Giriş
Dijital dönüşüm çağında, elektronik imzalar iş süreçlerinin önemli bir parçası haline gelmiştir. Ancak bu teknolojinin kullanımı, yasal çerçeve tarafından desteklenmediği sürece tam anlamıyla güvenilir olamaz. Bu makale, Türkiye'de elektronik imzaların yasal statüsünü, yasal gereklilikleri ve uygulama alanlarını detaylı olarak incelemektedir.
Türkiye'de Elektronik İmza Kanunu
Türkiye'de elektronik imzaların yasal çerçevesi, 23 Ocak 2004 tarihinde yürürlüğe giren 5070 sayılı Elektronik İmza Kanunu ile belirlenmiştir. Bu kanun, Avrupa Birliği'nin 1999/93/EC sayılı Elektronik İmza Direktifi'ni temel alarak hazırlanmıştır.
5070 sayılı Kanun'un temel amacı:
- Elektronik imzanın hukuki ve teknik yönlerini düzenlemek
- Elektronik imzaların kullanım esaslarını belirlemek
- Elektronik sertifika hizmet sağlayıcılarının faaliyetlerini düzenlemek
Güvenli Elektronik İmza ve Hukuki Geçerliliği
5070 sayılı Kanun'un 5. maddesine göre, "güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur." Bu madde, elektronik imzanın ıslak imza ile aynı hukuki değere sahip olduğunu açıkça belirtmektedir.
Kanuna göre bir elektronik imzanın "güvenli" olarak nitelendirilebilmesi için şu özelliklere sahip olması gerekir:
- Münhasıran imza sahibine bağlı olması
- Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulması
- İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlaması
- Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin doğrulanabilmesini sağlaması
Nitelikli Elektronik Sertifika ve Elektronik Sertifika Hizmet Sağlayıcıları
Güvenli elektronik imzanın temel bileşenlerinden biri, "nitelikli elektronik sertifika"dır. Bu sertifikalar, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) tarafından verilir.
Türkiye'de faaliyet gösteren ve BTK tarafından yetkilendirilmiş ESHS'ler şunlardır:
- TÜBİTAK Kamu Sertifikasyon Merkezi (Kamu SM)
- E-Güven Elektronik Bilgi Güvenliği A.Ş.
- TürkTrust Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.
- E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş.
Elektronik İmzanın Kullanılamayacağı İşlemler
5070 sayılı Kanun'un 5. maddesinin 2. fıkrası, elektronik imzanın kullanılamayacağı işlemleri şöyle sıralamıştır:
- Kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler
- Teminat sözleşmeleri
- Taşınmaz mülkiyetinin devri için öngörülen işlemler
Bu istisnalar dışında, güvenli elektronik imza neredeyse tüm hukuki işlemlerde kullanılabilir.
Elektronik İmza ve Mahkemeler
Elektronik imzalı belgelerin mahkemelerde delil olarak kullanılması konusu, Hukuk Muhakemeleri Kanunu (HMK) ve ilgili mevzuat çerçevesinde düzenlenmiştir.
HMK'nın 205. maddesine göre, güvenli elektronik imza ile oluşturulan veriler, senet hükmündedir ve aksi ispat edilinceye kadar kesin delil sayılır. Bu, elektronik imzalı belgelerin, ıslak imzalı belgelerle aynı ispat gücüne sahip olduğu anlamına gelir.
Mahkeme süreçlerinde elektronik imzalı belgelerin doğrulanması için genellikle bilirkişi incelemesi yapılır. Bu incelemede:
- İmzanın geçerli bir nitelikli elektronik sertifikaya dayanıp dayanmadığı
- İmzalama zamanındaki sertifikanın geçerlilik durumu
- İmzalanan belgenin içeriğinin değiştirilip değiştirilmediği
- İmza sahibinin kimlik doğrulamasının nasıl yapıldığı
gibi konular incelenir.
Zaman Damgası ve Önemi
"Zaman damgası", bir elektronik verinin belirli bir zamanda var olduğunu kanıtlayan ve bu verinin o andan itibaren değişmediğini garanti eden elektronik bir kayıttır. 5070 sayılı Kanun'a göre zaman damgası, ESHS'ler tarafından sağlanır.
Zaman damgası, özellikle hukuki işlemlerde kritik öneme sahiptir, çünkü:
- İmzalama zamanını kesin olarak belirler
- Belgelerin zamanla ilgili ispat sorunlarını çözer
- Sertifikanın iptal edilmesi durumunda, iptal tarihinden önce atılan imzaların geçerliliğini korur
Elektronik İmza ve KVKK Uyumluluğu
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi için veri sahibinin açık rızasının alınmasını gerektirmektedir. Elektronik imza sistemleri, bu açık rıza süreçlerini dijitalleştirmek için etkili bir araç olabilir.
Elektronik imza kullanılarak alınan onaylar, şu koşulları sağladığı sürece KVKK açısından geçerli kabul edilebilir:
- İmza sahibinin kimliği güvenli bir şekilde doğrulanmalıdır
- Onay metni açık ve anlaşılır olmalıdır
- İmza işlemi zaman damgası ile belgelenmelidir
- İmza işleminin kanıtları (denetim izi) saklanmalıdır
Mobil İmza ve Yasal Geçerliliği
"Mobil imza", SIM kart üzerinde saklanan elektronik sertifika ile cep telefonu üzerinden elektronik imza atma yöntemidir. Mobil imza, 5070 sayılı Kanun kapsamında güvenli elektronik imza olarak kabul edilir ve ıslak imza ile aynı hukuki geçerliliğe sahiptir.
Mobil imza, kullanım kolaylığı sayesinde yaygınlaşan bir elektronik imza türüdür. İmza atma işlemi için:
- Kullanıcı imzalanacak belgeyi seçer
- Cep telefonuna gönderilen tek kullanımlık şifreyi girer
- İmzalama işlemi tamamlanır
Nmushroom'nın Yasal Uyumluluğu
Nmushroom platformu, 5070 sayılı Elektronik İmza Kanunu ve ilgili tüm yasal düzenlemelere tam uyumlu olacak şekilde tasarlanmıştır. Platformumuz:
- BTK tarafından yetkilendirilmiş ESHS'lerle entegre çalışır
- Tüm imza işlemlerini zaman damgası ile belgelendirir
- İmza sahibinin kimliğinin güvenli bir şekilde doğrulanmasını sağlar
- İmzalanan belgelerin değiştirilemezliğini garanti eder
- Tüm imza işlemlerinin denetim izini (audit trail) tutar
Bu özellikleri sayesinde Nmushroom ile oluşturulan elektronik imzalar, Türkiye'deki yasal gereklilikleri tam olarak karşılar ve mahkemelerde delil olarak kullanılabilir.
Sonuç
Türkiye'de elektronik imzaların yasal çerçevesi, 5070 sayılı Elektronik İmza Kanunu ile sağlam bir temele oturtulmuştur. Güvenli elektronik imza, kanunun öngördüğü istisnalar dışında, ıslak imza ile aynı hukuki geçerliliğe sahiptir.
İş süreçlerini dijitalleştirmek ve verimliliği artırmak isteyen kuruluşlar için elektronik imza, yasal açıdan güvenilir bir çözüm sunmaktadır. Ancak, elektronik imza sistemlerinin kanunun öngördüğü teknik ve prosedürel gereklilikleri karşılaması, bu sistemlerin yasal geçerliliğini korumak açısından kritik öneme sahiptir.