Anasayfa/ Makale/ Açık Bankacılıkta Veri Hukuku ve Tüketicinin Korunması

Açık Bankacılıkta Veri Hukuku ve Tüketicinin Korunması

Açık bankacılık uygulamalarının yaygınlaşmasıyla birlikte finansal verilerin üçüncü taraflarla paylaşımı, veri mahremiyeti ve tüketici hakları bağlamında yeni hukuki boyutlar kazanmıştır. Bu makalede, açık bankacılıkta kişisel verilerin korunması, güçlü kimlik doğrulama mekanizmaları ve mesafeli sözleşmelerde tüketicinin korunması incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
DOLANDIRICILIK KVKK

Geleneksel bankacılık anlayışını kökten değiştiren açık bankacılık, finansal hizmetlerin sunumunda yeni bir dönemi başlatmıştır. Müşterilerin rızası doğrultusunda bankalarda tutulan finansal verilerin uygulama programlama arayüzleri (API) aracılığıyla üçüncü taraf sağlayıcıların erişimine açılması, paylaşım ekonomisinin en belirgin yansımalarından biridir. Bu yenilikçi sistem, tüketicilere finansal verilerini daha etkin yönetme ve yenilikçi hizmetlere ulaşma imkânı tanırken, beraberinde veri mahremiyeti ve tüketicinin korunması gibi kritik hukuki sorunları da getirmektedir. Finansal verilerin çok sayıda kuruluş arasında dolaşıma girmesi, kişisel verilerin korunması mevzuatına tam uyumu ve üst düzey siber güvenlik tedbirlerinin alınmasını zorunlu kılmaktadır. Hukuki açıdan bakıldığında, açık bankacılık ekosisteminde yer alan aktörlerin, hem Kişisel Verilerin Korunması Kanunu hem de Tüketicinin Korunması Hakkında Kanun çerçevesindeki yükümlülüklerini eksiksiz yerine getirmesi, sistemin güvenilirliği için hayati bir öneme sahiptir.

Açık Bankacılıkta Kişisel ve Hassas Verilerin Korunması

Açık bankacılık işlemlerinin temelinde yer alan veri paylaşımı, hukuki açıdan değerlendirildiğinde kişisel veriler, hassas müşteri verileri ve müşteri sırrı olmak üzere üç farklı boyutta incelenmelidir. Bu verilerin işlenmesi kural olarak Kişisel Verilerin Korunması Kanunu kapsamında veri sahibinin açık rızasına tabidir. Ödeme hizmeti sağlayıcılarının, hizmetlerini sunabilmesi için müşterilerin finansal verilerine erişmesi kaçınılmazdır. Ancak hukuki bir perspektifle, alınan bu rızanın belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir rıza olması şarttır. Öte yandan, ödeme emrinin verilmesinde ve müşteri kimliğinin doğrulanmasında kullanılan hassas müşteri verileri, yetkisiz işlemler gibi hileli faaliyetlerde kullanılabilecek nitelikte olduğundan daha sıkı güvenlik protokollerine tabidir. İlgili mevzuat uyarınca, üçüncü taraf sağlayıcılar bu hassas verilere yalnızca hizmetin gerektirdiği ölçüde erişebilir, bu verileri saklayamaz ve müşterinin açıkça talep ettiği hizmetin sunulması dışında başka hiçbir amaçla kullanamazlar.

Güvenli Veri Paylaşımı ve API Zorunluluğu

Finansal verilerin güvenli bir şekilde paylaşılabilmesi için ekran kazıma gibi riskli yöntemler yerine uygulama programlama arayüzlerinin (API) kullanımı zorunlu kılınmıştır. Ekran kazıma yöntemi, müşterinin kimlik doğrulama bilgilerinin paylaşılmasını gerektirdiği için güvenlik zafiyetlerine ve yetkisiz işlem risklerine yol açmaktadır. Türk hukuku uyarınca, üçüncü taraf sağlayıcılar ile hesap hizmeti sağlayıcıları arasındaki veri alışverişinin Bankalararası Kart Merkezi (BKM) API geçidi üzerinden yapılması hukuki bir yükümlülüktür. API'lerin kullanımı, insan müdahalesi olmaksızın şifrelenmiş protokoller üzerinden iletişimi sağlayarak veri ihlallerini asgari düzeye indirmekte ve veri yönetimi konusunda hem müşteriler hem de bankalar için hukuki güvenliği tahsis etmektedir.

Güçlü Kimlik Doğrulama Mekanizması

Açık bankacılık kapsamında işlem güvenliğinin sağlanması ve tüketicinin korunması amacıyla yasa koyucu tarafından güçlü kimlik doğrulama mekanizması ihdas edilmiştir. Bu mekanizma, ödeme işlemlerinde dolandırıcılık faaliyetlerini önlemek ve yetkisiz erişimleri engellemek için aşağıda sayılan üç temel bileşenden en az ikisinin birlikte kullanılmasını şart koşmaktadır:

  • Müşterinin bildiği bileşen niteliğindeki şifre, parola veya işlem doğrulama kodu
  • Müşterinin sahip olduğu bileşen niteliğindeki cep telefonu, akıllı cihaz veya ödeme kartı
  • Müşterinin biyometrik karakteristik özelliği olan parmak izi, yüz veya ses tanıma

İşlem anında bu doğrulama adımlarından birinin ele geçirilmesi, diğerinin güvenliğini tehlikeye atmayacak şekilde bağımsız tasarlanmalıdır. Hukuki uyuşmazlıklarda, güçlü kimlik doğrulamanın eksiksiz uygulanmış olması, ödeme hizmeti sağlayıcısının özen yükümlülüğünü yerine getirdiğinin ispatı açısından kritik bir delil teşkil eder. Nitekim yasal düzenlemeler, kimlik doğrulama süreçlerindeki veri ve güvenlik ihmallerinden doğacak zararlarda doğrudan finansal hizmet sağlayıcıyı sorumlu tutmaktadır.

Finansal Tüketicinin Mesafeli Sözleşmelerle Korunması

Açık bankacılık kuruluşlarının iş modelleri gereği müşterilerle kurdukları ilişkiler çoğunlukla elektronik ortamda yürütülmektedir. Bu durum, hukuki açıdan finansal hizmetlere ilişkin mesafeli sözleşmeler rejiminin uygulama alanı bulmasına neden olur. Tüketicinin Korunması Hakkında Kanun uyarınca, açık bankacılık hizmeti sunan kuruluşlar, sözleşme kurulmadan önce tüketiciyi sunulan hizmetin kapsamı, cayma hakkı ve olası riskler hakkında açık ve anlaşılır bir dille bilgilendirmek zorundadır. Bu ön bilgilendirme yükümlülüğü, ticari amaçla yapıldığı açıkça belli olacak şekilde ve en az on iki punto büyüklüğünde metinlerle tüketicinin dikkatine sunulmalıdır. Bilgilendirme yükümlülüğünün mevzuata uygun şekilde yerine getirildiğinin ispat yükü tamamen finansal hizmet sağlayıcısına aittir ve ilgili kayıtların yasal süreler boyunca güvenle saklanması gerekmektedir.

Cayma Hakkı ve Bilgilendirme Yükümlülüğü

Finansal tüketicinin korunmasındaki en güçlü hukuki mekanizmalardan biri olan cayma hakkı, açık bankacılık veri ve ödeme hizmetlerinde de titizlikle uygulanmaktadır. Tüketici, mesafeli sözleşmenin kurulduğu tarihten itibaren on dört gün içinde herhangi bir gerekçe göstermeksizin ve cezai şart ödemeksizin sözleşmeden dönme hakkına sahiptir. Hizmet sağlayıcılar, cayma hakkı bildirimi ulaştığı andan itibaren, tahsil ettikleri tüm bedelleri tüketiciye hiçbir masraf yansıtmadan derhal ve tek seferde iade etmekle yükümlüdür. Finansal dalgalanmalara bağlı olarak fiyatı anlık değişen hizmetler bu hakkın istisnasını oluştursa da standart açık bankacılık sözleşmelerinde tüketicinin bu hakkı mutlaktır. İşletmeler ile tüketiciler arasında adil bir hukuki zemin oluşturulabilmesi adına tüm bu şeffaflık ve koruma kurallarına mutlak uyum sağlanması yasal bir mecburiyettir.

Bankamın finansal bilgilerimi başka uygulamalarla paylaşmasına izin vermek zorunda mıyım? expand_more
Hayır, böyle bir zorunluluğunuz bulunmamaktadır. Kişisel Verilerin Korunması Kanunu kapsamında, finansal verilerinizin üçüncü taraf sağlayıcılarla paylaşılması kural olarak sizin açık rızanıza tabidir. Hukuken geçerli olabilmesi için alınan bu rızanın belirli bir konuya ilişkin, detaylı bilgilendirmeye dayanan ve özgür iradeyle açıklanmış olması şarttır. Ayrıca ödeme emrinin verilmesi gibi işlemler için kullanılan hassas verilerinize sadece hizmetin gerektirdiği ölçüde erişilebilir ve bu veriler sizin talep ettiğiniz hizmetin dışında hiçbir amaçla kullanılamaz.
Açık bankacılıkta şifrem veya telefonum çalınırsa param tehlikede mi? expand_more
Yasa koyucu, ödeme işlemlerinde dolandırıcılık faaliyetlerini ve yetkisiz erişimleri engellemek adına güçlü kimlik doğrulama mekanizmasını zorunlu kılmıştır. Bu güvenlik mekanizması; bildiğiniz bir şifre, sahip olduğunuz bir cep telefonu veya parmak izi gibi biyometrik özelliklerinizden en az ikisinin aynı anda kullanılmasını gerektirir. Bu doğrulama adımları birbirinden bağımsız olacak şekilde tasarlandığından, örneğin sadece şifrenizin ele geçirilmesi sistemin genel güvenliğini tehlikeye atmayacaktır. Bu kurallara uyulmaması halinde yaşanacak veri ve güvenlik ihmallerinden doğan zararlarda, yasal düzenlemeler doğrudan finansal hizmet sağlayıcıyı sorumlu tutmaktadır.
İnternetten aldığım finansal bir hizmetten vazgeçersem ceza öder miyim? expand_more
Tüketicinin Korunması Hakkında Kanun'un size sağladığı güçlü koruma mekanizmaları sayesinde standart açık bankacılık sözleşmelerinden vazgeçtiğinizde ceza ödemezsiniz. Mesafeli sözleşmenin kurulduğu tarihten itibaren on dört gün içinde herhangi bir gerekçe göstermeksizin ve hiçbir cezai şart ödemeksizin cayma hakkınızı kullanabilirsiniz. Cayma bildiriminiz hizmet sağlayıcıya ulaştığı andan itibaren, karşı taraf tahsil ettiği tüm bedelleri size hiçbir masraf yansıtmadan derhal ve tek seferde iade etmekle hukuken yükümlüdür. Yalnızca fiyatı finansal piyasalardaki anlık dalgalanmalara bağlı olarak değişen özel hizmetler bu mutlak hakkın istisnasını oluşturur.
Sözleşmedeki küçük yazıları okuyamadım, banka beni uyarmak zorunda değil mi? expand_more
Evet, bankaların ve açık bankacılık hizmeti sunan kuruluşların sözleşme kurulmadan önce tüketiciyi aydınlatmak konusunda çok sıkı yasal yükümlülükleri vardır. Tüketicinin Korunması Hakkında Kanun uyarınca; sunulan hizmetin kapsamı, olası riskler ve cayma hakkınız hakkında açık ve anlaşılır bir dille ön bilgilendirme yapılması zorunludur. Tüketiciyi korumak amacıyla bu ön bilgilendirme metinlerinin ticari amaç taşıdığı açıkça belli olacak şekilde ve en az on iki punto büyüklüğünde yazılması kanuni bir gerekliliktir. Tüm bu şeffaflık kurallarına ve bilgilendirme yükümlülüğüne eksiksiz uyulduğunun ispat yükü ise tamamen finansal hizmet sağlayıcısının omuzlarındadır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir