Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) 25 Aralık 2018’de resmi sitesinde Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) yayınladı.
İlgili yönetmelikte ilgi çekici üç husus bulunuyordu; sırasıyla inceleyelim.
Öncelikle siber güvenlik konusu yıllardır odağımızda olmasına rağmen bu kez eğitimler zorunlu hale geldi; siber güvenlik ile ilgili firmaların bir temsilci atanması gerektiği düzenleme altına alındı. Bu da banka sektörünün siber güvenlik anlamında yatırımlarına bir kalem daha eklemesi olarak yorumlandı.
Ancak pratiğe bakıldığında bankalar bunu zaten yapıyordu; yalnızca artık iş sağlığı ve güvenliği ya da kişisel verilerin korunması gibi belirli periyotlarda çalışanlara uyarıcı ya da bilgilendirici mailler de iletilmesi gerekecek. Tabi bunu yapanlar da mevcuttu.
Tüm bunlara ek olarak siber güvenliği desteklemek adına bankaların sızma testi gerçekleştirmesi; bir takım teknik tedbirleri özellikle kriptoloji anlamında alması da hüküm altına alınmış oldu. Sevindirici olan ilgili Taslak Yönetmelik bilfiil Kişisel Verilerin Korunması Korunması Kanunu (KVKK) ve ikincil mevzuatı BDDK’nın ne kadar desteklediğini gösterir şekilde kaleme alınmış olması.
İkinci mühim konu ise açık bankacılık. Herkesin bildiği ve bu aralar sıklıkla duyduğu açık bankacılık Taslak Yönetmelikte de tanımlandığı üzere “müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, FTP gibi yöntemlerle bankanın sunduğu bir takım finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanallarını” ifade etmektedir.
Biraz bu sistemi inceleyecek olursak başta İngiltere olmak üzere pek çok ülke tarafından gerek efor azaltması ve gelir sağlanmasına destek olması gerek ise şeffaf bir şekilde işlemesi sebebi ile desteklenmektedir. Hatta Avrupa’da bu sayede yalnızca dijital şekilde faaliyet gösteren banka örnekleri bile mevcuttur.
Avrupa Birliği’nin ikinci nesil diye addedilen ödeme sistemleri düzenlemesini getirmesi ile ( Payment System Directive Two “PSD2”) 2000 yıllardan beni değişim içerisinde olan bankacılıkta dijitalleşme en üst seviyeye taşınmış oldu. PSD2’ya göre de açık bankacılık ekosistemi veri paylaşımı temelli olması gerekçesi ile müşterinin açık rızasını aramaktadır.
VERİ PAYLAŞIMI ANCAK MÜŞTERİ RIZASI İLE MÜMKÜN
Taslak yönetmelik incelendiğinde de aynı ön şart göze çarpmaktadır. Yine KVKK ile paralel kaleme alınmış maddelerden biri olarak açık bankacılık faaliyetleri için veri paylaşımının söz konusu olacağı noktada müşterinin açık rızası mevcut değil ise bu paylaşımın yapılamayacağı düzenlenmiştir; hatta açık rızanın müşteriye sunulacak hizmetlere ön şart olarak düzenlenemeyeceğinin ilgili Taslak Yönetmenlik ile altı çizilmiştir.
Tüm bunların yanı sıra, bankaların API’ler vasıtası ile müşterilere açık bankacılık hizmeti sunabilecek olmasına dair bir düzenleme getirilmiş oldu. Bu husus Fintech şirketleri için 2019 hediyesi mahiyetindedir. Ancak önemle hatırlatmak isterim ki Taslak Yönetmelik Resmi Gazete ’de henüz yayınlanmadığı için yürürlükte bulunmamaktadır.
BULUT BİLİŞİMİN ÖNÜ AÇILDI
Üçüncü mühim konu Taslak Yönetmelik ile banka sektörünün de belirli şartlar çerçevesinde bulut bilişim sistemi kullanmasının önün açılmış olmasıdır. Bir başka deyişle ilgili Taslak Yönetmelik ile bir güzel haber de bulut bilişim hizmeti sunan şirketlere geldi.
Bankalar bir dış hizmet olarak bulut bilişim hizmetlerinden ancak birincil veya ikincil sistemler kapsamına giren bir hizmetin bulut bilişim yöntemiyle alınması, bu dış hizmetin sadece bankalara hizmet vermek üzere tesis edilmiş ve bankaların tabi olduğu mevzuat hükümlerine uygun olan ülke sınırları içerisinde yer alan bulut hizmet modelleriyle alması halinde yararlanabilecektir.
Ancak ana bankacılık uygulaması, kredi ve kredi kartı uygulamaları ile ödeme hizmeti gibi faaliyet konularında topluluk bulutu hizmet modeliyle dış hizmet alınabilmesini Bankacılık Kanunu müşteri sırrı prensibi gerekçesi ile BDDK iznine tabi olacaktır.
Bu iznin kişisel veri transferi içermesi gerekçesi Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından da değerlendirilmesi gerektiği düşüncesindeyim; ancak BDDK bunun bir gereksinim olduğuna kanaat getiri ise bu noktada Kurul da veri setini inceleyerek amaç dışında veri aktarımı olup olmadığını tespit edebilir. Böylelikle ile veri küçültmesi yapılarak bankanın daha sınırlı bir veri desenini paylaşması, bir başka deyişle daha az risk alıyor olması da sağlanabilir.
TASLAK YÖNETMELİK: BANKALARIN DİJİTALLEŞMESİNDE GÜZEL BİR ADIM
Son olarak ise, Taslak Yönetmelik’e rağmen başta da söylemiş olduğum gibi bulut kullanımı için belirli bir çerçeve olması gerekçesi ile yurtdışı paylaşımları bir başka deyiş ile yurtdışı bulut kullanımı yolunun açık olduğunu söylemek mümkün olmayacaktır. Bankacılık Kanunu müşteri sırrı, Taslak Yönetmelikte de yer alan hassas veri kategorisi ile veri mahremiyeti düzenlemeleri ve KVKK nedeni ile yurt dışı aktarımı hususunda KVKK’da düzenlenmiş olan herhangi bir yasal dayanak mevcut değil ise açık rıza aranacaktır.
Ek olarak, müşterinin açık rızası alınmış olsa dahi müşteri bilgilerinin yurt dışıyla paylaşılması veya yurt dışına aktarılması hususunda BDDK izni ön şart olarak düzenlenmektedir. Bunu ikili bir koruma olarak yorumlamak mümkündür; zira KVKK izni olsa dahi ki çoğu zaman bu izinler doğru kaleme alınmadığı için aktarılan veri seti ile karşılaştırıldığında örtüşmeyen açıkta kalan hususlar mevcut olabiliyor. BDDK’nın tekrar denetliyor olması müşterilerin veri sağlığı bakımından önem arz edecektir. Yurt dışında kurulu bankalar ise ödeme veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu bankacılık işlemleri için BDDK izni aranmaksızın KVKK şartlarını sağlaması halinde paylaşım gerçekleştirebileceklerdir.
İlgili Taslak Yönetmelik’in bankaların dijitalleşmesi adına güzel bir adım olduğunu söylemek mümkün olup ilgili dijitalleşme adımlarının MASAK tarafında da atılması beklenmektedir.
