Bankacılık sektörü teknolojik gelişmelerin en çok etkilediği sektörlerden biridir. Gerçekten, bu sektör teknolojiyi kullanma bakımından oldukça yetenekli ve istekli görünmüştür bugüne kadar. Ancak, bugün teknolojinin geldiği nokta, temeli yüzyıllara dayanan bazı temel bankacılık ilkelerini değiştirmek üzeredir. Bu değişimleri ihtiva eden düzenlemelerden en önemlisi, 23 Aralık 2015 tarihinde Avrupa Birliği resmi gazetesinde yayımlanan ve 12 Ocak 2016 tarihinde yürürlüğe giren Payment Services Directive 2 (PSD2)’dir(1). Bu düzenlemenin getirdiği en önemli yenilik ise “Açık Bankacılık”tır.2
Açık bankacılık, bankaların sunduğu API’lar (Uygulama Programlama Arayüzü) üzerinden izinli olarak verilerin paylaşılması vasıtasıyla üçüncü parti kurumların finansal hizmetler geliştirmesine izin verilmesi olarak tanımlanmaktadır(3). Bugüne kadar kutsal bir ilke sayılan müşteri sırrının kavramsal çerçevesinin genişletilmesine dayanan bu düzenlemelerle, ödeme kurumlarının bankalardaki müşteri verisine erişimiyle finansal hizmetlere ilişkin yenilikçi ürünlerin geliştirilmesi, böylece finansal hizmetlerin daha ucuz hale getirilmesi ve finansal teknoloji alanında sağlıklı bir rekabet ortamı yaratılması amaçlanmaktadır.
PSD2’ye göre, bankalar (kredi kurumları) nezdlerindeki müşteri hesap bilgilerini, müşterinin rıza gösterdiği ödeme kurumlarına açmak mecburiyetindedir. PSD2’nin ilgili maddesi şöyledir;
Madde 36:
Bir kredi kurumunda muhafaza edilen hesaplara erişim
Üye Devletler, ödeme kurumlarının, kredi kuruluşlarının ödeme hesap hizmetlerine tarafsız, ayrımcı olmayan ve orantılı olarak erişmesini sağlayacaktır. Bu tür erişim, ödeme kurumlarının engelsiz ve etkili bir şekilde ödeme hizmetleri sunabilmeleri için yeterince kapsamlı olmalıdır.
Kredi kuruluşu, yetkili makama reddetme nedeniyle ilgili makul sebepler sunmalıdır.(4)
Bilgi paylaşımı bankalar için bir zorunluluk iken, bilgisi paylaşılan müşteri için ise gönüllülük esasına dayanır, yani bu bilgi paylaşımı için mutlaka müşterinin rızası gerekir(5). Müşteri, bilgilerinin paylaşılması konusunda rıza verirse, bu durumda ilgili banka bilgileri paylaşmak durumunda kalacaktır.
Türk pozitif hukukunda, AB mevzuatındaki gibi bir düzenleme bulunmamaktadır. Gerçekten bu konuda ne 5411 sayılı Bankacılık Kanunu’nda ne de 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’da bir hüküm bulunmaktadır. Esasen, 6493 sayılı Kanun hazırlanırken, AB’de yürürlükte olan PSD1 esas alınmıştır . PSD1’de ise açık bankacılığa ilişkin bir düzenleme bulunmadığından 6493 sayılı Kanunda bu yönde bir düzenlemenin yer almaması şaşırtıcı değildir.(6)
Ancak bu konuda BDDK’nın “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” taslağında bazı hükümler bulunmaktadır(7). Henüz yürürlüğe girmese de bu taslak metin bazı konularda bize yol gösterebilir;
Taslakta “Açık Bankacılık Servisleri” Elektronik Bankacılık Hizmetlerinden biri olarak düzenlenmiştir.
Taslağın “Tanımlar ve Kısaltmalar” başlığını taşıyan 3. maddesinin b) bendinde Açık Bankacılık Sistemleri şöyle tanımlanmıştır; “Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, FTP gibi yöntemlerle bankanın sunduğu bir takım finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı”
Taslağın “Açık Bankacılık Servisleri” başlıklı 42. maddesi ise şöyledir;
“(1) Açık bankacılık servisleri bireysel müşterilere verilemez ve bir internet bankacılığı dağıtım kanalı gibi kullanılamaz.
(2) Açık bankacılık servislerinin kullanılması sırasında, müşteri veya müşteri adına hareket eden taraf ile banka arasındaki tüm iletişimin uçtan uca güvenli iletişim şeklinde olması, banka tarafından telafi edici ek kontroller uygulanması ve müşterinin bağlantı kurabileceği kaynaklara ilişkin ilave kısıtlamalar getirilmesi şartıyla tek bileşen ile yapılacak kimlik doğrulama 34 üncü maddenin birinci fıkrasına aykırılık olarak kabul edilmez.
(3) Açık bankacılık servisleri aracılığıyla sunulabilecek hizmetler ve bu hizmetlere ilişkin usul ve esasları belirlemeye Kurul yetkilidir.”
Bu taslak düzenleme 5411 sayılı Bankacılık Kanunu’nun 93/4 maddesine istinaden hazırlanmıştır. Kanun’un 93. maddesi(8) genel nitelikli bir düzenleme yetkisini Kurum’a vermektedir. Bu noktada, tartışılması gereken en önemli husus aynı Kanun’un Sırların Saklanması başlıklı 73. maddesi kapsamında kalan bir hususun doğrudan böyle bir yönetmelikle düzenlenip düzenlenemeyeceği meselesidir. Bize göre, açık bankacılıkla ilgili böyle bir düzenlemenin kanunla yapılması zorunludur. Zira söz konusu taslak hüküm 73. maddede düzenlenmeyen bir konuyu -açık bir düzenleme yetkisi olmaksızın- düzenlemekte ve dahası 73. maddenin kendisine aykırılık taşımaktadır. İlgili maddenin üçüncü fıkrasında yer alan “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar” hükmü, açık bankacılığın yönetmelikle düzenlenmesini engellemektedir. Bu noktada, taslak düzenlemenin açık bankacılık servislerini “müşteri rızası” üzerine inşa ettiğini belirtmeliyiz ve bu nedenle de düzenleyici Kurum’un, müşterinin rızasının alınmış olmasını bilgi paylaşımı için yeterli gördüğü sonucuna ulaşabiliriz. Ancak, burada unutulan çok önemli bir husus var ki o da şudur; açık bankacılığa ilişkin hemen hemen her bilginin iki yönü bulunmaktadır, birinci yön müşteriye ilişkin iken ikinci yön ise bankaya yöneliktir. Yani, çoğu bilgi hem banka sırrı niteliğinde hem de müşteri sırrı niteliğindedir. Hiç şüphe yok ki müşterinin rızası ile müşteri sırrı üçüncü şahıslara aktarılabilir; ancak aynı bilginin banka sırrı niteliğinde olması durumunda –ki çoğu durumda böyledir- müşterinin rızası tek başına bilgi paylaşımını sağlamaya yetmeyecektir. Böyle bir durumda ya bankanın rızasını almak ya da bu yönde bankaları bilgi paylaşımı yapmaya mecbur eden bir düzenleme yapılması gerekmektedir. Konuya ilişkin şu örnek verilebilir; “Ahmet Zengin’in X Bankası’nda 5.000-TL mevduatı bulunmaktadır.” cümlesinde hem müşteri sırrı hem de banka sırrı bulunmaktadır. Bu bilgi -kanunen yetkili olmayan bir kişiye- hem müşterinin hem de bankanın rızası alınarak aktarılabilir. Bu nedenle mevcut taslak düzenlemenin açık bankacılık için yeterli olmadığı kanaatindeyiz.
Yukarıda tespit ettiğimiz üzere, pozitif hukukumuzda açık bankacılığa ilişkin bir düzenleme bulunmamaktadır. Peki, pozitif hukukumuzda bu yönde açık bir düzenleme bulunmamasına karşın, ödeme hizmeti sağlayıcısı(9) şirketlerle banka müşteri bilgisi paylaşılabilir mi?
Bu konuda Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73. maddesinin incelenmesi gerekmektedir(10);
73. maddenin 3. fıkrasına göre, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kalınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin, aynı maddede düzenlenen sır saklama yükümlülüğünün istisnaları arasında olduğu ifade edilmiştir. Bu durumda, şayet bilgi paylaşımı yapılacak ödeme hizmeti sağlayıcısı “finansal kuruluş” ise müşterinin rızası aranmaksızın bilgi paylaşımı yapılabilecektir.
Bankacılık Kanunu’nun 3. maddesine göre ise finansal kuruluş “Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya bu Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini” ifade etmektedir.
Ödeme hizmeti sağlayıcı şirketlerin, asli faaliyet konusunun ödeme hizmetleri olduğunu söyleyebiliriz. Ödeme hizmeti ise Bankacılık Kanunu’nun “Faaliyet Konuları” başlıklı 4. maddesinin d bendinde şöyle düzenlenmiştir;
d) Nakdî ve kaydî ödeme ve fon transferi işlemleri, muhabir bankacılık veya çek hesaplarının kullanılması dâhil her türlü ödeme ve tahsilât işlemleri.
Görüldüğü üzere, ödeme hizmeti sağlayıcısı şirketler, Bankacılık Kanunu’nda düzenlenen faaliyet konularından birini -ödeme işlemlerini- yürütmek amacıyla kurulmuş olmaları nedeniyle, birer finansal kuruluş olarak nitelendirilebilmektedir. Bu nedenle de, bir banka ile ödeme hizmeti sağlayıcısı arasında, gizlilik sözleşmesi yapılması ve bu sözleşmede belirtilen amaçlarla sınırlı olmak üzere müşteri rızasına ihtiyaç duyulmadan bilgi paylaşımı yapılması mümkündür.
Ancak, bu fıkraya istinaden yapılacak bilgi paylaşımlarında PSD2’nin aksine, bankaların bilgi paylaşımı tamamen gönüllülük esasına bağlı kalacaktır. Yani bankaları bilgi paylaşımına zorlamak mümkün olmayacaktır.
73. maddenin 3. fıkrasına göre “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.” Görüldüğü üzere, bu madde hem müşteri sırrını hem de banka sırrını korumakta ve bunların ancak kanunen açıkça yetkili kılınan mercilerle paylaşılabileceğini ifade etmektedir. Dolayısıyla, bankaların ve müşterilerinin rızası yoksa banka ve müşteri sırrı ancak kanunen yetkili mercilere verilebilecektir. Bunun dışında, herhangi bir kişi ya da kuruma bilgi verilmesi durumunda ise bu fiil aynı Kanun’un 159. maddesine göre suç oluşturabilecektir. Müşterinin rızasının bulunması durumunda ise herkesle bilgi paylaşımı yapılabilir. Yine, sırrın ilgili olduğu bankanın rızasıyla banka sırrının da üçüncü şahıslarla paylaşılması mümkündür. Paylaşıma konu bilginin hem banka hem de müşteri sırrı niteliğinde olması durumunda ise(11) ancak müşterinin ve bankanın ayrı ayrı rızalarının alınmasıyla üçüncü kişiyle paylaşım yapılabilecektir. Böylece, Bankacılık Kanunu’na aykırılık bertaraf edilmiş olacaktır. Görüldüğü üzere, PSD2’nin bankaları bilgi paylaşımına zorlayan düzenlemeleri, Türk Hukukunda yerini ilgili bankanın rızasına bırakmaktadır.
Ancak hemen şunu belirtmeliyiz ki paylaşıma konu bilgi ya da sır sadece müşteri sırrı niteliğinde ise bu durumda bankanın rızasına ihtiyaç olmayacak, sadece ilgili müşterinin rızasıyla paylaşım yapılabilecektir.
73. maddenin 4. fıkrasında, sır saklama yükümlülüğünün diğer istisnaları düzenlenmiştir. Buna göre “destek hizmeti alınması ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.”. Buna göre, bir bankanın aldığı destek hizmeti kapsamında, destek hizmeti kuruluşuna, işin gerektirdiği bilgi ve belgeleri vermesi ile yine hizmet alımlarında bu bilgileri paylaşması sır saklama yükümlülüğünden istisna edilmiştir. Bu kapsamda, bir elektronik para kuruluşu ile ödeme kuruluşu bankaya destek hizmeti verdiğinde ya da banka bu kuruluşlardan hizmet aldığında ancak müşteri bilgisi paylaşımı mümkün olacaktır. Bunun PSD2’den oldukça farklı bir amaca hizmet edeceği açıktır. Zira bu maddeyle sağlanan imkân, bankaya hizmet veren kuruluşların bu hizmet kapsamında ihtiyaç duydukları belge ve bilgilerin paylaşımı ile sınırlıdır. Alınan belge ve bilgilerin verilecek hizmetle bağlantılı olması, hizmetle orantılı olması ve sadece bu kapsamda kullanılması zorunludur. Görüldüğü üzere bu imkân PSD2’nin getirdiği imkândan hem amaç hem de kapsam bakımından ayrılmaktadır. Yine, bu imkân bir bankayı bilgi paylaşımı yapmaya zorlamamaktadır, bankanın bu konuda takdir hakkı bulunmaktadır.
Sonuç olarak, pozitif hukukumuza göre, bankaların ödeme hizmeti sağlayıcılarıyla müşteri bilgisinin paylaşması yukarıda sayılan yöntemler çerçevesinde mümkün gözükmektedir. Ancak, bu imkân PSD2’nin getirdiği paylaşım düzeninden iki noktada esaslı şekilde ayrılmaktadır;
PSD2’nin aksine müşteri bilgisi paylaşıp paylaşmama kararı çoğu durumda bankanın takdirine kalmaktadır, yani bu paylaşımı bankalar için zorunlu tutan bir düzenleme bulunmamaktadır. PSD2’nin bankaları bilgi paylaşımına zorlayan düzenlemeleri, Türk Hukukunda yerini ilgili bankanın rızasına bırakmaktadır.
Bilgi paylaşımının mümkün olduğu durumlarda ise bu paylaşım hem sınırlı olarak yapılabilmekte hem de bankalara avantaj sağlayacak iş ve işlemlerin gerçekleştirilmesi amacıyla yapılabilmektedir. Oysa PSD2’nin düzenleme amaçları bunlardan oldukça farklıdır.
Dipnotlar
1 Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment
services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC.
2 Bu çalışmada, açık bankacılığa ilişkin dünyadaki diğer düzenlemeler/düzenleme taslakları inceleme konusu
yapılmamıştır. Çalışmada açık bankacılığa yapılan atıflar ile sadece PSD2 düzenlemeleri kastedilmiştir.
3 Açık Bankacılık: Bankacılığın Geleceği, BKM Yayınları, Temmuz-2019, s.2 ve 7.
4 PSD2’nin çevirisi için bkz. Avrupa Birliği Ödeme Hizmetleri Direktifi (Payment Services Directive 2), ÖDED
Ödeme ve Elektronik Para Derneği Yayını, Erişim Adresi: https://oded2016.files.wordpress.com/2017/12/oded_avrupa_birligi_odeme_hizmetleri_direktifi_2.pdf, Erişim Tarihi: 22.07.2019.
5 Ayrıca, bu rıza alınırken kişisel verilerin korunması mevzuatının da göz önünde bulundurulması gerekmektedir.
6 Güven, Çiğdem / Irmak, Onur, 6493 Sayılı Kanunda Ödeme Kuruluşlarının Tabi Olduğu Hukuki Çerçeve,
Bankacılar Dergisi, Sayı:105, s.95-107, 2018, s.
7 Taslak için bkz.:https://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_0867.pdf, Erişim Tarihi:14.10.2019
8 93/3: “Kurum, bu Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde kendisine verilen yetkilerini, Kurulca
tesis edilecek düzenleyici işlemler veya alınacak özel nitelikli kararlar ile kullanır. Kurum, Kurul kararıyla
bu Kanunun uygulanmasına ilişkin yönetmelikler ve tebliğler çıkarmaya yetkilidir.”
9 Bu çalışmada, PSD2’de geçen “ödeme kurumları” ifadesinin -Türk Hukukundaki- karşılığı olarak elektronik para kuruluşları, ödeme kuruluşları ve Posta ve Telgraf Teşkilatı Anonim Şirketi’ni kapsar şekilde “ödeme hizmeti sağlayıcıları” ifadesi esas alınmıştır.
10 Bu çalışmada, konu Kişisel Verilerin Korunması hakkındaki mevzuat hükümleri kapsamında incelenmeyecektir. Ancak, kişisel veri niteliğindeki bir bilginin paylaşıldığı her durumda bu mevzuat hükümlerinin getirdiği kurallara da riayet edilmesi gerektiğini belirtmeliyiz.
11 Bir bankadaki çoğu bilgi esasında hem banka hem de müşteri sırrı niteliğindedir.