|
Kanun No. 5070 |
|
Kabul Tarihi : 15.1.2004 |
BİRİNCİ KISIM
Amaç, Kapsam ve Tanımlar
Amaç
MADDE 1.- Bu Kanunun
amacı, elektronik imzanın hukukî ve teknik yönleri ile kullanımına ilişkin
esasları düzenlemektir.
Kapsam
MADDE 2.- Bu Kanun,
elektronik imzanın hukukî yapısını, elektronik sertifika hizmet
sağlayıcılarının faaliyetlerini ve her alanda elektronik imzanın kullanımına
ilişkin işlemleri kapsar.
Tanımlar
MADDE 3.- Bu Kanunda
geçen;
a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtları,
b)
Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik veriyle
mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik
veriyi,
c)
İmza sahibi: Elektronik imza oluşturmak amacıyla bir imza oluşturma aracını
kullanan gerçek kişiyi,
d)
İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından
elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler,
kriptografik gizli anahtarlar gibi verileri,
e)
İmza oluşturma aracı: Elektronik imza oluşturmak üzere, imza oluşturma verisini
kullanan yazılım veya donanım aracını,
f)
İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan şifreler,
kriptografik açık anahtarlar gibi verileri,
g)
İmza doğrulama aracı: Elektronik imzayı doğrulamak amacıyla imza doğrulama
verisini kullanan yazılım veya donanım aracını,
h)
Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği,
gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla,
elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla
doğrulanan kaydı,
ı)
Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik
bilgilerini birbirine bağlayan elektronik kaydı,
j)
Kurum: Telekomünikasyon Kurumunu,
İfade
eder.
İKİNCİ KISIM
Güvenli Elektronik İmza ve
Sertifika Hizmetleri
BİRİNCİ BÖLÜM
Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama
Araçları
Güvenli elektronik imza
MADDE 4.- Güvenli
elektronik imza;
a)
Münhasıran imza sahibine bağlı olan,
b)
Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma
aracı ile oluşturulan,
c)
Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini
sağlayan,
d)
İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp
yapılmadığının tespitini sağlayan,
Elektronik
imzadır.
Güvenli elektronik imzanın hukukî sonucu ve
uygulama alanı
MADDE 5.- Güvenli
elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur.
Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez.
Güvenli elektronik imza oluşturma araçları
MADDE 6.- Güvenli elektronik imza oluşturma araçları;
a) Ürettiği elektronik imza
oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını,
b) Üzerinde kayıtlı olan
elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde
çıkarılamamasını ve gizliliğini,
c) Üzerinde kayıtlı olan
elektronik imza oluşturma verilerinin,
üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın
sahteciliğe karşı korunmasını,
d) İmzalanacak verinin imza
sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın
oluşturulmasından önce görülebilmesini,
Sağlayan imza oluşturma
araçlarıdır.
Güvenli elektronik imza doğrulama araçları
MADDE 7.- Güvenli
elektronik imza doğrulama araçları;
a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren,
b)
İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama
sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren,
c)
Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan,
d)
İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve
geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin
doğrulama yapan kişiye gösteren,
e)
İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren,
f)
İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit
edilebilmesini sağlayan,
İmza
doğrulama araçlarıdır.
İKİNCİ BÖLÜM
Elektronik Sertifika
Hizmet Sağlayıcısı, Nitelikli Elektronik Sertifika ve
Yabancı Elektronik
Sertifikalar
Elektronik sertifika hizmet sağlayıcısı
MADDE 8.- Elektronik sertifika hizmet sağlayıcısı,
elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri
sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.
Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki
ay sonra faaliyete geçer.
Elektronik sertifika hizmet
sağlayıcısı yapacağı bildirimde;
a) Güvenli ürün ve sistemleri
kullanmak,
b) Hizmeti güvenilir bir biçimde
yürütmek,
c) Sertifikaların taklit ve
tahrif edilmesini önlemekle ilgili her türlü tedbiri almak,
İle ilgili şartları sağladığını
ayrıntılı bir biçimde gösterir.
Kurum, yukarıdaki şartlardan
birinin eksikliğini veya yerine getirilmediğini tespit ederse, bu eksikliklerin
giderilmesi için, elektronik sertifika hizmet sağlayıcısına bir ayı geçmemek
üzere bir süre verir, bu süre içinde elektronik sertifika hizmet sağlayıcısının
faaliyetlerini durdurur. Sürenin sonunda eksikliklerin giderilmemesi halinde
elektronik sertifika hizmet sağlayıcısının faaliyetine son verir. Kurumun bu
kararlarına karşı 19 uncu maddenin ikinci fıkrası hükümleri gereğince itiraz
edilebilir.
Elektronik sertifika hizmet
sağlayıcılarının faaliyetlerinin devamı sırasında bu maddede gösterilen
şartları kaybetmeleri hâlinde de yukarıdaki fıkra hükümleri uygulanır.
Elektronik sertifika hizmet
sağlayıcıları, Kurumun belirleyeceği ücret alt ve üst sınırlarına uymak
zorundadır.
Nitelikli elektronik sertifika
MADDE 9.- Nitelikli elektronik sertifikada;
a) Sertifikanın "nitelikli
elektronik sertifika" olduğuna dair bir ibarenin,
b) Sertifika hizmet
sağlayıcısının kimlik bilgileri ve kurulduğu ülke adının,
c) İmza sahibinin teşhis
edilebileceği kimlik bilgilerinin,
d) Elektronik imza oluşturma
verisine karşılık gelen imza doğrulama verisinin,
e) Sertifikanın geçerlilik
süresinin başlangıç ve bitiş tarihlerinin,
f) Sertifikanın seri
numarasının,
g) Sertifika sahibi diğer bir
kişi adına hareket ediyorsa bu yetkisine ilişkin bilginin,
h) Sertifika sahibi talep ederse
meslekî veya diğer kişisel bilgilerinin,
ı) Varsa sertifikanın kullanım
şartları ve kullanılacağı işlemlerdeki maddî sınırlamalara ilişkin bilgilerin,
j) Sertifika hizmet
sağlayıcısının sertifikada yer alan bilgileri doğrulayan güvenli elektronik
imzasının,
Bulunması
zorunludur.
Elektronik sertifika hizmet sağlayıcısının
yükümlülükleri
MADDE 10.- Elektronik
sertifika hizmet sağlayıcısı;
a)
Hizmetin gerektirdiği nitelikte personel istihdam etmekle,
b)
Nitelikli sertifika verdiği kişilerin kimliğini resmî belgelere göre güvenilir
bir biçimde tespit etmekle,
c)
Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi, meslekî veya
diğer kişisel bilgilerinin sertifikada bulunması durumunda, bu bilgileri de
resmî belgelere dayandırarak güvenilir bir biçimde belirlemekle,
d)
İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya sertifika
talep eden kişi tarafından sertifika hizmet sağlayıcısına ait yerlerde
üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifika hizmet
sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin
güvenliğini sağlamakla,
e)
Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları
ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere
güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında
sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak
bilgilendirmekle,
f)
Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma
verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı olarak
uyarmak ve bilgilendirmekle,
g)Yaptığı
hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen süreyle saklamakla,
h)
Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma ve elektronik
sertifika sahibine bildirmekle,
Yükümlüdür.
Elektronik
sertifika hizmet sağlayıcısı üretilen imza oluşturma verisinin bir kopyasını
alamaz veya bu veriyi saklayamaz.
Nitelikli elektronik sertifikaların iptal
edilmesi
MADDE 11.- Elektronik
sertifika hizmet sağlayıcısı;
a)
Nitelikli elektronik sertifika sahibinin talebi,
b)
Sağladığı nitelikli elektronik sertifikaya ilişkin veri tabanında bulunan
bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya bilgilerin
değişmesi,
c)
Nitelikli elektronik sertifika sahibinin fiil ehliyetinin sınırlandığının,
iflâsının veya gaipliğinin ya da ölümünün öğrenilmesi,
Durumunda
vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal eder.
Elektronik
sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikaların iptal
edildiği zamanın tam olarak tespit edilmesine imkân veren ve üçüncü kişilerin
hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturur.
Elektronik
sertifika hizmet sağlayıcısı, faaliyetine son vermesi ve vermiş olduğu
nitelikli elektronik sertifikaların başka bir elektronik sertifika hizmet
sağlayıcısı tarafından kullanımının sağlanamaması durumunda vermiş olduğu
nitelikli elektronik sertifikaları derhâl iptal eder.
Elektronik
sertifika hizmet sağlayıcısının faaliyetine Kurum tarafından son verilmesi
halinde Kurum, faaliyetine son verilen elektronik sertifika hizmet
sağlayıcısının vermiş olduğu nitelikli elektronik sertifikaların başka bir
elektronik sertifika hizmet sağlayıcısına devredilmesine karar verir ve durumu
ilgililere duyurur.
Elektronik
sertifika hizmet sağlayıcısı geçmişe yönelik
olarak nitelikli elektronik sertifika iptal edemez.
Bilgilerin korunması
MADDE 12.- Elektronik
sertifika hizmet sağlayıcısı;
a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez,
b)
Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin
ulaşabileceği ortamlarda bulunduramaz,
c)
Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü
kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika
sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla
kullanamaz.
Hukukî sorumluluk
MADDE 13.- Elektronik
sertifika hizmet sağlayıcısının, elektronik sertifika sahibine karşı
sorumluluğu genel hükümlere tâbidir.
Elektronik
sertifika hizmet sağlayıcısı, bu Kanun veya bu Kanuna dayanılarak çıkarılan
yönetmelik hükümlerinin ihlâli suretiyle üçüncü kişilere verdiği zararları
tazminle yükümlüdür. Elektronik sertifika hizmet sağlayıcısı kusursuzluğunu
ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz.
Elektronik
sertifika hizmet sağlayıcısı, söz konusu yükümlülük ihlâlinin istihdam ettiği
kişilerin davranışına dayanması hâlinde de zarardan sorumlu olup, elektronik sertifika hizmet sağlayıcısı, bu sorumluluğundan, Borçlar
Kanununun 55 inci maddesinde öngörülen türden bir kurtuluş kanıtı
getirerek kurtulamaz.
Nitelikli
elektronik sertifikanın içerdiği kullanım ve maddî kapsamına ilişkin
sınırlamalar hariç olmak üzere, elektronik sertifika hizmet sağlayıcısının
üçüncü kişilere ve nitelikli elektronik imza sahibine karşı sorumluluğunu
ortadan kaldıran veya sınırlandıran her türlü şart geçersizdir.
Elektronik
sertifika hizmet sağlayıcısı, bu Kanundan doğan yükümlülüklerini yerine
getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika malî
sorumluluk sigortası yaptırmak zorundadır. Sigortaya ilişkin usul ve esaslar
Hazine Müsteşarlığının görüşü alınarak Kurum tarafından çıkarılacak
yönetmelikle belirlenir.
Bu
maddede öngörülen sertifika malî sorumluluk sigortası Türkiye'de ilgili branşta
çalışmaya yetkili olan sigorta şirketleri tarafından yapılır. Bu sigorta
şirketleri sertifika malî sorumluluk sigortasını yapmakla yükümlüdürler. Bu
yükümlülüğe uymayan sigorta şirketlerine Hazine Müsteşarlığınca sekizmilyar
lira idarî para cezası verilir. Bu para cezasının tahsilinde ve cezaya itiraz
usulünde 18 inci madde hükümleri uygulanır.
Elektronik
sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikayı elektronik imza
sahibine sigorta ettirerek teslim etmekle yükümlüdür.
Yabancı elektronik sertifikalar
MADDE 14.- Yabancı bir ülkede kurulu bir elektronik
sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların
hukukî sonuçları milletlerarası anlaşmalarla belirlenir.
Yabancı
bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından
verilen elektronik sertifikaların, Türkiye'de kurulu bir elektronik sertifika
hizmet sağlayıcısı tarafından kabul edilmesi durumunda, bu elektronik sertifikalar
nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların
kullanılması sonucunda doğacak zararlardan, Türkiye'deki elektronik sertifika
hizmet sağlayıcısı da sorumludur.
ÜÇÜNCÜ KISIM
Denetim ve Ceza Hükümleri
Denetim
MADDE 15.- Elektronik sertifika
hizmet sağlayıcılarının bu Kanunun uygulanmasına ilişkin faaliyet ve
işlemlerinin denetimi Kurumca yerine getirilir.
Kurum,
gerekli gördüğü zamanlarda elektronik sertifika hizmet sağlayıcılarını
denetleyebilir. Denetleme sırasında, denetleme yapmaya yetkili görevliler
tarafından her türlü defter, belge ve
kayıtların verilmesi, yönetim yerleri, binalar ve eklentilerine girme,
yazılı ve sözlü bilgi alma, örnek alma ve işlem ve hesapları denetleme
isteminin elektronik sertifika hizmet sağlayıcıları ve ilgililer tarafından
yerine getirilmesi zorunludur.
İmza oluşturma verilerinin izinsiz kullanımı
MADDE 16.- Elektronik
imza oluşturma amacı ile ilgili kişinin rızası dışında; imza oluşturma verisi
veya imza oluşturma aracını elde eden, veren, kopyalayan ve bu araçları yeniden
oluşturanlar ile izinsiz elde edilen imza oluşturma araçlarını kullanarak
izinsiz elektronik imza oluşturanlar bir yıldan üç yıla kadar hapis ve beşyüz
milyon liradan aşağı olmamak üzere ağır
para cezasıyla cezalandırılırlar.
Yukarıdaki
fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları
tarafından işlenirse bu cezalar yarısına kadar artırılır.
Bu
maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir.
Elektronik sertifikalarda sahtekârlık
MADDE 17.- Tamamen
veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak
oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile yetkisi
olmadan elektronik sertifika oluşturanlar veya bu elektronik sertifikaları
bilerek kullananlar, fiilleri başka bir suç oluştursa bile ayrıca, iki yıldan
beş yıla kadar hapis ve birmilyar liradan aşağı olmamak üzere ağır para
cezasıyla cezalandırılırlar.
Yukarıdaki
fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları
tarafından işlenirse bu cezalar yarısına kadar artırılır.
Bu
maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir.
İdarî para cezaları
MADDE 18.- Bu Kanunun;
a) 10 uncu maddesindeki yükümlülüklerinden herhangi birini yerine getirmeyen elektronik sertifika hizmet sağlayıcısına onmilyar lira,
b) 11 inci maddesindeki
yükümlülüklerden herhangi birini yerine getirmeyen elektronik sertifika hizmet
sağlayıcısına sekizmilyar lira,
c) 12 nci maddesi hükümlerine
aykırı hareket edenler hakkında onmilyar lira,
d) 13 üncü maddesinin beş ve
yedinci fıkralarındaki yükümlülükleri yerine getirmeyen elektronik sertifika
hizmet sağlayıcısına sekizmilyar lira,
e) 15 inci maddesi hükmüne
aykırı hareket eden elektronik sertifika hizmet sağlayıcısına yirmimilyar lira,
İdarî
para cezası Telekomünikasyon Kurulu tarafından verilir. Verilen para cezalarına
dair kararlar ilgililere 7201 sayılı Tebligat Kanunu hükümlerine göre tebliğ
edilir. Bu cezalara karşı tebliğ tarihinden itibaren en geç yedi gün içinde
yetkili idare mahkemesine itiraz edilebilir. İtiraz, verilen cezanın yerine
getirilmesini durdurmaz. İtiraz, zaruret görülmeyen hâllerde, evrak üzerinden
inceleme yapılarak en kısa sürede sonuçlandırılır. İtiraz üzerine verilen
kararlara karşı Bölge İdare Mahkemesine başvurulabilir. Bölge İdare
Mahkemesinin verdiği kararlar kesindir. Bu Kanuna göre verilen idarî para
cezaları, Kurumun bildirimi üzerine 6183 sayılı Amme Alacaklarının Tahsil Usulü
Hakkında Kanun hükümlerine göre Maliye Bakanlığınca tahsil olunur.
İdarî nitelikteki suçların tekrarı ve kapatma
MADDE 19.- 18 inci
maddedeki suçları işleyenlerin bu
suçları işledikleri tarihten itibaren geriye doğru üç yıl içinde ikinci kez işlemeleri hâlinde para cezaları
iki kat olarak uygulanır, üçüncü kez işlemeleri hâlinde ise Kurum tarafından
elektronik sertifika hizmet sağlayıcıları hakkında kapatma cezası verilir.
Kapatma
cezası verilmesine ilişkin karar 7201 sayılı Tebligat Kanununa göre ilgililere
tebliğ edilir. Bu karara karşı tebliğ
tarihinden itibaren en geç yedi gün içinde yetkili idare mahkemesine itiraz
edilebilir. İtiraz, yetkili makam tarafından verilen kapatma kararının yerine
getirilmesini durdurmaz. İtiraz, zaruret görülmeyen hâllerde, evrak üzerinden
inceleme yapılarak en kısa sürede sonuçlandırılır. İtiraz üzerine verilen
kararlara karşı Bölge İdare Mahkemesine başvurulabilir. Bölge İdare
Mahkemesinin verdiği kararlar kesindir.
DÖRDÜNCÜ KISIM
Çeşitli Hükümler
Yönetmelik
MADDE 20.- Bu Kanunun 6, 7, 8, 10, 11 ve 14 üncü maddelerinin uygulanmasına
ilişkin usul ve esaslar, Kanunun yürürlük tarihinden itibaren altı ay içinde
ilgili kurum ve kuruluşların görüşleri alınarak Kurum tarafından çıkarılacak yönetmeliklerle düzenlenir.
Kamu kurum ve kuruluşları hakkında uygulanmayacak hükümler
MADDE 21.- Bu Kanunun
8 inci maddesinin dört ve beşinci fıkraları ile 15 ve 19 uncu maddesi
hükümleri, elektronik sertifika hizmet sağlama faaliyeti yerine getiren kamu
kurum ve kuruluşları hakkında uygulanmaz.
MADDE 22.- 22.4.1926
tarihli ve 818 sayılı Borçlar Kanununun 14 üncü maddesinin birinci fıkrasına
aşağıdaki cümle eklenmiştir.
Güvenli
elektronik imza elle atılan imza ile aynı ispat gücünü haizdir.
MADDE 23.- 18.6.1927
tarihli ve 1086 sayılı Hukuk Usulü Muhakemeleri Kanununa 295 inci maddeden
sonra gelmek üzere aşağıdaki 295/A maddesi eklenmiştir.
MADDE
295/A- Usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler
senet hükmündedir. Bu veriler aksi ispat edilinceye kadar kesin delil
sayılırlar.
Dava
sırasında bir taraf kendisine karşı ileri sürülen ve güvenli elektronik imza
ile oluşturulmuş veriyi inkâr ederse, bu Kanunun 308 inci maddesi kıyas yoluyla
uygulanır.
MADDE 24.- 5.4.1983
tarihli ve 2813 sayılı Telsiz Kanununun 7 nci maddesinin birinci fıkrasına
aşağıdaki (m) bendi eklenmiş ve mevcut (m) bendi (n) bendi olarak teselsül
ettirilmiştir.
m)
Elektronik İmza Kanunu ile verilen görevleri yerine getirmek,
Yürürlük
MADDE 25.- Bu Kanun
yayımı tarihinden altı ay sonra yürürlüğe girer.
MADDE 26.- Bu Kanun
hükümlerini Bakanlar Kurulu yürütür.