5651 Sayılı Kanun ve Kamu Kurumlarına İlişkin Değerlendirme
5651 Sayılı Kanun ve Kamu Kurumlarına İlişkin Değerlendirme
Musa KAYRAK, Sayıştay Başkanlığı 13.03.2009
5651 Sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” 23 Mayıs 2007 tarihinde 26530 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
5651 Sayılı Kanunda belirtilen hususlar;
- Telekomünikasyon Kurumu tarafından hazırlanan 24.10.2007 tarihli “Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik”,
- Başbakanlık tarafından hazırlanan 01.11.2007 tarihli “İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik” ve
- Başbakanlık tarafından hazırlanan 30.11.2007 tarihli “İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik”
ile ayrıntılı olarak düzenlenmiştir.Söz konusu mevzuat düzenlemeleri içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemek amacını taşımaktadır. 5651 Sayılı kanun ve ilgili yönetmelikler çerçevesinde içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıları gibi tanımlamalar yapılmıştır. Daha ziyade özel sektör ve özellikle ticari amaçlı toplu kullanım sağlayıcılar olan internet kafelere yönelik düzenlemeler olduğu kanısı yaygın olmasına karşın, yapılan tanımlamalar ve sorumluluklar çerçevesinde kamu kurum ve kuruluşlarının da uymaları gereken önemli yükümlülükler bulunmaktadır. Bu yükümlülükler, idari işlemlerin yanında bilgi güvenliğini de ilgilendiren teknik hususlarda alınması gereken tedbirleri kapsamaktadır.
Bu çalışmanın amacı, kamu kurum ve kuruluşlarının 5651 Sayılı kanunun uygulanmasına ilişkin temel yükümlülüklerini incelemek ve kurumlarının üst yöneticileri ile bilgi işlem birimi yönetici ve çalışanlarını yürürlükteki mevzuat hakkında bilgilendirmektir.
Mevzuata göre kamu kurumlarının sorumlulukları şu şekilde özetlenebilir;
1. Yer Sağlayıcı olan kamu kurumları faaliyet belgesi almakla yükümlüdür.
Yer sağlayıcı, Internet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri ifade eder. Bu durumda eğer bir kamu kurumu kendi adına yayın yapan bir Internet sitesine sahip ise yer sağlayıcı olarak kabul edilecektir. İntranet uygulamaları ise Internet ortamı olarak nitelendirilmediği için, yer sağlayıcılığı kapsamına girmemektedir. Tüm kamu kurumlarının kendi Internet sitelerine sahip olduğu düşünülürse, kamu kurumlarının “Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara Ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik” uyarınca 24.07.2008 tarihine kadar “yer sağlayıcı faaliyet belgesi” alması zorunludur.Söz konusu yönetmeliğin 4. maddesine göre; Türkiye Cumhuriyeti sınırları içerisinde yer sağlayıcı olarak faaliyet göstermek isteyen gerçek veya tüzel kişiler, hizmet vermeye başlamadan önce Kurum tarafından düzenlenecek faaliyet belgesini almakla yükümlüdür. Türkiye Cumhuriyeti sınırları içerisinde, yer sağlayıcı faaliyet belgesi almaksızın yer sağlayıcılığı faaliyetinde bulunanların Internet erişim hizmeti, Telekomünikasyon İletişim Başkanlığının(TİB) kararıyla ilgili erişim sağlayıcı tarafından durdurulur.Ancak yukarıda belirtilen 24.07.2008 tarihi geçtikten sonra yer sağlayıcı faaliyet belgesi alan kamu kurumları bulunmaktadır ve henüz bu belgeyi almayan kamu kurumları da olabilir. Bu belgeyi alan kurumların listesi http://www.tib.gov.tr adresinde sürekli güncellenerek yayımlanmaktadır. Internet hizmetinin durdurulma yaptırımının kamu kurumlarına yönelik olarak Telekomünikasyon İletişim Başkanlığı tarafından uygulandığı görülmemektedir. Netice itibariyle, yer sağlayıcı faaliyet belgesi almayan kamu kurumları Internet sitesi hizmetlerin kesilmesi riski ile karşı karşıyadır. Bu sebeple, ilgili prosedürler izlenerek söz konusu belge ivedili olarak temin edilmelidir.
2.Yer sağlayıcı olan kamu kurumları tanıtıcı bilgilerini kendilerine ait Internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdür.
Yer sağlayıcı olan kamu kurumları, Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 14üncü maddesi uyarınca, aşağıda belirtilen tanıtıcı bilgilerini kendilerine ait Internet ortamında, kullanıcıların ana sayfadan doğrudan ulaşabileceği şekilde, iletişim başlığı altında, doğru, eksiksiz ve güncel olarak bulundurmakla yükümlüdür:
- Unvanı ve sorumlu kişiler, vergi kimlik numarası veya ticaret sicil numarası,
- Merkezinin bulunduğu yer,
- Elektronik iletişim adresi ve telefon numarası,
- Sunduğu hizmet bir merciin iznine veya denetimine tabi bir faaliyet çerçevesinde yapılıyor ise yetkili denetim merciine ilişkin bilgiler.
Bu hükme uyulmadığı takdirde; 5651 sayılı Kanun’un 3üncü maddesi uyarınca Telekomünikasyon İletişim Başkanlığı(TİB) tarafından iki bin Yeni Türk Lirasından on bin Yeni Türk Lirasına kadar idari para cezası verilecektir.
3.Yer sağlayıcı olan kamu kurumları, yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür.
Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 3üncü maddesinde yer sağlayıcı trafik bilgisi tanımlanmıştır. Buna göre, yer sağlayıcı trafik bilgisi Internet ortamındaki her türlü yer sağlamaya ilişkin olarak aşağıdaki unsurları içerecek şekilde tutulmalıdır:
- Kaynak IP adresi,
- Hedef IP adresi,
- Bağlantı tarih-saat bilgisi,
- İstenen sayfa adresi,
- İşlem bilgisi (GET, POST komut detayları) ve
- Sonuç bilgisi gibi bilgileri
Diğer yandan bilgilerin doğrulunun ve bütünlüğünün sağlanması için verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmek yer sağlayıcısı olan kamu kurumlarının önemli bir yükümlülüğüdür. Bu uygulamayı yapmayan bilgi işlem birimleri gerekli teknik düzenlemeleri en kısa yapmalıdır. Söz konusu logların; bilginin doğruluğunu, bütünlüğünü ve gizliliğini koruyacak şekilde tutulmaması adli vakalarda sıkıntılara yol açabilecektir. Zaman damgası yönteminin ise tutulan kayıtın alındığı tarihteki hali ile varolduğunu, değiştirilmediğini ve dolayısıyla güvenilirliğini sağlayacağı unutulmamalıdır.Örnek bir http logu şu şekilde olabilir [1]:
144.122.222.234 - - [21/Mar/2008:14:58:01 -0200] “GET ‘data/liste.html HTTP/1.1” 200"1 73372 “-” “Mozilla/5.0 (XII: U; Lınux i686; en-L’S; rv:1.8.1.12) Gecko/20080129 Iceweasel/2.0.0.12(Debian-2.0.0.12-Oetchl)”
Bu örnekteki bilgiler kanunda belirtilen şu unsurları ifade etmektedir:
Kaynak IP adresi: 144.122.222.234 Hedef ip adresi: Bu kayıtta bulunmamaktadır" Bağlantı tarih-saat bilgisi: [21/Mar/2008:14:58:01 -0200] İstenen sayfa adresi: data/liste.html İşlem bilgisi (GET komut detayı): GET 'data/liste.htmi HTTP/1.1 Sonuç bilgisi: 200
4.Kamu kurumları, Internet toplu kullanım sağlayıcı olarak İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek zorundadır.
Toplu kullanım sağlayıcı, kişilere belli bir yerde ve belli bir süre Internet ortamı kullanım olanağı sağlayan özel ve tüzel kişileri ifade eder. Yasa, yapmış olduğu tanımlamadan sonra toplu kullanım sağlayıcıları ticari amaçlı olan ve olmayan olarak iki ayrı kategoride değerlendirmektedir. Burada unutulmaması gereken şey, Yasanın özellikle ticari amaçlarla bu hizmeti yapanlara sıkı denetim sağlamayı hedeflediğidir. Internet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3üncü maddesinde ticari amaçla Internet toplu kullanım sağlayıcı, Internet salonu ve benzeri umuma açık yerlerde belirli bir ücret karşılığı Internet toplu kullanım sağlayıcılığı hizmeti veren veya bununla beraber bilgisayarlarda bilgi ve beceri artırıcı veya zekâ geliştirici nitelikteki oyunların oynatılmasına imkân sağlayan gerçek ve tüzel kişiler olarak ifade edilmektedir.Tüm kamu kurumları kendi çalışanlarına Internet kullanımına imkan sağladıkları için toplu kullanım sağlayıcı olarak kabul edilecektir. Eğer ticari amaçlarla bu tür bir hizmet gerçekleştiren bir kamu kurumu varsa mevzuatta belirtilen her türlü şartı yerine getirmekle yükümlü olacaktır.
Internet Toplu Kullanım Sağlayıcıları Hakkında Yönetmeliğin 3üncü maddesine göre İç IP Dağıtım Logları şu bilgileri içerecek şekilde tutulmalıdır:
- Kendi iç ağlarında dağıtılan IP adres bilgileri
- Kullanıma başlama ve bitiş tarih ve saati
- IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgileri
Kamu kurumları bilgi işlem birimi yönetici ve çalışanları, bu kayıtların yönetmelikte belirtilen şekilde tutmamaları durumunda adli olaylarda sorunlarla karşılaşacak ve güvenlik birimlerinin istediği bilgileri sunamayacaklarıdır. Diğer yandan İç IP Dağıtım Loglarının toplu kullanım sağlayıcıları tarafından nasıl saklanacağı konusunda mevzuatta herhangi bir güvenlik uygulaması belirtilmemiştir. Oysaki ticarî amaçla Internet toplu kullanım sağlayıcılarının İç IP Dağıtım Loglarını TİB tarafından verilen yazılım ile ve bu logların doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmeleri ve bu verileri bir yıl süre ile saklamaları zorunludur. Burada altı çizilmesi gereken husus, eğer kamu kurumu bilgi işlem birimi yetkilileri bilgi güvenliği açısından hassasiyet taşıyor ise adli makamlara da daha iyi yardımcı olabilmek için, İç IP Dağıtım Loglarını bilginin doğruluğunu, bütünlüğünü ve gizliliğini koruyacak şekilde tutulmaları gerekmektedir. Ancak bu husus, mevzuatta öngörülmüş bir durum değildir.
5.Kamu kurumları, Internet toplu kullanım sağlayıcı olarak konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
5651 Sayılı Yasanın 7inci maddesi gereğince ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.Konusu suç olan içeriğin kapsamı 5651 Sayılı Kanunun 8 inci maddesinde şu şekilde ifade edilmiştir:a) 26/9/2004 Tarihli ve 5237 Sayılı Türk Ceza Kanununda yer alan suçlar:1) İntihara yönlendirme (madde 84),2) Çocukların cinsel istismarı (madde 103, birinci fıkra),3) Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190),4) Sağlık için tehlikeli madde temini (madde 194),5) Müstehcenlik (madde 226),6) Fuhuş (madde 227),7) Kumar oynanması için yer ve imkân sağlama (madde 228),b) 25/7/1951 Tarihli ve 5816 Sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçlar.Mevzuatta ticari amaçla Internet toplu kullanım sağlayıcılarının TİB tarafından onaylanan bir içerik kontrolcüsü ile gerekli önlemi almaları gerektiği belirtilirken, ticari amaçlı olmayan Internet toplu kullanım sağlayıcı için herhangi bir şart getirilmemiştir. Bu nedenle, tüm kamu kurumları güvenilir bir yazılım seçerek konusu suç olan içeriğe erişim engelleyecek tedbirler almaları gerekmektedir.
6.Kamu kurumları, Internet ortamında sağladıkları içerikten sorumludur.
İçerik sağlayıcı, Internet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade eder. Kamu kurum ve kuruluşları kendi Internet sitelerinde sağladıkları içerikten dolayı içerik sağlayıcı kabul edilecek ve 5651 Sayılı Kanunun 4’üncü maddesi uyarınca sağladıkları içerikten sorumlu olacaktır.Burada önemli olan husus, sağlanan içerik nedeniyle hakları ihlal edilen kişi, yasal yollara başvurmak suretiyle, söz konusu içeriğin yayından kaldırılmasını talep edebilir. Bu tür durumlarda itiraz ve yargı kararlarının uygulanması için belirlenen süreler sınırlıdır. Bu nedenle, bilgi işlem birimi yöneticileri ve diğer sorumlular bu tür durumlarda hızlı hareket etmek durumundadır. Özellikle sulh ceza hakiminin kesinleşen kararının 2 gün içinde uygulanmamasının hapis cezasını gerektirecek müeyyidesi bulunmaktadır. Yasa, içerik sağlayıcının tüzel kişi olması durumunda, bu müeyyidenin yayın sorumlusu üzerinde uygulanacağının altını çizmektedir. Bu nedenle, kamu kurumların Internet sitelerinde yayın sorumlusu olan kişi veya kişilerin daha dikkatli olması gerekmektedir.Diğer yandan içerik sağlayıcı olan bir kamu kurumu, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı açıkça belli ise, genel hükümlere göre sorumludur.
7.Kamu kurumları, yer sağladıkları hukuka aykırı içeriği yayından kaldırmakla yükümlüdür.
Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü olmamasına karşın, hukuka aykırı içerikten Yasada belirtilen usul ve esaslar çerçevesinde haberdar edildikleri takdirde bu içeriği yayından kaldırmakla yükümlüdür. Sonuç olarak, kamu kurum ve kuruluşlarının 5651 Sayılı kanun ve ilgili mevzuat çerçevesinde temel yükümlülükleri şu şekilde özetlenebilir;
Kamu kurumları yer sağlayıcı olarak yükümlülükleri:
- Faaliyet belgesi almak
- Tanıtıcı bilgilerini kendilerine ait Internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmak
- Yer sağlayıcı trafik bilgisini altı ay süreyle mevzuata uygun olarak saklamak
- Yer sağladıkları hukuka aykırı içeriği yayından kaldırmak
Kamu kurumları Internet toplu kullanım sağlayıcı olarak yükümlülükleri:
- İç IP Dağıtım Loglarını tutmak
- Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak
Kamu kurumları içerik sağlayıcı olarak yükümlülükleri:
- Internet ortamında kendi web sitelerinde yayınladıkları içeriğe ilişkin sorumlulukları yerine getirmek