Yasal Belgeler
Yasal Sorumluluk Reddi
Son Güncelleme: 21 Mayıs 2026, Versiyon 3.2
ÖNEMLİ YASAL UYARI
Bu sayfada yer alan bilgiler, imzala.org tarafından sunulan dijital imza hizmetinin, standart akışta Basit Elektronik İmza (SES) (5070 sayılı Kanun m.4 ve eIDAS Tüzüğü Art.25), kimlik doğrulama (telefon + TC Kimlik doğrulama) etkinleştirildiğinde Gelişmiş Elektronik İmza (AES) (eIDAS Art.26), yasal niteliğini, sınırlamalarını ve Nitelikli Elektronik İmza (QES) ile farkını açıklamaktadır. Hizmetimizi kullanmadan önce lütfen dikkatlice okuyunuz.
1. Dijital İmzanın Yasal Durumu (SES / AES)
1.1 Hukuki Sınıflandırma
imzala.org platformu üzerinden atılan dijital imza, aşağıdaki teknik bileşenlerin birleşiminden oluşur. Standart akışta hukuki olarak Basit Elektronik İmza (SES, eIDAS Art.25) kategorisinde değerlendirilir; kimlik doğrulama (telefon OTP + TC Kimlik / NVI doğrulama) etkinleştirildiğinde Gelişmiş Elektronik İmza (AES: Advanced Electronic Signature, eIDAS Art.26) niteliği kazanır:
- Kullanıcı katmanı: İmzacı, imza alanına el yazısı imza görselini çizer; bu görsel PNG bitmap olarak PDF'e yerleştirilir. Görsel bir resim olarak kişiyi tek başına ayırt edici biyometrik şablon teşkil etmez.
- Sistem katmanı: Sunucu, imzalanan PDF'i Codeck Yazılım A.Ş.'ye ait ticari sertifikayla CMS / PAdES standardında kriptografik olarak imzalar.
- Zaman bağı: TÜBİTAK KAMU SM nitelikli zaman damgası (RFC 3161) eklenir ve imza, PAdES B-LTA uzun süreli arşiv seviyesine kadar yükseltilebilir.
Dijital imza (standart akışta SES, kimlik doğrulama ile AES):
- Standart akışta 5070 sayılı Elektronik İmza Kanunu m.4 / eIDAS Art.25 anlamında Basit Elektronik İmza niteliğindedir; imza görseli + opsiyonel OTP + IP/cihaz + konum + zaman damgası içerir, ancak imzacının kimliğini tek başına kanıtlamaz
- Kimlik doğrulama (telefon OTP + TC Kimlik / NVI doğrulama) etkinleştirildiğinde eIDAS Tüzüğü (910/2014) Art.26 anlamında Advanced Electronic Signature dört kriterini ("imzayı atanı belirleyen, sadece imzalayanın kontrolünde olan ve sonradan değişiklik tespit eden") karşılar
- 5070 m.5 anlamında Nitelikli Elektronik İmza (QES) DEĞİLDİR; ıslak imzanın doğurduğu kesin delil sonucunu (HMK m.205/2) taşımaz
- Güvenli imza oluşturma aracı (akıllı kart / USB token) ve BTK yetkili ESHS sertifikası gerektiren işlemlerde QES yerine kullanılamaz
- 5070 m.5/2 gereği resmî şekle tabi işlemlerde (noter, tapu, evlenme, vasiyetname, kefalet) güvenli elektronik imza ile dahi yapılamaz
- Resmi kurumların kabul edip etmeyeceği ilgili mevzuata ve kurum tercihine bağlıdır
1.2 Delil Değeri
Hukuk Muhakemeleri Kanunu (HMK) çerçevesinde:
- SES/AES imza, HMK m.199 (belge) ve m.202 (yazılı delil başlangıcı) anlamında takdiri delil niteliği taşır ve hakim takdirine sunulur
- Belge bütünlüğü, imzalama anı, IP ve cihaz verisi platform tarafından denetlenebilir biçimde kayıt altına alınır; tahkim/mahkeme önünde teknik kanıt olarak sunulabilir
- İnkar halinde, imzanın bütünlüğü ve kim tarafından atıldığı PAdES B-LTA seviyesindeki kriptografik mühür ve zaman damgası ile kanıtlanabilir
- Karşı tarafın açık kabulü (ticari uygulama, e-posta teyidi, kullanım koşulları onayı) ispatı güçlendirir
- Yargıtay, SES/AES nitelikli dijital imzaların ticari işlemlerde delil oluşturabileceğini çeşitli kararlarda kabul etmiştir; ancak her uyuşmazlık kendi delillerine göre değerlendirilir
1.3 Kullanım Alanları
Kullanılabilir Alanlar:
- Tarafların karşılıklı kabulü ile ticari işlemler
- Şirket içi onay süreçleri
- B2B sözleşmeler (karşılıklı kabul ile)
- İç yazışmalar ve belgeler
- Eser tasdikleme (zaman damgası ile fikri mülkiyet kanıtı)
Kullanılamaz Alanlar:
- Noter işlemleri
- Tapu işlemleri
- Mahkeme dilekçeleri
- Resmi kuruma sunulacak belgeler
- Yasal zorunluluk gerektiren sözleşmeler (kefalet, taşınmaz satışı vb.)
2. Biyometrik Veri Beyanı (Negatif Beyan)
2.1 Biyometrik Veri İşlenmediği Beyanı
imzala.org biyometrik veri toplamaz
imzala.org platformu, KVKK m.6 ve GDPR Art.9 anlamında özel nitelikli biyometrik kişisel veri toplamamakta, işlememekte ve saklamamaktadır. Aşağıdaki veri kategorilerinden hiçbirini ürün kapsamında işlemiyoruz:
- Parmak izi şablonu / minutiae
- Yüz tanıma vektörü (face descriptor)
- Retina veya iris taraması
- Ses biyometriği (voiceprint)
- El yazısı imzanın dinamik parametreleri (basınç, hız, ivme, açı, koordinat zaman serisi)
- Klavye / fare ritmi davranışsal biyometriği
- NFC çipli kimlik üzerindeki biyometrik şablon
Saklanan tek imza verisi, kullanıcının imza alanına çizdiği raster PNG bitmap'tir. Bu görsel, KVKK m.6 anlamında biyometrik şablon teşkil etmez; tıpkı taranmış ıslak imza resmi gibi değerlendirilir.
2.2 İşlenen Veri Kategorileri ve Saklama
İmza ve kimlik doğrulama sürecinde aşağıdaki biyometrik olmayan veriler işlenir:
- İmza görseli (PNG): Belgenin yasal saklama süresi boyunca (TTK m.82, ticari işlemler için 10 yıl) ilgili sözleşme ile birlikte saklanır
- İmza meta verisi: Zaman damgası, IP adresi, kullanıcı ajanı (HMK m.202 / 5070 m.5 ispat bütünlüğü için)
- Kimlik doğrulama kanıtı: E-posta / SMS OTP onay kayıtları (biyometrik faktör YOK)
- Saklama süresi: Sözleşmeye bağlı yasal süre; bu süre dolduğunda kişisel veriler KVKK Aydınlatma Metni'ndeki kurallara göre silinir veya anonimleştirilir
2.3 Gelecek Yol Haritası
Roadmap'imizde (Faz 2+), opsiyonel olarak sunulması planlanan biyometrik kimlik doğrulama modülleri (örn. NFC çipli kimlik okuma, yüz eşleştirme) bulunmaktadır. Bu modüller devreye alındığında:
- Yalnızca ayrı ve açık rıza ile etkinleştirilecektir (KVKK m.6 özel nitelikli veri rejimine uygun)
- KVKK Aydınlatma Metni güncellenecek ve önceden yayımlanacaktır
- İlgili kişi, açık rızayı istediği zaman geri çekebilecektir
- Veriler hiçbir koşulda pazarlama, profilleme veya otomatik karar verme süreçlerinde kullanılmayacaktır
- İlgili verilerin saklama süresi, işleme amacının gerektirdiği asgari süreyle sınırlı olacaktır
Bu modüller bu metnin yayımlandığı tarihte aktif değildir.
3. Güvenlik Standartları
3.1 Teknik Önlemler
- Şifreleme (transit): TLS 1.2 / 1.3 (Cloudflare + Let's Encrypt)
- Şifreleme (off-site backup): AES-256 (rclone crypt, AB lokasyon)
- Dijital imza: RSA-2048 (anahtar yönetim sistemi, KMS)
- Hash: SHA-256
- İmza standardı: CMS / PAdES (ETSI EN 319 142-1), PAdES B-LTA uzun süreli arşiv seviyesi
- Zaman Damgası: TÜBİTAK KAMU SM (RFC 3161 nitelikli)
- Veri Merkezi: Hetzner Online GmbH, Falkenstein, Almanya (AB GDPR uyumlu)
- Off-site Yedek: Hetzner Storage Box (AB lokasyon, AES-256 client-side şifreli)
3.2 Sertifikalar ve Uyumluluk
Mevcut Uyumluluklar
- 5070 sayılı Elektronik İmza Kanunu: TÜBİTAK KAMU SM nitelikli zaman damgası altyapısı
- KVKK Veri Sorumluları Sicil Sistemi (VERBİS) kayıtlı veri sorumlusu
- eIDAS Tüzüğü (910/2014) Art.25: Basit Elektronik İmza (SES) hukuki tanınması (standart akış); Art.26: kimlik doğrulama etkinleştirildiğinde Gelişmiş Elektronik İmza (AES) kriterleri
- ETSI EN 319 142-1: PAdES B-LTA uzun süreli arşiv imza profili
- GDPR uyumu: AB içinde (Hetzner Almanya) veri işleme + SCC ile yurt dışı aktarım
- PCI-DSS SAQ A kapsamı: kart bilgileri PayTR (PCI-DSS Level 1) tarafından işlenir
Sertifikasyon Yol Haritası
Aşağıdaki sertifikalar şu an itibariyle alınmamış olup, hedef tarihlerde sertifikasyon süreçleri başlatılacaktır:
- ISO 9001:2015 Kalite Yönetim Sistemi (Hedef: 2026 Q3)
- ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi (Hedef: 2027 Q1)
- SOC 2 Type II (Hedef: 2027 Q4)
3.3 İdari Önlemler
- Erişim kontrolü ve yetkilendirme (RBAC + MFA)
- Düzenli güvenlik denetimleri ve zafiyet taramaları (Trivy)
- Personel gizlilik sözleşmeleri (NDA)
- Veri ihlali bildirimi (72 saat içinde; KVKK m.12, GDPR Art.33)
- 4 katmanlı yedekleme ve düzenli felaket kurtarma tatbikatı
4. Sorumluluk Sınırlamaları
4.1 imzala.org Sorumlu Değildir
Aşağıdaki durumlardan imzala.org sorumlu tutulamaz:
- Dijital imzanın (standart akışta SES, kimlik doğrulama ile AES) resmî şekle tabi işlemlerde (5070 m.5/2) kabul edilmemesi
- Resmi kurumların veya karşı tarafın SES/AES imzayı Nitelikli Elektronik İmza (QES) ya da ıslak imza yerine geçecek şekilde tanımaması
- Üçüncü tarafların SES/AES imzayı tanımaması veya ek doğrulama talep etmesi
- Mahkemelerde HMK m.202 çerçevesinde takdiri delil olarak değerlendirilmesi
- Yasal işlemlerde ilgili mevzuatın QES (akıllı kart / USB token) veya ıslak imza zorunlu kılması
- Sınır ötesi AB işlemlerinde imzanın eIDAS Qualified Electronic Signature sayılmaması (Türkiye AB LOTL'da yer almamaktadır)
- Kullanıcının yanlış imza tipi seçimi sonucu zarar görmesi
4.2 Kullanıcı Sorumluluğu
Kullanıcı aşağıdaki hususları kabul ve taahhüt eder:
- Dijital imzanın (standart akışta SES, kimlik doğrulama ile AES) ve Nitelikli Elektronik İmzanın (QES) farklı hukuki sonuçlar doğurduğunu bilmek
- İlgili işlem için uygun imza yöntemini (SES / AES / QES / ıslak imza / noter) seçmek
- Karşı tarafı imza tipi konusunda bilgilendirmek
- 5070 m.5/2'de sayılan resmî şekle tabi işlemleri platformda yapmamak
- Yasal gereklilikleri kontrol etmek ve gerektiğinde hukuk müşavirine danışmak
- Uygun olmayan kullanımdan doğan zararları üstlenmek
5. Tavsiyeler ve Öneriler
5.1 Ne Zaman Kullanılmalı
- Şirket içi onay süreçleri
- Karşılıklı kabul ile ticari anlaşmalar
- Test ve deneme amaçlı işlemler
- Gayri resmi belgeler
- Eser tasdikleme (zaman damgası ile fikri mülkiyet kaydı)
5.2 Ne Zaman Kullanılmamalı
- Noter gerektiren işlemler
- Banka kredi sözleşmeleri
- Gayrimenkul alım-satım sözleşmeleri (tapu)
- Mahkeme dilekçeleri
- Resmi kurum başvuruları
- Kefalet ve taahhüt sözleşmeleri
6. Alternatif Çözümler
Yasal geçerlilik gerektiren işlemleriniz için:
- E-İmza: 5070 sayılı kanuna uygun nitelikli elektronik imza
- Mobil İmza: GSM operatörleri üzerinden (Turkcell, Vodafone, Türk Telekom)
- KEP: Kayıtlı Elektronik Posta
- Noter: Fiziki noter onayı
- Islak İmza: Geleneksel ıslak imza
7. İletişim ve Destek
Yasal konularda sorularınız için:
Codeck Yazılım Anonim Şirketi
Maslak Mah. Aos 55. Sk. 42 Maslak No: 4 İç Kapı No: 556 Sarıyer / İstanbul
VKN: 2111145165
KEP: [email protected]
Hukuki Sorular: [email protected]
KVKK / Gizlilik: [email protected]
Genel Destek: [email protected]
Telefon: +90 850 309 51 26
Hukuki Tavsiye Uyarısı
Bu sayfada yer alan bilgiler genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Özel durumunuz için lütfen bir hukuk müşavirine danışınız.
8. Kabul ve Onay
imzala.org hizmetlerini kullanarak, bu yasal sorumluluk reddinde belirtilen tüm şartları okuduğunuzu, anladığınızı ve kabul ettiğinizi beyan edersiniz. Özellikle imzala.org imzasının standart akışta Basit Elektronik İmza (SES) niteliğinde olduğunu, kimlik doğrulama (telefon + TC Kimlik doğrulama) etkinleştirildiğinde Gelişmiş Elektronik İmza (AES) niteliği kazandığını, hiçbir durumda Nitelikli Elektronik İmza (QES) olmadığını, biyometrik veri toplanmadığını ve bu hukuki çerçeveden doğabilecek sınırlamalardan imzala.org'un sorumlu tutulamayacağını onaylarsınız.
Son güncelleme: 21 Mayıs 2026
Versiyon: 3.2 (önceki 3.0, 29 Nisan 2026)
v3.2 değişiklikleri: "Dijital biyometrik imza" terminolojisi tamamen kaldırıldı. Hizmetin hukuki niteliği standart akışta Basit Elektronik İmza (SES) (5070 m.4 / eIDAS Art.25), kimlik doğrulama (telefon + TC Kimlik doğrulama) etkinleştirildiğinde Gelişmiş Elektronik İmza (AES) (eIDAS Art.26) olarak tanımlandı. §1 hukuki sınıflandırma, SES/AES/QES farkı ve delil değeri SES/AES çerçevesinde yeniden yazıldı. §2 "Biyometrik Veri Beyanı" başlığıyla negatif beyana çevrildi; platform biyometrik kişisel veri toplamadığını açıkça beyan etti. §4 sorumluluk reddi ve kullanıcı sorumlulukları SES/AES↔QES ayrımına göre revize edildi.
Bu metin Türk hukuku, 5070 sayılı Elektronik İmza Kanunu, HMK, KVKK, GDPR ve eIDAS Tüzüğü (910/2014) dikkate alınarak hazırlanmıştır.