III. BÖLÜM
ÖDEME KURULUŞLARININ DİĞER KANUNLAR KAPSAMINDAKİ YÜKÜMLÜLÜKLERİ NELERDİR?
A. 5549 SAYILI KANUN VE SAİR MEVZUAT KAPSAMINDA MASAK YÜKÜMLÜLÜĞÜ
Ödeme Kuruluşları, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında sayılan uyum programı oluşturması beklenen yükümlüler arasındadır. Uyum programı kapsamındaki risk yönetimi ile izleme ve kontrole ilişkin faaliyetler, yönetim kurulunun gözetim, denetim ve sorumluluğunda, uyum görevlisi ve uyum görevlisi yardımcısı tarafından yerine getirilir. Uyum programının bütününün, yükümlünün faaliyetlerinin kapsamı ve özelliklerine uygun bir biçimde, yeterli ve etkin bir şekilde yürütülmesinden, nihai olarak yönetim kurulu sorumludur. Bunlara ek olarak; uyum görevlisi atamak, uyum görevlisinin, uyum görevlisi yardımcısının ve uyum biriminin yetki ve sorumluluklarını açık bir şekilde ve yazılı olarak belirlemek, kurum politikalarını, yıllık eğitim programlarını ve gelişmelere göre bunlarda yapılacak değişiklikleri onaylamak, uyum programı kapsamında yürütülen risk yönetimi, izleme ve kontrol ile iç denetim faaliyetlerinin sonuçlarını değerlendirmek, tespit edilen hata ve eksikliklerin zamanında giderilmesi için gerekli tedbirleri almak ve uyum programı kapsamındaki tüm faaliyetlerin etkin bir şekilde ve koordinasyon içerisinde yürütülmesini sağlamakla yetkili ve sorumludur. Yönetim kurulu, yetkilerinin bir kısmını veya tamamını, bir veya birden fazla yönetim kurulu üyesine (açık bir şekilde ve yazılı olarak) devredebilir.
Söz konusu yetki devrinin yapılması, yönetim kurulunun bu konudaki sorumluluğunu ortadan kaldırmaz. Suç gelirlerinin aklanması ve terörün finansmanının önlenmesi için, 5549 sayılı kanun ve kanun uyarınca çıkarılan yönetmelik ve tebliğlere gerekli uyumun sağlanması amacıyla risk temelli bir yaklaşımla oluşturulacak olan uyum programı aşağıdaki tedbirleri içerir:
1. Kurum Politikası Ve Prosedürlerinin Oluşturulması
Yükümlüler, uyum programı kapsamında, işletme büyüklüklerini, iş hacimlerini ve gerçekleştirdikleri işlemlerin niteliğini gözeterek, bir kurum politikası oluştururlar. Kurum politikası asgari düzeyde; risk yönetimi, izleme ve kontrol, eğitim ve iç denetime ilişkin politikaları içerir. Kurum politikasının amacı; yükümlünün, suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesine ilişkin yükümlülüklere uyumunu sağlamaya ve müşterilerinin, işlemlerinin ve hizmetlerinin risk temelli bir yaklaşımla değerlendirilerek, maruz kalabileceği riskin azaltılmasına yönelik stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kurum çalışanlarının bu konularda bilinçlendirilmesidir. Kurum politikası kapsamında belirlenen tüm önlem ve işleyiş kurallarından kimlerin sorumlu olduğu, belirli risk limitlerine göre işlemlerin onaylanması, gerçekleştirilmesi, raporlanması ve izlenmesinden kimlerin veya hangi birimlerin sorumlu olacağı gibi hususlar açık şekilde prosedüre bağlanır. Prosedürlerin belirlenmesinde, yükümlünün işlemlerinin ve iş akışlarının risklere göre izlenmesi, kontrol edilmesi ve denetlenmesinde görev alacak personelin, aynı zamanda bu işlemleri gerçekleştiren personel olmamasını sağlayacak şekilde görev ve yetkilendirme yapılır. Kurum politikasına ilişkin taahhüt formları yönetim kurulu veya yetkisini devrettiği yönetim kurulu üye veya üyeleri tarafından imzalanarak, kurum politikasının onay tarihinden itibaren otuz gün içinde Başkanlığa gönderilir.
2. Risk Yönetimi Faaliyetlerinin Yürütülmesi
Yükümlüler, kurum politikası kapsamında, işletme büyüklüklerini, iş hacimlerini ve gerçekleştirdikleri işlemlerin niteliğini gözeterek risk yönetim politikası oluştururlar. Risk yönetim politikasının amacı; yükümlünün maruz kalabileceği risklerin tanımlanması, derecelendirilmesi, izlenmesi, değerlendirilmesi ve azaltılmasını sağlamaktır. Risk yönetimine ilişkin faaliyetler asgari düzeyde;
a) Müşteri riski, hizmet riski ve ülke riskini esas alan risk tanımlama, derecelendirme, sınıflandırma ve değerlendirme yöntemlerinin geliştirilmesi,
b) Hizmetlerin, işlemlerin ve müşterilerin risklere göre derecelendirilmesi ve sınıflandırılması,
c) Riskli müşteri, işlem veya hizmetlerin izlenmesinin ve kontrol edilmesinin sağlanması; ilgili birimleri uyaracak şekilde rapor edilmesi, işlemin üst makamın onayı ile gerçekleştirilmesi ve gerektiğinde denetlenmesi için uygun işleyiş ve kontrol kurallarının geliştirilmesi,
ç) Risk tanımlama ve değerlendirme yöntemlerinin, risk derecelendirmesi ve sınıflandırma yöntemlerinin, örnek olaylar ya da gerçekleşen işlemler üzerinden geriye dönük olarak tutarlılıklarının ve etkinliklerinin sorgulanması, varılan sonuçlara ve gelişen koşullara göre yeniden değerlendirilmesi ve güncellenmesi,
d) Risk kapsamına giren konulara ilişkin ulusal mevzuat ve uluslararası kuruluşlarca getirilen tavsiye, ilke, standart ve rehberlerin takip edilerek gerekli geliştirme çalışmalarının yapılması,
e) Risk izleme ve değerlendirme sonuçlarının düzenli aralıklarla yönetim kuruluna raporlanması, faaliyetlerini kapsar.
Bunlara ek olarak yükümlüler; risk derecelendirmesi neticesinde yüksek riskli olarak belirledikleri gruplara yönelik olarak üstlenilecek riskin azaltılmasını teminen, tespit edilen riskle orantılı olarak; müşteri hakkında ilave bilgi edinmek ve müşteri ile gerçek faydalanıcının kimlik bilgilerini daha sık güncellemek, iş ilişkisinin mahiyeti hakkında ilave bilgi edinmek, işleme konu malvarlığının ve müşteriye ait fonların kaynağı hakkında mümkün olduğu ölçüde bilgi edinmek, işlemin amacı hakkında bilgi edinmek, iş ilişkisine girilmesini, mevcut iş ilişkisinin sürdürülmesini ya da işlemin gerçekleştirilmesini üst seviyedeki görevlinin onayına bağlamak, uygulanan kontrollerin sayı ve sıklığını artırmak ve ilave kontrol gerektiren işlem türlerini belirlemek suretiyle iş ilişkisini sıkı gözetim altında tutmak, sürekli iş ilişkisi tesisinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluştan yapılmasını zorunlu tutmak gibi ilave tedbirler uygulayabilir.
3. İzleme Ve Kontrol Faaliyetlerinin Yürütülmesi
Yükümlüler, kurum politikası kapsamında, işletme büyüklüklerini, iş hacimlerini ve gerçekleştirdikleri işlemlerin niteliğini gözeterek, izleme ve kontrol faaliyetleri yürütürler. İzleme ve kontrolün amacı; yükümlülerin risklerden korunması ve faaliyetlerinin Kanuna ve Kanun uyarınca çıkarılan yönetmelik ve tebliğlerle, kurum politika ve prosedürlerine uygun olarak yürütülüp yürütülmediğinin sürekli olarak izlenmesi ve kontrol edilmesidir. İzleme ve kontrol faaliyetleri kapsamında; Kanun uyarınca getirilen yükümlülüklere uyumun sağlanmasıyla ilgili olarak yapılan kontroller neticesinde tespit edilen eksiklikler, gerekli tedbirlerin alınması için ilgili birimlere raporlanarak sonuçları takip edilir. İzleme ve kontrol faaliyetleri çerçevesinde yükümlüler, bu faaliyetleri yürütecek personelin kurum içi bilgi kaynaklarına ulaşmasını temin etmek zorundadır. İzleme ve kontrol faaliyetleri asgari düzeyde; yüksek risk grubundaki müşteri ve işlemlerin izlenmesi ve kontrolü, riskli ülkelerle gerçekleştirilen işlemlerin izlenmesi ve kontrolü, karmaşık ve olağandışı işlemlerin izlenmesi ve kontrolü, yükümlünün, risk politikasına göre belirleyeceği bir tutarın üzerindeki işlemlerin, müşteri profili ile uyumlu olup olmadığının örnekleme yöntemi ile kontrolü, birlikte ele alındıklarında, kimlik tespiti yapılmasını gerektiren tutarı aşan bağlantılı işlemlerin izlenmesi ve kontrolü, müşteriler hakkında elektronik ortamda yahut yazılı olarak muhafaza edilmesi gereken bilgi ve belgeler ile elektronik transfer mesajlarında yer verilmesi zorunlu bilgilerin kontrolü ve eksikliklerin tamamlatılması ve bunların güncellenmesi, müşteri tarafından yürütülen işlemin; müşterinin, işine, risk profiline ve fon kaynaklarına dair bilgiler ile uyumlu olup olmadığının iş ilişkisi süresince devamlı olarak izlenmesi, yüz yüze olmayan işlemler yapılmasını mümkün kılan sistemler kullanılarak gerçekleştirilen işlemlerin kontrolü, yeni sunulan ürünler ve teknolojik gelişmeler nedeniyle suistimale açık hale gelebilecek hizmetlerin risk odaklı kontrolü, faaliyetlerini kapsar.
4. Uyum Görevlisi Ve Uyum Görevlisi Yardımcısı Atanması Ve Uyum Birimi Oluşturulması
Yükümlüler, faaliyet izninin alınmasını müteakip otuz gün içinde uyum programının yürütülmesi amacıyla uyum görevlisi atarlar. Uyum görevlisi, yönetim kuruluna veya yönetim kurulunun yetkisini devrettiği bir veya birden fazla üyeye bağlı olacak şekilde, münhasıran kurum personeli olarak atanır. Uyum görevlisinin uhdesinde satış ve pazarlamayla ilgili olmamak şartıyla, uyum programının yürütülmesini aksatmayacak diğer görevler bulunabilir. Yükümlüler, uyum programının yürütülmesi amacıyla uyum görevlisi için aranan şartları ve nitelikleri taşıyan bir uyum görevlisi yardımcısı atarlar. Uyum görevlisi yardımcısı, uyum görevlisine bağlı olacak şekilde münhasıran kurum personeli olarak atanır. Uyum görevlisi yardımcısı, uyum görevlisiyle aynı süre ve usulde atanır. Uyum görevlisi ve uyum görevlisi yardımcısına ilişkin taahhüt formu yönetim kurulu veya yetkisini devrettiği yönetim kurulu üye veya üyeleri tarafından imzalanarak, atanma tarihinden itibaren en geç on gün içerisinde Mali Suçları Araştırma Kurulu Başkanlığı’na gönderilir. Uyum görevlisi, görev ve yetkilerinin bir kısmını veya tamamını, açık bir şekilde ve yazılı olarak uyum görevlisi yardımcısına devredebilir. Söz konusu görev ve yetki devrinin yapılması, uyum görevlisinin bu konudaki sorumluluğunu ortadan kaldırmaz. Uyum görevlisinin veya yardımcısının bu Yönetmelik ile aranan şartları kaybetmesi veya bu şartları haiz olmadığının sonradan anlaşılması veya görevinden ayrılması halinde, durum yükümlü tarafından ayrılış tarihinden itibaren on gün içinde Mali Suçları Araştırma Kurulu Başkanlığı’na yazılı olarak bildirilir. Uyum görevlisi ve uyum görevlisi yardımcısı olarak atanacak kişilerde;
a) T.C. vatandaşı olmak,
b) Kamu haklarından mahrum bulunmamak,
c) Taksirli suçlar hariç olmak üzere affa uğramış olsalar bile mülga 765 sayılı Türk Ceza Kanunu ve diğer kanunlar uyarınca ağır hapis veya beş yıldan fazla hapis, 5237 sayılı Türk Ceza Kanunu ve diğer kanunlar uyarınca üç yıldan fazla hapis cezasıyla cezalandırılmamış olmak veya mülga 3182 sayılı Bankalar Kanunu ve 4389 sayılı Bankalar Kanunu ile 5411 sayılı Bankacılık Kanununun ve 2499 sayılı Sermaye Piyasası Kanununun ve ödünç para verme işleri hakkında mevzuatın hapis cezası gerektiren hükümlerine muhalefet yahut mülga 765 sayılı Türk Ceza Kanunu, 5237 sayılı Türk Ceza Kanunu veya diğer kanunlar uyarınca basit veya nitelikli zimmet, zimmet, ihtilas, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, inancı kötüye kullanma, dolanlı iflas gibi yüz kızartıcı suçlar ile istimal ve istihlâk kaçakçılığı dışında kalan kaçakçılık suçları, resmî ihale ve alım satımlara fesat karıştırma veya Devletin şahsiyetine karşı işlenen suçlar ile Devlet sırlarını açığa vurma, Devletin egemenlik alametlerine ve organlarının saygınlığına karşı suçlar, Devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, milli savunmaya karşı suçlar, Devlet sırlarına karşı suçlar ve casusluk, yabancı devletlerle olan ilişkilere karşı suçlar, vergi kaçakçılığı, suçtan kaynaklanan malvarlığı değerlerini aklama ve terörün finansmanı suçlarından veya bu suçlara iştirakten hüküm giymemiş olmak,
ç) Türkiye'de (veya denkliği Yüksek Öğretim Kurulu'nca tanınmış yurt dışında) en az dört yıllık eğitim veren yüksek öğretim kurumlarından mezun olmak,
d) 4 üncü maddenin birinci fıkrasında sayılan finansal kuruluşlardan (Türkiye Cumhuriyet Merkez Bankası ile kalkınma ve yatırım bankaları dahil) herhangi birisi nezdinde idareci, uzman veya denetim görevlerinde veya Kanunun 2 nci maddesinin birinci fıkrasının (e) bendinde sayılan denetim elemanlığı görevlerinde ya da Başkanlık nezdinde idareci veya uzman görevlerinde en az beş yıl süreyle çalışmış olmak,
e) Yükümlü nezdinde veya yükümlünün iştiraklerinde nitelikli pay sahibi olmamak veya yönetiminde bulunmamak,
f) Yükümlünün nitelikli pay sahibi ortağının, yönetim kurulu üyelerinin veya genel müdürünün eşi veya ikinci dereceye kadar (bu derece dahil) kan veya sıhrî hısmı olmamak, şartları aranır.
5. Eğitim Faaliyetlerinin Yürütülmesi
Yükümlüler, suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla işletme büyüklüklerine, iş hacimlerine ve değişen koşullara uyumlu olacak şekilde eğitim faaliyetleri yürütmek zorundadır. Eğitim faaliyetleri uyum görevlisi gözetiminde ve koordinasyonunda yürütülür. Yükümlüler eğitim faaliyetlerini, belirli bir eğitim programı dâhilinde yürütürler. Eğitim programı uyum görevlisi tarafından ilgili birimlerin de katılımıyla hazırlanır. Eğitim programının etkin bir şekilde uygulanması uyum görevlisi tarafından gözetilir. Eğitim faaliyetleri, ölçme ve değerlendirme sonuçlarına göre ilgili birimlerin de katılımıyla gözden geçirilir ve ihtiyaca göre düzenli aralıklarla tekrarlanır. Yükümlüler, eğitim faaliyetlerinin kurum geneline yayılmasını temin edecek şekilde; seminer ve paneller düzenlenmesi, çalışma grupları oluşturulması, eğitim faaliyetlerinde görsel ve işitsel materyallerin kullanılması, internet, intranet veya extranet vb. üzerinden çalışan bilgisayar destekli eğitim programları gibi eğitim yöntemlerinden yararlanarak gerçekleştirebilirler. Yükümlüler tarafından personele verilecek eğitimler asgari düzeyde;
a) Suç gelirlerinin aklanması ve terörün finansmanı kavramları,
b) Suç gelirlerinin aklanmasının aşamaları, yöntemleri ve bu konuda örnek olay çalışmaları,
c) Suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi ile ilgili mevzuat,
ç) Risk alanları,
d) Kurum politikası ve prosedürleri,
e) Kanun ve ilgili mevzuat çerçevesinde;
- Müşterinin tanınmasına ilişkin esaslar,
-Şüpheli işlem bildirimine ilişkin esaslar,
-Muhafaza ve ibraz yükümlülüğü,
-Bilgi ve belge verme yükümlülüğü,
-Yükümlülüklere uyulmaması halinde uygulanacak müeyyideler,
f) Aklama ve terörün finansmanı ile mücadele alanında uluslararası düzenlemeler, konularını içerir. Yükümlüler uyguladıkları eğitim faaliyetlerine ilişkin; eğitim tarihleri, eğitim verilen bölge veya iller, eğitim yöntemi, toplam eğitim saati, eğitim verilen personelin sayısı ve toplam personel sayısına oranı, eğitim verilen personelin birim ve unvanlarına göre dağılımı, eğitimin içeriği, eğiticilerin unvanı ve uzmanlık alanları ile ilgili bilgi ve istatistikleri, takip eden yılın mart ayının sonuna kadar uyum görevlisi vasıtasıyla Başkanlığa bildirirler.
6. İç Denetim Faaliyetlerinin Yürütülmesi
İç denetimin amacı, uyum programının bütününün etkinliği ve yeterliği hususunda yönetim kuruluna güvence sağlamaktır. Yükümlüler, kurum politika ve prosedürlerinin, risk yönetimi, izleme ve kontrol faaliyetleri ile eğitim faaliyetlerinin yeterli ve verimli olup olmadığı, yükümlünün risk politikasının yeterliği ve etkinliği, işlemlerin Kanun ve Kanun uyarınca çıkarılan yönetmelik ve tebliğler ile kurum politika ve prosedürlerine uygun olarak yürütülüp yürütülmediği hususlarının yıllık olarak ve risk temelli bir yaklaşımla incelenmesini ve denetlenmesini sağlarlar. İç denetim neticesinde ortaya çıkarılan eksiklik, hata ve suistimaller ile bunların yeniden ortaya çıkmasının önlenmesine yönelik görüş ve öneriler yönetim kuruluna raporlanır. Denetimin kapsamı belirlenirken, izleme ve kontrol çalışmalarında tespit edilen aksaklıklar ve risk içeren müşteriler, hizmetler ve işlemler denetim kapsamına dahil edilir. Denetlenecek birimler ile işlemler belirlenirken yükümlünün işletme büyüklüğü ve işlem hacmi göz önünde bulundurulur. Bu kapsamda, yükümlü tarafından gerçekleştirilen işlemlerin tamamını temsil edebilecek nicelik ve nitelikte birim ve işlemin denetlenmesi sağlanır. İç denetim faaliyeti kapsamında gerçekleştirilen çalışmalara ilişkin olarak; yükümlünün yıllık işlem hacmi, toplam personel sayısı ve toplam şube, acente ve benzeri bağlı birimlerinin sayısı, denetlenen şube, acente ve benzeri birimlerin sayısı, bu birimlerde yapılan denetimlerin tarihleri, toplam denetim süresi, denetimde çalıştırılan personel ve denetlenen işlem sayısına ilişkin bilgileri içeren istatistikler, takip eden yılın mart ayı sonuna kadar uyum görevlisi tarafından Mali Suçları Araştırma Kurulu Başkanlığı’na bildirilir.
B. 6698 SAYILI KANUN VE SAİR MEVZUAT KAPSAMINDA KVKK YÜKÜMLÜLÜĞÜ
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda Ödeme Kuruluşu olarak müşterilerin, potansiyel müşterilerin, personel adaylarının, personellerin, tedarikçilerin, temsilci ve üye işyerlerinin, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerin, iş birliği içinde olduğu kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermek ve tedbirleri almak ise yükümlülük haline gelmiştir. Yükümlülüklerden bahsetmeden önce veri sorumlusunun kim olduğuna değinmekte fayda var. Veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda geçen tanıma göre; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Ödeme Kuruluşu, tüzel kişiliği kapsamında kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Peki veri sorumlusunun yükümlülükleri nelerdir?
1. Aydınlatma Yükümlülüğü
6698 sayılı kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla; veri sorumlusunun ve varsa temsilcisinin kimliği, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kanunun 11. maddesinde sayılan diğer hakları ilgili kişiye sağlamakla yükümlüdür. Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı değildir. Başka bir deyişle, ilgili kişinin açık rızasının ya da kanundaki diğer kişisel verileri işleme şartlarının bulunması durumunda da veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır ve aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
2. Veri Güvenliğine İlişkin Yükümlülükler
6698 sayılı kanunun 12. maddesinin 1. fıkrası ‘’Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.’’ hükmünü amirdir. Bu bağlamda; veri sorumlusu gerek teknik gerekse de idari tedbirler almak zorundadır. İdari tedbirlere kısaca değinecek olursak; kişisel verilerin korunması kapsamında mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmalarının düzenlenmesi, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması ve veri işleyenler ile ilişkilerin yönetimi, veri toplanan kanalların belirlenmesi, verilerin hukuka uygun işlenip işlenmediğinin belirlenmesi, kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel deprem vb.) karşı güvenliğinin sağlanması, veri imha ve saklama yasal süreçlerinin belirlenmesi, resen veya talep üzerine veri silme süreçlerinin işletilmesini örnek verebiliriz. Teknik tedbirlere kısaca değinecek olursak; çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri yapılması, ağ güvenliği ve uygulama güvenliği sağlanması, ağ yoluyla kişisel veri aktarımlarında kapalı sistem kullanılması, anahtar yönetimi uygulanması, bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınması, çalışanlar için yetki matrisi oluşturulması, erişim loglarının düzenli olarak tutulması, güncel anti-virüs sistemlerinin kullanılması, görev değişikliği olan ya da işten ayrılan çalışanların erişim yetkilerinin kaldırılması, log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulması, kişisel veri güvenliği sorunlarının hızlı bir şekilde raporlanması, penetrasyon (Sızma Testi) zafiyet tarama hizmetleri, veri maskeleme, veri tabanı şifreleme, anahtar yönetimi, veri sızıntısı tespit ve engelleme, güvenli dosya paylaşım uygulamaları, şifreleme (Disk ve USB, CD), firewall/WAF, kaynak kod güvenliği, antivirüs (zararlı yazılımdan korunma) güvenlik duvarları kullanılması vb. tedbirleri sıralayabiliriz.
3. Veri Sorumluları Siciline Kayıt Yükümlülüğü
VERBİS veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kişisel Verileri Koruma Kurulu’nun gözetiminde Kişisel Verileri Koruma Kurulu Başkanlığı tarafından tutulan Veri Sorumluları Siciline kaydolmaları zorunludur. Veri Sorumluları Sicili, Kanun kapsamında kamuya açık olarak tutulmak zorundadır. Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir.
4. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplandırılması Yükümlülüğü
İlgili kişiler (kişisel verileri işlenen gerçek kişiler) yazılı veya Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan başkaca yöntemlerle veri sorumlusuna kanunun uygulanması ile ilgili taleplerini iletebilir. Veri sorumluları bu talepleri niteliklerine göre en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak sonuçlandırmak zorundadır. Ancak, taleplerle ilgili işlemlerin ayrıca bir maliyet gerektirmesi durumunda veri sorumlusu yine Kişisel Verileri Koruma Kurulu’nun belirleyeceği tarifedeki ücretleri ilgili kişiden talep edebilir. ‘’Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’’ de başvuru hakları, şartları ve ücret tarifesine dair ayrıntılı bilgiler bulunmaktadır. Veri sorumlusu, ilgili kişinin talebini kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.
5. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verileri Koruma Kurulu şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.
6. Veri İhlali Bildirim Yükümlülüğü
24 Ocak 2019 tarihli ve 2019/19 sayılı kararında Kişisel Verileri Koruma Kurulu veri ihlali durumlarında uygulanacak kurallar ve izlenecek prosedürleri açıklamıştır. Bu bağlamda, veri sorumluları ilgili veri ihlalinden haberdar olur olmaz mümkün olan en kısa sürede Kişisel Verileri Koruma Kurulu’ na ve ilgili veri sahibine bilgi vermek zorundadır. Kurul, ihlal bildirimlerinin zamanlamalarını belirlemek açısından “mümkün olan en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına ve bunlara ek olarak veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına karar vermiştir. Kişisel Verilerin Korunması Kanunu ayrıca veri sorumlularının, maruz kalınan risk düşük olsun veya olmasın veri ihlalinden etkilenen veri sahiplerini tespit eder etmez veri sahiplerine bildirimde bulunmalarını gerekli kılmaktadır. Ve yine kurul kararı veri sorumlularının önceden veri ihlallerine hazırlıklı olmaları için bir yol haritası çizmelerini, kurum içi raporlama mekanizmaları ile izlenecek prosedürleri önceden netleştirmelerini gerekli kılmaktadır. Veri sorumluları, veri ihlalleri ile alınan tedbirlerin kayıtlarını tutmakla yükümlüdürler.
7. Envanter, Politika, Prosedür, Açık Rıza Metinleri Hazırlama Yükümlülüğü
28/10/2017 tarihli ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi 1. fıkrası ‘’6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi gereğince Veri Sorumluları Sicili’ ne kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel verileri saklama ve imha politikası hazırlamakla yükümlüdür.’’ Hükmünü amirdir. Bu bağlamda; öncelikle veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri hazırlamaları ve Kişisel Verileri Koruma Kanunu kapsamındaki uyum süreçlerini gerçekleştirmelerindeki yol haritası niteliğinde olan envantere bağlı olarak şirket politika ve prosedürlerini hazırlama yükümlülükleri bulunmaktadır. Aydınlatma yükümlülüğü kapsamında hazırlanan aydınlatma metinlerinin yanı sıra özel nitelikli veriler için işleme ve aktarma şartları açıkça belirtilerek açık rıza metinleri oluşturulmalı ve şirket nezdinde imzalanan sözleşmelerin veri güvenliği hükümleri içermelerine dikkat edilmelidir.
Son olarak, mezkûr mevzuat hükümleri saklı kalmak kaydıyla, Türkiye Cumhuriyet Merkez Bankası Aralık 2020’de TÖDEB (Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği) vasıtası ile halihazırda faaliyetine devam etmekte olan kuruluşlara fikir alışverişinde bulunmak ve geri bildirimler ile yapılacak düzenlemelere yön vermek adına yönetmelik ve tebliğ taslakları iletmiştir. Yapılan geri bildirimler neticesinde taslak mevzuatın şekillendirildiği bilinmekte ancak henüz yürürlüğe girmediği için mevcut mevzuat hükümleri üzerinden iş ve işlemlere devam edilmektedir. Yakın zamanda Resmî Gazete’de yayımlanması ve yürürlüğe girmesi beklenen taslak mevzuat ve mevcut mevzuatla ilgili detaylı değerlendirme ve bilgilendirme yapılacaktır.
III. BÖLÜM
ÖDEME KURULUŞLARININ DİĞER KANUNLAR KAPSAMINDAKİ YÜKÜMLÜLÜKLERİ NELERDİR?
A. 5549 SAYILI KANUN VE SAİR MEVZUAT KAPSAMINDA MASAK YÜKÜMLÜLÜĞÜ
Ödeme Kuruluşları, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında sayılan uyum programı oluşturması beklenen yükümlüler arasındadır. Uyum programı kapsamındaki risk yönetimi ile izleme ve kontrole ilişkin faaliyetler, yönetim kurulunun gözetim, denetim ve sorumluluğunda, uyum görevlisi ve uyum görevlisi yardımcısı tarafından yerine getirilir. Uyum programının bütününün, yükümlünün faaliyetlerinin kapsamı ve özelliklerine uygun bir biçimde, yeterli ve etkin bir şekilde yürütülmesinden, nihai olarak yönetim kurulu sorumludur. Bunlara ek olarak; uyum görevlisi atamak, uyum görevlisinin, uyum görevlisi yardımcısının ve uyum biriminin yetki ve sorumluluklarını açık bir şekilde ve yazılı olarak belirlemek, kurum politikalarını, yıllık eğitim programlarını ve gelişmelere göre bunlarda yapılacak değişiklikleri onaylamak, uyum programı kapsamında yürütülen risk yönetimi, izleme ve kontrol ile iç denetim faaliyetlerinin sonuçlarını değerlendirmek, tespit edilen hata ve eksikliklerin zamanında giderilmesi için gerekli tedbirleri almak ve uyum programı kapsamındaki tüm faaliyetlerin etkin bir şekilde ve koordinasyon içerisinde yürütülmesini sağlamakla yetkili ve sorumludur. Yönetim kurulu, yetkilerinin bir kısmını veya tamamını, bir veya birden fazla yönetim kurulu üyesine (açık bir şekilde ve yazılı olarak) devredebilir.
Söz konusu yetki devrinin yapılması, yönetim kurulunun bu konudaki sorumluluğunu ortadan kaldırmaz. Suç gelirlerinin aklanması ve terörün finansmanının önlenmesi için, 5549 sayılı kanun ve kanun uyarınca çıkarılan yönetmelik ve tebliğlere gerekli uyumun sağlanması amacıyla risk temelli bir yaklaşımla oluşturulacak olan uyum programı aşağıdaki tedbirleri içerir:
1. Kurum Politikası Ve Prosedürlerinin Oluşturulması
Yükümlüler, uyum programı kapsamında, işletme büyüklüklerini, iş hacimlerini ve gerçekleştirdikleri işlemlerin niteliğini gözeterek, bir kurum politikası oluştururlar. Kurum politikası asgari düzeyde; risk yönetimi, izleme ve kontrol, eğitim ve iç denetime ilişkin politikaları içerir. Kurum politikasının amacı; yükümlünün, suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesine ilişkin yükümlülüklere uyumunu sağlamaya ve müşterilerinin, işlemlerinin ve hizmetlerinin risk temelli bir yaklaşımla değerlendirilerek, maruz kalabileceği riskin azaltılmasına yönelik stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kurum çalışanlarının bu konularda bilinçlendirilmesidir. Kurum politikası kapsamında belirlenen tüm önlem ve işleyiş kurallarından kimlerin sorumlu olduğu, belirli risk limitlerine göre işlemlerin onaylanması, gerçekleştirilmesi, raporlanması ve izlenmesinden kimlerin veya hangi birimlerin sorumlu olacağı gibi hususlar açık şekilde prosedüre bağlanır. Prosedürlerin belirlenmesinde, yükümlünün işlemlerinin ve iş akışlarının risklere göre izlenmesi, kontrol edilmesi ve denetlenmesinde görev alacak personelin, aynı zamanda bu işlemleri gerçekleştiren personel olmamasını sağlayacak şekilde görev ve yetkilendirme yapılır. Kurum politikasına ilişkin taahhüt formları yönetim kurulu veya yetkisini devrettiği yönetim kurulu üye veya üyeleri tarafından imzalanarak, kurum politikasının onay tarihinden itibaren otuz gün içinde Başkanlığa gönderilir.
2. Risk Yönetimi Faaliyetlerinin Yürütülmesi
Yükümlüler, kurum politikası kapsamında, işletme büyüklüklerini, iş hacimlerini ve gerçekleştirdikleri işlemlerin niteliğini gözeterek risk yönetim politikası oluştururlar. Risk yönetim politikasının amacı; yükümlünün maruz kalabileceği risklerin tanımlanması, derecelendirilmesi, izlenmesi, değerlendirilmesi ve azaltılmasını sağlamaktır. Risk yönetimine ilişkin faaliyetler asgari düzeyde;
a) Müşteri riski, hizmet riski ve ülke riskini esas alan risk tanımlama, derecelendirme, sınıflandırma ve değerlendirme yöntemlerinin geliştirilmesi,
b) Hizmetlerin, işlemlerin ve müşterilerin risklere göre derecelendirilmesi ve sınıflandırılması,
c) Riskli müşteri, işlem veya hizmetlerin izlenmesinin ve kontrol edilmesinin sağlanması; ilgili birimleri uyaracak şekilde rapor edilmesi, işlemin üst makamın onayı ile gerçekleştirilmesi ve gerektiğinde denetlenmesi için uygun işleyiş ve kontrol kurallarının geliştirilmesi,
ç) Risk tanımlama ve değerlendirme yöntemlerinin, risk derecelendirmesi ve sınıflandırma yöntemlerinin, örnek olaylar ya da gerçekleşen işlemler üzerinden geriye dönük olarak tutarlılıklarının ve etkinliklerinin sorgulanması, varılan sonuçlara ve gelişen koşullara göre yeniden değerlendirilmesi ve güncellenmesi,
d) Risk kapsamına giren konulara ilişkin ulusal mevzuat ve uluslararası kuruluşlarca getirilen tavsiye, ilke, standart ve rehberlerin takip edilerek gerekli geliştirme çalışmalarının yapılması,
e) Risk izleme ve değerlendirme sonuçlarının düzenli aralıklarla yönetim kuruluna raporlanması, faaliyetlerini kapsar.
Bunlara ek olarak yükümlüler; risk derecelendirmesi neticesinde yüksek riskli olarak belirledikleri gruplara yönelik olarak üstlenilecek riskin azaltılmasını teminen, tespit edilen riskle orantılı olarak; müşteri hakkında ilave bilgi edinmek ve müşteri ile gerçek faydalanıcının kimlik bilgilerini daha sık güncellemek, iş ilişkisinin mahiyeti hakkında ilave bilgi edinmek, işleme konu malvarlığının ve müşteriye ait fonların kaynağı hakkında mümkün olduğu ölçüde bilgi edinmek, işlemin amacı hakkında bilgi edinmek, iş ilişkisine girilmesini, mevcut iş ilişkisinin sürdürülmesini ya da işlemin gerçekleştirilmesini üst seviyedeki görevlinin onayına bağlamak, uygulanan kontrollerin sayı ve sıklığını artırmak ve ilave kontrol gerektiren işlem türlerini belirlemek suretiyle iş ilişkisini sıkı gözetim altında tutmak, sürekli iş ilişkisi tesisinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluştan yapılmasını zorunlu tutmak gibi ilave tedbirler uygulayabilir.
3. İzleme Ve Kontrol Faaliyetlerinin Yürütülmesi
Yükümlüler, kurum politikası kapsamında, işletme büyüklüklerini, iş hacimlerini ve gerçekleştirdikleri işlemlerin niteliğini gözeterek, izleme ve kontrol faaliyetleri yürütürler. İzleme ve kontrolün amacı; yükümlülerin risklerden korunması ve faaliyetlerinin Kanuna ve Kanun uyarınca çıkarılan yönetmelik ve tebliğlerle, kurum politika ve prosedürlerine uygun olarak yürütülüp yürütülmediğinin sürekli olarak izlenmesi ve kontrol edilmesidir. İzleme ve kontrol faaliyetleri kapsamında; Kanun uyarınca getirilen yükümlülüklere uyumun sağlanmasıyla ilgili olarak yapılan kontroller neticesinde tespit edilen eksiklikler, gerekli tedbirlerin alınması için ilgili birimlere raporlanarak sonuçları takip edilir. İzleme ve kontrol faaliyetleri çerçevesinde yükümlüler, bu faaliyetleri yürütecek personelin kurum içi bilgi kaynaklarına ulaşmasını temin etmek zorundadır. İzleme ve kontrol faaliyetleri asgari düzeyde; yüksek risk grubundaki müşteri ve işlemlerin izlenmesi ve kontrolü, riskli ülkelerle gerçekleştirilen işlemlerin izlenmesi ve kontrolü, karmaşık ve olağandışı işlemlerin izlenmesi ve kontrolü, yükümlünün, risk politikasına göre belirleyeceği bir tutarın üzerindeki işlemlerin, müşteri profili ile uyumlu olup olmadığının örnekleme yöntemi ile kontrolü, birlikte ele alındıklarında, kimlik tespiti yapılmasını gerektiren tutarı aşan bağlantılı işlemlerin izlenmesi ve kontrolü, müşteriler hakkında elektronik ortamda yahut yazılı olarak muhafaza edilmesi gereken bilgi ve belgeler ile elektronik transfer mesajlarında yer verilmesi zorunlu bilgilerin kontrolü ve eksikliklerin tamamlatılması ve bunların güncellenmesi, müşteri tarafından yürütülen işlemin; müşterinin, işine, risk profiline ve fon kaynaklarına dair bilgiler ile uyumlu olup olmadığının iş ilişkisi süresince devamlı olarak izlenmesi, yüz yüze olmayan işlemler yapılmasını mümkün kılan sistemler kullanılarak gerçekleştirilen işlemlerin kontrolü, yeni sunulan ürünler ve teknolojik gelişmeler nedeniyle suistimale açık hale gelebilecek hizmetlerin risk odaklı kontrolü, faaliyetlerini kapsar.
4. Uyum Görevlisi Ve Uyum Görevlisi Yardımcısı Atanması Ve Uyum Birimi Oluşturulması
Yükümlüler, faaliyet izninin alınmasını müteakip otuz gün içinde uyum programının yürütülmesi amacıyla uyum görevlisi atarlar. Uyum görevlisi, yönetim kuruluna veya yönetim kurulunun yetkisini devrettiği bir veya birden fazla üyeye bağlı olacak şekilde, münhasıran kurum personeli olarak atanır. Uyum görevlisinin uhdesinde satış ve pazarlamayla ilgili olmamak şartıyla, uyum programının yürütülmesini aksatmayacak diğer görevler bulunabilir. Yükümlüler, uyum programının yürütülmesi amacıyla uyum görevlisi için aranan şartları ve nitelikleri taşıyan bir uyum görevlisi yardımcısı atarlar. Uyum görevlisi yardımcısı, uyum görevlisine bağlı olacak şekilde münhasıran kurum personeli olarak atanır. Uyum görevlisi yardımcısı, uyum görevlisiyle aynı süre ve usulde atanır. Uyum görevlisi ve uyum görevlisi yardımcısına ilişkin taahhüt formu yönetim kurulu veya yetkisini devrettiği yönetim kurulu üye veya üyeleri tarafından imzalanarak, atanma tarihinden itibaren en geç on gün içerisinde Mali Suçları Araştırma Kurulu Başkanlığı’na gönderilir. Uyum görevlisi, görev ve yetkilerinin bir kısmını veya tamamını, açık bir şekilde ve yazılı olarak uyum görevlisi yardımcısına devredebilir. Söz konusu görev ve yetki devrinin yapılması, uyum görevlisinin bu konudaki sorumluluğunu ortadan kaldırmaz. Uyum görevlisinin veya yardımcısının bu Yönetmelik ile aranan şartları kaybetmesi veya bu şartları haiz olmadığının sonradan anlaşılması veya görevinden ayrılması halinde, durum yükümlü tarafından ayrılış tarihinden itibaren on gün içinde Mali Suçları Araştırma Kurulu Başkanlığı’na yazılı olarak bildirilir. Uyum görevlisi ve uyum görevlisi yardımcısı olarak atanacak kişilerde;
a) T.C. vatandaşı olmak,
b) Kamu haklarından mahrum bulunmamak,
c) Taksirli suçlar hariç olmak üzere affa uğramış olsalar bile mülga 765 sayılı Türk Ceza Kanunu ve diğer kanunlar uyarınca ağır hapis veya beş yıldan fazla hapis, 5237 sayılı Türk Ceza Kanunu ve diğer kanunlar uyarınca üç yıldan fazla hapis cezasıyla cezalandırılmamış olmak veya mülga 3182 sayılı Bankalar Kanunu ve 4389 sayılı Bankalar Kanunu ile 5411 sayılı Bankacılık Kanununun ve 2499 sayılı Sermaye Piyasası Kanununun ve ödünç para verme işleri hakkında mevzuatın hapis cezası gerektiren hükümlerine muhalefet yahut mülga 765 sayılı Türk Ceza Kanunu, 5237 sayılı Türk Ceza Kanunu veya diğer kanunlar uyarınca basit veya nitelikli zimmet, zimmet, ihtilas, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, inancı kötüye kullanma, dolanlı iflas gibi yüz kızartıcı suçlar ile istimal ve istihlâk kaçakçılığı dışında kalan kaçakçılık suçları, resmî ihale ve alım satımlara fesat karıştırma veya Devletin şahsiyetine karşı işlenen suçlar ile Devlet sırlarını açığa vurma, Devletin egemenlik alametlerine ve organlarının saygınlığına karşı suçlar, Devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, milli savunmaya karşı suçlar, Devlet sırlarına karşı suçlar ve casusluk, yabancı devletlerle olan ilişkilere karşı suçlar, vergi kaçakçılığı, suçtan kaynaklanan malvarlığı değerlerini aklama ve terörün finansmanı suçlarından veya bu suçlara iştirakten hüküm giymemiş olmak,
ç) Türkiye'de (veya denkliği Yüksek Öğretim Kurulu'nca tanınmış yurt dışında) en az dört yıllık eğitim veren yüksek öğretim kurumlarından mezun olmak,
d) 4 üncü maddenin birinci fıkrasında sayılan finansal kuruluşlardan (Türkiye Cumhuriyet Merkez Bankası ile kalkınma ve yatırım bankaları dahil) herhangi birisi nezdinde idareci, uzman veya denetim görevlerinde veya Kanunun 2 nci maddesinin birinci fıkrasının (e) bendinde sayılan denetim elemanlığı görevlerinde ya da Başkanlık nezdinde idareci veya uzman görevlerinde en az beş yıl süreyle çalışmış olmak,
e) Yükümlü nezdinde veya yükümlünün iştiraklerinde nitelikli pay sahibi olmamak veya yönetiminde bulunmamak,
f) Yükümlünün nitelikli pay sahibi ortağının, yönetim kurulu üyelerinin veya genel müdürünün eşi veya ikinci dereceye kadar (bu derece dahil) kan veya sıhrî hısmı olmamak, şartları aranır.
5. Eğitim Faaliyetlerinin Yürütülmesi
Yükümlüler, suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla işletme büyüklüklerine, iş hacimlerine ve değişen koşullara uyumlu olacak şekilde eğitim faaliyetleri yürütmek zorundadır. Eğitim faaliyetleri uyum görevlisi gözetiminde ve koordinasyonunda yürütülür. Yükümlüler eğitim faaliyetlerini, belirli bir eğitim programı dâhilinde yürütürler. Eğitim programı uyum görevlisi tarafından ilgili birimlerin de katılımıyla hazırlanır. Eğitim programının etkin bir şekilde uygulanması uyum görevlisi tarafından gözetilir. Eğitim faaliyetleri, ölçme ve değerlendirme sonuçlarına göre ilgili birimlerin de katılımıyla gözden geçirilir ve ihtiyaca göre düzenli aralıklarla tekrarlanır. Yükümlüler, eğitim faaliyetlerinin kurum geneline yayılmasını temin edecek şekilde; seminer ve paneller düzenlenmesi, çalışma grupları oluşturulması, eğitim faaliyetlerinde görsel ve işitsel materyallerin kullanılması, internet, intranet veya extranet vb. üzerinden çalışan bilgisayar destekli eğitim programları gibi eğitim yöntemlerinden yararlanarak gerçekleştirebilirler. Yükümlüler tarafından personele verilecek eğitimler asgari düzeyde;
a) Suç gelirlerinin aklanması ve terörün finansmanı kavramları,
b) Suç gelirlerinin aklanmasının aşamaları, yöntemleri ve bu konuda örnek olay çalışmaları,
c) Suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi ile ilgili mevzuat,
ç) Risk alanları,
d) Kurum politikası ve prosedürleri,
e) Kanun ve ilgili mevzuat çerçevesinde;
- Müşterinin tanınmasına ilişkin esaslar,
-Şüpheli işlem bildirimine ilişkin esaslar,
-Muhafaza ve ibraz yükümlülüğü,
-Bilgi ve belge verme yükümlülüğü,
-Yükümlülüklere uyulmaması halinde uygulanacak müeyyideler,
f) Aklama ve terörün finansmanı ile mücadele alanında uluslararası düzenlemeler, konularını içerir. Yükümlüler uyguladıkları eğitim faaliyetlerine ilişkin; eğitim tarihleri, eğitim verilen bölge veya iller, eğitim yöntemi, toplam eğitim saati, eğitim verilen personelin sayısı ve toplam personel sayısına oranı, eğitim verilen personelin birim ve unvanlarına göre dağılımı, eğitimin içeriği, eğiticilerin unvanı ve uzmanlık alanları ile ilgili bilgi ve istatistikleri, takip eden yılın mart ayının sonuna kadar uyum görevlisi vasıtasıyla Başkanlığa bildirirler.
6. İç Denetim Faaliyetlerinin Yürütülmesi
İç denetimin amacı, uyum programının bütününün etkinliği ve yeterliği hususunda yönetim kuruluna güvence sağlamaktır. Yükümlüler, kurum politika ve prosedürlerinin, risk yönetimi, izleme ve kontrol faaliyetleri ile eğitim faaliyetlerinin yeterli ve verimli olup olmadığı, yükümlünün risk politikasının yeterliği ve etkinliği, işlemlerin Kanun ve Kanun uyarınca çıkarılan yönetmelik ve tebliğler ile kurum politika ve prosedürlerine uygun olarak yürütülüp yürütülmediği hususlarının yıllık olarak ve risk temelli bir yaklaşımla incelenmesini ve denetlenmesini sağlarlar. İç denetim neticesinde ortaya çıkarılan eksiklik, hata ve suistimaller ile bunların yeniden ortaya çıkmasının önlenmesine yönelik görüş ve öneriler yönetim kuruluna raporlanır. Denetimin kapsamı belirlenirken, izleme ve kontrol çalışmalarında tespit edilen aksaklıklar ve risk içeren müşteriler, hizmetler ve işlemler denetim kapsamına dahil edilir. Denetlenecek birimler ile işlemler belirlenirken yükümlünün işletme büyüklüğü ve işlem hacmi göz önünde bulundurulur. Bu kapsamda, yükümlü tarafından gerçekleştirilen işlemlerin tamamını temsil edebilecek nicelik ve nitelikte birim ve işlemin denetlenmesi sağlanır. İç denetim faaliyeti kapsamında gerçekleştirilen çalışmalara ilişkin olarak; yükümlünün yıllık işlem hacmi, toplam personel sayısı ve toplam şube, acente ve benzeri bağlı birimlerinin sayısı, denetlenen şube, acente ve benzeri birimlerin sayısı, bu birimlerde yapılan denetimlerin tarihleri, toplam denetim süresi, denetimde çalıştırılan personel ve denetlenen işlem sayısına ilişkin bilgileri içeren istatistikler, takip eden yılın mart ayı sonuna kadar uyum görevlisi tarafından Mali Suçları Araştırma Kurulu Başkanlığı’na bildirilir.
B. 6698 SAYILI KANUN VE SAİR MEVZUAT KAPSAMINDA KVKK YÜKÜMLÜLÜĞÜ
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda Ödeme Kuruluşu olarak müşterilerin, potansiyel müşterilerin, personel adaylarının, personellerin, tedarikçilerin, temsilci ve üye işyerlerinin, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerin, iş birliği içinde olduğu kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermek ve tedbirleri almak ise yükümlülük haline gelmiştir. Yükümlülüklerden bahsetmeden önce veri sorumlusunun kim olduğuna değinmekte fayda var. Veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda geçen tanıma göre; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Ödeme Kuruluşu, tüzel kişiliği kapsamında kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Peki veri sorumlusunun yükümlülükleri nelerdir?
1. Aydınlatma Yükümlülüğü
6698 sayılı kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla; veri sorumlusunun ve varsa temsilcisinin kimliği, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kanunun 11. maddesinde sayılan diğer hakları ilgili kişiye sağlamakla yükümlüdür. Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı değildir. Başka bir deyişle, ilgili kişinin açık rızasının ya da kanundaki diğer kişisel verileri işleme şartlarının bulunması durumunda da veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır ve aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
2. Veri Güvenliğine İlişkin Yükümlülükler
6698 sayılı kanunun 12. maddesinin 1. fıkrası ‘’Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.’’ hükmünü amirdir. Bu bağlamda; veri sorumlusu gerek teknik gerekse de idari tedbirler almak zorundadır. İdari tedbirlere kısaca değinecek olursak; kişisel verilerin korunması kapsamında mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmalarının düzenlenmesi, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunca azaltılması ve veri işleyenler ile ilişkilerin yönetimi, veri toplanan kanalların belirlenmesi, verilerin hukuka uygun işlenip işlenmediğinin belirlenmesi, kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel deprem vb.) karşı güvenliğinin sağlanması, veri imha ve saklama yasal süreçlerinin belirlenmesi, resen veya talep üzerine veri silme süreçlerinin işletilmesini örnek verebiliriz. Teknik tedbirlere kısaca değinecek olursak; çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri yapılması, ağ güvenliği ve uygulama güvenliği sağlanması, ağ yoluyla kişisel veri aktarımlarında kapalı sistem kullanılması, anahtar yönetimi uygulanması, bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınması, çalışanlar için yetki matrisi oluşturulması, erişim loglarının düzenli olarak tutulması, güncel anti-virüs sistemlerinin kullanılması, görev değişikliği olan ya da işten ayrılan çalışanların erişim yetkilerinin kaldırılması, log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulması, kişisel veri güvenliği sorunlarının hızlı bir şekilde raporlanması, penetrasyon (Sızma Testi) zafiyet tarama hizmetleri, veri maskeleme, veri tabanı şifreleme, anahtar yönetimi, veri sızıntısı tespit ve engelleme, güvenli dosya paylaşım uygulamaları, şifreleme (Disk ve USB, CD), firewall/WAF, kaynak kod güvenliği, antivirüs (zararlı yazılımdan korunma) güvenlik duvarları kullanılması vb. tedbirleri sıralayabiliriz.
3. Veri Sorumluları Siciline Kayıt Yükümlülüğü
VERBİS veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kişisel Verileri Koruma Kurulu’nun gözetiminde Kişisel Verileri Koruma Kurulu Başkanlığı tarafından tutulan Veri Sorumluları Siciline kaydolmaları zorunludur. Veri Sorumluları Sicili, Kanun kapsamında kamuya açık olarak tutulmak zorundadır. Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir.
4. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplandırılması Yükümlülüğü
İlgili kişiler (kişisel verileri işlenen gerçek kişiler) yazılı veya Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan başkaca yöntemlerle veri sorumlusuna kanunun uygulanması ile ilgili taleplerini iletebilir. Veri sorumluları bu talepleri niteliklerine göre en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak sonuçlandırmak zorundadır. Ancak, taleplerle ilgili işlemlerin ayrıca bir maliyet gerektirmesi durumunda veri sorumlusu yine Kişisel Verileri Koruma Kurulu’nun belirleyeceği tarifedeki ücretleri ilgili kişiden talep edebilir. ‘’Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’’ de başvuru hakları, şartları ve ücret tarifesine dair ayrıntılı bilgiler bulunmaktadır. Veri sorumlusu, ilgili kişinin talebini kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.
5. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verileri Koruma Kurulu şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.
6. Veri İhlali Bildirim Yükümlülüğü
24 Ocak 2019 tarihli ve 2019/19 sayılı kararında Kişisel Verileri Koruma Kurulu veri ihlali durumlarında uygulanacak kurallar ve izlenecek prosedürleri açıklamıştır. Bu bağlamda, veri sorumluları ilgili veri ihlalinden haberdar olur olmaz mümkün olan en kısa sürede Kişisel Verileri Koruma Kurulu’ na ve ilgili veri sahibine bilgi vermek zorundadır. Kurul, ihlal bildirimlerinin zamanlamalarını belirlemek açısından “mümkün olan en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına ve bunlara ek olarak veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına karar vermiştir. Kişisel Verilerin Korunması Kanunu ayrıca veri sorumlularının, maruz kalınan risk düşük olsun veya olmasın veri ihlalinden etkilenen veri sahiplerini tespit eder etmez veri sahiplerine bildirimde bulunmalarını gerekli kılmaktadır. Ve yine kurul kararı veri sorumlularının önceden veri ihlallerine hazırlıklı olmaları için bir yol haritası çizmelerini, kurum içi raporlama mekanizmaları ile izlenecek prosedürleri önceden netleştirmelerini gerekli kılmaktadır. Veri sorumluları, veri ihlalleri ile alınan tedbirlerin kayıtlarını tutmakla yükümlüdürler.
7. Envanter, Politika, Prosedür, Açık Rıza Metinleri Hazırlama Yükümlülüğü
28/10/2017 tarihli ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi 1. fıkrası ‘’6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi gereğince Veri Sorumluları Sicili’ ne kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel verileri saklama ve imha politikası hazırlamakla yükümlüdür.’’ Hükmünü amirdir. Bu bağlamda; öncelikle veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri hazırlamaları ve Kişisel Verileri Koruma Kanunu kapsamındaki uyum süreçlerini gerçekleştirmelerindeki yol haritası niteliğinde olan envantere bağlı olarak şirket politika ve prosedürlerini hazırlama yükümlülükleri bulunmaktadır. Aydınlatma yükümlülüğü kapsamında hazırlanan aydınlatma metinlerinin yanı sıra özel nitelikli veriler için işleme ve aktarma şartları açıkça belirtilerek açık rıza metinleri oluşturulmalı ve şirket nezdinde imzalanan sözleşmelerin veri güvenliği hükümleri içermelerine dikkat edilmelidir.
Son olarak, mezkûr mevzuat hükümleri saklı kalmak kaydıyla, Türkiye Cumhuriyet Merkez Bankası Aralık 2020’de TÖDEB (Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği) vasıtası ile halihazırda faaliyetine devam etmekte olan kuruluşlara fikir alışverişinde bulunmak ve geri bildirimler ile yapılacak düzenlemelere yön vermek adına yönetmelik ve tebliğ taslakları iletmiştir. Yapılan geri bildirimler neticesinde taslak mevzuatın şekillendirildiği bilinmekte ancak henüz yürürlüğe girmediği için mevcut mevzuat hükümleri üzerinden iş ve işlemlere devam edilmektedir. Yakın zamanda Resmî Gazete’de yayımlanması ve yürürlüğe girmesi beklenen taslak mevzuat ve mevcut mevzuatla ilgili detaylı değerlendirme ve bilgilendirme yapılacaktır.