(101) Sözleşme konusu hizmetlerin verilmesi sürecinde yer alan parametrelerin gerekliliğine ilişkin elde edilen bilgilere bakıldığında, gerek hesap bilgisi, gerekse POS alacak ve çek tahsilat bilgisi görüntüleme hizmetlerinin sunumu bakımından, gerek bankaların müşterilerine ilettiği bu tür raporlamalarda gerekse üçüncü taraflarca verilen bu hizmetlerde yeknesak bir parametre bütününün bulunmadığı, sunulan parametreleri bankalarca müşteriye sunulan parametre seti haricinde farklı sektörlerde faaliyet gösteren müşterilerin ihtiyaç ve taleplerine göre de şekillendiği, SOFTTECH de dahil olmak üzere görüntüleme hizmeti sunan teşebbüsler tarafından, bankalarca müşterilere hangi parametreler sunuluyorsa bu teşebbüsler tarafından da bu bilgilerin 27 6493 sayılı Kanun’un 12. maddesinin ikinci fıkrasının (e) bendi uyarınca 6102 sayılı Kanun kapsamındaki kıymetli evrak, yabancı banka çekleri, seyahat çekleri ve kâğıt posta havalelerinden herhangi biriyle gerçekleşen ödeme işlemleri ödeme hizmeti sayılmamaktadır. 28 “Uzaktan Kimlik Tespiti ve Üçüncü Taraflara Güven” başlıklı söz konusu madde hükmü “Banka, 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve alt düzenlemelerinde yer alan yükümlülükler saklı kalmak kaydıyla, müşterinin veya müşteri adına hareket eden kişinin kimliğini tespit etmek amacıyla, uzaktan kimlik tespiti yöntemleri kullanabilir ya da hâlihazırda müşteri veya müşteri adına hareket eden kişi için daha önce kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alabilir. Bu fıkranın uygulanmasına ilişkin usul ve esasları belirlemeye Kurul yetkilidir.” şeklindedir. 20-55/767-340 41/49 sunulduğu, bu çerçevede bu hizmetlerin sunumu için sınırları çizilmiş bir parametre setinden bahsedilemeyeceği anlaşılmıştır. Bu hususa ek olarak TEB, CITIBANK, YAPIKREDİ gibi bazı bankalarca daha kısıtlı bir veri setinin, temel amacı mutabakat, nakit akışlarını düzenleme, alacak-borç takibi olan bu hizmetlerin nihai tüketiciye faydasını yok edeceği hususu vurgulanmıştır. Öte yandan minimal bir veri setinin hangi parametreleri içermesi gerektiğine ilişkin gerek diğer rakip görüntüleme hizmeti sağlayıcı teşebbüslerin gerekse de bankaların birbirinden kayda değer şekilde farklılaşan cevaplarından bir sonuca ulaşmak da mümkün olmamıştır. Tüm bu hususlar çerçevesinde, söz konusu hizmetlerden amaçlanan faydanın çoğu zaman faaliyet gösterdikleri sektöre göre ihtiyaçları farklılaşan tüketiciye ulaşması için, minimal bir veri seti belirlenmesinden ziyade ilerleyen bölümlerde değinileceği üzere veri güvenliği üzerine odaklanılması gerektiği kanaatine ulaşılmıştır.
(102)
Bu tespitten sonra hangi tür verilerin rekabete duyarlı olduğu hususunda ise hesap bilgisi görüntüleme hizmeti bakımından vadeli mevduat faiz oranı ve işlem bazındaki ücret ve komisyonların, POS alacak bilgisi görüntüleme hizmeti bakımından ise hizmet komisyon oranı/tutarı ve müşterinin POS ödemesinin vadesinin/hangi tarihte hesabına yapılacağı bilgisi rekabete duyarlı olarak belirtilen parametrelerin başında gelmektedir. Çek tahsilat bilgisi görüntüleme hizmeti bakımından ise bilgi istenen tarafların çoğu herhangi bir rekabete duyarlı veri tespitinde bulunmamıştır. Bazı bankalar tarafından
müşteri verisi, iş yeri verileri, bankanın müşteriyle çalışma koşullarını gösteren her türlü veri (müşteriye verilen kart çeşidi, taksit sayısı) gibi bilgiler de doğrudan fiyata ilişkin olmamakla beraber, bu kapsamda zikredilmiştir. Öte yandan yabancı bankalardan elde edilen bilgilerden AB uygulamasında vadeli mevduat faiz oranı gibi esasında rekabete duyarlı olarak nitelendirilebilecek verilerin iletiminin engellenmediği, bunun yerine veri güvenliği konusuna odaklandığı bilgisine ulaşılmıştır.
(103) AB uygulamasında farklı durumlar söz konusu olsa da çeşitli taraflardan gelen bilgilere paralel şekilde, vadeli mevduat faiz oranı, işlem bazındaki ücret ve komisyonlar, POS alacağına uygulanan komisyon oranı gibi veriler fiyata ilişkin veriler olması hasebiyle rekabete duyarlılığı yüksek veriler olarak nitelendirilmesi gerekmektedir. Fiyata ilişkin olmalarının yanı sıra aynı zamanda müşteri ya da iş yeri özelinde de bilgiler içerebilen bu verilerin, birbirine rakip teşebbüslerce görüntülenmesinin, saklanmasının, işlenmesinin engellenmesinin olası bir koordinasyonun önüne geçilmesi bakımından önem arz ettiği değerlendirilmektedir. Ancak çeşitli taraflardan elde edilen bilgiler kapsamında, açık bankacılığın finansal sektörde ana akımlardan biri olduğu bu dönemde, söz konusu riskin önüne geçmek bakımından uygulanması gereken yöntem bu tür hizmetlerin sunumunu engellemek ya da nihai tüketiciye sunulacak parametre setini sınırlamaktan ziyade yine veri güvenliğiyle ilgili önlemleri almaktan geçmektedir.
(104) Nitekim çeşitli taraflardan elde edinilen bilgiler kapsamında, PSD1 ve sonrasında PSD2 ile şekillenen AB uygulamasında da odağın verilerin iletiminin sınırlanmasından ziyade veri güvenliği noktasında olduğu görülmektedir. Bu bağlamda önceki bölümlerde de yer verildiği üzere PSD2’nin 67, 97 ve 98. maddelerinde, ödeme hizmeti sağlayıcısı ve hesap bilgisi hizmeti sağlayıcısı gibi tarafların yükümlülükleri ve veri güvenliği ile ilgili konular düzenlenmektedir. Bu çerçevede 67. maddede hesap bilgisi hizmeti sağlayıcıları bakımından özellikle vurgulanan hususlardan biri, bu teşebbüslerin, ödeme hizmeti kullanıcısı tarafından açıkça talep edilen hesap bilgileri hizmetini sunma dışında, başka amaçlar için herhangi bir veriyi kullanmamak, bunlara erişmemek ve depolamamakla yükümlü olduğu hususudur. Dolayısıyla rekabete duyarlı parametrelerin rakip teşebbüsler arasında iletimine ilişkin açık hükümler barındırmamakla beraber, PSD2’de verilerin hizmet sağlayıcılar tarafından nihai 20-55/767-340 42/49 tüketicinin ihtiyacı ve amacı dışında kullanılmaması, erişilmemesi ve depolanmaması hususuna dikkat çekildiği görülmektedir.
(105)
Yine elde edilen bilgilerden, PSD2’de rekabete duyarlı verilerin paylaşımı gibi detay hususların Avrupa Bankacılık Kurumu, Avrupa Merkez Bankası ve lokal düzenleyici kurumların yetkisine bırakıldığı anlaşılmıştır. Bu noktada ülkemizde de bu alanda son dönemde önemli gelişmeler meydana gelmiş olup, 6493 sayılı ve 7192 sayılı Kanunlarla hesap bilgisi hizmetini de içerecek hale gelen ödeme hizmetleri alanının BDDK’dan alınarak TCMB’nin yetkisine bırakıldığı görülmektedir. Nitekim önceki bölümlerde de yer verildiği üzere gerek 6493 sayılı Kanun’un 12. maddesine eklenen; “Ödeme hizmeti sağlayıcılarının bu Kanuna tabi faaliyetleri nedeniyle taraf oldukları hukuki ilişkiler Banka tarafından izlenir. Banka, ödeme hizmeti sağlayıcılarının bu Kanuna tabi faaliyetleri nedeniyle taraf oldukları hukuki ilişkiler kapsamında, ödemeler alanının gelişimini olumsuz etkileyebilecek nitelikte uygulamaların
bulunduğunu tespit etmesi durumunda, ödeme hizmeti sağlayıcılarının bu Kanuna tabi faaliyetleri nedeniyle taraf oldukları hukuki ilişkilerle ilgili olarak uyulması gereken usul ve esasları belirlemeye yetkilidir.” şeklindeki altıncı fıkra ile gerekse de 14/A maddesinin ikinci fıkrasında yer alan “Banka, bir ödeme hizmeti sağlayıcısındaki verilerin 12 nci maddenin birinci fıkrasının (f) ve (g) bentlerinde yer alan faaliyetler kapsamında başka bir ödeme hizmeti sağlayıcısı ile paylaşılmasına ilişkin her türlü usul ve esası belirlemeye yetkilidir.” şeklindeki yeni düzenleme ile TCMB, ödeme hizmeti sağlayıcılarının 6493 sayılı Kanun kapsamındaki faaliyetlerini izlemeye, buna ilişkin usul ve esasları belirlemeye ve ayrıca söz konusu hizmetler kapsamında verilerin paylaşımına ilişkin esasları belirlemeye yetkili kılınmıştır. Bu çerçevede hesap bilgisi görüntüleme hizmeti kapsamında hangi parametrelerin paylaşılacağına ilişkin öncelikli yetki sahibi kurum da TCMB olup, TCMB ile gerek bilgi isteme yazısı gerekse görüşme düzeyinde yapılan iletişimlerde söz konusu düzenlemelere ilişkin çalışmaların devam ettiği öğrenilmiştir.
(106) Bu noktada TCMB ile yapılan görüşmelerde özellikle ön plana çıkan bir hususa değinmenin önem arz ettiği düşünülmektedir. TCMB yetkilileri ile yapılan görüşmede çalışmaları devam etmekte olan taslak düzenlemelerde ödeme hizmeti ve ödeme hesabı tanımının PSD2’ye paralel şekilde yapıldığı, bu bağlamda söz konusu hesabın fon giriş-çıkışlarına açık olup olmamasının anılan hesabın ödeme hesabı olarak tanımlanıp tanımlanmayacağına ilişkin kriterlerden biri olduğu, vadesiz hesabın bu kriteri karşıladığı, bu nedenle ilk aşamada bu hesap türü bazında tanımlar yapıldığı, ancak dünya örneklerinde vadeli hesapların (birikim hesaplarının) ve sigorta hesaplarının da ödeme hesabı olarak kabul edildiği örneklerin bulunduğu, ayrıca fon giriş çıkışı olması nedeniyle vadeli hesapların da bu bağlamda değerlendirilmesinin mümkün olduğu, ancak ilk düzenlemelerde vadeli hesabın bu bağlamda değerlendirilmediği ifade edilmiştir. Benzer şekilde yapılan görüşmede POS alacak bilgisi görüntüleme hizmetleri bakımından da bu hizmete ilişkin hesapların ödeme hesabı olarak tanımlanıp tanımlanmayacağının bu aşamada üzerinde daha ayrıntılı düşünülmesi gereken bir husus olduğu belirtilmiştir. Bu bağlamda TCMB tarafından yakın zamanda ortaya konacak ilk düzenlemelerin işbu dosyada rekabete duyarlı veri alanında ön plana çıkan vadeli mevduat ve POS alacak bilgisi hizmeti bakımından yapılan rekabete duyarlı veri analizi bakımından ek bilgi sunmaması olasılık dahilindedir. 20-55/767-34043/49
(107) Dosya konusuna bu açıdan yaklaşıldığında, yukarıda verilen bilgiler kapsamında, söz konusu alanın Kanun’da kendisine verilen yetkiler ile TCMB’nin yetki ve görev alanında bir konu olduğu, bu bağlamda hesap bilgisi görüntüleme hizmetleri kapsamında hangi tür verilerin paylaşılacağına ilişkin esasları belirleme yetkisinin de özellikle 6493 sayılı Kanun’un 14/A maddesi kapsamında TCMB’ye verildiği, bu durum karşısında Kurumun paylaşılacak veriler açısından bir sınır çizmekten ziyade hangi tür verilerin rekabete duyarlı olduğu ve bu tür verilerin rakip teşebbüslerce görüntülenebilmesi durumunda ne gibi anti-rekabetçi etkilerin ortaya çıkabileceği konularında TCMB’ye görüş vermekle sınırlı olacağı sonuçlarına ulaşmak mümkün gözükse de, öte yandan henüz TCMB tarafından yapılmış olan ödeme hesabı tanımının kapsamının net olmayışı ve hâlihazırda sadece vadesiz hesabı kapsayacak şekilde olması, işbu dosya konusunu oluşturan POS alacak bilgisi, çek tahsilat bilgisi görüntüleme hizmetleri gibi hizmetlerin ne şekilde ve hangi kurumca ele alınması gerektiği sorusunu/sorununu ortaya çıkarmaktadır. Tüm bu bilgiler doğrultusunda, dosya konusuna ilişkin nihai değerlendirme aşağıdaki sistematik çerçevesinde yapılmıştır.
(108) Bu bağlamda öncelikle belirtilmesi gereken husus, yukarıda da belirtildiği üzere, işbu dosya konusu hizmetlerin sunumunda vadeli faiz oranı, işlem ücret ve komisyonları, POS alacak komisyon oranı/tutarı, POS alacak vadesi, üye işyeri ile çalışma koşullarına ilişkin diğer ticari veriler gibi rekabete duyarlı verilerin rakip teşebbüsler arasında iletiminin söz konusu olduğudur. Her ne kadar dosya özelinde muafiyet bildirimi yapılan sözleşme aynı ekonomik bütünlük içerisinde yer alan teşebbüsler tarafından akdedilmiş olsa da, söz konusu bildirim içeriğinin fiiliyatta finansal sektörde faaliyet gösteren teşebbüsler arasında rekabete duyarlı verileri de içeren birtakım veri setinin paylaşımını gerektirdiği açıktır. Dahası edinilen bilgilerden görüldüğü üzere, ilerleyen dönemde daha çok banka bu alanda faaliyet göstermeyi planlamaktadır. Söz konusu durumun bir sonucu olarak ilerleyen dönemde bu hizmetlerin sunumu bakımından finansal sektörde faaliyet gösteren daha çok oyuncu arasında bu tür verilerin iletimi-paylaşılması gerekecektir. Sonuç olarak, fiiliyatta rakip teşebbüsler arasında bazıları rekabete duyarlı olan parametrelerin iletimini içeren ve bu haliyle bu parametreler açısından olası bir koordinasyon riskini de ortaya çıkaran işbu bildirime 4054 sayılı Kanun’un 8. maddesi kapsamında menfi tespit belgesinin verilmesinin mümkün olmadığı değerlendirilmektedir.
(109) Bu tespitten sonra değerlendirmenin ikinci aşamasında bireysel muafiyet analizine geçildiğinde ise, öncelikle, açık bankacılığın da gelişmesiyle son dönemde ortaya çıkan yeni hizmetler olan ve tüketiciye bankalar haricinde alternatif hizmet kanalları oluşturan ve hesaplarını tekil bankalar yerine konsolide olarak tek bir uygulamadan görüntüleyebilmelerini sağlayan görüntüleme hizmetlerinin, muafiyet koşullarından malların üretim veya dağıtımı ile hizmetlerin sunulmasında yeni gelişme ve iyileşmelerin ya da ekonomik ve teknik gelişmenin sağlanması ile tüketicinin bundan yarar sağlaması şeklindeki ilk iki şartını sağladığı değerlendirilmektedir.
(110) Muafiyetin diğer iki şartından biri olan ilgili piyasanın önemli bir bölümünde rekabetin ortadan kalkmaması şartı ile ilgili olarak ise bankalarca ya da iştirakleri tarafından görüntüleme hizmetinin verilmesi henüz yeni başlayan bir faaliyet olup, bunun öncesinde söz konusu pazarda KOBAKÜS, INNOVA, MAMIM, UYUMSOFT, EÇÖZÜM gibi bağımsız hizmet sağlayıcılarının ve muhasebe programlarının faaliyet gösterdiği ve hâlihazırda da göstermeye devam ettiği anlaşılmıştır. Ayrıca SOFTTECH ile İŞ BANKASI arasındaki TekCep Sözleşmesi, rekabet etmeme yükümlülüğü, tek alıcıya sağlama yükümlüğü, yeniden satış fiyatının tespiti, münhasır müşteri veya bölge tahsisi gibi kısıtlayıcı hükümler içermeyecek şekilde düzenlenmiştir. Dolayısıyla 20-55/767-340 44/49 gerek sözleşme içeriği gerekse de piyasada bağımsız hizmet sağlayıcıların hizmet vermeye devam ediyor olması itibarıyla bankalarca bu hizmetin verilmeye başlanmasının bu ilk aşamalarında ilgili piyasanın önemli bir bölümünde rekabetin ortadan kalktığı sonucuna ulaşmak mümkün gözükmemektedir.
(111) Son olarak muafiyetin rekabetin etkinlik ve tüketici faydası amaçlarının elde edilmesi için zorunlu olandan fazla sınırlanmaması şeklindeki son şartı ile ilgili olarak ise önem arz eden hususun bu noktaya kadar yapılan tespitlerde de ortaya çıktığı üzere, rekabete duyarlı verilerin birbirine rakip teşebbüslerce görüntülenememesi, işlenememesi, saklanamaması olduğu, bu hususa ilişkin gerekli önlemlerin alınması ve denetimin sağlanması durumunda bu şartın da sağlanacağı anlaşılmıştır. Bu noktada yukarıda da arz edildiği üzere, açık bankacılığın ana akım olduğu bu son dönemde genel yaklaşım, bu tür hizmetlerin sunumunun ya da çeşitli kısıtlamalarla nihai tüketiciye faydasının engellenmesi değil, gerek kişisel veri, gerekse ticari verilerin korunması bakımından çok yoğun güvenlik önlemlerinin alınması şeklindedir. Nitekim yine yukarıda vurgulandığı üzere AB uygulamasında PSD2 ile hesap bilgisi hizmeti sağlayıcısına ve ödeme hizmeti sağlayıcına veri güvenliği ile ilgili yükümlülükler getirilmiş vaziyettedir. Bu yükümlülükler kapsamında söz konusu verilere ödeme hizmeti kullanıcısının ihtiyacı dışında erişilmesi, bu verilerin saklanması, depolanması ve işlenmesi yasaklanmıştır. Bununla birlikte PSD2’de rekabete duyarlı veriler ile ilgili de doğrudan bir hüküm bulunmamaktadır. Bu bilgiler çerçevesinde, dosya konusu bakımından da yaklaşımın çeşitli parametrelerin bu hizmetler kapsamında tüketiciye sunulmasının engellenmesinden ziyade rekabete duyarlı olduğu düşünülen parametrelerin hatta parametrelerin tümünün rakip teşebbüslerce görüntülenmesinin, işlenmesinin, saklanmasının önüne geçecek teknik güvenlik standartlarının belirlenmesi şeklinde olması gerekmektedir. Bu noktada ise AB uygulamasında olduğu üzere ve 6493 sayılı Kanun’un 12. ve 14/A maddelerinde yer aldığı üzere temel görev ve yetki sahibinin ve denetim sorumlusunun yerel düzenleyici otorite olduğu, bir başka deyişle TCMB olduğu değerlendirilmektedir. Sonuç olarak, rekabet duyarlı verilerin rakip teşebbüsler arasında iletiminin değil, ancak rakip teşebbüslerce görüntülenmesinin, kullanılmasının, saklanmasının ve işlenmesinin önüne geçildiği, bu hususlara ilişkin gerekli teknik güvenlik önlemlerinin belirlendiği ve gerekli denetimin sağlandığı durumda muafiyetin dördüncü şartı da sağlanmış olacaktır. Bu noktada ise yerel otoritenin hesap bilgisi hizmetlerini vadesiz hesabın sınırlarına hapseden bir anlayıştan ziyade diğer ülke örneklerinde olduğu gibi bu hesaplar aracılığıyla sunulan farklı görüntüleme hizmetlerini de göz önünde bulunduran bir anlayışla hareket etmesinin ve teknik güvenlik ve denetim standartlarını tüm olası hizmetleri kapsayacak şekilde belirlemesinin elzem olduğu anlaşılmıştır.
(112) Son olarak veri güvenliği ile ilgili mevcut düzenlemelerin yukarıda anılan hususları sağlayıp sağlamadığı hususuna değinmek gerekirse, bu düzenlemelerden BDDK tarafından yürütülen Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’in genel olarak, ödeme kuruluşları ve elektronik para kuruluşlarının hizmet sunumunda kullandıkları bilgi sistemlerinin risk yönetimine odaklandığı, bu çerçevede esas olarak güvenlik olay yönetimi, veri gizliliği, güvenliği ve yetkilendirme, denetim izlerinin oluşturulması ve kimlik doğrulama gibi süreçlerle, hizmetin sunumu sürecinde herhangi bir dış müdahaleden korunması ve ayrıca kullanıcıların hassas ödeme verilerinin gizliliğinin ve güvenliğinin sağlanması amaçlarına özgülendiği görülmektedir. Anılan Tebliğ’de hassas ödeme verisi, “kullanıcılar tarafından ödeme emrinin verilmesinde veya kullanıcı kimliğinin doğrulanmasında kullanılan, ele geçirilmesi veya değiştirilmesi 20-55/767-340 45/49 halinde dolandırıcılık ya da kullanıcılar adına sahte işlem yapılmasına imkân verebilecek şifre, güvenlik sorusu, sertifika, şifreleme anahtarı ile PIN, kart numarası, son kullanma tarihi, CVV2, CVC2 kodu gibi kuruluşlar tarafından ihraç edilen ödeme araçlarına ilişkin kişisel güvenlik bilgileri” olarak tanımlanmıştır. Öte yandan söz konusu Tebliğ’in 15. maddesinde Tebliğ kapsamında ödeme hizmeti sunan kuruluşların üye iş yerleri ile yapacakları sözleşmelerde, hizmetlerin gerçekleştirilmesi için gerekli olan terminaller ve kuruluş arasındaki iletişim haricinde, kendi nezdinde hassas ödeme verisini tutmamasını, işlememesini veya kaydetmemesini şart koşacak hükümlerin yer almasını sağlamakla yükümlü olduğu belirtilmektedir. Bu bağlamda anılan Tebliğ’de PSD2’ye paralel şekilde hassas verilerin saklanmaması, işlenmemesi gibi unsurlar yer almakla beraber, diğer yandan Tebliğ’in işbu dosya konusu bakımından önemli olan rekabete duyarlı verilerin belirlenmesi ve bu verilerin rakip teşebbüsler arasında iletimi ve bu iletim sırasındaki veri güvenliği ve görüntüleme hususlarına ilişkin usul ve esasların belirlenmesi noktasında açıklayıcı nitelik taşımadığı görülmektedir.
(113) Benzer diğer bir düzenleme olan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in de içerik itibarıyla Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ ile aynı formatta olduğu fakat bu sefer bankaların bilgi sistemlerinin yönetimine ve denetimine ilişkin esasları belirlediği ve rekabete duyarlı veri noktasında doğrudan hüküm barındırmadığı görülmüştür. Bu çerçevede mevcut düzenlemelerin işbu dosya konusu bakımından açıklayıcı ve belirleyici nitelikte olmadığı ve bu hususun 6493 sayılı Kanun’un 14/A maddesinde verilen yetkiler kapsamında çıkarılacak düzenlemelerle TCMB tarafından ele alınması ve denetiminin de yukarıda bahsedilen bilgi sistemlerinin güvenliği ve denetimine genel manada odaklanan tebliğlerden farklı olarak çıkarılacak düzenleme kapsamında TCMB tarafından yapılması gerektiği değerlendirilmektedir.