İstanbul Barosu Finans Hukuk Komisyon Başkanı Av. Ece Ildır’ın PayPal’ın Lisans Başvurusunun Reddedilmesi ile İlgili Yorumu

Bildiğiniz gibi dün Bankacılık Düzenleme ve Denetleme Kurumu Başkanı Mehmet Ali Akben, neden PayPal’ın lisans başvurusuna onay vermediklerini belirtti.

Biz de İstanbul Barosu Finans Hukuk Komisyon Başkanı Av. Ece Ildır‘a şu soruyu sorduk:

BDDK’nın aldığı karar çerçevesinde bilgi sistemlerinin yedekleri ile birlikte Türkiye’de tutulmasının Türkiye için anlamı ve önemi nedir? İlgili kanun maddesi ve gerçekleştirilen uygulama çok mu yerinde? Avrupa ülkelerinde ve ABD’de de böyle uygulamalar var mı?

Kendisinin yorumları aşağıdaki gibidir:

“Bankalar, bilgi sistemlerinin yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele alır. Bankaların operasyonlarını istikrarlı, rekabetçi ve gelişen bir çizgide sürdürebilmesi için bilgi sistemlerine ilişkin stratejinin iş hedefleri ile uyumlu olması sağlanır, bilgi sistemleri yönetimine ilişkin unsurlar yönetsel hiyerarşi içerisinde uygun yere yerleştirilir ve bilgi sistemlerinin doğru yönetimi için gerekli finansman ve insan kaynağı tahsis edilir.Bankalar bilgi sistemlerinin yönetimine ilişkin politikalar, prosedürler ve süreçler tesis etmekle yükümlüdür. Bu yükümlülükleri bilgi sistemleri üzerinde tesis edilen risk yönetimi, iç kontrol sistemi ve iç denetim kapsamında yürütülecek çalışmaların katkısıyla sağlar. Bankalarda bu yükümlülük Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler Tebliği ile karşılık bulur. Bilgi sistemleri yönetimi;  Bankaca gerçekleştirilen faaliyetlerin ve verilen hizmetlerin etkin, güvenilir ve kesintisiz bir şekilde yürütülmesi; mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi; muhasebe ve finansal raporlama sisteminden sağlanan bilgilerin bütünlüğünün, tutarlılığının, güvenilirliğinin, zamanında elde edilebilirliğinin ve gereken durumlarda gizliliğinin sağlanması amacıyla uygun bilgi sistemleri ortamının tesis edilmesine, bilgi sistemleri kaynaklarının verimli olarak kullanılmasına, söz konusu bilgi sistemlerinin kullanılmasından kaynaklanacak risklerin kontrolünün ve izlenmesinin sağlanmasına, bu amaçla gerekli sistemsel ve yönetsel önlemlerin alınmasına ilişkin faaliyetler olarak tanımlamaktadır. Bu bilgilerin kullanımından kaynaklanan risk denetimi konusunda bir düzenleme yapılmakta olduğu bu nedenle mevzuatla Birincil ve aksaklık olması halinde faaliyetin sürekliliğini sağlayacak ikincil merkezin ve birincil ve ikincil sistemlerin ve böylece “Bankaların İç Sistemleri Hakkında Yönetmeliğin” amacı, bankaların kuracakları iç kontrol, iç denetim ve risk yönetim sistemlerine ve bunların işleyişine ilişkin usul ve esasları düzenlemektir.

Söz konusu Yönetmelik kapsamında Bankalardan;
-Acil ve beklenmedik durum planı (Faaliyetlerde ani ve planlanmamış bir kesintiye, iş kaybına veya krize neden olması muhtemel bir durumda risklerin ve sorunların yönetilebilmesi amacıyla alınacak tedbirlerin ve gerçekleştirilecek öncelikli eylemlerin belirlendiği, iş sürekliliği planının bir parçası olan planı) belirlemesi beklenir.
– Bilgi sistemleri süreklilik planı (Faaliyetlerin sürdürülmesini sağlayan bilgi sistemleri servislerinin, bir kesinti durumunda sürekliliğinin sağlanmasına yönelik hazırlanan ve iş sürekliliği planının bir parçası olan planı) sağlaması beklenir.

Mevzuat kapsamında “Birincil sistemler”; Bankacılık faaliyetlerinin yürütülmesini ve Kanunda, Kanuna ilişkin alt düzenlemelerde ve ilgili diğer mevzuatta bankalar için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamı olarak tanımlanmaktadır. Burada amacın “istenildiği an erişime imkan sağlayacak şekilde kayıt” olduğu açıklıkla görülmektedir. Denetleyici kuruluşun, denetim anında bilgiye erişim imkanını düzenliyor olması Avrupa Birliği muktesebatında da görülen kanun koyucunun idari uygulaması olarak görülmektedir. Bunun nedeni yine mevzuatta “Dolaylı ülke riski” tanımı ile karşılık bulmaktadır. Zira yabancı bir ülkedeki ekonomik, sosyal veya siyasi koşulların bozulması sonucunda o ülkeyle iş bağlantısı olan yerel bir borçlunun yükümlülüklerini yerine getirme gücünün azalması nedeniyle bankanın zarar etme olasılığına karşı düzenleme banka ve dolayısıyla banka mudiilerini korumayı amaçlamaktadır. Burada esas alınan iki senaryo söz konusudur. Birincisi “Ekonomik değer”e yani nakit akışların bugüne indirgenmiş değerine, diğeri “Felaket” yani faaliyet veya sistemlerde uzun süreli kesintiye sebep olabilecek düzeyde insan, doğa veya diğer faktörlerden kaynaklanan olaylara odaklanır. Bu iki senaryo arasına faiz oranı riski, finansal araç riski, fonlamaya ilişkin likidite riski, hazine riski, ikame maliyet riskine yer verebiliriz.

İkincil sistemler ise birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda, Kanuna ilişkin alt düzenlemelerde ve ilgili diğer mevzuatta bankalar için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedeklerini ifade eder. Burada iş sürekliliği yönetiminin bir parçası olan ve bir kesinti durumunda bankanın öncelikleriyle uyumlu olarak faaliyetlerin sürdürülmesine ve mevzuata uyum sağlanmasına yönelik politika, standart ve prosedürlerin aldığı rol çok önemlidir ve her bankanın iş sürekliliği planı olması zaruridir.

Benzer düzenleme “Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ” açısından da geçerlidir. Mevzuatta birincil ve ikincil sistemlerin denetlenebilir, süreklilik içerisinde ve acil eylem planı ile riski gözetebilen şekilde korunaklı olarak kurulmuş olması arzulanmıştır.

Sonuç olarak sorunun cevabına gelecek olursak BDDK’nın aldığı karar çerçevesinde bilgi sistemlerinin yedekleri ile birlikte Türkiye’de tutulmasının Türkiye için anlamı ve önemi ödeme hizmet sağlayıcıları ve kuruluşları ile ve elektronik para kuruluşları açısından sistemin sürekliliği, en az riskin üstlenildiği, bilginin korunduğu, ülkesellik sınırı içerisinde himaye edildiği ve denetlenebildiği bir yapının oluşmasıdır. İlgili kanun maddesi ve gerçekleştirilen uygulama tamamen Avrupa Birliğinin Avrupa Parlementosu ve Konseyinin 8 Haziran 2000 tarihli Bankacılık yönergesi, e-para yönergesi, e-imza yönergesinden uyarlanmıştır.

Yerinde bir uygulama mı tartışmasında ise terazinin iki tarafında olalım. Burada terazinin bir tarafında BDDK diğer tarafında PayPal değil, bir tarafta kullanıcı diğer tarafta hizmet sağlayıcı var. BDDK ortada dengeyi sağlamakla mükellef kurum. Kullanıcının tüm bilgilerinin, alt yapının, koruma hesaplarının yabancı bir ülkede olduğunu düşünelim. Bu durumda hizmet sağlayıcıya getirilen yasal yükümlülükler bir anda yasayı dolanmakla ortadan kalkıyor. Üstelik ilgili ülke yasaları ülkesellik prensibi gereği ortaya çıkıyor. Milletlerarası özel hukuk hükümlerine göre yorumlamamızın gerekeceği ihtilaflar söz konusu olabilir. BDDK taraflar arasındaki bu riski ortadan kaldırmaya çalışırken öte yandan denetleyici kuruluş olarak denetim talep ettiği anda bilgi ve belgelerin eksiksiz ve güvenilir şekilde ulaşılabilir olmasını istiyor.

Hizmet sağlayıcı açısından değerlendirdiğimizde çok uluslu, güvenilir, üstelik daha iyi teknolojik imkanları daha uygun maliyetlere kullanıcıya yansıtmadan hizmet sunabilecek olan hizmet sağlayıcı birçok operasyonel, mali, idari yük altında boğuluyor, yapı hantallaşıyor, daha ucuz ve efektif hizmet amacından uzaklaşarak kullanıcı ile daha maliyetli şekilde buluşuyor. Bu noktada güven-şeffaflık-ülkesellik karşısında teknolojik alt yapı/donanım-ucuz hizmet-inovasyon yarışmaktadır. Birine karşı diğerinin daha yerinde bir tercih olup olmayacağının ise subjektif bir anlam taşıdığı görüşündeyim.”

Etiketler