26 Haziran 2021 tarihli ve 31523 sayılı Resmi Gazete’de, Bilgi Teknolojileri ve İletişim Kurumu tarafından hazırlanan Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik (“Yönetmelik”) yayımlanmıştır. Bu yazımızda 31 Aralık 2021 tarihinde yürürlüğe girecek yönetmelikte düzenlenen hususlara kısaca değinmeye çalışacağız.
Söz konusu yönetmelik, elektronik haberleşme sektöründe abonelik sözleşmesi, numara taşıma başvurusu, işletmeci değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu ve SIM değişikliği başvurusu işlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması amacıyla uygulanacak sürece ilişkin usul ve esasları düzenlemektedir. Yönetmeliğin uygulanması sırasında başvuru sahibinin bu Yönetmelikte tanımlı işlemlerinin güvenli ve etkin yöntemlerle yapılmasının sağlanması, sahtecilik, dolandırıcılık gibi güvenlik riski içeren şüpheli işlemlerin önlenmesi, ulusal ve uluslararası standartların dikkate alınması, azami ölçüde milli kaynakların kullanılması, milli güvenlik ve kamu düzeni gerekleri ile acil durum ihtiyaçlarının gözetilmesi, tüketici hak ve menfaatlerinin gözetilmesi gibi çeşitli ilkeler esas alınmaktadır.
Yönetmeliğin 5. maddesine göre başvuru sahibinin kimlik doğrulama işlemi aşağıdaki şekillerde gerçekleştirilebilecektir;
a) e-Devlet Kapısı: İşletmeci tarafından iletilen kimlik numarası, ad, soyad, işlem türü, işlemi özgüleyen hizmet numarası ve işlem belgesinde ilgili mevzuat kapsamında yer alması gereken bilgiler, e-Devlet kapısı üzerinde kayıtlı başvuru sahibinin doğrulanmış irtibat numarası ve elektronik posta adresi gösterilerek, onayı alınacak ve bahse konu bilgiler için başvuru sahibinin kimliğini doğruladığı bilgisi ve doğrulanmış irtibat numarası ve elektronik posta adresi işletmeciye/hizmet sağlayıcıya iletilecektir.
b) Yapay zekâ veya yetkili marifetiyle görüntülü doğrulama: Görüntülü kimlik doğrulaması gerçek zamanlı ve kesintisiz şekilde yapılacaktır. İşletmeci/hizmet sağlayıcı, kimlik doğrulama sürecine ilişkin görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin sağlanması için gerekli tedbirleri almakla sorumludur. Bu amaçla, yapılan görüntülü doğrulama uçtan uca güvenli iletişim ile gerçekleştirilecektir. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişinin açık rızası olmaksızın görüntülü kimlik doğrulaması yapılamayacaktır. Yine aynı kanun uyarınca, açık rıza alınması işleminden ayrı bir şekilde görüntülü kimlik doğrulaması yapılmadan önce aydınlatma yükümlülüğü de yerine getirilmelidir. Başvuru sahibinin açık rızası alınırken e-Devlet Kapısı veya yüz yüze kanallar vasıtasıyla da elektronik ortamda kimlik doğrulama işlemi yapılabileceği açıkça belirtilir.
c) T.C. Kimlik Kartı ile birlikte PAdES oluşturma: PAdES, PDF içeriklerinin imzalanabildiği bir elektronik imza formatıdır. Yukarıda belirtilen yöntemlere alternatif olarak, başvuru sahibinin kimliği, ve İşletmeci/hizmet sağlayıcı tarafından hazırlanan PDF ile PAdES-LTV oluşturularak doğrulanabilecektir.
ç ) Yüz yüze kanallarda başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alma: 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişinin açık rızası bulunmalıdır. Aynı kanun kapsamında, açık rıza alınması işleminden ayrı bir şekilde aydınlatma yükümlülüğü de yerine getirilmelidir. Onay alması halinde, kameranın önünde başvuru sahibinin yüzü ile birlikte görünecek şekilde kimlik belgesinin ön ve arka tarafını göstermesini istenir, böylelikle kullanılan kimlik belgesindeki fotoğrafın ve başvuru sahibinin yüzünün aynı kişiye ait olduğunu teyit edilir.
Elde edilen verilerin saklanmasına ilişkin olarak ise Yönetmeliğin 9. maddesinde, yapılan tüm işlemlerin kayıt altına alınıp ve elde edilen verilerin yalnızca idari ve adli makamların süreçleri ile başvuru işlemi yapan başvuru sahibinin kimlik doğrulaması amacı için kullanılacağı belirtilmiş, ayrıca bu verilerin ilgili mevzuatta yer alan saklama süreleri boyunca saklanacağı ifade edilmiştir.
Son olarak idari yaptırımlara ilişkin olarak, işletmeci/hizmet sağlayıcılar, Yönetmelik kapsamında elde ettiği bilgi, belge ve işlem kayıtlarının güvenliğini sağlamak için 5809 sayılı Elektronik Haberleşme Kanunu’na, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbirleri almalıdır. Yönetmelik ile belirlenen yükümlülüklerin yerine getirilmemesi halinde, idari yaptırım konusunda 5070 sayılı Elektronik İmza Kanunu’nun 18. ve 19. maddeleri ile Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanacaktır.
Yukarıda bahsedildiği üzere, elektronik haberleşme sektöründe başvuru sahibinin kimliğinin doğrulanmasına ilişkin birçok farklı yöntem belirlenmiştir. Bu yöntemler işletmeci/hizmet sağlayıcıya başvuru sahibinin kişisel verilerinin korunması başta olmak üzere mevzuata ve belirlenen yasal düzenlemelere uygun hareket etmek pek çok konuda sorumluluk yüklemektedir.
Stj. Av. Sıla ATİLLA
TARLAN – BAKSI AVUKATLIK BÜROSU
AV. AYLİN TARLAN – AV. DERYA BAKSI
Tarlan Avukatlık Bürosu Bloğu 