Açık Bankacılıkta Rıza Yönetiminin Önemi
Giriş
Açık bankacılık, finansal sistemdeki verilerin standart Uygulama Programlama Arayüzleri (“API”ler) aracılığıyla yetkili üçüncü taraf hizmet sağlayıcıları (“TPP”ler) tarafından erişilebilir hale getirilmesini içerir. Müşterilerin finansal verilerini paylaşır, böylece finansal kuruluşlar yeni teknolojiler geliştirebilirler ve rekabetçi bir ortamda müşterilerine farklı seçenekler sunabilirler. Ancak açık bankacılık, açık veri paylaşımı anlamına gelmemektedir. Rıza yönetimi, fintek şirketleri ve finansal kuruluşlar tarafından sunulan birçok finansal modelin anahtarıdır. Bu makalede rıza yönetimi kavramı ve açık bankacılıktaki önemi ele alınmaktadır.
Rıza Yönetiminin Tanımı
Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (“Yönetmelik”) uyarınca Türkiye Cumhuriyet Merkez Bankası (“TCMB”), rekabete duyarlı verilerin paylaşımı konusunda Rekabet Kurumu'nun görüşünü alarak ödeme emri başlatma hizmeti servisi (“ÖBHS”) ve hesap bilgisi hizmeti servisi (“HBHS”) (birlikte "ödeme hizmetleri veri paylaşım servisleri (“ÖHVPS”) olarak anılacaktır) için prosedürler ve teknik gereklilikleri belirler. Ödeme hizmeti sağlayıcıları bu gerekliliklere uymak zorundadır ve uyum konusunda Bankalararası Kart Merkezi (“BKM”) yetkilidir. BKM'nin değerlendirmesini başarıyla tamamlayan sağlayıcılar kamuya açık şekilde listelenir ve TCMB'nin onayı ile yetkili sağlayıcı olarak tanınır.
Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ve Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetlerine İlişkin Veri Paylaşım Hizmetleri Hakkında Tebliğ (“Tebliğ”) uyarınca müşteri, ÖHVPS ile ilgili her bir bilgi talebine ve ödeme emri başlatılmasına ayrı ayrı onay verir. HBHS için, ilgili hesaplara ilişkin sözleşme aracılığıyla da onay verilebilir.
Ülkemizde, ÖHVPS'ler, iç pazardaki ödeme hizmetlerine ilişkin 25 Kasım 2015 tarihli Avrupa Parlamentosu ve Konseyi Direktifi (AB) 2015/2366'ya (“PSD2”) uygun olarak tanımlanır. PSD2 Madde 66 ve 67, ödeme emri başlatma hizmeti sağlayıcılarının veya hesap bilgisi hizmeti sağlayıcılarının yalnızca ödeme hizmeti kullanıcısının açık rızasıyla bir ödeme başlatabileceğini veya ödeme hesabı bilgilerine erişebileceğini belirtir.
Rıza yönetimi, kullanıcı verilerine erişim ve bu verilerin işlenmesi için kullanıcı izinlerinin alınması, yönetilmesi ve belgelendirilmesi için izlenen süreçleri ifade eder. Yönetmelikler, TPP'lerin müşteri verilerine yalnızca ödeme hizmeti kullanıcısının rızası ile erişebilmesini sağlamayı amaçlar.
Açık Bankacılıkta Rıza Yönetiminin Önemi
Açık bankacılık, servis modeli bankacılık ("BaaS") ve platform bankacılığı uygulamaları API'lerin kullanımına bağlıdır. Açık bankacılık için TCMB API İlkeleri ve Kuralları Sürüm 1.1.0'ı yayınlamıştır. Bu ilkeler, ÖBHS ve HBHS için müşteri onayının oluşturulmasını ve onay durumunun servis sağlayıcılar tarafından uygulama arayüzü aracılığıyla gerçekleştirilen eylemlere bağlı olarak nasıl değişebileceğini detaylandırır. BaaS, bankaların ürün ve hizmet sunmaya devam ederken, üçüncü tarafların aracı olarak hareket ettiği, müşteri verilerinin talep üzerine üçüncü taraflarla paylaşılmasına izin veren açık bankacılık modeli ile hayata geçmiştir.[1]
Mevzuata Uygunluk:
TCMB tarafından Nisan 2023'te yayınlanan Ödeme Hizmetlerinde Veri Paylaşımına İlişkin Rehber (“Rehber”) gibi düzenleyici çerçeveler, HBHS’nin temel olarak iki aşamadan oluştuğunu belirtmektedir: onay alma ve hesap bilgilerinin alınması. HBHS müşterisi, hizmet sağlayıcının uygulaması üzerinden hesap bilgilerinin alınacağı hesap hizmet sağlayıcısını seçerek onay talebinde bulunur. Müşteri kimlik doğrulaması yapıldıktan ve onay verilecek hesap(lar) seçilip onaylandıktan sonra onay tesis edilir. Onay oluşturulduktan sonra servis sağlayıcı ilgili hesap bilgilerini sorgulamaya yetkili hale gelir.
Avrupa Komisyonu, izin yönetimini geliştirmek amacıyla, PSD 2'ye ilişkin değişiklik paketi kapsamında, diğerlerinin yanı sıra, hesap bilgisi hizmeti veren ödeme hizmeti sağlayıcılarının özel veri erişim arayüzleri uygulamalarını, kullanıcıların açık bankacılık erişim izinlerini yönetebilmeleri için 'izin gösterge tabloları' oluşturulmalarını ve açık bankacılık veri arayüzlerinin asgari gerekliliklerine ilişkin daha ayrıntılı düzenlemeler önermektedir. Bu değişikliklerin açık bankacılık hizmetlerinin rekabet gücünü artırması beklenmektedir.
Risk Yönetimi:
Birçok yargı alanı genellikle bankalara ve onların dış hizmet aldığı üçüncü taraflara ilişkin veri paylaşımı ve güvenlik gereklilikleri uygular, ancak bankaların müşterileriyle doğrudan sözleşme yapan üçüncü taraflar için bu gereklilikler uygulanmaz.[2] Bazı yargı alanlarında, dışarıdan destek hizmeti alınmasında bankaların üçüncü tarafların mevzuat düzenlemeleri ile uyumlu olduğunu denetlemesini gerektirir ve genellikle sözleşmelerde buna ilişkin hükümleri zorunlu kılar; bazı yargı yerlerinde ise denetim otoritelerinin kayıtlı üçüncü taraflar üzerinde yetkisi vardır.[3]
PSD2 üçüncü taraflar için veri güvenliği standartlarını ana hatlarıyla belirtir ve bankaların genellikle yetkili üçüncü tarafların veri güvenliği çerçevelerini izlemesi gerekmez. Ancak, bankacılık verilerine erişmek için müşteri iznine sahip bir üçüncü tarafın banka ile herhangi bir sözleşme yükümlülüğü olmadığı durumlarda ve söz konusu üçüncü tarafların herhangi bir makam tarafından yetkilendirilmesi gerekmiyor ise, mevzuatta üçüncü tarafların denetimine ilişkin bir boşluk olabilir.[4]
Türkiye'de, Yönetmelik uyarınca, ÖHVPS'lerin yürütülmesine ilişkin prosedürler ve gereklilikler TCMB tarafından belirlenen tüm gerekliliklere uygun olmalıdır. Bu teknik ve operasyonel gerekliliklerin uygunluğu BKM tarafından yürütülen bir teknik kontrol ve değerlendirme süreci ile doğrulanır. Teknik değerlendirmeyi başarıyla tamamlayan sağlayıcılar, gerekli onay sürecinin tamamlanmasının ardından TCMB tarafından yetkili ödeme hizmeti sağlayıcısı olarak tanınmaktadır.
Veri Güvenliği ve Gizlilik:
API'lerin kullanımından önce, üçüncü taraflar müşteri verilerine erişmek için ekran kazıma veya tersine mühendislik teknikleri kullanıyordu.[5] Ekran kazıma ve tersine mühendislik yöntemleri güvenlik ve istikrarı riske atar ve müşteriye iznini iptal hakkı sunmaz.[6] Bununla beraber, API'lerin kullanımı sonrasında da veri ihlalleri, kötüye kullanım, tahrifat ve şifrelenmemiş girişler gibi çeşitli potansiyel operasyonel ve siber güvenlik sorunları da ortaya çıkabilir.[7] Bu nedenle, veri ihlallerinin ve siber tehditlerin önlenmesi ve müşteri verilerinin korunması için ödeme mevzuatı, bankaların aynı zamanda ödeme hizmeti sağlayıcısı olarak faaliyet göstermesi nedeniyle bankacılık mevzuatı ve veri koruma mevzuatı birlikte analiz edilmelidir. Hem ödeme hem de veri koruma mevzuatı "açık rıza" kavramını tartışır ancak ödeme mevzuatı açık rızanın tanımı ve süreci için 6698 sayılı Kişisel Verilerin Korunması Kanunu'na atıfta bulunur. PSD2 ve Genel Veri Koruma Tüzüğü de ("GDPR") açık rıza konusunda benzer bir yaklaşıma sahiptir. PSD2 Madde 94(2)'de "ödeme hizmeti sağlayıcıları, ödeme hizmetlerinin sağlanması için gerekli olan kişisel verilere yalnızca ödeme hizmeti kullanıcısının açık rızası ile erişecek, bunları işleyecek ve saklayacaktır" ifadesi yer alır. Avrupa Veri Koruma Kurulu'nun Kılavuz İlkeleri, söz konusu ödeme mevzuatında atıfta bulunulan "açık rızanın" sözleşmeye dayalı bir rıza olduğunu öne sürmektedir. Bu nedenle, bir ödeme hizmeti sağlayıcısı ile anlaşma yapılırken, bireylerin işlenecek kişisel veri türleri ve kişisel verilerin kullanılacağı ödeme hizmetiyle ilgili amaçlar hakkında açıkça bilgilendirilmeleri ve bu maddeleri açıkça kabul etmeleri gerekir.[8]
Sonuç
Onay yönetimi, ödeme mevzuatı, veri koruma mevzuatı ve bankacılık mevzuatında müşteri onayını gerektiren müşteri hesap verilerine erişim gerektirdiğinden açık bankacılık için kritik bir öneme sahiptir. Onay yönetimi, mevzuata uyumun yanı sıra, veri gizliliğinin korunması, güvenlik ve risk yönetimi için de önemlidir. Bu nedenle, müşterilerin onaylarını yönetmelerine yardımcı olan kullanıcı dostu, şeffaf ve güvenli onay platformları geliştirilerek, finansal kuruluşlar ve TPP'ler verimli bir finansal ekosisteme katkıda bulunabilirler.
- Aksoy, Pınar Çağlayan / Perçin, Önder / Türkay, Ahmet ve diğerleri: Sorularla Fintek, On İki Levha Yayıncılık, 2. Bası, 2023, s.121.
- Basel Committee on Banking Supervision, Report on Open Banking and Application Programming Interfaces, 2019 ( https://www.bis.org/bcbs/publ/d486.pdf, Erişim Tarihi: 10.07.2024).
- Basel Committee on Banking Supervision, Report on Open Banking and Application Programming Interfaces.
- Basel Committee on Banking Supervision, Report on Open Banking and Application Programming Interfaces.
- Worldbank Group and Ministry of Foreign Affairs of the Netherlands, The Role of Consumer Consent in Open Banking, 2021, (https://documents1.worldbank.org/curated/en/099425002082230437/pdf/P1705050aeb8e704f088260f228802b73b8.pdf, Erişim Tarihi: 10.07.2024).
- Worldbank Group and Ministry of Foreign Affairs of the Netherlands, The Role of Consumer Consent in Open Banking.
- Basel Committee on Banking Supervision, Report on Open Banking and Application Programming Interfaces.
- European Data Protection Board Guidelines 06/2020 on the Interplay of the Second Payment Services Directive and the GDPR, Version 2.0, 2020, https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202006_psd2_afterpublicconsultation_en.pdf, Erişim Tarihi: 10.07.2024).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Avrupa Komisyonu ("Komisyon") 98/26/EC sayılı Direktif’i tadil eden ve 2015/2366/EU sayılı Direktifi ve 2009/110/EC sayılı Direktifi yürürlükten kaldıran Avrupa Parlamentosu ve Konseyi’nin İç Pazarda Ödeme Hizmetleri ve Elektronik Para Hizmetleri Hakkında Direktif Teklifi’ni ("Teklif") yayımladı. Bu Teklif, iç pazardaki...
Ekonomik İşbirliği ve Kalkınma Örgütü ("OECD"), farklı yargı alanlarında açık bankacılık ve diğer veri paylaşımı düzenlemelerine ilişkin çeşitli uygulamaların ana hatlarını ortaya koyan ve açık finans olarak adlandırılan açık bankacılıkla ilgili veri düzenlemelerinin genişlemesine ilişkin konuları içeren raporunu yayınladı...
Bu makalenin amacı, varlığa dayalı ve varlık temelli sukuk yapılarını açıklamak, bu yapılar arasında genel bir karşılaştırma yapmak ve bunların Türkiye'deki kira sertifikası ihraçlarına nasıl yansıdığını tespit etmektir. Sakk kelimesinin çoğulu olan sukuk, İslami tahviller olarak da adlandırılan şeriata uygun tahvillerin ortak...
Türkiye Cumhuriyet Merkez Bankası (“TCMB”) tarafından Eylül ayında Ödemeler Alanında Sunulan İş Modellerinin Ödeme Hizmeti Türleri ile İlişkilendirilmesine İlişkin Rehber (“Rehber”) yayımlandı. Söz konusu Rehber, 6493 sayılı Ödeme ve Menkul Kıymetler Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik...
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) 11.08.2022 tarihinde 2022/1 sayılı Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Genelge’yi (“Genelge”) yayımladı. Söz konusu Genelge ile, 5411 sayılı Bankacılık Kanunu’nun (“Bankacılık Kanunu”) BDDK’ya sır niteliğindeki bilgilerin paylaşım...
