Regal PartnersRegal Partners

Türkiye'de Gömülü (Embedded) Finans: Hukuki Çerçeve, Regülasyonlar ve Uyum Süreçleri

|Fintech & Dijital Varlıklar|Av. Nur Şentürk

Embedded Finans Türkiye uygulamaları bakımından Türk hukukunda doğrudan bu alana özgülenmiş özel bir mevzuat düzenlemesi bulunmamakta olup söz konusu faaliyetler 6493 sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun" ile dolaylı bir şekilde hukuki zemine oturtulmaktadır. Gömülü finans uygulamalarında finansal hizmetler, finans sektörü dışındaki dijital platformlar üzerinden sunulmaktadır. Bu nedenle, söz konusu hizmetlerin hukuka uygun şekilde yürütülebilmesi bakımından lisanslı ödeme kuruluşları, elektronik para kuruluşları ve bankalar sürece dâhil olmaktadır. Bununla birlikte, bu hizmetlerin ilgili platformlara entegrasyonunu sağlayan teknoloji şirketleri ile lisanslı kuruluşlar arasındaki sözleşmesel ilişkiler de hukuki sorumluluğun belirlenmesi bakımından önem taşımaktadır.

API tabanlı servisler aracılığıyla sunulan ödeme ve cüzdan hizmetlerinde hizmet sağlayıcı ve son kullanıcı arasındaki hukuki sorumluluğun belirlenmesi açısından karmaşık bir yapı söz konusu olabilmektedir. Bu süreçte Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından belirlenen bir hukuki çerçeve bulunmaktadır. Veri güvenliği, açık rıza yönetimi ve operasyonel şeffaflık gibi hususlar, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olmak üzere ilgili mevzuat hükümleri çerçevesinde denetime tabidir. Türkiye'de gömülü finans uygulamaları henüz gelişim aşamasında olmakla birlikte, yürürlükteki mevzuatın sağladığı görece esnek yapı sayesinde inovasyonun kontrollü bir şekilde büyüme gösterdiği söylenebilmektedir.

Embedded Finans Nedir ve Türkiye'de Neden Önem Kazanmaktadır?

Embedded finans, diğer adıyla gömülü finans, finansal hizmetlerin banka veya geleneksel finans kuruluşlarının kendi kanalları yerine, finans dışı platform ve uygulamalar içerisinde sunulmasını ifade etmektedir. Bu hizmet modelinde ödeme, sigorta ve dijital cüzdan gibi finansal ürünler sunulmakta olup bu hizmetler e-ticaret sitesi, mobil uygulama veya SaaS platformları gibi finans dışı mecralara entegre edilmektedir. Hizmet alan kişiler ayrı bir finansal kuruma yönlendirilmeden işlem yapabildiği gibi platform üzerinden kesintisiz finansal hizmet de alabilmektedir.

Türkiye'de gömülü finans uygulamalarının yaygınlaşmasında, dijitalleşmenin hız kazanması ve finansal hizmetlerin kullanıcı deneyimi odaklı olarak yeniden yapılandırılması etkili olmaktadır. Bununla birlikte, ödeme hizmetleri ve açık bankacılık alanında yapılan düzenlemeler, finansal hizmetlerin üçüncü taraf platformlar üzerinden sunulmasına hukuki bir zemin hazırlamaktadır. TCMB tarafından çıkarılan düzenlemeler veya yönetmelikler, API ekonomisini ve açık bankacılık altyapılarını destekler nitelikte şekillendirilmektedir. Aynı zamanda gömülü finans çözümleri daha kontrollü hale gelmektedir. Sürdürülebilir bir şekilde gelişme olanağının olması da bu uygulamaları popüler yapmaktadır.

Türkiye'de Embedded Finans Alanını Şekillendiren Temel Düzenlemeler Nelerdir?

Türk hukukunda gömülü finans uygulamaları doğrudan özel bir mevzuat kapsamında düzenlenmemekte olup ödeme hizmetleri, elektronik para, bankacılık ve veri koruma alanlarına ilişkin düzenlemelerin kesişiminde, ortak paydasında yer almaktadır. Bu nedenle, söz konusu uygulamaların hukuki çerçevesi, birden fazla mevzuatın birlikte değerlendirilmesini gerektirmektedir. Finansal hizmetlerin üçüncü taraf platformlara entegrasyonu, lisanslı kuruluşlar ve teknoloji sağlayıcıları arasındaki sorumluluk dağılımı hukuki çerçeveyi belirleyen bir nitelik taşımaktadır. Ayrıca dijital finans hukuku kapsamında operasyonel sınırların belirlenmesi de önem taşımaktadır.

Türkiye'de embedded finans alanını şekillendiren temel düzenlemeler şu şekildedir;

  • 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
  • Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (Resmî Gazete arşivi üzerinden erişim)
  • TCMB tarafından yayımlanan ikincil düzenlemeler ve tebliğler (özellikle açık bankacılık ve API standartları dahil tüm ödeme sistemleri mevzuatı)
  • BDDK düzenlemeleri (bankacılık faaliyetleri ve kredi ürünleri kapsamında – Resmî Gazete üzerinden güncel mevzuat)
  • 5411 sayılı Bankacılık Kanunu (Resmî Gazete arşivi üzerinden erişim)
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK – Resmî Gazete arşivi)
  • MASAK mevzuatı (suç gelirlerinin aklanmasının önlenmesi ve müşteri tanıma yükümlülükleri – Resmî Gazete arşivi)

    • Ödeme Hizmetleri, Elektronik Para ve Açık Bankacılık Embedded Finans Modelleriyle Nasıl Kesişir?

    Embedded finans modelleri, ödeme hizmetleri ve elektronik para altyapıları ile doğrudan ilişkilidir. Bu modellerin temelinde finansal işlemlerin lisanslı kuruluşlar aracılığıyla kullanıcılara sunulması yer almaktadır. Türkiye'de açık bankacılığın ödeme hizmetleri bakımından hukuki temeli 6493 sayılı Kanun'un 12. maddesine dayanmaktadır. Bu hüküm kapsamında ödeme emri başlatma hizmeti ve hesap bilgisi hizmeti, ödeme hizmetleri arasında sayılmıştır. Bu nedenle açık bankacılık, gömülü finans uygulamalarının teknik ve hukuki altyapısını destekleyen önemli araçlardan biri olarak değerlendirilmektedir.

    Bu yapı sayesinde kullanıcı rızasına dayalı veri paylaşımı ve işlem başlatma süreçleri, standart API altyapıları üzerinden yürütülebilmektedir. Böylece finans dışı platformlar, doğrudan finansal hizmet sağlayıcısı sıfatını haiz olmaksızın, lisanslı kuruluşlarla kurdukları entegrasyonlar aracılığıyla kullanıcılara finansal hizmet deneyimi sunabilmektedir. Türkiye'de açık bankacılık altyapısı, Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan düzenlemeler ve BKM (Bankalararası Kart Merkezi) tarafından geliştirilen GEÇİT altyapısı ile resmen getirilmiştir. TCMB'nin liralaşma stratejisi kapsamında geliştirdiği bu sistem, bankaların API'ler aracılığıyla verilerini üçüncü taraf finansal kuruluşlarla güvenli paylaşımını sağlar. BDDK'nın yetkilerinin devriyle birlikte açık bankacılık çerçevesi TCMB öncülüğünde geliştirilmektedir.

    Embedded Finans Kurgularında Lisans, Yetki ve Kurumsal Yapı Neden Kritik Öneme Sahiptir?

    Embedded finans kurgularında lisans, yetki ve kurumsal yapı önemli noktalardan biridir. Çünkü finansal hizmetlerin hukuki olarak geçerli olması, operasyonel sürdürülebilirlik ve yasalara uyumluluk sayesinde sağlanabilmektedir. Fintech hukuku Türk hukukunda finansal hizmetlerin sunumu, 6493 sayılı Kanun kapsamında münhasıran lisanslı kuruluşlara özgülenmiş olup finans dışı platformlar bu hizmetleri doğrudan sunma yetkisine sahip değildir. Yetki verilen ödeme kuruluşları, elektronik para kuruluşları ve bankalarla işbirliği içinde hareket etmekle yükümlüdürler.

    Risk ve denetim yükümlülükleri belirlenirken hangi tarafın hizmet sağlayıcı, aracı veya teknoloji sağlayıcı olarak konumlandığı dikkate alınmaktadır. Bununla birlikte, veri güvenliği, müşteri fonlarının korunması, uyum süreçleri ve denetim mekanizmaları gibi yükümlülükler lisanslı kuruluş ve teknoloji sağlayıcısı arasındaki sözleşmesel ilişki çerçevesinde yerine getirilmek zorundadır. Gömülü finans uygulamalarındaki iş modeli, lisans yapısı ve hukuki çerçeve belirleyici faktör olarak devreye girmektedir.

    Veri Koruma, Müşteri Onayı ve Sözleşmesel Sorumluluklar Açısından Dikkat Edilmesi Gerekenler

    Gömülü finans uygulamalarında veri koruma, müşteri onayı ve sözleşmesel sorumluluklar hem mevzuata uyumun sağlanması hem de taraflar arasındaki hukuki risklerin yönetilmesi bakımından önem taşımaktadır. Bu kapsamda, müşterilere ait finansal ve kişisel verilerin işlenmesi, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili mevzuat hükümlerine uygun şekilde yürütülmelidir. İlgili kanun kapsamında verilerin saklanması ve üçüncü taraflarla paylaşılması konusunda açık rıza ve belirli hukuki dayanaklar da devreye girmektedir.

    Açık bankacılık ve API entegrasyonları ile veri akışı çok taraflı hale gelmekte, bu nedenle veri sorumlusu ve veri işleyen ayrımı net olarak yapılmalıdır. Müşterilerin verilerinin hangi amaçla işlendiği, saklanma süresi ve paylaşıldığı taraflar şeffaf olarak gösterilmelidir. Sözleşmesel sorumluluklar açısından da banka, ödeme kuruluşu, teknoloji sağlayıcı ve platform gibi tüm aktörlerin görev ve yükümlülük dağılımı açıkça düzenlenmelidir. Müşteri ile kurulan mesafeli sözleşmede hizmetin kapsamı, ücretler, riskler ve tarafların sorumluluk sınırları net olarak belirlenmelidir. Müşterinin açık rızası ile ilgili süreçler de dijital ortamda izlenebilmeli ve gerekli olursa geri alınabilmelidir.

    Veri koruma, müşteri onayı ve sözleşmesel sorumluluklar açısından dikkat edilmesi gereken bazı noktalar bulunmaktadır;

  • Açık rıza süreçleri KVKK'ya uygun şekilde alınmalıdır. Ayrıca kayıt altına tutma süreci de buna uygun olmalıdır.
  • Veri sorumlusu ve veri işleyen rolleri net şekilde tanımlanmalıdır.
  • Kullanıcı verilerinin işlenme amacı ve kapsamı şeffaf olarak açıklanmalıdır.
  • Üçüncü taraflarla veri paylaşımında hukuki dayanaklar oluşturulmalıdır.
  • API entegrasyonlarında veri güvenliği ve siber güvenlik önlemleri sağlanmalıdır.
  • Mesafeli sözleşmeler 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve ilgili Mesafeli Sözleşmeler Yönetmeliği kapsamında düzenlenmekte olup bu sözleşmelerde hizmet kapsamı, ücretler ve riskleri açıkça belirtilmelidir.
  • Açık rızalar geri alınabilmeli ve gerekli olduğunda izlenebilmelidir.
  • Taraflar arası sorumluluk dağılımı sözleşmelerle net hale getirilmelidir.
  • Regülatif denetimlere uygun kayıt ve raporlama süreçleri kurulmalıdır.

    • Türkiye'de Embedded Finans Alanında Faaliyet Göstermek İsteyen Şirketler İçin Hukuki Değerlendirme

    Embedded finans Türkiye alanında faaliyet göstermek isteyen platformların hukuki çerçevede değerlendirmesi için öncelikle yaptıkları iş modelinin yasalar, düzenlemeler ve yönetmelikler ile olan uyumluluğunun değerlendirilmesi gerekmektedir. Ayrıca lisans yapısının doğru şekilde belirlenmesi gerekmektedir. İşletmeler doğrudan finansal hizmet sunup sunamayacaklarına karar vermelidir. Ayrıca lisanslı bir ödeme kuruluşu, elektronik para kuruluşu veya bankayla iş birliği yapıp yapmayacaklarını belirlemeleri önemlidir.

    Bu konularda yapılan tercihler sorumluluk dağılımı ve denetim yükümlülüklerini etkilemektedir. Ayrıca KVKK veri işleme süreci, MASAK yükümlülükleri, müşteri kimliği doğrulama yükümlülükleri (KYC — Know Your Customer) ve TCMB düzenlemelerine, mevzuata uygun bir operasyonel yapı tesis edilmelidir. Gömülü finans uygulamaları kapsamında taraflar arasındaki sözleşmesel ilişkinin açık, şeffaf ve denetlenebilir olması gerekmektedir. Bu sayede regülatif riskler asgari düzeye indirilmiş olup ayrıca sürdürülebilir bir gömülü finans modeli inşa edilebilmektedir.

    Tüm Yayınlar

    Bizimle Hukuki Çözüm Ortaklığı Kurun

    Bize Ulaşın