Türkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği
Eylül 2020, Erdemir&Özmen Avukatlık OrtaklığıTürkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği
“Türkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği (“Yönetmelik”)” 22.10.2020 tarihli Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. İlgili Yönetmelik ile Türkiye Cumhuriyeti kimlik kartı ile gerçekleştirilen elektronik kimlik doğrulama sistemi ile ilgili usul ve esaslar belirlenmektedir.
Yönetmeliğin 5. maddesi uyarınca kimlik kartında; kişi bilgileri, fotoğraf, imza, yonga, MRZ ve barkod alanları, biyometrik veri, elektronik sertifikalar ile güvenlik öğeleri bulunmaktadır.
Kimlik doğrulama hizmet sağlayıcısı (“KDHS”) olabilmek için başvurular Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne yapılacaktır
Yönetmelik’in 4. maddesinde “kimlik doğrulama hizmet sağlayıcısı” kavramından “EKDS standartlarına uygun olarak elektronik kimlik doğrulama ve kimlik doğrulamanın arşivlenmesine ilişkin hizmeti sağlayan kamu veya özel hukuk tüzel kişiler” olarak bahsedilmekle birlikte KDHS olabilmek için, gerekli şartlara haiz olan kamu veya özel hukuk tüzel kişilerinin KDHS olma talebini içeren başvurusunu Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün resmi internet sitesinde yayımlanan yöntem ile Genel Müdürlük’e yapması gerekmektedir. Yapılan başvurular Elektronik Kimlik Doğrulama Sistemi (“EKDS”) Değerlendirme Komisyonu tarafından en geç 3 ay içerisinde sonuçlandırılarak Bakan onayına sunulmaktadır. Onay verilen KDHS’ler, Genel Müdürlük’ün internet sitesi üzerinden kamuoyuna duyurulmaktadır.
Yönetmelik’in 9. maddesinde belirtildiği üzere EKDS ile ilgili standartlarda veya taahhütnamede yapılan değişikliklere KDHS’nin ne kadar sürede uyum sağlayacağını belirlemeye Genel Müdürlük yetkilidir. KDHS’nin değişikliklere uyum sağlayamaması durumunda, KDHS faaliyet izni İçişleri Bakanı’nın onayı ile iptal edilecektir.
Kimlik doğrulama politika sunucusu (“KDPS”), rol ve güvenli iletişim sertifikaları için başvuru süreci
EKDS’de Kimlik Doğrulama Politikası üretmek ve yayımlamak için kullanılan sunucu, Yönetmelik uyarınca “kimlik doğrulama politika sunucusu” olarak adlandırılmıştır. Yönetmelik’in 10. maddesinde ise KDHS’nin, hizmet alan adına, TSE tarafından yayımlanan KDPS ve rol sunucusuna ilişkin elektronik kimlik doğrulama sistemi standardını sağlamak şartıyla ve KDPS ile rol ve güvenli iletişim sertifikaları talep etmek amacıyla, Genel Müdürlük’ün resmi internet sitesinde yayımlanan yöntem ile Genel Müdürlük’e başvuru yapacağı belirtilmiştir. Kamu kurum ve kuruluşları ise rol ve güvenli iletişim sertifikası başvurularını Genel Müdürlük’ün belirleyeceği yönteme uygun olarak doğrudan yapabilecektir.
Güvenli erişim modülü (“GEM”) akıllı kartı ve yazılım yayıncı sertifikası başvuruları Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne yapılacaktır
Yönetmelik uyarınca, KDHS tarafından, hizmet alanının kart erişim cihazı (“KEC”) ile eşleşmiş kart erişim cihazı üzerindeki kriptografik işlemlerin gerçekleştirilmesi için kullanılan güvenli modül olan GEM akıllı kartlarının kullanıma açılmasına ilişkin başvuruların Genel Müdürlük’ün resmi internet sitesinde yayımlanan yöntem ile Genel Müdürlük’e yapılması gerekmektedir. Görevli elektronik sertifika hizmet sağlayıcısı, kendisine bildirilen GEM akıllı kartlarındaki sertifikaları en geç 7 gün içerisinde kullanıma açarak hem Genel Müdürlük’e hem de KDHS’ye bildirimde bulunacaktır.
EKDS’de üretilen bütün sertifikalar görevlendirilen ESHS tarafından şartları varsa iptal edilebilecektir
Yönetmelik’in 16. maddesine göre EKDS’de üretilen bütün sertifikalar görevlendirilmiş ESHS tarafından; Genel Müdürlük’ün talebi var ise, sertifika sahiplerinin talebi var ise, sertifikanın ilişkili olduğu özel anahtarın yüklenmiş olduğu ortam kaybolmuş veya çalınmışsa, sertifikanın ilişkili olduğu özel anahtar güvensiz veya kullanılmaz hale gelmişse veya kart erişim cihazı (“KEC”) üreticisi GEM akıllı kartlarının içerisindeki sertifikaların iptal edilmesini talep etmişse iptal edilebilecektir. Rol sertifikalarının ve güvenli iletişim sertifikalarının geçerlilik süresi sona erdiği zaman yenilenmesi durdurulacaktır.
Aynı yönetmelik maddesinde iptal talebi yapılan rol sertifikalarının ve güvenli iletişim sertifikalarının talep yapıldığı andan itibaren kullanılmamasının sağlanmasının hem KDHS’nin hem de sertifika sahibi kurumun sorumluluğunda olduğu belirtilmektedir. Sertifika iptal talepleri, görevli ESHS tarafından belirlenen yöntem ile doğrudan ESHS’ye yapılacaktır. Görevli ESHS kendisine iletilen sertifika iptal taleplerine derhal müdahale ederek bildirim ve iptal işleminin sonucunu en geç 2 gün içerisinde Genel Müdürlük’e raporlayacak ve sertifikalara ilişkin iptal durum kaydını herhangi bir kimlik doğrulamasına gerek olmaksızın ücretsiz ve kesintisiz olarak kamu erişimine açık tutacaktır. Ayrıca iptal edilen sertifikalara ilişkin olan iptal sebepleri, olası riskler ve alınacak önlemlere ilişkin kamuoyu duyuruları da görevli ESHS tarafından yapılacaktır.
Yetkili ESHS’nin EKDS’ye ilişkin iş ve işlemlerini Genel Müdürlük’e bildirmesi gerekmektedir
Yetkili ESHS’nin, Yönetmelik’in 17. maddesi gereğince, elektronik kimlik doğrulama sistemine (“EKDS”) ilişkin iş ve işlemlerini Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün kuracağı yönetim altyapısı üzerinden Genel Müdürlüğe bildirmesi gerekmekle birlikte EKDS’ye ilişkin olarak sunduğu hizmetlerin sürekli ve kesintisiz olarak sağlanabilmesi adına gerekli önlemleri alması da gerekmektedir. Ayrıca yetkili ESHS’nin, İçişleri Bakanlığı’nın izni olmaksızın EKDS’ye ilişkin iş ve işlemleri yürütmesi olanaksızdır.
KDHS, EKDS’ye ilişkin imza oluşturma ve doğrulama verileri ile sertifikasını Türkiye Cumhuriyeti sınırları dışına çıkaramayacaktır
KDHS kurduğu altyapı sistemindeki beyaz listeyi Yönetmelik’in 18. maddesi uyarınca Genel Müdürlük ile paylaşacaktır. KDHS’nin, beyaz liste dışında tesis edilmeye çalışılan işlemleri engellemesi ve yaptığı tespiti Genel Müdürlüğe bildirmesi gerekmektedir. Aynı zamanda KDHS, EKDS ile ilgili verdiği hizmette kullandığı donanım ve yazılımların EKDS standartlarına uygunluğuna ve bunların güvenliğine ilişkin gerekli tedbirleri almakla da yükümlüdür.
KDHS’nin, Yönetmelik’in 20. maddesi gereğince EKDS’ye ilişkin imza oluşturma ve doğrulama verileri ile sertifikasını Türkiye Cumhuriyeti sınırları dışına çıkarması mümkün olmadığı gibi KDHS’ye ait imza oluşturma ve doğrulama verilerinin geçerlilik süresinin 10 yılı aşması da mümkün değildir.
Kimlik kartında yer alan verilerin kimlik doğrulama amacı dışında kullanılması olanaksızdır
Yönetmelik’in 21. maddesinde kimlik kartındaki verilerin kimlik doğrulama amacı dışında kullanılamayacağı hüküm altına alınmıştır. Anılan madde hükmünün devamında hizmet alan ve KDHS’nin, kimlik kartındaki verilerin hukuka aykırı olarak işlenmesi ile söz konusu verilere hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacağı; özel nitelikli kişisel veriler için ise ayrıca, 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6. maddesinin dördüncü fıkrası uyarınca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınacağı vurgulanmıştır. Ayrıca Yönetmelik’te biyometrik veriler ile kimlik kartlarına ait PIN veya PUK bilgilerinin toplanamayacağı, saklanamayacağı ve paylaşılamayacağı ve ESHS tarafından verilen anahtar, sertifika ve yetkilerin Bakanlık’ın izni olmadan devredilemeyeceği belirtilmiştir.
Yönetmelik’in 22. maddesinde, EKDS sunucularına ve çevre birimlerine karşı yetkisiz erişimlerin engellenmesi amacıyla KDHS tarafından geri izleme ve güvenlik sistemi kurulacağı ve EKDS ile ilgili güvenliğe ilişkin olarak 6698 sayılı Kanun ve ilgili mevzuata uygun gerekli her türlü teknik ve idari tedbirlerin alınacağı hüküm altına alınmıştır. Kimlik doğrulama işlemi için kimlik doğrulama sunucusundan kimlik doğrulama başarım onayı alınmaksızın hizmet verildiği takdirde sorumluluk hizmet alana ait olacaktır.
EKDS’ye ilişkin kayıtların Yönetmelik’in 24. maddesi gereğince KDHS tarafından EKDS standartlarına uygun şekilde geri izleme bilgisi olarak 8 yıl süreyle saklanması gerekmektedir.
EKDS’nin mevzuata, ilgili standartlara ve taahhütnameye uygun olarak işletilip işletilmediği Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nce denetlenecektir
Yönetmelik’in 25. maddesinde de belirtildiği üzere EKDS’nin mevzuata, ilgili standartlara ve taahhütnameye uygun olarak işletilip işletilmediği Genel Müdürlük tarafından denetlenecektir. Genel Müdürlük tarafından yapılacak olan denetimlerde, kamu kurum ve kuruluşlarından veya özel hukuk tüzel kişilerinden faydalanılması veya hizmet alınması mümkündür. Denetim yapmaya yetkili olan görevlilerin, denetim sırasında, EKDS ile ilgili her türlü belge ve kayıtları istemesi; EKDS ile ilgili fiziki alanlara girmesi mümkündür. Aynı maddenin son fıkrasında “Denetim sonucuna göre mevzuata aykırı faaliyet gösterdiği tespit edilenler hakkında, 5490 ve 6698 sayılı Kanunlar ile 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun ilgili madde hükümlerine göre işlem yapılır.” denilmek suretiyle bu konu ile ilgili cezai yaptırım öngörülmüştür.
Yönetmelik’in 26. maddesinde denetim sonucunda KDHS’nin faaliyetine son verilmesini gerektiren haller düzenleme alanı bulmuştur. Buna göre, yapılan denetimin sonucunda Genel Müdürlük tarafından faaliyetinin devamına engel teşkil edecek bir durumun tespit edilmesi halinde KDHS’nin faaliyetlerine 1 ayı geçmemek üzere belirlenecek süre içerisinde son verileceği hizmet alanlarla paylaşılacak ve sürenin sonunda KDHS’nin faaliyetine İçişleri Bakanı’nın onayı ile son verilecektir. KDHS’nin gerekli şartları yerine getirmediğinin tespit edilmesi halinde eksikliğin giderilmesi için KDHS’ye 3 aya kadar süre verilmesi mümkündür. KDHS’nin, verilmiş olan sürenin sonunda eksikliği giderememesi halinde ise KDHS’nin faaliyetlerine 1 ayı geçmemek üzere belirlenecek süre içerisinde son verileceği hizmet alanlarla paylaşılacak ve sürenin sonunda KDHS’nin faaliyetine Bakan onayı ile son verilecektir. Söz konusu durumların varlığı halinde hizmet alan, KDHS’nin faaliyeti sonlanmadan önce başka bir KDHS ile kimlik doğrulama hizmeti almak üzere anlaşabilecektir. Hizmet alan, faaliyetine son verilen KDHS’de saklanan, KDB verilerinin anlaştığı KDHS’ye devrinden eski KDHS ile birlikte müteselsilen sorumlu olacaktır.
Faaliyetine son verilen KDHS, hizmet alanların tamamının devir işlemlerini tamamlamasını müteakip kimlik doğrulama hizmetine son verecektir. Kimlik doğrulama hizmetinin devredilebileceği herhangi bir KDHS’nin bulunamaması durumunda kimlik doğrulama faaliyetine son verilen KDHS’nin oluşturduğu KDB verilerini teslim alacak merciyi belirlemeye Genel Müdürlük yetkilidir. KDB verilerini teslim alan merci, KDB verilerini söz konusu Yönetmelik’te belirtildiği süre kadar saklamak ve veriyi sakladığı süre içerisinde adli ve idari taleplere cevap vermekle yükümlü olacaktır.
Yönetmelik’in 27. maddesi uyarınca KDHS’nin faaliyetine son vereceği tarihten an az 3 ay önce durumu Genel Müdürlük’e bildirmesi gerekmektedir. KDHS’nin faaliyetine son vereceğini Genel Müdürlük ve KDHS, internet sayfasında yayımlamakla yükümlüdür. KDHS, faaliyetine son verme tarihine kadar hizmetlerine devam edecektir. Hizmet alan KDHS’nin faaliyeti sonlanmadan önce başka bir KDHS ile kimlik doğrulama hizmeti devri konusunda anlaşabilecektir. Genel Müdürlük taraflar arasında anlaşma sağlanması halinde, faaliyetine son verilen KDHS’de bulunan KDB verilerinin devredilmesine karar verecektir ve hizmet alan, faaliyetine son veren KDHS’de saklanan, KDB verilerinin anlaştığı KDHS’ye devrinden eski KDHS ile birlikte müteselsilen sorumlu olacaktır. KDHS, devir işlemlerinin tamamlanmasını müteakip kimlik doğrulama hizmetine son verecektir. Faaliyetine son veren KDHS, devir işlemlerinden sonra KDB verisini ve EKDS ile ilgili imza oluşturma verisi ile yedeklerini imha edip bu durumu kayıt altına alarak Genel Müdürlük’e bildirmekle yükümlü olacaktır. Kimlik doğrulama hizmetinin devredilebileceği herhangi bir KDHS’nin yoksa, kimlik doğrulama faaliyetine son veren KDHS’nin oluşturduğu KDB verilerini teslim alacak merciyi belirlemeye Genel Müdürlük yetkilidir. KDB verilerini teslim alan merci, KDB verilerini Yönetmelik’te belirtildiği süre kadar saklamak ve veriyi sakladığı süre içerisinde adli ve idari taleplere cevap vermekle yükümlüdür.
Hizmet alanın faaliyetine son vermesi halinde hizmet alan, hizmet aldığı KDHS, KDB verilerini Yönetmelikte belirtildiği süre kadar saklamak ve veriyi sakladığı süre içerisinde adli ve idari taleplere cevap vermekle yükümlüdür.
Kimlik doğrulama yöntemleri Yönetmelik’in 30. maddesinde düzenlenmiştir
Kimlik doğrulama yöntemlerinden hangisinin veya hangilerinin kullanılacağı, hizmet alan kurumun tabi olduğu mevzuat hükümlerine ve hizmetin niteliğine uygun olarak hizmet alan tarafından belirlenecektir.
a) Fiziksel kimlik doğrulama: Kart gövdesi üzerinde bulunan görsel güvenlik özellikleri ve kimlik bilgileri kullanılarak yapılan doğrulama yöntemidir.
b) Kimlik doğrulama sertifikası ile kimlik doğrulama: Kimlik doğrulama sertifikasının Genel Müdürlük tarafından verildiğinin ve geçerliliğinin akıllı kart okuyucu kullanılarak kontrol edilmesi yöntemidir.
c) KEC kullanılarak kimlik doğrulama sertifikası ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi yöntemidir.
ç) KEC kullanılarak kimlik doğrulama sertifikası ve fotoğraf ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi ve vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından doğrulanması yöntemidir.
d) KEC kullanılarak kimlik doğrulama sertifikası ve biyometrik veri ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin, KEC kullanılarak kontrol edilmesi ve vatandaşın biyometrik verisinin KEC kullanılarak doğrulanması yöntemidir.
e) KEC kullanılarak kimlik doğrulama sertifikası, fotoğraf ve biyometrik veri ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi, vatandaşın biyometrik verisinin KEC kullanılarak doğrulanması ve vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından doğrulanması yöntemidir.
f) Kimlik doğrulama sertifikası ve PIN ile kimlik doğrulama: Kimlik doğrulama sertifikasının Genel Müdürlük tarafından verildiğinin ve geçerliliğinin Akıllı Kart Okuyucu kullanılarak kontrol edilmesi ve kimlik doğrulama PIN’inin akıllı kart okuyucu kullanılarak doğrulanması yöntemidir.
g) KEC kullanılarak kimlik doğrulama sertifikası ve PIN ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi ve kimlik doğrulama PIN’inin KEC kullanılarak doğrulanması yöntemidir.
ğ) KEC kullanılarak kimlik doğrulama sertifikası, PIN ve fotoğraf ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi, kimlik doğrulama PIN’inin KEC kullanılarak doğrulanması ve vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından doğrulanması yöntemidir.
h) KEC kullanılarak kimlik doğrulama sertifikası, PIN ve biyometrik veri ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi, kimlik doğrulama PIN’inin ve vatandaşın biyometrik verisinin KEC kullanılarak doğrulanması yöntemidir.
ı) KEC kullanılarak kimlik doğrulama sertifikası, PIN, fotoğraf ve biyometrik veri ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi, kimlik doğrulama PIN’inin ve vatandaşın biyometrik verisinin KEC kullanılarak doğrulanması ve vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından doğrulanması yöntemidir.
KDHS her yıl Mart ayı sonuna kadar Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne faaliyet raporu sunacaktır
Yönetmelik’in 31. maddesine göre KDHS, her yıl Mart ayı sonuna kadar Genel Müdürlük’e bir önceki yıla ilişkin, yıl içinde sunulan hizmetin detaylarını, varsa kendisine devredilen KDB verilerini ve Genel Müdürlük tarafından istenecek diğer bilgi ve belgeleri içeren rapor verecektir. Genel Müdürlük tarafından talep edildiği takdirde, görevlendirilen ESHS, EKDS’nin kullanımına yönelik rapor hazırlamakla sorumlu olacaktır.
Sonuç
İlgili Yönetmelik ile başlıca; elektronik kimlik doğrulama sistemine ilişkin usul ve esasların düzenlenmesi yoluyla güvenlik tedbirinin önde tutularak KDHS, KDPS ve ESHS’nin görevlerini gereği gibi icra edebilmeleri amaçlanmaktadır. Bu doğrultuda, yukarıda detaylı olarak açıklandığı üzere nasıl seçilecekleri hususu, başvuru süreçleri, denetimler ve denetim sonucuna göre uygulama alanı bulacak olan cezai yaptırımlar Yönetmelik’te ayrıntılı olarak düzenlenmiştir.
Yönetmelik’in tam metnine ulaşmak için lütfen aşağıdaki linke tıklayınız.
https://www.resmigazete.gov.tr/eskiler/2020/10/20201022-15.htm