5651 İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun 2007 yılında yürürlüğü girdi. Kanunun amacı içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumluluklarını belirlemektir.
Bu yazımız da yer sağlayıcıların tutmakla yükümlü oldukları log kayıtlarından bahsedeceğiz.
Kanunda yer alan bazı tanımlamalara göz atalım;
Kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü ger-çek veya tüzel kişileri,
Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek ve-ya tüzel kişileri,
İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri,
Taraflara ilişkin IP adresi, port bilgisi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri.
Son olarak kanunda yer alan yer sağlayıcı yükümlülüklerini inceleyelim;
Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir.
Yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.
Kanun maddesinden de anlaşılacağı gibi yer sağlayıcı yer sağladığı içerikten sorumlu değildir ve yer sağladığı müşterilerin Trafik bilgilerini 1 yıldan az 2 yıldan fazla olmamak kaydıyla tutması gerekmektedir. Buradaki trafik bilgisi kanun içerisinde tanımlanmış ancak bu tanım yeterli değildir.
Kanundaki Trafik Bilgisi Tanımının Belirsizliği
Kanundaki tanımlamalara göre trafik bilgisi kavramından ne anlaşılacağı ve trafik bilgisi adı altında hangi verilerin yer sağlayıcılardan istenebileceği belirtilmemiştir. Erişim sağlayıcı, yer ve toplu internet kullanım sağlayıcıları için aynı trafik bilgisi tanımı kullanılmış fakat bu sağlayıcıların yaptıkları iş ve verdikleri hizmetler farklıdır. Bu nedenle aynı trafik bilgisi kayıtlarını tutmaları da anlamlı değildir.
Yer sağlayıcılar özelinde baktığımız da tutulması gereken trafik bilgisi kayıtları yer sağladığı müşterilerin IP adresi, port bilgisi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri olarak değerlendirilmelidir. İnternette biraz araştırma yaptığımız da bu konu hakkında çok farklı yazılar ve yorumlar mevcut. Örnek vermek gerekirse birçok yer sağlayıcı yer sağladığı içerik sağlayıcıların yani yer sağlayıcının barındırdığı internet sitelerine giriş çıkış yapan kayıtların (acces log) tutulması gerektiği anlatılmış. Bu yorum kanundaki trafik bilgisi tanımının detaylı olmamasından kaynaklı tamamen yanlıştır diyemeyiz ancak doğru bir yöntem de değildir.
5651 sayılı kanun da trafik bilgisi bakımından yer sağlayıcının yükümlülüğü;
Taraflar
Yer sağlayıcının yer sağladığı müşteriler. (Hosting firmaları)
Taraflara ilişkin IP adresi ve Port bilgisi
İçerik sağlayıcıların yer sağlayıcılardan hizmet aldıklarındaki ip adresi ve port bilgisi. Bu yer sağlayıcıların kullandıkları sisteme göre değişkenlik gösterebilir. Büyük olasılıkla WHMCS uygulaması kullanıldığından WHMCS paneline kayıt esnasında ip adresi bilgisi tutulmaktadır. Port bilgisi ise 2020 yılında yapılan bir değişiklikle eklenmiştir ve bu bilgiyi normal şartlarda yaptıkları iş gereği erişim sağlayıcı yükümlülüğü olmasına rağmen yer sağlayıcı yükümlülüklerine de eklenmiştir. Port bilgi yer sağlayıcının kullandığı web sersinde görünmektedir.
Verilen hizmetin başlama ve bitiş zamanı
İçerik sağlayıcının yer sağlayıcıdan ne zaman hizmet aldığı ve ne zaman iptal ettirdiği zaman bilgisi
Yararlanılan hizmetin türü
İçerik sağlayıcının yer sağlayıcıdan hangi tür hizmet aldığına ilişkin bilgi. Örnek : Hosting hizmeti, sunucu hizmet, vb.
Aktarılan veri miktarı ve varsa abone kimlik bilgileri
İçerik sağlayıcının kimlik bilgileri
Özetlemek gerekirse yer sağlayıcı yer sağladığı internet sitelerinin ziyaretçiler tarafından gerçekleşen giriş - çıkış log kayıtlarını (acces log) tutmakla yükümlü değildir. Trafik bilgisi tanımına göre yer sağladığı içerik sağlayıcısının bilgilerini tutmakla yükümlüdür. Ve bu kayıtları 1 yıldan az 2 yıldan fazla olmamak kaydıyla bilgi güvenliği kriterlerine göre saklamalıdır.