Ekli “Kimlik Paylaşımı Sistemi Yönetmeliği”nin yürürlüğe konulmasına, 5490 sayılı Nüfus Hizmetleri Kanunu ve 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi hükümleri gereğince karar verilmiştir.
Kimlik Paylaşımı Sistemi Yönetmeliği
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
(1) Bu Yönetmeliğin amacı; İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü merkezi veri tabanında yer alan verilerin, alıcı kurumlarla çevrimiçi paylaşımına ilişkin usul ve esasları düzenlemektir.
Kapsam
(1) Bu Yönetmelik, merkezi veri tabanındaki verilerin; alıcı kurumlarla paylaşımı, paylaşıma ilişkin başvuru, taahhütnamenin imza, iptal ve fesih süreçleri, yetkilendirilme, paylaşılan verilerin gizliliğinin ve güvenliğinin sağlanması, kurumların iş ve işlemlerine ilişkin bilgilerin takibi ve kullanıcıların eğitimine ilişkin usul ve esasları kapsar.
Dayanak
(1) Bu Yönetmelik, 25/4/2006 tarihli ve 5490 sayılı Nüfus Hizmetleri Kanunu ile 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi hükümlerine dayanılarak hazırlanmıştır.
Tanımlar
(1) Bu Yönetmelikte geçen;
a) Alıcı kurum: Kimlik Paylaşımı Sisteminden faydalanan Genel Müdürlük dışındaki kurum ve kamu hizmeti sunan tüzel kişilikleri,
b) Alt kullanıcı: Alıcı kurumun, uygulamalar üzerinden web servis yolu ile Kimlik Paylaşımı Sisteminden faydalanması için yetkilendirdiği kişileri,
c) Bakanlık: İçişleri Bakanlığını,
ç) Genel Müdürlük: Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünü,
d) IP adresi: İnternet ya da diğer paket anahtarlamalı ağlara bağlı cihazların, ağ üzerinden birbirleri ile veri alışverişi yapmak için kullandıkları adresi,
e) İdari kullanıcı: Alıcı kurum adına Kimlik Paylaşımı Sistemi ile ilgili iş ve işlemleri yürütmeye ve imzaya yetkili kurum temsilcisini,
f) Kanun: 25/4/2006 tarihli ve 5490 sayılı Nüfus Hizmetleri Kanununu,
g) Kimlik numarası: Genel Müdürlük merkezi veri tabanında tutulan kimlik numaralarını,
ğ) Kimlik Paylaşımı Sistemi: Merkezi veri tabanında tutulan verilerin alıcı kurumlar ile paylaşıldığı sistemi,
h) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
ı) Kullanıcı: Alıcı kurumca tanımlanan idari kullanıcıyı, teknik kullanıcıları, servis kullanıcısını ve alt kullanıcıları,
i) Kurul: Merkezi veri tabanında yer alan verilerin paylaşımına ilişkin talepleri değerlendirmek üzere oluşturulan Veri Paylaşımı Kurulunu,
j) Kurum: Genel Müdürlük dışındaki diğer kamu kurum ve kuruluşlarım,
k) Merkezi veri tabanı: Genel Müdürlükçe elektronik ortamda tutulan verileri,
l) Nüfus müdürlüğü; İl nüfus ve vatandaşlık müdürlüğü ile ilçe nüfus müdürlüğünü,
m) Portal: Bu Yönetmelikle yetkileri tanımlanmış olan alıcı kurum kullanıcılarının iş ve işlemlerini takip ettiği elektronik ortamı,
n) Servis kullanıcısı; Alıcı kurum adına Kimlik Paylaşımı Sistemi aracılığıyla sunulan web servis hizmetlerinin eklenti yolu ile kullanılabilmesi için merkezi veri tabanında oluşturulan sanal kullanıcıyı,
o) Taahhütname: Alıcı kurumların imzaladığı ve paylaşılan verilerin güvenliğini sağlamaya yönelik almayı taahhüt ettiği idari ve teknik tedbirleri içeren belgeyi,
ö) Teknik kullanıcı: İdari kullanıcı tarafından Kimlik Paylaşımı Sisteminden faydalanması için merkezi veri tabanına tanımlanmış kişileri,
ifade eder.
İKİNCİ BÖLÜM
Paylaşım Esasları
Verilerin paylaşımına ilişkin esaslar
(1) Merkezi veri tabanında tutulan veriler, Kanun ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda ve bu Kanunların ikincil düzenlemelerinde belirtilen usul ve esaslar çerçevesinde alıcı kurumlar ile paylaşılır. Paylaşılacak veriler, alıcı kurumun veri işleme amacı ve yasal dayanağı göz önüne alınarak belirlenir.
(2) Kimlik Paylaşımı Sisteminden, mücbir sebepler dışında güvenli ve kesintisiz bir şekilde hizmet sunulması esastır.
(3) Genel Müdürlük, alıcı kurumlar tarafından tanımlanmış kullanıcılar haricinde Kimlik Paylaşımı Sistemine yetkisiz erişimin engellenmesi için gerekli tedbirleri alır.
(4) Alıcı kurumlar, kendi iş ve işlemlerine esas olmak üzere sadece ilgili kişilerin bilgilerini alabilirler ve aldıkları bilgileri tanımlanmış hizmetlerin yerine getirilmesi dışında başka hiçbir amaçla kullanamaz. Alıcı kurumlar, yaptıkları iş ve işlemleri Kimlik Paylaşımı Sisteminden elde ettikleri güncel verilerle gerçekleştirir.
(5) Kimlik Paylaşımı Sistemi yoluyla merkezi veri tabanından elde edilen veriler, aksi ispat oluncaya kadar geçerlidir.
(6) Kimlik Paylaşımı Sistemi üzerinden erişilebilen bilgi ve belgeler, alıcı kurumlar tarafından ilgilisinden veya nüfus müdürlüğünden talep edilemez. Kimlik Paylaşımı Sistemi vasıtasıyla üretilen belgeler, nüfus müdürlüklerinden alınmış belgelerle aynı hukuki değere sahiptir.
(7) Alıcı kurumun, kendi iş ve işlemlerinde kullanmak üzere Kimlik Paylaşımı Sistemi üzerinden ürettiği belgeler, gerekli görülmesi halinde alıcı kurumun görevlisi tarafından onaylanır.
(8) Alıcı kurumlar, Kimlik Paylaşımı Sisteminden yaptıkları sorgulamalara ilişkin kullanım bilgilerini takip ve kontrol eder.
Başvuru ve taahhütname süreci
(1) Kimlik Paylaşımı Sisteminden yararlanmak isteyen alıcı kurumlar, Genel Müdürlüğe yazılı olarak veya elektronik ortamda talepte bulunur.
(2) Başvuruda, talep edilen bilgilerin kullanılma gerekçesinin açık, net ve somut olması, alıcı kurumun bilgileri almasına esas olan yasal dayanağın belirtilmesi ve Genel Müdürlük tarafından talep edilen belgelerin gönderilmesi zorunludur.
(3) Yapılan başvurular Kurul tarafından değerlendirilir. Kurulca uygun görülmeyen alıcı kurumların başvurusu gerekçesi belirtilerek reddedilir.
(4) Başvurusu Kurulda uygun görülen kurumların Genel Müdürlükçe belirlenen uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri aldığını yazılı olarak beyan etmesi zorunludur. Beyan edilen idari ve teknik tedbirlerin devamlılığı ve güncelliğinden alıcı kurum sorumludur.
(5) Genel Müdürlükçe belirlenen güvenlik unsurlarını sağlamayan alıcı kurumlar, bu hususun bildirildiği tarihten itibaren altmış gün içinde eksiklikleri tamamlamak zorundadır. Aksi halde alıcı kurumun başvurusu reddedilir.
(6) Başvurusu uygun görülen alıcı kurum tarafından taahhütname imzalanır. Genel Müdürlüğün uygun ve gerekli gördüğü hallerde taahhütname hükümlerinde değişikliğe gidilebilir ve bu durumda taahhütname yenilenir.
(7) Taahhütnamede aşağıda belirtilen hususlara yer verilir:
a) Verilere hangi amaçla erişileceği.
b) Erişimin hukuki sebebi.
c) Verilere erişim şekli ve süresi.
ç) Yetki ve görevler.
d) Hukuki sorumluluk.
e) Alınması gereken idari ve teknik tedbirler.
f) Diğer hususlar.
(8) Genel Müdürlük, merkezi veri tabanında tutulan verileri, bu Yönetmelikte belirlenen usul ve esaslara göre hazırlanmış taahhütnamenin alıcı kurum tarafından imzalanmasından sonra Kimlik Paylaşımı Sistemi ile paylaşıma açabilir.
Kimlik Paylaşımı Sisteminde tanımlama ve yetkilendirme
(1) Genel Müdürlük alıcı kurumların, sabit IP adresi ve uygun görülecek güvenlik yöntemleri ile bağlantı kurarak internet üzerinden Kimlik Paylaşımı Sistemine erişimini sağlar.
(2) Alıcı Kurum, Kimlik Paylaşımı Sistemi bağlantısını taahhütnamede belirlenen amaçlar doğrultusunda taşra teşkilatına, şubelerine ve alt kuruluşlarına da sağlayabilir. Kamu kurum ve kuruluşları, yurt dışı teşkilatlarına da bu hizmeti sağlayabilir.
(3) Alıcı kurumların taşra teşkilatları, şubeleri, alt kuruluşları veya yurt dışı teşkilatları ile ayrıca taahhütname yapılmaz.
(4) Alıcı kurum, kendi teşkilat yapısı dışındaki kurum, kuruluş ve kişileri Kimlik Paylaşımı Sistemi sorgulama hizmetinden faydalandıramaz.
(5) Alıcı kurum, alt kullanıcıların yetkilerini belirlemek ve tanımlamakla yükümlüdür. Alıcı kurum, tanımladığı kullanıcı bilgilerini Genel Müdürlüğün belirleyeceği yöntem ile Genel Müdürlüğe bildirir.
(6) Genel Müdürlük, alıcı kurumların idari ve teknik kullanıcılarının kontrol edilmesini, taahhütname ile sağlanan yetkilendirme çerçevesinde bilgi almasını ve tanımlanan kullanıcılara ait tüm güncel bilgilerin merkezi veri tabanında tutulmasını sağlamakla yükümlüdür.
Kimlik Paylaşımı Sisteminin kullanılması
(1) Alıcı kurumların Kimlik Paylaşımı Sistemi yoluyla yapabilecekleri sorgulama yöntemleri, sorgu sayısı limitleri ve alabilecekleri veriler, Kurul tarafından belirlenir. Alıcı kurumlar, tanımlanan yetkilerine ilişkin veri ve dokümanlara Genel Müdürlüğün sunduğu portal üzerinden erişim sağlar.
(2) Kimlik Paylaşımı Sistemi, alıcı kurumların web sayfaları ile ulaşabilecekleri etkileşimli sorgulamalar ve kendi yazılım uygulamaları içerisine ekleyecekleri eklentiler ile sorgulama yapmalarına olanak verecek web servislerinden oluşur.
(3) Alıcı kurumun almaya yetkili olduğu veri, sorgu sonucu gönderilir. Alıcı kurumun mevcut yetkilerine ek olarak yetki talep etmesi durumunda, talep ettiği yetkinin kullanma gerekçesi ve yasal dayanağının belirtilmesi zorunludur. Talep edilen ek yetkinin verilip verilmeyeceğine dair değerlendirme Kurul tarafından yapılır.
Kimlik Paylaşımı Sistemi yoluyla erişilecek bilgilerin gizliliği
(1) Kimlik Paylaşımı Sisteminin kullanılmasında, mevzuatta yer alan özel hayatın gizliliği ve kişisel verilerin korunmasına ilişkin hükümler esas alınır.
(2) Alıcı kurumlar, aldıkları verileri taahhütnamede belirtilen esaslar doğrultusunda ve mevzuatta belirlenen görev ve sorumluluklarının yerine getirilmesi dışında herhangi bir amaçla kullanamaz.
(3) Alıcı kurumlar, aldıkları verilerin gizliliğini sağlar ve bu verilerin hukuka aykırı olarak işlenmesi ile erişilmesini önlemek ve muhafazasını sağlamak amacıyla her türlü idari ve teknik tedbirleri alır. Özel nitelikli kişisel veriler için ise 6698 sayılı Kanunun 6 ncı maddesinin dördüncü fıkrası uyarınca Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemler alınır.
(4) Kimlik Paylaşımı Sistemi yoluyla elde edilen verilerin kullanılmasının hukuki sorumluluğu, alıcı kurumlara aittir. Kimlik Paylaşımı Sisteminin bütün aşamalarında görev yapan yetkililer, taahhütnamede belirtilen esaslara uymakla yükümlüdür. Bu yükümlülük, kişilerin görevlerinden ayrılmalarından sonra da devam eder.
(5) Kimlik Paylaşımı Sisteminden elde edilen verilerin ilgili mevzuat ve taahhütnamede yer alan hükümlere aykırı olarak kullanılması, alıcı kurumun sistem yazılımlarından kaynaklanan hatalı sorgulamalar ve güvenlik açıklan gibi sebeplerle verilerin yetkisiz kişilerce elde edilmesi ve kullanılmasından doğan her türlü hukuki, mali ve cezai sorumluluk alıcı kuruma aittir.
(6) Alıcı kurumlar, Kanunda ve 6698 sayılı Kanunda belirtilen usul ve esaslara uymakla ve bu esaslar dahilinde kullanıcıların yaptığı işlemleri takip etmekle yükümlüdür.
Geri izleme bilgilerinin oluşturulması
(1) Genel Müdürlük, alıcı kurumun Kimlik Paylaşımı Sisteminden yaptığı her türlü işlemin tarihi, saati ve web servis adına ilişkin kayıtları, kullanıcı veya servis, idari ve teknik kullanıcı düzeyinde geri izleme bilgisi olarak tutar.
(2) Alıcı kurumlar, Kimlik Paylaşımı Sisteminden yapılan her türlü işlemin tarihi, saati, web servis adına ilişkin kayıtları, kullanıcı düzeyinde geri izleme bilgisi olarak tutar.
(3) Genel Müdürlük ve alıcı kurumlar geri izleme bilgisini, sorgulanan kişi ve sorgu sonucundan etkilenen diğer kişilerin de kimlik numaralarını içerecek şekilde tutar.
(4) Genel Müdürlük ile alıcı kurumun geri izleme bilgilerinde tutarsızlık olması halinde Genel Müdürlük kayıtları esas alınır.
(5) Genel Müdürlük ve alıcı kurum, değiştirilmesini engelleyerek ve yetkisiz erişime karşı koruyarak, geri izleme bilgilerini sekiz yıl süre ile saklar. Bu süre sonunda geri izleme bilgileri, 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında silinir veya yok edilir.
ÜÇÜNCÜ BÖLÜM
Takip, Denetim ve Değerlendirme
Alıcı kurum işlemlerinin takibi
(1) Genel Müdürlük, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla her türlü idari ve teknik güvenlik tedbirlerini alır ve alıcı kurumların da bu tedbirleri almasını takip eder ve denetler.
(2) Genel Müdürlük, alıcı kurumların iş ve işlemlerine ilişkin tüm bilgileri takip eder ve değerlendirir.
(3) Kimlik Paylaşımı Sisteminden faydalanmak isteyen alıcı kurumlar başvuru aşamasında, faydalanan kurumlar ise her takvim yılı sonunda, Kanunun 45 inci maddesinin beşinci fıkrası kapsamında Genel Müdürlükçe talep edilen idari ve teknik güvenlik tedbirlerini sağladığını gösterir güvenlik taahhütnamesini Genel Müdürlüğe gönderir.
Denetim
(1) Kimlik Paylaşımı Sisteminin kullanan alıcı kurumlar;
a) Mevzuatla kendisine denetim yetkisi ve görevi verilmiş kurum ve kuruluşlar,
b) Genel Müdürlük veya yetkilendireceği kurum,
aracılığıyla denetlenir.
(2) Denetleme sırasında, alıcı kurum tarafından her türlü bilgi, belge, kayıt ve veri taleplerinin karşılanması ve sistemin incelemeye açılması zorunludur.
(3) Denetleme sonucuna göre usulsüzlük tespiti halinde, Kanun, 6698 sayılı Kanun ve 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun ilgili maddelerine göre işlem yapılır.
Taahhütnamenin askıya alınması ve iptali
(1) Alıcı kurumlar; isim, unvan, idari kullanıcı ve adres değişikliğini en geç on beş gün içerisinde Genel Müdürlüğe bildirmekle yükümlüdür. Bu yükümlülüğü yerine getirmediği tespit edilen alıcı kurumların Kimlik Paylaşımı Sisteminden faydalanması geçici olarak askıya alınır. Bu yükümlülüğün yerine getirilmesini müteakip Kimlik Paylaşımı Sistemi kullanıma açılır.
(2) Alıcı kurumun yapısının değişerek birleşmesi veya ayrılması halinde üç ay içerisinde yeni taahhütname imzalanır. Yeni taahhütname imzalanana kadar bu alıcı kurumlar, Kimlik Paylaşımı Sisteminden faydalanmaya devam eder. Belirtilen süre sonunda alıcı kurumca taahhütname imzalanmadığı takdirde bu sürenin uzatılmasına veya erişimin kapatılmasına karar vermeye Kurul yetkilidir.
(3) Alıcı kurum tarafından taahhüt edilen idari ve teknik güvenlik tedbirlerinin yerine getirilmediğinin Genel Müdürlükçe tespit edilmesi halinde Kimlik Paylaşımı Sistemi kullanıma kapatılır ve taahhütname tek taraflı olarak iptal edilebilir.
(4) Kişisel verilerin hukuka aykırı olarak işlenmesinin tespit edilmesi halinde 6698 sayılı Kanunun ilgili hükümlerine göre işlem yapılır.
(5) Kimlik Paylaşımı Sisteminden alman verilerin doğrudan veya dolaylı olarak gizliliğinin ve güvenliğinin tehlikeye düştüğünün tespit edilmesi halinde alıcı kurumun Kimlik Paylaşımı Sistemine erişim yetkisi askıya alınır. Alıcı kurumun her türlü idari ve teknik tedbirleri alması ve bu tedbirlerin Genel Müdürlükçe uygun görülmesi halinde Kimlik Paylaşımı Sistemine yemden erişimi sağlanır.
(6) Kamu hizmeti sunan tüzel kişiliğin bu niteliğini kaybetmesi halinde Kimlik Paylaşımı Sistemi taahhütnamesi Genel Müdürlükçe tek taraflı olarak iptal edilir.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Eğitim
(1) Kimlik Paylaşımı Sistemi ile ilgili eğitim, Genel Müdürlükçe sağlanacak bir portal üzerinden yapılır.
Katılma payı
(1) Kanunun 65 inci maddesi kapsamında alınacak hizmetler ücrete tabidir.
(2) Ücretlendirmenin usul ve esasları, Bakanlık ile Hazine ve Maliye Bakanlığınca müştereken belirlenir.
Düzenleme yetkisi
(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye, ilke ve standartları belirlemeye, uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta her türlü bilgi ve belgeyi istemeye ve bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde düzenleme yapmaya Bakanlık yetkilidir.
Yürürlükten kaldırılan yönetmelik
(1) 16/11/2006 tarihli ve 2006/11249 sayılı Bakanlar Kurulu Karan ile yürürlüğe konulan Kimlik Paylaşımı Sistemi Yönetmeliği yürürlükten kaldırılmıştır.
Taahhütnamelerin uyumlu hale getirilmesi
(1) Bu Yönetmeliğin yürürlüğe girdiği tarihten önce imzalanmış bulunan mevcut taahhütnameler, bir yıl içerisinde bu Yönetmelik hükümlerine uygun olarak yenilenir.
Kullanıcı bilgilerinin bildirimi ve güncellenmesi
(1) Alıcı kurumlar mevcut kullanıcı bilgilerini, Genel Müdürlüğün belirleyeceği yöntemler ile bir yıl içerisinde Genel Müdürlüğe bildirmek ve güncellemek zorundadır.
Yürürlük
(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
(1) Bu Yönetmelik hükümlerini Cumhurbaşkanı yürütür.