Fintech Dünyasında Güvenin Yeni Adı: GDPR ve KVKK Neden Bir “Hayatta Kalma” Meselesidir?

---

Fintech ekosisteminde asıl ürün; uygulamanın arayüzü, işlem hızı veya düşük komisyon oranları değildir. Asıl ürün güvendir. Bir kullanıcı kart bilgilerini girdiğinde veya kimliğini sisteme yüklediğinde, aslında ekranın arkasındaki şirkete şu sessiz mesajı verir: “Sana ve verimi koruyacağına inanıyorum.”

Ancak bu inanç oldukça kırılgandır. İşte bu noktada GDPR (ve ülkemizdeki karşılığı olan KVKK), sadece hukuki birer metin olmaktan çıkıp birer “iş stratejisi çerçevesine” dönüşür. Özellikle ödeme sistemleri ve elektronik para kuruluşları için veri koruma kurallarını ihlal etmek, sadece para cezası almak değil; itibarın, bankacılık ilişkilerinin ve şirketin geleceğinin son bulması demektir.

Fintech Neden Diğer Sektörlerden Daha Fazla Risk Altındadır?

Bir perakende mağazası sadece e-posta adresinizi tutar, ancak bir fintech kuruluşu kimlikten lokasyona, finansal davranıştan cihaz parmak izine kadar her şeyi işler. Bu veriler sadece “kişisel veri” değil, insan hayatına doğrudan dokunan hassas finansal verilerdir.

Bir veri ihlali yaşandığında bu durum sadece bir kanun çerçevesinde kalmaz; bir domino etkisi yaratır:

• GDPR ve KVKK soruşturmaları başlar.
• Banka iş ortakları ve kart şemaları (Visa/Mastercard) denetimleri sıkılaştırır veya ilişkileri askıya alır.
• Yatırımcılar fonlama süreçlerini durdurur.
• En önemlisi, kullanıcıların güveni hukuki süreçlerden çok daha hızlı bir şekilde buharlaşır.

Ödeme Sistemlerinde “Unutulma Hakkı” Çıkmazı

Bilişim hukukçusu ve bilirkişi olarak sahada en sık karşılaştığım sorunlardan biri “verilerin silinmesi” konusudur. GDPR ve KVKK kullanıcılara verilerinin silinmesini isteme hakkı (Unutulma Hakkı) tanırken; ödeme sistemleri mevzuatı (Suç Gelirlerinin Aklanmasının Önlenmesi – AML gibi) bu verilerin yıllarca saklanmasını emreder.

Bu bir çelişki değil, bir veri sınıflandırma sanatı gerektirir. Fintech şirketleri şu ayrımı teknik düzeyde yapabilmelidir:

1. Yasal zorunluluk nedeniyle saklanan veriler.
2. Sözleşmesel gereklilik için tutulan veriler.
3. Dolandırıcılık tespiti için saklanan veriler.
4. Artık gereksiz olan ve silinmesi gereken veriler.

Bu bir politika meselesi değil, bir veritabanı mimarisi meselesidir.

Tasarımdan Gelen Gizlilik (Privacy by Design)

Dijital dönüşüm mimarı perspektifiyle şunu söyleyebilirim: Veri minimizasyonu (sadece ihtiyacın olanı toplama) bir engel değil, mimari bir disiplindir. Ne kadar çok veri toplarsanız, sızıntı anında o kadar çok sorumluluk ve risk üstlenirsiniz. Her ek veri alanı, potansiyel bir yasal yükümlülüktür.

Fintech kuruluşları için veri koruması bir maliyet merkezi değil, bir rekabet avantajıdır. Kurumsal müşteriler ve bankalar, artık sadece teknolojiye değil, bu teknolojinin ne kadar “hukuka uyumlu” ve “güvenli” olduğuna bakarak partner seçiyorlar.

---

Soru – Cevap (SSS)

Soru: GDPR/KVKK uyumu sadece bir gizlilik politikası yayınlamak mıdır?

CEVAP: Hayır. Bu sadece buzdağının görünen kısmıdır. Asıl uyum; verinin nerede saklandığı, kimin eriştiği, nasıl şifrelendiği ve vendor (tedarikçi) risklerinin nasıl yönetildiğiyle ilgili sistemler bütünüdür.

Soru: Finansal regülasyonlar veri silmeyi yasaklarken KVKK nasıl uygulanır?

CEVAP: Hukuki yükümlülükler (AML, Vergi Usul Kanunu vb.) veriyi saklamak için “hukuka uygunluk” sebebi oluşturur. Ancak bu süre dolduğunda veya kapsam dışı veriler için silme protokolleri uygulanmalıdır.

Soru: Bir fintech kuruluşu için veri ihlalinin en büyük zararı nedir?

CEVAP: Para cezaları can yaksa da, asıl zarar bankacılık lisanslarının tehlikeye girmesi ve ekosistemdeki güven kaybı nedeniyle yaşanan “itibar erozyonu”dur.

Soru: Üçüncü taraf (bulut, fraud aracı vb.) hizmet kullanırken veri sorumluluğu kime aittir?

CEVAP: Veriyi toplayan kuruluş veri sorumlusu olmaya devam eder. Hizmet aldığınız yerin (alt işleyici) hatası sizi hukuki sorumluluktan tamamen kurtarmaz.

Soru: Privacy by Design fintech ürünlerine nasıl entegre edilir?

CEVAP: Yeni bir özellik geliştirilirken daha kod yazılmadan önce “Hangi veriye gerçekten ihtiyacımız var?” ve “Bu veri nerede, ne kadar süre kalacak?” sorularının sorulması ve mimarinin buna göre kurulmasıyla başlar.

---

Kaynaklar

• Ritika Prajapati – GDPR and Fintech: Why Payment Companies Cannot Afford to Get It Wrong
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu – Mevzuat
• TCMB – Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Tebliğ
• European Data Protection Board (EDPB) – Guidelines for Fintech
• Özgür Eralp – Elektronik Para ve Ödeme Sistemleri Hukuki Analizleri

---

Etiketler

Fintech, GDPR, KVKK, Ödeme Sistemleri, Veri Gizliliği, Bilişim Hukuku, Elektronik Para, Siber Güvenlik, Veri Yönetimi, Özgür Eralp, Dijital Dönüşüm, AML Uyum