A
çık bankacılık(Open Banking), kısaca bankacılık işlemleri için toplanan finansal verilerin bankalar tarafından üçüncü parti programlarla paylaşılarak kullanıcılar için yenilikçi bir dijital deneyim ihtiyacı ile doğan fintech alanı olarak tanımlanabilir. Bankacılık işlemlerimiz için toplanan kişisel verilerimizi 3. Parti uygulamalarda da görebilmek, tüm bankacılık işlemlerimizi tek bir uygulama üzerinden yürütmek ya da fintech alanında kullandığımız diğer ödeme yöntemleri ile bankacılık işlemlerimizi entegre edebilmek açık bankacılığın hedefleri arasında sayılabilir.
Bizlerden toplanan kişisel verileri bizim için kullanmayı hedefleyen açık bankacılık sisteminin dayanağı API( Application Programming Interfaces) adı verilen ve yazılım ve uygulamalar arası işlevsel bağlantı görevi gören arayüzler ile sağlanıyor. Açık API lar ile bankalar ve fintech uygulamaları ve hatta diğer tüm yazılım ve uygulamalar arasında kurulmak istenen ağ, kullanıcı deneyimi için yeni bir sayfa açsa da finansal verilerin paylaşımı noktasında yeni soru işaretleri oluşturuyor. Ancak bu soru işaretlerine bakmadan önce gelin açık bankacılığın dünyada ve ülkemizdeki gelişimine bakalım.
Dünyada Açık Bankacılık
Açık bankacılık fikrinin dünyadaki öncüsü Birleşik Krallık olarak belirtiliyor. Avrupa Birliği içinde ilk tohumlar ise 2007 yılında yürürlüğe giren PSD(Payment Services Directive) ile atılıyor. 2009 yılında yapılan güncellemeler ile PSD1 adını alan düzenleme ile Ödeme Hizmetleri Sağlayıcısı adı altında bankalar özelinde yürütülen ödeme sistemlerine yeni bir oyuncu daha ekleniyor. Bu düzenlemenin açık bankacılık için hedeflenen çoklu oyuncu ortamına izin verdiği gibi fintech alanında ilerleyen startuplar için oldukça önemli bir gelişme olduğunu da belirtmemiz gerekiyor.
PSD1 in daha gelişmiş hali olarak lanse edilen ve 2016 yılında yürürlüğe giren PSD2 ise hesap bilgileri hizmet sağlayıcıları(account information service providers) ve ödeme başlatma hizmet sağlayıcıları(payment initation service providers) adında iki yeni kavramı daha açık bankacılık sistemine dahil ediyor. Ancak PSD2 nin getirdiği asıl önemli yenilik bankaların ödeme hizmetlerini API lar ile yoluyla 3. Parti hizmet sağlayıcılara açması yönünde yapılan düzenleme ile oluyor.
Bugün dünyada Avrupa Birliği ülkeleri, Japonya ve Meksika’da bankaların açık bankacılık sistemine dahil olması zorunlu. Çin, Hong Kong, Arjantin ve Singapur ise açık bankacılık sistemini teşvik eden ülkeler.
Türkiye’de Açık Bankacılık
Ülkemizde 2013 yılında yürürlüğe giren Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’da 2019 yılında yapılan değişiklik ile ödeme kuruluşları da sisteme dahil edilerek açık bankacılık düzenlemelerinin önü açılıyor.
15.03.2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği ise açık bankacılık uygulamalarını detaylandırıyor. Bu detaylandırmanın büyük bölümünü veri güvenliğine ilişkin hususlar oluşturuyor. Yine Avrupa Parlamentosu’nda 2019 yılında kabul edilen Regulatory Tecnic Standards da açık bankacılığın getirdiği veri güvenliği risklerini azaltmak üzere oldukça titiz bir çalışma olduğunu belirtmemiz gerekiyor.
Açık bankacılığın kullanıcılar için getireceği kolaylık, dijitalleşme yolunda atılan önemli bir adım ve girişimcilik için önemli bir fayda olmasının yanında kişisel verilerimizin paylaşılması ve korunması yolunda da bir takım riskler doğurduğu açık. Bankacılık işlemlerimiz sırasında toplanan kişisel verilerimizin 3. Parti uygulamalar, diğer ödeme kuruluşları ya da diğer bankalar ile paylaşılması elbetteki açık rızamıza bağlı olacaktır.
Peki Kişisel Verilerimizin Açık Bankacılık Uygulamaları İçin Paylaşılmasını İstiyor muyuz?
Kişisel verilerin aktarımı ve güvenliği konusunda toplum nezdinde oluşan hassasiyetin yanında toplanan kişisel verilerimiz bize fayda sağlayacak uygulamalara dönüşebilir. Ancak kişisel verilerimizin bankalar tarafından 3. Parti uygulamalara ya da diğer bankalara aktarımına izin verdiğimizde oluşabilecek güvenlik zafiyetleri de açık bankacılık sisteminin riskli yönünü oluşturuyor.
Fintech İstanbul tarafından 2019 yılında hazırlanan rapora göre Hollanda, Almanya ve Kanada’da açık bankacılık uygulamalarında tüketici güveninin üst düzeyde olduğu görülüyor. 2019 yılından bugüne pandeminin etkisi ile artan dijitalleşme ve aynı oranda artan siber güvenlik riskinin tüketici güvenine etkisini de ölçümlemek gerekiyor. Ancak toplanan kişisel verilerimizin API lar yardımı ile kullanıcı yararına uygulama ve çözümlere dönüşmesi de beklenen faydalar arasında olduğunu belirtmemiz gerekir.
Açık Bankacılık ve Hizmet Şartına Bağlanamayan Açık Rıza
Açık bankacılık, kişisel verilerimizin bizim için daha işlevsel uygulamalarda kullanılmasını yukarıda da bahsettiğimiz üzere API lar yolu ile 3. Parti uygulamalara aktararak sağlıyor. Bu aktarım için ise ilgili kişilerin açık rızasının bulunması gerekiyor. İlgili kişilerden alınan açık rızanın geçerli olabilmesi için belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür irade ile alınmış olması gerekiyor. Açık bankacılık uygulamalarında açık rıza alınması için bu şartlar sağlanabilse bile Kişisel Verileri Koruma Kurulu tarafından açık rızanın hizmet şartına bağlanamayacağı yönündeki kararının bu konuya ne derece etki edeceği ise yeni bir tartışma doğuracak gibi görünüyor.
Tüm bu değerlendirmeler neticesinde, kişisel veri toplamanın yalnızca özel hayatın gizliliğine dair bir tehdit olarak değil kişiler için avantaja dönüşebilecek işlevsel uygulamalar için de kullanılabileceğini görüyoruz. Teknolojinin gelişimi ve yeni iş modellerinin oluşumu ile kişisel verilerin işlenmesi yönünde alınan kararların da bu doğrultuda değerlendirilmesi gerekiyor.
