Sema Aytaç

Bir önceki bölümde Bank of International Settlement (BIS) tarafından çıkarılan 'Legal aspects of retail CBDCs' başlıklı raporu[1] ve bu raporda tartışılan MBDP'nin özel hukuk ilişkileri, rollerin ve sorumlulukların paylaşımı konularını ele almıştık. Bu bölümde ise mahremiyet ve AML/CFT (kara para aklama ve terörizmin finansmanıyla mücadele) konularını ele alacağız. Hazırsanız başlayalım...

MBDP tasarımındaki en büyük zorluklardan biri, gizlilik ile denetim arasındaki dengeyi kurmak. Bir yandan kullanıcıların kişisel verilerinin korunması ve finansal mahremiyetin sağlanması gerekiyor, diğer yandan ise suç gelirlerinin aklanması ve terörizmin finansmanıyla mücadele (AML/CFT) amacıyla yetkili kurumların gerekli verilere erişebilmesi şart.

BIS raporunda bu durum şöyle ele alınmış:

"
The legal framework will likely need to draw an appropriate balance between the need to protect the privacy of users, and the need to guard against the criminal misuse of the financial system. (Hukuki çerçeve, kullanıcı mahremiyetinin korunması ile finansal sistemin suç amaçlı kötüye kullanımının önlenmesi arasında uygun bir denge kurmalıdır.)
— BIS - Legal aspects of retail CBDCs

Rapor anonimlik ile mahremiyet arasındaki farka vurgu yapmış. Anonimlik işlemi yapan kişinin kim olduğunun bilinmemesi iken, mahremiyet kişisel verilerin gizli tutulması ve sadece gerekli durumlarda paylaşılmasıdır. Her anonim işlem mahremiyet sağlar, fakat her mahrem işlem anonim olmak zorunda değildir. Örneğin dijital Türk lirasında (DTL) kimlik bilgileri bankalar tarafından bilinecek ama TCMB’ye doğrudan iletilmeyecekse, bu anonim değil mahremiyeti koruyan bir yapıdır.

İki Katmanlı Yapı ve Veri Yönetimi

DTL iki katmanlı yapı

BIS raporu, iki katmanlı bir sistem varsayarak hareket ediyor:

Merkez Bankası (TCMB): Dijital paranın ihraç ve gözetiminden sorumlu, ancak kullanıcıların kişisel verilerine doğrudan erişimi yok.
Aracılar (bankalar, fintekler): Kimlik doğrulama (KYC), müşteri bilgileri ve AML/CFT süreçlerini yürüten taraflar.

"
The central bank ledger has data related to end-user holdings but does not hold data that would enable the central bank to identify end-users. (Merkez bankası defteri, kullanıcıların bakiyelerine dair verileri tutar, ancak kimliklerini doğrudan belirlemeye yarayan verileri içermez.)
— BIS - Legal aspects of retail CBDCs

DTL’de kimlik bilgileri (ad, TC kimlik numarası, telefon, cüzdan numarası vb.) kişisel veri niteliğindedir. Bu veriler, aracı kurumlarda (bankalar ve fintekler) tutulacak ve TCMB’ye sadece anonimleştirilmiş işlem verileri aktarılacaktır.

İki katlı mimari yaklaşımı dijital Türk lirasının birinci faz değerlendirme raporunda da yer alıyor:

"
Dijital para dağıtım modelinde, ilk katta merkez bankası, ikinci katta ise finansal aracı kurumlar yer almaktadır. Finansal aracı kurumlar, bankalar veya belirlenen düzenlemelere uyan lisanslı kuruluşlar olabilecektir. Son kullanıcılar, sisteme finansal aracı kurumlar aracılığıyla katılmaktadır. Kullanılan modelde, merkez bankası paranın ihracından, finansal aracı kurumlar ise dağıtımından sorumludur.
— Dijital Türk Lirası - Birinci Faz Değerlendirme Raporu, TCMB

TCMB’nin dijital Türk lirası için de öngördüğü iki katmanlı tasarım mimarisinde merkez bankası doğrudan kişisel veri tutmaz, sadece sistemin gözetiminden sorumlu olur. Böylece olası bir veri ihlalinde ilk sorumluluk bankalar ve aracı kurumlarda kalır. TCMB’nin elinde sadece teknik veriler (işlem zamanı, tutar, cüzdan kodu vb.) olur. Kişisel verilerin sistemin üst katmanında tutulması, KVKK ihlali riskini azaltır. Bankalar zaten KVKK ve MASAK çerçevesinde müşterilerini tanıma (KYC) süreçlerini yürüttükleri için, ek bir yapı kurulmasına gerek kalmaz. Ancak, banka harici aracı kurumlar için ek değerlendirme gerekecektir. Her ne kadar mahremiyet için koruma mekanizmaları kurulmuş olsa da, TCMB ileride bazı risklerle karşılaşabilir. KVKK madde 12 (Veri güvenliğine ilişkin yükümlülükler) kapsamında, eğer aracı kurumlarda bir veri ihlali olursa (örneğin siber saldırı sonucu kimlik bilgilerinin çalınması), TCMB doğrudan kişisel veri tutmasa bile, sistem yöneticisi olarak ikincil sorumluluk altına girebilir. Bu durumda TCMB’nin en azından gözetim ve denetim yükümlülüklerini yerine getirdiğini ispat etmesi gerekir. Bu bakımdan TCMB, bankalar ve finteklerle yapacağı katılım sözleşmelerine “veri güvenliği ve ihlal bildirim yükümlülüğü” maddelerini eklemeli diye düşünüyorum.

TCMB ile aracı kurumlar arasındaki sözleşmelere KVKK maddeleri eklemeli. Bu sözleşmelerde ve operasyonel kural kitabında verilerin hangi amaçlarla kullanılacağı net olarak yazılmalıdır.

Yine KVKK madde 4/2-c,d gereğince kişisel veriler sadece belirli, açık ve meşru amaçlar için işlenmeli ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Eğer DTL sistemindeki aracı kurumlar, verileri başka bir amaçla kullanılırsa (örneğin pazarlama, reklam, kredi değerlendirme), bu KVKK ihlali olur ve TCMB, kendi sisteminden dolayı sorumlu tutulabilir. Dolayısıyla aracılarla yapılacak sözleşmelerde ve rulebook’ta (operasyonel kural kitabı), verilerin hangi amaçlarla kullanılacağı net olarak yazılmalı.

Ek olarak, her ne kadar TCMB’ye aktarılacak olan verilerin anonimleştirilmiş olması planlansa da, eğer anonimleştirme standartları yeterince güçlü değilse, veriler tekrar kimliklendirme (re-identification) yoluyla çözülebilir. Buna bir örnek vermek istiyorum. Örneğin DTL sistemindeki bir ödeme hareketi sonucunda TCMB’ye iletilen veride kişinin kimlik numarası, adı, soyada ve telefon numarası gibi temel kimlik bilgileri yer almıyor ancak gönderici ve alıcının maskelenmiş kimlik numaraları yada hesap numaraları yer alıyor. Ancak bununla beraber gelen veride işlem tutarıyla birlikte, ödemenin yapıldığı tarih-saat bilgisi, konum, gönderici ve alıcının maskeli kimlik numaraları bulunuyor. Eğer tutar çok yüksekse ve işlemde yer alan maskeli gönderici-alıcı arasında benzer işlemler sürekli yapılıyorsa, tarih-saat ve konum bilgilerinden de yola çıkarak kişinin gerçek kimliğine ilişkin çıkarımlar yapmak mümkün olabilir. Örneğin bu kişi popüler bir iş adamı yada herhangi ünlü bir şahsiyet olabilir. Dolayısıyla her ne kadar çok kolay bir yöntem olmasa da, “tekrar kimliklendirme” dikkat edilmesi gereken bir konudur. Bunun önüne geçmek için TCMB, anonimleştirme süreçlerinde Avrupa Birliği GDPR standartlarını baz almalı ve teknik denetimler yapmalıdır. Özellikle şu anda DTL projesinin ikinci fazındaki teknolojik geliştirmelerde, proje paydaşlarını bu konuyu dikkate almaları hususunda uyarmalı diye düşünüyorum. Bu da aslında akıllara Christian Djeffal’ın “Law by Design Obligations” adlı makalesini[2] getiriyor. Teknolojik geliştirmelerde hukuki ilkelerin tasarım süreçlerine gömülmesi, sonradan ciddi hukuki ve teknik (yeniden geliştirme maliyeti gibi) sıkıntılarla uğraşmamak bakımından oldukça değerli görünüyor.

Anonimleştirme süreçlerinde Avrupa Birliği GDPR standartlarını baz almalı ve teknik denetimler yapmalıdır.

Dijital Türk Lirası gibi kritik bir projede, Law by Design yaklaşımı, hukuki ilkelerin sistemin temeline yerleştirilmesini ifade eder. Örneğin böylece KVKK’ya uyum sadece bir politika belgesi olarak değil, sistem mimarisinin bir parçası olarak ele alınır. Anonimleştirme, veri erişim yetkileri ve hata yönetimi süreçleri, yazılım mimarisinin ilk aşamalardan itibaren belirlenmiş olur. Aynı şekilde MASAK yükümlülükleri doğrultusunda, şüpheli işlemleri tespit eden algoritmalar sistemin çekirdeğine entegre edilir. Böylece DTL, hem teknik olarak güvenli hem de hukuki olarak sağlam bir altyapı üzerine inşa edilmiş olur.

Bu yaklaşım, gelecekte hukuki belirsizliklerin ve KVKK ihlallerinin önüne geçerek, TCMB’nin risklerini minimize etmesine ve DTL’nin uluslararası standartlara uygun, güvenilir bir dijital para olmasına katkı sağlar. Elbette burada kritik konu, TCMB teknik ekibine ve bu kanal üzerinden projeyi geliştiren AR&GE paydaşlarına, hukuki yükümlülükleri net bir şekilde anlatabilmektir. Dikkat edilmesi gerek noktalar, riskler ve alınabilecek önlemler konusunda yapılacak toplantılar ve sunumlar, “law by design” prensibine uyma noktasındaki ilk adımlar olarak görülebilir.

AML/CFT Yükümlülükleri

BIS raporu, AML/CFT rejiminin küresel düzeyde FATF (Financial Action Task Force) tarafından belirlenen standartlara dayandığını hatırlatıyor. Bu rejim, aracılara şu yükümlülükleri getiriyor:

KYC (Know Your Customer): Müşterilerin kimlik bilgilerinin toplanması
Müşteri Durum Tespiti (CDD): Müşteri risk profillerinin belirlenmesi
Şüpheli İşlem Bildirimi (STR): Olağandışı işlemlerin MASAK benzeri kurumlara raporlanması

"
AML/CFT regimes typically require financial intermediaries such as banks and payment service providers to engage in know-your-customer (KYC) procedures, conduct customer due diligence, and identify and report suspicious activities. (AML/CFT rejimleri, bankalar ve ödeme hizmet sağlayıcılarının KYC, müşteri durum tespiti ve şüpheli işlem raporlaması yapmasını gerektirir.)
— BIS - Legal aspects of retail CBDCs

Aynı zamanda mahremiyetin sınırları da şöyle tanımlanmış:

"
Privacy cannot be understood as an absolute right but rather a right that needs to be reconciled with jurisdictions’ obligation to combat financial crime. (Mahremiyet mutlak bir hak olarak değil, finansal suçlarla mücadele yükümlülükleriyle dengelenmesi gereken bir hak olarak anlaşılmalıdır.)
— BIS - Legal aspects of retail CBDCs

Dolayısıyla bu bakış açısı ile DTL kullanıcılarının verilerinin gizli tutulması ve ancak suçla mücadele amacıyla gerekli durumlarda yetkili kurumlarla paylaşılması gerekir. Bu noktada kimin hangi verilere erişeceği net bir şekilde düzenlenmeli. Aksi halde, hem KVKK ihlalleri hem de AML/CFT uyumsuzlukları yaşanabilir.

Mevcutta MASAK düzenlemeleri bu yükümlülükleri zaten detaylı şekilde tanımlıyor. Dijital Türk lirası sistemi için de benzer bir süreç olacağına inanıyorum: Bankalar ve fintekler yine aynı MASAK kurallarına tabi olacak, fakat süreçler tamamen dijitalleşeceği için veri işleme ve raporlama hızının artırılması kritik hale gelecek. Geleneksel şüpheli işlem bildirimi süreçlerinin tam otomatik hale gelmesi MBDP ile birlikte kaçınılmaz bir ihtiyaç olarak ortaya çıkıyor.

Türkiye’de Mahremiyet ve AML/CFT Dengesinin Kurulması

Türkiye’de bu dengeyi sağlamak için üç temel unsur öne çıkıyor:

1. KVKK Uyumlu Veri Yönetimi

TCMB, yalnızca anonimleştirilmiş işlem verilerine sahip olmalı. Kişisel veriler aracılar (bankalar, fintekler) tarafından tutulmalı.
Veri işleme süreçlerinde KVKK’nın temel ilkeleri (veri minimizasyonu, açık rıza, saklama süresi) gözetilmeli.

2. MASAK Entegrasyonu

Bankalar ve fintekler, mevcut MASAK yükümlülüklerini DTL ekosistemine entegre etmeli.
Şüpheli işlemler otomatik tespit sistemleriyle desteklenmeli.

3. Yetki ve Sorumlulukların Açık Tanımı

Kim hangi veriye, hangi koşullarda erişebilir sorusunun cevabı mevzuatta açıkça belirtilmeli.
Olası ihlallerde uygulanacak yaptırımlar net olmalı.

⚠️

Sonuç olarak, Türkiye ve dijital Türk lirası için aşağıdaki önerileri sunabilirim:

1. Hukuki netlik sağlanmalı

KVKK ve MASAK düzenlemeleri, DTL’ye özgü senaryolarla uyumlu hale getirilmeli.

2. Veri erişim matrisleri oluşturulmalı

Hangi kurumun hangi veriye, hangi koşullarda erişebileceği bir matrisle belirlenmeli.

3. Denetim mekanizmaları kurulmalı

Veri paylaşımı ve AML süreçleri düzenli olarak denetlenmeli.

4. Kamuoyu bilgilendirme stratejisi belirlenmeli

DTL’nin mahremiyet özellikleri kamuoyuna şeffaf şekilde anlatılmalı. (Faz-1 raporu bu bakımdan güzel bir örnek)
Yanlış bilgi ve endişeler önceden önlenmeli.

Bir blog yazısının daha sonuna geldik. 😊 Bir sonraki yazımızda çok önem verdiğim bir başka konu olan sınır ötesi MBDP kullanımının hukuki çerçevesini değerlendireceğiz. Görüşmek üzere!

Sağlıcakla kalın...

Referanslar:

[1] Legal aspects of retail CBDCs, BIS, 2024 (https://www.bis.org/publ/othp88_legal.pdf)

[2] Christian Djeffal, Law by Design Obligations, 2024 (https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4765471)

Bu blog serinin sonraki bölümleri de yayımlandı. Aşağıdaki linklerden ulaşabilirsiniz:

👉 Bölüm 4 - Sınır Ötesi MBDP'nin Hukuki Çerçevesi ve DTL İçin Öneriler