BTK’nın Türkiye’deki tüm internet trafiğini, vatandaşların gerçek kimlikleriyle ilişkilendirerek kaydetmeye başladığı geçtiğimiz günlerde haberlere yansımıştı. “Fişleme” iddiasıyla eleştirilen “gizli” ibareli o belgeyi BTK’ya sordum.
Yanıta göre, bir kullanıcının internet verileri başka resmi kurumlarca istendiğinde BTK “yalnızca hakim kararı çerçevesinde” talebi değerlendiriyor ve “hakkında dinleme kararı bulunmayan kimselerin” verilerini paylaşmıyor.
Prof. Dr. Yaman Akdeniz ise BTK uygulamasının Anayasa’ya aykırı olduğunu vurguluyor. İlgili mevzuatı AYM’nin iptal ettiğini hatırlatan Akdeniz’e göre, BTK’nın yanı sıra, abonelerinin verilerini paylaşan internet servis sağlayıcıları da anayasal hakları ihlal ediyor.
Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK), kullanıcı trafik verilerini düzenli olarak internet servis sağlayıcılardan (İSS) alıp kimlikleriyle ilişkilendirerek kaydetmeye başladığını Cumhuriyet Halk Partisi Genel Başkan Yardımcısı Onursal Adıgüzel 8 Haziran’da açıklamıştı.
Yaz tatili havasından mı bilmiyorum ama “normal” bir demokraside siyasi iktidarı sarsabilecek bu vahim iddiayı Türkiye medyasının büyük bölümü görmedi bile. Kamuoyunu bilgilendirme adına en başarılı yayını ise Medyascope yaptı.
Doğu Eroğlu’nun hazırladığı yazı dizisinde konunun çeşitli boyutları işlenirken BTK’nın 15 Aralık 2020 tarihli ve “gizli” ibareli bir belgesi de yayımlandı. BTK bu belgede İSS’lere, kullanıcılarının tüm internet trafik verisini düzenli olarak kendisine teslim etme talimatı veriyordu.
O günden beri sessiz kalan BTK’ya bu belgeyi ve iddiaları sordum. BTK Tüketici ile İlişkiler Müdürlüğü 3 gün sonra ayrıntılı bir yanıt gönderdi. Tam metnini bu yazının sonunda bulabileceğiniz 22 Ağustos tarihli BTK açıklaması özetle şöyle:
İletişimin tespiti: “Bağlantıyı izliyoruz, içeriği göremiyoruz”
Gizli belgeyi yalanlamayan BTK, ilgili yasalara atıfta bulunup “adli olarak iletişimin tespiti ve denetlenmesine yönelik iş ve işlemleri tek merkezden yürütmekle” görevli kılındığını hatırlatıyor. Kurum bunu yaparken Avrupa İnsan Hakları Sözleşmesi’ndeki “özel hayata saygı” ve Anayasa’daki “haberleşme hürriyeti” haklarına uygun davrandığını savunuyor.
Hatırlayalım: Telekomünikasyon İletişim Başkanlığı (TİB), 2016’da “FETÖ ele geçirdi” denilerek kapatılmıştı. 52.5 milyon gigabayt boyutundaki usulsüz dinleme verisinin bulunduğu TİB binasının “sırlarıyla gömülmesi” önerilmişti.
BTK’nın yanıtına dönelim: Kurum, “iletişimin tespiti” yetkisini TİB’in kapatılması üzerine aldığını hatırlattıktan sonra şöyle diyor:
- “Buna ilişkin talepler ancak bir soruşturma veya kovuşturma kapsamında şüpheli veya sanığın kullanımında bulunan IP’den başka bir hedef IP’ye doğru bağlantının, yani içerik bilgisi olmaksızın her iki IP arasında mevcut bir iletişim olup olmadığına yönelik adli veya istihbarı taleplerin hakim veya mahkeme kararı çerçevesinde karşılanması şeklinde gerçekleşmektedir.”
İletişimin denetlenmesi: Yargı kararı olmadan “dinleme” yapılmıyor
“İletişimin tespiti” denilen kavram bundan ibaret, yani örneğin iki telefon hattı veya internet kullanıcısı arasında temas kurulup kurulmadığına bakılıyor. “O kullanıcı şu saatte bu numarayı aradı” veya “Şu internet sitesinde bu kadar dakika geçirdi” gibi…
Bir de “iletişimin denetlenmesi” tedbiri var. Bu kapsamda dinleme, kayda alma ve sinyal bilgilerinin değerlendirilmesi gerçekleştirilebiliyor. Yani bir telefon konuşmasının veya internet üstündeki haberleşmenin içeriği de kaydediliyor.
Bu türden taleplerin de “hakkında soruşturma veya kovuşturma yürütülen kişiler” ve “katalog suçlar yönünden hakim kararıyla yerine getirildiğini” yanıtında belirten BTK, kanunda kendisine verilen yetkileri aşmadığını ve kişisel verileri koruduğunu savunuyor.
“Site adları, indirilen dosyalar, yazılan yorumlar kaydedilmiyor”
BTK’nın yanıtındaki son cümleler ise şöyle:
- “Dolayısıyla hakkında dinleme kararı bulunmayan kimselerin gerek internet üzerinden gerekse GSM üzerinden yapmış oldukları yazışmaların içeriğine hiçbir şekilde ulaşılamamaktadır. Dinleme kararı bulunan kişiler yönünden dahi, üçüncü parti yazılımlara sahip uygulamalar üzerinden yapılan iletişim bilgilerine erişilememektedir. Ayrıca, ne surette olursa olsun kişilerin girmiş olduğu site adları, indirdiği dosyalar, yazdığı yorumlar veya mesajlar vb. gibi içeriğe ilişkin bilgiler Kurumumuzda yer almamaktadır.”
Bir İSS şirketi, bu gizli belge nedeniyle BTK’ya dava açtı
Özetle BTK, tartışılan uygulamanın yasal ve hukuki olduğu görüşünde. Ancak görüştüğüm kaynakların çoğu bu fikirde değil. Hatta bir İSS şirketinin, kullanıcılarının özel verilerini talep eden BTK’ya bu uygulama nedeniyle dava açtığını öğrendim. Şirketin bu süreçte kullanıcı verilerini BTK ile paylaşıp paylaşmadığını ise teyit edemedim.
Görüştüğüm üç hukukçu da BTK uygulamasının anayasal hakları çiğnediği görüşünde. İkisi ismini vermek istemedi. İstanbul Bilgi Üniversitesi Hukuk Fakültesi öğretim üyesi ve İfade Özgürlüğü Derneği’nin kurucularından olan Prof. Dr. Yaman Akdeniz’in görüşleri şöyle:
BTK’nın dayanak yaptığı mevzuatı AYM iptal etmişti
Öncelikle, bir kullanıcının ne zaman, hangi web sitesini ziyaret ettiği bilgisi, yasalara göre “kişisel veri” midir?
İnternet abonelerine ait trafik bilgileri kişisel veri niteliğindedir. Bu bilgilerin mevzuat gereği servis sağlayıcıları tarafından tutulması ve belirli sürelerle saklanması belirlenmiş ise de servis sağlayıcıları tarafından tutulan ve saklanan ve kullanıcılara ait trafik bilgileri de dahil olmak üzere kişisel verilerinin kapatılana kadar TİB’e ve sonrasında BTK’ya verilmesi ile ilgili mevzuat Anayasa Mahkemesi tarafından Anayasa’ya aykırı bulunmuş ve iptal edilmiştir.
Öncelikle Anayasa Mahkemesi, 5651 Sayılı Kanun’un “Bilgilendirme Yükümlülüğü” başlıklı 3. maddesine eklenen 4. fıkrayı iptal etmiştir (bkz. E.2014/149, K.2014/151, 2.10.2014, R.G. Tarih-Sayı: 1.1.2015-29223). İptal edilen dava konusu kural kapsamında İnternet trafik bilgisinin TİB tarafından ilgili işletmecilerden herhangi bir hukuki inceleme ya da sürece dâhil olmadan alınması ve hâkim tarafından karar verilmesi durumunda bu bilginin ilgili mercilere verilmesi düzenlemişti.
Özel hayata müdahale riski taşıyor, belirlilik ilkesi çiğnenmiş
Anayasa Mahkemesi o mevzuatı neden iptal etmişti?
Anayasa Mahkemesi şöyle demişti: “Dava konusu kural, kişisel veri niteliğinde olan ve ciddi suçların tespiti, soruşturulması ve kovuşturulmasında kullanılmak üzere gerçek ve tüzel kişilere ilişkin trafik bilgisinin, işlenmemiş veri hâlinde süreli olarak muhafaza edildiği erişim veya yer sağlayıcılardan, TİB tarafından herhangi bir gerekçe veya neden göstermeksizin temin edilmesine olanak sağlamaktadır. Söz konusu verilere ulaşılabilirlik, kişilerin tercihleri, düşünceleri ve davranışları hakkında fikir verebileceğinden kişilerin özel hayatlarına müdahale edilme riskini içermektedir. Kuralda, temin edilecek bilgiyle ilgili olarak herhangi bir konu ve amaç sınırlaması bulunmadığı gibi bilginin kapsamı, ne şekilde kullanılacağı, tutulacağı süre, temin edilme gerekçesi gibi hususlarla ilgili olarak da herhangi bir belirlilik bulunmamaktadır.” Bu yüzden doğrudan kişisel veri niteliğindeki trafik bilgisinin temin edilmesine ve işlenmesine olanak sağlayan bu hüküm Anayasa’nın 20. maddesine aykırı olduğu gerekçesiyle iptal edilmişti.
Anayasa Mahkemesi yeni hükümleri de iptal etti
Anayasa Mahkemesi’nin ilk iptal kararından sonra ne oldu?
Bu hüküm iptal edildikten sonra 6518 sayılı Kanun ile 06.02.2014 tarihinde 5651 Sayılı Kanun’un 4. maddesine eklenen 3. fıkra, 5. maddesine eklenen 5. fıkra ve 6. maddesinin 1. fıkrasına eklenen d bendi ile içerik, yer ve erişim sağlayıcıların Telekomünikasyon İletişim Başkanlığı’nın talep ettiği bilgileri, talep edilen şekilde teslim etmesi ve Başkanlık tarafından bildirilen tedbirlerin alınmasına ilişkin yükümlülükleri tekrardan düzenlenmiştir.
Anayasa Mahkemesi bu yeni hükümleri de Anayasa’nın 2, 13 ve 20. Maddelerine aykırı bulup, iptal etmiştir (E.2014/87, K.2015/112, 08.12.2015). Anayasa Mahkemesi, bu düzenlemelerde yer alan “bilgi” kelimesinin kişisel verileri kapsadığını ve TİB’e verilen yetkilerin kişisel verilerin korunmasına ilişkin gerekli teminatları içermediğini ve trafik bilgilerinin de TİB tarafından istenilecek bilgi kapsamında olduğunun açık olduğunu belirtmiştir. Bu kapsamda belirli ve öngörülebilir olmayan düzenlemelerin kişisel verilerin korunması hakkını ölçüsüzce sınırlandırmakta olduğu tespit edilmiştir.
Hukuki olmayan BTK talebini yerine getiren İSS’ler anayasal hakları ihlal ediyor
Bu durumda BTK’nın “BTK-gate” açıklaması hukuki olarak yeterli mi?
6518 sayılı Kanun’la 5651 sayılı Kanun’a eklenen 4/3, 5/5 ve 6/1-d maddelerinin iptaline ilişkin hükümler 28.01.2017 tarihi itibariyle yürürlüğe girmiştir. Bu tarihten sonra trafik bilgilerinin içerik, yer ve servis sağlayıcılardan temini ile ilgili herhangi yeni bir hüküm 5651 sayılı Kanun’a eklenmemiştir.
Dolayısıyla, BTK tarafından talep edilen ve abonelere ait trafik verilerinin, talebin herhangi bir hukuki dayanağı olmadığı ve böyle bir talebin yerine getirilmesinin Anayasa’ya ve yukarıda belirtilen Anayasa Mahkemesi içtihadına aykırı olacağı, daha da önemlisi bu verilerin BTK ile paylaşılması yönünde açık rızası bulunmayan abonelerin Anayasa ile teminat altına alınan iletişimin gizliliği, düşünce ve ifadeyi yayma özgürlüğü, haberleşme özgürlüğü, kişisel verilerin korunması gibi birçok temel hakla doğrudan ilgili olması ve bu hakların ağır ihlali söz konusudur.
TİB’i kapatmak zorunda kalan, MERSİS’i çaldıran bir iktidar var
Prof. Akdeniz’in görüşleri böyle. Temel haklara yönelik ihlallerin yanı sıra BTK’nın bu uygulamasının getirdiği siber güvenlik tehdidine de değinerek bitireyim.
Türkiye’deki tüm internet kullanıcı verilerinin tek bir merkezde, kolay işlenebilir bir formatta toplanması başlı başına büyük bir risk değil mi?
Tüm internet abonelerinin tüm trafik verilerinin, dinamik IP’leri dâhil tamamen ve sürekli olarak isim-soyadlarıyla birlikte kaydedildiği bir veritabanı hiç kimsede yoktu. Şimdi böyle merkezi bir veritabanı var.
Siyasi iktidarın yakın geçmişte TİB gibi kritik kurumları kimlere teslim ettiğini ve ayrıca tüm vatandaşların kişisel verilerini içeren MERSİS CD’lerinin nasıl işportaya düştüğünü hatırlarsak riskin boyutunu belki daha iyi anlarız.
Tüm Türkiye’nin internet geçmişi, kötü niyetli odakların eline geçebilir
Örneğin şu anda iktidar dâhil bütün milletvekillerinin, bütün hakimlerin, subayların, polis amirlerinin, en önemli koltuklarda oturan tüm bürokratların cep telefonlarındaki, ev ve işyeri internetindeki tüm trafik verileri BTK binasında sürekli bir e-tabloya işleniyor.
Bu verilerin siber güvenliği nasıl sağlanıyor ve bu süreci hangi kurum/birim denetliyor?
Başka ülkelerden de gelebilecek ve ulusal güvenlik sorunu yaratabilecek olası hacker saldırılarına karşı ne önlemler alındı?
Hakim kararı olmaksızın bu verilere BTK veya diğer kurumlardan kimler (teknik vb.) erişebiliyor? Hangi güvenlik protokolleri ve standartları uygulanıyor? Toplanan bir veri ne zaman siliniyor?
Bunları da BTK’ya ek olarak sordum ancak henüz bir yanıt gelmedi. Gelirse yine burada kamuoyuyla paylaşırım.
[26 Eylül 2022 tarihli güncelleme: BTK’dan bu konuda da yanıt geldi, şuradan okuyabilirsiniz.]BTK açıklamasının tam metni
Emre Kızılkaya’nın, geçtiğimiz haftalarda basına yansıyan E-58415308-400-78040 sayılı ve “gizli” ibareli yazıya dair 19 Ağustos tarihinde Bilgi Edinme Hakkı Kanunu kapsamında ilettiği talebine, BTK Tüketici ile İlişkiler Müdürlüğü’nün verdiği 22 Ağustos tarihli yanıtın tam metni şöyle:
Kurumumuz AİHS 8. maddesinde (Özel ve aile hayatına saygı hakkı) ve Anayasamızın 22. maddesinde (Haberleşme hürriyeti) uygun olarak 5397 sayılı Kanun kapsamında 2559 sayılı Polis Vazife ve Salahiyet Kanununun ek 7. maddesi, 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanununun ek 5. maddesi ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanununun 6. maddesi ile istihbari, 5271 sayılı Ceza Muhakemesi Kanununun (CMK) 135 ve müteakip maddeleri ile ise adli olarak iletişimin tespiti ve denetlenmesine yönelik iş ve işlemleri tek merkezden yürütmekle görevli ve yetkili kılınmıştır.
5809 sayılı Elektronik Haberleşme Kanununun 6. ve 60. maddelerinde Kurumumuzun, işletmeciler, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerden ihtiyaç duyacağı her türlü bilgi ve belgeyi almak ve gerekli kayıtları tutmak yetkisi hüküm altına alınmıştır.
Bu kapsamda, Kurumumuzun görevleri ‘’Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi, Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul ve Esaslar İle Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkındaki Yönetmeliğinin’’ 17. Maddesinde belirtilmiştir. ) Telekomünikasyon İletişim Başkanlığı (TİB), 17.08.2016 tarih ve 671 sayılı KHK’nin 22. Maddesi gereğince kapatılmış olup görev ve yükümlülükleri Bilgi Teknolojileri ve İletişim Kurumuna devredilmiştir. ) Anılan maddenin 1. fıkrasının (f) bendinde “Kurumumuz faaliyetleriyle ilgili olarak kamu kurum ve kuruluşları, kamu hizmeti veren kuruluşlar ile işletmecilerden gelen her türlü bilgi, belge ve kayıtların bilgi güvenliği kriterlerine uygun olarak arşivlenmesini sağlamak” Kurumumuzun görevleri arasında sayılmıştır.
“İletişimin tespiti” tedbiri her türlü iletişim aracı bakımından geçerlidir. İnternet üzerinden yapılan iletişim ile GSM üzerinden yapılan iletişim arasında fark bulunmamaktadır. Buna ilişkin talepler ancak bir soruşturma veya kovuşturma kapsamında şüpheli veya sanığın kullanımında bulunan IP’den başka bir hedef IP’ye doğru bağlantının, yani içerik bilgisi olmaksızın her iki IP arasında mevcut bir iletişim olup olmadığına yönelik adli veya istihbarı taleplerin hakim veya mahkeme kararı çerçevesinde karşılanması şeklinde gerçekleşmektedir. Bu husus Ceza Muhakemesi Kanununun (CMK) 135. maddesinin 6. fıkrasında düzenlenmiştir.
İletişimin denetlenmesi (İletişimin dinlenmesi, kayda alınması ve sinyal bilgilerinin değerlendirilmesi) tedbiri ise yine hakkında soruşturma veya kovuşturma yürütülen kişiler yönünden ve yalnızca CMK 135. maddesinin 8. fıkrasında yer alan katalog suçlar yönünden hakim kararıyla yerine getirilen bir tedbir olarak düzenlenmiştir. Nitekim Kurumumuz anılan mevzuat hükümlerine uymayan talepler bakımından ilgili yargı mercilerine başvurmakta ve itiraz yetkisini kullanmaktadır.
Ayrıca belirtmek gerekir ki; Kurumumuz, iletişimin tespitine yönelik kişisel veri kategorisinde ele almaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanununun 5. maddesinde kişisel verilerin işlenme şartları sayılmış ve 2. fıkranın (a) bendinde “Kanunlarda açıkça öngörülme” ve (ç) bendinde “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma” durumlarında kişisel verilerin işlenebileceği belirtilmiştir. Kurumumuz anılan hükümlere uygun olarak görevini ifa etmektedir.
Kanun gerekçesi incelendiğinde; fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel verinin işlenebileceği vurgulanmıştır. Yine fıkranın (ç) bendine ilişkin Kanun gerekçesinde veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için ilgilinin rızası olmaksızın verileri işleyebileceği açıklanmıştır.
6698 sayılı Kanunun 28. maddesinde bu Kanun hükümlerinin uygulanmayacağı haller sayılmış ve “kişisel verinin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması” ve “kişisel verinin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kurum ve kuruluşlarca işlenmesi” bu haller arasında belirtilmiştir. Bu nedenle Kurumumuz anılan hükümler bakımdan istisna kapsamında yer almaktadır.
Bununla birlikte 5809 sayılı Kanunun 51. maddesinde kişisel verilerin işlenmesi ve gizliliğin korunması müstakil olarak düzenlenmiştir. Maddenin 2. fıkrasında mevzuatın ve yargı kararlarının öngördüğü durumular haricinde elektronik haberleşmenin ve ilgili trafik verisinin gizliliğinin esas olduğu belirtilmiştir.
Kaldı ki, bu husus mevzuatta sınırı çizildiği şekliyle yalnızca hakim kararı çerçevesinde değerlendirme konusu yapılmakta ve talepler buna istinaden karşılanmaktadır. Kurum söz konusu yasa maddesi uyarınca elektronik haberleşme sektöründe Kişisel Verilerin Korunmasına yönelik düzenlemeler yapmakta, işletmecilerin bu düzenlemelere uyumunu denetlemektedir. Görüleceği üzere Kurumumuz 6698 sayılı Kanunda ve 5809 sayılı Kanunda yer alan kişisel verilerin korunmasına yönelik hükümlere eksiksiz olarak riayet etmektedir.
Dolayısıyla hakkında dinleme kararı bulunmayan kimselerin gerek internet üzerinden gerekse GSM üzerinden yapmış oldukları yazışmaların içeriğine hiçbir şekilde ulaşılamamaktadır. Dinleme kararı bulunan kişiler yönünden dahi, üçüncü parti yazılımlara sahip uygulamalar üzerinden yapılan iletişim bilgilerine erişilememektedir. Ayrıca, ne surette olursa olsun kişilerin girmiş olduğu site adları, indirdiği dosyalar, yazdığı yorumlar veya mesajlar vb. gibi içeriğe ilişkin bilgiler Kurumumuzda yer almamaktadır.” şeklindedir.