KVKK ve BTK Perspektifiyle E-İmza: Açık Rıza, İspat, Loglar ve Uzun Süreli Saklama

KVKK ve BTK Perspektifiyle E-İmza: Açık Rıza, İspat, Loglar ve Uzun Süreli Saklama

E-imza projelerinde uyum (compliance) genellikle "belgeyi e-imza ile imzalatmak" seviyesinde düşünülür. Oysa hem Türkiye'de 5070 sayılı Kanun'un sınırları, hem de KVKK'nın "ispat yükü veri sorumlusundadır" yaklaşımı, e-imzayı uçtan uca bir kanıt ve denetim izi tasarımı haline getirir.

KVKK tarafı (açık rıza = her zaman gerekli değil)

Açık rıza elektronik ortamda alınabilir, ama ispat yükü sizde

KVKK, "diğer mevzuat saklı kalmak üzere" açık rızanın yazılı olmak zorunda olmadığını; elektronik ortam, çağrı merkezi vb. yollarla da alınabileceğini belirtir. Ancak kritik cümle şudur: ispat yükümlülüğü veri sorumlusuna aittir.

Bu, ürün tasarımına iki gereksinim olarak yansır:

1. Kullanıcı neye rıza verdiğini anlayacak biçimde (belirli, bilgilendirmeye dayanan, özgür iradeyle) onay vermeli.
2. Siz, bu onayın hangi metne/versiyona, hangi tarihte/saatte, hangi oturumda, hangi kanıtlarla bağlandığını saklamalısınız (audit trail).

Açık rıza metni imza ile mi alınmalı?

KVKK, rızanın elektronik ortamda alınabileceğini söyler; bu, her rızanın güvenli e-imza ile alınması gerektiği anlamına gelmez. Ürün ekipleri için pratik kural: "Risk ve tartışma ihtimali yüksek süreçlerde" (ör. yüksek tutarlı sözleşme, finansal taahhüt, uzun vadeli ilişki) e-imza kanıtını güçlendiren bir kontrol olarak konumlandırılabilir; daha düşük riskte ise kullanıcı deneyimini bozmadan farklı kanıt setleri (oturum kaydı, OTP doğrulaması, gönderim logları) değerlendirilebilir.

BTK ve 5070 tarafı (teknik kriter + işlem sınırı)

Türkiye'de yetkili sağlayıcı ve teknik çerçeve

Türkiye'de nitelikli elektronik sertifika temini için BTK tarafından listelenen ESHS'ler referans noktasıdır. 5070 sayılı Kanun, "güvenli e-imza"nın hukuki etkisini kurarken; ikincil mevzuat (yönetmelik/tebliğ) sertifika süreçleri, kimlik tespiti, arşivleme ve teknik kriterleri detaylandırır.

Uzun dönem geçerlilik için imza profilleri

BTK'nın imza profilleri rehberi, CAdES/XAdES/PAdES formatlarında farklı profil seviyeleri tanımlar ve imzanın oluşturulması/doğrulanması için kurallar belirler. Kurumsal uyum açısından bunun anlamı şudur: "Sadece imzayı al" yerine, "doğrulanabilir ve yıllar sonra da kanıtlanabilir imza al" hedefi seçilmelidir.

Log, audit trail ve arşiv (delil değeri burada kazanılır)

Akademik bulgu: arşivsel bağ koparsa delil zayıflar

E-imzalı belgelerin delil değerinin uzun dönemde korunmasına dair doktora tezi bulguları, teknik koşullar kadar kurum politikası/prosedürü ve belgenin hiyerarşik bağının korunmasının önemli olduğunu söyler. Bu, "belgeyi bir klasöre koyduk" yaklaşımının yetersiz olduğunu gösterir.

Pratik kontrol seti

• İmzalı dosyanın hash'i + imza doğrulama raporu + sertifika zinciri + iptal bilgisi (varsa) aynı delil paketi içinde tutulmalı.
• Zaman damgası kullanılıyorsa, RFC 3161 uyumlu token'lar ve doğrulama çıktısı saklanmalı.
• E-yazışma gibi resmî süreçlerde, uzun vadeli imza profillerine uygunluk vurgulanır; bu yaklaşım özel sektörde de "iyi uygulama" olarak benimsenebilir.

Uyum ile UX'i barıştırmak (en sık hata: kullanıcıyı boğmak)

Uyum ekranları genellikle metin yığınına dönüşür. Oysa KVKK açısından hedef, "kullanıcının gerçekten anladığı, seçebildiği ve sonradan ispatlanabilen" bir onay modelidir. Bu nedenle iyi UX şu üç ilkeyi izler:

• Metinleri katmanlandır (özet → detay)
• Seçimleri ayrıştır (zorunlu sözleşme onayı vs opsiyonel pazarlama izni)
• Kanıtı görünmez topla (metin versiyonu, zaman, oturum, cihaz, doğrulama sonucu)

KVKK bakımından "elektronik ortamda rıza mümkün", ama ispat yükü sizde; BTK bakımından ise "doğru imza profili + uzun dönem doğrulama" delil gücünü belirler.