Kişisel Verileri Koruma Kurumu (KVKK) ile Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği (TÖDEB) tarafından hazırlanan “Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi” kamuoyuyla paylaşıldı. İki yıl süren kapsamlı bir çalışma sürecinin ardından yayımlanan rehber, sektöre dair veri işleme sorumluluklarını, uyum yükümlülüklerini ve yeni kavramları detaylı biçimde ele alıyor.

Rehber, özellikle finteklerin uç kullanıcıya sunduğu hizmetleri yani dijital cüzdan, POS, havale, mobil ödeme ve fatura aracılığı gibi süreçleri odak noktasına alırken, temsilci ve dış hizmet sağlayıcılar gibi paydaş ilişkilerini de KVK perspektifinden değerlendiriyor. Ancak ödeme sistemleri ve kart şemaları gibi daha arka planda kalan süreçler kapsam dışında bırakılmış durumda. Bu yönüyle rehber, Avrupa Birliği uygulamalarında görülen “ortak veri sorumluluğu” yaklaşımına göre daha sınırlı bir kapsama sahip.

Finteklerin en fazla soru işaretiyle karşılaştığı POS hizmetlerinde veri sorumluluğu konusu ise rehberde açık biçimde tanımlanmış. Kart hamili verilerinin işlenmesi sürecinde fintekler “veri sorumlusu” olarak değerlendiriliyor. Bu tanımlama, sadece üye işyerlerini değil, POS hizmeti alan tüm işletmeleri kişisel veri işleme yükümlülükleri açısından doğrudan sorumlu kılıyor. Rehber, bu yükümlülüklere dair bazı yönlendirici açıklamalar sunsa da, aydınlatma yükümlülüğü gibi bazı alanlarda hâlen pratik uygulama belirsizlikleri bulunuyor.

Yurt dışına veri aktarımı hususunda ise rehber net bir çerçeve sunuyor. Buna göre, bankalara tanınan özel düzenleme istisnası fintek kuruluşları için geçerli olmayacak. Dolayısıyla bu alanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesi çerçevesinde genel hükümlere tabi olacaklar. Aynı zamanda rehber, 6493 sayılı Kanun ile KVK mevzuatındaki idari ve teknik tedbirlerin birbiriyle eşleştirilmesini sağlayarak, kurumların uyum süreçlerini daha yönetilebilir hale getiriyor.

Sonuç olarak, rehber; sektörde faaliyet gösteren tüm kuruluşların mevcut kişisel veri koruma uyumluluğunu değerlendirmeleri ve boşluk analizi yapmaları için önemli bir dayanak teşkil ediyor. Özellikle veri sorumlusu-veri işleyen ayrımının netleştirilmesi, sektörde uzun süredir tartışılan sorulara açıklık getirmiş görünüyor. Açık bankacılık gibi henüz somut iş modellerinin oluşmadığı alanlar ise gelecekte ek düzenlemelere konu olabilir.