Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik (“Yönetmelik”) 26 Haziran 2021 tarihli ve 31523 sayılı Resmi Gazete’de yayımlanmıştır. Yönetmelik, 31 Aralık 2021 tarihinde yürürlüğe girecek olup, yönetmelik ile getirilen düzenlemelere aşağıda yer verilmiştir.
1. Yönetmeliğin Amaç ve Kapsamı
Yönetmelik, elektronik haberleşme sektöründe; abonelik sözleşmesi, numara taşıma başvurusu, işletmeci değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu ve SIM değişikliği başvurusu işlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması işlemlerinin dört farklı yöntemle yapılabileceğini düzenlemektedir:
- e-Devlet Kapısı aracılığıyla,
- Yapay zekâ veya yetkili marifetiyle görüntülü olarak,
- C. Kimlik Kartı (TCKK) ile birlikte ile TSI EN 319 142 standardına uygun PDF Gelişmiş Elektronik İmza (PAdES) oluşturarak,
- Yüz yüze kanallarda başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü almak suretiyle
Yönetmelik uyarınca, yukarıdaki yöntemlerle kimlik doğrulama işlemi yapan işletmeci/hizmet sağlayıcı, bilgi, belge ve işlem kayıtlarının muhafaza edilmesi, aktarımı, bilgilerde hukuka aykırı olarak gerçekleşebilecek değişikliklere karşı korunması ve kimlik bilgilerinin gizliliği, güvenliği ve bütünlüğünü sağlama amacıyla gerekli olabilecek tüm tedbirleri almakla yükümlü kılınmıştır.
2. Kimlik Doğrulama Yöntemleri
e-Devlet Kapısından | e-Devlet kapısından giriş yapan başvuru sahibine işletmeci tarafından iletilen kimlik numarası, ad soyad, işlem türü, işlemi özgüleyen hizmet numarası ve işlem belgesinde ilgili mevzuat kapsamında yer alması gereken bilgiler, başvuru sahibinin doğrulanmış irtibat numarası ve elektronik posta adresi başvuru sahibine gösterilerek onayı alınacaktır.
Söz konusu bilgiler için başvuru sahibinin kimliğini doğruladığı bilgisi ve doğrulanmış irtibat numarası ile elektronik posta adresi işletmeciye/hizmet sağlayıcıya iletilecektir. |
Yapay Zeka veya Yetkili ile Görüntülü Olarak | Görüntülü kimlik doğrulaması yapılması Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, başvuru sahibinin açık rızasının alınması koşuluna bağlı olacaktır. Açık rıza alınırken, kimlik doğrulama işleminin e-Devlet kapısı veya yüz yüze kanallar vasıtası ile elektronik ortamda yapılabileceği açıkça belirtilmelidir.
Açık rıza alınmadan önce, ayrı bir şekilde, aydınlatma yükümlülüğü yerine getirilmelidir. Görüntülü kimlik doğrulaması, gerçek zamanlı ve kesintisiz şekilde, uçtan uca güvenli iletişim ile yapılmalıdır. Yönetmelik’in ekinde yer alan Ek 1 belgesinde, başvuru sahibinin kimlik belgesinin üzerindeki fotoğraf da dahil olmak üzere kimlik bilgilerinin alınacağı yakın alan iletişimi yöntemine ilişkin hususlar düzenlenmiştir. Ek 2 belgesinde, başvuru sahibinin alınan canlı görüntüsündeki yüzü ile kimlik belgesinde yer alan fotoğrafının karşılaştırmasının yapay zeka yöntemiyle yapılmasında uyulacak kriterler sayılmıştır. Ek 3 belgesinde ise işletmeci/hizmet sağlayıcı yetkilisi marifetiyle yapılmasında uyulacak kriterlere yer verilmiştir. |
TCKK ile PAdES Oluşturarak | PAdES, PDF dosyalarının imzalanabilmesine imkân tanıyan elektronik imza formatıdır. |
Yüz Yüze | Başvuru sahibinin KVKK kapsamında açık rızası alınmalıdır. Açık rıza temin edilirken, kimlik doğrulama işleminin e-Devlet kapısı veya yüz yüze kanallar vasıtası ile elektronik ortamda yapılabileceği açıkça belirtilmelidir.
Açık rıza alınmadan önce, ayrı bir şekilde, aydınlatma yükümlülüğü yerine getirilmelidir. Onay verilmesi halinde, kameranın önünde başvuru sahibinin yüzü ile birlikte görünecek şekilde kimlik belgesinin ön ve arka tarafının gösterilmesi talep edilir ve belgede yer alan fotoğrafın, kamerada görüntüsü bulunan kişiye ait olup olmadığı teyit edilir. |
3. Verilerin Saklanması ve Güvenliği
Yönetmelikte, kayıt altına alınan ve elde edilen verilerin ilgili mevzuatta yer alan saklama süreleri boyunca saklanacağı düzenlenmiştir. Kimlik doğrulama işlemi gerçekleştiren işletmeci/hizmet sağlayıcı, Yönetmelik uyarınca kimlik doğrulama sürecinin tüm adımlarını içerecek şekilde elde ettiği bilgiler ile bir PDF dosyası oluşturmakla yükümlüdür. Söz konusu PDF dosyasının oluşturulmasına ilişkin olarak başvuru sahibinin izninin alınması esastır. İlgili PDF dosyasında yer alan verilerin güvenliğinin sağlanması işletmeci/hizmet sağlayıcının yükümlülüğündedir.
Yönetmelik uyarınca, kimlik doğrulama işlemi gerçekleştiren işletmeci/hizmet sağlayıcı başta 5909 sayılı Elektronik Haberleşme Kanunun ve 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili ilgili mevzuatta yer alan tüm teknik ve idari tedbirleri sağlamakla yükümlüdür. Yönetmelik kapsamında yapılan tüm işlemlere ilişkin olarak ispat yükü işletmeci/hizmet sağlayıcıya ait olacaktır.
4. Bildirim Yükümlülüğü
Yönetmelik, mevcut yasal mevzuatın getirdiklerinden farklı ve onlara ek olarak, işletmeci/hizmet sağlayıcılara bildirim yükümlülüğü getirmiştir. Bu bildirim, Yönetmelik’in yürürlüğe girdiği tarihten (31 Aralık 2021) önce yapılan abonelik sözleşmeleri, numara taşıma başvuruları, işletmeci/hizmet sağlayıcı değişikliği başvuruları, nitelikli elektronik sertifika başvuruları, kayıtlı elektronik e-posta başvurusu ve SIM değişikliği başvurularına ilişkindir. Bu kapsamında oluşturulan ve kişisel veri içeren elektronik belgelere ilişkin olarak zaman damgası ile belge tanzim tarihinin ispat yükü işletmeci/hizmet sağlayıcıya aittir.
Söz konusu belgeler için işletmeci/hizmet sağlayıcı, Yönetmelik’in yürürlüğe girmesinden itibaren üç ay içerisinde, işlem belgesi tarafına ait kimlik numarası bilgisi ve son yedi karakterinin üçü maskelenmiş olan telefon, hizmet veya nitelikli elektronik sertifika numarası ya da kayıtlı elektronik posta adresi bilgisini mobil elektronik haberleşme işletmecilerine ve e-Devlet kapısının sunmuş olduğu bilgilendirme sistemine iletir. Bu bildirim kısa mesaj, e-posta veya e-Devlet kapısı üzerinden, aşağıdaki şekilde işlem belgesi tarafına bildirilecektir.
“XXX**XX kimlik numarası ile elektronik ortamda düzenlenen [gg.aa.yy] tarihli [birinci fıkra kapsamındaki işlem belgeleri]ne [işletmeci/hizmet sağlayıcı çevrim içi işlem merkezi/elektronikislembelgeleri] adresinden erişebilirsiniz. Rızanız/bilginiz dışında işlem belgeleri var ise [işletmeci/hizmet sağlayıcı] ile iletişime geçiniz.”
5. İdari Yaptırımlar
Yönetmelik’e aykırılık halinde, 5070 sayılı Elektronik İmza Kanunu’nun 18. ve 19. maddeleri ile Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanacaktır.
6. Sonuç
Yönetmelik, elektronik haberleşme sektöründe yapay zeka ile kimlik doğrulaması yöntemini düzenleyerek önemli bir yenilik getirmektedir. Bununla beraber, kimlik doğrulaması yapan işletmecilere/hizmet sağlayıcılara da bir takım yükümlülükler getirilmiştir. Yönetmelik ile, genel itibarıyla şeffaflık anlamında önemli bir adım atıldığı söylenebilir. İşletmeciler/hizmet sağlayıcıları, özellikle kişisel verilerin korunması ve Yönetmelik’te belirtilen diğer yasal düzenlemeler kapsamında mevzuata uyumlu hareket etmelidirler.