Kredi Kartı Bilgilerinin Saklanmasinin Üye İşyeri Açisindan Hukuki Sonuçlari Ve Riskleri
KREDİ KARTI BİLGİLERİNİN SAKLANMASI
Kredi kartlarına ilişkin bilgilerin saklanmasına ilişkin hukuki düzenleme Banka Kartları ve Kredi Kartları Kanununun 23. maddesinde yapılmıştır. Maddede yer alan “Üye işyerleri, kartın kullanımı sonucunda kart ve kart hamili ile ilgili edindikleri bilgileri, kanunla yetkili kılınan kişi, kurum ve kuruluşlar hariç olmak üzere kart hamilinin yazılı rızasını almadan başkasına açıklayamaz, saklayamaz ve kopyalayamaz.” ifadesi ile üye işyerleri tarafından kredi kartı bilgilerinin saklanması kart hamilinin yazılı rızasına bağlanmıştır.
Aynı fıkranın devamında, üye işyeri anlaşması yapan kuruluşların (POS Sözleşmeleri kapsamında Şirket ile çalışan Bankalar) kart bilgilerinin gizliliğini içeren bu hükümleri gözetmekle yükümlü oldukları belirtilmiştir.
KART BİLGİLERİNİN 3. KİŞİLER TARAFINDAN ELDE EDİLMESİ HALİNDE ŞİRKETİN HUKUKİ SORUMLULUĞU
Kredi kartı bilgilerinin 3. Kişilerin eline geçmesi durumunda Şirketin hukuki yönden sorumluluğunu iki yönlü olarak düşünmek yerinde olacaktır;
Tüketici Yönünden
Banka Kartları ve Kredi Kartları Kanunu’ nun muhtelif maddelerinde belirtildiği üzere üye işyeri konumunda bulunan Şirket, bünyesinde muhafaza edilen kart bilgilerinin güvenli bir şekilde saklanmasından sorumludur. Bunun yanında aynı Kanunun 16. Maddesindeki “ Kart hamili, kendisine tevdi edilen kartı ve kartın kullanılması bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa bu bilgileri güvenli bir şekilde korumak ve başkaları tarafından kullanılmasına engel olacak önlemleri almak, kartın kaybolması, çalınması veya iradesi dışında gerçekleşmiş herhangi bir işlemi öğrenmesi halinde kart çıkaran kuruluşu derhal haberdar etmek zorundadır.” ifade ile Tüketiciye de kart bilgilerinin korunması için sorumluluklar yüklenmiştir.
Bu bilgilere dayanılarak saklanan kart bilgilerinin 3. Bir şahıs tarafından Şirket sisteminden hukuka aykırı olarak ele geçirilmesi halinde Şirket’in sisteminin güvenlik zaafiyeti olduğu karinesi ortaya çıkacaktır. Tüketici oluşan zararını bu karine üzerinden direkt olarak Şirket’ e yöneltebilecektir.
Yöneltilebilecek bu zarar taleplerinin asgariye indirilmesi adına Tüketiciden sisteme girişi sırasında kredi kartı bilgilerinin saklanmasına ilişkin alınan onayın yanında; işbu kredi kartı bilgilerinin Şirket tarafından güvenli olarak muhafaza edilmesi için mümkün olan en yüksek güvenlik tedbirlerinin alınacağı ancak buna rağmen kart bilgilerinin 3. Kişilerin eline geçme riskinin sistemin doğası gereği her zaman bulunduğunun ve Şahıs tarafından işbu riskin kabul edildiğine dair bir beyanın bulunması hukuki olarak uygun olacaktır. Böyle bir beyanın olması durumunda Şahsın md. 16’ dan kaynaklanan sorumlulukları kapsamında müterafik sorumluluktan bahsedilmesi mümkün olabilecektir. Ancak bu durumda dahi Şirket oluşan zararın büyük bir bölümünden sorumlu tutulabilecektir.
Bankalar Yönünden
Kart bilgileri çalınan Şahsın oluşan zararın karşılanması için direkt olarak kredi kartını tahsis eden Bankaya başvurma hakkı da hukuken mevcuttur. Böyle bir başvuru halinde Tüketici ile Banka kusurları oranında mecvut olan zararı paylaşacaklardır. Tüketicinin durumu Bankaya zamanında bildirim yükümlülüğü, Bankanın hesabı bloke etmesi kart sahibine ulaşma gibi yükümlülüklerini zamanında yerine getirip getirmemesi zararın paylaşımında önemli kriterler olacaktır.
Bankanın kusuru oranındaki zararı ödemesini takiben Banka, ödemiş olduğu meblağ için üye işyerine (Şirket) rücu hakkına sahip olacaktır. Bu durumda da zararın oluşmasında ve büyümesinde tarafların kusur durumları dikkate alınacaktır. Yukarıda belirtildiği gibi Bankaların üye işyerlerini kart bilgilerinin gizliliği konusunda denetim yükümlülüğünün bulunması nedeni ile olası zarardan belirli bir oranda sorumluluğunun bulunması kaçınılmazdır.
Bu nedenle Bankalar sorumluluk riskinden tamamen kurtulmak adına üye işyerleri ile arasında mevcut olan POS Sözleşmelerinde konuya ilişkin hükümlere yer verebilmektedir. POS Sözleşmesinde üye işyeri tarafından Kredi Kartı bilgilerinin hiçbir şekilde saklanamayacağına yönelik bir taahhüt verilmiş olması halinde ilgili tüm zararın Sözleşmesel yükümlülükler çerçevesinde Şirket tarafından Bankaya ödenmesi sözkonusu olabilecektir. Bu nedenlerle bilgi saklama sisteminin kurulması öncesinde POS sözleşmeleri içeriklerinin kart bilgilerinin saklanması işlemine uygun hükümler içerip içermediğinin incelenmesi yerinde olacaktır.
KART BİLGİLERİNİN 3. KİŞİLER TARAFINDAN HUKUKA AYKIRI OLARAK ELE GEÇİRİLMESİ HALİNDE ŞİRKETİN CEZAİ SORUMLULUĞU
Banka Kartları ve Kredi Kartları Kanunu’ nun Bilgi Güvenliği Yükümlülüğüne aykırı Davranılması 39. Maddesi ile cezai yaptırım altına alınmıştır. Buna göre; “Kartların kullanılması için zorunlu olup gizli kalması gereken kod numarası, kart numarası, şifre ya da kimliği belirleyici başka bir yöntemin dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik veya emir ve kurallara aykırılık nedeniyle açığa çıkmasına neden olan kart çıkaran kuruluşlar, üye işyerleri ve üye işyeri anlaşması yapan kuruluşların işlerini fiilen yöneten görevli ve ilgili mensupları bin güne kadar adlî para cezası ile cezalandırılırlar.” İlgili maddede yer alan “dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik” gibi geniş kavramlar nedeni ile maddenin neredeyse tüm kredi kartı bilgilerinin 3. Kişilerin eline geçtiği olaylarda uygulama şansı bulabileceği ifade edilebilir. Aynı maddde ilgili madde ile ilgili soruşturma ve kovuşturma yapılması BDDK’ nın veya suçtan zarar göre ilgililerin Cumhuriyet Başsavcılığına Başvurmasına bağlı kılınmıştır.
Tüketici’ nin kredi kartı bilgilerinin Şirket’ in sisteminden 3. Kişiler tarafından ele geçirilmesi, yukarıda belirtilen Kanundaki cezai yükümlülük dışında Türk Ceza Kanunu başta olmak üzere diğer mevzuatlarda suç kapsamında tanımlanmamıştır.
Sanal Hukuk Platformunun kurucuları arasında yer alan Musab; Platformun Genel Yayın Editörü konumundadır.
İletişim: musab.gunes@sanalhukuk.net
