Kurumların E-posta ile İlettiği Resmi Belgenin E-Devlet Çıktısı Kadar Geçerliliği Var mı?

Bu durum genelde çoğu kişinin kafasını karıştıran bir nokta. E-Devlet üzerinden aldığımız belgelerin, barkodlu veya karekodlu olmaları sebebiyle kurumsal geçerliliği tartışılmaz oluyor. Yani, belgenin üzerinde bir doğrulama kodu (genellikle 16 haneli) veya karekod varsa, ilgili kurum bunu e-Devlet portalından veya mobil uygulamasından kolayca sorgulayabiliyor. Bu sayede belgenin sahte olup olmadığı, güncel durumu ve kim tarafından verildiği anında teyit ediliyor.

E-posta ile gelen resmi yazılarda ise bu durum biraz farklı işliyor. Bir e-posta, yasal olarak belge niteliği taşısa da, üçüncü bir kurumun o e-postanın gerçekten resmi bir kurumdan geldiğini ve içeriğinin değiştirilmediğini anında ve güvenilir bir şekilde doğrulama mekanizması çoğu zaman olmuyor. Evet, 2004 yılında yürürlüğe giren 'Resmi Yazışmalarda Uygulanacak Esas ve Usuller Hakkında Yönetmelik' resmi yazışmalarda elektronik postanın kullanılabileceğini belirtiyor. Hatta bu yönetmelik, her kurumun kendine ait bir e-posta adresi belirlemesini ve elektronik yazışmaların bu adresler arasında yapılmasını öngörüyor. Ancak burada önemli olan nokta, e-postanın 'bilgilendirme' amaçlı mı yoksa 'resmi işlem için ibraz edilebilir' amaçlı mı olduğudur. Kurumlar, kendi içlerinde e-posta ile yazışabilir ve bunu resmi kabul edebilirler fakat dışarıya karşı bir 'delil' veya 'ibraz' belgesi olarak e-Devlet çıktısını tercih etmeleri, olası bir riskten kaçınma ve ispat kolaylığı arayışından kaynaklanıyor.

Benzer bir durumda ben de bir belediyeden e-posta ile gelen bir evrakı, tapu dairesinde kullanamamıştım. Tapu dairesi, e-Devlet'ten alınmış barkodlu bir çıktı talep etmişti. O an anladım ki, e-posta ile gelen belge, kurumun kendi içindeki iletişim ve bilgilendirme süreçleri için yeterli olsa da, üçüncü taraf bir kurum için aynı güvenilirliği sağlamıyor. Özellikle üzerinde net bir doğrulama mekanizması (karekod, barkod, e-imza gibi) olmayan e-posta ekleri genellikle kabul görmüyor. Bazı kurumlar, kendi Elektronik Belge Yönetim Sistemleri (EBYS) üzerinden ürettikleri ve e-Devlet ile entegre olan belgeler için doğrulama sayfaları sunabiliyorlar. Bu durumda, e-postadaki belgenin altında bir doğrulama kodu veya karekod varsa, o kurumun e-Devlet EBYS doğrulama sayfasından kontrol edilebilir. Ancak bu, her e-posta için geçerli bir durum değil. Bu yüzden, kritik bir işlem yaparken her zaman e-Devlet üzerinden alınmış barkodlu belgeleri kullanmak en garanti yol.

Elektronik ortamda oluşturulan belgelerin hukuki geçerliliği ve kurumlar arası kabulü, temelde 'belgenin bütünlüğü' ve 'inkar edilemezliği' prensipleri üzerine inşa edilmiştir. E-Devlet kapısı üzerinden sağlanan belgeler, 5070 sayılı Elektronik İmza Kanunu ve ilgili ikincil mevzuat çerçevesinde nitelikli elektronik imza veya e-Mühür ile güvence altına alınır. Bu, belgenin kim tarafından üretildiğini ve üretildikten sonra herhangi bir manipülasyona uğramadığını kriptografik olarak garanti eden bir yapıdır.

E-Devlet belgeleri, genellikle belgenin alt kısmında yer alan benzersiz bir doğrulama kodu (örneğin 16 haneli bir barkod numarası) ve/veya karekod (QR code) içerir. Bu kodlar sayesinde, belgeyi talep eden herhangi bir kurum veya kişi, e-Devlet'in resmi doğrulama sayfaları (turkiye.gov.tr/belge-dogrulama) üzerinden veya mobil uygulaması aracılığıyla belgenin orijinal olup olmadığını, güncel durumunu ve elektronik imza/mühür bilgilerini anında kontrol edebilir. Bu merkezi doğrulama mekanizması, belgenin hukuki ispat gücünü artırır ve kurumlar arası güveni tesis eder.

Öte yandan, e-posta ile gelen bir belgenin hukuki geçerliliği farklı dinamiklere sahiptir. hukuk Muhakemeleri Kanunu (HMK) uyarınca elektronik ortamdaki veriler belge niteliği taşır ve delil olarak kullanılabilir. Ancak bir e-postanın, e-Devlet belgesindeki gibi standart ve evrensel bir doğrulama altyapısı bulunmaz. E-posta sistemleri, gönderici adresinin taklit edilmesine (spoofing) veya içeriğin aktarım sırasında değiştirilmesine karşı daha savunmasızdır. Her ne kadar S/MIME veya PGP gibi gelişmiş e-posta şifreleme ve imzalama yöntemleri mevcut olsa da, kamu kurumları arasında bu standartların yaygın ve entegre bir şekilde kullanıldığı ve alıcı kurum tarafından doğrulanabildiği bir sistem nadirdir. Resmi yazışmalarda e-posta kullanımı 2004 yılından bu yana mevzuatta yer alsa da, bu durum, her e-posta ekindeki belgenin e-Devlet belgesiyle aynı ispat gücüne sahip olduğu anlamına gelmez.

Bazı kamu kurumları, kendi Elektronik Belge Yönetim Sistemleri (EBYS) üzerinden ürettikleri belgeleri e-Devlet ile entegre ederek, bu belgelerin de e-Devlet üzerinden doğrulanmasına imkan sağlayabilirler. Bu tür belgeler, e-Devlet kapısı üzerinden sorgulanabilir bir doğrulama kodu veya karekod içerir ve e-Devlet belgeleriyle benzer bir hukuki güvence sunar. Ancak e-postayla gelen her belgenin böyle bir entegrasyona sahip olmadığını unutmamak gerekir. Kurumların, risk yönetimi ve iş süreçlerinin standardizasyonu amacıyla, genellikle e-Devlet üzerinden doğrulanabilir, e-imzalı/e-mühürlü belgeleri tercih etmeleri bu teknik altyapı farklılıklarından kaynaklanmaktadır.

Aslında burada çoğunun gözden kaçırdığı şey, meselenin 'hukuki geçerlilik'ten ziyade, 'kurum içi işleyiş ve sorumluluk alma' meselesi olmasıdır. Teknik olarak e-posta ile gönderilen resmi bir yazının, eğer kaynağı belli ve içeriği değişmemişse, bir değeri vardır. Hatta hukuk Muhakemeleri Kanunu, elektronik ortamdaki verileri belge olarak kabul ediyor. Ancak kurumlar, e-Devlet'ten gelen barkodlu bir belgeyi neden ısrarla istiyor? Çünkü bu, onlar için en risksiz ve en az iş yükü gerektiren yol.

Şöyle düşünün: Bir memur, size e-postayla gelen bir belgeyi kabul ettiğinde, o belgenin doğruluğunu, güncelliğini ve orijinal olup olmadığını manuel olarak kontrol etmek zorunda kalır. Bu da ek bir iş yükü, olası bir hata durumunda da kişisel bir sorumluluk anlamına gelir. Bürokraside ise, 'standart dışına çıkmak' ve 'risk almak' genelde tercih edilmeyen durumlardır. E-Devlet belgeleri ise hazır bir doğrulama mekanizması sunuyor; barkodu okut, kodu gir, anında teyit et. Bu, memurun işini kolaylaştırıyor ve olası bir yanlışlıkta sorumluluğu sistemin kendisine atma imkanı veriyor.

Yani sorun, e-postanın resmi olmaması değil, kurumların kendi iç süreçlerini ve risk algılarını e-Devlet'in sunduğu 'kolay doğrulanabilirlik' üzerine kurmuş olmaları. Bilgi Edinme Hakkı Kanunu'nun uygulanmasına ilişkin yönetmelikler bile e-posta yoluyla başvuru kabul edilebileceğini belirtse de, bu, talep edilen her belgenin e-posta ile aynı kolaylıkta ibraz edileceği anlamına gelmiyor. Çünkü bilgi edinme başvurusu yapmakla, bir resmi işlemi tamamlamak için belge ibraz etmek farklı şeyler. Hatta bazı kurumlar kendi EBYS'leri üzerinden ürettikleri belgeler için e-Devlet entegrasyonuyla doğrulama imkanı sunarak, bu sorunu aşmaya çalışıyorlar. Bu da aslında e-posta eklerinin tek başına yeterli olmadığını gösteren bir sinyal. Kısacası, siz haklı olsanız bile, bürokratik çarkın istediği formatı sunmadığınız sürece işleriniz yavaşlayabilir ya da durabilir. Bu yüzden, resmi bir işlem için belge isteniyorsa, e-Devlet üzerinden barkodlu çıktısını alıp gitmek, çoğu zaman en hızlı çözüm oluyor, aksi halde gereksiz bir tartışmaya veya zaman kaybına yol açabiliyorsunuz.