Uzaktan kimlik tespiti yöntemleri ve elektronik ortamda sözleşme

Yazar: *Av. Ayça Berker

 Aracı kurumlar ve portföy yönetim şirketleri tarafından kullanılacak uzaktan kimlik tespiti yöntemlerine ve elektronik ortamda sözleşme ilişkisinin kurulmasına yönelik tebliğ yayınlandı.

Uzaktan kimlik tespiti sürecinde kullanılacak yöntemleri, personele ve çalışma ortamına yönelik düzenlemeleri ve elektronik ortamda sözleşme ilişkisi kurulmasına yönelik yükümlülükleri düzenlemekte olan tebliğin kapsamındaki yükümlülükler, şirketlerin faaliyetlerini doğrudan ilgilendirmekte. Bu sebeple ilgili düzenlemelerin şirketler için uyum süreci gerektirdiğini ve şirkette yapısal değişikliklere sebep olması nedeniyle önem taşıdığını belirtmek isterim.

1. GİRİŞ

08.02.2022 tarih ve 31744 sayılı sayılı Resmî Gazete’de, Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (“Tebliğ”) yayımlanmıştır.

İlgili “Tebliğ”, yayım tarihinden 1 ay sonra (08.03.2022’de) yürürlüğe girecektir.

08.03.2022 tarihi itibariyle yürürlüğe girecek Tebliğin amacı, aracı kurumlar ve portföy yönetim şirketleri tarafından yeni müşteri kabulünde kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve elektronik ortamda kurulup yazılı sözleşme yerine geçecek sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlemektir.

1. TEBLİĞE İLİŞKİN DÜZENLEMELER

1. Uzaktan Kimlik Tespit Sürecine İlişkin Genel İlkeler

Tebliğde uzaktan kimlik tespiti, personel ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevirim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması şeklinde tanımlanmıştır.

Bu hususta;

• Uzaktan kimlik tespitinde uygulanacak yöntemin, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanması,
• Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulması,
• Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası riskler dikkate alınıp yeterli seviyede güvenlik önlemleri alınması,
• Uzaktan kimlik tespiti sürecinin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve personel tarafından yapılacak onaylama ve ek kontroller ile tamamlanması,
• Yapılan işlemlerin personel tarafından riskli bulunması halinde işlemin ikinci bir personel onayına gönderilmesi veya sonlandırılması,
• Uzaktan kimlik tespiti sürecinin uygulanmasından önce, aracı kurum ve portföy yönetim şirketi tarafından iş akışı prosedürü oluşturulması ve prosedürde belirlenen sürecin etkinliği test edilip sonuçlarının yazılı hale getirilmesi,
• Sürece ilişkin test sonuçlarının başarılı olmaması durumunda, prosedürde gerekli güncellemelerin yapılması ve sürecin etkinliği ile yeterliliğinden emin olunmadıkça sürecin uygulanmaması,
• Uzaktan kimlik tespiti prosedürünün yılda en az iki defa gözden geçirilmesi ve gerekli güncellemelerin yapılması

gerekmektedir.

2. Uzaktan Kimlik Tespiti Yapacak Personele ve Çalışma Ortamına Yönelik Düzenlemeler

Uzaktan kimlik tespitinin görüntülü görüşme aşamasının bu konuda eğitim almış personel tarafından gerçekleştirilmesi gerekmektedir.

Personelin, yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dahil olmak üzere uzaktan kimlik tespiti sürecine ilişkin eğitim alması sağlanmalıdır.

Personelin çalışma ortamı, yaşanabilecek güvenlik zafiyetlerinin ya da suiistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı ve erişimi sınırlandırılmış ayrı alanlar içerisinde olmalıdır.

Ek olarak personelin çalıştığı ortamın, aracı kurum veya portföy yönetim şirketi adına çalıştığını yansıtacak şekle uygun oluşturulması ve engelli kişilere hizmet verebilecek nitelikte olması gerekmektedir.

3. Uzaktan Kimlik Tespiti Sürecinin Başlatılması ile Uyulması Gereken İlkeler

Görüntülü görüşme başlamadan önce kişinin başvurusu, aracı kurum veya portföy yönetim şirketi uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır.

Alınan formda asgari olarak, Mali Suçları Araştırma Kurulu Genel Tebliği’nin 6. maddesinin birinci fıkrasında yer alan bilgilerin bulunması gerekmektedir.

Form ile alınan veriler kullanılarak kişi hakkında risk değerlendirmesi yapılır ve gerekiyorsa görüşme başlatılmadan sonlandırılır.

Görüntülü görüşme kesintisiz devam etmelidir ve uçtan uca güvenli iletişim ile gerçekleştirilmelidir.

Kişinin alınan özel nitelikli verilerinden sadece biyometrik verisi kullanılabilir ve buna dair açık rıza, elektronik ortamda kayıt altına alınmalıdır.

Gerçekleşen iletişimin görüntü ve ses kalitesinin şüpheye yer bırakmayacak ve sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabileyecek nitelikte olması gerekmektedir.

Uzaktan kimlik tespiti sürecinde kişiye, yalnızca kimlik tespiti için geçerli merkezi olarak üretilen SMS OTP iletilmesi ve iletilen SMS OTP’nin başarılı şekilde kişi tarafından onaylanması durumunda kişinin cep telefonu doğrulamasının sağlanması gerekmektedir.

4. Uzaktan Kimlik Tespitinde Kullanılacak Yöntemler

• Görüntülü görüşme sırasında beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğrafa ve imzaya sahip olan kimlik belgesi kullanılmalıdır.
• Kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanması, kişinin kimliğinin tespiti için gereken eşleşmenin sağlandığı anlamına gelir.
• İlgili doğrulama; kimlik belgesinin yetkili makam tarafından verildiği, temassız yonga üzerindeki bilgilerin değiştirilmediği ve üzerindeki anahtarın kopyalanarak oluşturulmadığının tespitini gerektirir.
• İlgili doğrulamanın herhangi bir nedenle yapılamaması halinde; beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip kimlik belgesinin görsel güvenlik unsurlarından seçilen en az 4 adedinin doğrulanması sağlanır. Ayrıca kişinin yapacağı ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluş üzerinden yapılması gerekmektedir.
• Kimlik tespiti sırasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve personelin talimatlarına göre ek hareketler yapması sağlanmalıdır. Ayrıca sistem tarafından rastgele belirlenen kimlik belgesi kısımlarına, kişinin parmağını koyması istenir.
• Personelin, görüşme sırasında kişiyi ve kimlik belgesinin ön ile arka yüzüyle birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar / ekran görüntüleri oluşturması gerekir.
• Kimlik belgesindeki bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulamada yerine getirilmesi gereken diğer yükümlülükler de Tebliğ’de ayrıca belirtilmiştir.

5. Kimliği Tespit Edilecek Kişinin Doğrulanması

       Uzaktan kimlik tespitindeki görüntülü görüşme aşamasında kişinin canlılığını tespit eden ve sahte yüz teknolojisine dair riskleri önleyen yöntemler kullanılmalıdır. Bu bağlamda, kişinin kimlik belgesindeki temassız yongadaki fotoğrafın veya kimlik belgesi üzerindeki fotoğrafın biyometrik karşılaştırması yapılır.

Ek olarak personelin, kişi tarafından sağlanan bilgilerinin ve belirtilen niyetin inandırıcı ve yeterli olduğuna emin olması gerekir.

Tüm bu işlemlerden sonra kişiye, verilecek hizmet ve faaliyetler belirtilerek kişiden aracı kurum veya portföy yönetim şirketi müşterisi olacağının kabulüne ilişkin sözlü onay alınır ve süreç tamamlanmış olur.

6. Görüntülü Görüşme Sürecinin Sonlandırılması Gereken Haller

Zayıf ışık koşulları, düşük görüntü kalitesi ya da görsel doğrulama yapmanın veya sözlü iletişim kurmanın mümkün olmadığı hallerde görüşme sonlandırılmalıdır.

Ayrıca görüntülü görüşme sırasında kişi tarafından sunulan belgelerin geçerliliğine ilişkin dolandırıcılık veya sahtecilik teşebbüsünden şüphe edilmesi halinde de görüşme sonlandırılmalıdır.

7. Görüntülü Görüşme Sürecindeki Verilerin Kaydedilme ve Saklanma Yöntemi

Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınmalı ve saklanmalıdır.

8. Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına Yönelik Düzenlemeler

Müşterinin sözleşmeyi kuran irade beyanının mevzuata uygun gerçekleştirilmiş bir kimlik doğrulama sonrasında alınması şarttır.

Bu bağlamda;

• Söz konusu sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde elektronik ortamda müşteriye iletilmesi,
• Sözleşmeyi kuran irade beyanın, müşteriye özgü şifreleme gizli anahtarı ile imzalanması

şarttır.

Aracı kurum veya portföy yönetim şirketi ile müşteri arasındaki ilişkileri düzenleyen her türlü sözleşmenin mevzuata uygun olarak kurulması halinde bu sözleşmeler yazılı şekilde kurulmuş sayılır.

SONUÇ

          Tebliğ; uzaktan kimlik tespiti sürecinde kullanılacak yöntemleri, personele ve çalışma ortamına yönelik düzenlemeleri ve elektronik ortamda sözleşme ilişkisi kurulmasına yönelik yükümlülükleri düzenlemektedir. Tebliğin kapsamındaki yükümlülükler, şirketlerin faaliyetlerini doğrudan ilgilendirmektedir. Bu sebeple ilgili düzenlemelerin şirketler için uyum süreci gerektirdiğini ve şirkette yapısal değişikliklere sebep olması nedeniyle önem taşıdığını belirtmek isteriz.

*Berker Berker Hukuk Bürosu