Elektronik İmza Düzenlemeleri AB ve Türkiye Uygulamalarının Değerlendirilmesi

Hızlanan dijital dönüşüm çağında, elektronik imzaların sözleşmesel ilişkilerdeki rolü önemli ölçüde genişlemiştir. Bununla birlikte, elektronik imzaların tanınması ve düzenlenmesi farklı hukuk sistemleri arasında değişiklik göstermektedir. Sonuç olarak, Avrupa Birliği (“AB”) ve Türkiye arasında elektronik imza türleri ve bunların karşılık gelen hukuki etkileri açısından önemli farklılıklar bulunmaktadır.

Bu makalemiz, konuya hem düzenleyici hem de pratik bir perspektiften ışık tutmayı ve özellikle sektöre özgü uygulamalarla ilgili temel hususları vurgulamayı amaçlamaktadır.

1. Avrupa Birliği’nde Elektronik İmza Türleri – eIDAS Tüzüğü

Dijital hizmetlerin ve işlemlerin sınır ötesi geçerliliğini ve güvenliğini sağlamak amacıyla AB, 23 Temmuz 2014 tarihinde yürürlüğe giren ve yaygın olarak eIDAS Tüzüğü olarak bilinen 910/2014 sayılı Tüzüğü çıkarmıştır. Bu Tüzük, AB genelinde elektronik kimlik ve güven hizmetlerini yöneten kapsamlı bir yasal çerçeve oluşturmaktadır.

eIDAS Tüzüğü, özellikle kamu hizmetleri ve özel sektör uygulamaları bağlamında, elektronik imzaların, elektronik mühürlerin, zaman damgalarının ve diğer güvenli dijital araçların tanınmasını sağlayarak Avrupa Dijital Tek Pazarı’nın işleyişini kolaylaştırmayı amaçlamaktadır. 2024 itibarıyla, sistem, Avrupa Komisyonu tarafından kabul edilen ve bireysel düzeyde dijital kimliklerin taşınabilirliğini sağlamak üzere tasarlanmış bir mekanizma olan Avrupa Dijital Kimlik Cüzdanı’nı getiren eIDAS 2.0 reform paketi ile daha da genişletilmiştir.

Tüzük, elektronik imzaları üç ayrı kategoriye ayırmaktadır:

1.1. Basit Elektronik İmza:

Basit Elektronik İmza (SES), diğer elektronik verilerle mantıksal olarak ilişkili olan ve imzalayan kişi tarafından imzalamak için kullanılan elektronik verileri ifade eder. Genellikle, çevrimiçi bir formda bir onay kutusunu işaretlemek, bir e-postaya onay ile yanıt vermek veya el yazısıyla atılmış bir imzanın taranmış bir görüntüsünü bir belgeye eklemek gibi imzalayan kişiyi tanımlayan her türlü elektronik kimlik doğrulama biçimini içerir.

SES’in yasal işlemlerde delil olarak kabul edilebilir olmasına rağmen, içerdiği güvenlik ve kimlik doğrulama düzeyinin nispeten düşük olması nedeniyle, delil ağırlığı ve hukuki güvenilirliği genellikle sorgulanmaktadır. Sonuç olarak, uygulanabilirliği bağlama ve geçerli ulusal yasaların gerekliliklerine bağlı olarak değişebilir.

1.2. Nitelikli Elektronik İmza:

Nitelikli Elektronik İmza (AdES), imzalayan kişiye benzersiz bir şekilde bağlı olan ve onu tanımlayabilen, imzalayan kişinin kendi kontrolü altında kullanabileceği elektronik imza oluşturma verileri kullanılarak oluşturulan ve verilerdeki herhangi bir değişikliğin tespit edilebilir olmasını sağlayacak şekilde imzalanan verilere bağlanan bir elektronik imzadır.

AdES geliştirilmiş güvenlik mekanizmalarını içeriyor olsa da, nitelikli bir sertifika ile desteklenmediği sürece eIDAS Tüzüğü uyarınca el yazısıyla atılan bir imza ile aynı hukuki etkiye sahip değildir. Teknik olarak, AdES tipik olarak dijital sertifikalara dayalı yazılım çözümleri kullanılarak oluşturulur ve genellikle orta düzeyde güvence gerektiren işlemlerde kullanılır.

eIDAS Tüzüğü uyarınca, Nitelikli Elektronik İmza aşağıdaki dört kümülatif kriteri karşılamalıdır:

• İmzalayan kişiye benzersiz bir şekilde bağlı olmalıdır;
• İmzalayan kişiyi tanımlayabilmelidir;
• İmzalayan kişinin münhasır kontrolü altında olan elektronik imza oluşturma verileri kullanılarak oluşturulmalıdır;
• Verilerdeki herhangi bir değişikliğin tespit edilebilir olmasını sağlayacak şekilde imzalanan verilere bağlanmalıdır.

1.3. Güvenli Elektronik İmza:

Üçüncü ve en güvenli elektronik imza türü, Güvenli Elektronik İmza’dır (QES). Bu tür bir imza yalnızca eIDAS çerçevesi kapsamında tanınan Nitelikli bir Güven Hizmetleri Sağlayıcısı (QTSP) tarafından verilen Nitelikli bir Elektronik İmza Sertifikası kullanılarak oluşturulabilir ve Nitelikli bir İmza Oluşturma Cihazı (QSCD) aracılığıyla oluşturulmalıdır.

eIDAS Tüzüğü’nün 25(2) maddesi uyarınca, Nitelikli bir Elektronik İmza, AB’nin tüm Üye Devletlerinde el yazısıyla atılan bir imza ile aynı hukuki etkiye sahiptir. Buna göre, QES tipik olarak resmi hukuki işlemlerde ve kamu makamlarına sunulan beyanlarda kullanılır.

Gelişmiş kimlik doğrulama özellikleri ve en yüksek düzeyde güvenlik güvencesi nedeniyle, Güvenli Elektronik İmza özellikle hassas ve yüksek riskli işlemlerde tercih edilmektedir.

2. eIDAS 2.0 ve Avrupa Dijital Kimlik Cüzdanı

eIDAS 2.0 çerçevesinin yürürlüğe girmesiyle birlikte, dijital kimlik ve elektronik imza uygulamalarında daha kullanıcı odaklı ve mobil uyumlu bir dönüşüm başlatılmıştır. Bu bağlamda, Avrupa Dijital Kimlik Cüzdanı kavramı hukuk sistemine dahil edilmiştir. Bu dijital cüzdan, bireylerin kimlik kartları, sürücü ehliyetleri, akademik diplomalar ve sosyal güvenlik bilgileri gibi resmi belgeleri dijital bir ortamda güvenli bir şekilde saklamasına ve yönetmesine, bunları yetkili kurumlarla paylaşmasına ve elektronik imzaları doğrudan mobil cihazlar aracılığıyla atmasına olanak tanır.

Ayrıca, eIDAS 2.0 uzaktan kimlik doğrulama sistemlerini yöneten yasal ve teknik çerçeveyi güçlendirmekte ve mobil platformlar aracılığıyla nitelikli elektronik imzaların oluşturulmasını kolaylaştırmaktadır. Tüzük ayrıca hem kamu makamlarının hem de özel kuruluşların dijital cüzdanlar aracılığıyla doğrulanan kullanıcı kimliklerini tanımasını ve kabul etmesini zorunlu kılarak dijital işlemlerde yüksek düzeyde güven ve güvenlik sağlamaktadır.

3. Türkiye’de Elektronik İmza Rejimi – 5070 Sayılı Elektronik İmza Kanunu

Türkiye’de elektronik imzalara ilişkin yasal çerçeve, 23 Ocak 2004 tarihli ve 25355 sayılı Resmi Gazete’de yayımlanan 5070 Sayılı Elektronik İmza Kanunu (“5070 Sayılı Kanun”) ile düzenlenmektedir. Bu Kanun, yalnızca eIDAS Tüzüğü kapsamındaki nitelikli elektronik imzalara eşdeğer olan güvenli elektronik imzaları tanımakta, bununla beraber eIDAS kapsamında oluşturulan yapıya benzer şekilde elektronik imzaların kademeli bir sınıflandırmasını öngörmemektedir.

Bu bağlamda, Türk hukuk rejiminin, eIDAS Tüzüğü’nden önce gelen eski AB Elektronik İmzalar Direktifi’nin (1999/93/EC) yapısını yansıttığı söylenebilir.

Ana mevzuata ek olarak, “Elektronik İmza Kanunu’nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ve Bilgi ve İletişim Teknolojileri Kurumu (BTK) tarafından çıkarılan çeşitli ikincil düzenlemeler de Türkiye’deki düzenleyici çerçevenin önemli unsurlarını oluşturmaktadır.

3.1. Güvenli Elektronik İmza

5070 Sayılı Kanun’un 4. maddesi uyarınca, Güvenli Elektronik İmza, aşağıdaki özelliklere sahip bir elektronik imza olarak tanımlanmaktadır:

• Yalnızca imzalayana bağlıdır,
• Yalnızca imzalayanın kontrolü altında bulunan güvenli bir elektronik imza oluşturma aracı kullanılarak oluşturulur,
• İmzalayanın kimliğinin doğrulanmasını sağlayan nitelikli bir elektronik sertifikaya dayanır ve
• İmzalanan elektronik verilerde yapılan herhangi bir değişikliğin tespit edilmesini sağlar.

5070 Sayılı Kanun’a göre, kanunen resmi şekilde yapılması veya belirli bir şekil şartına tabi tutulması gereken hukuki işlemler (örneğin, banka teminat mektupları ve sigorta şirketleri tarafından düzenlenen kefalet senetleri) güvenli elektronik imza kullanılarak yapılamaz.

Elektronik imzalar yalnızca Bilgi ve İletişim Teknolojileri Kurumu tarafından yetkilendirilen Elektronik Sertifika Hizmet Sağlayıcıları (ESHS’ler) tarafından verilen sertifikalar kullanılarak oluşturulabilir.

3.2. Elektronik Sertifika Hizmet Sağlayıcıları

5070 Sayılı Kanun’un 8. maddesi, Elektronik Sertifika Hizmet Sağlayıcısı’nı, elektronik sertifikalar, zaman damgaları ve elektronik imzalarla ilgili hizmetler sağlayan bir kamu kurumu veya kuruluşu veya gerçek veya özel bir tüzel kişi olarak tanımlamaktadır.

Teknik olarak, BTK onaylı nitelikli sertifikalarla oluşturulan elektronik imzalar, eIDAS çerçevesi kapsamındaki Nitelikli Elektronik İmza kriterlerini karşılamaktadır. Bu nedenle, el yazısıyla atılan imzalarla aynı hukuki etkiye sahiptirler ve belirli sınırlamalar ari kalmak kaydı ile hukuken geçerli kabul edilmektedir.

Türkiye’de yetkilendirilen başlıca ESHS’ler BTK’nın istesinde listelenmektedir.

3.3. Mobil Elektronik İmza

Mobil elektronik imza, mobil bir cihaz kullanılarak oluşturulan elektronik imza olarak tanımlanabilir. Mobil elektronik imzanın, elektronik imzadan tek farkı elektronik imza oluşturma aracı olarak mobil bir cihaz içerisine konulan SIM kartın kullanılmasıdır. Elektronik imzaya ilişkin mevzuat mobil elektronik imzayı da kapsadığı için mobil elektronik imza da elektronik ortamda güvenli elektronik imzanın sağladığı hukuksal geçerliliği sağlar.

3.4. eIDAS Kapsamındaki Diğer İmza Türlerinin Türk Hukukundaki Statüsü

Basit Elektronik İmzalar ve Gelişmiş Elektronik İmzalar Türk mevzuatında ayrı olarak tanımlanmadığından, bu tür imzalar 5070 Sayılı Kanun anlamında güvenli elektronik imza olarak kabul edilmemektedir. Buna göre, önemleri hukuki geçerliliklerinden ziyade, delil kuralları kapsamındaki muamelelerinde yatmaktadır.

Örneğin, DocuSign gibi yabancı kaynaklı elektronik imza hizmetleri kullanılarak atılan imzalar, Türk hukuku uyarınca “güvenli elektronik imza” olarak kabul edilmemektedir ve bu nedenle 5070 Sayılı Kanun kapsamında geçerli elektronik imzalar teşkil etmemektedir. Sonuç olarak, DocuSign aracılığıyla imzalanan belgeler, Türk mahkemeleri nezdinde ıslak imzalı belgelere (basılı kopya araçlarına) eşdeğer kabul edilmemekte ve aynı delil ağırlığını taşımayabilmektedir.

Bu nedenle, DocuSign gibi üçüncü taraf dijital imza çözümleri aracılığıyla oluşturulan elektronik imzalar, Türk usul hukuku uyarınca, delil değeri hakimin takdirine bağlı olan Basit Elektronik İmzalar olarak değerlendirilmektedir.

4. Sektörel Uygulamalar ve Tıklama Modelleri

4.1. Tıklama Mekanizmaları Yoluyla Sözleşme Kurulması

Türk hukuku uyarınca, sözleşme serbestisi ilkesi gereğince, sözleşmeler tarafların açık ve karşılıklı niyetini yansıtan herhangi bir yöntemle geçerli bir şekilde kurulabilir. Özellikle belirli düzenlenmiş sektörlerde, mesafeli sözleşmeler, elektronik yollarla kurulabilir. Bu modelde, kullanıcı örneğin “Kabul Ediyorum”, “Onayla” veya “Devam Et” etiketli bir düğmeyi tıklayarak bir sözleşmeyi veya belgeyi kabul ettiğini belirtir. Başka bir deyişle, niyet beyanı, fiziksel veya nitelikli bir dijital imzaya gerek olmaksızın tek taraflı olarak bir tıklama yoluyla yapılır.

Aşağıdaki sektörler, bu tür mekanizmaların kullanımını göstermektedir:

• Bankacılık Sektörü: Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) düzenlemeleri uyarınca, dijital bankacılık kanalları aracılığıyla sözleşme kurulmasına güvenli kimlik doğrulama yöntemleri kullanılarak izin verilmektedir.
• Sermaye Piyasaları: Sermaye Piyasası Kurulu (SPK) düzenlemeleri, yatırım hizmetleri sözleşmelerinin dijital ortamlarda yapılmasını sağlamaktadır.
• Finans Kuruluşları / Fintek Şirketleri: Dijital müşteri edinme süreçlerinde, geçerli kimlik gerekliliklerinin karşılanması koşuluyla, sözleşmeler tıklama yöntemleriyle geçerli bir şekilde kurulabilir.
• Telekomünikasyon Sektörü: Bilgi ve İletişim Teknolojileri Kurumu, özel donanımlı tabletler aracılığıyla yakalanan imzaların hukuki geçerliliğini tanımaktadır. Çevrimiçi abonelik sözleşmeleri, güvenli kimlik doğrulama süreçleri aracılığıyla yapılabilir.

5. Elektronik İmzaların Hukuki Etkileri – Geçerlilik ve Delil Değeri

5.1. Sözleşme Kurulması Açısından Geçerlilik

Türk Borçlar Kanunu uyarınca, sözleşme serbestisi ilkesi geçerlidir. Buna göre, elektronik imzalarla yapılan sözleşmeler, ilke olarak, kanun uyarınca resmi yazılı şekil şartına tabi olmayan tüm işlemler için hukuken geçerli kabul edilmektedir.

5.2. Delil Değeri

5.2.1. Güvenli Elektronik İmza (Nitelikli Elektronik İmza):

Türk Hukuk Muhakemeleri Kanunu’nun (HMK) 205. maddesi uyarınca, güvenli elektronik imza ile imzalanan belgeler yazılı özel belge niteliği taşımakta olup, noter tasdikine gerek olmaksızın yargılamada kesin delil teşkil etmektedir.

Güvenli elektronik imza ile imzalanan bir belge, ıslak imza ile aynı hukuki etkiye ve delil değerine sahiptir.

5.2.2. Diğer Elektronik İmzalar / Tıklama Yöntemleri:

Türk hukuku uyarınca, güvenli elektronik imzalar dışındaki elektronik imzalar (örneğin, basit veya gelişmiş elektronik imzalar, tıklayarak kabuller dahil) özellikle imzalayanın kimliğinin tespit edilebildiği ve işlem kaydının güvenli bir şekilde tutulduğu durumlarda delil olarak kabul edilebilir. Ancak, Hukuk Muhakemeleri Kanunu’nun 202. maddesi uyarınca, bu tür imzalar genellikle ilk bakışta delil veya delil başlangıcı olarak kabul edilmektedir. Delil olarak kullanılabilirler, ancak karşı tarafça açıkça itiraz edilmesi halinde, iddiayı desteklemek için ek destekleyici deliller (örneğin, tanık ifadeleri, sistem günlükleri, dijital kayıtlar) gerekecektir. Elektronik ortamda kurulan e-sözleşmenin iki tüzel kişi arasında yapılması halinde, tüzel kişi adına e-sözleşmeyi internet ortamında kabul etmek suretiyle imza eden gerçek kişinin tüzel kişiyi temsil etmeye yetkisinin bulunup bulunmadığının tespiti de önemli bir konudur.

AB’de, bu tür imzalar tipik olarak eIDAS Tüzüğü uyarınca Basit Elektronik İmzalar olarak sınıflandırılmaktadır. Bununla birlikte, yüksek güvence gerektiren işlemler için, gelişmiş hukuki kesinlik ve güvenlik standartları nedeniyle Gelişmiş Elektronik İmzalar veya Nitelikli Elektronik İmzalar tercih edilmektedir.