5651 Sayılı Kanun Uyarınca İnternet Hizmeti Sağlayıcıların Log Tutma Yükümlülüğü
Dijital iletişimin günlük yaşamın ayrılmaz bir parçası haline gelmesiyle birlikte, internet ortamında işlenen suçlar ve hukuka aykırı içeriklerle mücadele önem kazanmıştır. Bu bağlamda, 4 Mayıs 2007 tarihinde kabul edilen ve 23 Mayıs 2007 tarihli Resmi Gazete'de yayımlanarak yürürlüğe giren 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, Türkiye'de internet hizmet sağlayıcılarının yükümlülüklerini düzenleyen temel mevzuattır.
5651 sayılı Kanun'un en önemli düzenlemelerinden biri, internet hizmeti sağlayan işletmelerin kullanıcılara ait trafik bilgilerini (log kayıtlarını) tutma ve belirli bir süre saklama yükümlülüğüdür. Bu yükümlülük, internet üzerinden işlenen suçların faillerinin tespit edilebilmesi, hukuka aykırı içeriklerin kaynağının belirlenmesi ve dijital delillerin elde edilmesi açısından kritik öneme sahiptir.
Bununla birlikte, log tutma yükümlülüğü uygulamada birçok hukuki ve teknik sorunu da beraberinde getirmektedir. İşletmelerin bu yükümlülüğü tam olarak yerine getirmemesi halinde ağır idari para cezalarıyla karşı karşıya kalmaları, KVKK (Kişisel Verilerin Korunması Kanunu) ile 5651 sayılı Kanun arasındaki dengenin nasıl sağlanacağı, log kayıtlarının delil olarak kullanılması ve teknik altyapı gereksinimleri gibi konular, hukuk uygulayıcıları ve işletme sahipleri açısından önem taşımaktadır.
2. 5651 Sayılı Kanun'un Temel Düzenlemeleri ve Tanımlar
2.1. Kanun'un Amacı ve Kapsamı
5651 sayılı Kanun'un 1. maddesi şu şekildedir:
Madde 1 - (1) Bu Kanunun amaç ve kapsamı; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.
Kanun, internet ekosisteminin farklı aktörlerini tanımlayarak, her bir aktörün yükümlülüklerini ayrı ayrı belirlemiştir. Bu aktörler arasında içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcı yer almaktadır.
2.2. İnternet Hizmet Sağlayıcı Türleri ve Tanımlar
5651 sayılı Kanun'un 2. maddesinde yer alan temel tanımlar şu şekildedir:
a) İçerik Sağlayıcı (Madde 2/d):
İnternet ortamında yer alan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade eder.
İçerik sağlayıcılar, blog yazarları, sosyal medya kullanıcıları, haber siteleri ve internet üzerinden içerik üreten her türlü gerçek veya tüzel kişiyi kapsamaktadır.
b) Yer Sağlayıcı (Madde 2/m):
Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri ifade eder.
Yer sağlayıcılar, web hosting firmaları, sunucu kiralama hizmet sağlayıcıları ve kullanıcıların içerik yükleyebildikleri platformları (YouTube, Facebook, Twitter gibi) işleten kuruluşlardır.
c) Erişim Sağlayıcı (Madde 2/e):
Kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişileri ifade eder.
Erişim sağlayıcılar, Türk Telekom, Superonline, Türknet gibi internet servis sağlayıcılarıdır (ISP - Internet Service Provider).
d) Toplu Kullanım Sağlayıcı (Madde 2/l):
Kullanıcılara internet ortamına erişim olanağı sunan kafe, iş yeri, okul, kütüphane, dernek gibi yerler ile konut dışı bağımsız bölümlerde internet hizmeti veren gerçek veya tüzel kişileri ifade eder.
Toplu kullanım sağlayıcılar, kafe, otel, AVM, havaalanı, ofis, fabrika gibi birden fazla kullanıcının internet erişimi sağladığı yerleri işleten kişi ve kuruluşlardır.
e) Trafik Bilgisi (Log Kaydı) (Madde 2/j):
Taraflara ilişkin IP adresi, port bilgisi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgilerini ifade eder.
Bu tanım, log kayıtlarının hangi bilgileri içermesi gerektiğini açıkça belirlemektedir.
3. Log Tutma Yükümlülüğünün Hukuki Dayanağı ve Kapsamı
3.1. Yer Sağlayıcıların Yükümlülüğü
5651 sayılı Kanun'un 5. maddesinin ikinci fıkrası şu şekildedir:
Madde 5 - (2) (Ek: 6/2/2014-6518/88 md.) Yer sağlayıcılar, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.
Yer sağlayıcılar, barındırdıkları hizmetlere ilişkin trafik bilgilerini en az 1 yıl, en fazla 2 yıl süreyle saklamakla yükümlüdürler. Bu süre, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından çıkarılan yönetmeliklerle belirlenmektedir.
3.2. Erişim Sağlayıcıların Yükümlülüğü
5651 sayılı Kanun'un 6. maddesinin (b) bendi şu şekildedir:
Madde 6 - (b) Sağladığı hizmetlere ilişkin, yönetmelikte belirtilen trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla,
Erişim sağlayıcılar, sağladıkları hizmetlere ilişkin trafik bilgilerini en az 6 ay, en fazla 2 yıl süreyle saklamakla yükümlüdürler.
3.3. Toplu Kullanım Sağlayıcıların Yükümlülüğü
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik'in 4. maddesinin (b) bendi şu şekildedir:
Madde 4 - (b) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak.
Toplu kullanım sağlayıcılar (kafe, otel, AVM gibi işletmeler), erişim kayıtlarını 2 yıl süreyle saklamakla yükümlüdürler. Bu yükümlülük, ticari amaçla faaliyet gösteren toplu kullanım sağlayıcıları için daha katı düzenlemeler içermektedir.
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik'in 5. maddesi, ticari amaçla faaliyet gösteren toplu kullanım sağlayıcılarının ek yükümlülüklerini şu şekilde düzenlemektedir:
Madde 5 - (1) Ticarî amaçla internet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:
a) Mülki idare amirinden izin belgesi almak,
b) Ailenin ve çocukların korunması ile konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sistemini ve güvenli internet hizmetini kullanmak,
c) Kullanılan içerik filtreleme sistemini aktif ve güncel halde bulundurarak, herhangi bir müdahale ile devre dışı kalmasını önlemek,
ç) Erişim sağlayıcılardan sabit IP almak, sabit IP kullanmak ve sabit IP değişikliklerini on beş gün içerisinde mülki idare amirliklerine bildirmek,
d) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak,
e) (d) bendi gereğince kaydedilen bilgileri ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmek ve bu verileri iki yıl süre ile saklamak.
4. Hangi Bilgiler Tutulmalıdır?
Log kayıtlarının içeriği, 5651 sayılı Kanun'un 2. maddesinin (j) bendinde tanımlanan "trafik bilgisi" kapsamında belirlenmektedir. Bu bilgiler şunlardır:
a) IP Adresi:
Kullanıcının internet ağına bağlandığı cihaza atanan benzersiz sayısal adres. Hem iç (local) IP adresi hem de dış (public) IP adresi kaydedilmelidir.
b) MAC Adresi:
Ağa bağlanan cihazın fiziksel donanım adresi. MAC adresi, kullanıcının cihazını benzersiz şekilde tanımlar.
c) Port Bilgisi:
İnternet trafiğinin hangi uygulama veya hizmet için kullanıldığını gösteren bilgi.
d) Hizmetin Başlama ve Bitiş Zamanı:
Kullanıcının internete bağlandığı ve bağlantıyı sonlandırdığı tarih ve saat bilgisi. Bu bilgiler zaman damgası (timestamp) ile kaydedilmelidir.
e) Yararlanılan Hizmetin Türü:
HTTP, HTTPS, FTP gibi protokol bilgileri.
f) Aktarılan Veri Miktarı:
Kullanıcının indirdiği ve yüklediği toplam veri miktarı (MB, GB cinsinden).
g) Abone Kimlik Bilgileri:
Varsa kullanıcının kimlik bilgileri (ad, soyad, TC kimlik numarası, telefon numarası gibi). Toplu kullanım sağlayıcılar için SMS ile kimlik doğrulama sistemi kullanılması önerilmektedir.
5. Log Tutma Yükümlülüğüne Uyulmamasının Yaptırımları
5.1. İdari Para Cezaları
5651 sayılı Kanun'un 5. maddesinin 6. fıkrası şu şekildedir:
Madde 5 - (6) (Ek: 6/2/2014-6518/88 md.) Birinci ve ikinci fıkralardaki yükümlülüklerine aykırı hareket eden yer sağlayıcı hakkında Başkanlık tarafından onbin Türk Lirasından yüzbin Türk Lirasına kadar idarî para cezası verilir.
Yer sağlayıcılar, log tutma yükümlülüğüne aykırı hareket etmeleri halinde 10.000 TL'den 100.000 TL'ye kadar idari para cezasıyla karşı karşıya kalırlar.
Benzer şekilde, erişim sağlayıcılar için de 5651 sayılı Kanun'un 6. maddesinde idari para cezası öngörülmüştür. BTK tarafından verilen bu cezalar, işletmelerin mali yapısı açısından ciddi yük oluşturabilmektedir.
5.2. Toplu Kullanım Sağlayıcılar İçin Yaptırımlar
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik'in 11. maddesi şu şekildedir:
Madde 11 - (1) 5 inci maddenin birinci fıkrasındaki yükümlülüklere aykırı hareket ettiği belirlenen ticari amaçla internet toplu kullanım sağlayıcılara, mülki idare amiri tarafından ilk ihlalde yazılı olarak uyarma; ihlalin devamı halinde üç güne kadar kapatma; ihlalin tekrarı halinde ise bin Türk Lirasından on beş bin Türk Lirasına kadar idarî para cezası vermeye mahalli mülki amir yetkilidir.
Toplu kullanım sağlayıcıları için yaptırımlar şu şekilde kademeli olarak uygulanır:
İlk ihlalde: Yazılı uyarı
İhlalin devamında: 3 güne kadar faaliyet durdurma (kapatma)
İhlalin tekrarında: 1.000 TL - 15.000 TL idari para cezası
5.3. Güncel Ceza Miktarları (2024-2025)
5326 sayılı Kabahatler Kanunu'nun 17. maddesinin yedinci fıkrası uyarınca, idari para cezaları her yıl yeniden değerleme oranında artırılmaktadır. 2024 yılı için yeniden değerleme oranı %43,93 olarak belirlenmiştir.
Buna göre, 2025 yılı için log tutma yükümlülüğüne aykırılık halinde uygulanacak cezalar, 2024 yılına göre %43,93 oranında artırılmış olarak uygulanacaktır. Ancak 5651 sayılı Kanun'da belirtilen ceza miktarları, bu artış oranıyla doğru orantılı olarak güncellenmemekte, kanunda yazılı tutarlar esas alınmaktadır. Dolayısıyla, yer sağlayıcılar için 10.000 TL - 100.000 TL ceza tutarı sabit kalmaktadır.
5.4. BTK Tarafından Verilen Somut Yaptırım Örnekleri
BTK'nın 20.05.2024 tarihli ve 2024/İK-SDD/230 sayılı kararı, log tutma yükümlülüğüne aykırılığın ne kadar ciddi sonuçlar doğurabileceğini gösteren önemli bir emsal niteliğindedir.
Bu kararda, 2018 yılı Aralık ayından 2023 yılı Temmuz ayına kadar olan dönemde 5651 sayılı Kanun'a göre teknik altyapının çalışır vaziyette tutulmaması ve log kayıtlarında eksiklikler tespit edilen internet erişim sağlayıcı firmaların lisans ve yetkilendirmelerinin iptal edildiği belirtilmiştir.
Kararda tespit edilen ihlaller şu şekildedir:
- Mywifi Telekomünikasyon hakkında: 5651 sayılı Kanun çerçevesinde teknik altyapının çalışır vaziyette tutulması için gerekli önlemlerin alınmamış olması
- Arat Telekomünikasyon Teknoloji Bilişim Hizmetleri hakkında: Kuruma iletilen oturum verilerinde belirli IP adreslerine ilişkin belirli zaman dilimlerindeki verilerin eksik olması (örneğin, 31.206.49.94 IP adresine ilişkin 24.05.2020 20:34-20:40 zaman dilimindeki verilerin kayıtlarda yer almaması)
BTK, bu ihlaller nedeniyle söz konusu firmaların lisanslarını doğrudan iptal etmiştir. Bu yaptırım, idari para cezasından çok daha ağır bir yaptırım olup, işletmenin faaliyetine son vermesi anlamına gelmektedir.
Bu karar, özellikle erişim sağlayıcı ve yer sağlayıcı konumundaki işletmeler açısından log tutma yükümlülüğünün ciddiyetini göstermektedir. Log kayıtlarında birkaç dakikalık eksiklik bile, lisans iptaline kadar varabilecek ağır yaptırımlara yol açabilmektedir.
6. KVKK ile 5651 Sayılı Kanun Arasındaki İlişki ve Denge
6.1. Çelişki Gibi Görünen Düzenlemeler
5651 sayılı Kanun, internet hizmet sağlayıcılarına log tutma yükümlülüğü getirirken; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin gereksiz yere işlenmemesi ve işleme amacı ortadan kalktığında silinmesi, yok edilmesi veya anonim hale getirilmesi ilkesini benimsemektedir.
KVKK'nın 5. maddesinde düzenlenen "veri işleme ilkeleri" şu şekildedir:
Madde 5 - (2) Kişisel veriler, ancak kanunlarda öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.
KVKK'nın 7. maddesi ise kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şartlarını düzenlemektedir:
Madde 7 - (1) Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Bu düzenlemeler ışığında, bir kafe sahibi log kayıtlarını 2 yıl sakladığında, bu süre boyunca kullanıcıların kişisel verilerini (IP, MAC adresi gibi) işlemiş olmaktadır. Ancak bu işleme, 5651 sayılı Kanun'dan kaynaklanan "yasal yükümlülük" nedeniyle meşrudur.
6.2. Hukuki Denge: "Yasal Yükümlülük" İstisnası
KVKK'nın 5. maddesinin birinci fıkrasının (ç) bendi şu şekildedir:
Madde 5 - (1) Kişisel veriler;
ç) Hukuki yükümlülüğün yerine getirilmesi için zorunlu olması,
hâllerinde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Bu hüküm uyarınca, 5651 sayılı Kanun'dan kaynaklanan log tutma yükümlülüğü, KVKK açısından meşru bir veri işleme nedenidir. Dolayısıyla, işletmelerin log kayıtlarını tutması ve saklaması, KVKK'ya aykırılık teşkil etmez.
Ancak, 2 yıllık saklama süresi dolduğunda, log kayıtlarının derhal silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Aksi takdirde, KVKK'nın 7. maddesine aykırılık oluşur ve Kişisel Verileri Koruma Kurulu tarafından idari para cezası verilebilir.
6.3. KVKK Aydınlatma Yükümlülüğü
KVKK'nın 10. maddesi uyarınca, kişisel verileri işleyen veri sorumlusu, ilgili kişiyi aydınlatmakla yükümlüdür. Bu kapsamda, kafe, otel, AVM gibi toplu kullanım sağlayıcıların, kullanıcılarına şu bilgileri vermesi gerekmektedir:
- Hangi kişisel verilerin işlendiği (IP, MAC, zaman damgası vb.)
- Verilerin işlenme amacı (5651 sayılı Kanun gereği yasal yükümlülük)
- Verilerin ne kadar süre saklanacağı (2 yıl)
- Verilerin kimlerle paylaşılabileceği (adli merciler, BTK, kolluk)
Bu aydınlatma yükümlülüğü, işletme girişinde görünür bir şekilde asılan aydınlatma metni veya WiFi bağlantı ekranında gösterilen bilgilendirme ile yerine getirilebilir.
7. Log Kayıtlarının Delil Niteliği ve Ceza Muhakemesinde Kullanımı
7.1. Dijital Delil Olarak Log Kayıtları
5271 sayılı Ceza Muhakemesi Kanunu'nun 206. maddesi "bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma" işlemlerini düzenlemektedir. Log kayıtları, suç soruşturma ve kovuşturmalarında önemli dijital delil niteliği taşımaktadır.
Özellikle internet üzerinden işlenen suçlarda (hakaret, tehdit, dolandırıcılık, müstehcenlik vb.), failin kimliğinin tespiti için log kayıtları zorunludur. Cumhuriyet savcılığı veya mahkeme, internet hizmet sağlayıcılarından belirli bir tarih ve saatte belirli bir IP adresini kullanan kişinin kimlik bilgilerini talep edebilir.
7.2. Log Kayıtlarının Güvenilirliği ve Bütünlük Değeri
Log kayıtlarının delil olarak kabul edilebilmesi için, kayıtların doğruluğu, bütünlüğü ve gizliliği sağlanmış olmalıdır. Bu nedenle, 5651 sayılı Kanun ve ilgili yönetmelikler, log kayıtlarının "bütünlük değeri" (hash değeri) ile birlikte saklanmasını öngörmektedir.
Bütünlük değeri, log kayıtlarının sonradan değiştirilmediğini ispat eden kriptografik bir değerdir. SHA-256, MD5 gibi hash algoritmaları kullanılarak oluşturulan bu değerler, log dosyalarıyla birlikte saklanmalıdır.
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik'in 5. maddesinin (e) bendi bu yükümlülüğü açıkça düzenlemektedir:
(e) (d) bendi gereğince kaydedilen bilgileri ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmek ve bu verileri iki yıl süre ile saklamak.
8. Teknik Altyapı ve Uygulama Gereksinimleri
8.1. Log Tutma Sistemlerinin Özellikleri
Log tutma yükümlülüğünü yerine getirmek için işletmelerin kullanabileceği teknik çözümler şunlardır:
a) Donanım Tabanlı Firewall Sistemleri:
Berqnet, Cyberoam, Sophos gibi donanım firewall çözümleri, 5651 uyumlu log tutma özelliği sunmaktadır. Bu sistemler, ağ trafiğini izleyerek otomatik olarak log kayıtları oluşturur.
b) Yazılım Tabanlı Çözümler:
pfSense, OPNsense gibi açık kaynak kodlu firewall yazılımları üzerinde log tutma modülleri kullanılabilir.
c) Bulut Tabanlı Loglama Hizmetleri:
Bazı firmalar, log kayıtlarını bulut ortamında saklama hizmeti sunmaktadır. Ancak bu durumda, verilerin Türkiye sınırları içinde saklanması ve KVKK'ya uygunluk sağlanması gerekmektedir.
8.2. Kimlik Doğrulama Sistemleri
Toplu kullanım sağlayıcıları (özellikle kafe, otel gibi ticari işletmeler) için önerilen kimlik doğrulama yöntemleri şunlardır:
a) SMS ile Doğrulama:
Kullanıcılar WiFi ağına bağlanmadan önce cep telefonu numaralarını girerek SMS ile şifre alırlar. Bu yöntem, kullanıcının telefon numarasının kaydedilmesini sağlar.
b) Kimlik Belgesi Kaydı:
Bazı işletmeler, özellikle internet kafelerde, kullanıcılardan TC kimlik numarası veya kimlik fotokopisi talep etmektedir.
c) Sosyal Medya Girişi:
Facebook, Google gibi sosyal medya hesapları üzerinden giriş yapılması da kimlik tespiti açısından bir yöntemdir. Ancak bu durumda, sosyal medya platformundan alınan bilgilerin doğruluğu ve KVKK uyumu değerlendirilmelidir.
8.3. Sabit IP Kullanımı
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik'in 5. maddesinin (ç) bendi, ticari amaçla faaliyet gösteren toplu kullanım sağlayıcılarının sabit IP kullanma yükümlülüğünü düzenlemektedir:
ç) Erişim sağlayıcılardan sabit IP almak, sabit IP kullanmak ve sabit IP değişikliklerini on beş gün içerisinde mülki idare amirliklerine bildirmek.
Sabit IP kullanımı, işletmenin internet bağlantısının benzersiz şekilde tanımlanmasını ve gerektiğinde kolayca tespit edilmesini sağlar.
9. Pratik Örnekler ve Sık Sorulan Sorular
9.1. Kafe İşletmesi Örneği
Durum: Bir kafe sahibi, müşterilerine ücretsiz WiFi hizmeti sunmaktadır. Kafeye günde ortalama 50 müşteri gelmekte ve bunların %80'i WiFi kullanmaktadır.
Yükümlülükler:
Mülki idare amirinden (kaymakamlık/valilik) izin belgesi almak
İçerik filtreleme sistemi kurmak
Erişim kayıtlarını (IP, MAC, zaman damgası) 2 yıl süreyle saklamak
Sabit IP kullanmak
Kullanıcıları SMS veya başka bir yöntemle tanımlamak
Log kayıtlarının bütünlük değerini günlük olarak kaydetmek
Ceza Riski:
İzin belgesi almadan faaliyet göstermesi veya log tutmaması halinde, ilk ihlalde yazılı uyarı, ikinci ihlalde 3 güne kadar kapatma, üçüncü ihlalde 1.000 TL - 15.000 TL idari para cezası.
9.2. Ofis/Şirket Ağı Örneği
Durum: Bir şirket, 100 çalışanına kurumsal internet erişimi sağlamaktadır.
Yükümlülükler:
Şirket içi internet kullanımı, "toplu kullanım" kapsamında değerlendirilmektedir. Ancak, şirketin çalışanlarına sağladığı internet hizmeti ticari amaçla halka açık değilse, İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik'in 5. maddesindeki "ticari amaçla toplu kullanım sağlayıcı" yükümlülükleri uygulanmaz. Yalnızca Yönetmelik'in 4. maddesindeki genel yükümlülükler uygulanır:
İçerik filtreleme sistemi kullanmak
Erişim kayıtlarını 2 yıl süreyle saklamak
Şirketler, çalışanlarının internet kullanımını izlemek için log tutabilirler, ancak bu durumda KVKK uyarınca çalışanları bilgilendirmeleri ve aydınlatma yükümlülüğünü yerine getirmeleri gerekmektedir.
9.3. Otel/AVM WiFi Örneği
Durum: Bir otel, müşterilerine ücretsiz WiFi hizmeti sunmaktadır. Otelde günlük 200 misafir konakladığında WiFi kullanımı olmaktadır.
Yükümlülükler:
Otel, ticari amaçla toplu kullanım sağlayıcı kategorisine girmektedir. Bu nedenle, Yönetmelik'in 5. maddesindeki tüm yükümlülükler uygulanır:
Mülki idare amirinden izin belgesi almak
İçerik filtreleme ve güvenli internet hizmeti kullanmak
Sabit IP kullanmak
Erişim kayıtlarını 2 yıl süreyle saklamak
SMS veya benzeri yöntemle kullanıcı tanımlama
Log kayıtlarının bütünlük değerini günlük kaydetmek
Önemli Not: Oteller genellikle oda numarası ile misafir eşleştirmesi yaparak, WiFi kullanıcısını tanımlayabilirler. Ancak, lobide veya genel alanlarda kullanılan WiFi için ayrıca SMS doğrulaması gerekebilir.
10. Anayasa Mahkemesi Kararları ve Güncel Gelişmeler
10.1. AYM'nin 5651 Sayılı Kanun'a İlişkin İptalleri
Anayasa Mahkemesi'nin 10 Ocak 2024 tarihli ve 2020/76 esas, 2023/172 karar sayılı kararıyla, 5651 sayılı Kanun'un bazı hükümleri iptal edilmiştir. Özellikle Kanun'un 8. maddesinin bazı kısımları ve 9. maddesinin tamamı, ifade özgürlüğü ve masumiyet karinesi ile bağdaşmadığı gerekçesiyle iptal edilmiştir.
Ancak, bu iptal kararı log tutma yükümlülüğünü etkilememiştir. Log tutma yükümlülüğü, Kanun'un 5. ve 6. maddelerinde düzenlenmiştir ve bu maddeler AYM tarafından iptal edilmemiştir. Dolayısıyla, log tutma yükümlülüğü halen yürürlüktedir ve işletmelerin bu yükümlülüğe uyması gerekmektedir.
İptal edilen hükümler, daha çok içeriğin çıkarılması ve erişimin engellenmesi kararlarına ilişkindir. Log tutma yükümlülüğü, suç soruşturmaları açısından gerekli olduğu ve kişisel verilerin korunması ile yasal yükümlülük arasında denge sağladığı için iptal edilmemiştir.
10.2. 5651 Sayılı Kanun ve İfade Özgürlüğü Tartışmaları
5651 sayılı Kanun, yürürlüğe girdiği günden bu yana ifade özgürlüğü açısından tartışmalara konu olmuştur. Özellikle erişim engelleme kararlarının sulh ceza hakimlikleri tarafından hızlı bir şekilde verilmesi ve içeriklerin yayından kaldırılması, ifade özgürlüğüne müdahale olarak değerlendirilmiştir.
İfade Özgürlüğü Derneği'nin "EngelliWeb" raporları, 5651 sayılı Kanun uyarınca erişimi engellenen içeriklerin sayısının her yıl arttığını göstermektedir. 2024 yılında AYM'nin 9. maddeyi iptal etmesi, kişilik hakları ihlallerine dayalı erişim engelleme uygulamasını sona erdirmiştir. Artık bu tür ihlaller için genel hukuk yolları (TMK 24-25, TBK 58) ve ihtiyati tedbir yolları izlenmektedir.
Ancak, log tutma yükümlülüğü, ifade özgürlüğünden ziyade suç soruşturmaları ve kişisel verilerin korunması arasındaki dengeyi ilgilendirmektedir. Bu nedenle, log tutma yükümlülüğüne ilişkin hükümler, AYM tarafından iptal edilmemiştir.
11. Yurtdışı Örnekleri ve Karşılaştırmalı Hukuk
11.1. Avrupa Birliği: Veri Saklama Direktifi ve GDPR
Avrupa Birliği'nde, internet hizmet sağlayıcılarının log tutma yükümlülüğü, 2006 yılında kabul edilen "Veri Saklama Direktifi" (Data Retention Directive) ile düzenlenmiştir. Ancak, bu direktif 2014 yılında Avrupa Birliği Adalet Divanı (ABAD) tarafından temel hakları ihlal ettiği gerekçesiyle iptal edilmiştir.
ABAD, veri saklama direktifinin:
- Tüm vatandaşların verilerini ayırt etmeksizin sakladığını,
- Saklama süresinin çok uzun olduğunu,
- Verilere erişim konusunda yeterli güvenceler içermediğini,
tespit ederek direktifi iptal etmiştir.
Ancak, AB üyesi ülkeler kendi ulusal mevzuatlarında log tutma yükümlülüğünü düzenlemeye devam etmektedir. Örneğin, Almanya'da 2017 yılında kabul edilen yeni düzenleme, log kayıtlarının 10 hafta süreyle saklanmasını öngörmektedir.
GDPR (Genel Veri Koruma Tüzüğü), kişisel verilerin işlenmesi ve saklanması konusunda katı kurallar getirmişken, üye devletlerin kamu güvenliği ve suç soruşturmaları amacıyla veri saklama yükümlülüğü getirebileceğini kabul etmektedir.
11.2. ABD: Veri Saklama Yükümlülüğü
Amerika Birleşik Devletleri'nde, federal düzeyde genel bir log tutma yükümlülüğü bulunmamaktadır. Ancak, 18 U.S.C. § 2703 uyarınca, kolluk kuvvetleri mahkeme kararı veya mahkeme celbi ile internet hizmet sağlayıcılarından kullanıcı verilerini talep edebilmektedir.
Bazı eyaletler, kendi düzenlemelerinde log tutma yükümlülüğü getirmişlerdir. Örneğin, Kaliforniya'da bazı internet hizmet sağlayıcılarının belirli süre log tutması zorunludur.
ABD'de tartışma, daha çok kolluk kuvvetlerinin mahkeme kararı olmadan veri talep edip edemeyeceği ve şifreleme konusunda yoğunlaşmaktadır.
12. Sonuç ve Öneriler
5651 sayılı Kanun uyarınca log tutma yükümlülüğü, Türkiye'de internet hizmeti sağlayan tüm işletmeler için hayati önem taşımaktadır. Bu yükümlülük, internet üzerinden işlenen suçların faillerinin tespit edilebilmesi ve adaletin sağlanması açısından gereklidir.
Ancak, log tutma yükümlülüğü uygulamada bazı sorunları da beraberinde getirmektedir:
a) Teknik Altyapı Maliyeti:
Özellikle küçük ölçekli işletmeler (kafe, küçük oteller vb.) için 5651 uyumlu log tutma sistemlerinin kurulması ve bakımı mali yük oluşturmaktadır.
b) KVKK ile Uyum Sorunu:
Log kayıtlarının 2 yıl süreyle saklanması ile KVKK'nın "veri minimizasyonu" ve "süre sınırlaması" ilkeleri arasında denge sağlanması gerekmektedir. İşletmelerin, saklama süresi dolduğunda log kayıtlarını derhal silmesi önemlidir.
c) Farkındalık Eksikliği:
Birçok işletme, 5651 sayılı Kanun'dan kaynaklanan yükümlülüklerinden haberdar değildir. Özellikle yeni açılan kafeler, oteller ve AVM'ler bu konuda bilgilendirilmelidir.
d) Denetim ve Yaptırımların Uygulanması:
Uygulamada, log tutma yükümlülüğüne uyulup uyulmadığı konusunda yeterli denetim yapılmamaktadır. Ancak, bir suç soruşturması sırasında log kayıtları talep edildiğinde, işletmenin bu kayıtları sunamaması ciddi hukuki sorunlara yol açabilmektedir.
12.1. İşletmeler İçin Öneriler
1. Yasal Yükümlülükleri Tam Olarak Öğrenin:
İşletmenizin hangi kategoriye girdiğini (yer sağlayıcı, erişim sağlayıcı, toplu kullanım sağlayıcı) belirleyin ve bu kategoriye özgü yükümlülükleri öğrenin.
2. Uygun Teknik Altyapıyı Kurun:
5651 uyumlu firewall veya log tutma sistemi kurun. Sistemin otomatik olarak log kayıtlarını oluşturduğundan ve bütünlük değerini hesapladığından emin olun.
3. KVKK Aydınlatma Yükümlülüğünü Yerine Getirin:
Kullanıcılarınızı, hangi kişisel verilerin işlendiği, verilerin ne kadar süre saklanacağı ve hangi amaçla kullanılacağı konusunda bilgilendirin.
4. Log Kayıtlarını Güvenli Şekilde Saklayın:
Log kayıtlarını yetkisiz erişime karşı koruyun. Verilerin şifrelenerek saklanması ve sadece yetkili personelin erişimine açılması önemlidir.
5. Saklama Süresini Takip Edin:
2 yıllık saklama süresi dolduğunda, log kayıtlarını derhal silin veya anonim hale getirin. Bu, KVKK uyumu açısından kritiktir.
6. Gerektiğinde Hukuki Destek Alın:
Log tutma yükümlülüğü, KVKK uyumu ve olası denetimler konusunda avukattan veya veri koruma uzmanından destek alın.
5651 sayılı Kanun uyarınca log tutma yükümlülüğü, internet ekosisteminin güvenliğini sağlamak ve hukuka aykırı içeriklerle mücadele etmek için önemli bir araçtır. İşletmelerin bu yükümlülüğü tam olarak yerine getirmesi, hem yasal zorunlulukların karşılanması hem de dijital güvenliğin sağlanması açısından hayati öneme sahiptir.
Kaynaklar:
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik (01.11.2007 tarihli Resmi Gazete)
6698 sayılı Kişisel Verilerin Korunması Kanunu
5271 sayılı Ceza Muhakemesi Kanunu
5326 sayılı Kabahatler Kanunu
Anayasa Mahkemesi, 2020/76 E., 2023/172 K., 10.01.2024
Bilgi Teknolojileri ve İletişim Kurumu, 20.05.2024 tarih ve 2024/İK-SDD/230 sayılı Karar
Bilgi Teknolojileri ve İletişim Kurumu (BTK) Kararları ve Duyuruları
Kişisel Verileri Koruma Kurumu (KVKK) Rehberleri
İfade Özgürlüğü Derneği, "EngelliWeb 2024" Raporu
Yasal Uyarı: Bu yazı genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Somut olayınız için mutlaka bir avukata danışmanız gerekmektedir.