Elektronik imzanın hukuki ve teknik yapısını, elektronik imzayla ilgili işlemler ile elektronik sertifika
hizmet sağlayıcılarının faaliyetlerini düzenleyen yasa şöyle:
(15 Ocak 2004)
ELEKTRONİK İMZA KANUNU
Kanun No. 5070
Kabul Tarihi : 15.1.2004
Resmi Gazete : 23.1.2004 - 25355
BİRİNCİ KISIM
Amaç, Kapsam ve Tanımlar
Amaç
MADDE 1.- Bu Kanunun amacı, elektronik imzanın hukukî ve teknik
yönleri ile kullanımına ilişkin esasları düzenlemektir.
Kapsam
MADDE 2.- Bu Kanun, elektronik imzanın hukukî yapısını, elektronik
sertifika hizmet sağlayıcılarının faaliyetlerini ve her alanda elektronik
imzanın kullanımına ilişkin işlemleri kapsar.
Tanımlar
MADDE 3.- Bu Kanunda geçen;
a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen,
taşınan veya saklanan kayıtları,
b) Elektronik imza: Başka bir elektronik veriye eklenen veya
elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla
kullanılan elektronik veriyi,
c) İmza sahibi: Elektronik imza oluşturmak amacıyla bir imza
oluşturma aracını kullanan gerçek kişiyi,
d) İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi
tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha
olmayan şifreler, kriptografik gizli anahtarlar gibi verileri,
e) İmza oluşturma aracı: Elektronik imza oluşturmak üzere, imza
oluşturma verisini kullanan yazılım veya donanım aracını,
f) İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan
şifreler, kriptografik açık anahtarlar gibi verileri,
g) İmza doğrulama aracı: Elektronik imzayı doğrulamak amacıyla
imza doğrulama verisini kullanan yazılım veya donanım aracını,
h) Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği,
gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla,
elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan
kaydı,
ı) Elektronik sertifika: İmza sahibinin imza doğrulama verisini
ve kimlik bilgilerini birbirine bağlayan elektronik kaydı,
j) Kurum: Telekomünikasyon Kurumunu,
İfade eder.
İKİNCİ KISIM
Güvenli Elektronik İmza ve Sertifika Hizmetleri
BİRİNCİ BÖLÜM
Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama
Araçları
Güvenli elektronik imza
MADDE 4.- Güvenli elektronik imza;
a) Münhasıran imza sahibine bağlı olan,
b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik
imza oluşturma aracı ile oluşturulan,
c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin
kimliğinin tespitini sağlayan,
d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik
yapılıp yapılmadığının tespitini sağlayan,
Elektronik imzadır.
Güvenli elektronik imzanın hukukî sonucu ve uygulama alanı
MADDE 5.- Güvenli elektronik imza, elle atılan imza ile aynı
hukukî sonucu doğurur.
Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler
ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez.
Güvenli elektronik imza oluşturma araçları
MADDE 6.- Güvenli elektronik imza oluşturma araçları;
a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında
bir eşi daha bulunmamasını,
b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin
araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini,
c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin,
üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın
sahteciliğe karşı korunmasını,
d) İmzalanacak verinin imza sahibi dışında değiştirilememesini
ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini,
Sağlayan imza oluşturma araçlarıdır.
Güvenli elektronik imza doğrulama araçları
MADDE 7.- Güvenli elektronik imza doğrulama araçları;
a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin
doğrulama yapan kişiye gösteren,
b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran
ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren,
c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini
sağlayan,
d) İmzanın doğrulanması için kullanılan elektronik sertifikanın
doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını
değiştirmeksizin doğrulama yapan kişiye gösteren,
e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan
kişiye gösteren,
f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin
tespit edilebilmesini sağlayan,
İmza doğrulama araçlarıdır.
İKİNCİ BÖLÜM
Elektronik Sertifika Hizmet Sağlayıcısı, Nitelikli Elektronik Sertifika
ve
Yabancı Elektronik Sertifikalar
Elektronik sertifika hizmet sağlayıcısı
MADDE 8.- Elektronik sertifika hizmet sağlayıcısı, elektronik
sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan
kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.
Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki
ay sonra faaliyete geçer.
Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde;
a) Güvenli ürün ve sistemleri kullanmak,
b) Hizmeti güvenilir bir biçimde yürütmek,
c) Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili
her türlü tedbiri almak,
İle ilgili şartları sağladığını ayrıntılı bir biçimde gösterir.
Kurum, yukarıdaki şartlardan birinin eksikliğini veya yerine getirilmediğini
tespit ederse, bu eksikliklerin giderilmesi için, elektronik sertifika
hizmet sağlayıcısına bir ayı geçmemek üzere bir süre verir, bu süre içinde
elektronik sertifika hizmet sağlayıcısının faaliyetlerini durdurur. Sürenin
sonunda eksikliklerin giderilmemesi halinde elektronik sertifika hizmet
sağlayıcısının faaliyetine son verir. Kurumun bu kararlarına karşı 19 uncu
maddenin ikinci fıkrası hükümleri gereğince itiraz edilebilir.
Elektronik sertifika hizmet sağlayıcılarının faaliyetlerinin devamı
sırasında bu maddede gösterilen şartları kaybetmeleri hâlinde de yukarıdaki
fıkra hükümleri uygulanır.
Elektronik sertifika hizmet sağlayıcıları, Kurumun belirleyeceği ücret
alt ve üst sınırlarına uymak zorundadır.
Nitelikli elektronik sertifika
MADDE 9.- Nitelikli elektronik sertifikada;
a) Sertifikanın "nitelikli elektronik sertifika" olduğuna dair
bir ibarenin,
b) Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu
ülke adının,
c) İmza sahibinin teşhis edilebileceği kimlik bilgilerinin,
d) Elektronik imza oluşturma verisine karşılık gelen imza doğrulama
verisinin,
e) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin,
f) Sertifikanın seri numarasının,
g) Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu
yetkisine ilişkin bilginin,
h) Sertifika sahibi talep ederse meslekî veya diğer kişisel bilgilerinin,
ı) Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki
maddî sınırlamalara ilişkin bilgilerin,
j) Sertifika hizmet sağlayıcısının sertifikada yer alan bilgileri
doğrulayan güvenli elektronik imzasının,
Bulunması zorunludur.
Elektronik sertifika hizmet sağlayıcısının yükümlülükleri
MADDE 10.- Elektronik sertifika hizmet sağlayıcısı;
a) Hizmetin gerektirdiği nitelikte personel istihdam etmekle,
b) Nitelikli sertifika verdiği kişilerin kimliğini resmî belgelere
göre güvenilir bir biçimde tespit etmekle,
c) Sertifika sahibinin diğer bir kişi adına hareket edebilme
yetkisi, meslekî veya diğer kişisel bilgilerinin sertifikada bulunması
durumunda, bu bilgileri de resmî belgelere dayandırarak güvenilir bir biçimde
belirlemekle,
d) İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından
veya sertifika talep eden kişi tarafından sertifika hizmet sağlayıcısına
ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya
sertifika hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda,
bu işleyişin güvenliğini sağlamakla,
e) Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların
çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar
saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer
olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce
yazılı olarak bilgilendirmekle,
f) Sertifikada bulunan imza doğrulama verisine karşılık gelen
imza oluşturma verisini başkasına kullandırmaması konusunda, sertifika
sahibini yazılı olarak uyarmak ve bilgilendirmekle,
g)Yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen
süreyle saklamakla,
h) Faaliyetine son vereceği tarihten en az üç ay önce durumu
Kuruma ve elektronik sertifika sahibine bildirmekle,
Yükümlüdür.
Elektronik sertifika hizmet sağlayıcısı üretilen imza oluşturma verisinin
bir kopyasını alamaz veya bu veriyi saklayamaz.
Nitelikli elektronik sertifikaların iptal edilmesi
MADDE 11.- Elektronik sertifika hizmet sağlayıcısı;
a) Nitelikli elektronik sertifika sahibinin talebi,
b) Sağladığı nitelikli elektronik sertifikaya ilişkin veri tabanında
bulunan bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya
bilgilerin değişmesi,
c) Nitelikli elektronik sertifika sahibinin fiil ehliyetinin
sınırlandığının, iflâsının veya gaipliğinin ya da ölümünün öğrenilmesi,
Durumunda vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal
eder.
Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikaların
iptal edildiği zamanın tam olarak tespit edilmesine imkân veren ve üçüncü
kişilerin hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturur.
Elektronik sertifika hizmet sağlayıcısı, faaliyetine son vermesi ve
vermiş olduğu nitelikli elektronik sertifikaların başka bir elektronik
sertifika hizmet sağlayıcısı tarafından kullanımının sağlanamaması durumunda
vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal eder.
Elektronik sertifika hizmet sağlayıcısının faaliyetine Kurum tarafından
son verilmesi halinde Kurum, faaliyetine son verilen elektronik sertifika
hizmet sağlayıcısının vermiş olduğu nitelikli elektronik sertifikaların
başka bir elektronik sertifika hizmet sağlayıcısına devredilmesine karar
verir ve durumu ilgililere duyurur.
Elektronik sertifika hizmet sağlayıcısı geçmişe yönelik olarak
nitelikli elektronik sertifika iptal edemez.
Bilgilerin korunması
MADDE 12.- Elektronik sertifika hizmet sağlayıcısı;
a) Elektronik sertifika talep eden kişiden, elektronik sertifika
vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin
rızası dışında elde edemez,
b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı
üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz,
c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın
üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri
sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka
amaçlarla kullanamaz.
Hukukî sorumluluk
MADDE 13.- Elektronik sertifika hizmet sağlayıcısının, elektronik
sertifika sahibine karşı sorumluluğu genel hükümlere tâbidir.
Elektronik sertifika hizmet sağlayıcısı, bu Kanun veya bu Kanuna dayanılarak
çıkarılan yönetmelik hükümlerinin ihlâli suretiyle üçüncü kişilere verdiği
zararları tazminle yükümlüdür. Elektronik sertifika hizmet sağlayıcısı
kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz.
Elektronik sertifika hizmet sağlayıcısı, söz konusu yükümlülük ihlâlinin
istihdam ettiği kişilerin davranışına dayanması hâlinde de zarardan sorumlu
olup, elektronik sertifika hizmet sağlayıcısı, bu sorumluluğundan,
Borçlar Kanununun 55 inci maddesinde öngörülen türden bir kurtuluş
kanıtı getirerek kurtulamaz.
Nitelikli elektronik sertifikanın içerdiği kullanım ve maddî kapsamına
ilişkin sınırlamalar hariç olmak üzere, elektronik sertifika hizmet sağlayıcısının
üçüncü kişilere ve nitelikli elektronik imza sahibine karşı sorumluluğunu
ortadan kaldıran veya sınırlandıran her türlü şart geçersizdir.
Elektronik sertifika hizmet sağlayıcısı, bu Kanundan doğan yükümlülüklerini
yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika
malî sorumluluk sigortası yaptırmak zorundadır. Sigortaya ilişkin usul
ve esaslar Hazine Müsteşarlığının görüşü alınarak Kurum tarafından çıkarılacak
yönetmelikle belirlenir.
Bu maddede öngörülen sertifika malî sorumluluk sigortası Türkiye'de
ilgili branşta çalışmaya yetkili olan sigorta şirketleri tarafından yapılır.
Bu sigorta şirketleri sertifika malî sorumluluk sigortasını yapmakla yükümlüdürler.
Bu yükümlülüğe uymayan sigorta şirketlerine Hazine Müsteşarlığınca sekizmilyar
lira idarî para cezası verilir. Bu para cezasının tahsilinde ve cezaya
itiraz usulünde 18 inci madde hükümleri uygulanır.
Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikayı
elektronik imza sahibine sigorta ettirerek teslim etmekle yükümlüdür.
Yabancı elektronik sertifikalar
MADDE 14.- Yabancı bir ülkede kurulu bir elektronik sertifika
hizmet sağlayıcısı tarafından verilen elektronik sertifikaların hukukî
sonuçları milletlerarası anlaşmalarla belirlenir.
Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı
tarafından verilen elektronik sertifikaların, Türkiye'de kurulu bir elektronik
sertifika hizmet sağlayıcısı tarafından kabul edilmesi durumunda, bu elektronik
sertifikalar nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların
kullanılması sonucunda doğacak zararlardan, Türkiye'deki elektronik sertifika
hizmet sağlayıcısı da sorumludur.
ÜÇÜNCÜ KISIM
Denetim ve Ceza Hükümleri
Denetim
MADDE 15.- Elektronik sertifika hizmet sağlayıcılarının bu Kanunun
uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi Kurumca yerine
getirilir.
Kurum, gerekli gördüğü zamanlarda elektronik sertifika hizmet sağlayıcılarını
denetleyebilir. Denetleme sırasında, denetleme yapmaya yetkili görevliler
tarafından her türlü defter, belge ve kayıtların verilmesi, yönetim
yerleri, binalar ve eklentilerine girme, yazılı ve sözlü bilgi alma, örnek
alma ve işlem ve hesapları denetleme isteminin elektronik sertifika hizmet
sağlayıcıları ve ilgililer tarafından yerine getirilmesi zorunludur.
İmza oluşturma verilerinin izinsiz kullanımı
MADDE 16.- Elektronik imza oluşturma amacı ile ilgili kişinin
rızası dışında; imza oluşturma verisi veya imza oluşturma aracını elde
eden, veren, kopyalayan ve bu araçları yeniden oluşturanlar ile izinsiz
elde edilen imza oluşturma araçlarını kullanarak izinsiz elektronik imza
oluşturanlar bir yıldan üç yıla kadar hapis ve beşyüz milyon liradan aşağı
olmamak üzere ağır para cezasıyla cezalandırılırlar.
Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı
çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır.
Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir.
Elektronik sertifikalarda sahtekârlık
MADDE 17.- Tamamen veya kısmen sahte elektronik sertifika oluşturanlar
veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif
edenler ile yetkisi olmadan elektronik sertifika oluşturanlar veya bu elektronik
sertifikaları bilerek kullananlar, fiilleri başka bir suç oluştursa bile
ayrıca, iki yıldan beş yıla kadar hapis ve birmilyar liradan aşağı olmamak
üzere ağır para cezasıyla cezalandırılırlar.
Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı
çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır.
Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir.
İdarî para cezaları
MADDE 18.- Bu Kanunun;
a) 10 uncu maddesindeki yükümlülüklerinden herhangi birini
yerine getirmeyen elektronik sertifika hizmet sağlayıcısına onmilyar lira,
b) 11 inci maddesindeki yükümlülüklerden herhangi birini yerine
getirmeyen elektronik sertifika hizmet sağlayıcısına sekizmilyar lira,
c) 12 nci maddesi hükümlerine aykırı hareket edenler hakkında
onmilyar lira,
d) 13 üncü maddesinin beş ve yedinci fıkralarındaki yükümlülükleri
yerine getirmeyen elektronik sertifika hizmet sağlayıcısına sekizmilyar
lira,
e) 15 inci maddesi hükmüne aykırı hareket eden elektronik sertifika
hizmet sağlayıcısına yirmimilyar lira,
İdarî para cezası Telekomünikasyon Kurulu tarafından verilir. Verilen
para cezalarına dair kararlar ilgililere 7201 sayılı Tebligat Kanunu hükümlerine
göre tebliğ edilir. Bu cezalara karşı tebliğ tarihinden itibaren en geç
yedi gün içinde yetkili idare mahkemesine itiraz edilebilir. İtiraz, verilen
cezanın yerine getirilmesini durdurmaz. İtiraz, zaruret görülmeyen hâllerde,
evrak üzerinden inceleme yapılarak en kısa sürede sonuçlandırılır. İtiraz
üzerine verilen kararlara karşı Bölge İdare Mahkemesine başvurulabilir.
Bölge İdare Mahkemesinin verdiği kararlar kesindir. Bu Kanuna göre verilen
idarî para cezaları, Kurumun bildirimi üzerine 6183 sayılı Amme Alacaklarının
Tahsil Usulü Hakkında Kanun hükümlerine göre Maliye Bakanlığınca tahsil
olunur.
İdarî nitelikteki suçların tekrarı ve kapatma
MADDE 19.- 18 inci maddedeki suçları işleyenlerin bu suçları
işledikleri tarihten itibaren geriye doğru üç yıl içinde ikinci kez
işlemeleri hâlinde para cezaları iki kat olarak uygulanır, üçüncü kez işlemeleri
hâlinde ise Kurum tarafından elektronik sertifika hizmet sağlayıcıları
hakkında kapatma cezası verilir.
Kapatma cezası verilmesine ilişkin karar 7201 sayılı Tebligat Kanununa
göre ilgililere tebliğ edilir. Bu karara karşı tebliğ tarihinden
itibaren en geç yedi gün içinde yetkili idare mahkemesine itiraz edilebilir.
İtiraz, yetkili makam tarafından verilen kapatma kararının yerine getirilmesini
durdurmaz. İtiraz, zaruret görülmeyen hâllerde, evrak üzerinden inceleme
yapılarak en kısa sürede sonuçlandırılır. İtiraz üzerine verilen kararlara
karşı Bölge İdare Mahkemesine başvurulabilir. Bölge İdare Mahkemesinin
verdiği kararlar kesindir.
DÖRDÜNCÜ KISIM
Çeşitli Hükümler
Yönetmelik
MADDE 20.- Bu Kanunun 6, 7, 8, 10, 11 ve 14 üncü maddelerinin
uygulanmasına ilişkin usul ve esaslar, Kanunun yürürlük tarihinden itibaren
altı ay içinde ilgili kurum ve kuruluşların görüşleri alınarak Kurum
tarafından çıkarılacak yönetmeliklerle düzenlenir.
Kamu kurum ve kuruluşları hakkında uygulanmayacak hükümler
MADDE 21.- Bu Kanunun 8 inci maddesinin dört ve beşinci fıkraları
ile 15 ve 19 uncu maddesi hükümleri, elektronik sertifika hizmet sağlama
faaliyeti yerine getiren kamu kurum ve kuruluşları hakkında uygulanmaz.
MADDE 22.- 22.4.1926 tarihli ve 818 sayılı Borçlar Kanununun
14 üncü maddesinin birinci fıkrasına aşağıdaki cümle eklenmiştir.
Güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haizdir.
MADDE 23.- 18.6.1927 tarihli ve 1086 sayılı Hukuk Usulü Muhakemeleri
Kanununa 295 inci maddeden sonra gelmek üzere aşağıdaki 295/A maddesi eklenmiştir.
MADDE 295/A- Usulüne göre güvenli elektronik imza ile oluşturulan elektronik
veriler senet hükmündedir. Bu veriler aksi ispat edilinceye kadar kesin
delil sayılırlar.
Dava sırasında bir taraf kendisine karşı ileri sürülen ve güvenli elektronik
imza ile oluşturulmuş veriyi inkâr ederse, bu Kanunun 308 inci maddesi
kıyas yoluyla uygulanır.
MADDE 24.- 5.4.1983 tarihli ve 2813 sayılı Telsiz Kanununun 7
nci maddesinin birinci fıkrasına aşağıdaki (m) bendi eklenmiş ve mevcut
(m) bendi (n) bendi olarak teselsül ettirilmiştir.
m) Elektronik İmza Kanunu ile verilen görevleri yerine getirmek,
Yürürlük
MADDE 25.- Bu Kanun yayımı tarihinden altı ay sonra yürürlüğe
girer.
Yürütme
MADDE 26.- Bu Kanun hükümlerini Bakanlar Kurulu yürütür.
|
