Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (“Yönetmelik”) ile Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Tebliğ”), 1 Aralık 2021 tarihli ve 31676 sayılı Resmi Gazete’de yayımlanmış olup; Yönetmelik ve Tebliğ, yayım tarihinde yürürlüğe girmiştir.
Yönetmelik ve Tebliğ Ne Getiriyor?
Yönetmelik ile “Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında
Yönetmelik”; Tebliğ ile “Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve
Denetimine İlişkin Tebliğ” yürürlükten kaldırılarak ödeme hizmetlerine ilişkin ikincil nitelikli düzenlemelerde bir dizi
yenilik getirilmektedir.
Yönetmelik’te Neler Düzenleniyor?
Yönetmelik kapsamında getirilen başlıca düzenlemeler aşağıdaki gibidir:
-
“Ön ödemeli araç” ve “anonim ön ödemeli araç” kavramları tanımlanmıştır. Buna göre;
- Ön ödemeli araç, müşterinin ödemelerde kullanılabilecek fonu ödeme aracını ihraç eden ödeme hizmeti
sağlayıcısına
harcama yapmadan önce ödediği ve ödenene eşdeğer tutarda fonun elektronik para olarak ödeme
hizmetlerinde kullanılmasına
imkân veren fizikî veya fizikî varlığı bulunmayan ödeme aracını,
- Anonim ön ödemeli araç, herhangi bir şekilde ödeme hesabına bağlı olmayan ve kimlik tespiti veya
doğrulaması yapılmamış,
önceden ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar yükleme yapılma imkanı
bulunan veya
bulunmayan şekilde ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli aracı
ifade eder.
Anonim ön ödemeli araçlar, sadece anonim ön ödemeli araç hamilinin fiziken iş yerinde bulunduğu ve
anonim ön ödemeli
aracın fiziken kullanıldığı ödeme işlemleri ile Güven Damgası alan hizmet sağlayıcı ve aracı hizmet
sağlayıcılar
nezdinde yapılacak mal veya hizmet alımlarına ilişkin ödeme işlemleri ve fatura ödeme işlemlerinde
kullanılabilecektir.
-
İş yeri kayıt sistemi; ödeme işlemlerine ilişkin süreçlerin kolaylaştırılması ve ödemeler alanında
dolandırıcılık ve
kötü niyetli kullanım faaliyetlerinin önlenmesi amacıyla Bankalararası Kart Merkezi Anonim Şirketi (“BKM”)
tarafından
ödeme hizmeti kapsamına giren bir ödeme yöntemi ile mal ve hizmet sunan iş yerlerine iş yeri kodu verilecek olup
bu iş
yerlerinin mal ve hizmet satışı yapabilmesi için iş yeri kodu kullanılacaktır.
BKM’nin işyeri kayıt sistemini 30 Haziran 2022 tarihine kadar oluşturması beklenmektedir.
-
Ödeme hizmetleri kapsamında; ödeme kuruluşları (“Kuruluşlar”), elektronik para karşılığında alınan fon için faiz
işletemeyecek ve müşteriye elektronik paranın tutulduğu süreye ve tutara bağlı herhangi bir menfaat
sağlanamayacaktır.
-
Elektronik para olarak kabul görülebilme şartları; Dijital ağ üzerinden dağıtımı yapılan gayri maddi varlıkların
elektronik para olarak kabul edilmesi için belli şartlar getirilmiştir, bu şartlar aşağıdaki gibidir;
- Sadece birebir bir itibari para karşılığı olarak çıkarılması,
- İhraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilmesi,
- Elektronik olarak saklanması,
- Mevzuatta tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılması,
- İhraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilmesi.
Bitcoin başta olmak üzere tüm kripto paralar bu şartları yerine getirmediğinden kapsam dışı bırakılmıştır.
Dolayısıyla
kripto paraların elektronik para olarak kullanılma ve işlem görme ihtimali de böylelikle ortadan kalkmıştır.
-
Faaliyet izni almak için başvuru yapan şirketlerin unvanlarının ödeme kuruluşu ya da elektronik para kuruluşu
olduklarını gösterir ibareleri içermesi zorunlu tutulmuştur. Ayrıca, sahip olunması gereken sermaye tutarı;
fatura
ödemelerine aracılık edilmesine yönelik hizmet gerçekleştirecek ödeme kuruluşları için en az 1 milyon Türk
Lirası, diğer
ödeme hizmetlerini sunmak için en az 2 milyon Türk Lirası, elektronik para ihraç etmek için en az 5 milyon Türk
Lirası
olması gerekmektedir.
-
Yönetmeliğin yürürlük tarihinden önce elektronik para olarak değerlendirilebilecek varlıkları ihraç etmekte olup
faaliyet izni bulunmayan ancak Kanun kapsamında elektronik para kuruluşu kategorisine dahil edilebilecek olan
kişiler, 1
Aralık 2022 tarihine kadar TCMB’ye başvurarak faaliyet izni almak zorundadır. Bir diğer ifadeyle, bu tarihe
kadar
faaliyet izni alabilmek için belirtilen unvan, asgari sermaye ve teminat bulundurulması gibi şartları
sağlamaları ve
gerekli izin başvurusunda bulunmaları gerekmektedir.
-
Temsilci seçimi ile ilgili sınırlandırmalar getirilmiş ve denetlemeler artırılmıştır. Kuruluşların, temsilci
seçiminde
göstermeleri gereken özen yükümlülüğü saklı kalmak kaydıyla, ödeme hizmetleri elektronik veya fiziki kanallar
üzerinden
temsilci aracılığıyla yürütülebileceklerdir.
-
Kredi kullandırma yasağı kapsamında, Kuruluş kredi veremeyecek ve kredi verdiği izlenimini yaratacak şekilde
reklam ve
pazarlama faaliyetlerinde bulunamayacaktır. Ödenmesine aracılık edilen tutarlar da taksitlendirilemeyecektir.
-
Her iki tarafın Türkiye’de yerleşik olduğu işlemler ve Türkiye’de bulunan ödeme hizmeti sağlayıcılarının
kullandığı
ödeme işlemleri ile ilgili Kuruluş, döviz alım satım işlemi yapamayacaktır. Ancak işlemin taraflarından birinin
yurt
dışında bulunması şartıyla ve Yönetmelik’te belirtilen diğer koşulların bulunması durumunda Kuruluş, sadece
ödeme
hizmetinin sunulması ile sınırlı olarak, döviz alım satım işlemi yapabilecektir.
-
Kuruluş temsilcilerinin dikkat etmesi gereken diğer hususlar aşağıdaki gibidir:
- Yetkisiz olarak döviz alım satım faaliyetinde bulunulmaması gerekmektedir.
- Çalışma yerinde hiçbir suretle döviz kurlarını gösteren pano veya benzeri doküman ya da cihaz
bulundurulmaması, döviz
sembollerinin bulundurulmaması gerekmektedir.
- Döviz alım satımı yapıldığı izlenimini uyandıracak hiçbir kelime, deyim veya işaretin bulundurulmaması
gerekmektedir.
-
Fonların korunması ve teminatlar bakımından Kuruluşların Türkiye Cumhuriyet Merkez Bankası (“TCMB”) nezdinde
fatura
ödemelerine aracılık edilmesine yönelik hizmet gerçekleştiren ödeme kuruluşları için 2 milyon Türk Lirası, diğer
ödeme
kuruluşları için 3 milyon Türk Lirası ve elektronik para kuruluşları için 5 milyon Türk Lirası asgari teminat
bulundurulması gerekliliği getirilmiştir.
Bununla birlikte, belirli hallerde ödeme fonları koruma hesapları ile elektronik para koruma hesaplarının, fon
sahiplerinin haklarının tazmin edilmesi ve kuruluşun mevzuattan kaynaklanan yükümlülüklerinin yerine
getirilmesini
teminen ilgili banka tarafından bloke edilebileceği düzenlenmiştir.
-
Tüketiciyi bilgilendirme yükümlülüğü bakımından ödeme hizmeti sağlayıcılarına faaliyetleri ile ilgili
tüketicilerin
haklarını içeren, açık ve kolay anlaşılır bir dilin kullanıldığı, rahatlıkla okunabilecek bir şekilde
tasarlanmış
elektronik veya fiziksel bir bilgi formu hazırlama yükümlülüğü getirilmiştir.
-
Kapsam dışında kalanların bildirim yapma yükümlülüğü bakımından mal veya hizmet alımına ilişkin işlemleri ve
para
transferi işlemlerini gerçekleştiren hizmet sağlayıcılarına son 12 ay içerisinde gerçekleştirdikleri işlem
tutarının 50
milyon Türk Lirasını aşması halinde, hizmet tanımını, detaylı iş akış ve modellerini, işlem hacimleri, ile TCMB
tarafından talep edilebilecek diğer bilgi ve belgeleri içeren raporu her yıl Ocak ayı içerisinde TCMB’ye iletme
yükümlülüğü getirilmiştir.
Yapılan bildirim neticesinde TCMB söz konusu faaliyetin ödeme hizmeti olarak değerlendirilmesine karar
verebilecektir.
Böylece faaliyet izni alma zorunluluğu getirilebilecektir.
1 Aralık 2021 tarihinden önce faaliyet izni başvurusunda bulunanlar hakkında Yönetmelik’in sadece yukarıda
belirtilen
faaliyet izni, yeterli miktarda sermaye ve teminat yükümlülükleri ile ödeme fonlarının ve elektronik para
karşılığı
toplanan fonların korunmasına ilişkin düzenlemeleri uygulanacak olup; harici hususlarda yürürlükten kaldırılan
yönetmelik geçerliliğini koruyacaktır.
Bir diğer ifadeyle, 1 Aralık 2021 tarihi öncesinde izin başvurusunda bulunanlar; unvan, sunulacak hizmete göre
belirlenen asgari sermaye ve teminat tutarı yükümlülüklerini sağlamak zorundadırlar.
Faaliyet izni verilen kişiler, bilgi sistemlerinin yönetimine ve denetlenmelerine ilişkin TCMB tarafından
yapılacak
düzenlemeler ile Yönetmelik’in tamamına en geç 1 Aralık 2022 tarihine kadar uyumlu hale gelmekle yükümlüdür.
Tebliğ’de Neler Düzenleniyor?
Tebliğ kapsamında getirilen başlıca düzenlemeler aşağıdaki gibidir:
- Bilgi sistemlerine ilişkin risk yönetimi bakımından, Kuruluş, bilgi sistemlerinde meydana gelecek önemli
değişikliklerden önce ve yılda en az bir defa olmak üzere bilgi sistemlerine ilişkin kapsamlı bir risk
değerlendirmesi
yapacaktır ve bunlara ilişkin izlenmesi gereken yolları içerir raporu, her yıl Ocak ayı sonuna kadar bir önceki
yıla
ilişkin olacak şekilde hazırlayacak ve kendi yönetim kurulu ile TCMB’ye sunacaktır.
- Siber olaylar bakımından, Kuruluş’a, müşterileri ve Kişisel Verileri Koruma Kurulu’nu, hassas müşteri
verilerinin ya da
kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayın yaşanması veya kişisel verilerin kanuni
olmayan
yollarla başkaları tarafından elde edilmesi hallerinde en kısa süre içerisinde bilgilendirme yükümlülüğü
getirilmiştir.
- Bilgi güvenliği yönetimi bakımından, Kuruluş’a, güvenlik gereksinimleri doğrultusunda uygun kontroller sağlamak
için
yönetim kurulu tarafından onaylı bir bilgi varlıkları sınıflandırma kılavuzu hazırlama ve bilgi varlıklarına
ilişkin
erişim hakları ile saklama, iletme ve imha etme prosedürlerini açıkça belirtme ve bununla ilgili yükümlülükler
konusunda
tüm personelini bilgilendirme yükümlülüğü getirilmiştir.
- Veri güvenliği ve mahremiyeti bakımından, Kuruluş’a faaliyetleri esnasında edindiği veya sakladığı hassas
müşteri
verilerini müşteri bilgilerinin gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye
yönelik
gerekli tedbirleri alma yükümlülüğü getirilmiştir. Müşteri bilgileri, yetkili merciler dışındaki taraflara ancak
müşterinin aydınlatılması ve müşterilerin açık rızasının alınması kaydıyla verilebilecektir.
- Kimlik doğrulama bakımından, Kuruluş’a yeterli ve etkin bir kimlik doğrulama sistemi kurulması yükümlülüğü
getirilmiştir. Hassas müşteri verilerine erişim sağlanması veya düzenli ödeme talimatı verilmesi bakımından
güçlü kimlik
doğrulama yöntemi kullanılacaktır. Müşteriler tarafından elektronik yoldan yapılan ve finansal sonuç doğuran
veya
doğurmayan işlemlerde, güçlü kimlik doğrulama kullanılması esası getirilmiştir. Anonim ön ödemeli araçlarla
ilgili
işlemler için güçlü kimlik doğrulama zorunluluğu bulunmamaktadır.
- Erişim yönetimi bakımından, Kuruluş’un, personelin işin gerektirdiği bilgiye erişimine imkân verecek şekilde
yetki ve
sınırlamalarını açıkça belirleyeceği ve yetkisiz erişimleri engellemek üzere gerekli tedbirleri alacağı
düzenlenmiştir.
- Güvenlik açıkları bakımından, Kuruluş’un, bilgi sistemlerine yönelik olası güvenlik ihlallerinin önlenmesi için
sistemle
ilişkili olan tüm sunucular düzenli aralıklarla yılda en az altı defa zayıflık taramasından geçirmesi düzenleme
bulmuştur. Kuruluş yılda en az 1 (bir) defa kritik güvenlik açıklarını, bunların giderilmesine ilişkin
tedbirleri içeren
raporu TCMB’ye sunacaktır.
- Denetim izlerinin oluşturulması bakımından, Kuruluş bilgi sistemlerinde gerçekleşen faaliyetler ve yetkisiz
erişim
teşebbüslerinin takibine imkan verecek bir denetim izi kayıt sistemi oluşturacaktır. Denetim izleri güvenli
ortamlarda
yedeklenecektir.
- Bilgi sistemleri süreklilik planı bakımından, Kuruluş iş sürekliliği planının bir parçası olarak bilgi
sistemleri
süreklilik planı hazırlayacaktır. Bilgi sistemleri süreklilik planı; belirlenecek bilgi sistemleri süreklilik
hedeflerini, süreklilik planının kaynağını, yarattığı hasarı, potansiyel boyutunu ve etkisini, planın
hazırlanması
süreciyle ilgili prosedürler ile plan devreye girdiğinde dahil olacak kişilerin görevlerini, ilgili paydaşlar
ile
iletişim yöntemini, plan kapsamında kararların ve eylemlerin kaydedilme yöntemini içerecektir.
- İkincil merkez kurulması bakımından, Kuruluş’a faaliyetlerinin kesintisiz devam etmesini sağlamak amacıyla
ikincil
sistemlere kullanıma hazır olacak şekilde erişilebildiği, personelin çalışmasına imkân tanıyacak ve birincil
merkez ile
aynı riskleri taşımayacak şekilde oluşturulmuş yapı olan “İkincil Merkez ve Sistemleri” kurmak ve bunları
dönemsel
olarak test etme yükümlülüğü getirilmiştir.
Yönetmelik’in tam metnine ulaşmak için
buraya, Tebliğ’in tam metnine ulaşmak için ise lütfen
buraya tıklayınız.
Bilge Binay Kanat, Kıdemli Avukat
Burak Batı, Avukat
Dilara Kürkçüoğlu, Stajyer Avukat
Zeynep Yalçın, Stajyer Avukat