BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç ve kapsam
Bu Tebliğin amacı, ticari elektronik ileti onay ve ret bilgilerinin İYS’ye kaydedilmesine, bu işlemlerin İYS üzerinden entegratörler aracılığıyla veya hizmet sağlayıcılar tarafından gerçekleştirilmesine, entegratörlerin yetkilendirilmesi ve yetkilerinin iptaline dair usul ve esasları düzenlemektir.
Bu Tebliğ, hizmet sağlayıcıları, ticari elektronik ileti onay ve ret işlemlerinde bunlara hizmet veren entegratörleri ve İYS’yi kurmakla yetkilendirilen Kuruluşu kapsar.
Dayanak
Bu Tebliğ, 23/10/2014 tarihli ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 11 inci maddesinin birinci fıkrası, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinin 446 ncı maddesinin birinci fıkrasının (f) bendi ile 15/7/2015 tarihli ve 29417 sayılı Resmî Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğe dayanılarak hazırlanmıştır.
Tanımlar
Bu Tebliğde geçen;
Alıcı: Tüketiciyi ya da meslekî veya diğer amaçlarla hareket eden gerçek veya tüzel kişiyi,
Bakanlık: Ticaret Bakanlığını,
Elektronik ortam: Verilerin sayısallaştırılarak işlenmesi, saklanması ve iletilmesinin sağlandığı ortamı,
Entegratör: Ticari elektronik ileti gönderiminde, alıcılara ait onay ve ret bilgilerinin İYS’ye kaydedilmesi, İYS üzerinden onay alınması ve reddetme hakkının kullanılması hususlarında hizmet sağlayıcılara hizmet vermek üzere faaliyette bulunan Bakanlıkça yetkilendirilmiş şirketi,
Hizmet sağlayıcı: Ticari elektronik ileti gönderimi yapan veya adına gönderim yapılan İYS’ye kayıt olmakla yükümlü gerçek veya tüzel kişileri,
Kanun: 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu,
Kuruluş: Yönetmeliğin 10/A maddesi uyarınca Bakanlıkça Ticari Elektronik İleti Yönetim Sistemini kurmakla yetkilendirilen kuruluşu,
Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri,
Ticari Elektronik İleti Yönetim Sistemi (İYS): Ticari elektronik ileti onayı alınmasına, reddetme hakkının kullanılmasına ve şikâyet süreçlerinin yönetilmesine imkân tanıyan sistemi,
Yönetmelik: 15/7/2015 tarihli ve 29417 sayılı Resmî Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliği,
ifade eder.
İKİNCİ BÖLÜM
Entegratörlük Yetkisi
Yetkilendirme için aranan şartlar
Ticari elektronik ileti onay ve ret işlemlerinin İYS’ye kaydedilmesi veya bu işlemlerin İYS üzerinden gerçekleştirilmesi hususlarında hizmet sağlayıcılara entegratör olarak hizmet verilebilmesi için Bakanlıktan yetki alınması zorunludur. Söz konusu hizmetler, Bakanlıktan entegratörlük yetkisi alınmadan sunulamaz.
Entegratörlük yetkisi için müracaat edeceklerde aşağıdaki şartlar aranır:
13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununa göre anonim veya limited şirket şeklinde kurulması.
Ödenmiş sermayesinin en az bir milyon Türk lirası olması.
Anonim şirketlerde payların tamamının nama yazılı olması.
Şirket ortağı ve yöneticilerinin; rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama, terörizmin finansmanı, kaçakçılık, vergi kaçakçılığı ve bilişim suçlarından dolayı hüküm giymemiş olması.
Ticari defter ve kayıtlarını düzenli ve izlenebilir şekilde tutuyor olması.
Şirket bünyesinde ağ ve ağ güvenliği uzmanı, veri tabanı uzmanı, sistem uzmanı, kalite sistemleri uzmanı ve yazılım geliştirme uzmanı olmak üzere en az beş personelin doğrudan veya dışarıdan hizmet alımı yoluyla istihdam edilmesi.
ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesi ile Türk Akreditasyon Kurumu (TÜRKAK) tarafından akredite edilmiş bir belgelendirme kuruluşundan alınan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi ve ISO/IEC 27701 Kişisel Veri Yönetim Sistemi Belgesine sahip olması.
Başvuru tarihinden en çok üç ay öncesinde olmak kaydıyla, Türk Standardları Enstitüsü tarafından onaylı A veya B seviye sızma testi yapan kuruluşlarca sızma testinin yapılmış olması.
Teknik alt yapısının; ticari elektronik ileti onay ve ret işlemlerinde herhangi bir kesinti olmaksızın 7 gün 24 saat iş sürekliliğini sağlayabilecek yedekli yapıda olması, iz kayıt (log) mekanizmasına sahip olması, yetkisiz erişime karşı korunması, bünyesinde kullanılan tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanması ve senkronize şekilde çalışması.
Entegratörlük hizmetinde kullanılacak bilgi işlem sisteminin, yazılım, donanım ve sunucu alt yapısının Türkiye Cumhuriyeti sınırları içerisindeki bir veri tabanında bulunması.
Başvuru için gerekli belgeler
- Entegratörlük yetkisi için EK-1’deki başvuru formu ile Kuruluşa müracaat edilir. Başvuru formuna aşağıdaki belgeler eklenir:
- Sicil tasdiknamesi.
- Güncel şirket esas sözleşmesi.
- Serbest muhasebeci mali müşavir, yeminli mali müşavir veya bağımsız denetim kuruluşunca onaylı son bir yıla ait finansal tablolar.
- Ortak ve yöneticilerin, 4 üncü maddenin ikinci fıkrasının (ç) bendinde belirtilen şartları haiz olduklarına dair yazılı beyanları ile gerekli görülmesi halinde bu şartların sağlandığını ispatlayıcı bilgi ve belgeler.
- Şirketin, 4 üncü maddenin ikinci fıkrasının (d) bendinde belirtilen şartları sağladığına ilişkin temsile yetkili kişilerce imzalanmış beyan ile gerekli görülmesi halinde bu şartların sağlandığını ispatlayıcı bilgi ve belgeler.
- Şirket yönetim organınca onaylı organizasyon şeması, şirket bünyesinde çalışan personelin isim, ünvan ve eğitim durumlarını ihtiva eden liste ile 4 üncü maddenin ikinci fıkrasının (e) bendinde belirtilen personelin ilgili alanda uzmanlığını gösterir belgeler.
- 4 üncü maddenin ikinci fıkrasının (f) ve (g) bentlerinde belirtilen belgeler ile (ğ) ve (h) bentlerindeki şartların sağlandığını tevsik edici bilgi ve belgeler.
- Kuruluş, birinci fıkrada belirtilen belgeleri ilgili kurumların erişime açık elektronik sistemlerinden, bunun mümkün olmaması halinde ise bu belgeleri başvuru sahibinden temin eder.
Yetki verilmesi
Entegratörlük yetkisi için başvuru Kuruluşa yapılır. Kuruluş, başvuruyu şekil ve içerik açısından ön incelemeye tabi tutarak, eksiksiz ve uygun olanları başvuru tarihinden itibaren otuz gün içinde Bakanlığa gönderir. İhtiyaç halinde başvuru sahibi açıklama yapmak üzere Bakanlığa çağrılabilir. Talep edilmesi halinde ek bilgi ve belgeler Bakanlığa sunulur. Yapılan değerlendirme sonucunda gerekli şartları taşıdığı anlaşılanlara Bakanlıkça entegratörlük yetkisi verilir ve bu yetki devredilemez.
Entegratörlük yetkisi alanlar, Bakanlıkça Kuruluşa bildirilir. Kuruluş, entegratör ile entegratörün İYS’ye uzaktan erişimi de dâhil tüm teknik, idari ve mali usul ve esasları düzenleyen, bir sözleşme tesis edilmesini sağlar. Kuruluş, sisteme entegre edilen entegratörlerin listesini güncel olarak İYS’nin internet sayfasında yayımlar.
Entegratör ile hizmet sağlayıcı ilişkisi
Hizmet sağlayıcı, elektronik iletişim adreslerine ticari elektronik ileti göndermek üzere alıcılardan aldığı onay ve ret bilgilerinin İYS’ye kaydını veya bu işlemlerin İYS üzerinden gerçekleştirilmesini doğrudan kendisi yapabileceği gibi entegratörler aracılığıyla da yapabilir. Söz konusu hizmetler, entegratörlük yetkisi olmayanlara gördürülemez.
Hizmet sağlayıcı, birinci fıkrada öngörülen işlemler için hizmet alacağı entegratörü İYS üzerinden belirler ve bu şekilde belirlenen entegratör hizmet sağlayıcının verilerine erişim yetkisi kazanır.
Entegratör, entegratörlük hizmeti süresi içinde depolamış olduğu verilere hizmet sağlayıcının erişim sağlamasına, entegratörlük hizmetinin herhangi bir şekilde sona ermesi veya entegratörlük yetkisinin iptali de dâhil olmak üzere bu verilerin hizmet sağlayıcı tarafından hiçbir gerekçe göstermeksizin, bedelsiz ve etkin şekilde taşınmasına teknik imkân sağlar. Hizmet sağlayıcının veriye erişim ve veri taşıma talepleri entegratör tarafından en geç on beş gün içinde karşılanır.
ÜÇÜNCÜ BÖLÜM
Entegratörün Yükümlülükleri ile Entegratörlük Yetkisinin İptali
Entegratörlük hizmetinin mevzuata uygunluğu
Entegratör, entegratörlük hizmetini Kanun, Yönetmelik, bu Tebliğ ve 6 ncı maddenin ikinci fıkrasında akdedilen sözleşme hükümlerine uygun olarak yerine getirmekle; alıcıların, hizmet sağlayıcıların ve kamunun menfaatine aykırı düşecek veya zararına yol açacak şekilde hareket etmemekle yükümlüdür.
Teknik yükümlülükler
Entegratör, entegratörlük hizmetinin verilmesinde İYS’nin güvenliğini tehlikeye düşürebilecek ve/veya İYS’ye zarar verebilecek işlemlerden kaçınmak, yetkisiz erişimlere ve siber saldırılara karşı gerekli ağ ve sistem güvenliğini oluşturmak, asgari yedekleme ve felaketten kurtarma planlarına sahip olmak, her türlü işlemin kaydını tutmak ve Kuruluşun yapılmasını sağladığı sözleşmede öngörülen diğer idari ve teknik tedbirleri almakla yükümlüdür.
Bakanlık, birinci fıkrada öngörülenler dışında ilave yükümlülükler belirlemeye, ulusal ve uluslararası standartlara uyma zorunluluğu getirmeye yetkilidir.
Kişisel verilerin korunması
Entegratör, bu Tebliğ çerçevesinde yapmış olduğu işlemler ve sunduğu hizmetler nedeniyle elde ettiği kişisel verilerin muhafazası ile bu verilere hukuka aykırı olarak erişilmesini ve amacı dışında kullanılmasını önlemeye yönelik her türlü teknik ve idari tedbirin alınmasından ilgili mevzuat çerçevesinde sorumludur.
Hizmet sağlayıcı, kişisel verilerin kendi adına entegratör tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda entegratörle birlikte müştereken sorumludur.
Ticari sır niteliğindeki bilgilerin korunması
Entegratör, entegratörlük hizmeti sırasında öğrenmiş veya edinmiş olduğu hizmet sağlayıcıya ait ticari sır niteliğindeki bilgilerin güvenliğinden ve gizliliğinden sorumlu olup bu bilgileri, amacı dışında kullanamaz ve hizmet sağlayıcının yazılı izni olmaksızın Bakanlık ve ilgili diğer kamu kurum ve kuruluşları dışında üçüncü kişilerle paylaşamaz.
Kayıtları saklama yükümlülüğü
Entegratör, ticari elektronik ileti göndermek üzere alıcılardan alınan onay ve ret bilgilerini saklaması durumunda, bunların ibrazından hizmet sağlayıcı ile birlikte müteselsilen sorumludur.
Entegratörlük yetkisinin iptali
Bu Tebliğdeki yükümlülüklere aykırı hareket eden veya 4 üncü maddenin ikinci fıkrasında öngörülen şartlardan herhangi birini kaybeden entegratöre Kuruluş tarafından, aykırılığın giderilmesi için otuz gün süre verilir. İlgilinin talebi üzerine bir defaya mahsus olmak üzere otuz güne kadar ek süre verilebilir. Verilen süre içinde aykırılığın giderilememesi veya şartların yeniden sağlanamaması halinde entegratörlük yetkisi, Kuruluşun bildirimi üzerine Bakanlık tarafından iptal edilir. Bu durum Kuruluşça, entegratörün hizmet verdiği hizmet sağlayıcılara İYS üzerinden veya yazılı olarak gecikmeksizin bildirilir.
Birinci fıkra kapsamında yetkisi iptal edilen entegratör, iptal tarihinden itibaren otuz gün boyunca yalnızca iptal tarihi itibarıyla hizmet verdiği hizmet sağlayıcıların iş ve işlemlerini yürütür. Bu sürenin sonunda Kuruluşça entegratörlük hizmeti durdurulur.
Birinci fıkra kapsamında yetkisi iptal edilen entegratör, bir yıl geçmedikçe yeniden entegratörlük yetkisi için başvuruda bulunamaz. Bu hüküm, entegratörlük yetkisi iptal edilen şirketin ortakları ve/veya yöneticilerinin doğrudan ya da dolaylı olarak ortağı yahut yöneticisi olduğu şirketler hakkında da uygulanır.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Hizmet sağlayıcının İYS’ye entegrasyonu
Hizmet sağlayıcı, Kuruluşun yapılmasını sağlayacağı sözleşmeye istinaden kendi bilişim sistemlerini İYS’ye entegre etmek suretiyle ticari elektronik ileti onay ve ret bilgilerini İYS’ye kaydedebilir veya bu işlemleri doğrudan İYS üzerinden gerçekleştirebilir.
Ticari elektronik ileti onay ve ret işlemlerinin doğrudan İYS üzerinden yapılması durumunda, onayın alındığına ilişkin ispat yükümlülüğü Yönetmeliğin 7 nci maddesinin onuncu fıkrası gereği hizmet sağlayıcıya ait değildir.
Denetim ve ceza hükümleri
Bakanlık, bu Tebliğ kapsamında yetkilendirilen entegratörlerin gerçekleştirdiği faaliyet ve işlemleri denetlemeye yetkilidir. Yönetmeliğin 16 ncı maddesinin ikinci ve üçüncü fıkraları, entegratörlerin denetiminde de uygulanır.
Entegratör, 4 üncü maddenin ikinci fıkrasının (g) bendinde belirtilen şirketlere her takvim yılı içinde en az bir defa sızma testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin doğrulama testi yaptırır. Kuruluş doğrudan veya Bakanlığın talebi üzerine son testin üzerinden bir yıl geçmemiş olsa dahi entegratörden söz konusu testleri yaptırmasını isteyebilir. Test sonuçları, rapor tarihinden itibaren en geç on beş gün içinde Kuruluşa gönderilir.
Bu Tebliğe aykırı hareket edenler hakkında Kanunun 12 nci maddesinde öngörülen idari para cezaları Bakanlıkça uygulanır.
Kuruluşun yükümlülüğü
Kuruluş, 15 inci maddenin ikinci fıkrasında öngörülen test sonuçlarının değerlendirilmesi de dâhil olmak üzere bu Tebliğin uygulanmasıyla ilgili hususlarda her yılın haziran ayı sonuna kadar Bakanlığa rapor gönderir.
Kuruluş, entegratörlerin Kanun, Yönetmelik ve bu Tebliğ hükümlerine uyumunu gözetir.
Geçiş hükümleri
Bu Tebliğin yürürlüğe girdiği tarih itibarıyla ticari elektronik ileti onay ve ret işlemlerinde hizmet sağlayıcılara hizmet verenlerden entegratörlük yetkisi almak isteyenler, bu Tebliğin yürürlüğe girdiği tarihten itibaren gerekli belgelerle birlikte Kuruluşa başvurabilir. Başvuru işlemleri 6 ncı maddeye göre yürütülür. Bu Tebliğin yürürlüğe girdiği tarihi takip eden altıncı ayın sonuna kadar Bakanlıktan entegratörlük yetkisi almayanlar, hizmet sağlayıcı adına ticari elektronik iletilere ilişkin hiçbir işlem tesis edemez ve İYS üzerinden herhangi bir işlem gerçekleştiremez.
Yürürlük
Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
Bu Tebliğ hükümlerini Ticaret Bakanı yürütür.