PayPal ve KVKK Değişikliği – PayPal Türkiye’ye Geri Dönüyor (Mu?)
1. PayPal Türkiye’den neden çekildi?
- PayPal Haziran 2016’da, Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemleri Yönetmeliği’ndeki birincil ve ikincil sistemlerin yurt içinde bulundurmaları zorunluluğunu yerine getirmediği için Türkiye’den çekilmişti.
- Sistemlerin Türkiye’de bulundurulması zorunluluğu yerine getirilmediğinden PayPal’a BDDK tarafından o dönemde “ödeme kuruluşu” lisansı verilmediğinden PayPal Türkiye operasyonlarını durdurmak durumunda kalmıştı.
2. KVKK Değişikliği ve PayPal
- 12 Mart 2024 tarihinde KVKK’da yapılan değişiklik ile, birçok haber kaynağında PayPal’ın Türkiye’ye dönmesinin önü açıldığına ilişkin haberler yayımlanmıştır. KVKK içeriğinde yapılan değişiklik PayPal’ın Türkiye’den çekilmesinin esas nedenini ortadan kaldırmadığından ilgili değişikliğin doğrudan PayPal için Türkiye kapılarını açtığı yönündeki değerlendirmelerin hukuki açıdan doğruluk payı bulunmamaktadır.
- KVKK’da yapılan değişiklik öncesinde, yurtdışına veri aktarımı için gereklilikler aşağıdaki şekilde formülüze edilebilir;
- Kişinin açık rızası veya
- Aşağıdaki şartların (“Genel Şartlar”) herhangi biri ve KVKK’nın Yeterli Koruma Kararı bulunması,
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- KVKK’da yapılan değişiklik sonrasında yurtdışına veri aktarımı ise aşağıdaki şekilde formülüze edilebilmektedir;
- Genel Şartların herhangi biri ve ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Yeterlilik Kararı,
- Genel Şartlarn herhangi biri ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ve aşağıdaki Uygun Güvencelerden herhangi biri,
- Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
- Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Genel Şartlar + Yeterli Koruma Kararı veya Genel Şartlar + Uygun Güvenceler olmadığında, aşağıdaki şartlarla ve arızi olarak yurtdışına veri paylaşılabilecektir.
- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Aktarımın üstün bir kamu yararı için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
3. PayPal Açısından Son Durum
- Mevcut KVKK düzenlemeleri, PayPal’ın Türkiye’den çekilmesinin asıl nedeni değildir.
- Asıl neden, Ödeme Kuruluşları Mevzuatındaki bilgi sistemlerinin Türkiye’de bulundurulması zorunluluğu idi. Bu nedenle, ilgili mevzuatta değişiklik olmadan çekilmedeki asıl neden ortadan kalkmış olmamaktadır.
- KVKK’da yapılan değişiklik ile Genel Şartlar + Yeterli Koruma Kararı veya Genel Şartlar + Uygun Güvenceler veya KVKK’nın mevcut halinde Türkiye içerisinde kişisel veri paylaşımı için öngörülenlere benzer açık rıza olmadan paylaşım istisnalarının varlığı halinde (sözleşmenin ifası veya kurulması için zorunluluk vb.) kişisel veriler yurt dışına paylaşılabilecektir.
- Yurtdışına veri paylaşımı rejiminde yaşanılan bu esneme ile; veri analitiği, veriye dayalı karar alma, veriye dayalı iş modeli geliştirme vb. iş süreçlerinin yurtdışından yürütülebilmesinin yolu açıldığından değişiklik, PayPal vb. ana operasyonları yurtdışında bulunan şirketlerin Türkiye’ye yatırım maliyetlerini düşürmektedir.
- PayPal vb. yurtdışı yerleşik ödeme hizmeti sağlayıcıların TCMB’den lisans alabilmeleri için Türkiye’de mevcut ödeme hizmetleri mevzuatı kapsamında bilgi sistemlerini Türkiye’de bulundurma zorunluluğu hala devam etmektedir.
- Bu nedenlerle, KVKK’da yapılan değişiklik PayPal’ın Türkiye’ye dönüşü açısından henüz yalnızca “aralanan bir kapı” olarak değerlendirilmelidir.
- KVKK’daki değişiklik ile kişisel verilere ilişkin yurtdışına paylaşım rejimimizde gerçekleşen benzer bir esnekliğin, müşteri sırrı niteliğinde verilerin paylaşımı bağlamında gerek bankacılık mevzuatı ve gerekse ödeme sistemleri mevzuatında da yaşanması beklenebilir.
Saygılarımızla,
Kerim Can DEMİR
UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.