TİCARİ ELEKTRONİK İLETİ YÖNETİM SİSTEMİ ENTEGRATÖRLERİ HAKKINDA TEBLİĞ YAYIMLANDI!
İçindekiler
ToggleTicaret Bakanlığı tarafından hazırlanan Ticari Elektronik İleti Yönetim Sistemi
Entegratörleri Hakkında Tebliğ (“Tebliğ”), 18.09.2024 tarihinde 32666 sayılı Resmi
Gazete’de yayımlanmıştır.
Tebliğ’in Kapsamı
Tebliğ’de; ticari elektronik ileti gönderiminde alıcılara ait onay ve ret bilgilerinin Ticari Elektronik İleti Yönetim Sistemi (“İYS”)’ne kaydedilmesi, İYS üzerinden onay alınması ve reddetme hakkının kullanılması süreçlerinde hizmet sağlayıcılar tarafından yetkilendirilen entegratörlerin yetkilendirilmesi ve bu yetkilerin iptaline ilişkin kurallar düzenlenmektedir.
Tanımlar
Entegratör: Ticari elektronik ileti gönderiminde, alıcılara ait onay ve ret bilgilerinin İYS’ye kaydedilmesi, İYS üzerinden onay alınması ve reddetme hakkının kullanılması hususlarında hizmet sağlayıcılara hizmet vermek üzere faaliyette bulunan, Ticaret Bakanlığı (“Bakanlık”) tarafından yetkilendirilmiş şirkettir.
Hizmet Sağlayıcı: Ticari elektronik ileti gönderimi yapan veya adına gönderim yapılan İYS’ye kaydolmakla yükümlü gerçek veya tüzel kişilerdir.
Ticari Elektronik İleti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletilerdir.
Entegratörlük Yetkisi Şartları
Tebliğ’e göre; ticari elektronik ileti onay ve ret işlemlerinin İYS’ye kaydedilmesi veya bu işlemlerin İYS üzerinden gerçekleştirilmesi hususlarında, hizmet sağlayıcılara entegratör olarak hizmet verilebilmesi için Bakanlık’tan yetki alınması zorunlu hale getirilmiştir. Bu kapsamda, Tebliğ’in yayımlandığı gün yürürlüğe girmesi ile, ilgili hizmetler Bakanlık’tan yetki alan kuruluşlar tarafından verilebilecektir.
Tebliğ kapsamında entegratörlük yetkisi alınabilmesi için gerekli kılınan diğer şartlar;
- Türk Ticaret Kanunu’na göre anonim veya limited şirket şeklinde kurulu olması,
- Ödenmiş sermayesinin en az bir milyon Türk lirası olması,
- Anonim şirketlerde payların tamamının nama yazılı olması,
- Şirket ortağı ve yöneticilerinin; rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama, terörizmin finansmanı, kaçakçılık, vergi kaçakçılığı ve bilişim suçlarından dolayı hüküm giymemiş olması,
- Ticari defter ve kayıtlarını düzenli ve izlenebilir şekilde tutuyor olması,
- Şirket bünyesinde ağ ve ağ güvenliği uzmanı, veri tabanı uzmanı, sistem uzmanı, kalite sistemleri uzmanı ve yazılım geliştirme uzmanı olmak üzere en az beş personelin doğrudan veya dışarıdan hizmet alımı yoluyla istihdam edilmesi,
- ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesi ile Türk Akreditasyon Kurumu (“TÜRKAK”) tarafından akredite edilmiş bir belgelendirme kuruluşundan alınan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi ve ISO/IEC 27701 Kişisel Veri Yönetim Sistemi Belgesine sahip olması,
- Başvuru tarihinden en çok üç ay öncesinde olmak kaydıyla, Türk Standardları Enstitüsü (“TSE”) tarafından onaylı A veya B seviye sızma testi yapan kuruluşlarca sızma testinin yapılmış olması,
- Teknik alt yapısının; ticari elektronik ileti onay ve ret işlemlerinde herhangi bir kesinti olmaksızın 7 gün 24 saat iş sürekliliğini sağlayabilecek yedekli yapıda olması, iz kayıt (log) mekanizmasına sahip olması, yetkisiz erişime karşı korunması, bünyesinde kullanılan tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanması ve senkronize şekilde çalışması,
- Entegratörlük hizmetinde kullanılacak bilgi işlem sisteminin, yazılım, donanım ve sunucu alt yapısının Türkiye Cumhuriyeti sınırları içerisindeki bir veri tabanında bulunması olarak düzenlenmiştir.
Entegratörlük Yetkisi Verilmesi
Yukarıda belirtilen şartları sağlayan şirketlerin; Tebliğ’in ekinde yer alan başvuru formu ile, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (“Yönetmelik”) uyarınca Bakanlık tarafından İYS kurmakla yetkilendirilen ve yönetmekle yükümlü kuruluş olan İYS A.Ş.(“Kuruluş”[1])’ye başvurması gerekmektedir. İlgili Kuruluş, başvuruyu şekil ve içerik açısından ön incelemeye tabi tutarak uygun olan başvuruları 30 gün içinde Bakanlık’a gönderecek olup Bakanlık tarafından yapılan incelemeler sonucunda, şartları sağlayan anonim veya limited şirketlere entegratörlük yetkisi verilecektir.
Entegratör ile Hizmet Sağlayıcı İlişkisi
Tebliğ kapsamında entegratörlere; entegratörlük hizmeti süresi içinde depolamış olduğu verilere hizmet sağlayıcının erişim sağlaması, entegratörlük hizmetinin sona ermesi veya entegratörlük yetkisinin iptali de dâhil olmak üzere, bu verilerin hizmet sağlayıcı tarafından hiçbir gerekçe göstermeksizin, bedelsiz ve etkin şekilde taşınmasına teknik imkân sağlaması yükümlülüğü getirilmiştir. Bu kapsamda, hizmet sağlayıcıların veriye erişim ve veri taşıma taleplerinin, entegratör tarafından en geç on beş gün içinde karşılanacağı belirtilmektedir.
Entegratörün Yükümlülükleri
- Entegratörlük Hizmetinin Mevzuata Uygunluğu: Tebliğ madde 8’de entegratörün; hizmetlerini ilgili kanun, yönetmelik, tebliğ ve sözleşme hükümlerine uygun şekilde yürütmekle yükümlü olduğu ve ayrıca, alıcıların, hizmet sağlayıcıların ve kamunun menfaatine aykırı veya zarar verici şekilde davranmaması gerektiği düzenlenmektedir.
- Teknik Yükümlülükler: Tebliğ madde 9’da entegratör, İYS’nin güvenliğini tehlikeye atacak işlemlerden kaçınmak, yetkisiz erişim ve siber saldırılara karşı ağ ve sistem güvenliğini sağlamak, yedekleme ve felaketten kurtarma planlarına sahip olmak ve tüm işlemleri kaydetmekle yükümlü kılınmaktadır. Ayrıca, Bakanlık’a ek yükümlülükler belirleyebilme, ulusal ve uluslararası standartlara uyma zorunluluğu getirebilme yetkisi tanınmaktadır.
- Kişisel Verilerin Korunması: Tebliğ madde 10’da entegratör, sunduğu hizmetler kapsamında elde ettiği kişisel verilerin korunması, hukuka aykırı erişimlerin ve amacı dışında kullanılmasının önlenmesi için gerekli teknik ve idari tedbirleri almakla sorumlu tutulmaktadır. Hizmet sağlayıcının da kişisel verilerin entegratör tarafından işlenmesi durumunda, bu tedbirlerin alınmasında entegratörle birlikte müştereken sorumlu olduğu düzenlenmektedir.
- Ticari Sır Niteliğindeki Bilgilerin Korunması: Tebliğ madde 11’de entegratör, hizmet sağlayıcıya ait ticari sır niteliğindeki bilgilerin güvenliği ve gizliliğinden sorumlu tutulmaktadır. Bu bilgilerin amacı dışında kullanılamayacağı ve hizmet sağlayıcının yazılı izni olmadan, Bakanlık ve ilgili kamu kurumları dışında üçüncü kişilerle paylaşamayacağı düzenlenmektedir.
- Kayıtları Saklama Yükümlülüğü: Tebliğ madde 12’de, Entegratör, alıcılardan alınan onay ve ret bilgilerini saklaması halinde, bu bilgilerin ibrazından hizmet sağlayıcı ile birlikte müteselsilen sorumlu tutulmaktadır.
-
Entegratörlük Yetkisinin İptali
İlgili düzenlemede, entegratörün yükümlülüklere aykırı davranması veya belirtilen şartları karşılamaması durumunda aykırılığı gidermesi için 30 gün süre verilmektedir. Bu süre, talep üzerine bir defaya mahsus olmak üzere bir 30 gün daha uzatılabilir.
Ancak, bu süreler içinde aykırılık giderilmezse veya şartlar sağlanamazsa, entegratörün yetkisi iptal edilir ve bu durum Kuruluş tarafından, entegratörün hizmet verdiği hizmet sağlayıcılara İYS üzerinden veya yazılı olarak gecikmeksizin bildirilir.
Yetkisi iptal edilen entegratörün, iptal tarihinden itibaren 30 gün boyunca yalnızca mevcut iş ve işlemlerini yürütebileceği düzenlenmekte olup bu sürenin dolması akabinde hizmet durdurulacaktır. Ayrıca, yetkisi iptal edilen entegratör, bir yıl boyunca tekrar başvuruda bulunamayacaktır. Bu kural, aynı kişiler tarafından yönetilen veya ortak olunan şirketler için de geçerli kabul edilmektedir.
Hizmet Sağlayıcının İYS’ye Entegrasyonu
Bu düzenlemeye göre, hizmet sağlayıcı, Kuruluş tarafından yapılacak sözleşme kapsamında kendi bilişim sistemlerini İYS’ye entegre ederek veya doğrudan İYS üzerinden ticari elektronik ileti onay ve ret bilgilerini kaydedebilir. Eğer bu işlemler doğrudan İYS üzerinden yapılırsa, onayın alındığını ispatlama yükümlülüğü entegratöre ait kılınmaktadır.
-
Denetim ve Ceza Hükümleri
Bu düzenlemeye göre:
- Bakanlık, yetkilendirilen entegratörlerin faaliyet ve işlemlerini denetleme yetkisine sahiptir.
- Entegratörler, Tebliğ’de belirtilen TSE onaylı sızma testi yapan kuruluşlarca her yıl en az bir kez sızma testi ve gerekli güvenlik önlemlerini aldıktan sonra doğrulama testi yaptırmak zorundadır. Bakanlık veya Kuruluş, son testin üzerinden bir yıl geçmemiş olsa dahi entegratörden söz konusu testleri yaptırmasını isteyebilir. Test sonuçları, entegratör tarafından en geç 15 gün içinde Kuruluş’a gönderilmelidir.
- Tebliğ’e aykırı hareket edenlerin, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 12. maddesine göre idari para cezalarıyla karşı karşıya kalabilecektir.
-
Geçiş Süreci
Bu düzenlemeye göre, ticari elektronik ileti onay ve ret işlemlerinde hizmet vermek isteyenler, Tebliğ’in yürürlüğe girdiği tarihten itibaren gerekli belgelerle Kuruluş’a başvurabilecektir. Tebliğ’in yürürlüğe girdiği tarihten itibaren 6 ay içinde Bakanlık’tan entegratörlük yetkisi almayanlar, hizmet sağlayıcılar adına ticari elektronik ileti işlemleri yapamayacak ve İYS üzerinden işlem gerçekleştiremeyecektir.
GRC LEGAL Yorumu:
Bilindiği üzere, ilgili Tebliğ’in yürürlüğe girmesinden önce de ticari elektronik ileti süreçlerinin yürütülebilmesi adına İYS iş ortağı olarak adlandırılan bünyeler aracılığıyla alıcıların ileti onaylarının yönetilebilmesi söz konusu olmaktaydı. Tebliğ ile, İYS’nin internet sitesinde yer verilen birtakım iş ortağı olma şartlarının genişletildiği, sürecin daha sıkı şartlara tabi tutulduğu ve elektronik iletişimde şeffaflığın sağlanmaya çalışıldığı görülmektedir.
Tebliğ’de entegratörlük yetkisi bulunmaksızın ilgili hizmetlerin verilemeyeceğinin kararlaştırılması karşısında, hizmet sağlayıcıların entegratörler ile çalışma zorunluluğunun da vuku bulup bulmayacağı soru işaretidir. Nitekim, Tebliğ bu konuya ilişkin açık bir hükme yer vermediğinden hizmet sağlayıcıların entegratör aracılığı olmaksızın İYS süreçlerini manuel şekilde yürütmesi de mümkün gözükmektedir.
Entegratörler için getirilen bu düzenlemeler, daha güvenli bir iletişim ortamı sağlama amacı taşırken, aynı zamanda ticari iletişim süreçlerinde yeni bir standardı işaret etmektedir. Tebliğ’in Kişisel Verilerin Korunması Kanunu ve Elektronik Ticaretin Düzenlenmesi Hakkında Kanun gibi ilgili diğer mevzuat ile de konuşan bir yapıya sahip olması, regülasyonlarla birlikte interdisipliner uyumun sağlanması adına önemli bir adım olarak karşımıza çıkmaktadır.
[1] https://dergipark.org.tr/en/download/article-file/1191143