İnterneti düzenleyen yasaların ve yönetmeliklerin değiştirilmesi ile birlikte erişimin kısıtlanmasından, internet trafiğinin takip edilmesine birçok konuda değişiklikler gündeme gelmekte. İnterneti sağlayanlar (servis sağlayıcılar) ve kullananlar yönünden yapılan bu düzenlemelerde veri merkezi hizmetine yönelik bir değerlendirme yapılmamış olması nedeniyle de veri merkezi sektörü değişimlerden olumsuz etkilenebilmektedir.
İnternet kullanıcılarının tüm trafiklerinin loglanmasını amaçlanan bir düzenleme daha sonraları Anayasa Mahkemesi tarafından iptal edilmiş olsa da sunucular ile kullanıcılar arasındaki trafiğin saklanıp saklanamayacağı konusunda belirsizlikler devam etmektedir.
Yer sağlayıcılar ve veri merkezleri açısından konuyu Avukat Dr. Cankat Taşkın ile birlikte inceleyerek,geçerli kanun ve yönetmeliklere göre bir değerlendirme hazırladık.
5651’e göre kim kimdir?
Bilindiği üzere 5651 sayılı kanun içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.
Buna göre 5651 Sayılı Kanun’un 2/m maddesinde Yer sağlayıcı; İnternete açık hizmet ve içerikleri barındıran sistemleri sağlayan/işleten gerçek veya tüzel kişilerdir. Erişim sağlayıcı (İnternet servis sağlayıcı); Kurduğu kablolu/kablosuz sistemler, ADSL, fiberoptik, 3G vb. teknolojilerle internete erişim olanağı sağlayan gerçek veya tüzel kişilerdir.
Bu tanıma bağlı olarak, 5651 Sayılı Kanun’un 5. maddesinde (ve Faaliyet Yönetmeliği 7/1-a maddesinde: İnternet Ortamında Yapılan yayınların Düzenlenmesine Dair usul ve Esaslar Hk Yönetmelik, 30.11.2007 T 26716 Sayılı RG) yer sağlayıcının sorumluluğu şu ifadelerle belirtilmiştir: “5651 SK md 5: Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir. Yer sağlayıcı, yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili hükümler saklı kalmak kaydıyla, bu Kanunun 8 inci ve 9 uncu maddelerine göre haberdar edilmesi halinde hukuka aykırı içeriği yayından kaldırmakla yükümlüdür.”
Faaliyet Yönetmeliği madde 7/1-a’ya göre yer sağlayıcının sorumluluğu benzeri biçimde ifade edilmiş ve “Yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili hükümler saklı kalmak kaydıyla, 5651 sayılı Kanun ve ilgili mevzuat hükümlerine göre Başkanlık, adli makamlar veya hakları ihlal edilen kişiler tarafından haberdar edilmesi halinde hukuka aykırı içeriği yayından kaldırmakla yükümlüdür.” denmiştir.
Bir yönüyle hosting hizmeti; “İnternet sağlayan operatörlerin sunduğu internet aboneliği hizmetinin, web siteleri için hazırlanmış ve onların internete erişimlerini sağlayan halidir. Yani, kullanıcılara sunulan internet aboneliğinin web sitelerine sunulmuş teknik nitelikli şeklidir.” olarak açıklanabilir.
Veri merkezi(datacenter) açısından ise sunucu kiralama veya barındırma hizmeti verilmesi yönünden ilgili hizmeti sunan şirket ücreti karşılığında bir fiziksel barındırma faliyetini yürütmektedir. Şirketin verdiği hizmet aslında; şifresi veya anahtarı müşteride olacak şekilde bir kasanın fiziksel olarak barındırılmasına benzetilebilir. Müşteriler bu şifreli kasa içinde verilerini saklamaktadır. Kiralanan bu kasanın şifresi ve anahtarı sadece hizmeti kiralayan kişide bulunmaktadır. Veri merkezi işletmecisi kasanın içinde ne olduğundan veya bu kişilerin ne tür faaliyetler içinde olduğu hakkında bir bilgi sahibi olmadığı gibi bu kişilerin faaliyetlerinden onu sorumlu tutmaya kalkmak da anlamlı ve hukuki değildir.
Veri merkezi yönünden müşteri sunucusu ile istemci arasına girerek tüm trafiğin saklanması mümkün değildir.
Yayınlanan içeriklerden sorumluluğu bulunmayan veri merkezleri açısından yine bu sunucuların dış dünya ile kurduğu iletişimin takibi de mümkün olamamaktadır. Buna göre hizmeti sunan şirketler ilgili sunucu hizmetini ücreti karşılığı alarak yayın yapanların tüm iletişim bilgilerini saklamakta ve talep edilmesi durumunda sunabilmektedirler.
1- Teknik İmkanlar
Veri merkezi barındırdığı sunucu sayısı ve yönettiği internet kapasitesi açısından sunucuya doğru gerçekleşen tüm iletişimin bir kopyasının alınarak depolanması mevcut teknik imkanlar için zorlayıcıdır. Bu tip bir işlemin yapılması istenmesi durumunda kopyalanan trafik bilgilerinin 1 yıl boyunca yazılacağı disk kapasitesi barındırılan sunucu sayısı ve trafik ile doğru orantılı olarak maddi olarak erişilebilecek seviyenin üzerindedir. Bu durum hizmet maliyetlerini arttıracaktır. Yine Sunucular ile internet kullanıcıları arasında kurulan güvenli erişimin şifresinin kırılmak sureti ile takibi teknik olarak mümkün değildir.
2- Hukiki Engeller
5651 Sayılı Kanun’un 5’inci maddesinin 6518 Sayılı Kanun’un 88’nci maddesi ile 6.2.2014 tarihinde değiştirilen 3’üncü fıkrası şöyledir: “Yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini 1 yıldan az ve 2 yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.”
5651 Sayılı Kanun’un 5’inci maddesinin 6518 Sayılı Kanun’un 88’nci maddesi ile 6.2.2014 tarihinde değiştirilen 4’üncü fıkrası şöyledir: “Yer sağlayıcılar, yönetmelikle belirlenecek usul ve esaslar çerçevesinde yaptıkları işin niteliğine göre sınıflandırılabilir ve hak ve yükümlülükleri itibarıyla farklılaştırılabilirler”
5651 Sayılı Kanun’un 5’inci maddesinin 6518 Sayılı Kanun’un 88’nci maddesi ile 6.2.2014 tarihinde değiştirilen 5’inci fıkrası şöyledir: “Yer sağlayıcı, Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle ve Başkanlıkça bildirilen tedbirleri almakla yükümlüdür.” hükmünü, 5651 Sayılı Kanun’un 5’inci maddesinin 6518 Sayılı Kanun’un 88’nci maddesi ile 6.2.2014 tarihinde değiştirilen 6’ncı fıkrası şöyledir: “Yer sağlayıcılık bildiriminde bulunmayan veya bu Kanundaki yükümlülüklerini yerine getirmeyen yer sağlayıcı hakkında Başkanlık tarafından 10 bin Türk Lirasından 100 bin Türk Lirası’na kadar idari para cezası verilir”
Şunu önemle ifade etmek gerekir ki yukarıda bahsedilen 5651 Sayılı Kanun’un 5’inci maddesinin 5 ‘inci fıkrası Anayasa Mahkemesi’nin 8.12.2015 T., 2014/87 E.; 2015/112 K sayılı kararı ile İPTAL edilmiş; iptal kararı 28.01.2016 T ve 29607 sayılı Resmi Gazete’de yayınlanmış olup; iptal hükmünün 1 yıl sonra yürürlüğe gireceği ifade edilmiştir. Şu halde, bu fıkra 28.01.2017 tarihi itibarıyla yürürlükten kalkacaktır. (Ancak aynı kararla maddenin 3,4 ve 6 numaralı fıkralarının iptal istemi reddedilmiştir)
http://www.anayasa.gov.tr/icsayfalar/basin/kararlarailiskinbasinduyurulari/genelkurul/detay/15.html
5651 Sayılı Kanun’un 6’nci maddesinin 6518 Sayılı Kanun’un 89’uncu maddesi ile 6.2.2014 tarihinde değiştirilen 1’inci fıkrasına eklenen ç bendi şöyledir: “Erişimi engelleme kararı verilen yayınlarla ilgili olarak alternatif erişim yollarını engelleyici tedbirleri almakla ve Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle ve Başkanlıkça bildirilen tedbirleri almakla, yükümlüdür” (Bu bendin iptal istemi Anayasa Mahkemesi’nin 8.12.2015 T., 2014/87 E.; 2015/112 K sayılı kararı ile reddedilmiştir)
5651 Sayılı Kanun’un 6’nci maddesinin 6518 Sayılı Kanun’un 89’uncu maddesi ile 6.2.2014 tarihinde değiştirilen 1’inci fıkrasına eklenen d bendi ise şöyledir: “Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle ve Başkanlıkça bildirilen tedbirleri almakla” yükümlüdür.” (Bu bent Anayasa Mahkemesi’nin 8.12.2015 T., 2014/87 E.; 2015/112 K sayılı kararı ile İPTAL edilmiş olup; iptal kararı 28.01.2016 T ve 29607 sayılı Resmi Gazete2de yayınlanmış olup; iptal hükmünün 1 yıl sonra yürürlüğe gireceği ifade edilmiştir. Şu halde, bu fıkra 28.01.2017 tarihi itibarıyla yürürlükten kalkacaktır)
Bilişim sistemlerine girmeksizin teknik araçlarla hukuka aykırı olarak izleme yapan(dinleyen) kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılacak.
5237 Sayılı Türk Ceza Kanunu’nun 243’üncü maddesine 24.3.2016 tarih ve 6698 Sayılı Kanun’un 30’uncu maddesi ile 4 numaralı şu fıkra eklenmiştir: “Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.”
Buna göre, bir sunucuya internet erişimi sağlamaktan ibaret bir hizmetin sunucu ile internet kullanıcısı arasındaki trafiğin, dinlemesi ve kayıt edilmesi TCK madde 243/4 gereğince suçtur. Bahsedilen yasa değişikliği, 7.4.2016 T ve 29677 Sayılı Resmi Gazete’de yayınlarak yürürlüğe girmiş olduğundan, iki kişi arasındaki internet trafiğinin trafiğin dinlenmesi hukuken mümkün değildir. Ancak yasada açık bir düzenleme bulunmadığı için tartışmalı olmakla birlikte; iki kişi arasındaki internet trafiğinin izlenmesi için mahkeme kararı gerektiğini ifade etmek gerekir. Yukarıda değinilen 5651 Sayılı Kanun’un 5’inci maddesinin 2’nci fıkrasına göre yer sağlayıcıya yapılacak bildirime rağmen, yer sağlayıcının teknik olarak imkan bulunsa dahi TCK 243/4 hükmü karşısında ancak hakim/mahkeme kararı ile iki kişi arasındaki internet trafiğine ilişkin bilgileri verebilmesi mümkündür. Aksi yöndeki uygulama hem kolluk birimlerini hem de yer sağlayıcıları ceza ve tazminat hukuku anlamında sorumlu kılacaktır.
Tüm bu düzenlemeler doğrultusunda trafiğin kayıt altına alınması mümkün olmamasına karşın, sonraki düzenlemeler ile sürekli kayıt yönünde alınacak herhangi bir karar, sektörün güvenirliğine de büyük darbe vuracaktır.
Veri merkezlerinin tüm dünyaya hizmet verdiği düşünüldüğünde başka bir ülkedeki kullanıcının Türkiye’den hizmet aldığı için iletişiminin dinlenmesini istemeyeceği bir gerçektir.
Bulut teknolojileri ile verilerini her geçen gün daha fazla olarak internet bulutuna taşıyan yerel kullanıcılar açısından da sürekli takip altında olunduğunun bilinmesi bu verilerin yurtdışı noktalarda depolanmasına sebep olacak ve stratejik kayıplara sebebiyet verebilecektir.
Tüm trafiğin mahkeme kararı olmaksızın dinlenmesi ve depolanması aynı zamanda bu trafiğin dışarı sızma risklerini de beraberinde getirecektir.
Mahkeme veya savcılık kararı olmadan istemci ve sunucu arasına girerek kimi zaman şifreli(secure) özel trafiğin dinlenmesi etik olmayacağı gibi bu dinleme sonucunda oluşan büyük verinin saklanması konusunda işin teknik imkansızlık boyutu da ayrı bir gerçektir.