Açık Bankacılık Nedir?
Fintek çalışmaları sonucunda geliştirilen açık bankacılık, müşterilerin bankalarda bulunan özel finansal verilerinin, bankalar tarafından API’ler (Application Programming Interface) yani uygulama proglamlama arayüzü aracılığıyla üçüncü taraf hizmet sağlayıcılarına paylaşılması modelidir. Bu modelde veriler, TPP’ler (Third Party Provider) yani üçüncü taraf hizmet sağlayıcıları ile ile müşterilerin talep ve rızası olmak koşuluyla paylaşılır.
Bu modelde ilgililer birbirlerinin uygulamaları üzerinden, kendi uygulamalarında olmayan özellikleri kullanmaktadırlar. Finans sektöründe bu uygulamalar veri paylaşımı için de kullanılmaktadır. Bu veri paylaşımı sayesinde bankalar, fintekler, tekfinler ve diğer finans kuruluşları beraber hareket ederek müşterine en uygun ürünü ve hizmeti sunmayı hedefler.
Açık Bankacılığın Türkiye ve Dünya Mevzuatındaki Yeri
Açık bankacılık uygulamasının önü ilk olarak Avrupa Birliği’nin 2007 yılında onayladığı Ödeme Hizmetleri Direktifi (PSD) ile açılmıştır. 2015 yılında Ödeme Hizmetleri Direktifi 2 (PSD2) ile bu uygulamalara ilişkin düzenlemeler kapsamlı bir hale getirilmiş ve yasal bir temele oturtulmuştur.
Türkiye'de ödeme hizmetleri ilk olarak 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile düzenlenmiştir. 2019 yılında 7192 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ise açık bankacılığın temelini oluşturan yasal düzenlemedir.
Açık bankacılık tanımı ise Türkiye'de ilk kez Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik'te yer almıştır. Yönetmeliğin 3.maddesine göre açık bankacılık servisleri “müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak ifade edilmiştir. Yine API “Bir yazılımın başka bir yazılımda tanımlanmış işlevleri kullanabilmesi için oluşturulmuş uygulama programlama arayüzü” olarak tanımlanmıştır.
Açık Bankacılığa ilişkin dünyadaki düzenlemelerde API açma zorunluluğu konusunda iki farklı yaklaşım söz konusudur. Bazı ülkeler API açmayı zorunlu kılarken, bazıları bunu ilgilinin kendi inisiyatifine bırakmıştır. Örneğin Avrupa Birliği’nin onayladığı Ödeme Hizmetleri Direktifi 2’ye göre Avrupa’daki bankalar müşteri onaylı verilerini müşterilerine ve diğer kullanıcılar açmak zorundadırlar.
Ülkemizde bu konuda şu an zorunluluk olmayıp, BDDK tarafından yapılacak ikincil düzenlemelerle şekillenecektir. Dünya üzerinde 24 Aralık 2018 tarihine kadar 428 banka API’lerini kullanıcılarına açmış durumdadır.
Kişisel Verilerin Korunması
Açık bankacılığın asıl amacı müşterilere çeşitli hizmetler sağlanmasıdır ve bu amaçla müşteri verilerinin üçüncü taraflarla paylaşılmasına imkân verilir ancak bu sırada müşterilere ait verilere yetkisiz erişimin önlenmesi ve veri ihlallerinin önüne geçilmesi gerekmektedir. Bu kapsamda Avrupa Birliği mevzuatına göre, açık bankacılık uygulamaları kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu olması gerekmektedir. Türkiye'de ise buna paralel olarak, Kişisel Verilerin Korunması Kanunu'na (KVKK) uyum ön plana çıkmaktadır.
Bankaların, ödeme kuruluşlarının ve üçüncü kişi hizmet sağlayıcılarının müşteri verilerini işleyebilmesi için müşterileri aydınlatma yükümlüklerini yerine getirmeleri ve gerekli hallerde müşterilerden açık rıza almaları gerekmektedir. Ancak, aynı zamanda Bankacılık Kanunu'na tabi olan bankaların kişisel veri niteliğindeki müşteri sırlarına yönelik bankacılık düzenlemelerini de dikkate almak gerekiyor. Bankacılık Kanunu'nda müşteri sırlarının üçüncü kişilerle paylaşılabilmesi için müşterinin açık rızası olsa dahi ayrıca müşterinin talimat vermesi gerekmektedir. Dolayısıyla KVKK'da düzenlenen açık rıza işlevini yitirmektedir. Müşteri verilerinin üçüncü taraf hizmet sağlayıcıları tarafından işlenebilmesi için ise açık rızanın yanı sıra müşterinin istek veya onayının aranması veri güvenliğini sağlama amacıyla getirilmiş olsa da bu durum Türkiye’de açık bankacılığın gelişimine de engel olmaktadır.
Mükyen Hukuk Bürosu uzman avukatlarından randevu almak için:
