Ödeme ve elektronik para sektöründe kişisel veri işleme faaliyetlerinin önemli bir kısmı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde düzenlenen hukuki işleme şartlarından özellikle bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olma (m.5/2-c) ile veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma (m.5/2-ç) sebeplerine dayanmaktadır.
Ancak uygulamada dikkat edilmesi gereken husus, sektörün tamamına uygulanabilecek tek bir hukuki dayanak bulunduğunun varsayılmamasıdır. Aynı kurum bünyesinde yürütülen farklı veri işleme faaliyetleri, farklı hukuki sebeplere dayanabilmektedir.
Örneğin ödeme hizmetinin sunulması kapsamında gerçekleştirilen bazı işlemler çerçeve sözleşmenin kurulması veya ifası kapsamında değerlendirilebilirken, müşteri tanıma yükümlülükleri, işlem izleme faaliyetleri veya belirli raporlama süreçleri bakımından ilgili veri işleme faaliyetinin dayanağı kanundan kaynaklanan yükümlülükler olabilmektedir.
Bu nedenle hukuki dayanak değerlendirmesinin ürün bazında, süreç bazında ve hatta bazı durumlarda işlem bazında yapılması gerekebilir.
Özellikle ödeme kuruluşlarının tabi olduğu yoğun düzenleyici yapı dikkate alındığında, hukuki dayanak analizinin bir defaya mahsus gerçekleştirilen bir çalışma olarak görülmesi önemli riskler doğurabilir. Zira MASAK mevzuatı başta olmak üzere sektörü etkileyen düzenlemelerde meydana gelen değişiklikler, veri işleme faaliyetlerinin kapsamını ve buna bağlı olarak hukuki gerekçelendirmesini de etkileyebilmektedir. Nitekim bugün hukuki yükümlülüğün yerine getirilmesi kapsamında değerlendirilen bir işleme faaliyetinin kapsamı, yarın değişen bir düzenleme nedeniyle yeniden analiz edilmek durumunda kalabilir.
Örneğin MASAK düzenlemelerinde yapılan değişiklikler sonrasında, 25.03.2025 tarihine kadar basitleştirilmiş tedbirler kapsamında işlenen veriler bakımından farklı bir hukuki değerlendirme söz konusu olabilirken, bu tarihten sonra Tedbirler Yönetmeliği ve MASAK Tebliğleri kapsamında gerçekleştirilen kimlik tespiti faaliyetleri açısından hukuki yükümlülük şartına dayanılması gündeme gelebilmektedir. Bu örnek dahi, veri işleme envanterlerinin, hukuki dayanak analizlerinin ve aydınlatma metinlerinin düzenli olarak gözden geçirilmesinin neden gerekli olduğunu göstermektedir.
Bunun yanında, hukuki dayanağın doğru belirlenmiş olması tek başına yeterli olmayabilir. Veri işleme faaliyetinin hangi hukuki sebebe dayandığı kadar, bu sebebin ilgili kişiye nasıl açıklandığı da önem taşımaktadır. Bir aydınlatma metninin hangi aşamada sunulduğu, ilgili kişinin erişimine nasıl açıldığı, aydınlatmanın kim tarafından gerçekleştirildiği ve süreçle ne ölçüde uyumlu olduğu da değerlendirilmesi gereken başlıklardandır. Teorik olarak doğru bir hukuki sebep seçilmiş olsa dahi, bunun aydınlatma yükümlülüğüne eksik veya hatalı yansıtılması farklı uyum riskleri yaratabilir.
Ayrıca açık rızanın da her durumda başvurulacak varsayılan bir hukuki sebep olarak değerlendirilmemesi gerekir. Kişisel veri işleme faaliyetinin KVKK’da öngörülen diğer işleme şartlarından birine dayanılarak yürütülmesi mümkünken ayrıca açık rıza alınmasının, hem hukuki nitelendirme hem de uyum yaklaşımı bakımından dikkatle değerlendirilmesi gereken sonuçları bulunmaktadır.
Esasen tüm bu hususlar, meselenin yalnızca görünen küçük bir kısmını oluşturmaktadır. Veri sorumlusu-veri işleyen rollerinin doğru belirlenmesinden, hukuki dayanakların güncel mevzuat karşısında yeniden değerlendirilmesine; aydınlatma süreçlerinin tasarımından, operasyonel uygulamaların denetlenmesine kadar uzanan bütünsel yapı, ödeme ve elektronik para sektöründe güçlü bir veri yönetişimi yaklaşımını gerekli kılmaktadır.
Bu nedenle konu, yalnızca hangi hukuki dayanağın seçildiği meselesi değil; seçilen dayanağın süreçlere, dokümantasyona, teknolojiye ve günlük operasyonlara nasıl yansıtıldığının sürekli olarak gözden geçirilmesini gerektiren bir yönetişim meselesi olarak ele alınmalıdır.
İşbu yazı sadece genel bilgilendirme amacı ile hazırlanmış olup, bu yazı içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. Yazı kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir. İşbu yazı içeriğinden dolayı herhangi bir şekilde MT Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir.