ELEKTRONİK
VERİ, ELEKTRONİK SÖZLEŞME VE ELEKTRONİK İMZA KANUNU TASARISI TASLAĞI...
BİRİNCİ
KISIM
Genel Hükümler
Amaç, Kapsam ve Tanımlar
Amaç
Madde 1- Bu kanunun amacı elektronik veri, elektronik sözleşme, elektronik
imza, sertifika hizmet sağlayıcıları ve elektronik imza sertifikalarına
ilişkin usul ve esasları düzenlemektir.
Kapsam
Madde 2 - Bu kanun, geçerlilikleri bakımından şekil zorunluluğunun bulunmadığı
sözleşmelere ve diğer hukuki işlemlere uygulanır.
Tanımlar
Madde 3 - Bu kanunda yer alan;
a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen,
gönderilen, alınan veya saklanan bilgileri,
b) Gönderen: Saklanmadan önce bir elektronik veriyi gönderen, üreten
veya adına veri üretilen veya adına veri gönderilen kişiyi,
c) Alıcı: Elektronik veriyi gönderenin elektronik verinin ulaşmasını
amaçladığı kişiyi,
d) Bilgi sistemi: Elektronik verinin üretilmesi, gönderilmesi, alınması,
saklanması veya işlenmesi için kullanılan sistemi,
e) Elektronik imza: Bir elektronik veriye eklenen veya veri ile mantıksal
bağlantısı bulunan ve imzalayanın kimliğini belirleme aracı olarak kullanılan
elektronik veriyi,
f) Gelişmiş elektronik imza: Münhasıran imzalayana bağlı olan, imzalayanı
belirlemeye imkan veren, sadece imzalayanın kontrolü altında bulundurabileceği
araçlar kullanılarak üretilen ve elektronik verinin üzerindeki herhangi
bir değişikliğin fark edilmesini mümkün kılan elektronik imzayı,
g) Nitelikli elektronik imza: Oluşturulduğu tarihte geçerli bir nitelikli
sertifikaya dayanan ve güvenli imza aracı ile oluşturulmuş gelişmiş
elektronik imzayı
h) İmza sahibi: Elektronik imzayı oluşturan veya adına elektronik imza
oluşturulan ve bu imzayı kullanan gerçek kişiyi,
i) İmza verisi: Özel imzalama anahtarları veya şifreler gibi, elektronik
imza oluşturmak için kullanılan kişiye özel ve tek veriyi,
j) İmza aracı: İmza verisini oluşturmak için kullanılan yazılım ve donanımı,
k) Güvenli imza aracı: İmza verisinin sadece bir kez oluşturulmasını
sağlayan, gizliliğini ve güvenliğini garanti altına alan, imzalanacak
veriyi değiştirmeyen veya bu verinin imza işleminden önce imza sahibine
sunulmasını önlemeyen imza aracını,
l) İmza doğrulama verisi: Açık imzalama anahtarları veya şifreler gibi
elektronik imzayı doğrulamak için kullanılan veriyi,
m) İmza doğrulama aracı: İmza doğrulama verisini uygulamak için oluşturulan
yazılım ve donanımı,
n) Teknik hizmet araçları: Elektronik imza hizmetlerinin sağlanması
için kullanılan yazılım ve donanımı,
o) Elektronik imza ürünleri: Elektronik imza hizmetlerinin sağlanması
veya elektronik imzaların oluşturulması ya da doğrulanması amacıyla
kullanılan yazılım ve donanımı veya bunlarla ilgili unsurları,
p) Sertifika: İmza doğrulama verisini kişiye bağlayan ve o kişinin kimliğini
teyit eden elektronik onayı,
r) Nitelikli sertifika: Bu kanunda belirtilen şartları karşılayan ve
sertifika hizmet sağlayıcısı tarafından verilen sertifikayı,
s) Elektronik belge: Bir sertifikaya dayanan elektronik imza ile imzalanmış
elektronik veriyi,
t) Sertifika hizmet sağlayıcısı: Sertifika veren ve elektronik imzalarla
ilgili diğer hizmetleri sağlayan özel hukuk tüzel kişisini veya kamu
tüzel kişisini,
u) İhtiyari akreditasyon: Kurum tarafından, sertifika hizmet sağlayıcılarının
ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesi,
yeterliliğinin onaylanması ve düzenli aralıklarla denetlenmesini,
v) Nitelikli zaman damgası: Sertifika hizmet sağlayıcıları tarafından,
belirli bir elektronik verinin üretildiği, değiştirildiği, gönderildiği,
alındığı veya saklandığı zamanı göstermek üzere verilen belgeyi,
y) Kurum , .......................Kurumunu,
ifade
eder.
İKİNCİ KISIM
Elektronik Veri ve Elektronik Sözleşme
Elektronik veri ve imza şartı
Madde 4 - Kanunen imza şartının arandığı durumlarda; imzalayan kişinin
kimliğini belirleyen ve bu kişinin elektronik veriyi onayladığını gösteren
güvenilir bir usul kullanıldıysa, bu şart elektronik imza ile de karşılanabilir.
Elektronik veri ve belgenin aslı
Madde 5 - Kanunen belgenin aslının sunulması veya saklanması şartının
arandığı durumlarda; bilginin düzenlendiği son hali ile bütünlüğünün
korunmuş ve gerektiğinde ulaşılabilir olması halinde, bu şart elektronik
veri ile de karşılanabilir.
Bilginin iletilmesi veya saklanması ya da görüntülenmesi sırasında bu
işlemler nedeniyle oluşabilecek ve esasa etkili olmayan olağan değişiklikler
dışında, bilgi tam ve değişmeden kalmışsa, bilgi bütünlüğünün korunmuş
olduğu kabul edilir.
Elektronik verinin saklanması
Madde 6 - Kanunen bazı belgelerin, kayıtların veya bilgilerin saklanması
gereken durumlarda; bilgiye sonradan kullanılmak üzere ulaşılabiliyorsa,
bilgi bütünlüğü korunmuşsa, gönderen ve alıcı ile elektronik verinin
gönderildiği veya alındığı tarihin ve zamanın belirlenmesi mümkün ise,
bu şart elektronik verinin saklanması yoluyla da karşılanabilir.
Gönderenin tespiti
Madde 7 - Elektronik veri, gönderenin kendisi veya adına hareket etmeye
yetkili bir kişi ya da gönderen adına programlanan ve önceden tanımı
yapılan bir bilgi sistemi tarafından gönderildiği takdirde gönderene
ait kabul edilir.
Alıcı, elektronik verinin gönderene ait olup olmadığını belirlemek için
daha önce gönderen ile üzerinde anlaştıkları usulü elektronik veri üzerinde
uyguladığında gönderenin kimliğini doğrulayan bir sonuç elde ettiği
veya kendisine ulaşan elektronik veri üçüncü bir kişi tarafından gönderene
ait bir usul kullanılarak oluşturulduğu takdirde, elektronik veriyi
gönderene ait kabul edebilir.
Alıcı, 1 inci ve 2 nci fıkrada belirtilen hallerde, kendisine ulaşan
elektronik veriyi gönderenin göndermeyi amaçladığı veri olarak kabul
etme ve buna göre davranma hakkına sahiptir. Ancak, alıcının gönderenden
elektronik verinin kendisine ait olmadığına ilişkin bir uyarı aldığı
ve bu uyarıya göre davranmak için yeterli zamana sahip olduğu hallerle,
makul bir özen göstererek veya daha önce kararlaştırılmış bir usulü
kullanarak elektronik verinin gönderene ait olmadığını ya da gönderenin
göndermeyi amaçladığı veri olmadığını bildiği veya bilmesi gerektiği
hallerde alıcı bu hakka sahip değildir.
Alıcı, makul bir özen göstererek veya daha önce kararlaştırılmış bir
usulü kullanarak bir elektronik verinin diğer bir elektronik verinin
tekrarı olduğunu bildiği veya bilmesi gerektiği durumlar hariç, aldığı
her elektronik veriyi ayrı bir elektronik veri olarak kabul etme ve
buna göre davranma hakkına sahiptir.
Elektronik verinin alındığının teyidi
Madde 8 - Gönderen ile alıcı arasında elektronik verinin alındığının
bildirilmesi belli bir şekle veya usule bağlanmamışsa; herhangi bir
iletişim şeklinin kullanılması veya alıcının elektronik verinin alındığını
göstermeye yeterli herhangi bir davranışı, elektronik verinin alındığının
teyidi için yeterlidir.
Gönderen tarafından alındı teyidinin arandığı hallerde; alındı teyidi
belirlenen süre içerisinde veya böyle bir süre yoksa makul bir süre
içerisinde gönderene ulaşmadığı takdirde, gönderen alıcıya alındı teyidinin
kendisine ulaşmadığını belirten ve alındı teyidinin ulaşması için makul
bir süre belirleyen bir bildirimde bulunabilir veya elektronik veriyi
gönderilmemiş kabul edebilir.
Gönderen tarafından alındı teyidinin aranmadığı hallerde; gönderen,
alıcıya alındı teyidinin ulaşması için makul bir süre belirleyen bir
bildirimde bulunabilir veya elektronik veriyi gönderilmemiş kabul edebilir.
Elektronik verinin alındığının teyidi halinde, elektronik verinin alıcı
tarafından alınmış olduğu kabul edilir. Ancak bu teyit, alınan elektronik
verinin gönderilen ile aynı olduğuna karine teşkil etmez.
Elektronik verinin gönderilme ve alınma zamanı ve yeri
Madde 9 - Elektronik veri, taraflarca aksi kararlaştırılmadıkça, gönderen
veya onun adına hareket eden kişinin kontrolü dışındaki bir bilgi sistemine
girdiği zaman gönderilmiş sayılır.
Alıcı elektronik veri almak amacıyla bir bilgi sistemi belirlemişse,
elektronik veri belirlenmiş bilgi sistemine girdiği zaman alınmış sayılır.
Belirlenmiş bilgi sistemine gönderilmeyen elektronik veri ise alıcının
elektronik veriye ulaştığı zaman alınmış sayılır.
Alıcı elektronik veri almak amacıyla bir bilgi sistemi belirlememişse,
elektronik veri alıcının bilgi sistemine girdiği zaman alınmış sayılır.
Bilgi sisteminin bulunduğu yerin elektronik verinin alındığı kabul edilen
yerden farklı bir yer olması elektronik verinin alınma zamanını değiştirmez.
Taraflarca aksi kararlaştırılmadığı takdirde, elektronik verinin gönderenin
işyerinden gönderildiği ve alıcının işyerinde alındığı kabul edilir.
Birden fazla işyeri olması durumunda; işyeri, ilgili ticari işlemle
en yakın ilişkisi olan işyeri, böyle bir tespit yapılamadığı takdirde
ise işyeri merkezidir. Gönderen veya alıcının işyeri yoksa yerleşim
yerleri esas alınır.
Elektronik verinin hukuki niteliği
Madde 10 - Bilginin sadece elektronik veri şeklinde olması hukuki geçerlilik
ve uygulanabilirliğine etki etmeyeceği gibi, delil olarak ileri sürülmesini
de engellemez.
Elektronik veride atıf yapılan ve hukuki sonuç doğurabilecek bir bilginin
sadece elektronik veride yer almadığı gerekçesiyle geçersiz olduğu ileri
sürülemez.
Elektronik veri; üretilmesi, gönderilmesi, alınması veya saklanması
sırasında güvenilir bir bilgi sistemi kullanılmış ve bilgi bütünlüğü
korunmuşsa ve gönderenin kimliği doğru şekilde tespit edilebiliyorsa,
delil olarak ileri sürülebilir.
Elektronik sözleşme
Madde 11 - Taraflarca aksi kararlaştırılmadığı takdirde, bir sözleşmede
icap ve kabul elektronik veri yoluyla yapılabilir. Sözleşmenin elektronik
veri yoluyla kurulması hukuki geçerlilik ve uygulanabilirliğine etki
etmez.
Bu madde hükümleri; kira sözleşmeleri hariç olmak üzere, taşınmazlara
ilişkin sözleşmeler, kanunen mahkemelerin, kamu mercilerinin veya kamu
yetkisi kullanan kişilerin katılımını gerektiren sözleşmeler, kefalet
ve teminat sözleşmeleri, aile veya miras hukukuna ilişkin sözleşmeler
gibi yazılı veya resmi şekil zorunluluğunun bulunduğu sözleşmelere uygulanmaz.
ÜÇÜNCÜ
KISIM
Elektronik İmza
BİRİNCİ BÖLÜM
Sertifika Hizmet Sağlayıcıları
Genel şartlar
Madde 12 - Özel hukuk tüzel kişileri ve kamu tüzel kişileri sertifika
hizmet sağlayıcısı olarak faaliyette bulunabilirler. Yurt dışında kurulmuş
bir sertifika hizmet sağlayıcısının Türkiye'de temsilcilik açmasına
Kurum karar verir.
Sertifika hizmet sağlayıcılarının faaliyete geçebilmeleri için aşağıda
belirtilen hususların belgelendirilmesi gerekir;
a)
Sertifika hizmet sağlayıcısı özel hukuk tüzel kişisi ise, kurucu ortakları
ve tüzel kişiliği temsile yetkili yöneticilerinin, taksirli suçlar hariç
olmak üzere, affa uğramış olsalar bile ağır hapis veya altı aydan fazla
hapis yahut basit veya nitelikli zimmet, irtikap, rüşvet, hırsızlık,
dolandırıcılık, sahtekarlık, inancı kötüye kullanma, dolanlı iflas gibi
yüz kızartıcı suçlar ile istimal ve istihlak kaçakçılığı dışında kalan
kaçakçılık suçları, resmi ihale ve alım satımlara fesat karıştırma,
kara para aklama veya devlet sırlarını açığa vurma, vergi kaçakçılığı
veya vergi kaçakçılığına teşebbüs ya da iştirak veya bilişim alanındaki
suçlardan dolayı hüküm giymemiş bulunması,
b) Gerekli güvenilirliği haiz ve bu alanda yeterli bilgi, tecrübe ve
uzmanlığa sahip olması,
c) Bu hizmeti yürütebilecek donanıma sahip olması,
d) Güvenlik önlemlerinin yeterli ve uygulamaya konulmuş olması,
e) Bu hizmet sebebiyle doğabilecek zararlar için kanunun 17nci maddesi
gereğince yeterli karşılık bulundurması.
Bu şartlarda meydana gelebilecek değişiklikler derhal Kuruma bildirilir.
Yukarıdaki fıkranın (a) ve (b) bendi hükümleri sertifika hizmet sağlayıcılarının
personeli hakkında da uygulanır.
Sertifika hizmet sağlayıcıları bu kanunda sayılan hizmetlerin bir kısmını
yukarıda belirtilen şartları taşıyan özel hukuk tüzel kişilerine veya
kamu tüzel kişilerine yaptırabilir. Bu durumda doğacak sorumluluk sertifika
hizmet sağlayıcısına aittir.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Nitelikli sertifika verebilme şartları
Madde 13 - Sertifika hizmet sağlayıcılarının nitelikli sertifika verebilmeleri
için 12 nci maddede belirtilen şartlara ilave olarak aşağıda belirtilen
şartları da yerine getirmeleri gerekir;
a) İmza doğrulama verisinin kimliği belirlenmiş nitelikli sertifika
sahibine tahsis edildiğini teyit etmek ve bu veriye üçüncü kişilerin
ulaşabilmesini temin edecek hızlı ve güvenli bir rehber hizmeti vermek
ve iptal işlemlerinin güvenilir bir şekilde ve derhal yerine getirilmesini
sağlamak,
b) Sertifikanın verildiği veya iptal edildiği tarih ve zamanın kesin
olarak belirlenebilmesini sağlamak,
c) Nitelikli sertifika sahibinin kimliğini ve gerektiğinde özel niteliklerini
güvenilir bir şekilde tespit etmek,
d) Değişiklik yapılmasına karşı korunan güvenilir sistem ve ürünler
kullanmak ve bu sistem ve ürünlerce desteklenen yöntemlerin teknik güvenliğini
sağlamak,
e) Sertifika sahtekarlığına karşı gerekli önlemleri almak ve imza verisini
oluştururken gizliliği sağlamak,
f) Nitelikli sertifika ile ilgili bilgileri on yıl süre ile saklamak,
g) Nitelikli sertifika verilmesine ilişkin sözleşme yapılmadan önce,
sertifika kullanıcısını bu sertifikanın kullanımına ilişkin koşul ve
sınırlamalar, akreditasyonun olup olmadığı, şikayet usulleri ve uyuşmazlıkların
çözümü konularında bilgilendirmek, bu sertifikaya dayanarak işlem yapacak
üçüncü kişilere talepleri halinde bu bilgileri vermek,
h) Nitelikli sertifikada bulunan bilgilerin sadece yetkili kişilerce
değiştirilebilmesini ve bilgilerin doğruluğunun kontrol edilebilmesini
sağlamak,
i) Sertifika sahibine ait imza verisini saklamamak ve kopyalamamak.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Bilgi verme mükellefiyeti
Madde 14 - Nitelikli sertifika veren sertifika hizmet sağlayıcısı, başvuru
sahibini nitelikli elektronik imzanın güvenliğini artırmak için gerekli
önlemler ve imza verisinin zaman içinde güvenlik değerinin azalmasını
önlemek için sertifikanın yenilenmesinin gerekebileceği hususunda bilgilendirir.
Nitelikli sertifika veren sertifika hizmet sağlayıcısı, kanunda aksine
bir hüküm bulunmadığı takdirde, hukuki işlemlerde nitelikli elektronik
imzanın elle atılmış imza ile aynı etkiyi haiz olduğu hususunda başvuru
sahibini yazılı olarak bilgilendirir. Bu belge başvuru sahibi tarafından
okunarak imza edilir.
Belgelendirme
Madde 15 - Sertifika hizmet sağlayıcısı, bu kanunda ve ilgili yönetmeliklerde
yer alan güvenlik önlemlerini, nitelikli sertifikalarda bulunan bilgileri
ve bunların doğruluğunu her zaman teyit edebilecek şekilde belgelendirmek
zorundadır. Nitelikli sertifikaların verilmesi ve iptali dahil olmak
üzere belgelendirme, bilgilerin sonradan değiştirilmesini önleyecek
şekilde ve gecikmeksizin yapılmalıdır.
Sertifika hizmet sağlayıcısı, talebi halinde imza sahibinin kendisiyle
ilgili bilgilere ve işlemlere ulaşmasını sağlar.
Kişisel verilerin korunması
Madde 16 - Nitelikli sertifika veren sertifika hizmet sağlayıcısı, sertifika
sahibine ilişkin kişisel verileri sertifika sahibinin rızası dışında
açıklamamakla ve bu kanunun amacı dışında kullanmamakla yükümlüdür.
Sertifika sahibi hakkındaki veriler ancak kanunla belirtilen kişi ve
kuruluşlara açıklanabilir.
Bu madde hükmü sertifika hizmet sağlayıcıları tarafından verilen tüm
elektronik imza sertifikalarına uygulanır.
Karşılık bulundurma yükümlülüğü
Madde 17 - Nitelikli sertifika veren sertifika hizmet sağlayıcısı, bu
hizmeti nedeniyle doğabilecek zararları karşılamak üzere yeterli karşılık
bulundurmakla yükümlüdür. Yeterli karşılığın asgari tutarı, şekli ve
muhafazası ile ilgili hususlar Bakanlar Kurulu tarafından belirlenir.
Sorumluluk
Madde 18 - Nitelikli sertifika veren sertifika hizmet sağlayıcısı, sertifika
sahibinin ve iyi niyetli üçüncü kişilerin bu sertifikaya, sertifikanın
içerdiği bilgilere ve nitelikli zaman damgasına güvenmelerinden doğan
zararları tazmin etmekle yükümlüdür. Ancak, nitelikli sertifika veren
sertifika hizmet sağlayıcısı;
a) Böyle bir zararın doğmaması için hal ve şartların gerektirdiği bütün
dikkat ve özeni gösterdiğini veya,
b) Bütün dikkat ve özeni göstermiş olsa bile bu zararın doğmasına engel
olamayacağını veya,
c) Üçüncü kişinin sertifika, sertifikanın içerdiği bilgiler veya nitelikli
zaman damgasında bulunan bilgilerin doğru olmadığını bildiğini veya
bilmesi gerektiğini,
ispat ederse sorumluluktan kurtulur.
İmza sahibinin imza verisini kaybetmesi veya çaldırması ve bu durumu
derhal sertifika hizmet sağlayıcısına bildirmemesi veya imza verisini
üçüncü kişilerle paylaşması durumunda sorumluluk imza sahibine aittir.
Nitelikli sertifikada sertifikanın kapsamına veya kullanılabileceği
işlemlerin değerlerine ilişkin bir sınırlama varsa, belirlenen sınırlamaların
aşılmasından doğan zararlardan sertifika hizmet sağlayıcısı sorumlu
tutulamaz.
Nitelikli sertifika veren sertifika hizmet sağlayıcısı, hizmetlerinin
bir kısmını özel hukuk tüzel kişileri veya kamu tüzel kişilerine yaptırdığı
takdirde, bu işlemlerden doğan zararları da tazmin etmekle yükümlüdür.
Kanunun 35 inci maddesinin (b) bendine göre ülke içinde kurulmuş ve
akredite edilmiş sertifika hizmet sağlayıcısı tarafından garanti edilmesi
halinde bu sertifikadan dolayı oluşabilecek zararlardan garanti eden
sertifika hizmet sağlayıcısı da sorumludur.
Ücret
Madde 19 - Sertifika hizmet sağlayıcılarının hizmetleri nedeniyle talep
edebileceği ücretlerin alt ve üst sınırları her yıl Ocak ayında Kurumca
belirlenir ve sertifika hizmet sağlayıcılarına bildirilir.
İKİNCİ BÖLÜM
Nitelikli Sertifika ve Nitelikli Zaman Damgası
Nitelikli sertifika
Madde 20 - Nitelikli sertifikanın verilebilmesi için sertifika hizmet
sağlayıcısı ile başvuru sahibi arasında yazılı bir sözleşme yapılması
zorunludur. Sözleşme imzalanırken başvuru sahibinin şahsen hazır bulunması
gerekir.
Nitelikli sertifikalarda bulunması gereken unsurlar şunlardır:
a) Sertifikanın nitelikli olarak verildiğine ilişkin ibare,
b) Sertifika hizmet sağlayıcısının kimliği ve kurulduğu ülke,
c) İmza sahibinin adı ve soyadı,
d) Sertifikanın veriliş amacına bağlı olarak gerektiğinde imzalayanın
özel niteliği,
e) İmza sahibinin kontrolü altındaki imza verisinin karşılığı olan imza
doğrulama verisi,
f) Sertifikanın geçerlik süresinin başlangıç ve bitiş tarihi ve zamanı,
g) Sertifika kodu,
h) Sertifika hizmet sağlayıcısının gelişmiş elektronik imzası.
Sertifikaların
kapsamına ve kullanılabileceği işlemlerin değerlerine ilişkin bir sınırlama
olduğu takdirde, bu sınırlamalar sertifikada gösterilir.
Nitelikli sertifika temsil yetkisini veya mesleki veya diğer kişisel
bilgileri içerebilir. Bu durumda temsil edilenin rızası veya yetkili
mercilerin tasdiki aranır. Tasdiki gerekmeyen kişisel bilgilerin nitelikli
sertifikada yer alması ilgili kişinin iznine bağlıdır.
Nitelikli zaman damgası
Madde 21 - Nitelikli zaman damgası, elektronik verinin üretildiği, değiştirildiği,
gönderildiği, alındığı veya saklandığı zamanı kesin olarak belirler.
Nitelikli zaman damgası veren sertifika hizmet sağlayıcıları güvenli
imza, imza doğrulama ve teknik hizmet araçları ile ilgili hükümlere
uymakla yükümlüdür.
Nitelikli zaman damgasının verilmesine ve kullanılmasına ilişkin usul
ve esaslar yönetmelikle düzenlenir.
Nitelikli
sertifikaların iptali
Madde 22 - Nitelikli sertifika aşağıda belirtilen hallerde sertifika
hizmet sağlayıcısı tarafından gecikmeksizin iptal edilir;
a) İmza sahibi ya da temsilcisinin iptal talebinde bulunması,
b) Sertifikada bulunan bilgilerin gerçeğe aykırı olduğunun anlaşılması,
c) Sertifika hizmet sağlayıcısının faaliyetini sona erdirmesi ve bu
faaliyetin başka bir sertifika hizmet sağlayıcısı tarafından sürdürülmemesi,
d) Kurum tarafından iptal emri verilmesi.
Nitelikli sertifikada bulunan temsil yetkisi veya mesleki veya diğer
kişisel bilgiler sertifikada yer aldıktan sonra geçerliliğini kaybetmişse,
nitelikli sertifikanın iptali ilgili üçüncü kişi veya yetkili merciler
tarafından istenebilir. Bu durumda da nitelikli sertifika gecikmeksizin
iptal edilir.
Nitelikli sertifikanın iptal edildiği tarih ve zaman sertifika hizmet
sağlayıcısı tarafından kesin olarak belirtilir.
Nitelikli sertifikanın iptal edilmesi iptalden önceki işlemlerin hukuki
geçerliliğini etkilemez.
ÜÇÜNCÜ BÖLÜM
Kurumun Görev ve Yetkileri
Gözetim
Madde 23 - Sertifika hizmet sağlayıcısı faaliyete başladığı tarihten
itibaren Kurumun gözetimine tabidir. Kurum bu gözetimi doğrudan veya
Test ve Onaylama Ofisleri aracılığı ile gerçekleştirir.
Kurum, gözetim sonucuna göre sertifika hizmet sağlayıcılarının bu kanunda
belirtilen yükümlülüklerini yerine getirmelerini sağlamak için gerekli
tedbirleri alır.
Denetim
Madde 24 - Bu kanunun uygulanmasında Kurum re'sen veya kendisine intikal
eden başvurular üzerine sertifika hizmet sağlayıcılarına ilişkin denetleme,
inceleme ve araştırma yapmaya yetkilidir.
Bu kanunun kapsamına giren hususlarda Kurum tarafından görevlendirilen
personele her türlü bilgi, belge ve elektronik verinin tam ve doğru
olarak gösterilmesi ve verilmesi zorunludur. Sertifika hizmet sağlayıcıları
ve personeli, Kurumun denetim elemanlarının mesai saatlerinde
çalışma yerlerine girmesine izin vermek ve gerekli desteği sağlamakla
yükümlüdür. Kurum denetim sonucuna göre sertifika hizmet sağlayıcısının
faaliyetini kısmen durdurabilir veya faaliyetinin sona erdirilmesine
karar verebilir.
Kurum; nitelikli sertifikalarda, nitelikli elektronik imzalarda veya
nitelikli elektronik imza ile imzalanan verilerde sahtekarlık yapıldığını
veya sahtekarlığa karşı yeterli derecede korunmadığını tespit ederse,
nitelikli sertifikaların iptaline karar verir ve iptal emrini sertifika
hizmet sağlayıcısına bildirir.
Test ve Onaylama Ofisleri
Madde 25 - Kurum, bu kanun hükümlerini yerine getirmek için gerekli
güvenilirliğe ve uzmanlığa sahip olduğunu belgeleyen tüzel kişilere
Test ve Onaylama Ofisi olarak çalışmak üzere yetki belgesi verir. Yetki
belgesi belirli bir konuda veya sınırlı süre için verilebilir.
Yetki belgesi alan Test ve Onaylama Ofisleri, sertifika hizmet sağlayıcılarının
kullandıkları elektronik imza ürünlerini test edip onaylar. Kurum, görevlerini
objektif kriterlere uygun olarak yerine getirmeyen, gerekli dikkat ve
özeni göstermeyen Test ve Onaylama Ofisinin yetki belgesini geri alabilir.
Yetki belgesi Kurum tarafından geri alınan veya faaliyetini sona erdiren
Test ve Onaylama Ofisi test ve onaylama işlemlerine ilişkin tüm belgeleri
Kuruma gecikmeksizin teslim eder.
Test ve Onaylama Ofislerinin, test ve onaylama işlemleri için alacağı
ücret Kurumca belirlenir. Alınan ücretin %5'i bu kanundan doğan yükümlülüklerin
yerine getirilmesinde kullanılmak üzere Kuruma aktarılır.
Test ve Onaylama Ofisleri, faaliyetleri süresince sertifika hizmet sağlayıcısı
olarak çalışamazlar.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Sertifika hizmet sağlayıcısının faaliyetinin kısmen durdurulması
Madde 26 - Sertifika hizmet sağlayıcısının bu kanunda belirtilen yükümlülüklerini
yerine getirmediğinin tespiti halinde, Kurum sertifika hizmet sağlayıcısının
faaliyetini bir aya kadar kısmen durdurabilir. Faaliyetin kısmen durdurulması
halinde, sertifika hizmet sağlayıcısı yeni sertifika veremez veya verilmiş
olan sertifikaları yenileyemez.
Sertifika hizmet sağlayıcısının faaliyetlerinin kısmen durdurulması
sertifika hizmet sağlayıcısı tarafından verilen nitelikli sertifikaların
geçerliliğini etkilemez.
Faaliyetin durdurulmasını gerektiren nedenin ortadan kalktığının ispatı
halinde faaliyetin durdurulması kararı kaldırılır.
Sertifika hizmet sağlayıcısının faaliyetinin sona ermesi
Madde 27 - Sertifika hizmet sağlayıcısının faaliyeti kendi isteği ile
veya Kurumca alınan karar üzerine sona erer.
Kurum aşağıdaki hallerde sertifika hizmet sağlayıcısının faaliyetinin
sona ermesine karar verir;
a) 12 nci maddede belirtilen şartlardan herhangi birini taşımadığının
sonradan anlaşılması veya bu şartlardan herhangi birinin kaybedildiğinin
tespiti,
b) 26 ncı maddeye göre faaliyetin durdurulmasını gerektiren nedenlerin
Kurumca
belirlenen süre içerisinde ortadan kalkmadığının tespiti,
c)Sertifika hizmet sağlayıcısının faaliyetinin bir yıl içinde iki kez
durdurulması,
d)Sertifika hizmet sağlayıcısı özel hukuk tüzel kişisi ise, kurucu ortakları
veya tüzel
kişiliği temsile yetkili yöneticilerinin veya en az üç çalışanının 39
uncu maddede sayılan fiillerden hüküm giymiş olması,
e)Sertifika hizmet sağlayıcısının 16 ncı madde hükmüne aykırı hareket
etmesi,
f)Sertifika hizmet sağlayıcısı özel hukuk tüzel kişisi ise tüzel kişiliğin
sona ermesi,
g)Sertifika hizmet sağlayıcısının bu kanunda belirtilen yükümlülüklerini
yerine getiremeyeceğinin anlaşılması.
Sertifika hizmet sağlayıcısı, faaliyetinin sona erdiği tarihte geçerli
olan nitelikli sertifikaları başka bir sertifika hizmet sağlayıcısına
gecikmeksizin devreder veya iptal eder. Faaliyetinin sona erdiğini ve
nitelikli sertifikaların başka bir sertifika hizmet sağlayıcısına devredildiğini
veya iptal edildiğini sertifika sahiplerine ve Kuruma derhal bildirir.
Tüzel kişiliğin sona ermesi halinde, nitelikli sertifikalar Kurumca
iptal edilir ve iptal kararı sertifika sahiplerine bildirilir.
Sertifika hizmet sağlayıcısı, sertifikaları devralan sertifika hizmet
sağlayıcısına sertifika ile ilgili belgeleri teslim eder. İptal edilen
sertifikalara ait belgeler ise Kuruma teslim edilir. Belgelerin tesliminde
15 inci madde hükümlerine uyulur.
Bilgilerin aleniyeti
Madde 28 - Sertifika hizmet sağlayıcılarına ilişkin bilgiler alenidir.
Kurum, sertifika hizmet sağlayıcısının faaliyete başlamasına, faaliyetinin
durdurulmasına veya sona ermesine ve akreditasyon ile ilgili bilgilere
üçüncü kişilerin ulaşmasını sağlamakla görevlidir.
DÖRDÜNCÜ BÖLÜM
İhtiyari Akreditasyon
Sertifika
hizmet sağlayıcısının akredite edilmesi
Madde 29 - Kurum, bu kanunda öngörülen yükümlülüklerini yerine getiren
ve elektronik imza ürünleri Test ve Onaylama Ofislerince test edilip
onaylanan sertifika hizmet sağlayıcılarını başvuruları halinde akredite
eder. Güvenliği etkileyecek herhangi bir değişiklikten sonra ve düzenli
aralıklarla bu test ve onaylama işleminin tekrarlanması gereklidir.
Bu maddenin uygulanmasına ilişkin usul ve esaslar ile akreditasyon işlemleri
için alınacak ücret yönetmelikle düzenlenir.
Akredite edilen sertifika hizmet sağlayıcısının hak ve yükümlülükleri
Madde 30 - Akredite edilen sertifika hizmet sağlayıcısına Kurum tarafından
kalite işareti ve akreditasyon belgesi verilir. Kalite işareti, akredite
edilen sertifika hizmet sağlayıcısının verdiği nitelikli sertifikalara
dayanan nitelikli elektronik imzaların, teknik ve idari olarak kapsamlı
bir şekilde test edilmiş güvenliğe sahip olduklarının ispatıdır. Kalite
işareti alan sertifika hizmet sağlayıcısı hukuki ve ticari işlemlerinde
ispatlanmış bu güvenliği referans olarak kullanabilir.
Akredite edilen sertifika hizmet sağlayıcısı aşağıda belirtilen şartlara
uymakla yükümlüdür;
a) Sertifika faaliyetlerinde sadece Test ve Onaylama Ofislerince test
edilmiş ve onaylanmış elektronik imza ürünleri ve nitelikli elektronik
imza kullanmak,
b) Nitelikli sertifikaları sadece Test ve Onaylama Ofislerince test
edilmiş ve onaylanmış güvenli imza aracına sahip olan kişilere vermek,
c) İmza sahibini, Test ve Onaylama Ofislerince test edilmiş ve onaylanmış
imza doğrulama araçlarının kullanıldığı hususunda 14 üncü madde hükümlerine
göre bilgilendirmek.
Akreditasyonun geri alınması
Madde 31 - Sertifika hizmet sağlayıcısının;
a) Akreditasyon için gerekli şartları taşımadığının anlaşılması,
b) Bu kanunda öngörülen yükümlülüklerini yerine getirmemesi,
c) Test ve Onaylama Ofislerince yapılan kontrollerde onay alamaması,
d) Kurumca alınan tedbirlere uymaması,
e) Faaliyetinin sona ermesi,
hallerinde akreditasyon Kurum tarafından geri alınır, akreditasyon belgesi
ve kalite işareti iptal edilir.
Akreditasyonun geri alınması halinde Kurum akreditasyon belgesine ve
kalite işaretine dayanan sertifikaları ve bunlara ilişkin belgeleri
başka bir akredite sertifika hizmet sağlayıcısına devreder. Devredilemeyen
sertifikalar iptal edilir ve bunlara ilişkin belgeler Kurumca devralınır.
Devir işlemlerinde 15 inci madde hükümlerine uyulur.
Akreditasyonun geri alınması, sertifika hizmet sağlayıcısı tarafından
verilen nitelikli sertifikaların geçerliliğini etkilemez.
BEŞİNCİ BÖLÜM
Elektronik İmza Ürünleri
Güvenli imza araçları
Madde 32 - Güvenli imza araçlarının aşağıda belirtilen şartları sağlaması
gerekir;
a) İmza verisinin sadece bir kez oluşturulmasını sağlamak ve gizliliğini
garanti altına almak,
b) İmza verisinin üçüncü kişiler tarafından üretilmesini önlemek ve
imzayı sahtekarlığa karşı korumak,
c) İmza verisinin, üçüncü kişilerin kullanımını engellemek amacıyla
imza sahibi tarafından korunabilmesini sağlamak.
Güvenli imza araçları, imzalanacak veriyi değiştirmemeli veya bu verinin
imza işleminden önce imza sahibine sunulmasını önlememelidir.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
İmza doğrulama araçları
Madde 33 - İmza doğrulama araçlarının aşağıda belirtilen şartları sağlaması
gerekir;
a) İmza doğrulama verisini güvenilir şekilde doğrulamak,
b) Elektronik imzanın tam ve güvenilir şekilde doğrulanmasını sağlamak,
c) Elektronik imzayı doğrulayanın imzalı verilerin içeriğini de doğrulayabilmesini
sağlamak,
d) İmzanın doğrulanması sırasında sertifikayı ve geçerliliğini güvenilir
şekilde doğrulamak,
e) Doğrulama sonucunu ve imzalayanın kimliğini doğru olarak göstermek,
f) Güvenlikle ilgili tüm değişikliklerin fark edilebilmesini sağlamak.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Teknik hizmet araçları
Madde 34 - Teknik hizmet araçlarının aşağıda belirtilen şartları sağlaması
gerekir;
a) İmza verisinin kopyalanmasını veya saklanmasını engellemek,
b) Nitelikli sertifikaların izinsiz değiştirilmesini ve sertifika bilgilerinin
yüklenmesini önlemek,
c) Nitelikli zaman damgalarını sahtekarlığa ve tahrifata karşı korumak.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
ALTINCI
BÖLÜM
Yabancı Sertifikalar ve Elektronik İmza Ürünleri
Yabancı
sertifikalar
Madde 35 - Yabancı bir ülkede kurulmuş sertifika hizmet sağlayıcıları
tarafından verilen nitelikli sertifikaların, ülke içinde kurulmuş sertifika
hizmet sağlayıcıları tarafından verilen nitelikli sertifikalara hukuken
denk sayılması için aşağıdaki şartlardan birinin sağlanması gerekir;
a) Sertifika hizmet sağlayıcısının bu kanunda belirtilen yükümlülükleri
yerine getirmesi ve Kurum tarafından akredite edilmesi,
b) Sertifika hizmet sağlayıcısının verdiği nitelikli sertifikanın ülke
içinde kurulmuş ve akredite edilmiş sertifika hizmet sağlayıcısı tarafından
garanti edilmesi,
c) İkili veya çok taraflı anlaşmalarla nitelikli sertifikanın veya sertifika
hizmet sağlayıcısının tanınmış olması.
Yabancı elektronik imza ürünleri
Madde 36 - Yabancı elektronik imza ürünlerinin sertifika hizmet sağlayıcıları
tarafından kullanılabilmesi, Test ve Onaylama Ofisleri tarafından test
edilip onaylanmasına bağlıdır. İkili veya çok taraflı anlaşma hükümleri
saklıdır.
YEDİNCİ BÖLÜM
Elektronik İmzanın ve Elektronik Belgenin Hukuki Sonuçları
Nitelikli elektronik imzanın hukuki sonuçları
Madde 37 - Kanunda aksine bir hüküm bulunmadığı ve taraflarca aksi kararlaştırılmadığı
takdirde, nitelikli elektronik imza hukuki işlemlerde elle atılmış imza
ile aynı etkiyi haizdir.
Diğer elektronik imzalar
Madde 38 - Kanunda aksine bir hüküm bulunmadığı takdirde, bir elektronik
imzanın sadece elektronik veri şeklinde olması, nitelikli sertifikaya
dayanmaması, akredite edilmiş sertifika hizmet sağlayıcısı tarafından
verilmemiş olması veya güvenli imza aracı ile oluşturulmamış olması,
hukuki geçerlilik ve uygulanabilirliğine etki etmeyeceği gibi delil
olarak ileri sürülmesini de engellemez.
Elektronik
belgenin hukuki niteliği
Madde 39 - Kanunda aksine bir hüküm bulunmadığı takdirde;
a)
Elektronik belge, Hukuk Usulü Muhakemeleri Kanununun 292 nci maddesinin
ikinci fıkrası kapsamında yazılı delil başlangıcı,
b) Nitelikli sertifikaya dayanan elektronik belge adi senet,
c) Nitelikli sertifikaya dayanan ve nitelikli zaman damgası bulunan
elektronik belge, tarihi açısından, Hukuk Usulü Muhakemeleri Kanununun
299 uncu maddesinin ikinci fıkrası kapsamında üçüncü kişileri de bağlayan
adi senet,
hükmündedir.
DÖRDÜNCÜ
KISIM
Ceza Hükümleri
İdari para cezaları
Madde 40 - Bu kanunda yer alan hükümlere aykırı hareket eden sertifika
hizmet sağlayıcılarına, bu fiilleri başka bir suçu oluştursa bile ayrıca
bu madde hükümlerine göre Kurum tarafından idari para cezası verilir.*
Sertifika hizmet sağlayıcılarına;
a) 20 nci maddenin (b), (d) ve (g) bentlerinde belirtilen unsurların
nitelikli sertifikada bulunmaması halinde, eksik olan her unsur için
bir milyar T.L,
b) 20 nci maddenin (a), (c), (e), (f) ve (h) bentlerinde belirtilen
unsurların nitelikli sertifikada bulunmaması halinde, eksik olan her
unsur için beş milyar T.L.,
c) 13 üncü maddenin (g) bendi ile 14 üncü maddede belirtilen bilgi verme
mükellefiyetine aykırı hareket edilmesi halinde, beş milyar T.L.,
d) 15 inci maddede düzenlenen belgelendirme yükümlülüğünün yerine getirilmemesi
halinde, beş milyar T.L.,
e) Faaliyetin sona erdiği tarihte geçerli olan nitelikli sertifikaların
başka bir sertifika hizmet sağlayıcısına devredilmemesi ve iptal edilmemesi
halinde, on milyar T.L,
f) Faaliyetin sona erdiğinin ve nitelikli sertifikaların devredildiğinin
veya iptal edildiğinin Kuruma ve sertifika sahiplerine *gecikmeksizin
bildirilmemesi halinde on milyar T.L.,
g) Kurumca alınan tedbirlere uyulmaması halinde on milyar T.L.,
h) 24 üncü maddenin ikinci fıkrasında belirtilen yükümlülüklerin yerine
getirilmemesi halinde on milyar T.L.,
i) Bu kanunda belirtilen diğer yükümlülüklerin yerine getirilmemesi
halinde on milyar T.L.,
j) Nitelikli sertifikalarda bulunması gereken unsurlardan bir veya birkaçının
yanlış veya yanıltıcı olması halinde, yirmi milyar T.L.,
k) 12 nci maddede sayılan şartlardaki değişikliklerin Kuruma bildirilmemesi
veya geç bildirilmesi halinde yirmi milyar T.L.,
l) 13 üncü maddenin (g) bendi hariç olmak üzere diğer bentlerinde belirtilen
şartların yerine getirilmemesi halinde, her bir şart için yirmi milyar
T.L.,
m) Akredite edilen sertifika hizmet sağlayıcısının, 30 uncu maddenin
(a) ve (b) bentlerinde belirtilen şartları yerine getirmemesi halinde,
her bir şart için otuz milyar T.L.,
n) Nitelikli zaman damgasının yanlış veya yanıltıcı olması halinde elli
milyar T.L.,
o) Kuruma bildirmeksizin faaliyete geçilmesi veya faaliyetin kısmen
durdurulması veya sona erdirilmesi kararına rağmen faaliyetin sürdürülmesi
halinde, yüz milyar T.L
p) 17 nci madde gereğince yeterli karşılık bulundurmaması halinde, yüz
milyar T.L.,
r) 16 ncı maddede düzenlenen kişisel verilerin korunması ile ilgili
yükümlülüklere aykırı
hareket edilmesi halinde, yüz milyar T.L.,
idari para cezası verilir.
Sertifika hizmet sağlayıcısının eylemi birden fazla idari para cezasını
gerektiriyorsa cezalardan ağır olanı uygulanır. İdari para cezası diğer
idari tedbirlerin uygulanmasını engellemez.
Bu maddede belirtilen idari para cezaları fiilin bir yıl içinde tekerrürü
halinde iki misli olarak uygulanır.
Bu maddede belirtilen idari para cezaları her yılbaşında Türk Ceza Kanununun
Ek 2 nci madde hükümleri uyarınca artırılır.
Para cezalarına itiraz
Madde 41 - İdari para cezaları tebliğ tarihinden itibaren yedi gün içinde
Kuruma ödenir veya aynı süre içinde Kuruma itiraz edilebilir. İtiraz
takibi durdurur. İtiraz Kurumca incelenerek on beş gün içinde karara
bağlanır. Bu süre içinde bir karar verilmezse itiraz reddedilmiş sayılır.
İtirazın reddedilmesi veya reddedilmiş sayılması halinde, tebliğ veya
sürenin bitimi tarihinden itibaren on beş gün içinde yetkili idare mahkemesinde
dava açılabilir. Dava açılması cezanın takip ve tahsilini durdurmaz.
Tahsil
Madde 42 - Bu kanunda belirtilen idari para cezaları 6183 sayılı Amme
Alacaklarının Tahsil Usulü Hakkında Kanun hükümleri gereğince vergi
dairelerince tahsil edilir.
Tahsil edilen para cezalarının % 30'u bu kanundan doğan yükümlülüklerin
yerine getirilmesinde kullanılmak üzere Kuruma aktarılır.
Zamanaşımı
Madde 43 - Bu kanunda düzenlenen idari para cezalarına ilişkin zamanaşımı
süresi, fiillerin Kurumca tespit edildiği tarihten itibaren bir yıl,
fiillerin işlendiği tarihten itibaren üç yıldır. Sertifika hizmet sağlayıcılarının
faaliyetlerinin re'sen veya şikayet üzerine incelenmesi, kontrolü veya
denetimi amaçlarıyla Kurumca herhangi bir işlem başlatılması halinde
zamanaşımı süresi kesilir.
Tekrarlanan fiillerde zamanaşımı süresi, fiilin en son tekrarlandığı
tarihten itibaren başlar.
BEŞİNCİ KISIM
Çeşitli Hükümler
Teknik danışma komiteleri
Madde 44 - Kurum bu kanunda belirtilen görevleri çerçevesinde ilmi veya
teknik araştırmalar yaptırmak veya gerekli görülecek konularda özel
uzmanlıklarından yararlanmak üzere geçici teknik danışma komiteleri
teşkil edebilir.
Teknik danışma komitelerinin teşkili, üyelerinin nitelikleri, çalışma
usul ve esasları ile mali hususlar yönetmelikle düzenlenir.
Uyuşmazlıkların çözümü
Madde 45 - Sertifika hizmet sağlayıcıları arasında veya sertifika hizmet
sağlayıcıları ile sertifika sahipleri arasında bu kanunun uygulanmasından
doğan uyuşmazlıklar Kurumca çözümlenir.
Kurum re'sen veya başvuru üzerine olayı soruşturarak bir ay içinde uyuşmazlığı
sonuçlandırır ve kararını ilgililere tebliğ eder.
Kurum kararlarına itiraz
Madde 46 - Kurum kararlarına karşı tebliğ tarihinden itibaren yedi gün
içinde Kuruma itiraz edilebilir. İtiraz kararın uygulanmasını durdurur.
İtiraz Kurumca incelenerek on beş gün içinde karara bağlanır. Bu süre
içinde bir karar verilmezse itiraz reddedilmiş sayılır.
İtirazın reddedilmesi veya reddedilmiş sayılması halinde tebliğ veya
sürenin bitimi tarihinden itibaren on beş gün içinde yetkili idare mahkemesinde
dava açılabilir. Dava açılması kararın uygulanmasını durdurmaz.
Yönetmelikler
Madde 47 - Bu kanuna göre çıkarılacak yönetmelikler kanunun yürürlüğe
girdiği tarihten itibaren altı ay içinde Kurumca hazırlanarak Bakanlar
Kurulu Kararı ile yürürlüğe konulur.
Geçici Madde 1 - Bu kanunun yürürlüğe girdiği tarihten önce faaliyette
bulunan sertifika hizmet sağlayıcıları, kanunun yürürlüğe girdiği tarihten
itibaren altı ay içinde kanunda aranan şartları yerine getirerek Kuruma
müracaat ederler. Bu süre içinde başvurmayan veya kanunda aranan şartları
yerine getirmeyen sertifika hizmet sağlayıcılarının faaliyetine Kurumca
son verilir.
Yürürlük
Madde 48 - Bu kanun yayımı tarihinden altı ay sonra yürürlüğe girer.
Yürütme
Madde 49 - Bu kanun hükümlerini Bakanlar Kurulu yürütür.
