11.01.2022 tarihli 31716 sayılı Resmi Gazete’de yayımlanan Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (‘’Yönetmelik’’) ile uzaktan kimlik tespiti yöntemlerinin bankacılık işlemlerinde kullanılması hususu düzenlenmiştir.
6361 sayılı Finansal Kiralama, Faktoring Finansman ve Tasarruf Şirketleri Kanunu (“Kanun”) finansal kiralama sözleşmesini düzenleyen 22. maddesi, faktoring sözleşmesini düzenleyen 38. maddesi ve finansman sözleşmesini düzenleyen 39. maddesi uyarınca; “sözleşmelerin yazılı veya uzaktan iletişim araçlarının kullanılması suretiyle mesafeli olarak ya da mesafeli olsun olmasın Bankacılık Düzenleme ve Denetleme Kurulu’nun yazılı şeklin yerine geçebileceğini belirlediği ve bir bilişim veya elektronik haberleşme cihazı üzerinden gerçekleştirilecek ve müşteri kimliğinin doğrulanmasına imkân verecek yöntemler yoluyla kurulacak şekilde düzenlenmesi” öngörülmüştür. Bu kapsamda Kanun hükümleri, Yönetmelik’e dayanak teşkil etmektedir.
Uzaktan Kimlik Tespiti Yapmaya Yetkili Şirketler Kimlerdir ?
Yönetmelik 3/k maddesi uyarınca; 6361 sayılı Kanunun 3 üncü maddesindeki “şirket” tanımına atıf yapılmış olup; Kanunun 3/ı maddesi uyarınca “şirket”, “Türkiye’de kurulu finansal kiralama şirketleri, faktoring şirketleri, finansman ve tasarruf finansman şirketleri” olarak tanımlanmıştır. Bu kapsamda sayılan şirketler uzaktan kimlik tespiti yöntemlerini kullanmaya yetkili kılınmıştır.
Uzaktan Kimlik Tespiti Yöntemleri ile Kimlerin Kimliği Tespit Edilebilir?
Yönetmelik 3/g maddesi uyarınca; gerçek ve tüzel kişilerin elektronik ortamda kimlik tespitleri yapılabilir. Ancak Yönetmelik tarafından öngörülen sistemin uygulanabilmesi için kişinin kimlik kartında MRZ yer almalıdır.
Yönetmelik 3/ı maddesi uyarınca MRZ: Optik karakter okuma yöntemlerini kullanarak makine okuması için biçimlendirilmiş, zorunlu ve isteğe bağlı verileri kapsayan, kimlik belgesi üzerinde yer alan ve doğrulama için kullanılan kısımdır.
Uzaktan Kimlik Tespit Yöntemleri Kullanmaya Başlamadan Önce Uyulması Gereken Temel İlkeler Nelerdir ?
Yönetmelik 4. maddede süreç başlatılmadan önce uyulması gereken genel ilkeler belirlenmiştir. Bu maddeye göre;
- Uygulanacak kimlik tespiti yöntemi, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
- Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınır.
- Uzaktan kimlik tespiti işlemi, kritik bir işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya müşteri temsilcisi tarafından tek başına başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve müşteri temsilcisi tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanır. Müşteri temsilcisi tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir onaya gönderilir veya sonlandırılır.
- Uzaktan kimlik tespitine ilişkin kullanılacak süreç, sistem, ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir ve dış hizmet alımında önemli bir kriter olarak değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şarttır.
- Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur.
- Şirketin belirlediği uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç dokümanları oluşturulur ve sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarının başarılı bulunmaması durumunda süreçte gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliği sağlanmadıkça süreç uygulanmaz.
- Uzaktan kimlik tespiti süreci yılda en az bir defa gözden geçirilir. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, şirketin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.
Uzaktan Kimlik Tespit Yöntemi Başlatılması ile Uyulacak İlkeler Nelerdir?
Yönetmelik 6. madde Sürecin başlatılması ile uyulması gereken genel ilkeleri belirlemiştir. Buna göre;
- Uzaktan kimlik tespiti sürecinde görüntülü görüşme başlamadan önce kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği şirket uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilir. Risk değerlendirmesi sonucunda gerekiyorsa görüntülü görüşme başlatılmadan süreç sonlandırılır.
- Bu Yönetmelik kapsamında uygulanacak uzaktan kimlik tespiti sürecinde, kişinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisi kullanılabilir ve kişinin buna dair açık rızası elektronik ortamda kayıt altına alınır.
- Müşteri temsilcisine uzaktan kimlik tespiti işlemleri atanırken önceden tahmin edilebilir durumlardan kaynaklı suistimal olasılığını azaltmak için gerekli mekanizmalar tesis edilir.
- Kişi ile yapılacak görüntülü görüşmeden önce müşteri temsilcisinin soracağı asgari sorular belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz eder.
- Uzaktan kimlik tespitinin görüntülü görüşme aşaması gerçek zamanlı ve kesintisiz şekilde yapılır. Müşteri temsilcisi ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca güvenli iletişim ile gerçekleştirilir.
- Gerçekleşen iletişimin görüntü ve ses kalitesinin, bu Yönetmelikte yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olması sağlanır. Görüntü kalitesi, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine olanak tanır.
- Uzaktan kimlik tespiti sürecinde kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Sistemde bu SMS OTP’nin başarılı şekilde onaylanması durumunda kişinin cep telefonu numarası doğrulanmış olur.
Uzaktan Kimlik Tespit Yöntemleri Nasıl Olacaktır?
Yönetmelik 12. maddesi uyarınca, kişilerin kimlik doğrulaması iki aşamalı olarak gerçekleştirilecek olup, müşterinin kimliğini tespit etmeye yarayan ve resmî kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadı, elektronik ortamdaki hizmetlerin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla kullanılamaz.
Kimlik doğrulaması için beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve ıslak imzaya sahip olan kimlik belgesi kullanılır. Ayrıca Yönetmelik 6/2 maddesi uyarınca; kişinin özel nitelikli kişisel verilerden olan biyometrik verileri ile doğrulama yapılması da mümkündür. Ancak biyometrik veri ile doğrulamanın kullanılabilmesi için elektronik ortamda açık rıza alınması gerektiği ve bu açık rızanın saklanması gerektiği belirtilmiştir.
Uzaktan Kimlik Tespiti Uygulamasında Dış Hizmet Alımı Mümkün Müdür?
Yönetmelikte doğrudan uzaktan kimlik tespiti uygulamasına ilişkin olarak şirketin dış hizmet alımı yapmasının mümkün olduğu doğrudan düzenlenmemiş olsa da çeşitli maddelerde dış hizmet alımına yönelik atıflar yapılarak, bu hususun mümkün olduğu ifade edilmiştir. Bu kapsamda;
Yönetmelik 3/i maddesi uyarınca, “müşteri temsilcisi”, kişinin uzaktan kimlik tespitini yapacak şirket personelini ya da dış hizmet alımı yoluyla istihdam edilen personeli olarak tanımlanmıştır. ;Yönetmelik 4. maddesi 5. fıkrası uyarınca, uzaktan kimlik tespitine ilişkin kullanılacak süreç, sistem, ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir ve dış hizmet alımında önemli bir kriter olarak değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şarttır.
Yönetmelik 5. maddesi 8. fıkrası uyarınca, dış hizmet alımıyla müşteri temsilcisi istihdam edilmesi durumunda söz konusu müşteri temsilcisinin şirkete özel erişimi sınırlandırılmış ayrı bir alanda çalışması Kurum iznine tabidir.
Uzaktan Kimlik Tespit Yöntemlerinde Sorumluluk Kimdedir ?
Yönetmelik 11. maddesi uyarınca; uzaktan kimlik doğrulamasının herhangi bir hataya yer vermeyecek şekilde kullanmasına ve gerekli güvenlik önlemlerinin alınmasına ilişkin sorumluluk kimlik doğrulamasını yapan şirkete yükletilmiştir. Ayrıca şirkete, kimlik doğrulamasını yapan müşteri temsilcisine en az yılda bir kere kişisel verilerin korunmasına ilişkin eğitim alması da dahil olmak üzere çeşitli eğitimler verilmesi gibi çeşitli ek yükümlülükler de yükletilmiştir.
Yönetmelik Ne Zaman Yürürlüğe Girecektir ?
Yönetmelik 15. maddesi uyarınca; Yönetmelik, yayımlandığı tarih olan 11 Ocak 2022 tarihinden 1 ay sonra yürürlüğe girecektir.
Daha fazla okuma için;
https://www.eralp.av.tr/makaleler/