Ticari Elektronik İleti Yönetim Sistemi Entegratörleri Hakkında Tebliğ [“Tebliğ”], 18.09.2024 tarihli ve 32666 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Tebliğin amacı, ticari elektronik ileti gönderim süreçlerinin daha etkin bir şekilde yönetilmesi için İleti Yönetim Sistemi [“İYS”] üzerinden entegratörler aracılığıyla onay ve ret bilgilerinin kaydedilmesi ve işlenmesine dair usul ve esasları düzenlemektir. Tebliğ, hizmet sağlayıcılar, ticari elektronik ileti gönderim süreçlerinde bu hizmeti sağlayan entegratörler ve İYS’yi kurmakla yetkilendirilen Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 10/A maddesi uyarınca Bakanlıkça Ticari Elektronik İleti Yönetim Sistemini kurmakla yetkilendirilen kuruluşlar [“Kuruluş”] için geçerlidir.
Tebliğ ile düzenlenen hususlar şu şekilde özetlenebilir:
A. ENTEGRATÖR VE HİZMET SAĞLAYICI KAVRAMLARI
Tebliğ kapsamında Entegratör, ticari elektronik ileti gönderiminde, alıcılara ait onay ve ret bilgilerinin İYS’ye kaydedilmesi, İYS üzerinden onay alınması ve reddetme hakkının kullanılması hususlarında hizmet sağlayıcılara hizmet vermek üzere faaliyette bulunan Ticaret Bakanlığınca [“Bakanlık”] yetkilendirilmiş şirket, Hizmet sağlayıcı ise Ticari elektronik ileti gönderimi yapan veya adına gönderim yapılan İYS’ye kaydolmakla yükümlü gerçek veya tüzel kişiler olarak tanımlanmıştır.
Entegratör ile hizmet sağlayıcı arasındaki ilişki, İYS çerçevesinde düzenlenmiştir. Hizmet sağlayıcılar, ticari elektronik iletilerin gönderiminde alıcılardan aldıkları onay ve ret bilgilerini İYS’ye kaydetmekle yükümlüdür. Bu işlemi doğrudan kendileri yapabilecekleri gibi, entegratörler aracılığıyla da gerçekleştirebilirler. Söz konusu hizmetler, entegratörlük yetkisi olmayanlara gördürülemez.
Entegratörler, onay ve ret bilgilerini İYS’ye kaydetmek, onay almak ve reddetme hakkını kullanmak gibi işlemlerde hizmet sağlayıcıya destek sunarlar. Hizmet sağlayıcı, alacağı hizmetler için İYS üzerinden bir entegratör belirler ve bu entegratör, hizmet sağlayıcının verilerine erişim yetkisi kazanır. Ayrıca, entegratörler hizmet süresi boyunca depoladıkları verilere hizmet sağlayıcının erişimini sağlamaktan ve entegratörlük yetkisi iptal edilse bile verilerin aktarılmasından sorumludur. Bu aktarımlar hizmet sağlayıcı tarafından talep edilirse, 15 gün içinde gerçekleştirilmelidir.
B. ENTEGRATÖRLÜK YETKİSİ
Yetkilendirme İçin Aranan Şartlar
Entegratör olarak yetkilendirilmek isteyen şirketlerin aşağıdaki koşulları sağlaması gerekmektedir:
- Anonim veya Limited Şirket Olarak Kurulma: Entegratörlük yetkisi almak isteyenlerin Türk Ticaret Kanunu’na göre anonim ya da limited şirket olarak kurulmuş olması gereklidir.
- Sermaye Şartı: Başvuruda bulunan şirketlerin asgari 1.000.000 Türk Lirası ödenmiş sermayeye sahip olmaları gerekmektedir.
- Payların Nama Yazılı Olması: Entegratörlük için başvuruda bulunacak anonim şirketlerde payların nama yazılı olması zorunludur.
- Yönetici ve Temsilcilerin Sicili: Entegratör olarak yetkilendirilecek şirketin yönetici ve temsile yetkili kişileri hakkında, yüz kızartıcı suçlar, bilişim suçları veya 5809 sayılı Elektronik Haberleşme Kanunu’na aykırı fiillerden hüküm giymemiş olmaları şartı aranacaktır.
- ISO Belgeleri: Şirketin bilgi güvenliği, kişisel veri yönetimi ve iş sürekliliği alanlarında uluslararası geçerliliği olan belgelere sahip olması gerekmektedir, bunlar:
- ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi)
- ISO/IEC 27701 (Kişisel Veri Yönetim Sistemi)
- ISO 22301 (İş Sürekliliği Yönetim Sistemi)’dir.
- Siber Güvenlik Önlemleri ve Sızma Testleri: Başvuru sahipleri, sistemlerinin siber güvenliğini sağlamak ve dışarıdan yapılan sızma testlerinin sonuçlarını düzenli olarak belgelemek zorundadır.
- Teknik Yeterlilik ve Personel Kadrosu: Entegratörün yeterli teknik altyapısının bulunması ve ağ ve ağ güvenliği uzmanı, veri tabanı uzmanı, sistem uzmanı, kalite sistemleri uzmanı ve yazılım geliştirme uzmanı olmak üzere en az beş personelin doğrudan veya dışarıdan hizmet alımı yoluyla istihdam edilmesi gerekmektedir.
- İletişim Altyapısı: Entegratörler, 7/24 kesintisiz hizmet sunabilecek, veri merkezleriyle desteklenen bir iletişim altyapısına sahip olmalıdır.
- İş Sürekliliği ve Veri Yedekleme: İş sürekliliğini sağlamak için gerekli yedekleme sistemleri kurulmalı ve veri kayıplarının önüne geçmek için düzenli yedekleme yapılmalıdır.
C. YETKİLENDİRME BAŞVURUSU İÇİN GEREKLİ BELGELER
Entegratörlük için yetkilendirme başvurusunda bulunacak şirketlerin, başvuru sırasında ibraz etmesi gereken belgeler şunlardır:
- Başvuru Formu
- Şirket Kuruluş Belgeleri
- Mali Tablolar
- Ödenmiş sermaye tutarını gösteren belgeler
- Şirketin anonim şirket olması durumunda, nama yazılı payları gösteren belgeler
- Şirketin yönetici ve temsilcilerine ait adli sicil kayıtları, yüz kızartıcı suçlar ve bilişim suçlarından temiz olduklarını gösteren belgeler
- Şirket bünyesinde çalışan personelin unvanları ve uzmanlık alanlarını gösterir belgeler, özgeçmişleri ve diplomaları
- Şirketin sahip olduğu ISO/IEC 27001, ISO/IEC 27701 ve ISO 22301 belgelerinin kopyaları
- Sistemlerin siber güvenliğini sağlamak için yapılan sızma testlerine ait raporlar
- İş sürekliliğini sağlamak için hazırlanan yedekleme ve veri saklama planları ile ilgili belgeler
Kuruluş, yukarıda yer alan belgeleri ilgili kurumların erişime açık elektronik sistemlerinden, bunun mümkün olmaması halinde ise bu belgeleri başvuru sahibinden temin edecektir.
Kuruluş, başvuruları şekil ve içerik açısından ön incelemeye tabi tutarak eksiksiz başvuruları otuz gün içinde Ticaret Bakanlığı’na iletir. Bakanlık tarafından yapılan değerlendirme sonucunda gerekli şartları sağlayan başvurulara entegratörlük yetkisi verilir. Bu yetki devredilemez niteliktedir.
Entegratörlük yetkisi alanlar, Bakanlıkça Kuruluşa bildirilir. Kuruluş, entegratör ile entegratörün İYS’ye uzaktan erişimi de dâhil tüm teknik, idari ve mali usul ve esasları düzenleyen, bir sözleşme tesis edilmesini sağlayacak, aynı zamanda, sisteme entegre edilen entegratörlerin listesini güncel olarak İYS’nin internet sayfasında yayımlayacaktır.
Entegratör, yükümlülüklerini yerine getirmezse ya da yetkilendirme şartlarını kaybederse, otuz gün içinde aykırılığın giderilmesi için süre tanınacak, bu süre içinde gerekli düzenlemeler yapılmazsa yetki iptal edilecektir.
D. ENTEGRATÖRÜN YÜKÜMLÜLÜKLERİ
Entegratörler, entegratörlük hizmetini mevzuata uygun şekilde yürütmekle yükümlüdür. Ayrıca, alıcıların, hizmet sağlayıcıların veya kamunun menfaatine zarar verecek eylemlerden kaçınılmalıdır.
Entegratörler, İYS’nin güvenliğini sağlamak, yetkisiz erişim ve siber saldırılara karşı koruyucu tedbirler almak zorundadır. Ayrıca, yedekleme ve felaketten kurtarma planları oluşturulmalı, tüm işlemler kayıt altına alınmalıdır. Bakanlık, ulusal ve uluslararası standartlara uyulmasını zorunlu kılabilecek ilave yükümlülükler getirebilir.
Entegratörler, hizmetleri sırasında elde edilen kişisel verilerin güvenliğini sağlamak ve bu verilerin amacı dışında kullanılmasını önlemekle yükümlüdür. Hizmet sağlayıcılar da entegratörlerle birlikte kişisel verilerin korunması konusunda müştereken sorumludur.
Entegratörler, entegratörlük hizmeti sırasında öğrendikleri ticari sır niteliğindeki bilgileri yalnızca hizmet amacına uygun şekilde kullanabilir ve hizmet sağlayıcının izni olmadan üçüncü taraflarla paylaşamaz.
Entegratörler, ticari elektronik ileti göndermek üzere alınan onay ve ret bilgilerini saklamakla yükümlüdür. Bu bilgilerin ibrazı konusunda hizmet sağlayıcı ile müteselsilen sorumludurlar.
E. ENTEGRATÖRLÜK YETKİSİNİN İPTALİ
Entegratörler, mevzuata aykırı hareket ederlerse ya da gerekli şartları kaybederlerse, bu aykırılıkların giderilmesi için 30 gün süre verilir. Aykırılıklar giderilmezse, entegratörlük yetkisi Bakanlık tarafından iptal edilir. Yetkisi iptal edilen entegratörler, bir yıl süreyle yeniden başvuru yapamaz. Bu kısıtlama, iptale konu şirketin yöneticilerini ve ortaklarını da kapsar.
F. SONUÇ
Entegratörler, teknolojik altyapının sağlanmasında ve hizmet sağlayıcıların mevzuat gerekliliklerini yerine getirmelerinde kritik bir rol oynar. Aynı şekilde, hizmet sağlayıcılar da entegratörlerle olan iş birliğinde, mevzuata uygunluk ve hizmet kalitesini sağlamakla yükümlüdür.
Tebliğde belirlenen yükümlülükler ve gereklilikler, her iki tarafın da uyum içinde çalışmasını ve dijital hizmetlerin yasal standartlara uygun olarak sunulmasını zorunlu kılar. Bu çerçevede, entegratör ve hizmet sağlayıcıların sorumluluklarını net bir şekilde anlaması ve uygulaması hem yasal uyumluluk hem de hizmet kalitesinin sürdürülebilirliği açısından kritik öneme sahiptir.
Tebliğin tam metnine https://www.resmigazete.gov.tr/eskiler/2024/09/20240918-6.htm adresinden ulaşabilirsiniz.
Saygılarımızla,
Balay, Eryiğit & Erten