Elektronik imzanın olay günlüğü, kimin, ne zaman ve nasıl imzaladığına dair dijital bir kanıttır. İmzanın geçerliliği ve ihtilafların çözümü için kritik bir unsurdur. Bu makalede, olay günlüğünün neleri içerdiğini, GDPR'nin veri saklamayı nasıl etkilediğini ve küçük bir işletmenin arşivini nasıl düzenleyebileceğini inceliyoruz.
Olay günlüğü nedir?
Sorgu kaydı (İngilizce: audit trail), imzalama olayı hakkında otomatik olarak toplanan bir kayıttır. Her adımı baştan sona kaydeder.\n\nSorgu kaydı, elektronik imzanın kanıt değeri için temel bir unsurdur. Olmadan elektronik imza pratikte ekrandaki bir pikselden ibarettir – sorgu kaydı onu yasal olarak anlamlı kılar.
Olay günlüğü hangi bilgileri içerir?
Kapsamlı bir olay günlüğü aşağıdaki bilgileri içerir:
- İmzalayanın adı ve e-posta adresi
- Kullanılan kimlik doğrulama yöntemi (banka kimlikleri, mobil sertifika, e-posta doğrulaması)
- Zaman damgası (tarih ve saat, saat dilimi)
- İmzanın yapıldığı IP adresi
- Cihaz ve tarayıcı bilgileri
- Belgenin kriptografik özeti (hash) – belgenin değiştirilmediğini kanıtlar
- İmza talebinin gönderilme ve açılma zamanı
- İmzanın tamamlanma zamanı
Pratikte bu ne anlama geliyor: eğer bir müşteri sözleşmeyi imzaladığını reddederse, olay günlüğü belirli bir kişinin belirli bir IP adresinden belgeyi açtığını, banka kimlikleriyle kimlik doğrulama yaptığını ve belirli bir zamanda belgeyi imzaladığını gösterecektir.
GDPR ve elektronik imzaların saklanması
Olay günlüğü kişisel veriler içerdiğinden, bu verilerin nasıl işleneceği ve saklanacağı GDPR (AB Genel Veri Koruma Yönetmeliği) tarafından belirlenir. Olay günlüğü bağlamında başlıca GDPR ilkeleri şunlardır:
- Amaca bağlılık: Veriler sadece belirli bir amaç için toplanabilir (imza doğrulaması)
- Veri minimizasyonu: Sadece gerekli veriler toplanır
- Saklama sınırlaması: veriler yalnızca gerektiği sürece saklanır
- Bütünlük ve gizlilik: veriler teknik olarak korunmalıdır
Uygulamada, imzaların ve bunlarla ilgili denetim izi verilerinin saklama süresi sözleşmenin niteliğine bağlıdır:
| Belge türü | Önerilen saklama süresi | Gerekçe |
|---|---|---|
| Ticari sözleşme | Sözleşmenin sona ermesinden itibaren 6-10 yıl | Zamanaşımı süresi (genel 3 yıl, ticaret kanunu 5 yıl) |
| İş sözleşmesi | İş akdinin sona ermesinden itibaren 10 yıl | İş ilişkisi alacaklarının zamanaşımı |
| Muhasebe materyali | Mali yılın bitiminden itibaren 6 yıl | Muhasebe Kanunu 2:10 |
| Gayrimenkul işlemi | Kalıcı olarak veya en az 10 yıl | Tapu Kanunu gereklilikleri |
Küçük işletmeler için arşivleme modeli
Küçük bir işletme, elektronik imzaların arşivini basitçe düzenleyebilir:
- İmzalanmış belgeleri ve denetim izlerini otomatik olarak arşivleyen bir imza hizmeti kullanın (EpicSign gibi)
- Belge türlerine göre saklama sürelerini belirleyin (yukarıdaki tabloya bakın)
- En önemli sözleşmeleri kendi yedekleme sisteminize de aktarın
- Yılda bir kez, GDPR'ye göre silinebilecek süresi dolmuş belgeler olup olmadığını kontrol edin
- Saklama politikanızı veri koruma bildiriminizde belgeleyin
Pratik örnek: bir muhasebe bürosu ve müşteri sözleşmeleri
Tampere merkezli bir muhasebe bürosu kağıt sözleşmelerden EpicSign'a geçti. Daha önce sözleşmeler klasörlerdeydi – bazıları ofiste, bazıları müşterilerdeydi. Kimse en son sürümün nerede olduğundan emin değildi.\n\nElektronik imza sonrasında durum değişti:
- Tüm sözleşmeler arama fonksiyonu ile elektronik arşivde bulunabilir
- Olay günlüğü kimin ne zaman imzaladığını kanıtlar
- GDPR veri kayıt beyanı, imza verilerinin saklanmasını içerecek şekilde güncellendi
- Eski sözleşmeler saklama süresi dolduğunda otomatik olarak silinir
Sıkça sorulan sorular
Olay günlüğü ne kadar süreyle saklanmalıdır?
Saklama süresi sözleşmenin türüne bağlıdır. Ticari sözleşmelerde genellikle 6-10 yıl, istihdam sözleşmelerinde ise istihdamın sona ermesinden itibaren 10 yıldır.
Olay günlüğü kişisel veriler içerir mi?
Evet. İmzalayanın adı, e-postası ve IP adresi GDPR'a göre kişisel verilerdir. Veri koruma düzenlemelerine uygun olarak işlenmelidir.
Olay günlüğü sonradan düzenlenebilir mi?
Hayır. Kriptografik özet (hash), bilgilerin fark edilmeden değiştirilemeyeceğini garanti eder. Bu, denetim izinin temel ön koşuludur.
GDPR, imza verilerinin saklanmasını nasıl etkiliyor?
GDPR, verilerin yalnızca gerekli süre boyunca saklanmasını gerektirir. Saklama süresi sona erdiğinde, veriler silinmeli veya anonimleştirilmelidir.
EpicSign olay günlüğünü otomatik olarak kaydeder mi?
Evet. EpicSign, her imza olayına ilişkin kapsamlı bir olay günlüğü otomatik olarak oluşturur.
Kaynaklar
Bu makale genel bir niteliktedir ve hukuki tavsiye niteliği taşımaz.
EpicSign'ı deneyin
Ücretsiz denemenizi başlatın ve 20 saniyeden kısa sürede ilk imza talebinizi gönderin.
Fiyatları gör