5070 Sayılı Kanun ve KVKK: E-İmza Platformları İçin Rehber

Şirketler kağıt sözleşmeden dijital süreçlere geçerken iki temel mevzuat çerçevesini anlamak zorunda: 5070 sayılı Elektronik İmza Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK). Bu iki kanun birbirinden farklı konuları düzenler; ancak uygulamada çoğu zaman birbirine karıştırılır. Kim hangi kanuna muhatap? Hangi veri kategorisi hangi yükümlülüğü doğurur? Yurt dışı sunucu kullanımı ne anlama gelir?

Bu yazı, e-imza platformlarını kullanan veya bu platforma geçmeyi düşünen şirketler için her iki kanunun sınırlarını, pratik uyum adımlarını ve 10 maddelik bir uyum check-listini özetlemektedir.

5070 Sayılı Kanun — Muhatap Kim?

5070 sayılı Elektronik İmza Kanunu, 2004 yılında yürürlüğe girerek Türkiye’de güvenli elektronik imzanın hukuki çerçevesini belirlemiştir. Kanunun asıl muhatapları Elektronik Sertifika Hizmet Sağlayıcıları (ESHS)‘dır: nitelikli sertifika üreten, saklayan ve iptal eden kuruluşlar.

Kanun; nitelikli elektronik sertifikanın (NES) teknik kriterlerini, ESHS’lerin BTK’ya bildirim yükümlülüklerini ve kriptografik anahtar güvenliği standartlarını düzenler. ESHS olmayan bir yazılım uygulaması doğrudan bu kanunun düzenleme alanına girmez.

Peki dijital imza platformları ne? Bu platformlar, halihazırda bir ESHS tarafından üretilmiş sertifikaları kullanan tüketici konumundadır. İmzalama deneyimini sunan yazılım, sertifika üretmediği sürece 5070 sayılı Kanun kapsamında lisans veya yetki belgesi almak zorunda değildir. Bu ayrım son derece önemlidir: kullanıcıların imza attığı platform ile imzayı kriptografik olarak mümkün kılan sertifika altyapısı birbirinden ayrı katmanlardır.

Danıştay 10. Daire 2016/3387 E. — Yerleşmiş İçtihat

Bu ayrımı pekiştiren en önemli yargı kararı Danıştay 10. Dairesi’nin 2016/3387 E. sayılı kararıdır. Karar, 5070 sayılı Kanun’un yükümlülüklerinin sertifika üreten kuruluşlara yönelik olduğunu teyit etmektedir. Mevcut ESHS sertifikalarını tüketen, imzalama akışını yöneten yazılım sağlayıcıları ayrı bir ESHS lisansı almak zorunda değildir.

Bu içtihat, piyasadaki bir çok dijital imza platformunun yasal dayanaklarından birini oluşturmaktadır. Özetle: ESHS sertifikasını kullanan bir yazılım uygulaması olmak, 5070 sayılı Kanun kapsamında lisans gerektiren bir faaliyet değildir. Müşterilerine bu soruyu soran şirketler için yanıt nettir: imzala.org dahil dijital imza platformları, mevcut ESHS altyapısını tüketen yazılım uygulamalarıdır.

Güvenli Elektronik İmza ve Basit Elektronik İmza Farkı

5070 sayılı Kanun iki temel imza türü tanımlar:

Güvenli elektronik imza (m.4-5): Nitelikli sertifikaya ve güvenli imza oluşturma aracına (USB token, akıllı kart) dayanan imzadır. Kanun, bu imzanın elle atılan ıslak imzayla aynı hukuki sonucu doğurduğunu öngörür. Yani bir sözleşmede taraflardan biri güvenli elektronik imza kullanmışsa, bu imzanın ıslak imzadan farkı yoktur.

Basit elektronik imza: E-posta onayı, tek seferlik kod (OTP), canvas çizim imzası gibi yöntemler bu kategoriye girer. Hukuki bakımdan Hukuk Muhakemeleri Kanunu (HMK) kapsamında belge niteliği taşır; taraflar arasında kararlaştırılmış ve delil değeri mahkemece takdir edilecek bir araçtır. Basit elektronik imza, ıslak imzayla otomatik olarak eşdeğer değildir; ancak sözleşme özgürlüğü çerçevesinde pek çok ticari ilişkide geçerli kabul edilmektedir.

Dijital imza platformlarının büyük bölümü, müşterilere iki katmanda hizmet sunar: günlük ticari sözleşmeler için pratik basit elektronik imza, noterde onaylanmış veya yüksek riskli belgeler için ise güvenli elektronik imza entegrasyon desteği.

KVKK — E-İmza Platformları İçin Veri İşleme Çerçevesi

6698 sayılı KVKK, kişisel verilerin işlenmesini düzenler ve e-imza sürecinin doğası gereği birden fazla kişisel veri kategorisini barındırır. Bir sözleşme imzalanırken işlenen başlıca kişisel veriler şunlardır:

Ad-soyad, e-posta adresi, telefon numarası
IP adresi ve cihaz bilgisi
İmza tarihi ve saati
Opsiyonel olarak T.C. kimlik numarası (sözleşmeye göre)
Canvas çizim imzasının görüntüsü

Bu veriler genel nitelikli kişisel veri kategorisindedir. KVKK m.5 kapsamında “sözleşmenin kurulması veya ifası” hukuki sebebine dayanılarak, ayrıca açık rıza alınmadan işlenebilir. Ancak platform, bu verileri hangi amaçla ne süreyle sakladığını ve kimlerle paylaştığını KVKK Aydınlatma Metni ile şeffaf biçimde açıklamak zorundadır.

E-imza platformunu kullanan şirket, KVKK açısından veri sorumlusu konumundadır. Platform ise bu şirketin veri işleyeni olarak hareket eder. Bu ayrım, KVKK m.12 kapsamındaki teknik ve idari tedbir yükümlülüklerinin kime ait olduğunu belirler.

KVKK m.6 — Biyometrik Veri Sorumluluğu

KVKK’nın en sık yanlış anlaşılan maddelerinden biri m.6’dır. Bu madde, ırk, sağlık, siyasi görüş gibi verilerle birlikte biyometrik veriyi özel nitelikli kişisel veri olarak tanımlar ve işlenmesini açık rızaya bağlar.

KVKK Kurulu’nun 27.08.2020 tarih ve 2020/649 sayılı kararı bu noktayı netleştirmiştir: Dijital imzalama sırasında kullanıcının basınç, hız, ivme ve kalem açısı gibi davranışsal biyometrik parametreleri toplanıyorsa, bu veriler m.6 kapsamında özel nitelikli kişisel veri sayılır ve ayrı açık rıza zorunludur.

Önemli bir ayrım: yalnızca görüntü verisi olarak alınan canvas çizim imzası (imzalama ekranında çizilen şeklin piksel görüntüsü), dinamik biyometrik parametreler içermediğinden KVKK m.6 kapsamında biyometrik veri sayılmaz. Bu görüntü genel nitelikli kişisel veridir.

imzala.org, biyometrik veri toplamaz. Platform, imza sürecinde yalnızca canvas imaj verisini alır; basınç, hız veya ivme gibi davranışsal biyometrik parametreler işlenmez. Bu tercih kasıtlıdır: m.6 kapsamındaki ağır uyum yükümlülüklerinden kaçınmak ve kullanıcı verilerini minimum düzeyde tutmak.

KVKK m.9 — Yurt Dışı Veri Aktarımı

KVKK m.9, kişisel verilerin yurt dışına aktarılmasını yeterli koruma veya açık rıza koşuluna bağlar. E-imza platformu seçerken bu madde kritik önem taşır.

Avrupa Birliği ülkeleri (Almanya, Hollanda, Fransa vb.) ile veri aktarımı daha elverişlidir; GDPR kapsamındaki AB ülkeleri ile Türkiye arasındaki veri akışı, Kurul’un yeterlilik kararına ve uygulamadaki standart sözleşme maddelerine dayanır. ABD ise farklı bir tablodur: ABD sunucularında işlenen Türk vatandaşlarına ait veriler için ya açık rıza alınmalı ya da veri işleyenin yeterli koruma güvencesi sunması gerekmektedir.

Bu nedenle AB lokasyonu (özellikle Almanya veya Hollanda veri merkezleri), Türk müşterilere hizmet veren şirketler için anlamlı bir avantaj sağlar: yurt dışı aktarım için ayrıca açık rıza toplamanın önüne geçer, uyum yükünü hafifletir. imzala.org, Almanya lokasyonlu AB veri merkezleri üzerinde çalışır.

Aydınlatma ve Açık Rıza Akışları

KVKK m.10 kapsamında veri sorumlusu, imzalama sürecini başlatmadan önce kullanıcıyı aydınlatmak zorundadır. Aydınlatma metninde en az şu bilgiler yer almalıdır: veri sorumlusunun kimliği, kişisel verilerin işlenme amacı, aktarılacak üçüncü taraflar, veri sahibinin m.11 kapsamındaki hakları.

KVKK m.11 kapsamında veri sahibi hakları şunlardır: işlenip işlenmediğini öğrenme, bilgi talep etme, amaca aykırı kullanımda itiraz etme, düzeltme, silme veya yok etme isteme. Bu hakların kullanımı için bir başvuru mekanizması oluşturulmalı ve 30 gün içinde yanıt verilmelidir.

Dikkat edilmesi gereken bir nokta: KVKK’daki “unutulma hakkı” (m.7/11) sözleşme arşivlemesiyle çelişebilir. Türk Ticaret Kanunu kapsamındaki ticari belgeler için 10 yıllık saklama zorunluluğu vardır. Bu durumda kullanıcı hesabına ait kişisel veriler silinebilir; ancak ticari belge bütünlüğünü korumak için imzalı sözleşme arşivi yasal süre boyunca tutulabilir. Bu iki yükümlülüğün aydınlatma metni ve gizlilik politikasında açıkça ayrıştırılması gerekir.

Şirketler İçin KVKK + 5070 Uyum Check-List

Dijital imza sürecini hayata geçirirken veya mevcut akışı denetlerken aşağıdaki 10 maddeyi gözden geçirin:

VERBİS kaydı güncel mi? İmzalama sürecinde işlenen tüm kişisel veri kategorileri ve veri işleyenler (e-imza platformu) kayıt altında olmalı.
DPO (Kişisel Veri Koruma Görevlisi) atandı mı? Yıllık 50 çalışan veya büyük ölçekli veri işleme eşiğini aşan şirketler için zorunludur.
KVKK Aydınlatma Metni dijital imza akışını kapsıyor mu? İmzalama anında toplanacak IP, cihaz, imza görüntüsü verilerini açıkça içermeli.
Açık rıza biyometrik veri için ayrı alınıyor mu? Eğer platform davranışsal biyometrik veri topluyorsa, KVKK m.6 kapsamında ayrı ve granüler rıza zorunlu. (imzala.org bu veriyi toplamaz.)
Yurt dışı sunucu kullanılıyorsa yeterli koruma güvencesi var mı? AB lokasyonu veya standart sözleşme maddeleri ya da açık rıza mekanizması.
“Unutulma hakkı” yönetimi kurulu mu? Kullanıcı hesabı silme taleplerine 30 gün içinde yanıt verilmeli; ticari belge arşivi ile ayrıştırılmalı.
Veri ihlalinde 72 saat KVKK bildirimi için prosedür hazır mı? Kurul’a bildirim ve etkilenen kişilerin bilgilendirilmesi akışı dokümante edilmeli.
Sub-processor (alt veri işleyen) listesi yayında mı? E-imza platformunun kullandığı altyapı sağlayıcıları (bulut, SMS, e-posta servisleri) listelenmiş ve erişilebilir olmalı.
Çalışan PII ile müşteri sözleşme PII’si ayrı kanalda mı işleniyor? Çalışan verileri, KVKK’da ayrı bir kategoridir; iş sözleşmesi yönetimiyle müşteri sözleşme arşivi karıştırılmamalı.
Audit log retention KVKK’ya uygun mu? API erişim logları için 30 gün, ticari sözleşme imza kayıtları için 10 yıl uygulama yaygın referanstır; her kategori ayrı politikayla yönetilmeli.

Sonuç

5070 sayılı Kanun ile KVKK birbirini tamamlayan ama farklı alanları düzenleyen iki çerçevedir. 5070, ESHS’ler ve nitelikli sertifika altyapısını; KVKK ise sözleşme sürecinde işlenen kişisel verilerin korunmasını kapsar. Dijital imza platformunu kullanan bir şirket için kritik soruların yanıtı şudur:

ESHS lisansı gerekiyor mu? Sertifika üreten değil, kullanan bir platform iseniz gerekmiyor. Danıştay 10. Daire 2016/3387 E. bu durumu teyit etmektedir.
Biyometrik veri özel rızası gerekiyor mu? Yalnızca canvas imaj verisi alınıyorsa hayır; davranışsal biyometrik parametreler (basınç, hız, ivme) işleniyorsa evet.
Yurt dışı sunucu risk mi? AB lokasyonu (Almanya, Hollanda) KVKK m.9 kapsamında en güvenli tercih olmaya devam ediyor.

Dijital sözleşme sürecine geçmek ya da mevcut altyapıyı denetlemek için bu iki kanunun sınırlarını bilmek, hem hukuki riski azaltır hem de müşteri güvenini pekiştirir.

imzala.org ile Uyumlu Bir Başlangıç Yapın

imzala.org; KVKK uyumlu altyapısı, Almanya AB lokasyonlu sunucuları ve VERBİS kayıtlı veri sorumlusu statüsüyle dijital imza süreçlerinizi güvenle yönetir. Biyometrik veri toplamaz; canvas imza görüntüsü yalnızca genel nitelikli kişisel veri olarak işlenir.

Ücretsiz hesap oluşturun →

Daha fazla bilgi için:

KVKK Aydınlatma Metni — İmzala.org’un veri işleme politikasının tamamı
Yargıtay Emsalleri ve Yasal Güvence — Dijital imzanın Türk mahkemelerindeki delil değeri
Sık Sorulan Sorular — ESHS lisansı, biyometrik veri ve platform güvenliği
Veri İşleme Sözleşmesi (DPA) — Kurumsal müşteriler için KVKK m.12 kapsamında veri işleyen güvencesi

Bu yazı genel bilgilendirme amaçlıdır, hukuki danışmanlık niteliği taşımaz. KVKK uyum süreci için bir KVKK uzmanı veya hukuk danışmanına başvurun.

Temel Özellikler

Gelişmiş Özellikler

Güvenlik & Uyumluluk

Departmanlara Göre

Sektörlere Göre

Profesyonel Hizmetler

Kullanım Senaryoları

Hukuki Bilgi

İçerik & Destek