5651 Sayılı Kanuna göre yer sağlayıcıları ilgilendirebilecek internet aktörleri içerik sağlayıcı, yer sağlayıcı ve toplu kullanım sağlayıcılar olarak sıralanabilir. Özetle; İçerik sağlayıcı, bir web sitesindeki içeriği giren kişidir.  Yer sağlayıcı bu içeriği barındıran kişidir. Toplu kullanım sağlayıcı da bu içeriği erişilmesi için ortamı sağlayan kişidir.

İçerik Sağlayıcılar 

Geçen yıl yapılan düzenleme ile Başkanlık (TİB) tarafından talep edilen bilgileri talep edildiği şekilde TİB’e gönderir şeklinde bir hüküm eklenmişti. Bu da yönetmelik ile bir yükümlülük gelebileceğine işaret ediyordu. Buna karşın geçtiğimiz Aralık ayında Anayasa Mahkemesi bu hükmü iptal etti. Şu durumda içerik sağlayıcılar için mevzuattan kaynaklanan bir kayıt tutma yükümlülüğü kalmamıştır. Yine de bir mahkeme tarafından eldeki bilgilerin gönderilmesinin talep edilmesi halinde, şayet elde bir bilgi varsa paylaşılması gerekecektir.

Yer Sağlayıcılar

Yer sağlayıcılar için kayıt tutma yükümlülüğü mevcuttur. Yeni düzenleme ile bu süre en az 6 aydan en az 1 yıla çıkartılmış durumdadır. Yönetmelikte bu süre şu an 6 ay, henüz yönetmelik değişmediği için 6 ay tutulmasında bir sorun yoktur.

Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle ve Başkanlıkça bildirilen tedbirleri almakla yükümlüdür hükmü iptal edilmiştir. Bununla birlikte kayıt tutma yükümlülüğü devam etmektedir. Bu bilgiler mahkeme kararı ile talep edilebilir.

Tutulacak bilgi nedir? Kanun bunu trafik bilgisi olarak şöyle tanımlıyor: Taraflara ilişkin IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileridir.

Yönetmelikte ise buna ek olarak Yer Sağlayıcı Trafik Bilgisi Tanımı yer almaktadır: Yer sağlayıcı trafik bilgisi, İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri ifade etmektedir.

Toplu Kullanım Sağlayıcılar 

Toplu kullanım sağlayıcı, kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan olarak tanımlanmaktadır. ‘Toplu kullanım’ ifadesi, birden fazla kişi tarafından bir arada veya aynı anda internetin kullanımını ifade eder. Kanun ve yönetmelik, ticari toplu kullanım sağlayıcıdan bahsederek konuyu ticari olan ve ticari olmayan olarak ikiye ayırmış. Ticari  toplu kullanım sağlayıcı deyince, ilk aklımıza gelen işletme elbette internet kafeler. Ücretsiz internet hizmeti sunulan otel, üniversite ve benzeri mekanlar da ticari olmayan toplu kullanım olarak kabul edilmesinde bir tartışma yoktur.

Tartışmalı konu acaba birden fazla kişinin çalıştığı her türlü işletme de bir toplu kullanım sağlayıcı mıdır? Ne yasada ne de yönetmelikte bu konuda net bir ayrım söz konusu değil. Kanun ve yönetmelikte amaca göre yorum yapıldığında faaliyetlerini gerçekleştirmek için işçilerine ortam sağlayan şirketleri kapsamadığı, şirketlerin ancak özel bir bölümde internet kullanımı sağlaması halinde bu kapsama gireceği sonucuna gidilmesi gerektiğini savunanlar var. Fakat bu konuda yetkili kurumların yaptığı açıklamalarda böyle bir ayrımın olmadığı şirketleri de kapsadığı yönündedir. Biz de mevzuatta açık olduğu üzere şirketlerin de kapsam dahilinde olduğu kanaatindeyiz. Şirket veya kurumun yerel ağına erişim sağlayan personel ve kullanıcılar, şirket veya kurumun tüzel kişiliği altında faaliyet gösteren toplu kullanım sağlayıcı olarak değerlendirmekteyiz.

Kanuna göre bütün internet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimin engellenmesi ve kullanıma ilişkin erişim kayıtlarının tutulması hususlarında yönetmelikle belirlenen tedbirleri almakla yükümlüdür. Bu tedbirler de konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak ve iç IP Dağıtım Loglarını elektronik ortamda kaydetmektir.

Bu log kayıtları iç ağda dağıtılan IP adres bilgilerini, kullanıma başlama ve bitiş tarih ve saatini ve bu IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgilerdir. Yani kullanıcıların hangi internet sitesini ziyaret ettiği, yaptığı elektronik posta yazışmaları gibi kişisel veriler sahasına girecek bilgiler değildir. Uygulamada bu bilgiler de kayıt edilmektedir, kullanıcının bilgisi dışında kişisel verilerin korunması sahasına giren bu şekilde bir kayıt hukuka aykırıdır. İşçinin rızası alınmış da olsa bu kayıtların özel hayata en az müdahale edecek şekilde, orantılı olarak yapılması gerekmektedir. Buna benzer şekilde oturum açmadan önce kullanıcılardan vatandaşlık numarası istemek de mevzuatın aradığı bir şart değildir. Bir yıl saklanması gereken bu log kayıtlarını da adli makamlar tarafından talep edildiğinde iletmek gerekecektir. Dışarıdan elde edilen delillerle, içeride tutulan yönetmelikle sınırlı bu kayıtlar arasında eşleştirilebilecek bir veri olmadığı için bu kayıtların adli vakaları çözmekte pek de faydası olmamaktadır. Fakat şirket veya kurum kullanıcıların rızası ile böyle bir kayıt tutuyorsa olayların çözülmesinde önemli bir katkı sağlayacaktır. İnternet toplu kullanım sağlayıcıların, TİB tarafından hazırlanan içerik filtreleme yazılımını kullanma yükümlülüğü yoktur. Bununla birlikte konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almaları gerekmektedir. Bunun en pratik yolu erişim sağlayıcılar tarafından sunulan aile filtrelerinin kullanılması olabilir.

Kayıt Tutma Yöntemi

Yer sağlayıcı, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür. Buna ek olarak şu an mecliste görüşülen Kişisel Verilerin Korunması Kanunun yürürlüğe girmesi ile birlikte yeni yükümlülükler gündeme gelecektir.

Zaman Damgaları belli bir verinin belirtilen bir tarihte var olduğunu kanıtlarlar. Zaman Damgası Sunucusu, zaman damgalarını imzalamak için açık anahtar teknolojisini kullanarak, verinin bütünlüğünü ve belirli bir tarihteki varlığını onaylar.

5070 sayılı Elektronik İmza Kanununa göre Zaman Damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı, ifade eder. Zaman damgası üreteci öncelikle ilgili verinin bir “hash” (özet) değerini alır. Örneğin 50MB’lik bir log dosyasını veri olarak düşünürsek, zaman damgası üretecinin kullandığı algoritmaya göre değişmekle beraber örnek bir “hash” değeri şu şekilde olacaktır.

Dosya: erisimler.log

1- Özet Değeri: Özet Algoritması

SHA-1 (1.3.14.3.2.26) Özet 9A D1 6C E3 C1 70 F4 86 49 34 88 60 62 42 3A 6E F8 1C 23 16

2- Zaman damgası üreteci bu değeri yasal zaman damgası otoritesine internet üzerinden güvenli olarak gönderir. Yasal elektronik imza otoritesi kendi sistem odalarında bulundurdukları kesinlikle güvenilir zaman bilgisi üretici cihazlar ile belirlenmiş zaman bilgisini kullanarak bu “özet” değerini imzalar ve geri gönderir.

Zaman damgası konusunda çeşitli donanımlar bu desteği vermekle birlikte zaman damgasının hangi standartlarda sağlanması gerektiği net değildir. Örneğin yabancı bir ürünün içerisinde yer alan zaman damgasının Türkiye’deki otorite tarafından onaylı olmaması halinde geçerliliği tartışma konusudur. Buna ek olarak kayıtların maniple edilebildiği iddiası da bir başka tartışma konusudur. Uygulamadaki bu sorunlarla birlikte zaman damgası hususunda artık yaptırımın olması

[1] ve yönetmelikte yer alması sebebiyle tercih edilecek yazılım ve donanımda bu özelliğin olması tercih edilmesi yükümlülüğün yerine getirilmesi için yeterli olacaktır.

Sorumluluk

Kanundaki yükümlülüklerini yerine getirmeyen yer sağlayıcı hakkında Başkanlık tarafından on bin Türk Lirasından yüz bin Türk Lirasına kadar idari para cezası verilir hükmü yer almaktadır. Tanımda belirtiği gibi yer sağlayıcı gerçek kişi veya tüzel kişi olabilir. Bu cezanın muhatabı da yer sağlayıcı olan kişidir. Şirketler için sorumlu tüzel kişilik olacaktır.

Kabahatler Kanunu’nun “İdarî Yaptırımlar” başlıklı 3. bölümünde yaptırım türleri düzenlenmiştir. Buna göre, kabahatler karşılığında uygulanacak olan idarî yaptırımlar, idarî para cezası ve idarî tedbirlerden ibarettir. İdarî para cezası 17. maddede düzenlenmiştir. Zamanaşımı 4 yıldır.

İdarî nitelikte bir yaptırım olarak para cezasına, ceza muhakemesi süreci sonucunda mahkeme tarafından hükmedilmez; bu ceza, idarî görev yapan bir kişi veya kurul tarafından verilir. Bu cezalar, adlî sicile kaydedilmez, ödenmediği takdirde hapse dönüştürülmez.

Anayasa’nın 38. maddesindeki “Ceza sorumluluğu şahsidir” hükmüne paralel olarak ilgili idari cezanın sorumlusu tüzel kişiliktir. Bununla birlikte Ceza Hukukunun son yıllarda üzerinde özellikle durduğu en temel prensiplerinden biri, ekonomik suça ekonomik yaptırımların uygulanmasıdır. Hürriyeti bağlayıcı ceza istisnai bir yaptırım olarak uygulanabilir.

Anonim şirketler açısından Türk Ticaret Kanunu’nun 336/5 ncı maddede yer alan “Gerek Kanunun gerek esas mukavelenin kendilerine yüklediği sair vazifelerin, kasten veya ihmali neticesi olarak yapılmaması” hükmünden hareketle kusurlu şirket yetkililerinin pay sahiplerine karşı sorumludur.

Konular: yer sağlayıcı, toplu kullanım sağlayıcı, log tutma, kayıt tutma, log tutma yöntemi, log tutmamanın cezası, sorumluluk, tib, btk, 5651

İlgili Mevzuat:

  1. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  2. İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul Ve Esaslar Hakkında Yönetmelik
  3. İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik

 

[1] m.5, f.6. Yer sağlayıcılık bildiriminde bulunmayan veya bu Kanundaki yükümlülüklerini yerine getirmeyen yer sağlayıcı hakkında Başkanlık tarafından on bin Türk Lirasından yüz bin Türk Lirasına kadar idari para cezası verilir.

Önceki yazıyı okuyun:
YASAK PROGRAM ve CİHAZLAR, ZARARLI YAZILIM

Madde 245/A- (Ek: 24/3/2016-6698/30 md.) (1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan...

Kapat