31 Mayıs 2016 tarihinde dünyanın en büyük Internet ödeme sistemi sağlayıcılarından PayPal Türkiye’deki faaliyetlerini durdurma kararını açıkladı. Bu karar ulusal ve uluslararası iş çevrelerinde yankı uyandırdı.
Türkiye’de hizmet ve ürünlerini bağımsız ve bireysel olarak Türkiye ve dünya piyasasına sunan girişimciler, mobil uygulamacılar, hatta müzik eserlerini Internet’te sunarak gelir elde edenler veya elektronik ticaretin alıcı, satıcı, lojistik tarafları bu karardan endişe duydu. BDDK yoğun olarak eleştirildi.
PayPal’ın haklı saylabilecek bazı gerekçeleriyle birlikte, bu süreci doğru yürüttü mü, beklentileri gerçekten mevzuat açısından kabul edilebilir mi gibi sorular da hukuk nesnelliğiyle tartışılmalı.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (“Kanun”) Haziran 2013’te kabul edildiğinde online ödeme hizmetleri sunanların bilgi sistemlerini Türkiye’de tutması gerekeceği ve lisansa tabi olacağı biliniyordu. Bu zorunluluğun sebebi faaliyete ilişkin kayıtların ve bilgis sistemlerinin güvenli ve düzenleyici kurumun denetimine ve erişimine hazır olabilmesidir.
Bu gerekleri yerine getirebilmek için bazı yerli ve yabancı sermayeli şirketler yatırım yaptılar, gerekleri yerine getirdiler ve lisanslarını da aldılar.
Bu arada bilgi sistemlerinin Türkiye’de tutulma zorunluluğu olmasın diye bir ısrar ve direnç oldu. Bu direnç bir ölçüde başarılı da oldu ve Mart 2015’te 6493 sayılı Kanunu Madde 23’te bir değişiklik yapıldı. Bu değişikliğin bilgi sistemlerini Türkiye’de tutma zorunluluğunu kaldırdığını düşünen PayPal ısrarını sürdürdü.
Oysa 23. Madde’nin yeni halinin “bilgi sistemleri yurt dışında da tutulabilir” yorumuna izin verdiği tartışmalıdır. Metin ödeme, kuruluşunun Kanunda yer alan hususlar ile ilgili kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklamasını, sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemlerini ve bunların yedeklerini de yurt içinde tutmasınıı öngörüyor ve ödeme kuruluşunun bilgi sistemlerine ilişkin usul ve esasları belirleme yetkisini BDDK’ya veriyor.
Yeni 23. Madde metni, amacı ve ikincil mevzuat bir arada düşünüldüğünde, BDDK’nın denetleyici kurum olarak kendisine kanun ile verilen denetleme görevi dolayısıyla bilgi sistemlerinin fiilen ulaşılamaz olan bir yabancı ülkede bulunmasına izin verebileceği sonucuna ulaşmak zordur.
Kaldı ki, bu yükümlülüğü yerine getirerek, yatırımı ona göre yapan, sistemini Türkiye’de kuran kurumların haksız rekabet ve yasamanın adilane olmayan bir durum yaratması itirazları ile karşılaşacağı da açıktır.
PayPal’ın, mevzatı en başından beri bilirken, bilgi sistemlerini Türkiye’de tutma zorunluluğu sadece kendisine uygulanacak yepyeni bir kural imişçesine, adeta “ben kanundan üstün olmalıyım” edasıyla çekip gitmesi gibi yorumlanabilecek bir üslup ticari makuliyet açısından dahi sorgulanabilir. Bunun, BDDK’yı hedef gösteren, BDDK’nın ve genel olarak Türkiye’de kamu otoritesinin rahatsız olabileceği bir üslup olduğu açıktır.
Bütün bunların yanında, PayPal’ın bilgi sistemlerini Türkiye’de tutmak istememesi acaba çok mu haksızdır? Kapris midir? Yoksa PayPal haklı olarak birşeylerden mi korkuyor? Hukuki nesnellik bu soruyu da ele almamızı gerektiriyor.
Türkiye’de data tutma ve server kurma noktasında en büyük Internet hizmet sağlayıcıları da dahil bir çok şirketin gelmek istediğini ve buna rağmen gelemediğini, burada olanların kaçabileceğini, Türkiye’deki veri koruma mevzuatındaki değişikliklerin yetersiz kaldığını, maruz olunan siber zaafiyetleri bir çok defa açıklamıştım.
Çünkü korku ve güvensizlik var. Türkiye’de data koruma mevzuatı, bilişim ve iletişim mevzuatı, ceza mevzuatı, kişilik hakları mevzuatı, uygulamaları “makul” gelmiyor. İhtilafların hallinde keyfilik ve verimsizlik görüyorlar, öngörülebilir, objektif ve ilgili alanın ticari ve teknik gerekliliklerine uygun olmadığını düşünüyorlar.
Türkiye’de uyum göstermek zorunda kalabilecekleri bazı durumların kendi ülkesindeki mevzuata aykırı olabileceğinden veya kullanıcılara karşı yasal ve sözleşmesel yükümlülükleri ihlal sebebiyle iddialarla karşı karşıya kalabileceklerinden endişeliler. Maruz oldukları riski hesaplamadaki ve yönetmekteki zorluğun, riskin gerçekleşmesi halinde hukuki sonuçlarıyla birlikte, kote oldukları borsalarda hisse fiyatına yansıyacağını ve bunun şirket değerini düşüreceğini biliyorlar.
Kısaca düzenleyici kurumların (bir yenisi olarak Kişisel Verileri Koruma Kurumu geliyor) ve kamu kurumlarının kompozisyonu, düzenlemeleri ve uygulamaları ile idari fiil ve kararlar bakımından yargı denetiminin objektifliği ve etkinliği noktasındaki güvensizlik hem yabancı, hem yerli aktörlerde var.
Katma değerli ileri teknoloji sektörleri ve genel olarak ekonomimiz için bu güvensizliğin aşılması da bağımsız yargı denetiminden ve hukukun üstünlüğünden geçiyor.
Burçak Ünsal
New York ve İstanbul Baroları
Boğaziçi Üniversitesi, Bilgi ve Yönetim Sistemleri Bölümü
Yorumlar