Duyurular
İYS ENTEGRATÖRLERİNE İLİŞKİN ÖNEMLİ DÜZENLEMELER
Ticaret Bakanlığı (“Bakanlık”) tarafından hazırlanan, Ticari Elektronik İleti Yönetim Sistemi (“İYS”) Entegratörleri Hakkında Tebliğ (“Tebliğ”) 18.09.2024 tarihli ve 32666 sayılı Resmi Gazete’de yayımlanmıştır.
Tebliğ, ticari elektronik ileti onay ve ret bilgilerinin İYS’ye kaydedilmesine, bu işlemlerin İYS üzerinden entegratörler[1] aracılığıyla veya hizmet sağlayıcılar tarafından gerçekleştirilmesine, entegratörlerin yetkilendirilmesi ve yetkilerinin iptaline dair usul ve esasları düzenlemektedir.
1. Entegratörlük Yetkisi İçin Müracaat Edeceklerde Aranan Şartlar Nelerdir?
Tebliğ’in 4. maddesine göre entegratörlük yetkisi için müracaat edecek şirketlerin;
- 6102 sayılı Türk Ticaret Kanunu’na (“TTK”) göre anonim veya limited şirket şeklinde kurulması,
- Ödenmiş sermayesinin en az bir milyon Türk lirası olması,
- Anonim şirketlerde payların tamamının nama yazılı olması,
- Şirket ortağı ve yöneticilerinin; rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama, terörizmin finansmanı, kaçakçılık, vergi kaçakçılığı ve bilişim suçlarından dolayı hüküm giymemiş olması,
- Ticari defter ve kayıtlarını düzenli ve izlenebilir şekilde tutuyor olması,
- Şirket bünyesinde ağ ve ağ güvenliği uzmanı, veri tabanı uzmanı, sistem uzmanı, kalite sistemleri uzmanı ve yazılım geliştirme uzmanı olmak üzere en az beş personelin doğrudan veya dışarıdan hizmet alımı yoluyla istihdam edilmesi,
- ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesi ile Türk Akreditasyon Kurumu (“TÜRKAK”) tarafından akredite edilmiş bir belgelendirme kuruluşundan alınan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi ve ISO/IEC 27701 Kişisel Veri Yönetim Sistemi Belgesine sahip olması,
- Başvuru tarihinden en çok üç ay öncesinde olmak kaydıyla, Türk Standartları Enstitüsü (“TSE”) tarafından onaylı A veya B seviye sızma testi yapan kuruluşlarca sızma testinin yapılmış olması,
- Teknik alt yapısının; ticari elektronik ileti onay ve ret işlemlerinde herhangi bir kesinti olmaksızın 7 gün 24 saat iş sürekliliğini sağlayabilecek yedekli yapıda olması, iz kayıt (log) mekanizmasına sahip olması, yetkisiz erişime karşı korunması, bünyesinde kullanılan tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanması ve senkronize şekilde çalışması,
- Entegratörlük hizmetinde kullanılacak bilgi işlem sisteminin, yazılım, donanım ve sunucu alt yapısının Türkiye Cumhuriyeti sınırları içerisindeki bir veri tabanında bulunması gerekmektedir.
2. Başvuru İçin Gerekli Belgeler Nelerdir?
Entegratörlük belgesi başvurusu için Tebliğ ekinde yer verilmiş EK-1’deki başvuru formu ile Bakanlıkça Ticari Elektronik İleti Yönetim Sistemini kurmakla yetkilendirilen kuruluşa (“Kuruluş”) [2] müracaat edilmesi ayrıca aşağıda yer verilen belgelerin de başvuru formuna eklenmesi gerekmektedir:
- Sicil tasdiknamesi.
- Güncel şirket esas sözleşmesi.
- Serbest muhasebeci mali müşavir, yeminli mali müşavir veya bağımsız denetim kuruluşunca onaylı son bir yıla ait finansal tablolar.
- ç) Ortak ve yöneticilerin, 4 üncü maddenin ikinci fıkrasının (ç) bendinde belirtilen şartları haiz olduklarına dair yazılı beyanları ile gerekli görülmesi halinde bu şartların sağlandığını ispatlayıcı bilgi ve belgeler.
- Şirketin, 4 üncü maddenin ikinci fıkrasının (d) bendinde belirtilen şartları sağladığına ilişkin temsile yetkili kişilerce imzalanmış beyan ile gerekli görülmesi halinde bu şartların sağlandığını ispatlayıcı bilgi ve belgeler.
- Şirket yönetim organınca onaylı organizasyon şeması, şirket bünyesinde çalışan personelin isim, ünvan ve eğitim durumlarını ihtiva eden liste ile 4 üncü maddenin ikinci fıkrasının (e) bendinde belirtilen personelin ilgili alanda uzmanlığını gösterir belgeler.
3. Yetki Verilmesi Süreci Nasıl İşlemektedir?
Entegratörlük yetkisi için başvuru Kuruluş’a yapılacaktır. Kuruluş, başvuruyu şekil ve içerik açısından ön incelemeye tabi tutarak, eksiksiz ve uygun olanları başvuru tarihinden itibaren otuz gün içinde Bakanlık’a gönderecektir. İhtiyaç halinde başvuru sahibi açıklama yapmak üzere Bakanlık’a çağrılabilecektir. Talep edilmesi halinde ek bilgi ve belgeler Bakanlık’a sunulacaktır.
Yapılan değerlendirme sonucunda gerekli şartları taşıdığı anlaşılanlara Bakanlıkça entegratörlük yetkisi verilecek ve bu yetki devredilemeyecektir.. Entegratörlük yetkisi alanlar, Bakanlıkça Kuruluşa bildirilir. Kuruluş, entegratör ile entegratörün İYS’ye uzaktan erişimi de dâhil tüm teknik, idari ve mali usul ve esasları düzenleyen, bir sözleşme tesis edilmesini sağlayacaktır.. Kuruluş, sisteme entegre edilen entegratörlerin listesini güncel olarak İYS’nin internet sayfasında yayımlayacaktır.
4.Entegratör ile Hizmet Sağlayıcı İlişkisinin Kapsamı Nedir?
Hizmet sağlayıcı, elektronik iletişim adreslerine ticari elektronik ileti göndermek üzere alıcılardan aldığı onay ve ret bilgilerinin İYS’ye kaydını veya bu işlemlerin İYS üzerinden gerçekleştirilmesini doğrudan kendisi yapabileceği gibi entegratörler aracılığıyla da yapabilecektir. Söz konusu hizmetler, entegratörlük yetkisi olmayanlara gördürülemeyecektir.
Entegratör, entegratörlük hizmeti süresi içinde depolamış olduğu verilere hizmet sağlayıcının erişim sağlamasına, entegratörlük hizmetinin herhangi bir şekilde sona ermesi veya entegratörlük yetkisinin iptali de dâhil olmak üzere bu verilerin hizmet sağlayıcı tarafından hiçbir gerekçe göstermeksizin, bedelsiz ve etkin şekilde taşınmasınateknik imkân sağlayacaktır Hizmet sağlayıcının veriye erişim ve veri taşıma talepleri entegratör tarafından en geç on beş gün içinde karşılanacaktır.
5.Entegratörün Yükümlülükleri Nelerdir?
- Mevzuata Uygun Olma Yükümlülüğü
Entegratör, entegratörlük hizmetini Kanun, Yönetmelik, bu Tebliğ’in ve 6’ncı maddenin ikinci fıkrasında akdedilen sözleşme hükümlerine uygun olarak yerine getirmekle; alıcıların, hizmet sağlayıcıların ve kamunun menfaatine aykırı düşecek veya zararına yol açacak şekilde hareket etmemekle yükümlü olacaktır.
- Teknik Yükümlülükler
Entegratör, entegratörlük hizmetinin verilmesinde İYS’nin güvenliğini tehlikeye düşürebilecek ve/veya İYS’ye zarar verebilecek işlemlerden kaçınmak, yetkisiz erişimlere ve siber saldırılara karşı gerekli ağ ve sistem güvenliğini oluşturmak, asgari yedekleme ve felaketten kurtarma planlarına sahip olmak, her türlü işlemin kaydını tutmak ve Kuruluşun yapılmasını sağladığı sözleşmede öngörülen diğer idari ve teknik tedbirleri almakla yükümlü olacaktır.
- Kişisel Verilerin Korunması Yükümlülüğü
Entegratör, bu Tebliğ çerçevesinde yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettiği kişisel verilerin muhafazası ile bu verilere hukuka aykırı olarak erişilmesini ve amacı dışında kullanılmasını önlemeye yönelik her türlü teknik ve idari tedbirin alınmasından ilgili mevzuat çerçevesinde sorumlu olacaktır.
- Ticari Sır Niteliğindeki Bilgilerin Korunması Yükümlülüğü
Entegratör, entegratörlük hizmeti sırasında öğrenmiş veya edinmiş olduğu hizmet sağlayıcıya ait ticari sır niteliğindeki bilgilerin güvenliğinden ve gizliliğinden sorumlu olup bu bilgileri, amacı dışında kullanamayacak ve hizmet sağlayıcının yazılı izni olmaksızın Bakanlık ve ilgili diğer kamu kurum ve kuruluşları dışında üçüncü kişilerle paylaşamayacaktır.
- Kayıtları Saklama Yükümlülüğü
Entegratör, ticari elektronik ileti göndermek üzere alıcılardan alınan onay ve ret bilgilerini saklaması durumunda, bunların ibrazından hizmet sağlayıcı ile birlikte müteselsilen sorumlu tutulacaktır.
6.Entegratörlük Yetkisi Hangi Hallerde İptal Edilir?
Tebliğ’de yer alan yükümlülüklere aykırı hareket eden veya 4’üncü maddenin ikinci fıkrasında öngörülen şartlardan herhangi birini kaybeden entegratöre Kuruluş tarafından, aykırılığın giderilmesi için otuz gün süre verilecektir.
İlgilinin talebi üzerine bir defaya mahsus olmak üzere otuz güne kadar ek süre verilebilecektir. Verilen süre içinde aykırılığın giderilememesi veya şartların yeniden sağlanamaması halinde entegratörlük yetkisi, Kuruluşun bildirimi üzerine Bakanlık tarafından iptal edilecektir.
7.Entragratörlerin Denetimi Nasıl Gerçekleştirilir?
Bakanlık, bu Tebliğ kapsamında yetkilendirilen entegratörlerin gerçekleştirdiği faaliyet ve işlemleri denetlemeye yetkili olacaktır.
8.Kuruluş’un Yükümlülüğünün Kapsamı Nedir?
Kuruluş, Tebliğ’in 15’inci maddesinin ikinci fıkrasında öngörülen test sonuçlarının değerlendirilmesi de dâhil olmak üzere bu Tebliğin uygulanmasıyla ilgili hususlarda her yılın haziran ayı sonuna kadar Bakanlık’a rapor göndermekle yükümlü tutulmuştur.
9.Ticari Elektronik İleti Onay ve Ret İşlemlerine İlişkin Hizmet Sağlayıcılara Yönelik Geçiş Hükümleri Nelerdir?
Tebliğ’in yürürlüğe girdiği tarih itibarıyla ticari elektronik ileti onay ve ret işlemlerinde hizmet sağlayıcılara hizmet verenlerden entegratörlük yetkisi almak isteyenlerin, Tebliğ’in yürürlüğe girdiği tarihten itibaren gerekli belgelerle birlikte Kuruluş’a başvurabilecekleri düzenlenmiştir. Başvuru işlemleri 6’ncı maddeye göre yürütülecektir. Tebliğ’in yürürlüğe girdiği tarihi takip eden altıncı ayın sonuna kadar Bakanlıktan entegratörlük yetkisi almayanlar, hizmet sağlayıcı adına ticari elektronik iletilere ilişkin hiçbir işlem tesis edemeyecek ve İYS üzerinden herhangi bir işlem gerçekleştiremeyecektir.
Tebliğ Resmi Gazete’de yayımlandığı tarih itibariyle yürürlüğe girmiştir.
Tebliğ’in tam metnine buradan ulaşabilirsiniz.
Tebliğ’in eklerine buradan ulaşabilirsiniz.
Saygılarımızla,
Zümbül Hukuk ve Danışmanlık
[1] Entegratör: Ticari elektronik ileti gönderiminde, alıcılara ait onay ve ret bilgilerinin İYS’ye kaydedilmesi, İYS üzerinden onay alınması ve reddetme hakkının kullanılması hususlarında hizmet sağlayıcılara hizmet vermek üzere faaliyette bulunan Bakanlıkça yetkilendirilmiş şirketi ifade eder.
[2] Kuruluş: Yönetmeliğin 10/A maddesi uyarınca Bakanlıkça Ticari Elektronik İleti Yönetim Sistemini kurmakla yetkilendirilen kuruluşu ifade eder.