(Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmelik m. 9, 25) (Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği m. 21, 44, 46) (Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ m. 8)  (Kayıtlı Elektronik Posta Rehberi ve Kayıtlı Elektronik Posta Hesabı Adreslerine İlişkin Tebliğ m. 11)

Karar Tarihi: 23.07.2018

Karar No: 2018/İK-SDD/242

Gündem Konusu: İnceleme - Kayıtlı Elektronik Posta Hizmet Sağlayıcıları

KARAR: Sektörel Denetim Dairesi Başkanlığının hazırladığı takrir ve ekleri incelenmiştir.

31.10.2017 tarihli ve E.69547 sayılı Başkanlık Oluru uyarınca, Kayıtlı Elektronik Posta Hizmet Sağlayıcılığı faaliyetlerine yönelik yükümlülüklerine istinaden KEPKUR Yazılım Bilişim Kayıtlı Elektronik Posta Hizmetleri Sanayi ve Ticaret AŞ nezdinde yürütülen inceleme sonucunda;

1. 25.08.2011 tarihli ve 28036 sayılı Resmi Gazete’de yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in "Teknik hususlara ilişkin tebliğ” başlıklı 25’inci maddesinin birinci fıkrasında yer alan “KEP sisteminin tüm süreçlerine ve işleyişine, KEPHS’nin faaliyetleri için kullandığı sistemlere ve cihazlara, fizikî güvenliğe ve personeline ilişkin uyulması gereken teknik kriterler Tebliğ ile belirlenir.” hükmü ile 25.08.2011 tarihli ve 28036 sayılı Resmi Gazete’de yayımlanan Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ’in "Güvenlik kriterleri” başlıklı 8’inci maddesinin birinci fıkrasında yer alan “KEPHS, güvenlik kriterlerine ilişkin olarak; a) ETSI TS 102 640, b) TS ISO/IEC 27001 veya ISO/IEC 27001, c) BS 10012, d) ISO/IEC 27031 standartlarına uyar.” hükmüne aykırı olarak “Active Directory” sunucusuna ait işletim sistemi loğlarının tutulmaması, KEP yazılımının yer aldığı “application server”da yapılan uygulama değişikliklerini yapan kişi ile “database” yöneticisinin aynı kişi olarak belirlenmesi ve “Database” sunucusunda “sa” jenerik kullanıcı adına aktif olarak yer verilmesi ve sisteme bu kullanıcı adı vasıtasıyla erişim sağlanmasına imkan bulunması nedeniyle,

15.02.2014 tarihli ve 28914 sayılı Resmi Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin “Kayıtlı elektronik posta hizmetine ilişkin ihlaller” başlıklı 21’inci maddesinin birinci fıkrasında yer alan “Kayıtlı elektronik posta sisteminin idarî, teknik ve hukukî gereklilikleri ile işleyişinde güvenli ürün ve sistemleri kullanmaması, hizmeti güvenilir bir biçimde yürütmemesi, hizmetlerini belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmaması, bu sistemlerde kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin belirlenen kurallara aykırı davranması veya Kurum tarafından ilgili mevzuat ile belirlenen diğer yükümlülüklere uymaması, kayıtlı elektronik posta sisteminin işleyişinin tüm aşamalarında kayıt altına alınması gerekli olan verileri gerektiği şekilde kaydetmemesi hallerinde kayıtlı elektronik posta hizmet sağlayıcısına bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanır.” hükmü ve “Yaptırım ölçütleri” başlıklı 44'üncü maddesindeki ölçütler göz önünde bulundurularak aynı Yönetmeliğin "Uyarı" başlıklı 46'ncı maddesinin birinci fıkrası hükmü uyarınca, KEPKUR Yazılım Bilişim Kayıtlı Elektronik Posta Hizmetleri Sanayi e Ticaret AŞ ‘nin uyarılması,

2. 25.08.2011 tarihli ve 28036 sayılı Resmi Gazete’de yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in “Kayıtlı elektronik posta hesabı başvurusu” başlıklı 9’uncu maddesinin altıncı fıkrasında yer alan “KEP hesabı adreslerine ilişkin usul ve esaslar Kurum tarafından belirlenir.” hükmü ile 16.05.2012 tarihli ve 28294 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kayıtlı Elektronik Posta Rehberi ve Kayıtlı Elektronik Posta Hesabı Adreslerine İlişkin Tebliğ’in 11 ’inci maddesinin dördüncü fıkrasının (a) bendinde yer alan “KEP hesabı adresinin “kullanıcı-tarafı” Gerçek kişiler için; “adı.soyadı.sayı” formatında oluşturulur. “adı” ve “soyadı” alanları kişinin nüfus cüzdanı, pasaport, sürücü belgesi gibi kimlik yerine geçen geçerli resmi belgelerde yazıldığı haliyle kullanılır. Başvuru sahibinin birden fazla adının veya soyadının olması halinde, bitişik yazılmak üzere adlardan veya soyadlardan en az birinin açık şekilde verilmesi zorunludur. Başvuru sahibinin talep etmesi halinde kısaltılacak adın veya soyadın kimlik yerine geçen resmi belgeler ile uyumlu bir şekilde kısaltılması esastır. Belirlenen “adı.soyadı” isimli KEP hesabı adresi daha önce başka bir hesap sahibi adına oluşturulmuş ise hesap adının sonuna (.) ayıracı konularak başvuru sahibinin belirleyebileceği ve daha önce “adı.soyadı”alanı aynı olan başka bir KEP hesabı adresinde kullanılmayan “sayı” alanı ilave edilir. “sayı” alanı 0-9 arasındaki rakamlar kullanılarak serbestçe belirlenir.” hükmüne aykırı olarak KEP hesabı adres yapısının mevzuata uygun belirlenmemiş olması nedeniyle,

15.02.2014 tarihli ve 28914 sayılı Resmi Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin "Kayıtlı elektronik posta hizmetine ilişkin ihlaller” başlıklı 21’inci maddesinin birinci fıkrasında yer alan “Kayıtlı elektronik posta sisteminin idarî, teknik ve hukukî gereklilikleri ile işleyişinde güvenli ürün ve sistemleri kullanmaması, hizmeti güvenilir bir biçimde yürütmemesi, hizmetlerini belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmaması, bu sistemlerde kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin belirlenen kurallara aykırı davranması veya Kurum tarafından ilgili mevzuat ile belirlenen diğer yükümlülüklere uymaması, kayıtlı elektronik posta sisteminin işleyişinin tüm aşamalarında kayıt altına alınması gerekli olan verileri gerektiği şekilde kaydetmemesi hallerinde kayıtlı elektronik posta hizmet sağlayıcısına bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanır.” hükmü ve "Yaptırım ölçütleri” başlıklı 44'üncü maddesindeki ölçütler göz önünde bulundurularak aynı Yönetmeliğin "Uyarı" başlıklı 46'ncı maddesinin birinci fıkrası hükmü uyarınca, KEPKUR Yazılım Bilişim Kayıtlı Elektronik Posta Hizmetleri Sanayi ve Ticaret AŞ ‘nin uyarılması,

3. 25.08.2011 tarihli ve 28036 sayılı Resmi Gazete’de yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in "Kayıtlı elektronik posta hesabı başvurusu” başlıklı 9’uncu maddesinin beşinci fıkrasında yer alan “KEPHS, oluşturulan KEP hesabına ilişkin bilgileri başvuru sahibine güvenli bir şekilde teslim eder.” hükmüne aykırı olarak KEP hesabına ilişkin bilgilerin başvuru sahibine teslim edilmemesi nedeniyle,

15.02.2014 tarihli ve 28914 sayılı Resmi Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin "Kayıtlı elektronik posta hizmetine ilişkin ihlaller” başlıklı 21’inci maddesinin birinci fıkrasında yer alan "Kayıtlı elektronik posta sisteminin idarî, teknik ve hukukî gereklilikleri ile işleyişinde güvenli ürün ve sistemleri kullanmaması, hizmeti güvenilir bir biçimde yürütmemesi, hizmetlerini belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmaması, bu sistemlerde kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin belirlenen kurallara aykırı davranması veya Kurum tarafından ilgili mevzuat ile belirlenen diğer yükümlülüklere uymaması, kayıtlı elektronik posta sisteminin işleyişinin tüm aşamalarında kayıt altına alınması gerekli olan verileri gerektiği şekilde kaydetmemesi hallerinde kayıtlı elektronik posta hizmet sağlayıcısına bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanır.” hükmü ve "Yaptırım ölçütleri” başlıklı 44'üncü maddesindeki ölçütler göz önünde bulundurularak aynı Yönetmeliğin "Uyarı" başlıklı 46'ncı maddesinin birinci fıkrası hükmü uyarınca KEPKUR Yazılım Bilişim Kayıtlı Elektronik Posta Hizmetleri Sanayi ve Ticaret AŞ ‘nin uyarılması

hususlarına karar verilmiştir. (¤¤)


Full & Egal Universal Law Academy