Kripto Varlık Hizmet Sağlayıcıları’nın Müşteri Tanıma Yükümlülüğü

KRİPTO VARLIK HİZMET SAĞLAYICILARI’NIN YENİ YÜKÜMLÜLÜKLERİNE İLİŞKİN DEĞERLENDİRMELER

 

1 Mayıs 2021’de Resmi Gazetede yayımlanan ve kripto varlık hizmet sağlayıcıların (kripto para borsaları), Suç̧ Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (Yönetmelik) kapsamındaki “Yükümlü” tanımına eklenmesinin bazı somut sonuçları olacaktır.

Bu değişikliğin borsaların müşteri tanıma uygulamaları ve KVKK uygulamalarına etkileri üzerine değerlendirmelerimi ilgililere sunmak amacıyla bu bilgi notunu hazırladım.

 

Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve Kripto Varlık Hizmet Sağlayıcılar

5549 Sayılı Kanun ve ilgili yönetmelik, yükümlülere başta müşterinin tanınması (KYC) ve şüpheli işlem bildirimi olmak üzere bazı sorumlulukları getiriyor.

Böyle bir “müşteri tanıma” yükümlülüğünün olası bir regülasyon ile geleceğini öncesinde öngören kripto varlık hizmet sağlayıcıları (borsalar) zaten müşteri tanımaya ilişkin bankaların bile kullanmadığı aşırı güvenlikli yöntemler kullanıyorlardı.

Bu yöntemler arasında tüm kimlik bilgilerinin alınması, müşterinin özçekiminin fotoğraf olarak sisteme yüklenmesi, e-devletten ikametgah belgesi, nüfus kayıt örneği alınması ve doğrulama kodunun toplanması gibi yöntemlerin yanında “boş bir belgeye şunları yaz, bir elinde kimlik diğerinde belge, ortada yüz fotoğraf çek” diyeninden çekilen fotoğraf ile kimlikteki fotoğrafı biyometrik sistemlerle analiz edenlere kadar pek çok yöntem kullanılıyordu. Bu kimlik doğrulama metodları arasındaki farklılıkların regülasyon ile giderileceği düşünülüyordu.

İşte müşteri tanıma konusunda beklenen regülasyon mali suçların önlenmesi ile sınırlı olarak geldi denilebilir.

5549 Sayılı Kanunun 3. Maddesi şöyledir:

Müşterinin tanınması

MADDE 3 – (1) Yükümlüler, müşterinin tanınmasına ilişkin esaslar kapsamında; kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorundadır.

(2) Kimlik tespitine esas belge nevilerini belirlemeye Bakanlık yetkili olup, kimlik tespitini gerektiren işlem türleri, bunların parasal sınırları ile müşterinin tanınmasına ilişkin ve konuyla ilgili diğer usûl ve esaslar yönetmelikle belirlenir.

Yani müşteri kimliklerini doğrulamak bir yükümlülük artık. Ancak bu kimlik tespitinin ne şekilde yapılacağı ve hangi bilgilerin alınacağı Yönetmelik’te belirtiliyor. Yönetmeliğin 5. Maddesinde bazı işlemlerde parasal sınır öngörülmüşse de borsalar sürekli iş ilişkisi modeli ile çalıştığından bu parasal sınırlar geçerli olmaksızın her türlü işlemde kimlik tespiti yönetmelikte belirtilen şartlarla gerçekleştirilmelidir.

 

Yönetmelik ve Kimlik Tespitinde Alınacak Kişisel Veriler

Kimlik tespitinde istenecek belgeler Yönetmelik’in 6. Maddesinde belirtilmiştir. Bu kapsamda borsalar, iş ilişkisi tesisinden (kullanıcı hesabı açılması) önce sırasında gerçek kişi müşterilerinden bazı bilgileri almak ve kimlik tespitini yapmakla yükümlüdür.

Kimliğe ilişkin:

• Adı, soyadı, doğum yeri ve tarihi, uyruğu, kimlik belgesinin türü ve numarası, adresi ve imza örneği[1], iş ve mesleğine ilişkin bilgiler, varsa telefon numarası, faks numarası, elektronik posta adresi ile Türk vatandaşları için bu bilgilere ilave olarak anne, baba adı ve T.C. kimlik numarası bilgileri alınır.

İlgilinin adı, soyadı, doğum tarihi, T.C. kimlik numarası ve kimlik belgesinin türü ve numarasına ilişkin bilgilerin doğruluğunun kontrolüne ilişkin:

• Türk uyruklular için T.C. nüfus cüzdanı, T.C. sürücü belgesi veya pasaport ile üzerinde T.C kimlik numarası bulunan ve özel kanunlarında resmi kimlik hükmünde olduğu açıkça belirtilen kimlik belgeleri,
• Türk uyruklu olmayanlar için pasaport, ikamet belgesi veya Bakanlıkça uygun görülen kimlik belgesi,

Üzerinden teyit edilir.

Ayrıca yetkililerce istenildiğinde sunulmak üzere teyide esas kimlik belgelerinin asıllarının veya noterce onaylanmış suretlerinin ibrazı sonrası okunabilir fotokopisi veya elektronik görüntüsü alınır yahut kimliğe ilişkin bilgiler kaydedilir.

Bunların yanında hesap açılışında beyan edilen adresin doğruluğu;

• yerleşim yeri belgesi,
• ilgili adına düzenlenmiş elektrik, su, doğalgaz, telefon gibi abonelik gerektiren bir hizmete ilişkin olan ve işlem tarihinden önceki üç ay içinde düzenlenmiş fatura,
• herhangi bir kamu kurumu tarafından verilen belge veya Başkanlıkça uygun görülen diğer belge

ve yöntemlerle teyit edilir. Teyide esas belgelerin okunabilir fotokopisi veya elektronik görüntüsü alınır yahut belgeye ait ayırt edici bilgiler kaydedilir. Ufak bir ayrıntı: 1/1/2016 tarihinden önce düzenlenmiş olan T.C. sürücü belgeleri üzerinden yapılacak kimlik tespitinde T.C. kimlik numarasının doğruluğunun teyidi zorunlu değildir. Ayrıca şunu da eklemekte fayda var, Yönetmeliğe göre yükümlüler, kullanıcıların bir başkasının hesabına hareket etmediğine ilişkin yazılı beyanlarını almalı ve başkası adına hareket edilip edilmediğini tespit etmek amacıyla gerekli tedbirleri almalıdır.

Çok fazla belge talep ediliyor gibi duruyor. Ancak toplanması gereken kişisel veriler bunlarla sınırlı değil. Çünkü işlemler yapısal olarak uzaktan iletişim araçları ile yürütülüyor. Hiçbir müşteri borsanın şubesine gitmiyor, hesabına internet üzerinden ulaşıyor, mobil uygulamayla hesabını kontrol ediyor. Durum böyle olunca Yönetmelik uzaktan kimlik tespitinde ek kimlik tespiti metodları ekliyor. Yönetmeliğin gerçek kişilerde uzaktan kimlik tespiti başlıklı 6/A. Maddesi şöyle:

Yükümlünün asli faaliyet alanı ile ilgili mevzuatta müşteri ile yüz yüze gelinmeksizin kimliğinin doğrulanmasına imkân verecek yöntemlerle sözleşme kurulmasına cevaz verilmiş olması halinde, gerçek kişilerle sürekli iş ilişkisi tesisinde müşteri kimliğinin doğrulanması amacıyla uzaktan kimlik tespiti yöntemleri kullanılabilir. Bakanlık, uzaktan kimlik tespitinde uygulanacak yöntemler ve müşterinin tanınması kapsamındaki diğer tedbirler ile uzaktan kimlik tespiti yapılabilecek diğer işlem türlerini yükümlüler itibarıyla belirlemeye yetkilidir.

Bu yetkiye dayanılarak kripto varlık hizmet sağlayıcıların Yükümlü kabul edilmesinden bir gün önce, 30 Nisan’da resmi gazetede bir tebliğ yayınlandı: “19 Sıra Nolu MASAK Genel Tebliği”. Bu tebliğ Uzaktan kimlik tespiti yöntemlerine ilişkin usul ve esasları belirliyor.

 

Uzaktan Kimlik Tespitinde İlişki Genel Esaslar ve Sıkılaştırılmış Tedbirler

Tebliğde genel esaslara ilişkin en somut yükümlülük adres ve kimlik bilgilerinin İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü kimlik paylaşım sistemi veri tabanı üzerinden sorgulanarak teyit edilmesi gerekliliği. Böylece ikametgah belgesi teyidi gerçekleştiren borsaların buna bir de kimlik teyidini eklemesi gerekecek.

Sıkılaştırılmış tedbirlere ilişkin yapılması gerekenler ise şöyle:

Müşterinin başvurusu ile birlikte müşteri profilinin oluşturulması ve değerlendirilmesini teminen kişi hakkında risk değerlendirmesi yapılır. Bu kapsamda müşteri hakkında Yönetmeliğin 6 ncı maddesi kapsamında alınması gereken bilgilerin yanı sıra asgari olarak;

• iş ilişkisinin amacı ve mahiyeti (hesap açma amacı, talep edilen ürünler ve benzeri),
• işleme konu malvarlığının ve müşteriye ait fonların kaynağı ile
• ortalama gelir bilgisi,
• açılacak hesabın aylık tahmini işlem hacmi ve
• işlem sayısına

yönelik bilgiler alınır.

Bunların yanında tebliğde finansal kuruluşlar[2] ile finansal olmayan belirli iş ve mesleklere[3] ilişkin ek tedbirler getirilmişse de kripto varlık hizmet sağlayıcıları bu iki tanıma da girmediklerinden sayılan tedbirleri almakla yükümlü değillerdir.

 

Sonuç Olarak

30 Nisan’da gerçekleşen gelişmeler ışığında görüldü ki, kripto varlık hizmet sağlayıcısı borsalar, KVK uzmanlarının sıklıkla eleştirdiği “selfie ile kimlik doğrulama” gibi orantısız kişisel veri işlemlerine son vermeli ve öngörülen yeni yükümlülükler için gerekli teknik geliştirmeleri hayata geçirmeye bir an önce başlamalıdır. Ancak getirilen yükümlülüklerin hukuka aykırı tarafları da olduğu unutulmamalıdır. Bu kapsamda son gelişmeler şöyle özetlenebilir:

1. Kripto para borsaları “Kripto Varlık Hizmet Sağlayıcısı” olarak tanımlanmış ve mali suçların önlenmesi ile sınırlı olarak regüle edilmiştir.
2. Kripto varlık hizmet sağlayıcılarının kimlik tespitine yönelik yükümlülükleri geniş kapsamlı mevzuatla tanımlandığından, şimdiye kadar geçekleştirdikleri başta “belge tutmalı selfie” olmak üzere Yönetmelik’te ve Tebliğ’de belirtilmeyen uygulamalar KVKK’nın 4. Maddesinde sayılan “ölçülülük” ilkesine aykırılık teşkil edecektir.
3. Bunun yanında kimlik doğrulama sistemleri ve risk analizi için müşteriye sorulacak sorular kapsamında işlenecek yeni kişisel veriler KVKK’nın 5. maddesinin 2. fıkrasının (ç) bendinde yer alan, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması sebebine dayanılarak işlenebilecektir.
4. Müşteri tanımaya ilişkin fazladan kişisel veri işlenmesine ilişkin getirilen yükümlülükler Anayasa’nın 13. ve 20. maddeleri gereği ancak kanun ile düzenlenebilir. Ancak fiili olarak hukuk devleti ilkesi terk edilip, genelge devleti uygulamasına geçildiğinden Danıştay tarafından yürütmesi durdurulana veya iptal edilene değin sayılan yükümlülükler yerine getirilmelidir.
5. Yönetmelikte veya Tebliğde yazmaması sebebiyle cep telefonu ve e-posta adresinin doğrulanması uygulamaları terk edilmemelidir. Bu yükümlülük kişisel verilerin yetkisiz kişilerin eline geçmesini engellemek amacıyla Kişisel Verileri Koruma Kurulu’nun 2020/966 sayılı ilke kararı kapsamında gerçekleştirilmesi gereken bir uygulamadır.
6. Müşteri kimlik tespiti süreçlerinin yanında Bankalar ve diğer yükümlülerde olduğu gibi, Kripto Varlık Hizmet Sağlayıcıları’na da MASAK‘a bilgi verme, şüpheli işlem tespiti halinde bildirimde bulunma ve Maliye Bakanı tarafından müşteriler hakkında alınan işlemin ertelenmesi kararlarına uyma gibi yükümlülükler de getirilmiştir.

 

Av. Umut Zorer

 

 

 

[1] Yalnızca yüzyüze gerçekleştirilen işlemlerde aranır. Uzaktan kimlik tespitinde alınması zorunlu değildir. Ancak daha sonra yüzyüze işlem gerçekleştirilirse imza örneği alınır.

[2] Finansal kuruluş: Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (a) ila (h) ve (m) bentlerinde sayılan yükümlüler ile bankacılık faaliyetleriyle sınırlı olarak Posta ve Telgraf Teşkilatı Anonim Şirketini ifade eder. (Bankalar, Sermaye piyasası mevzuatı çerçevesinde takas ve saklama hizmeti veren kuruluşlar ve Kıymetli madenler aracı kuruluşları.)

[3] Finansal olmayan belirli iş ve meslekler: Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (k), (n), (s), (ş), (t) ve (u) bentlerinde sayılan yükümlüleri ifade eder. (Kıymetli maden, taş veya mücevher alım satımı yapanlar ile bu işlemlere aracılık edenler; Ticaret amacıyla taşınmaz alım satımıyla uğraşanlar ile bu işlemlere aracılık edenler; Noterler; Savunma hakkı bakımından diğer kanun hükümlerine aykırı olmamak ve 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanununun 35 inci maddesinin birinci fıkrası ile alternatif uyuşmazlık çözüm yolları kapsamında ifa edilen mesleki çalışmalar nedeniyle edinilen bilgiler hariç olmak üzere, taşınmaz alım satımı, sınırlı ayni hak kurulması ve kaldırılması, şirket, vakıf ve dernek kurulması, birleştirilmesi ile bunların idaresi, devredilmesi ve tasfiyesi işlerine ilişkin finansal işlemlerin gerçekleştirilmesi, banka, menkul kıymet ve her türlü hesaplar ile bu hesaplarda yer alan varlıkların idaresi işleriyle sınırlı olmak üzere serbest avukatlar; Bir işverene bağlı olmaksızın çalışan serbest muhasebeci, serbest muhasebeci mali müşavir ve yeminli mali müşavirler.)