Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi yayımlandı. İşte detaylar.
Rehber, eticaret, kripto ve bankacılık sektörlerini de ilgilendiriyor ve “arizi aktarım” gibi yeni kavramlara Kurum’un bakış açısını yansıtıyor.
Kişisel Verileri Koruma Kurumu’nun ve TÖDEB’in 2 yıllık titiz çalışması sonucunda ortaya çıkan rehberde ilk bakışta öne çıkanlar;
– Rehberin detaylı iş modelleri üzerinden kurgulanması faydalı olmuş. Ayrıca sadece finteklerin iş modelleri değil, temsilci ve dış hizmet sağlayıcılar gibi finteklerin etkileşimde bulunduğu taraflarla ilişkisi de KVK perspektifinden kapsamlı biçimde ele alınmış.
– Rehber, fintek dünyasının frontend’i olan ödeme ve elektronik para hizmetlerine odaklanırken, backend’i olan ödeme sistemi, kart şemaları gibi süreçlere değinmiyor. AB’deki genel eğilimin, ödeme zincirinin arka planındaki paydaşların “ortak veri sorumlusu” olarak değerlendirdiğini not etmek gerekir.
– Dijital cüzdan, POS, para havalesi, mobil ödeme ve fatura ödemeye aracılık hizmetlerindeki müşteri ilişkileri KVK bağlamında detaylı incelenmiş. Ancak açık bankacılık süreçlerine -rehberin hazırlandığı dönemde somut iş modeli olmadığı için- yer verilmemiş.
– Finteklerin POS hizmetlerinde veri sorumlusu mu yoksa veri işleyen mi olduğu net biçimde tanımlanmış: Kart hamilinin verilerinin işlenmesinde fintekler “veri sorumlusu” olarak konumlandırılmış. Bu durum, yalnızca üye işyerlerini değil, POS hizmeti alan tüm işletmeleri de KVK süreçlerini revize etmeye zorunlu kılıyor.
– Finteklerin veri sorumlusu olduğu süreçler netleştirilse de, sektörün dinamik yapısı gereği aydınlatma yükümlülüğü gibi bazı yükümlülüklerin nasıl yerine getirileceği hala belirsiz. Rehber bu konuların bazılarına çözüm sunsa da, bazıları açıkta kalmış. Finteklerin, söz konusu süreçlerde inovatif çözümler geliştirmesi gerekecek.
– Veri güvenliği alanında, 6493 sayılı Kanun ve ikincil düzenlemeleri ile KVK’nın öngördüğü idari ve teknik tedbirlerin eşleştirilmesi, finteklerin uyum sürecini önemli ölçüde kolaylaştırıcı bir yaklaşım sunuyor.
– Yurt dışına veri aktarımı söz konusu olduğunda, finteklerin bankaların yararlandığı özel düzenleme istisnasından faydalanamayacağı ve KVK’nın 9. maddesi hükümlerine tabi olacağı açıkça belirtilmiş.
– Çok katmanlı yapısı nedeniyle Fintek ekosisteminde, ödeme zincirindeki aktörlerin veri sorumlusu-veri işleyen rollerinin tanımlanması her zaman karmaşık bir konu olmuştur. Bu nedenle rehberin, en azından ön plandaki iş modelleri ve paydaşlar açısından bu rolleri netleştirmesi oldukça kıymetli…
– Rehberle birlikte tüm kuruluşların mevcut KVK uyumluluk durumlarına ilişkin kapsamlı bir boşluk analizi yaparak hızla aksiyon almaları için bir engel kalmamış gibi gözüküyor…
Rehberi buradan inceleyebilirsiniz.
