KAYITLI ELEKTRONİK POSTA

PDF olarak indirmek için tıklayınız

Bu sayfada, kayıtlı elektronik posta (KEP) sistemi, işleyişi ve uygulamaları hakkında genel bilgi verilmekte, Türkiye’deki Yeni Türk Ticaret Kanunu ve Bilgi Teknolojileri ve İletişim Kurumu tarafından çıkarılan Yönetmelik ve Tebliğ düzenlemelerini içeren KEP mevzuatı ile kayıtlı elektronik posta hizmet sağlayıcılığı (KEPHS) hakkında ayrıntılı bilgi sunulmaktadır.

 

1. Genel

Elektronik posta (e-posta), internetin yaygınlaşması, her türlü bilgi ve belgenin  kolaylıkla iletilebilmesi ve düşük maliyetli olması nedeniyle ülkemizde ve tüm dünyada en yoğun kullanılan iletişim araçlarından ve kanallarından biri haline gelmiştir. E-posta yoluyla iletilen özellikle resmi ve ticari belgelerin ve yazıların gönderici ve alıcı açısından teknik güvenilirliği ve yasal geçerliliği büyük önem taşımaktadır.

 

Kayıtlı Elektronik Posta (KEP) (Registered E-Mail: REM), yasal olarak geçerli ve teknik olarak güvenli elektronik posta olarak kabul edilmektedir. Standart elektronik posta (SEP) ile iletişim/belge paylaşımı yasal geçerli olarak ve teknik olarak güvenli kabul edilmeyen, iletimin kesin olarak sağlanamadığı ve inkar edilebilen bir iletişim şeklidir. KEP, e-imza ve zaman damgası kullanılarak, bir elektronik postanın iletildiğini garanti altına almayı, gönderen ve alan tarafların kim olduklarının bilinmesini, gönderilen iletinin ne olduğunun, içeriğinin başkalarınca değiştirilmediğinin ve gönderim zamanının kesin olarak tespit edilmesini sağlamaktadır. KEP, elektronik posta yoluyla yasal geçerli ve teknik olarak güvenli bir şekilde e-belge paylaşımını sağlayabilen ve bu işlemlerle ilgili kesin delil sağlayabilen tek araçtır.

 

KEP sisteminin yasal altyapısı, ülkemizde de 13/1/2011 tarihli ve 6102 sayılı Yeni Türk Ticaret Kanunu (18. ve 1525. Maddeleri) ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından 25 Ağustos 2011 tarihli Resmi gazetede yayımlanan ikincil düzenlemeler (Yönetmelik ve Tebliğ) ile tamamlanmıştır. KEP sistemi, yasalar ve ilgili mevzuata uygun ve başta ETSI TS 102 640 standardı olmak üzere uluslararası KEP, bilgi güvenliği, ortak kriterler, iş sürekliliği ve olay yönetimi standartlarına uyumlu olarak altyapısını kurmuş ve BTK’dan yetki almış kayıtlı elektronik posta hizmet sağlayıcıları (KEPHS) tarafından işletilecektir. KEPHS’lar, ilgili yasal mevzuat ve ikincil düzenlemeler kapsamında, düzenleyici ve denetleyici otorite tarafından denetlenen güven kurumlarıdır. Ülkemizde KEPHS’lar, BTK tarafından denetleneceklerdir.

 

Ülkemizdeki bir KEPHS, kayıtlı elektronik posta sistemini kuran ve işleten bir anonim şirket veya PTT olabilecektir. KEPHS olmak isteyen kurumlar, 1 Mayıs 2012 tarihinden itibaren yetki almak için BTK’na bildirimde/başvuruda bulunabilecek ve 1 Temmuz 2012’den itibaren de faaliyete geçebileceklerdir. Böylelikle KEP ülkemizde 1 Temmuz 2012 tarihinden itibaren uygulamaya geçecektir.

 

2. KEP Sistemi

KEP sistemi ile elektronik ortamda yapılan gönderilerin ne zaman yapıldığı, göndericinin ve alıcının kim olduğu ve gönderilen iletinin ve eklerinin ne olduğu, güvenli e-imza ve zaamn damgası kullanılarak kesin olarak tespit edilebilmektedir. Sistem içerisinde yer alan taraflar arasında, gönderici taraf iletinin kendisi tarafından gönderilmediğini, alıcı taraf da kendisine ulaşmadığını ve iletim zamanını inkar edememektedir. Kayıtlı elektronik posta (KEP), Yönetmelikte “elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli şekli” olarak tanımlanmakta ve KEP iletisi de “KEP sistemi içerisinde KEPHS tarafından üretilen KEP delilini içeren ve KEPHS’nin işlem sertifikası ile imzalanmış ileti” olarak ifade edilmektedir.

 

KEP sistemi ise şu şekilde tanımlanmaktadır: “KEP sistemi, elektronik iletişim platformları aracılığıyla gerçekleşen, gönderildi ve alındı onayları da dâhil olmak üzere KEP iletilerinin tüm süreçlerine ilişkin olarak KEP delili oluşturulması, güvenli bir şekilde kimlik tespiti yapılması, KEP hesabı, KEP rehberi ve arşiv hizmetleri verilmesi gibi işlevlere sahip sistemdir”. KEP sisteminde, standart e-posta adresleri kullanılmamakta, yetkili KEPHS tarafından, hesap sahibinin resmi belgelere dayanılarak kimlik bilgileri alınarak tahsis edilen/sağlanan kayıtlı e-posta adresleri kullanılmaktadır.

 

KEP sistemi, bir elektronik iletinin tarafları veya muhatapları arasında KEP hesabı vasıtasıyla hukukî ve teknik güvenliğe sahip bir şekilde gönderilip alınmasını sağlamak ve güvenli iletişimde bulunmak gibi amaçlarla kullanılır.  KEP hesabının, hesap sahibi tarafından kendi nam ve hesabına kullanılması esastır. Hesap sahibinin tüzel kişi olduğu durumlarda; KEP hesabı, Yönetmelik hükümlerinde belirtilen şekilde yetki verilmiş olan işlem yetkilisi tarafından hesap sahibinin nam ve hesabına kullanılır.  KEP hesabı kullanılarak yapılabilecek işlemler ve sonuçları KEPHS ile hesap sahibi arasında imzalanan sözleşme veya taahhütname ile belirlenir. Hesap sahibinin ya da işlem yetkilisinin, KEP hesabına erişerek gelen iletileri kontrol etmesi esastır. Mücbir sebep hâlleri dışında KEP hesabına erişilmemesi durumunda o işgünü içinde gelen iletinin ertesi işgünü hesap sahibine ulaştığı ve okunduğu kabul edilir. KEP hesabı kullanılarak gerçekleştirilen tüm işlemlere ilişkin hukukî sonuçlar hesap sahibi üzerinde doğar.

 

KEP adresi sahibi gerçek veya tüzel kullanıcıların (gönderici veya alıcı), gerçekten o ikişi olduklarının adres tahsisi/sağlanması aşamasında tespit edilmesi, hesap sahibinin KEP adresiyle ilgili yükümlülüklerinin ve sorumluluklarının farkında olması ve bunları bir sözleşme ve taahhütnameyi bizzat imzalayarak beyan etmesi büyük önem arz etmektedir.  Mevzuatımıza göre, KEP sisteminde “gönderici” gerçek veya tüzel kişilerin, 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat çerçevesinde nitelikli elektronik sertifika (NES) sahibi olması ve KEP adreslerinin kullanıma açılmasını güvenli e-imzaları ile onaylaması ve KEP gönderilerinde güvenli e-imza kullanması zorunludur. “Alıcı”ların güvenli e-imza sahibi olma zorunluluğu yoktur, elle atılan ıslak imzalarıyla veya güvenli e-imza ile KEP hesaplarının kullanıma açılmasını onaylayabilirler.

KEP sistemine ilişkin dünyadaki ilk standart, (ETSI TS 102 640) Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından, ilk önce 20 Kasım 2008 tarihinde üç bölüm halinde taslak bir çalışma olarak yayınlanmıştır. Standardın yayımlanan ilk üç bölümü güncellenmiş olarak, ilave olarak 4 ve 5. Bölümleriyle birlikte tamamlanarak 5 bölüm halinde ilk resmi sürüm olarak Ocak 2010 tarihinde yayımlanmıştır [3].

ETSI TS 102 640 satandardının 5 bölümünün başlıkları şöyle tercüme edilebilir: KEP Sistem Mimarisi, KEP’nın İmzalanmış Delilleri için Veri Gereksinimleri ve Formatları, KEP Yönetim Alanı için Bilgi Güvenliği Politika Gereksinimleri, KEP Yönetim Alanı Değerlendirme Profilleri, KEP Yönetim Alanı Birlikte Çalışabilirlik Profilleri.

 

3. KEPHS

Kayıtlı elektronik posta sisteminde gönderilen ve alınan e-postalar, “güvenilir üçüncü taraf” rolünde olan, ilgili otoriteden (ülkemizde BTK’ndan) yetki almış ve denetlemelere tabi bir güven kurumu niteliğindeki “kayıtlı e-posta hizmet sağlayıcı (KEPHS)”sı üzerinden geçmektedir. Başka bir deyişle, KEP sistemi yetkili KEPHS’lar tarafından işletilmektedir. Yönetmeliğe göre, KEPHS’nın KEP sistemi üzerinden sunduğu hizmetlere ilişkin olarak oluşturduğu kayıtlar ile KEP delilleri senet hükmündedir ve aksi ispat edilinceye kadar kesin delil sayılmaktadır. KEPHS’lar, KEP sisteminin tüm süreçlerine ve işleyişine ilişkin bilgi, belge ve elektronik veriler ile, işlemlerin yapıldığı zamana ve işlemleri yapan kişiye veya kişilere ait bilgileri içeren kayıtları, gizliliğini, bütünlüğünü ve erişilebilirliğini koruyarak en az yirmi yıl süreyle saklamakla yükümlüdürler.

 

KEPHS’lar; güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek, hizmetlerin belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmak ve bu sistemlerde kişisel verilerin korunmasına ve bilgi güvenliğinin, iş sürekliliğinin ve olay yönetiminin sağlanmasına ilişkin BTK tarafından çıkarılan ikincil düzenlemelerde belirlenen kurallara ve koşullara uymak ile yükümlüdür. KEPHS, KEP sistemine ilişkin ana ve yedek sistemlerini Türkiye Cumhuriyeti sınırları içerisinde bulundurmak zorundadır. KEPHS’nın gönderilerin iletimi işlemlerinin yanında ikinci en önemli temel işlevi KEP delillerini üretmesi ve hesap sahibinin veya işlem yetkilisinin talep etmesi hâlinde gerçek zamanlı olarak doğrulanmasını sağlamaktır.

 

KEPHS’nin ortakları, yöneticileri ve istihdam ettiği veya ettirdiği personeli; Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezası almamış ya da affa uğramış olsa bile devletin güvenliğine karşı suçlardan, Anayasal düzene ve bu düzenin işleyişine karşı suçlardan, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama veya kaçakçılık suçlarından hüküm giymemiş olmalıdır. Bu kriterler, KEPHS’nin tüzel kişi ortaklarının yöneticileri için de aranmaktadır. KEPHS; bilgi güvenliği, veri tabanı yönetimi, bilgisayar ağları ve veri koruması gibi alanlarda konusunda yeterli meslekî deneyime sahip ya da ilgili alanlarda eğitim almış yeteri kadar teknik personel bulundurmak ve altyapısının/sistemlerinin bulunduğu bina veya alanın korunmasını sağlamakla yükümlüdür.

 

KEPHS, kayıtlı e-posta sisteminde çok önemli işlevi olan e-imza ve zaman damgası işlemleri için bağımsız/harici bir ESHS’dan hizmet alması gerekmektedir. KEPHS’nın güvenli e-imza sertifikasını (nitelikli elektronik sertifika) ve zaman damgasını kendi içinde üretmesi güvenilirlik açısından uygun görülmemektedir. Aynı nedenle, ESHS’larının kayıtlı elektronik posta hizmeti vermesi de uygun görülmemektedir. Bu açıdan bakıldığında, ESHS’larının KEPHS, KEPHS’larının da ESHS olmasının güvenilir üçüncü taraf konseptine aykırı olduğu için uygun olmadığı değerlendirilmektedir. Kayıtlı elektronik posta hizmet sağlayıcısının hizmetlerine ilişkin işlem verilerini imzalamak için kullandığı nitelikli elektronik sertifika Yönetmelikte “işlem sertifikası” olarak tanımlanmıştır. KEPHS’lar, kurumsal güvenli e-imzalama işlemlerini yürütmelerini sağlayacak, bu işlem sertifikalarını, ülkemizdeki yetkili ESHS’larından birinden temin etmek zorundadırlar. Aynı şekilde KEPHS’ları KEP gönderim işlemlerini yürütürken, işlem zamanının kesin olarak belirlenebilmesini sağlamak için, zaman damgası hizmetlerini de yine yetkili ESHS’larından temin etmek zorundadırlar.

 

KEPHS, ETSI TS 102 640 standardında tarif edilen “sakla-ilet” (store&forward) veya “sakla-bildir” (store&notify) modellerinden en azından birinde hizmet vermek zorundadır.  KEP iletilerinin, alıcının veya göndericinin KEP hesaplarına doğrudan ulaştırıldığı KEP çalışma modeli sakla-ilet olarak tanımlanmaktadır. Sakla-bildir ise, KEP iletilerinin KEPHS’nın sistemlerinde tutulduğu ve alıcının ya da göndericinin söz konusu iletilere erişebilmesini temînen KEP hesaplarına bir bağlantı (link) adresinin ulaştırıldığı modeli ifade etmek için kullanılmaktadır.

 

KEPHS, gönderilerin içeriğinin kopyasını tutmamakta veya saklamamaktadır, sadece iletim işlemlerini gerçekleştirmekte ve bu işlemlerle ilgili delilleri üretip sağlamaktadır. KEPHS, KEP sistemi içerisinde bir elektronik iletinin gönderilmesi ve alınması dışında elektronik belgelerin saklanması, güvenli iletişim ve elektronik ortamda güvenilir üçüncü taraf hizmetleri gibi katma değerli hizmetler sunabilir. Gönderilerin KEPHS tarafından da saklanması ancak göndericinin izniyle mümkün olabilir ve katma değerli bir hizmet olduğundan ayrı bir anlaşma gerektirir. Her tüzel veya gerçek kişi kullanıcı mutlaka aynı KEPHS’ndan da hizmet almak zorunda değildir, farklı hizmet sağlayıcılardan kayıtlı e-posta adresi ve hizmeti alarak güvenli ve yasal geçerli şekilde birbirleriyle iletişim kurabilirler.  Ülkemizde bir KEPHS, her KEP hesabı için en az 100 MB depolama alanı sunmak ve 10 MB’a kadar büyüklükteki orijinal iletilerin gönderim/iletimini yapmak zorundadır. Bu büyüklükleri aşan durumlarda, kullanıcı ile ilave bir anlaşma yapılmamışsa, depolama alanı dolduğunda KEPHS ilgili KEP hesabından orijinal ileti gönderilmesini engelleyebilir ancak ileti alınmasını engelleyemez.

 

KEPHS’lar uluslararası ISO 27001, ISO 27031, BS 10012, ISO 15408 standardlarına uymak ve altyapılarını bu standartlara uygun/uyumlu kurmak zorundadırlar. KEPHS’ların, engelli kişilerin KEP sisteminden yararlanmalarını sağlamak amacıyla W3C’nin “Web erişilebilirlik girişim yönergesi” (Web ContentAccessibility Guidelines)’ne uymaları gerektiği Tebliğ’de belirtilmiştir.

 

Yönetmeliğe göre, ülkemizdeki KEPHS olmak için, KEP sistemi kurmak ve işletmek için kurulan anonim şirketler ile gerekli koşulları sağlaması hâlinde 11/2/1959 tarihli ve 7201 sayılı Tebligat Kanununun hükümlerine göre elektronik ortamda tebligat yapmaya yetkili olan PTT başvuru yapabilmektedir. ESHS olarak veya 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu (EHK) kapsamında “işletmeci” olarak faaliyet gösterenler KEPHS olmak için başvuruda bulunamamaktadır. Bu bağlamda, ESHS’larının veya EHK kapsamında işletmeci olanların hakim hissedar oldukları veya kontrolü ellerinde bulundurdukları anonim şirketlerin de başvuruda bulunamayacakları değerlendirilmektedir. Kamu kurumları, meslek birlikleri ve sivil toplum kuruluşları gibi yapıların da kendileriin tüzel kişilik olarak KEPHS olmak üzere başvuru yapamayacakları, bir anonim şirket kurmaları veya kurulu olan birine iştirak etmeleri halinde başvuru yapabilecekleri söylenebilir.


4. KEP Sistemi ile Yapılabilecek İşlemler

KEP sistemiyle resmi, özel ve ticari her türlü belge veya yazı kurum, kuruluş ve şahıslar arasında elektronik olarak gönderilip alınabilecek, başka bir deyişle yasal geçerli olarak elektronik yazışma ve bildirim (beyanname, bildirge, başvuru, tebligat, ihtar, ihbar, vb.) yapılabilecektir.

 

Şirketler ile gerçek kişiler arasında ve kurum içi her türlü yazışma, belge paylaşımı, sözleşme, tebligat, ihtar/ihbar, e-fatura, telefon görüşme dökümleri, banka talimatları, hesap ekstreleri, kredi kartı ekstre gönderimleri, siparişler, ihale teklifleri, e-ticaret işlemleri gibi sayısız alanda kullanılmaya başlanacaktır.

 

Kullanıcılar tarafından istendiği takdirde, iletişimin gizliliği sağlanarak güvenli haberleşme ve elektronik belgelerin güvenli bir ortamda saklanması da KEPHS tarafından verilecek katma değerli hizmetleri ile mümkün olabilecektir.

 

5. Yasal Düzenlemeler

Ülkemizde KEP konusundaki ilk yasal düzenleme, 14 Şubat 2011 tarihinde Resmi Gazetede yayımlanan yeni Türk Ticaret Kanunu ile yapılmıştır. KEP sistemi bir çeşit elektronik haberleşme hizmeti olduğundan, yeni TTK’nun 18. Maddesi 3. Bendi ve 1525. Maddesi 2. Bendine göre, KEPHS yetkilendirmeleri ve denetimleri, dünyadaki uygulamalar ve yasal düzenlemeler doğrultusunda, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yapılacaktır.

Yeni Türk Ticaret Kanunu’nun 18(3) maddesi:

  • Tacirler arasında, diğer tarafı temerrüde düşürmeye, sözleşmeyi feshe veya sözleşmeden dönmeye ilişkin ihbar veya ihtarlar noter aracılığıyla, taahhütlü mektupla, telgrafla veya güvenli elektronik imza kullanarak kayıtlı elektronik posta sistemi ile yapılır.

Yeni TTK’nun 1525(2) maddesi :

  • “… Kayıtlı elektronik posta sistemine, bu sistem üzerinde yapılacak işlemlere ve hukuki sonuçlarına, bu sistem içerisinde yer alacak kayıtlı elektronik posta adresi sahibi şirketler, gerçek kişiler ile kayıtlı elektronik posta hizmet sağlayıcılarının hak ve yükümlüklerine, kayıtlı elektronik posta hizmet sağlayıcılarının işleyişine, yetkilendirilmesine, denetimine ilişkin usul ve esaslar bu kanunun yayımından itibaren beş ay içerisinde Bilgi Teknolojileri ve İletişim Kurumu tarafından çıkarılacak yönetmeliklerle belirlenir.

BTK, ilgili ikincil düzenlemeleri (KEP Yönetmeliği ve Tebliği) 25 Ağustos 2011 tarihinde Resmi Gazetede yayımlanmıştır. Sözkonusu Yönetmelik ve Tebliğ incelendiğinde, BTK’nun KEP hesabı adreslerine ilişkin usul ve esaslar ile KEPHS Uygulama Esasları ile ilgili düzenlemelerini de ayrıca yapacağı anlaşılmaktadır.

 

KEP’nın bir uygulaması veya alt kümesi olarak adlandırılabilecek e-tebligat, e-fatura ve e-ekstre uygulamalarının, ülkemizde kayıtlı elektronik posta dışında yürütülmesine yönelik girişimlerin olduğu bilinmektedir. 1 Temmuz 2012 tarihinde Yeni Türk Ticaret Kanunu’nun yürürlüğe girmesi ve KEP’nın uygulamaya geçmesi ile birlikte, yasal olarak taraflar arasında paylaşılması (tebliğ edilmesi, bildirilmesi gereken) işlemlerin standard e-posta ile veya düzenlemesi olmayan SMS gibi başka yollarla yapılmaya devam edilmesinin uygun olmadığı değerlendirilmektedir.

KEP, ülkemizde, 2012 yılının ilk yarısından itibaren kurulacak KEPHS’ların faaliyete geçmesiyle birlikte 1 Temmuz 2012 tarihinden itibaren uygulamaya geçecektir. KEP’nın kamu ve özel sektörde sağlayacağı verimlilik, tasarruflar ve faydalar ile ülkemizin özgün uygulamalarıyla da dünyada öncü ülkelerden biri olabilme fırsatı ve imkanına sahip olduğu değerlendirilmektedir. KEP alanında bilgilendirme ve farkındalık oluşturma etkinliklerinin 2012 yılının başından itibaren yoğunlaşacağı öngörülmektedir.

 

6. Değerlendirme

Hukuken geçerli ve teknik olarak güvenli bir şekilde elektronik posta yoluyla haberleşmenin yolu olan kayıtlı elektronik posta (KEP), günümüzün en temel ihtiyaçlarından biri haline gelmiştir. KEP sisteminin, ülkemizde e-ticaret ve e-devlet uygulamalarının yaygınlaşmasını önemli oranda hızlandıracağı, ciddi miktarlarda tasarruf sağlayacağı ve e-dönüşümden beklenen faydaları ve verimi elde etmede önemli bir araç olacağı değerlendirilmektedir.

KEP, e-devlet, e-iş ve e-ticaret gibi tüm e-dönüşüm uygulamalarının bütün boyutlarıyla hayata geçirilebilmesi açısından stratejik önemi haiz bir araçtır. Kağıt, arşiv, postalama ve işlem maliyetlerinin düşürülmesi ve zaman kayıplarının azaltılmasıyla bürokrasinin daha etkin işlemesine, resmi ve ticari işlemlerin hızlı yapılmasına, ticari faaliyetlerin verimli yürütülmesine ve çevrenin korunmasına yüksek oranda katkı sağlayacaktır.

 

KEP sistemiyle resmi, özel ve ticari her türlü belge veya yazı kurum, kuruluş ve şahıslar arasında yasal geçerli ve güvenli bir şekilde elektronik olarak paylaşılabilecek, gönderilip alınabilecektir. KEP sistemi, elektronik belge paylaşımı ve iletimi dışında çok çeşitli güvenli arşivleme gibi katma değerli servislerin de sunulabileceği, e-imza ve zaman damgasının yaygın ve yoğun olarak kullanılacağı yasal geçerli ve güvenli yeni bir iletişim alanı olacaktır.