Ana içeriğe atla

Loading...

ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDAKİ YÜKÜMLÜLÜKLERİ

Ödeme Hizmetleri ve Elektronik Para Nedir?

 

Ödeme hizmetleri ve kapsamı 27 Haziran 2013 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un (6493 sayılı Kanun) 12/1. Maddesinde de ayrıntılı olarak düzenlenmiş olup madde içeriğine göre; ödeme hesabına para yatırılması ve ödeme hesabından para çekilmesine imkan veren hizmetler de dâhil olmak üzere ödeme hesabının işletilmesi için gerekli tüm işlemleri, ödeme hizmeti kullanıcısının ödeme hizmeti sağlayıcısı nezdinde bulunan ödeme hesabındaki fonun aktarımını içeren, bir defaya mahsus olanlar da dâhil doğrudan borçlandırma işlemi, ödeme kartı ya da benzer bir araçla yapılan ödeme işlemi ile düzenli ödeme emri dâhil para transferini, ödeme aracının ihraç veya kabulünü, para havalesini, gönderen tarafından ödeme işleminin yapılmasına ilişkin onayın bir bilişim veya elektronik haberleşme cihazı aracılığıyla verildiği ve ödemenin ödeme hizmeti kullanıcısı ile mal veya hizmet sağlayan arasında sadece aracı olarak faaliyet gösteren bir bilişim veya elektronik haberleşme işletmecisine yapıldığı ödeme işlemini, fatura ödemelerine aracılık edilmesine yönelik hizmetlerdir.

 

Elektronik para ise;  Kanun’daki tanımına göre elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, Kanun’da tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri ifade etmektedir.

 

Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının 6698 Sayılı Kişisel Verileri Koruma Kanunu (6698 sayılı KVKK) Kapsamında Yükümlülükleri Nelerdir?

 

Ödeme ve elektronik para kuruluşları, yürüttükleri faaliyet ve vermekte oldukları hizmete ilişkin olarak kullanıcıların 6698 Sayılı KVKK’nın 3/1-d maddesinde tanımlanan şekliyle “kişisel verileri”ni kanuna ve faaliyetin niteliğine uygun olarak işleyebilirler. Kişisel verilerin işlenmesi kapsamına, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem girmektedir.

 

6698 Sayılı KVKK’ nın 5/1. Maddesi uyarınca kişisel veriler ilgilinin açık rızası olmaksızın işlenemez. Kullanıcıların kişisel verilerinin işlenebilmesi için öncelikle kişisel verinin hangi amaçlarla ve ne kapsamda işleneceği konusunda kullanıcılar bilgilendirilmeli ve kişisel verinin işlenmesi hususunda kullanıcıların açık rızaları alınmalıdır. Açık rızanın belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve özgür iradeyle açıklanması gereklidir. Aynı maddenin 2. fıkrasında ise kişisel verilerin açık rıza olmadan işlenebilmesi ve aktarılabilmesi halleri düzenlenmiştir. Buna göre kişisel veriler; Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hallerinde ilgili kişinin açık rızası olmadan da işlenebilecek ve aktarılabilecektir. Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemler almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen şartların varlığı halinde ilgilinin açık rızası aranmaksızın kişisel veriler üçüncü kişilere aktarılabilir.

 

6493 sayılı Kanun’un “Belge ve kayıtların saklanması ile kişisel bilgilerin korunması, değişikliklerin bildirilmesi” başlıklı 23. Maddesinin 2. fıkrası ile “Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır” ifadesiyle ödeme ve elektronik para kuruluşlarının kişisel verileri ancak belirli amaçlar ve şartlarla işleyebileceği hüküm altına alınmıştır. Yine 6493 sayılı Kanun da ödeme kuruluşlarının yürütecekleri faaliyetlerin sürekliliğine ve ödeme hizmeti kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması hususu düzenlenmiş olup ödeme ve elektronik para kuruluşlarının kullanıcıların bilgilerine ve bilgilerin gizliliğine gereken özeni göstermeleri gerekmektedir.

 

Ödeme ve elektronik para kuruluşları kullanıcıların kişisel bilgi ve verilerini saklama hususunda uymaları gereken özen yükümlülüğüne aykırı davrandıkları takdirde Kanun’un 31/2. maddesi gereğince cezai yaptırımla karşı karşıya kalacaklardır. Buna göre; ödeme hizmeti kullanıcısının ödeme hizmeti aracıyla ilgili yükümlülükleri saklı kalmak kaydıyla, ödeme aracını kullanmaya yetkili olanlar dışındaki üçüncü kişilerin ödeme aracı ile ilgili kişisel güvenlik bilgilerine erişimin engellenmesi için gerekli önlemleri almayan, ödeme aracının ve ödeme aracıyla ilgili kişisel güvenlik bilgilerinin ödeme hizmeti kullanıcısına güvenli bir şekilde ulaştırılmasını sağlamayan kuruluşların görevlileri ve işlemi yapan kişiler, bir yıldan üç yıla kadar hapis ve bin güne kadar adli para cezası ile cezalandırılır. Aynı maddenin 3. fıkrasında da “suçun dikkatsizlik, tedbirsizlik veya meslekte yetersizlik nedeniyle işlenmesi durumunda, ilgili kuruluşların görevlileri ve işlemi yapan kişiler bin güne kadar adli para cezası ile cezalandırılır” denmektedir.

 

Sonuç olarak, kişisel veriler; 6493 sayılı Kanun ve  6698 sayılı KVKK kapsamında, ödeme ve elektronik para kuruluşları tarafından ‘veri sorumlusu’ sıfatıyla, kuruluşların vermekte oldukları hizmet ve buna ilişkin olarak yerine getirmeleri gereken hukuki yükümlülükleri çerçevesinde, belirli bir amaca ilişkin olarak, kişisel veri sahiplerinin bilgilendirilmesi koşuluyla işlenebilir, değiştirilebilir ve gerektiğinde 3. kişilere aktarılabilir.

0 Yorumlar

Yorum Yap

Kısıtlı HTML

  • İzin verilen HTML etiketleri: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Satır ve paragraflar otomatik olarak bölünür.
  • Web sayfası adresleri ve e-posta adresleri otomatik olarak bağlantılara dönüşür.