Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi

Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi (Rehber) 11.04.2025 tarihinde Kişisel Verileri Koruma Kurumu (Kurum) internet sitesinde yayımlandı.

Rehber, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında yürütülen para havalesi, POS hizmetleri, fatura ödemeye aracılık ve mobil ödeme hizmetleri ile elektronik para ihracı faaliyetleri (ödeme hizmetleri) kapsamında ödeme hizmeti sağlayıcıları tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin iyi uygulama örnekleri sunar.

Rehber’de ayrıca aydınlatma yükümlülüğü ve açık rıza süreçleri, özel nitelikli kişisel verilerin, yurt dışı aktarımı, teknik ve idari güvenlik tedbirleri, veri sorumlusu–veri işleyen ilişkileri, Veri Sorumluları Sicili (VERBİS) kaydı, saklama ve imha yükümlülüğü ile başvuru ve şikâyet süreçleri gibi konular ayrıntılı şekilde ele alınır.

Rehber’de öne çıkan önemli hususlar aşağıda özetlenir: 

• Rehber, ödeme hizmetlerinin sunulmasında, durumun özelliklerine göre ve bunlarla sınırlı olmadığının altını çizerek ödeme hizmeti sağlayıcılarının (5411 sayılı Bankacılık Kanunu kapsamındaki bankalar, ödeme kuruluşları, elektronik para kuruluşları ve PTT), mobil operatörlerin ve işyerlerinin veri sorumlusu olabileceğini belirtir; hizmet bazlı bir tablo içerir ve bu süreçlere ilişkin detaylı açıklamalar getirir. 
• Rehber, ödeme ve elektronik para sektöründe işlenen kişisel verilerin, hizmetin niteliğine göre değişkenlik gösterebileceğini belirtir. Kimlik, iletişim, finansal, işlem güvenliği, biyometrik gibi veri kategorilerinin, sektörel ve teknik düzenlemelere uygun şekilde işlendiği ifade edilir. Ayrıca, MASAK 5 No’lu Tebliğ kapsamında kimlik tespiti süreçleri detaylandırılır.
• Avrupa Veri Koruma Kurulunun (EDPB) İkinci Ödeme Hizmetleri Direktifi (PSD2) ve Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) etkileşimine ilişkin olarak hazırlanan 06/2020 sayılı Rehber’e atıfla, ödeme hizmetlerinin sunulmasında doğrudan ödeme hizmet sağlayıcısının müşterisi olmasa da ödeme hizmetinin gerçekleştirilmesi için kişisel verileri işlenen kişileri “sessiz taraf” olarak tanımlanır. Bu durumda, kişisel verilerin yalnızca ilk işleme amacıyla (hizmet sağlayıcı ile ödeme hizmeti kullanıcısı arasındaki bir sözleşmenin yerine getirilmesi amacı) bağlantılı, sınırlı ve ölçülü şekilde işlenmesi ve başka amaçlar için açık bir hukuki dayanmak bulunması gerektiği vurgulanır.
• Rehber, Türkiye Cumhuriyet Merkez Bankası denetimlerinin kişisel veri koruma boyutuna dikkat çeker. Ayrıca, bağımsız denetimlerin kişisel veri işleme faaliyetlerinin şeffaf ve mevzuata uygun şekilde yürütülmesine katkı sağlayacağını belirtir.