tebliğ Kuruluşları bilgi sistemlerinin güvenliğini sağlamakla yükümlü kılıyor ve bu sistemlerinin yönetiminden yönetim kurulunu sorumlu tutuyor. Bu kapsamda, bilgi güvenliği yönetim sistemi kurulması ve hassas müşteri verileri içeren sistemler için ilave tedbirler öngörülüyor. Bu tedbirler uyarınca hassas müşteri verileri ile kişisel verilerin sızması halinde, hem müşterilerin hem de Kişisel Verileri Koruma Kurumu’nun bilgilendirilmesi gerekecek.
• Hassas müşteri verileri kanunla açıkça yetkili kılınan merciler dışındaki taraflara, ancak müşterinin paylaşım sınırları hakkında aydınlatılması ve müşterilerin açık rızasının alınması kaydıyla verilebilecek. Tebliğ’e göre söz konusu açık rıza Mülga Tebliğ’den farklı olarak KVKK’ya uygun olarak alınacak.
• Yönetmelik ve Tebliğ uyarınca ayrıca müşteri adına hareket eden tarafları bir elektronik kanal olan veri paylaşım servislerini kullanılacak.

Sonuç

Yönetmelik ve Tebliğ, ödeme sistemleri mevzuatına önemli değişik ve yenilikler getiriyor. Bu kapsamda, uzaktan iletişim araçları ile sözleşme kurulması ve kripto varlıklar gibi güncel pek çok konsept ödeme sistemleri mevzuatında kendine yer buluyor; yabancı ödeme hizmet kuruluşlarının Türk muadilleriyle yapmış oldukları iş birlikleri yasal bir zemine oturuyor ve netleşiyor. Ödeme sistemleri mevzuatının iskeletinde yapılan değişikliklerin piyasa aktörleri tarafından mercek altına alınması gerekiyor.