Anasayfa/ Makale/ Dijital Bankacılıkta Dış Hizmet Alımı ve Hukuki Boyutu

Dijital Bankacılıkta Dış Hizmet Alımı ve Hukuki Boyutu

Dijital bankacılıkta dış hizmet alımı ve veri aktarımı, bankaların hukuki ve teknik sorumlulukları çerçevesinde titizlikle yönetilmelidir. Bu süreçte ISO 27001 sertifikası, yerelleşme şartları ve güvenlik standartları gibi kritik yükümlülükler öne çıkmakta olup, bankaların denetim yetkisi ve veri gizliliğine dair sorumlulukları devredilemez.
search
6 dk okuma Yayınlanma: Güncelleme:

Dijital bankaların faaliyetlerini tamamen elektronik dağıtım kanalları üzerinden yürütmesi, yenilikçi yazılım ve donanım altyapılarına olan ihtiyacı artırmaktadır. Bu noktada bankaların dış hizmet alımı yoluyla alanında uzman kuruluşlardan destek alması, operasyonel verimliliği sağlarken birtakım yasal ve operasyonel riskleri de beraberinde getirmektedir. Dijital bankacılık ekosisteminde, dışarıdan temin edilen hizmetler sıradan bir tedarikçi ilişkisinin ötesinde değerlendirilmekte ve bankanın stratejik bir uzantısı olarak kabul edilmektedir. İlgili mevzuat uyarınca, bu tür hizmetlerin temini kritik bilgi sistemleri kapsamında ele alınmakta ve sıkı hukuki kurallara tabi tutulmaktadır. Hizmet alınan firmalara yapılacak veri aktarımları, hukuki sorumluluğun bankada kalması prensibiyle yürütülmek zorundadır. Bu bağlamda bankaların, teknolojik ihtiyaçlarını karşılarken müşteri verilerinin gizliliği ve finansal sistemin güvenliğini teminat altına alacak güçlü bir yönetişim ve kontrol mekanizması inşa etmeleri yasal bir zorunluluktur.

Dış Hizmet Alımında Temel Yükümlülükler ve Standartlar

Bankacılık mevzuatı uyarınca, elektronik bankacılık sistemlerine yönelik dış hizmet alımları, kritik bilgi sistemleri çerçevesinde değerlendirilmektedir. Bu kapsamda, dijital bankaların hizmet alacağı kuruluşların yetkinliği ve güvenilirliği hukuki şartlara bağlanmıştır. Özellikle mevzuatta yer alan kurallar gereği, dış hizmet sağlayacak kuruluşların ISO 27001 bilgi güvenliği sertifikasına sahip olması mutlak bir zorunluluktur. Bankalar, söz konusu hizmet alım süreçlerinde doğabilecek operasyonel, yasal ve itibari riskleri kapsamlı bir biçimde analiz etmekle yükümlüdür. Bu riskleri kontrol altında tutmak amacıyla etkin bir gözetim mekanizması kurulması şarttır. Daha da önemlisi, bankalar dış hizmet sağlayıcıları üzerinden yürüttükleri işlemlerden doğan yasal sorumluluklarını hiçbir surette devredemezler. İlgili denetim süreçleri, banka içerisinde yürütülen faaliyetlerle aynı titizlikte ele alınmalı ve hizmet sağlayan kuruluş da bankanın tabi olduğu sıkı denetim standartlarına uymalıdır.

Veri Aktarımı ve Gizliliğin Korunması

Banka verilerinin dış hizmet sağlayıcılara aktarılması süreci, veri bütünlüğü ve gizliliğinin korunması açısından son derece hassas yasal güvencelere bağlanmıştır. Veri aktarımı hususunda en temel kural, dış hizmet sağlayıcısının uyguladığı güvenlik ilke ve politikalarının, en az bankanın kendi benimsediği güvenlik seviyesine ulaşmasıdır. İlgili taraflar arasında akdedilecek sözleşmelerde, olası bir veri sızıntısı durumunda hizmet sağlayıcının bankaya derhal bildirimde bulunma yükümlülüğü açıkça düzenlenmelidir. Ayrıca, dış hizmet alımı sürecinin tamamlanması veya sona ermesi halinde, dış hizmet sağlayıcısında bulunan verilerin güvenli bir şekilde bankaya iadesi ve sağlayıcı sistemlerinden tamamen imhası yasal bir gerekliliktir. Bankalar, hizmet sağlayıcılarının veri tabanlarını kontrol etme ve bu sistemlere erişim sağlama gücünü daima kendi uhdelerinde bulundurmalıdır.

İç Kontrol Mekanizmaları ve İstisnai Durumlar

Dijital bankacılıkta dış hizmet alımlarının yasal sınırları belirlenirken, bankanın temel yönetim ve kontrol fonksiyonlarının devredilemezliği ilkesi esas alınmıştır. Bu bağlamda, dışarıdan temin edilecek hizmetlerin hukuki sınırları net bir biçimde çizilmelidir. Mevzuatımız, bankanın asli faaliyetlerine ilişkin birtakım kritik iç kontrol faaliyetlerinin hiçbir şekilde dış hizmet sağlayıcılara devredilemeyeceğini açıkça hüküm altına almıştır. Bankaların bizzat yerine getirmek zorunda olduğu devredilemez görevlere aşağıda yer verilmiştir:

  • Sistem yetkilendirme süreçlerinin oluşturulması ve yönetilmesi bizzat banka tarafından yapılmalıdır.
  • Elektronik bankacılık işlemlerine ait iz kayıtlarının incelenmesi ve detaylı değerlendirmesi bankanın kendi bünyesinde gerçekleştirilmelidir.
  • Banka, dış hizmet sağlayıcı firmanın sistemlerini her an denetleyebilecek doğrudan müdahale yetkisine sahip olmalıdır.

Belirtilen bu kısıtlamalar, sistem güvenliğinin ana omurgasının bizzat dijital bankanın kendi kontrolünde kalmasını sağlamaktadır. Bankaların bu tür stratejik faaliyetleri dış kaynaklara devretmemesi, finansal sistemin ve müşteri verilerinin korunmasındaki nihai yasal sorumluluklarıyla doğrudan bağlantılıdır. Dolayısıyla, dış hizmet sağlayıcılar yalnızca teknik bir altyapı desteği sunabilir; asli denetim ve karar alma mekanizmaları bankanın münhasır hukuki yetki alanında kalmaya devam etmelidir.

Üretim Yeri ve Yerelleşme Şartı

Dış hizmet sağlayıcılardan temin edilecek yazılım, donanım ve diğer teknolojik ürünlerin menşei ile müdahale kapasitesi, bankacılık mevzuatında özel olarak düzenlenmiş bir diğer önemli konudur. İlgili yasal düzenlemeler uyarınca, kritik bilgi sistemleri kapsamında dış hizmet sağlayıcılardan temin edilecek ürün ve hizmetlerin mümkün olan en üst düzeyde Türkiye’de üretilmesine özen gösterilmelidir. Aynı doğrultuda, dış hizmet sağlayan teknoloji üreticilerinin Ar-Ge merkezlerinin Türkiye’de konumlanması da aranan temel niteliklerden biri olarak öne çıkmaktadır. Bununla birlikte, muhtemel sistemsel aksaklıklara karşı hızlı reaksiyon alınabilmesi amacıyla, dış hizmet sağlayıcı ve üretici firmaların Türkiye sınırları içerisinde müdahale edebilecek teknik bir ekip bulundurması mutlak bir hukuki zorunluluktur. Yerelleşme politikası, olası güvenlik ihlallerinde ya da teknik arızalarda yurt dışı merkezli erişim sorunlarının önüne geçilmesini ve ulusal finansal güvenliğin tam anlamıyla sağlanmasını hedeflemektedir.

Dijital bankamın kullandığı başka bir uygulamada verilerim çalınırsa kimi suçlayacağım? expand_more
Bankalar, dışarıdan temin ettikleri hizmetlerde müşteri verilerinin gizliliğini korumakla yükümlüdür ve bu kapsamdaki yasal sorumluluklarını hiçbir surette devredemezler. Hizmet sağlayan kurumda bir veri sızıntısı yaşansa dahi, banka güçlü bir gözetim mekanizması kurmak ve riskleri yönetmek zorunda olduğundan hukuki muhatabınız yine bankanız olacaktır. Taraflar arasındaki yasal sözleşmeler gereği, olası bir sızıntı anında hizmet sağlayıcının bankaya derhal bildirim yapması kanuni bir gerekliliktir. Bu sayede müşteri, üçüncü taraf şirketlerle değil, doğrudan hizmeti aldığı banka ile yasal sürecini yürütebilir.
Bankam tüm teknik işlemlerini ve verilerimi taşeron bir firmaya tamamen devredebilir mi? expand_more
Hayır, bankaların temel yönetim ve kontrol fonksiyonlarını dış hizmet sağlayıcılara devretmesi mevzuatımızca kesinlikle yasaklanmıştır. Özellikle sistem yetkilendirme süreçleri, işlem iz kayıtlarının incelenmesi ve sistemlere doğrudan müdahale yetkisi bizzat bankanın uhdesinde kalmalıdır. Dış firmalar yalnızca teknik altyapı desteği sunabilir; karar alma ve asıl denetim mekanizmaları tamamen bankanın münhasır yasal yetki alanındadır. Finansal sistemin ve kişisel verilerinizin korunması amacıyla güvenliğin ana omurgası, doğrudan dijital bankanın kontrolünde tutulmak zorundadır.
Bankama hizmet veren teknoloji şirketleri güvenilir mi, bunu kim denetliyor? expand_more
Dijital bankalara hizmet sunan teknoloji firmaları sıradan tedarikçiler değil, "kritik bilgi sistemleri" kapsamında sıkı hukuki kurallara tabi kurumlardır. Mevzuat uyarınca bu hizmetleri sunacak şirketlerin en az ISO 27001 bilgi güvenliği sertifikasına sahip olması mutlak bir yasal zorunluluktur. Ayrıca, ilgili şirketlerin uyguladığı güvenlik ilkelerinin, en az bankanın kendi benimsediği güvenlik seviyesine ulaşması şart koşulmuştur. Tüm bu yetkinlik ve veri süreçleri doğrudan banka tarafından kendi iç faaliyetiymiş gibi aynı titizlikle denetlenmek zorundadır.
Banka teknoloji şirketiyle anlaşmasını bitirirse benim verilerim o şirkette mi kalacak? expand_more
Hayır, veri bütünlüğü ve gizliliğinin korunması yasal düzenlemelerimizle oldukça hassas güvencelere bağlanmıştır. Banka ile hizmet sağlayıcı arasındaki dış hizmet alımı süreci tamamlandığında veya sözleşme sona erdiğinde, firmada bulunan tüm müşteri verilerinin güvenli bir şekilde bankaya iade edilmesi zorunludur. Verilerin güvenli iadesinin ardından, bu veriler sağlayıcı firmanın sistemlerinden tamamen ve geri döndürülemez biçimde imha edilmelidir. Dolayısıyla kişisel verilerinizin sözleşme bitiminden sonra üçüncü taraf bir şirketin veri tabanında tutulması hukuken mümkün değildir.
Yabancı bir yazılım şirketi bankamın sistemlerini yurt dışından yönetebilir mi? expand_more
İlgili bankacılık mevzuatımız, ulusal finansal güvenliği sağlamak amacıyla teknoloji tedarikinde özel bir yerelleşme şartı aramaktadır. Dış hizmet sağlayıcılardan temin edilecek donanım ve yazılımların mümkün olan en üst düzeyde Türkiye'de üretilmesi, hatta Ar-Ge merkezlerinin ülkemizde konumlanması esastır. Herhangi bir sistem aksaklığına veya veri ihlaline karşı hızlı reaksiyon alınabilmesi için dış sağlayıcının Türkiye sınırları içerisinde müdahale yetkisine sahip teknik bir ekip bulundurması hukuki bir zorunluluktur. Bu bağlayıcı kurallar sayesinde, dışarıdan veya yurt dışından uzaktan yönetimin yaratacağı erişim sorunlarının önüne geçilmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir