Ticari Elektronik İleti Yönetim Sistemi (“İYS”) Entegratörleri Artık Yetkilendirmeye Tabi ve Veriler Türkiye’de Tutulacak!
Contents
- A. Entegratörlerin Rolü ve Yetkilendirilme Sürecinde Yeni Standartlar
- B. Entegratörler için Artan Yükümlülükler
- C. Sonuç
Bilindiği gibi, ticari iletişim mevzuatında 2020 yılında yapılan bir değişiklikle Ticari Elektronik İleti Yönetim Sistemi (“İYS”) hayatımıza girmişti. Bu sistem, ticari elektronik ileti onaylarının alınması, reddetme hakkının kullanılması ve şikâyet süreçlerinin yönetilmesine imkân sağlayan merkezi bir elektronik sistem olarak tasarlanmıştı. Bu konuda 2020 yılında hazırladığımız yazımıza şu linkten ulaşabilirsiniz.
Yine bilindiği gibi, belirli bir sayıda onaylı alıcı sayısına sahip olan ticari elektronik ileti gönderenler İYS’ye doğrudan entegre olabiliyorlardı. Bununla birlikte, ileti gönderenlerin büyük bir çoğunluğu İYS entegrasyonunu sağlayan entegratörler aracılığıyla bu entegrasyonu gerçekleştirebiliyorlardı. Bu entegratörler bazı yükümlülüklere sahip olsalar da entegratör olmak için açık bir yetkilendirme rejimi bulunmuyordu.
İşte, İYS entegratörlüğü için bir yetkilendirme rejimi getirmek ve entegratörün uyması gereken ek yükümlülükleri belirlemek amacıyla, Ticari Elektronik İleti Yönetim Sistemi Entegratörleri Hakkında Tebliğ (“Tebliğ”) 18 Eylül 2024 tarihinde yayımlandı ve bu tarih itibarıyla yürürlüğe girdi.
Bu Tebliğ ile getirilen yetkilendirme rejimi kapsamında, entegratörlük hizmetinin verileceği altyapının Türkiye’de bulunması zorunluluğu (data localization) dikkat çekici.
Tebliğ ile getirilen yetkilendirme rejimi çerçevesinde entegratörler için geçerli olacak yükümlülüklerden öne çıkanları aşağıda bilginize sunuyoruz.
A. Entegratörlerin Rolü ve Yetkilendirilme Sürecinde Yeni Standartlar
Yeni düzenlemeyle birlikte, entegratörlük faaliyetine başlamak için Ticaret Bakanlığı’ndan entegratörlük yetkisi alınması zorunlu hale getirildi. Entegratörlük yetkisi alabilmek için gerekli şartlar ise şunlar:
– Şirketin anonim veya limited şirket olarak kurulması,
– Şirketin ödenmiş sermayesinin en az 1 milyon Türk Lirası olması,
– Anonim şirketlerde payların tamamının nama yazılı olması,
– Şirket ortağı ve yöneticilerinin; rüşvet, dolandırıcılık, hırsızlık gibi Tebliğ’de sayılan suçlardan hüküm giymemiş olması,
– Ticari defter ve kayıtların düzenli ve izlenebilir şekilde tutulması,
– Şirket bünyesinde; ağ ve ağ güvenliği uzmanı, veri tabanı uzmanı, sistem uzmanı, kalite sistemleri uzmanı ve yazılım geliştirme uzmanı olmak üzere en az 5 personelin doğrudan veya hizmet alımı yoluyla istihdam edilmesi,
– Şirketin, ISO 22301 İş Sürekliliği Yönetim Sistemi, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO/IEC 27701 Kişisel Veri Yönetim Sistemi belgelerine sahip olması,
– Türk Standartları Enstitüsü tarafından onaylı A veya B seviye sızma testi yapan kuruluşlarca, başvuru tarihinden en fazla 3 ay öncesinde sızma testi yapılmış olması,
– Teknik altyapının; ticari elektronik ileti onay ve ret işlemlerinde herhangi bir kesinti olmadan 7 gün 24 saat iş sürekliliğini sağlayabilecek yedekli yapıda olması, iz kayıt (log) mekanizmasına sahip olması, yetkisiz erişimlere karşı korunması ve kullanılan tüm bilgi sistemlerinin tutarlı bir zaman kaynağına göre ayarlanması ve senkronize şekilde çalışması,
– Entegratörlük hizmetinde kullanılacak bilgi işlem sisteminin, yazılım, donanım ve sunucu alt yapısının Türkiye Cumhuriyeti sınırları içerisindeki bir veri tabanında bulunması.
Geçiş Hükmü: Ayrıca, Tebliğ’in yürürlüğe girmesi sırasında hali hazırda İYS entegrasyonu hizmeti verenlerin, Tebliğ’in yürürlük tarihini takip eden altıncı ayın sonuna kadar yetki belgesi alması gerekmektedir. Bu sebeple, bunlardan 31 Mart 2025 tarihine kadar yetki belgesi almayanlar İYS üzerinden herhangi bir işlem yapamayacaklardır.
B. Entegratörler için Artan Yükümlülükler
Entegratörlerin Tebliğ’de belirtilen başlıca yükümlülükleri ise şu şekilde özetlenebilir:
– Hizmet sağlayıcının taleplerine yanıt verme: Entegratörler, hizmet sağlayıcının veri erişimi ve veri taşıma taleplerini en geç 15 gün içinde karşılamakla yükümlüdür.
– Teknik yükümlülükler: Entegratörler, hizmet verirken İYS'nin güvenliğini riske atacak ya da zarar verebilecek işlemlerden kaçınmalı, yetkisiz erişimler ve siber saldırılara karşı ağ ve sistem güvenliğini sağlamalıdır. Ayrıca, asgari yedekleme ve felaketten kurtarma planlarına sahip olmalı, tüm işlemlerin kaydını tutmalı ve İYS A.Ş. ile yaptığı sözleşmede belirtilen diğer idari ve teknik tedbirleri almalıdır.
– Kişisel verilerin korunması: Entegratörler, Tebliğ kapsamında gerçekleştirdiği işlemler ve sunduğu hizmetler sırasında elde ettiği kişisel verilerin korunmasından ve bu verilere hukuka aykırı erişimi veya amacı dışında kullanımını engellemek için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Hizmet sağlayıcı, kişisel verilerin entegratör tarafından kendi adına işlenmesi durumunda, bu tedbirlerin alınmasında entegratörle birlikte müşterek sorumluluk taşır.
– Ticari sır niteliğindeki bilgilerin korunması: Entegratörler, hizmet sağladığı süreçte öğrendiği veya edindiği hizmet sağlayıcıya ait ticari sır niteliğindeki bilgilerin güvenliğini ve gizliliğini sağlamakla yükümlüdür. Bu bilgileri, amacı dışında kullanamaz ve hizmet sağlayıcının yazılı izni olmadan Ticaret Bakanlığı ve diğer yetkili kamu kurumları dışında üçüncü kişilerle paylaşamaz.
– Sızma testi yapma yükümlülüğü: Entegratörler, her takvim yılında en az bir kez Türk Standartları Enstitüsü tarafından onaylı A veya B seviye sızma testi yapan bir kuruluş tarafından sızma testi yaptırmalı ve sonuçlarını rapor tarihinden itibaren en geç 15 gün içinde İYS A.Ş.’ye sunmalıdır. Ayrıca, İYS A.Ş. veya Ticaret Bakanlığı, son testin üzerinden 1 yıl geçmemiş olsa dahi entegratörden söz konusu testleri yaptırmasını talep edebilir.
– Kayıtları saklama yükümlülüğü: Entegratörler, ticari elektronik ileti göndermek amacıyla alıcılardan alınan onay ve ret bilgilerini saklaması halinde, bu bilgilerin ibraz edilmesinde hizmet sağlayıcı ile müteselsilen sorumludur.
C. Sonuç
Tebliğ ile getirilen yeni düzenlemeler, entegratörlük faaliyetinde bulunmak için gerekli şartların genişletildiğini ve İYS ekosistemindeki faaliyetlerin daha sıkı bir denetime tabi tutulacağını gösteriyor. İYS entegratörlük faaliyetlerine devam etmek isteyen aracı hizmet sağlayıcıların, Tebliğ’deki şart ve yükümlülüklere uymak için hazırlık çalışmalarına başlamaları uygun olacaktır.