Beklenen e-imza yasası TBMM’de onaylandı. Yasa ile birlikte bilişim sektöründe birçok şey artık daha farklı olacak. Dijital imza ile birlikte hayatımıza bazı kolaylıklarda gelecek. Dijital imzanın faydaları olduğu kadar sakıncalı yönleride var. Özellikle yasadaki boşluklar ve henüz uluslararası anlaşmaların olmaması nedeniyle sıkıntılar yaşanacağı düşünülüyor. E-imza konusunda çalışmalar yürüten İstanbul Bilgi Üniversitesi Öğretim Üyesi Yard. Doç. Dr. Leyla Keser’e sorularımızı yönelttik.
turk-internet.com: E-imza kanunu TBMM’den geçti. Kanunun bu haliyle eksiği olduğunu düşünüyor musunuz?
Yard. Doç. Dr. Leyla Keser : Evet eksik olduğunu düşünüyorum. Bu konuda yapılan birçok toplantıda defalarca eksikliklerin neler olduğu tartışılmasına rağmen, Tasarı yasalaşmadan önce sadece birkaç hükümde (örneğin; md. 14) değişiklik yapıldı.
Bu eksikliklerden birkaçına dikkat çekmek gerekirse:
Yasa da elektronik imzanın iki çeşidinden bahsedilmiştir: Güvenli elektronik imza ve nitelikli elektronik imza.
Bunlardan internette imza attığımızda bizi bağlayacak olanı güvenli elektronik imzadır. Kanun bizi bağlayacak olan imzanın bu olduğunu belirtmesine rağmen, yasadaki çok az madde güvenli elektronik imza ile ilgilidir. 4, 5, 6 ve 7. maddeler var. Nitelikli elektronik sertifika adını verdikleri elektronik imza ile ilgili çok hüküm var ve oldukça ayrıntılı düzenleme yapılmıştır.
Yine sertifika kurumlarının hukuki sorumluluklarına ilişkin 13. madde de yetersizdir. Bu kurumların yapacakları faaliyetin önemini kavramaları, işin ciddiyetini görebilmeleri, faaliyetlerini daha titiz yürütebilmeleri için işe başlamadan evvel söz konusu kurumlardan bie teminat parası alınması gerekirdi. Örneğin; Almanya’da dijital imza vermek için kurulan şirket başlamadan önce 250 bin euro teminat olarak yatırıyor. Bu para ileride verebileceği zararların teminatı oluyor. Bizde bu yok. Son derece önemli olmasına rağmen bu kanun sertifika şirketi olmayı kolaylaştırmış. Bu koşullarda bizde işin ciddiyetine ileride kaç tane sertifika kurumu varacak o belli değildir.
MADDE 14.- Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların hukukî sonuçları milletlerarası anlaşmalarla belirlenir.
Böyle bir milletlerarası anlaşma henüz mevcut değildir.
Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların, Türkiye’de kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından kabul edilmesi durumunda, bu elektronik sertifikalar nitelikli elektronik serti-fika sayılır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye’deki elektronik sertifika hizmet sağlayıcısı da sorumludur.
Kanun yasalaşmadan çok kısa bir süre önce maddede çok yerinde olmayan bir değişiklik yapılmıştır. 14. maddede kullanılan yurt dışındaki bir sertifika kurumundan alınan “elektronik sertifikalar” teriminin kapsamı çok geniştir. Hangi elektronik sertifikanın veya sertifikaların Türkiye’deki bir sertifika kurumu tarafından kabul edildiğinde nitelikli elektronik sertifika sayılacağı açığa kavuşturulmalıdır. Kanun bu tarz bir kabul sonucu sertifika kullanımı dolayısıyla ortaya çıkacak zararlardan her iki ülkedeki sertifika kurumunu müteselsil sorumlu olarak kabul ettiği için, sertifika kurumlarının sorumluluklarının kapsamının belirlenmesi açısından bu açıklığın sağlanması gerekirdi.
Ancak az önce de söylediğimiz gibi; bu konuda henüz uluslararası bir düzenleme mevcut olmadığı için, önümüzdeki dönemde aksaklıklar yaşanabilecektir.
MADDE 15.- Elektronik sertifika hizmet sağlayıcılarının bu Kanunun uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi Kurumca yerine getirilir.
Kurum, gerekli gördüğü zamanlarda elektronik sertifika hizmet sağlayıcılarını denetleyebilir. Denetleme sırasında, denetleme yapmaya yetkili görevliler tarafından her türlü defter, belge ve kayıtların verilmesi, yönetim yerleri, binalar ve eklentilerine girme, yazılı ve sözlü bilgi alma, örnek alma ve işlem ve hesapları denetleme isteminin elektronik sertifika hizmet sağlayıcıları ve ilgililer tarafından yerine getirilmesi zorunludur.
Bizim Elektronik İmza Kanununun önemli eksikliklerinden birisi de; sertifika kurumlarının akreditasyonuna ilişkin herhangi bir hüküm içermemesidir. Elektronik sertifika sağlayıcılarının, şifreleme programları vs. açısından güncel teknolojiyi takip edip etmedikleri, gündel yazılımları kullanıp kullanmadıkları, madde 15’e göre ancak, Kurum gerekli gördüğü zamanlarda denetlenebilecektir. Dijital imzada kullanılan şifreleme programlarının teknolojiye paralel olarak güncellenmesi bu alanda son derece önem taşımaktadır. Zorunlu olarak sertifika kurumlarının kendilerini akredite etmeleri ile ilgili bir hükmün öngörülmesi gerekirdi ancak maalesef yok.
MADDE 22.- 22/4/1926 tarihli ve 818 sayılı Borçlar Kanununun 14 üncü maddesinin birinci fıkrasına aşağıdaki cüm-le eklenmiştir.
“Güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haizdir.”
Bu hükmün yeri Borçlar Kanunu değil, usul Kanunudur. Dijital imzalı elektronik belgelerin ispat gücü bir davayı, hakim önündeki bir yargılamayı ilgilendirdiği için, Hukuk Usulü Muhakemeleri Kanununa bu hükmün konulması yerinde olurdu.
MADDE 23.- 18/6/1927 tarihli ve 1086 sayılı Hukuk Usulü Muhakemeleri Kanununa 295 inci maddeden sonra gelmek üzere aşağıdaki 295/A maddesi eklenmiştir.
“MADDE 295/A- Usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir. Bu veri-ler aksi ispat edilinceye kadar kesin delil sayılırlar.
Dava sırasında bir taraf kendisine karşı ileri sürülen ve güvenli elektronik imza ile oluşturulmuş veriyi inkar ederse, bu Kanunun 308 inci maddesi kıyas yoluyla uygulanır.”
23. madde dijital imza ile yapılan işlemlerin senet hükmünde olduğunu ve aksi iddia edilinceye kadar kesin delil sayılır diyor. Bu madde ile hakimin takdir yetkisi ortadan kalkıyor. Kesin delil dediğinizde mahkemeyi bağlıyorsunuz. Bu çok tehlikeli bir hüküm. Teknoloji sürekli değişiyor. Sürekli güncellenen bir konuda kesin kurallar koymak sakıncalıdır. Teknolojik değişikliklere uyarlanabilecek daha yumuşak kurallar koyulabilirdi.
23. maddenin devamı ise; senetlerdeki imza inkarı halinde mahkemenin nasıl bir inceleme yapması gerektiğine ilişkindir. Örneğin; bir davada karşı taraf bizim dijital imzamızı taşıyan bir belgeyi mahkemeye ibraz etmiş olsun. Biz de bu dijital imza bana ait değil diye itiraz edelim. Bu durumda hakim usul kanununun 308. maddesine göre işlem yapacaktır. 308. madde elle atılan imzanın inkarında neler yapılacağını anlatıyor.
23. madde, HUMK md. 308.’in kıyas yoluyla burada da uygulanacağını söylemektedir. Ancak 308. maddedeki (hakimin tarafları dinlemesi, isticvap etmesi, inkar eden tarafı istiktab etmesi şeklindeki) prosedürün kıyas yoluyla dijital imzaya uygulanması mümkün değildir). Ancak inkar durumda 308. maddedeki bilirkişiye müracaat etme şeklindeki olanak mahkemece kullanılabilir. Bilirkişi de sertifikayı bize veren kurumdur. Bu nedenle md. 308’e atıf yapmak yerine, dijital imzanın inkarı durumunda hakimin doğrudan doğruya bilirkişiye gitmesi gerekir denilebilirdi.
turk-internet.com: Uygulanabilirlik açısından, Telekomünikasyon Kurumu’nun bazı yönetmelikler yayınlayacağını biliyoruz. Bunlar hangi konularda olacak?
Yard. Doç. Dr. Leyla Keser : Bu kanunun, tanımlamaya çalıştığı elektronik sertifika çeşitlerini açıklamaya çalışacak.
Bu sertifikaları dağıtacak olan sertifika kurumlarına ilişkin düzenlemeler yer alacak. Sertifika kurumlarının açılmasından kapanmasına, faaliyetlerine ikişkin bütün usul ve esaslar olacak.
turk-internet.com: Dijital imzanın kullanım alanları ve dünyadaki örneklerini anlatır mısınız?
Yard. Doç. Dr. Leyla Keser : 5. maddenin 2. fıkrasında sayılıyor. Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez. Resmi kurum ya da kişiler önünde yapılmasını istediği işlemler için dijital imzayı kapatmış. Evlilik, gayrımenkul mülkiyetininnakli vs.
Dünyada da aynı şekilde dijital imza kullanımı, resmi kurum ya da kişiler önünde yapılması gereken işlemler için kapatılmış durumdadır. Ancak örneğin; Amerika’da bu yasaklılık ebedi değildir. Amerika dijital imzanın şimdilik kullanılamayacağı alanları tespit etmiş, bunların üç yıl gözlemleneceğini ve üç yıl sonunda hala yasaklılığın devamı gerekir mi gerekmez mi buna karar verileceğini öngörmüştür. Nitekim yasaklı olan alanlardan biri olan mahkemelerin elektronik ortama taşınması ve mahkemelerde dijital imza kullanımı artık serbesttir. Almanya’da da bu konuda gerekli teknik altyapı oluşturuluncaya kadar her bir eyalet hangi işlemlerin dijital imza ile yapılıp yapılmayacağını bizzat kendisi takip etsin denmiş.
turk-internet.com: Türkiye’de e-imza verecek kuruluşların standartları nasıl olmalı?
Yard. Doç. Dr. Leyla Keser : Öncelikle kendilerini mutlaka akredite etmeleri gerekiyor. Teknolojiyi son derece yakından takip etmeleri gerekiyor. Ancak Yasada bu sertifika kurumlarının kendi inisiyatifine bırakılmış.
Kullanımı kolay sertifikalar vermeleri gerekir. Ek bir masraf gerektiren (ek donanım vs) sertifikalar olmamalı, saklanması ve muhafaza edilmesi kolay olmalı.
Nitelikli, eğitimli personel çalıştırmaları gerekir. E-imzanın hüküm ve sonuçlarının kullanıcılara iyi anlatılması gerekir. Personel hem teknik bilgiye hem de hukuki bilgiye sahip olmadır.
turk-internet.com: E-imza konusunda potansiyel kullanıcılara uyarılarınız var mı?
Yard. Doç. Dr. Leyla Keser : “İnternette boş sayfaya imza atmasınlar!”. Sertifika kurumu imzayı vermeden önce kullanıcıyı bilgilendirmek zorundadır. Kullanıcılarda e-imzayı başkasının kullanmasına izin vermemelidir.
turk-internet.com: Bundan sonra sektörde ne gibi hareket bekliyorsunuz?
Yard. Doç. Dr. Leyla Keser : E-imza imza kanununun çıkmasını bekleyen şirketler var en azından onların önü açılacak. Bekleyen şirketler faaliyete geçecek.
turk-internet.com: Bu kanunun hazırlanmasında sizin katkınız oldu mu?
Yard. Doç. Dr. Leyla Keser : Bu kanunun hazırlanmasında doğrudan bir katkım olmadı. Ancak önerilerimizi, zaman zaman düzenlenen toplantılarda biraraya geldiğimiz, bu kanunu hazırlayan Komisyon’da çalışmış Sayın Hakim Mesut Orta Bey’e iletmiştim.
Çok teşekkür ediyorum.