Open menu
01Aralık2021

Ödeme Hizmet Sağlayıcıları Hakkında Yönetmelik ve Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ Resmî Gazete’de Yayımlandı

Ödeme Hizmet Sağlayıcıları Hakkında Yönetmelik ve Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ Resmî Gazete’de Yayımlandı

Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmet Sağlayıcıları Hakkında Yönetmelik ("Yönetmelik") ile Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmet Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ ("Tebliğ") 01.12.2021 tarih ve 31676 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.

Her iki düzenleme de Resmî Gazete'de yayım tarihi itibariyle yürürlüğe girmiş olup mevcut düzenlemeler yürürlükten kaldırılmıştır. Yeni Yönetmelik ve Tebliğ ile kuruluşlar için lisans alma, hassas verilerin ve kişisel verilerin korunması hususunda önemli düzenlemeler getirilmiştir.

Yönetmelik Neleri Düzenliyor?

Yönetmelik'te dikkat çeken önemli düzenlemeler şunlardır:

  1. Kuruluşların, müşterinin onayı ve talebi olmaksızın herhangi bir hizmeti müşterilerin kullanımına sunamayacağı, müşterilerin hizmeti kullanmaktan vazgeçtiği taktirde taleplerinin derhâl yerine getirileceği,
  2. Kuruluşların faaliyet izinlerine ilişkin düzenlemeler getirilmiştir. Söz konusu düzenlemeler ile şirketlerin faaliyet izni alması daha da zorlaştırılmıştır.Bu kapsamda faaliyet izni başvurusunda bulunan şirketlerin istihbari incelemelerinin yapılacağı bu alandaki önemli bir düzenleme olmuştur. İşbu Yönetmelik ile faaliyet izinlerinin öncelikli olarak Türkiye Cumhuriyet Merkez Bankası ("TCMB") tarafından inceleneceği de düzenlenmiş oldu.
  3. Yeni kurulan ve mevcut tüm kuruluşların üyesi olmak zorunda olduğu Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği ("TÖDEB") de Yönetmelik ile yapılan düzenlemelere girmiş bulunmaktadır.
  4. Kuruluşların dış hizmet alımında kendisine ve müşterilerine ait hassas müşteri verileri ve kişisel verilerin korunması için gerekli tedbirlerin alınması gerekliliği düzenlenmiştir.
  5. Kuruluşların işlemlerini kesintisiz bir şekilde gerçekleştirebilmesi, acil ve beklenmedik durumlara ilişkin senaryoların planlanması için iş sürekliliği planının oluşturulması gerekliliği düzenlenmiştir.
  6. Bir diğer önemli düzenleme ise; Kuruluşların, asgari bir milyon TL tutarında mesleki sorumluluk sigortası yaptırmakla veya bu değerde teminat bulundurmakla yükümlü olduklarına ilişkin yapılan düzenlemedir.
  7. Kuruluşların, uzaktan iletişim aracı ile kurulan çerçeve sözleşmenin, tarafların eş zamanlı fiziksel varlığında kurulan çerçeve sözleşme kadar güvenli olması ve asgari düzeyde risk içermesi için gerekli teknolojik ve operasyonel önlemleri almakla yükümlü olduğu düzenlenmiştir. Ayrıca bu kapsamda uzaktan iletişim aracı ile kurulacak çerçeve sözleşmeler kapsamında da müşterilerden temin edilen bilgilerin doğruluğu ve gerçekçiliğinin kontrol edilmesinin akabinde hizmet verilmesi gerekliliği açıkça düzenlenmiş, bu hususta sorumluluk Kuruluşlara yüklenmiştir. Bu kapsamda Kuruluşların çalışanlarına yılda en az 1 defadan az olmamak kaydıyla eğitim vermeleri gerektiği de yapılan düzenlemeler arasında olup çalışanların farkındalığını artırılması amaçlanmıştır.
  8. Kuruluşların bilgilendirme yükümlülüklerine ilişkin usul ve esaslar düzenlenmiştir.
  9. Kuruluşlar nezdinde verilerin korunmasına ilişkin de önemli düzenlemeler getirilmiştir. Bu kapsamda kişilerin açık rızasının alınması, verilerin yurt içinde tutulması ve saklanması, üçüncü taraflarla paylaşımı konusunda değişiklikler dikkat çekmektedir. Yönetmelik kişisel verilerin işlenmesi faaliyetinde 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve bu Kanun uyarınca yapılan düzenlemelerin öncelikli olarak uygulanacağı hüküm altına alınmıştır.
  10. Son hükümlerle birlikte, Kuruluşların mücbir sebep hâlinde Yönetmelikte belirtilen bazı yükümlülüklerden sorumlu tutulmayacağı da dikkat çeken diğer bir düzenlemedir.

Tebliğ Neleri Düzenliyor?

Tebliğ ile amaçlanan, ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin denetlenmesi ve veri paylaşımına ilişkin usul ve esasların düzenlenmesidir. Bu kapsamda;

  1. Kuruluşların, müşterilerini ve Kişisel Verileri Koruma Kurulu'nu, hassas müşteri verilerinin ya da kişisel verilerin sızmasına ya da ifşasına neden olan bir güvenlik olayının yaşanması hâlinde mümkün olan en kısa sürede bilgilendirmesi gerektiği,
  2. Verilerin sınıflandırılması, bu verilere yetki, erişim, saklama ve imha politika ve prosedürlerinin oluşturulması ve bu hususta personelin bilgilendirilmesi gerekliliği,
  3. Hassas ve kişisel verilerin korunmasında teknik tedbirlere ilişkin düzenlemeler,
  4. Müşteri bilgilerinin, Kanunla açıkça yetkili kılınan merciler dışındaki taraflara, ancak müşterinin aydınlatılması ve açık rızasının alınması kaydıyla verilebileceği ve bu noktada açık rızasının 6698 sayılı Kanun'a uygun şekilde alınması gerekliliği,
  5. Yeterli ve etkin bir kimlik doğrulama sisteminin kurulması ve bazı hâllerde güçlü kimlik doğrulama yönteminin kullanılması,
  6. Kuruluş personelinin verilere, fiziksel ortamlara erişimine ilişkin yetki ve sınırlamaların belirlenmesi, yetkisiz erişimlerin engellenmesi,
  7. Kuruluşların güvenlik açıklarını ve ihlallerini tespit edebilmesi için belli periyodlarla sızma testlerinin, zafiyet taramalarının yapılması,
  8. Kuruluşun, Yönetmelik'in ilgili maddesi uyarınca oluşturulan iş sürekliliği planının bir parçası olarak bilgi sistemleri süreklilik planının hazırlanması gerekliliği,
  9. Verilerin yedeklenmesi, faaliyetlerin kesintisiz devamı için ikincil merkez ve sistemlerin kurulması ve bunların test edilmesi,
  10. Dış hizmet sağlayıcılara ilişkin erişim yetkilerinin düzenlenmesi; yetkinin, işin gerektirdiği bilgi ile sınırlandırılması

gibi dikkat çeken önemli düzenlemeler yapılmıştır. Kuruluşların uyumluluk süreçleri de Yönetmelik ve Tebliğ'de ayrıca düzenlenmiş olup, Kuruluşların belirlenen süre zarfında Yönetmelik ve Tebliğ'de yapılan düzenlemelere uyumluluğunu sağlamış olması da önem arz etmektedir.

Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı, Ticaret Hukuku Mevzuatı

  • Informasoft

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

    Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimizseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Yazar

Diğer Mevzuatlar

Bu web sitesi çerez kullanıyor.

Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.

Çerez Tercihleri Cookie Preferences

Çerezleri Ayarla

Çerezler, web sitelerinin kullanıcı deneyimini daha verimli hale getirmek için kullanabileceği küçük metinlerdir. Kanun, bu sitenin işleyişi için kesinlikle gerekli olan çerezlerin cihazınıza saklanabileceğini belirtir. Diğer tüm çerez türleri için izninize ihtiyacımız var. Bu site, çeşitli türde çerezler kullanmaktadır. Bazı çerezler, sayfalarımızda görünen üçüncü taraf hizmetler tarafından yerleştirilir.

Verdiğiniz izinler aşağıda yer alan web siteleri için geçerlidir:

  • www.cottgroup.com

    • Web sitemizin temel fonksiyonları için kesinlikle gerekli olan çerezlerdir ve bu çerezler olmadan site düzgün bir şekilde çalışmaz.

    Web sitemizin nasıl kullanıldığını anlamamıza ve ziyaretçi etkileşimlerini analiz ederek hizmetlerimizi geliştirmemize yardımcı olan çerezlerdir.

    Kullanıcı tercihlerinizi hatırlayarak, daha kişiselleştirilmiş bir deneyim sunmamızı sağlayan çerezlerdir.

    İlgi alanlarınıza göre kişiselleştirilmiş reklamlar sunmak ve pazarlama kampanyalarımızın etkinliğini ölçmek için kullanılan çerezlerdir.