Veri Depolama Kuruluşunun Faaliyet, Çalışma ve Denetim Esasları Hakkında Yönetmelik

19 Eylül 2018 Tarihli Resmî Gazete

Sayı: 30540

Sermaye Piyasası Kurulundan:

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak, Tanımlar ve Kısaltmalar

Amaç

MADDE 1 – (1) Bu Yönetmeliğin amacı, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 87 nci maddesi çerçevesinde yetkilendirilen veri depolama kuruluşunun yükümlülüklerine, veri depolama kuruluşuna raporlanacak bilgilerin hangi şekil ve ortamda tutulacağı ile bu kuruluşun Kanun uyarınca yerine getireceği görevlerine yönelik faaliyet usul ve esaslarını belirlemektir.

Kapsam

MADDE 2 – (1) Bu Yönetmelik, 6362 sayılı Kanunun 87 nci maddesi çerçevesinde veri depolama kuruluşunun yükümlülüklerini, faaliyet, üyelik, çalışma ve denetim esaslarını kapsar.

Dayanak

MADDE 3 – (1) Bu Yönetmelik, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 87 ncimaddesine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

MADDE 4 – (1) Bu Yönetmelikte geçen;

a) Kanun: 6362 sayılı Sermaye Piyasası Kanununu,

b) Kurul: Sermaye Piyasası Kurulunu,

c) Merkezi karşı taraf/MKT: Sermaye piyasalarında işlem gören sözleşmelerde alıcıya karşı satıcı, satıcıya karşı da alıcı rolünü üstlenen kuruluşu,

ç) Veri depolama faaliyeti: Kanunda ve bu Yönetmelikte öngörülen şekilde verileri toplama ve merkezi olarak tutma faaliyetini,

d) Veri depolama kuruluşu/VDK: Kanunun 87 nci maddesi uyarınca Kurulca yetkilendirilen ve veri depolama faaliyetini yürüten kuruluşu,

e) Yan hizmetler: Veri depolama faaliyeti ile bağlantılı olan işlem onayı, işlem eşleştirme, kredi sicil servisi, portföy teyidi, portföy sıkıştırma ve diğer hizmetleri,

f) Yatırım kuruluşu: Aracı kurumlar ile yatırım hizmeti ve faaliyetinde bulunmak üzere kuruluş ve faaliyet esasları Kurulca belirlenen diğer sermaye piyasası kurumlarını ve bankaları,

g) Yönetici: Sermaye Piyasası Kurulu tarafından VDK olarak yetkilendirilmiş kuruluşun yönetim kurulu başkan ve üyeleri, genel müdür ve yardımcıları ile birim müdürlerini,

ifade eder.

İKİNCİ BÖLÜM

Faaliyet Şartları

Veri Depolama Kuruluşunun kuruluş ve faaliyet şartları

MADDE 5 – (1)Veri Depolama Kuruluşlarına kuruluş izni verilebilmesi için VDK’ların;

a) Anonim şirket şeklinde kurulmaları,

b) Paylarının tamamının nama yazılı olması,

c) Paylarının nakit karşılığı çıkarılması,

ç) Sermayelerinin Kurulca belirlenen miktardan az olmaması ve tamamının ödenmiş olması,

d) Kurucularının ve tüzel kişi kurucular üzerinde doğrudan veya dolaylı olarak önemli etkiye sahip olan ortaklarının Kanunun 44 üncü maddesinde yer alan şartları taşımaları,

e) Esas sözleşmelerinin Kanun ve ilgili düzenlemelerde yer alan hükümlere uygun olması,

f) Ortaklık yapısının açık ve şeffaf olması,

şarttır.

(2) Kamu tüzel kişileri hariç tüzel kişi kurucuların ve tüzel kişi kurucular üzerinde doğrudan veya dolaylı olarak önemli etkiye sahip tüzel kişi ortaklarının son 3 yıla ait bağımsız denetimden geçmiş finansal tablolarını sunmaları gereklidir. Yabancı kurucu ve ortaklar için uygun olduğu ölçüde, Türk uyruklu gerçek ve tüzel kişiler için aranan şartların mevcut olduğunu tevsik edici ve bulundukları ülkenin yetkili makamlarınca onanmış bilgi ve belgelerin noterce tasdikli çevirilerinin veya geçerliliği kanun veya uluslararası sözleşmelerle kabul edilen şekilde hazırlanarak sunulması zorunludur.

(3) Kurul tarafından yetkilendirilen VDK’nın bu faaliyette bulunabilmesi için;

a) Esas sözleşmesinin Kanun ve bu Yönetmelikte yer alan hükümlere uygun hale getirilmiş olması,

b) Kuruluşun varsa diğer faaliyetlerinden bağımsız, münhasıran veri depolama ve raporlama faaliyetini yürütecek şekilde organizasyon yapısının kurulmuş, sorumluluklarının açıkça belirlenmiş, iç kontrol, iç denetim ve gözetim ile risk yönetimi sistemlerinin oluşturularak işlerliğinin sağlanmış olması,

c) VDK hizmetlerinin etkin, güvenilir ve kesintisiz bir şekilde yerine getirilmesi amacıyla gerekli bilgi işlem sistemlerinin ve teknolojik altyapının kurulmuş olması, bilgilerin tutarlılığının, güvenilirliğinin, bütünlüğünün ve zamanında elde edilebilirliğinin sağlanması amacıyla gerekli sistemsel ve yönetsel önlemlerin alınmış ve prosedürlerinoluşturulmuş olması,

şarttır.

(4) Kurul, bu maddede belirtilen şartların yanında ilave şartlar öngörebilir.

(5) VDK, bu Yönetmelikle belirlenen faaliyet şartlarından herhangi birini kaybetmesi halinde, durumun ortaya çıktığı gün itibarıyla Kurula bildirimde bulunur.

(6) VDK’nın sunacağı veri depolama faaliyeti ile bağlantılı olan yan hizmetlere Kurulca izin verilebilmesi için yan hizmetlerin veri depolama faaliyetinden operasyonel olarak ayrılmış olması şarttır.

(7) VDK’nın yurt dışında yetkilendirilerek veri depolama faaliyetinde bulunması için Kuruldan izin alması zorunludur.

(8) Kurulca verilen faaliyet izninin iptalinde Kanunun 41 inci maddesi hükmü uygulanır.

(9) Kurulca Kanun uyarınca merkezi saklama kuruluşu ya da merkezi takas kuruluşu olarak yetkilendirilmiş bir kuruluş bu maddede öngörülen koşulların tevsiki gerekmeksizin VDK olarak yetkilendirilebilir. Bu halde, yetkilendirilmiş kuruluşun 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanunu uyarınca oluşturulmuş organları dışında VDK için ayrıca organ oluşturulmaz; ilgili kuruluşun organları VDK’nın organları yerine geçer. Yetkilendirilmiş kuruluşlarca VDK faaliyetlerinin diğer faaliyetlerden operasyonel olarak ayrılmış olması gerekir. Yetkilendirilmiş kuruluşlarca Kurulun düzenlemeleri uyarınca bilgi sistemlerine ve mali konulara ilişkin olarak yapılan denetimler 21 inci maddenin ikinci ve üçüncü fıkralarında sayılan denetimler kapsamında değerlendirilir.

(10) VDK’ların esas sözleşme değişikliklerinde Kurulun uygun görüşü alınır.

(11) Doğrudan veya dolaylı olarak; yüzde beşi aşan pay devirleri veya ortaklık yapısında yüzde beş ve üzeri değişiklik yaratan pay devirleri ile pay devri söz konusu olmasa dahi doğrudan veya dolaylı kontrol devri sonucunu doğuran her türlü işlem Kurulun iznine tâbidir. İmtiyazlı payların devri her halükarda Kurul iznine tabidir. Pay devirlerinde, payları devralacak gerçek ve tüzel kişiler ile tüzel kişilerin önemli etkiye sahip ortaklarının da 7 ncimaddede sayılan şartları taşımaları zorunludur. Kurulun uygun görüş vermediği esas sözleşme değişiklikleri ile izin vermediği pay devirleri veya kontrol devri sonucunu doğuran işlemler hükümsüzdür. Bu hükme aykırı pay devirleri ortaklık pay defterine kaydolmaz ve bu şekilde yapılan kayıtlar hüküm ifade etmez. Yüzde beşi aşmayan pay devirleri, devrin gerçekleşmesinden itibaren en geç 15 iş günü içerisinde Kurula bildirilir.

ÜÇÜNCÜ BÖLÜM

Görev, Yetki ile Faaliyet İlke ve Esasları

VDK’nın görev ve yetkileri

MADDE 6 – (1) VDK’nın görev ve yetkileri şunlardır:

a) Kanunun 87 nci maddesi çerçevesinde, Kurulca belirlenen işlemlere ilişkin kendisine raporlanan verileri Türkiye sınırları içerisinde olmak üzere elektronik ortamda kaydetmek ve saklamak,

b) Üyelerce yapılan raporlamaların üyeler itibarıyla tutarlılığını izlemek, tutarsızlık ve düzenlemelere aykırılığın tespiti halinde üyeler nezdinde gerekli düzeltmelerin yapılmasını istemek ve mutabakat sağlanamadığı durumlarda Kurula bilgi vermek, sistemin güvenli çalışmasını sağlayacak önlemler almak ve uygulamak,

c) Yönetmelikteki VDK verilerinin paylaşılmasına ilişkin esaslar çerçevesinde verilerin analiz edilmesine imkân sağlayacak gerekli araçları geliştirmek,

ç) Kayıtların mevzuatta öngörülen çerçevede gizliliğini sağlamak,

d) Yönetmelikte belirlenen esaslar çerçevesinde verileri kamuya açıklamak,

e) Veri taleplerini Yönetmelikte belirlenen esaslar çerçevesinde karşılamak,

f) Kurul tarafından verilen diğer görevleri ve düzenlemelerin gerektirdiği işlemleri yapmak.

Faaliyet ilke ve esasları

MADDE 7 – (1) VDK’nın faaliyetleri sırasında aşağıda yer alan ilkelere uyması zorunludur:

a) Üyelerin VDK nezdindeki işlemlerini güven ve istikrar içerisinde gerçekleştirmesini sağlayacak gerekli altyapı, donanım ve organizasyonel yapının tesis edilmesini teminen ilgili düzenlemeleri yapmak,

b) Üyelerinin, VDK’nın iş ve işlemleriyle ilgili yapacağı düzenlemelere uyumu konusunda gerekli önlemleri almak,

c) Kendisine bildirilen verileri 10 yıl süreyle saklamak,

ç) Uluslararası düzenlemeleri ve uygulamaları takip etmek, verdiği hizmetlerin uluslararası uygulamalara uyum sağlaması için önerilerini Kurula sunmak,

d) Kendisi, üyeleri ve Kurul arasında, talep edilen çerçevede düzenli bilgi akışını sağlamak,

e) İşlettiği elektronik ortamın güven ve istikrar içinde yürütülmesini sağlayacak yeterli organizasyona sahip olmak,

f) Faaliyetlerinde ve hizmetlerinin ücretlendirmesinde adil davranmak,

g) İş ve işlemlerini Kurul ve menfaat sahipleri ile işbirliği ve koordinasyon içinde yürütmek,

ğ) Veri depolama hizmetlerine ilişkin ücretleri, verdiği hizmetlere ilişkin düzenlemeleri ve prosedürlerinidüzenli olarak internet sitesi aracılığıyla kamuya açıklamak.

Teşkilat ve personel

MADDE 8 – (1) Kanun ve bu Yönetmelikle VDK’ya verilmiş görevlerin yerine getirilmesi ve yetkilerin kullanılmasına ilişkin olarak, veri depolama biriminin organizasyonu, görev tanımları, yetki ve sorumlulukları, bu yetki ve sorumlulukların devri ile görevlilerin çalışma usul ve esasları ile bunların alacakları ücretlere ilişkin usuller VDK yönetim kurulunca belirlenir.

Sır saklama yükümlülüğü

MADDE 9 – (1) VDK yöneticileri ve tüm personeli, raporlanan verilerin gizliliğine uymak ve sırları bu Yönetmelikte belirlenen haller dışında açıklamamakla, kendilerinin veya üçüncü kişilerin yarar veya zararına kullanmamakla yükümlüdürler. Bu yükümlülük ilgililerin VDK’daki görevlerinden ayrılmalarından sonra da devam eder.

Yasaklar

MADDE 10 – (1) VDK yöneticileri ve personeli ile bunların eşleri ve velayeti altındaki çocukları, VDK’yabildirilen işlemlerin ilgili olduğu piyasalarda alım satım işlemi yapamazlar ve pozisyon alamazlar.

(2) VDK yöneticileri ve tüm personeli; göreve başlamadan önce maliki oldukları, VDK’ya bildirilen işlemlerin ilgili olduğu piyasalarda gerçekleştirdikleri alım satım işlemleri nedeniyle sahip oldukları kıymetleri ve pozisyonları görev sürelerinin başlamasından itibaren otuz gün içinde satmak veya devretmek suretiyle elden çıkarmak zorundadır.

(3) Bu madde hükmüne aykırı hareket eden VDK yönetim kurulu üyelerinin tespiti halinde VDK Genel Kurulu en geç otuz gün içerisinde ilgili yönetim kurulu üyesinin görevden alınması gündemiyle Kurulca olağanüstü toplantıya çağrılır. VDK’nın diğer yönetici ve personeli ise bu madde hükmüne aykırılığın tespit edildiği tarihten itibaren görevlerinden istifa etmiş sayılır.

DÖRDÜNCÜ BÖLÜM

Üyelik Esasları

Üyeler

MADDE 11 – (1) İşlem tarafı tüzel kişiler, işlemlere aracılık eden yatırım kuruluşları, merkezi karşı taraf hizmeti veren kuruluşlar, işlemlerin taraflarına raporlama hizmeti sağlayan kuruluşlar ve Kurulca uygun görülen diğer kuruluşlar VDK’ya üye olurlar.

Üyelik türleri

MADDE 12 – (1) Genel VDK üyeleri, kendilerinin taraf oldukları veya aracılık ettikleri işlemlerin yanı sıra bu işlemlerden bağımsız olarak üçüncü taraflar adına da raporlama hizmeti sağlamaya yetkili kuruluşlardır. Merkezi karşı taraf hizmeti veren kuruluş da genel VDK üyesidir.

(2) Doğrudan VDK üyeleri, taraf oldukları işlemlere veya aracılık ettikleri işlemlere ilişkin raporlama yükümlülüklerini kendileri adına ve/veya aracılık edilen işlemin tarafı müşterileri adına yerine getiren kuruluşlardır.

(3) Üyelik türü değişikliklerine ilişkin usul ve esaslar VDK yönetim kurulunca belirlenir.

Üyelik şartları ve üyeliğe kabul

MADDE 13 – (1) Üyelerin, üyeliğe kabulü için;

a) Raporlama faaliyetlerini yerine getirebilecek ve VDK tarafından asgari nitelikleri belirlenmiş teknik donanım ve güvenlik sistemine sahip olmaları,

b) Raporlama işlemlerinin yapılmasını ve izlenmesini yürütecek yeterli sayıda ve nitelikte personeli istihdam etmiş olmaları,

c) Üyeliğe giriş aidatını yatırmaları,

ç) Tüzel Kişi Kimlik Kodu almış olmaları,

d) VDK yönetim kurulu tarafından belirlenen diğer şartları taşımaları,

şarttır.

(2) Gerekli şartların taşındığının VDK tarafından tespit edilmesi halinde başvuruda bulunan kuruluşlar yönetim kurulu kararı ile üyeliğe kabul edilir. Başvuruya ilişkin VDK tarafından alınan karar ilgiliye yazılı olarak bildirilir. Üyelik ilişkisi sözleşme ile kurulur. Üyelik sözleşmesi ile taraflar uygulama prosedürlerini de benimser.

(3) Merkezi takas hizmeti veren kuruluşlar birinci fıkrada belirtilen üyeliğe giriş aidatından muaftır.

Üyeliğin geçici durdurulması veya iptali

MADDE 14 – (1) Üyeliğin geçici durdurulması veya iptaline ilişkin usul ve esaslar VDK yönetim kurulunca belirlenir.

Üyelerin sorumluluğu ve faaliyet esasları

MADDE 15 – (1) VDK üyeleri; VDK nezdinde gerçekleştirmiş oldukları işlemlerin tümünden ve bu kapsamda çalışanlarının görevleri çerçevesinde yaptıkları işlerden sorumludur. VDK üyeleri ile müşterileri arasında yapılacak sözleşmelere konulacak hükümlerle üyelerin sorumlulukları kaldırılamaz ve sınırlandırılamaz.

(2) VDK üyeleri ilgili mevzuatta yer alan ilke ve kurallar ile aşağıda sayılan hususlara uymak zorundadır:

a) VDK tarafından belirlenen prosedürlere, ilke ve kurallara uygun hareket etmek,

b) Raporlamaları gerçeğe uygun ve işlem taraflarının mutabakatı doğrultusunda yapmak,

c) İyi niyet ve dürüstlük ilkelerine uygun davranmak,

ç) Raporlanan bilgilerin gizliliğini ve güvenliğini sağlamak,

d) Raporlanan bilgileri on yıl boyunca saklamak,

e) Üyelik şartlarında her türlü değişikliği VDK’ya bildirmek.

BEŞİNCİ BÖLÜM

Veri Depolama Kuruluşu Nezdindeki Verilerin Paylaşılması

Gizlilik

MADDE 16 – (1) VDK kayıtları gizlidir. Ancak, bu Yönetmelikte belirlenen esaslara uygun olarak bilgi verilmesi gizliliğin ihlali sayılmaz.

(2) VDK nezdindeki bilgilerin kamu tüzel kişileri dâhil üçüncü kişiler ile paylaşımında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa ve ilgili diğer mevzuata riayet edilir.

Veri depolama kuruluşları nezdindeki verilere doğrudan erişim

MADDE 17 – (1) Kurul, VDK’lar nezdindeki tüm bilgilere erişim hakkına sahiptir.

(2) Aşağıdaki kuruluşlar mevzuattan kaynaklanan görev, yetki ve sorumlulukları çerçevesinde ihtiyaç duyabilecekleri VDK nezdindeki bilgilere erişim hakkına sahiptir:

a) Türkiye Cumhuriyeti Hazine ve Maliye Bakanlığı,

b) Bankacılık Düzenleme ve Denetleme Kurumu,

c) Türkiye Cumhuriyet Merkez Bankası,

ç) Tasarruf Mevduatı Sigorta Fonu,

d) Yatırımcı Tazmin Merkezi,

e) Kurulca uygun görülecek diğer kamu kurumları.

(3) VDK kapsamındaki bilgilere erişim yetkisine sahip kuruluşlarla oluşturulacak elektronik sistemler ve diğer erişim yöntemlerine ilişkin usul ve esaslar, VDK yönetim kurulu tarafından belirlenir. Bilgi paylaşımından önce bu kurumlar ile VDK arasında protokol imzalanır.

Bildirim yapan tarafların verilere erişimi

MADDE 18 – (1) VDK’ya raporlanan işlemlerin tarafları ile MKT ya da işlemin taraflarına raporlama hizmeti sağlayan yatırım kuruluşları, VDK verilerine yalnızca taraf oldukları ve/veya raporladıkları işlemlerle sınırlı olmak üzere erişim hakkına sahiptir.

Diğer veri talepleri

MADDE 19 – (1) 18 inci maddede sayılan doğrudan erişim yetkisi bulunan kurumlar dışındaki kanun veya kanunla açıkça yetki verilmiş mevzuat hükmü ile yetkili kılınmış kişilerin veri talepleri VDK tarafından karşılanır.

(2) İstatistiki amaçlı veri talepleri, işlemleri gerçekleştiren ve/veya aracılık eden yatırım kuruluşları ve yararlanıcı bazında olmamak koşulu ile kişisel verilerin korunması hakkında mevzuat hükümleri çerçevesinde gecikmeli olarak karşılanabilir.

(3) Yabancı ülke otoritelerinin VDK nezdindeki verilerin paylaşılmasına ilişkin taleplerinin VDK tarafından karşılanması Kurul onayına tabidir. Kurul, söz konusu talepleri;

a) İki ülke arasında verilerin paylaşılmasına ilişkin olarak karşılıklılık esasına dayanan ikili veya çok taraflı işbirliği anlaşması ya da ilgili otoriteler arasında mutabakat zaptı bulunması,

b) Paylaşılan verilerin kullanılmasına ilişkin olarak bu Yönetmelikteki gizlilik ilkelerine eş değer hükümlerin ilgili ülke mevzuatında bulunması,

hususlarını da dikkate alarak sonuçlandırır.

ALTINCI BÖLÜM

Mali Hükümler

Gelirler, ücret ve komisyonlar

MADDE 20 – (1) VDK’nın veri depolama hizmetleri kapsamında uyguladığı ücret ve komisyonlar ile bunların tahsil zaman ve şekilleri VDK yönetim kurulu tarafından belirlenerek Kurul onayına sunulur.

(2) Mevzuat uyarınca üyeler tarafından ilgili VDK’dan alınması zorunlu olmayan ve VDK’nın kendi uhdesinde üyelere sunulan diğer hizmetleri ile ilgili ücretler ise VDK yönetim kurulunca belirlenir.

(3) Merkezi takas hizmeti veren kuruluşlar birinci fıkrada belirtilen ücret ve komisyonlardan muaftır.

YEDİNCİ BÖLÜM

Diğer Hükümler

VDK’nın denetimi

MADDE 21 – (1) Kurul, Kanun kapsamındaki faaliyetleri ile ilgili olarak VDK’nın düzenleme, gözetim ve denetim merciidir. Kurul gerekli gördüğü durumlarda VDK nezdinde, Kanun kapsamındaki faaliyetleri ile ilgili olarak her türlü inceleme ve denetim yapmaya yetkilidir.

(2) VDK’nın bilgi sistemleri, Kurulun bilgi sistemleri denetimine ilişkin düzenlemeleri uyarınca denetime tabidir.

(3) VDK’nın malî denetimi Kurulca ilân edilen listede yer alan bağımsız denetim kuruluşlarınca yapılır. Bağımsız denetim neticesinde hazırlanan rapor eşzamanlı olarak VDK’ya ve Kurula gönderilir. Kurul gerek gördüğünde belirlediği hususlarla ilgili bağımsız denetim yapılmasını talep edebilir.

VDK’ların dışarıdan hizmet alımı

MADDE 22 – (1) VDK’ların teknolojik altyapısıyla ilgili olarak dışarıdan hizmet alması durumunda;

a) Hem VDK’nın hem hizmet sağlayan kuruluşun gizlilik prosedürlerini uygulaması,

b) VDK ve hizmet sağlayıcı kuruluş arasında bir “Gizlilik Sözleşmesi” imzalanması,

c) İş akışının belirlenmesi, bilgi güvenliğine ilişkin gerekli tedbirlerin alınması ve dışarıdan hizmet alımına ilişkin prosedürlerin oluşturulması,

şarttır.

(2) Kanunun 87 nci maddesi kapsamında kendisine raporlanan verileri bir dış hizmet alarak bulut bilişim hizmetlerini kullanmak suretiyle saklayamaz.

Disiplin hükümleri

MADDE 23 – (1) Düzen ve dürüstlüğü bozan, işlere hile karıştıran, işlerin açık, düzenli ve dürüst yürütülmesine, mevzuata ve kararlara aykırı hareket eden üyeler VDK tarafından Kurula bildirilir. Kurulca gerekli işlemler yerine getirilir.

Uygulama esasları

MADDE 24 – (1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda, genel hükümleri ve veri depolama hizmetine ilişkin uluslararası prensip ve düzenlemeleri göz önünde bulundurarak karar vermeye ve uygulamayı yönlendirmeye Kurul yetkilidir.

Yürürlük

MADDE 25 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 26 – (1) Bu Yönetmelik hükümlerini Sermaye Piyasası Kurulu yürütür.

Bu Yazıyı Paylaşın