TR EN AR FA
 

“ELEKTRONİK HABERLEŞME SEKTÖRÜNDE BAŞVURU SAHİBİNİN KİMLİĞİNİN DOĞRULANMA SÜRECİ HAKKINDA YÖNETMELİK” HAKKINDA BİLGİLENDİRME NOTU

26/06/2021 tarih ve 31523 sayılı Resmi Gazetede yayımlanan ve 31/12/2021 tarihinde yürürlüğe girecek olan Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik (“Yönetmelik”) ile elektronik haberleşme sektöründe başvuru sahibinin kimliğinin doğrulanmasına ilişkin detaylı düzenlemeler getirilmiştir.

İşbu inceleme konusu Yönetmeliğin temeli elektronik haberleşme sektöründe abonelik sözleşmesi, numara taşıma başvurusu, işletmeci değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu ve SIM değişikliği başvurusu işlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması amacıyla uygulanacak sürece ilişkin usul ve esasları düzenlemektir.

Yönetmelikte “başvuru sahibi” ile kendisi veya temsile yetkili olduğu gerçek veya tüzel kişi adına Yönetmelik kapsamındaki işlemler için başvuru yapan gerçek kişi, “hizmet sağlayıcı” ile elektronik sertifika hizmet sağlayıcısını veya kayıtlı elektronik posta hizmet sağlayıcısı, “işletmeci” ile yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket ifade edilmektedir.

Yönetmeliğin uygulanmasında; başvuru sahibinin Yönetmelikte tanımlı işlemlerinin güvenli ve etkin yöntemlerle yapılmasının sağlanması, sahtecilik, dolandırıcılık gibi güvenlik riski içeren şüpheli işlemlerin önlenmesi, ulusal ve uluslararası standartların dikkate alınması, azami ölçüde milli kaynakların kullanılması, milli güvenlik ve kamu düzeni gerekleri ile acil durum ihtiyaçlarının gözetilmesi ve tüketici hak ve menfaatlerinin gözetilmesi gibi pek çok ilkeler dikkate alınmaktadır.

Yönetmeliğin 5. maddesinde kimlik doğrulama işlemine ilişkin hususlar düzenlemiş olup; buna göre işletmeci ve hizmet sağlayıcılar Yönetmelik kapsamındaki işlemleri yüz yüze kanallardan, kendi internet sitesinden, mobil uygulamalardan veya benzeri mecralar üzerinden elektronik ortamda güvenli bir şekilde başvuru sahibine sunabilirler. Başvuru sahibinin kimlik doğrulama işlemi, e-Devlet Kapısı, ICAO 9303 standardına uygun yakın alan iletişimi özelliği olan belge ile birlikte yapay zeka veya yetkili marifetiyle görüntülü doğrulama, TCKK ile birlikte PAdES oluşturma ve yüz yüze kanallarda başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alma yöntemleri vasıtasıyla yapılabilir.

Yönetmelik ile işletmeci/hizmet sağlayıcısının, başvuru sahiplerinin kimlik doğrulama bilgilerinin bilgi sistemlerinde, şifreli veya matematiksel olarak geriye dönüştürülmesi mümkün olmayan yöntemlerle muhafaza edilmesine, kimlik doğrulama amacıyla aktarılırken şifrelenmesine, işlemin amacına, yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunmasına ve bilgi sistemlerinde gerçekleştirilen tüm süreçlere ilişkin işlem kayıtlarının gizliliği, güvenliği ile bütünlüğünün sağlanarak tutulmasına ilişkin önlemleri alacağı düzenlenmiştir.

Yönetmelik e-devlet kapısı ile de kimlik doğrulamasının yapılabileceğini düzenlemektedir. Yönetmeliğin 6. maddesine göre, başvuru sahibinin kimlik doğrulamasının, e-devlet kapısı vasıtasıyla yapılması halinde başvuru sahibi, e-devlet kapısına; güvenli elektronik imza, TCKK, internet bankacılığı veya mobil bankacılık yöntemlerinden birisi ile giriş yapmalıdır. e-Devlet Kapısı tarafından e-Devlet Kapısına giriş yapan başvuru sahibine; işletmeci tarafından iletilen; KN, adı, soyadı, işlem türü, işlemi özgüleyen hizmet numarası ve işlem belgesinde ilgili mevzuat kapsamında yer alması gereken bilgiler, e-Devlet kapısı üzerinde kayıtlı başvuru sahibinin doğrulanmış irtibat numarası ve elektronik posta adresi gösterilerek, onayı alınır ve bahse konu bilgiler için başvuru sahibinin kimliğini doğruladığı bilgisi ve doğrulanmış irtibat numarası ve elektronik posta adresi işletmeciye/hizmet sağlayıcıya iletilir. Yönetmelik, e-Devlet Kapısı ile işletmeci/hizmet sağlayıcıda bulunan bilgilerde farklılık olması halinde e-Devlet Kapısı kayıtlarının esas alınacağını düzenlemektedir.

Yönetmeliğin 7. maddesinde yapay zeka veya yetkili ile görüntülü kimlik doğrulama yöntemi düzenlenmiştir. İşletmeci/hizmet sağlayıcısı, kimlik doğrulamada kullanılacak görüntülü yöntemde olası teknolojik, operasyonel ve benzeri riskleri göz önünde bulundurarak gerekli güvenlik tedbirlerinin alınmasını sağlamalıdır. Görüntülü kimlik doğrulaması gerçek zamanlı ve kesintisiz şekilde yapılmaktadır. İşletmeci/hizmet sağlayıcı, kimlik doğrulama sürecine ilişkin görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin sağlanması için gerekli tedbirleri alacaktır. Bu amaç çerçevesinde, yapılan görüntülü doğrulama uçtan uca güvenli iletişim ile gerçekleştirilir. Kimlik doğrulamasının görüntülü yapılması durumunda, başvuru sahibi irtibat numarası veya elektronik posta adresini beyan eder. Bu numara veya elektronik posta adresine tek kullanımlık parola veya link gönderilerek, beyan edilen iletişim bilgisinin kullanıldığı teyit edilir. Başvuru sahibinin, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında açık rızası olmaksızın görüntülü kimlik doğrulaması yapılamaz. Görüntülü kimlik doğrulaması yapılmadan önce aydınlatma yükümlülüğü, 6698 sayılı Kanunun ilgili hükümlerine riayet edilerek ve açık rıza alınması işleminden ayrı bir şekilde yerine getirilir. Başvuru sahibinin açık rızası alınırken e-Devlet Kapısı veya yüz yüze kanallar vasıtasıyla da elektronik ortamda kimlik doğrulama işlemi yapılabileceği açıkça belirtilir. Başvuru sahibinin kimlik belgesinin üzerindeki fotoğraf da dâhil olmak üzere kimlik bilgileri, yakın alan iletişimi yöntemiyle alınır.

Başvuru sahibi tarafından sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulama, görüntülü kimlik doğrulama sürecinin bir parçası olarak gerçekleştirilir. Görüntülü kimlik doğrulama sırasında başvuru sahibinin canlılığını tespit edici teknikler kullanılmaktadır. Kimlik ibraz eden başvuru sahibinin hazırda bulunduğunun teyidi amacıyla, başvuru sahibinin yüzünün, tam ve net olarak görülebileceği aydınlık ortamda, gözlerinin açık olduğu şekilde farklı açılardan kamera görüntüsü alınır. İşletmeci/hizmet sağlayıcı hazırda bulunan başvuru sahibinin alınan canlı görüntüsündeki yüzü ile kimlik belgesinde yer alan fotoğrafın karşılaştırmasını yapay zekâ yöntemi ileyapar.

Görüntülü kimlik doğrulama sırasında başvuru sahibinin, oluşacak olan işlem belgesine özgülenmek üzere “Ben olarak numaralı hizmetin işlemi için kimliğimin doğrulanmasını itibarıyla onaylıyorum” ifadesini kesintisiz bir şekilde okuması sağlanacaktır.

Yönetmelik, 7. maddesinde görüntülü kimlik doğrulama sırasında başvuru sahibi tarafından sunulan belgelerin geçerliliği hususunda ya da sahtecilik veya dolandırıcılık teşebbüsünden şüphe edilmesi durumunda, görüntülü kimlik doğrulama sürecinin sonlandırılacağını düzenlemektedir. Bu kapsamda, kimlik avına ve benzeri sahtekârlık yöntemlerinin önlenmesine ilişkin gerekli tüm tedbirler işletmeci/hizmet sağlayıcı tarafından alınmalıdır.

Yönetmelik, görsel doğrulama yapmanın ve/veya başvuru sahibi ile iletişim kurmanın mümkün olmadığı hallerde kimlik doğrulama sürecinin iptal edileceğini, süreçte herhangi başka bir tutarsızlık veya belirsizlik bulunması durumunda da bu hükmün uygulanacağını düzenlemiştir. Yönetmelik uyarınca, kimlik doğrulama işlemlerinde başvuru sahibinin doğru tespit edilmesi işletmecinin/hizmet sağlayıcının sorumluluğundadır.

Yönetmeliğin 8. maddesinde, Yönetmelik kapsamındaki işlemlerin işletmeci/hizmet sağlayıcı veya adına iş yapan temsilcisi ile başvuru sahibi arasında yüz yüze kanallarda elektronik ortamda gerçekleştirebileceği düzenlenmiştir. Bu işlem, başvuru sahibinin TCKN’si ile PDF ile PAdES-LTV oluşturmak suretiyle gerçekleştirilir. Buna alternatif olarak; başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alınarak da kimlik doğrulanabilir. Bu durumda da işletmeci/hizmet sağlayıcının birtakım yükümlülüklerinin olduğu Yönetmelik ile düzenlenmiştir. Başvuru sahibinin kişisel verilerinin işlenmesine dair Yönetmeliğin 7. maddesinde yer alan işlem uygulanır. Başvuru sahibinden onay alınması halinde, kameranın önünde başvuru sahibinin yüzü ile birlikte görünecek şekilde kimlik belgesinin ön ve arka tarafını göstermesi sağlanır. Kullanılan kimlik belgesindeki fotoğrafın ve başvuru sahibinin yüzünün aynı kişiye ait olduğu teyit edilir. Başvuru sahibine işlem belgesi gösterilerek, bu gösterime ilişkin ekran video görüntüsü, başvurusu sahibinin yüzünün tanınır bir şekildeki görüntüsünü de içerecek şekilde eş zamanlı olarak kaydedilir. Bu video kaydı işlem belgesinin PDF versiyonu içerisine dercedilir. Kimlik doğrulamanın yüz yüze yapılması durumunda ise başvuru sahibinin irtibat numarası veya elektronik posta adresini beyan etmesinin ardından bu numara veya elektronik posta adresine tek kullanımlık parola veya link gönderilerek, beyan edilen iletişim bilgisinin kullanıldığı teyit edilir.

Yönetmeliğin 9. maddesinde, Yönetmelik kapsamındaki tüm işlemler için işletmeci/hizmet sağlayıcının, kimlik doğrulaması yapılan işlem belgesinin tanzimine dair ilgili mevzuatta yer alan yükümlülükleri yerine getireceği, bu Yönetmelik kapsamındaki kimlik doğrulamaya ilişkin sürecin tüm adımlarını içerecek şekilde elde ettiği bilgiler ile birlikte sair mevzuatla belirlenmiş diğer bilgileri işlem belgesine dercederek PDF dosyasını oluşturacağı, bu PDF için başvuru sahibinin onayını alacağı düzenlenmiştir.

Yönetmeliğin 10. maddesinde işletmeci/hizmet sağlayıcıların, Yönetmelik kapsamında elde ettiği bilgi, belge ve işlem kayıtlarının güvenliğini sağlamak için 5809 sayılı Elektronik Haberleşme Kanunu’na, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve sair ilgili mevzuat ile ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbirleri alacağı düzenlenmiştir. Yönetmelik ile belirlenen yükümlülüklerin yerine getirilmemesi halinde, idari yaptırım konusunda 5070 sayılı Kanunun 18. ve 19. maddeleri ile Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanacaktır.

Yukarıda detaylıca açıklandığı üzere, Yönetmelik ile elektronik haberleşme sektöründe başvuru sahibinin kimliğinin doğrulanmasına ilişkin birkaç farklı yöntem mevcut olup bu yöntemler kapsamında işletmeci/hizmet sağlayıcının başvuru sahibinin kişisel verilerinin korunması da dâhil olmak üzere pek çok konuda sorumluluğu bulunmaktadır. Bu Yönetmelik, pandemi sürecinde bankacılık sektörü gibi farklı alanlarda getirilen uzaktan sözleşme kurma imkanları ile paralel olarak haberleşme sektöründe de uzaktan sözleşme kurulması imkanını getirmektedir.

Saygılarımızla, 27/07/2021

YYP Law Office

Yol Tarifi