Erişim Kaydı (Log) Tutmak Zorunda mısınız?
Kişisel Verileri Koruma Kurumu, yayınladığı rehberlerde erişim kayıtlarının tutulmasını teknik tedbirler arasında sayıyor. Bunun dışında kişisel veriler bağlamında erişim kaydının tutulmasını zorunlu kılan yasal bir düzenleme yok. Ancak 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”u, 6698 sayılı yasadan tamamen bağımsız olarak erişim kaydı tutma yükümlülüğünden yasal olarak bahsediyor.
5651 sayılı yasada internet erişimi sağlayan tanımı kapsamında “internet servis sağlayıcıları”, internet üzerinde yapılan yayınları üreten ve sağlayan “içerik sağlayıcıları”, sosyal medya hizmeti sunan “sosyal medya hizmeti sağlayıcıları”, internet içeriklerini barındıran “yer sağlayıcıları” ve kişilerin internete erişmesine imkan veren hizmetler sunan “toplu kullanım sağlayıcıları” gibi roller ve bunların yükümlülükleri sıralanıyor.
Bu yazıda internet servis sağlayıcıları, içerik sağlayıcıları, sosyal medya hizmeti sağlayıcıları ya da yer sağlayıcılarını tartışmayacağız. Hatta toplum kullanım sağlayıcıların bir alt türü olan “ticari amaçla internet toplu kullanım sağlayıcıları” tartışmayacağız. Konumuz bu tür hizmetler sunmayan, internet erişimi ile ilgili tek yaptığı kurduğu merkezi ağa bağlı çalışanlarına ve ziyaretçilerine internete erişim imkanı veren (bir modeminiz ve bu modeme bağlanarak internete çıkan kişiler varsa) ama aynı zamanda Kişisel Verilerin Korunması Kanunu’na göre “veri sorumlusu” olan “toplu kullanım sağlayıcısı” sayılabilecek kuruluşlar. Yani büyük çoğunluktan bahsediyoruz. Bu çoğunluğun parçası olan kuruluşlar olarak şu temel sorulara cevap arıyoruz:
- Bilişim ve internet alanında yukarıda sayılı hizmetleri sunmayan ve çoğunluğu teşkil eden bizler için erişim kaydı tutmak yasal zorunluluk mudur?
- 5651 sayılı yasada belirtilen “toplu kullanım sağlayıcı” rolü bizim için geçerli midir?
- Bu tanıma giriyorsak bu yüzden erişim kaydı tutmak yasal yükümlülüğümüz müdür?
Konumuzu çerçeveleyen bu temel sorulara girmeden ve konuyu tartışmadan önce erişim kaydı neymiş ona bir bakalım.
Erişim Kaydı nedir?
Erişim Kaydı, en basit anlatımıyla, hangi bireyin hangi internet sitelerine ve araçlarına, hangi cihazı kullanarak, nereden ve ne zaman eriştiğinin bir liste halinde kaydının tutulmasıdır.
Erişim Kaydından Hangi veriler tutulur?
Erişim kaydında erişimi sağlayan bilgisayar veya mobil cihazın MAC adresi, cihazın adı, kullanıcı adı, modemin cihaza atadığı geçici IP adresi gibi veriler ve trafik bilgileri tutulmaktadır. 5651 sayılı yasa trafik bilgilerini “taraflara ilişkin IP adresi, port bilgisi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri” şeklinde saymaktadır.
Erişim Kaydı Hangi Araçlarla Tutulur?
Teknik olarak erişim kayıtlarının tutulması için, kuruluşunuzun kullandığı modemlerin tuttuğu erişim kayıtlarından, bu iş için özel olarak üretilmiş daha profesyonel ve güvenilir ürünlere kadar farklı çözümler bulunmaktadır.
Erişim Kaydı Tutmak Zorunda mısınız?
Erişim kaydının tutulması tek başına ve teknik olarak sizi saldırılara veya veri kaybına karşı koruyan bir önlem değildir. Ancak bu tür olumsuzluklar yaşandığında sorunun nitelenmesi, kaynağının belirlenmesi ve sorumlu kullanıcının ortaya çıkarılması bakımından kritik bir rol oynamaktadırlar. Bu yüzdendir ki Kişisel Verileri Koruma Kurulu erişim kayıtlarının tutulmasını teknik tedbirler arasında saymakta ve tavsiye etmektedir. Ancak bambaşka bir mevzuat yüzünden aslında erişim kayıtlarının tutulması tavsiyenin ötesinde zorunlu hale gelmektedir.
Bahsettiğimiz mevzuat “5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ve onunla ilişkili olarak yayınlanan yönetmeliklerden ama özellikle bu konuyla “11/04/2017 tarih ve 30035 sayılı İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik“ten oluşmaktadır.
5651 sayılı yasanın genel gerekçesi internet üzerinde yapılan yayınların düzenlenmesi ve ayrıca internet üzerinden işlenen suçlarının önlenmesidir. Erişim kayıtları yasanın internet üzerinden işlenen suçların önlenmesi kısmıyla daha fazla ilgilidir. Sonuçta bir internet suçunu kimin işlediğinin tespit edilmesinde erişim kayıtları en önemli ve hatta neredeyse tek araç olmaktadır.
5651 sayılı yasa hepimizi bağlamaktadır
5651 sayılı yasa farklı kuruluşlara farklı sorumluluklar yüklüyor. Biz burada yasada tanımlanan yer sağlayıcı, içerik sağlayıcı, erişim sağlayıcılara odaklanmayacağız. Kendi ağını kuran ve çalışanları ile ziyaretçilerine bu ağ üzerinden internete erişim sağlayan kuruluşları kapsayan “toplum kullanım sağlayıcılar”dan bahsedeceğiz. Burada aklınıza internet kafeler, havaalanları gibi internet hizmetini ücretli olarak kullandıran ve bundan ticari fayda sağlayan işletmeler gelebilir.
Ama yasa bu tür ticari amaçla internet erişimi sağlayanlarla, sağlamayanları ayırıyor ve farklı sorumluluklar yüklüyor. 5651 sayılı yasa 2007 yılında ilk yürürlüğe girdiğinde ticari amaçlı olsun veya olmasın toplum kullanım sağlayanlara erişim kaydı tutma zorunluluğu getirmiyordu. Ancak 2017 yılında 30035 sayılı R.G’de yayınlanan “İnternet Toplu Kullanım Sağlayacıları Hakkında Yönetmelik” bu durumu değiştirdi.
Toplu Kullanım Sağlayıcı Kimdir?
5651 sayılı yasaya göre toplu kullanım sağlayıcı “kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayanları” kapsıyor. 2017 tarihli yönetmelik kavramda küçük bir değişiklik yapıyor ve kavramımızın başına internet kelimesini ekliyor. Bu küçük düzeltmenin amacının kavramı daha açık bir şekilde tanımlamak olduğunu görebiliyoruz. Yukarıda söylediğimiz gibi toplu internet kullanımı sağlamayı ticari amaçla yapan internet salonu veya benzeri umuma açık olan ve internet için ücret alan yerler farklı bir alt kategoride yer alıyor. Bunlar için “Ticari amaçla internet toplu kullanım sağlayıcısı” terimi üretilmiş.
Öyleyse internet toplu kullanım sağlayıcılar kimdir?
Yasanın da tanımladığı gibi kişilere belirli bir yerde ve belirli bir süre internet ortamı kullanım olanağı sunan herkes birer internet toplu kullanım sağlayıcısıdır. Çalışanlarına, ziyaretçilerine vb. kişilere internete erişim imkanı sağlayan her kurum ve kuruluş, her şirket ve bazı durumlarda gerçek kişiler bu kapsama girmektedir. Unutmayın yasa internet üzerinden işlenen suçun sorumlusu olan “gerçek kişiyi” bulmaya çalışıyor. Bu yüzden mümkün olduğu kadar internetin bütün kılcal damarlarına girmeye çalışan bir yasal zeminden bahsediyoruz.
Erişim Kayıtlarının Tutulması
Yukarıda da bahsettiğimiz üzere internet suçları denilen suçları işleyenlerin kim olduğunu ayırt etmeye çalışan yasa, bunun ispatı olarak erişim kayıtlarını tutmamızı istemektedir. Ancak erişim kayıtlarının tutulması 2007 tarihli yasada toplum kullanım sağlayıcılar için öngörülmüş bir zorunluluk değildi.
Kanunun ilk halinde ticari amaçlı olmayan toplu kullanım sağlayıcıların tek yasal yükümlülüğü konusu suç oluşturan içeriği erişimi kısıtlayacak önlemler almaktı. Ancak 2017 yılında yayınlanan yönetmelik bu durumu değiştirdi. “İnternet Toplu Kullanım Sağlayacıları Hakkında Yönetmeliğin”
4/b maddesinde “Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak.” şeklinde emredici bir hüküm olarak erişim kaydı tutma zorunluluğu getirilmiştir. Bu durumda da erişim kayıtlarının 2 yıl saklanması neredeyse bütün kuruluşlar için yasal bir zorunluluğa dönüşmektedir.
Erişim Kayıtlarının Tutulması Zorunlu mu?
Ancak şunu da belirtmek gerekir ki gerek 5651 tarihli yasa, gerekse de 2017 tarihli yönetmelik ticari amaçla olmayan internet toplu kullanım sağlayıcılarına bu yükümlülükleri yüklemiş ama bunların yerine getirilmemesi halinde hiç bir yaptırım öngörmemiştir. Dolasıyla ticari amaçlı olmayan internet toplu kullanım sağlayıcıların erişim kaydı tutması yasanın emredici hükmü sebebiyle zorunlu olsa da bunun bir yaptırımı ya da bir bir başka ifade ile bunu yapmazsanız uğrayacağınız bir ceza bulunmamaktadır. Yaptırımı olmayan bir emredici hüküm söz konusu olduğunda bu hükmü uygulayıp uygulamamak kuruluşların kendi kararına bırakılmış olmaktadır diyebiliriz.
Sonuç
Anlattığım gibi KVKK rejimi bu konuda bağlayıcı bir hükme sahip değilken, 5651 sayılı yasa rejimi bağlayıcı ve zorunlu tutucu bir hükme sahip olmasıyla beraber ve bu hükme uymamanın (yalnızca ticari amaçla olmayan toplum internet kullanım sağlayıcılar için) bir yaptırımı bulunmadığını da göz önüne alarak, erişim kaydı tutmanın yasal bir zorunluluk olmaktan çok kuvvetle tavsiye edilen bir konu olduğunu söyleyebiliriz.
Yasalar biz genel internet kullanıcısı kuruluşlar için erişim kaydı tutmayı yaptırımsız bir yükümlülük olarak öne sürerken, hayatın gerçekleri bambaşka bir tablo çizmektedir. Erişim kayıtlarının tutulması, veri güvenliğinin kuruluşlar için en büyük risk haline geldiği, bilişim suçlarının işlenme sıklığının ve türlerinin yaygınlaştığı günümüzde kuruluşlar açısından önemli hale gelmiştir. Günümüzün yüksek riskli bilişim dünyasında erişim kayıtlarına ihtiyaç duyuyor olacağız.
Özellikle kişisel veri güvenliğine etki eden bir veri ihlali yaşanması durumunda erişim kayıtlarının tutulmuyor olmasının idari para cezasının belirlenmesinde etkili olabileceğini de hesaba katmak gerekiyor. Kişisel Verileri Koruma Kurulu’nun teknik tedbirler arasında saydığı erişim kayıtlarının tutulmamasının bazı durumlarda kesilecek idari cezanın miktarına etki edebileceğini de hesaba katmak gerekiyor.
KVK bağlamında erişim kaydının en büyük faydası şüphesiz ki bir kullanıcınızın kabahati veya kusuru ve oluşturduğu veri ihlali yüzünden uğrayacağınız idari para cezasını, asıl sorumlu olan kişiye rücü edebilmenize imkan verebilecek olması. Bu bağlamda sorumlunun kim olduğunun anlaşılmasında erişim kaydının ne kadar önemli bir ispat aracı olabileceğinin altını çizmek gerekiyor.
Bu sebeplerle ben de tıpkı mevzuatın yaptığı gibi erişim kayıtlarının tutulmasını şiddetle “tavsiye ediyorum”.
Resim Kaynak: opensource.com