REGISTER LOGIN

Ticari Elektronik İleti Yönetim Sistemi (“İYS”) Entegratörleri Artık Yetkilendirmeye Tabi ve Veriler Türkiye’de Tutulacak!

08.10.2024
YAZICIOGLU LEGAL

Contents

Bilindiği gibi, ticari iletişim mevzuatında 2020 yılında yapılan bir değişiklikle Ticari Elektronik İleti Yönetim Sistemi (“İYS”) hayatımıza girmişti. Bu sistem, ticari elektronik ileti onaylarının alınması, reddetme hakkının kullanılması ve şikâyet süreçlerinin yönetilmesine imkân sağlayan merkezi bir elektronik sistem olarak tasarlanmıştı. Bu konuda 2020 yılında hazırladığımız yazımıza şu linkten ulaşabilirsiniz.

Yine bilindiği gibi, belirli bir sayıda onaylı alıcı sayısına sahip olan ticari elektronik ileti gönderenler İYS’ye doğrudan entegre olabiliyorlardı. Bununla birlikte, ileti gönderenlerin büyük bir çoğunluğu İYS entegrasyonunu sağlayan entegratörler aracılığıyla bu entegrasyonu gerçekleştirebiliyorlardı. Bu entegratörler bazı yükümlülüklere sahip olsalar da entegratör olmak için açık bir yetkilendirme rejimi bulunmuyordu.

İşte, İYS entegratörlüğü için bir yetkilendirme rejimi getirmek ve entegratörün uyması gereken ek yükümlülükleri belirlemek amacıyla, Ticari Elektronik İleti Yönetim Sistemi Entegratörleri Hakkında Tebliğ (“Tebliğ”) 18 Eylül 2024 tarihinde yayımlandı ve bu tarih itibarıyla yürürlüğe girdi.

Bu Tebliğ ile getirilen yetkilendirme rejimi kapsamında, entegratörlük hizmetinin verileceği altyapının Türkiye’de bulunması zorunluluğu (data localization) dikkat çekici. 

Tebliğ ile getirilen yetkilendirme rejimi çerçevesinde entegratörler için geçerli olacak yükümlülüklerden öne çıkanları aşağıda bilginize sunuyoruz.

A. Entegratörlerin Rolü ve Yetkilendirilme Sürecinde Yeni Standartlar

Yeni düzenlemeyle birlikte, entegratörlük faaliyetine başlamak için Ticaret Bakanlığı’ndan entegratörlük yetkisi alınması zorunlu hale getirildi. Entegratörlük yetkisi alabilmek için gerekli şartlar ise şunlar:

– Şirketin anonim veya limited şirket olarak kurulması,

– Şirketin ödenmiş sermayesinin en az 1 milyon Türk Lirası olması,

– Anonim şirketlerde payların tamamının nama yazılı olması,

– Şirket ortağı ve yöneticilerinin; rüşvet, dolandırıcılık, hırsızlık gibi Tebliğ’de sayılan suçlardan hüküm giymemiş olması,

– Ticari defter ve kayıtların düzenli ve izlenebilir şekilde tutulması,

– Şirket bünyesinde; ağ ve ağ güvenliği uzmanı, veri tabanı uzmanı, sistem uzmanı, kalite sistemleri uzmanı ve yazılım geliştirme uzmanı olmak üzere en az 5 personelin doğrudan veya hizmet alımı yoluyla istihdam edilmesi,

– Şirketin, ISO 22301 İş Sürekliliği Yönetim Sistemi, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO/IEC 27701 Kişisel Veri Yönetim Sistemi belgelerine sahip olması,

– Türk Standartları Enstitüsü tarafından onaylı A veya B seviye sızma testi yapan kuruluşlarca, başvuru tarihinden en fazla 3 ay öncesinde sızma testi yapılmış olması,

– Teknik altyapının; ticari elektronik ileti onay ve ret işlemlerinde herhangi bir kesinti olmadan 7 gün 24 saat iş sürekliliğini sağlayabilecek yedekli yapıda olması, iz kayıt (log) mekanizmasına sahip olması, yetkisiz erişimlere karşı korunması ve kullanılan tüm bilgi sistemlerinin tutarlı bir zaman kaynağına göre ayarlanması ve senkronize şekilde çalışması,

– Entegratörlük hizmetinde kullanılacak bilgi işlem sisteminin, yazılım, donanım ve sunucu alt yapısının Türkiye Cumhuriyeti sınırları içerisindeki bir veri tabanında bulunması.

Geçiş Hükmü: Ayrıca, Tebliğ’in yürürlüğe girmesi sırasında hali hazırda İYS entegrasyonu hizmeti verenlerin, Tebliğ’in yürürlük tarihini takip eden altıncı ayın sonuna kadar yetki belgesi alması gerekmektedir. Bu sebeple, bunlardan 31 Mart 2025 tarihine kadar yetki belgesi almayanlar İYS üzerinden herhangi bir işlem yapamayacaklardır.

B. Entegratörler için Artan Yükümlülükler

Entegratörlerin Tebliğ’de belirtilen başlıca yükümlülükleri ise şu şekilde özetlenebilir:

– Hizmet sağlayıcının taleplerine yanıt verme: Entegratörler, hizmet sağlayıcının veri erişimi ve veri taşıma taleplerini en geç 15 gün içinde karşılamakla yükümlüdür.

– Teknik yükümlülükler: Entegratörler, hizmet verirken İYS'nin güvenliğini riske atacak ya da zarar verebilecek işlemlerden kaçınmalı, yetkisiz erişimler ve siber saldırılara karşı ağ ve sistem güvenliğini sağlamalıdır. Ayrıca, asgari yedekleme ve felaketten kurtarma planlarına sahip olmalı, tüm işlemlerin kaydını tutmalı ve İYS A.Ş. ile yaptığı sözleşmede belirtilen diğer idari ve teknik tedbirleri almalıdır.

– Kişisel verilerin korunması: Entegratörler, Tebliğ kapsamında gerçekleştirdiği işlemler ve sunduğu hizmetler sırasında elde ettiği kişisel verilerin korunmasından ve bu verilere hukuka aykırı erişimi veya amacı dışında kullanımını engellemek için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Hizmet sağlayıcı, kişisel verilerin entegratör tarafından kendi adına işlenmesi durumunda, bu tedbirlerin alınmasında entegratörle birlikte müşterek sorumluluk taşır.

– Ticari sır niteliğindeki bilgilerin korunması: Entegratörler, hizmet sağladığı süreçte öğrendiği veya edindiği hizmet sağlayıcıya ait ticari sır niteliğindeki bilgilerin güvenliğini ve gizliliğini sağlamakla yükümlüdür. Bu bilgileri, amacı dışında kullanamaz ve hizmet sağlayıcının yazılı izni olmadan Ticaret Bakanlığı ve diğer yetkili kamu kurumları dışında üçüncü kişilerle paylaşamaz.

– Sızma testi yapma yükümlülüğü: Entegratörler, her takvim yılında en az bir kez Türk Standartları Enstitüsü tarafından onaylı A veya B seviye sızma testi yapan bir kuruluş tarafından sızma testi yaptırmalı ve sonuçlarını rapor tarihinden itibaren en geç 15 gün içinde İYS A.Ş.’ye sunmalıdır. Ayrıca, İYS A.Ş. veya Ticaret Bakanlığı, son testin üzerinden 1 yıl geçmemiş olsa dahi entegratörden söz konusu testleri yaptırmasını talep edebilir.

– Kayıtları saklama yükümlülüğü: Entegratörler, ticari elektronik ileti göndermek amacıyla alıcılardan alınan onay ve ret bilgilerini saklaması halinde, bu bilgilerin ibraz edilmesinde hizmet sağlayıcı ile müteselsilen sorumludur.

C. Sonuç

Tebliğ ile getirilen yeni düzenlemeler, entegratörlük faaliyetinde bulunmak için gerekli şartların genişletildiğini ve İYS ekosistemindeki faaliyetlerin daha sıkı bir denetime tabi tutulacağını gösteriyor. İYS entegratörlük faaliyetlerine devam etmek isteyen aracı hizmet sağlayıcıların, Tebliğ’deki şart ve yükümlülüklere uymak için hazırlık çalışmalarına başlamaları uygun olacaktır.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.
th

Popular Articles on Technology & Telecoms

Dijital Varlıklara İlişkin Özel Hukuk Taslak İlkeleri Kamuoyu Görüşüne Açıldı
Digital Transformation Office Announces the Commissioning of BIGDES
Dijital Dönüşüm Ofisi BİGDES’in Devreye Alındığı Duyurdu
Tasarımda Gizlilik ISO Standardı Olarak Kabul Edildi
NIS2 Direktifi: AB’de Yeni Siber Güvenlik Kuralları

Latest Insights from YAZICIOGLU LEGAL

Ticari Elektronik İleti Yönetim Sistemi (“İYS”) Entegratörleri Artık Yetkilendirmeye Tabi ve Veriler Türkiye’de Tutulacak!
2024 Amendments to Turkish Data Protection Law - Infographic (Updated 2 August 2024)
Kişisel Verilerin Korunması Kanunu Reformu (2024 değişikliği) – İnfografik (31.07.2024)
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent