Türkiye’deki tüm internet trafiğini, vatandaşların gerçek kimlikleriyle ilişkilendirerek kaydetmeye başlayan BTK’ya bu verilerin nasıl güvende tutulduğunu da sorduk. Yanıta göre veriler, “internet çıkışı bulunmayan ve uçtan uca güvenlik cihazları ile kontrol edilen kapalı devre teknik altyapı üzerinden en yüksek güvenlik seviyesinde” tutuluyor ve hiç kimse arşiv sunucularına “keyfi” olarak erişemiyor.
Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK), kullanıcıların tüm trafik verilerini düzenli olarak internet servis sağlayıcılardan (İSS) alıp kimlikleriyle ilişkilendirerek kaydetmeye başladığını bildiren ve medyaya “BTK-gate” başlığıyla yansıyan “gizli” ibareli belgeye dair Journo’ya verdiği yanıtı geçen ay aktarmıştık.
Konunun hukuki yanının ardından, veri güvenliği boyutunu da BTK’ya sorduk.
Sadece adli makamların talep etmesi hâlinde bir vatandaşın internet trafik verilerini paylaştığını vurgulayan BTK, bu verilerin siber güvenliğini nasıl sağlıyor?
Başka ülkelerden de gelebilecek ve ulusal güvenlik sorunu yaratabilecek olası hacker saldırılarına karşı ne önlemler alındı?
Hâkim kararı olmaksızın bu verilere BTK veya diğer kurumlardan kimler (teknik vb.) erişebiliyor? Hangi güvenlik protokolleri ve standartları uygulanıyor? Toplanan bir veri ne zaman siliniyor?
Journo Proje Editörü Emre Kızılkaya’nın sorularına BTK Tüketici ile İlişkiler Müdürlüğü’nün 21 Eylül’de verdiği yanıta göre kurum toplanan verileri sadece yargı kararı çerçevesinde paylaşıyor. “En yüksek güvenlik” seviyesinde tutulan verilerin, “hiçbir müdahale bulunmadan arşiv sunucularına gönderildiği” ve bunlara “keyfi surette erişim olanağının” bulunmadığı vurgulanıyor. Yanıtta, kameralarla sürekli izlenen veri merkezine sadece yetkili personelin, kartlı geçiş sistemi ve IRIS taramayla ulaşabildiği de belirtiliyor.
BTK açıklamasının tam metni şöyle:
“Elde edilen bilgiler, kanunlarda belirtilen amaç ve usul dışında kullanılamaz”
Kurumumuzun iletişimin tespiti ve denetlenmesine ilişkin görevleri ve çalışma esasları “Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi, Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul ve Esaslar ile Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkındaki Yönetmelik” ile düzenlenmiştir.
Yönetmeliğin “İlkeler” başlıklı 4. maddesinde “Bu Yönetmelik hükümlerine göre yürütülen faaliyetler çerçevesinde elde edilen kayıtlar ve bilgiler, Yönetmelikte ve 04/07/1934 tarihli ve 2559 sayılı Kanunun ek 7. maddesi, 10/03/1983 tarihli ve 2803 sayılı Kanunun ek 5. maddesi, 01/11/1983 tarihli ve 2937 sayılı Kanunun 6. maddesi ile 04/12/2004 tarihli ve 5271 sayılı Kanunun 135. maddesinde belirtilen amaçlar ve usuller dışında kullanılamaz” hükmüne yer verilmiştir.
Yönetmeliğin “Cezai hükümler” başlıklı 27. maddesinde ise “Bu Yönetmelik hükümlerine göre yürütülen faaliyetler çerçevesinde elde edilen bilgiler, bu Yönetmeliğin dayanağını oluşturan kanunlarda belirtilen amaç ve usul dışında kullanılamaz. Elde edilen bilgi, belge ve kayıtların saklanmasında ve korunmasında gizlilik ilkesine riayet edilir.” hükmü amirdir.
Nitekim, 5809 sayılı Elektronik Haberleşme Kanununun 51. maddesinde ise kişisel verilerin işlemesi ve gizliliğin korunması müstakil olarak düzenlenmiştir. Maddenin 2. fıkrasında, mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde elektronik haberleşmenin ve ilgili trafik verisinin gizliliğinin esas olduğu belirtilmiştir. Kaldı ki, bu husus mevzuatta sınırı çizdiği şekliyle yalnızca hakim kararı çerçevesinde değerlendirme konusu yapılmakta ve talepler buna istinaden karşılanmaktadır. Kurum söz konusu yasa maddesi uyarınca elektronik haberleşme sektöründe kişisel verilerin korunmasına yönelik düzenlemeler yapmakta, işletmecilerin bu düzenlemelere uyumunu denetlemektedir.
“İnternet çıkışı olmayan, fiziksel güvenlik katmanlı, kapalı devre teknik altyapı”
Bu kapsamda, görevimiz kapsamında bulunan veriler, Erişim Sağlayıcılar ile Kurumumuz arasında bulunan, internet çıkışı bulunmayan ve uçtan uca güvenlik cihazları ile kontrol edilen kapalı devre teknik altyapı (sadece bu amaç için tesis edilen noktadan noktaya fiziki kablo hattı) üzerinden en yüksek güvenlik seviyesinde Kurumumuz veri merkezi sistemlerine alınmaktadır. Bu veriler, hiçbir müdahale bulunmadan arşiv sunucularına gönderilmekte olup, yine arşiv sunucularında herhangi bir işlem yapılmadan “Telekomünikasyon Yoluyla Yapılan İletişimin Tespiti, Dinlenmesi, Sinyal Bilgilerinin Değerlendirilmesi ve Kayda Alınmasına Dair Usul ve Esaslar ile Telekomünikasyon İletişim Başkanlığının Kuruluş, Görev ve Yetkileri Hakkındaki Yönetmeliğin, “Başkanlığın görevleri” başlıklı 17. maddesinin (f) bendi uyarınca bilgi güvenliği kriterleri doğrultusunda muhafaza edilmektedir.
Kurumumuz veri merkezi fiziksel güvenlik katmanlı bir yapıya sahiptir. Ayrıca veri merkezine erişim sınırlandırılmış olup, kartlı geçiş sistemi ve IRIS taramayla veri merkezine erişim yalnızca yetkili personellerce sağlanmaktadır. Veri merkezinin giriş çıkışları dahil olmak üzere CCTV kamera ile 7/24 izlenmekte olup, veri merkezimizde kurulu bulunan sistemlere erişim ve yetkilendirmeler bilgi güvenliği yönetim sistemlerine uygun şekilde, katmanlı güvenlik mimarisi uzmanı güvenlik ekiplerince yürütülmektedir.
Her personel sorgu yapamıyor, kimlerin hangi veriyi sorguladığı kayıt altında
Bu verilerin Kurumumuzda tutulduğu süreçte bu verilere keyfi surette erişim olanağı bulunmamaktadır. Kurumumuzdan CMK 135. maddesi kapsamında talepte bulunulması durumunda talebin gereği için bu işle görevli personel tarafından sorgu yapılabilmekte ve sorgu sonuçlarına ulaşılabilmektedir. Kurumumuzda çalışan her personel bu yöndeki sorguyu yapamamakta, yalnızca yetki verilen personel tarafından sorgu yapılabilmektedir. Görevli personelin yapmış olduğu sorgulara ilişkin LOG kayıtları sistemlerimizde muhafaza edilmekte ve olası bir soruşturma durumunda personelin hangi sorguyu hangi mahkeme kararına istinaden yaptığı tespit edilebilmektedir. Bununla birlikte sorguyu yapan yetkili personel, yalızca Hakim kararında belirtilen sınırlar dahilinde sonuçları görebilmekte, bunun dışında herhangi bir veriyi görme imkanı bulunmamaktadır.
Özetlemek gerekirse; “iletişimin tespiti” koruma tedbiri AİHS’e ve Anayasamıza uygun olarak kanun ile düzenlenmiş ve tedbirin uygulanması sıkı şekil şartlarına bağlanmıştır. Bu nedenle tedbire konu verilerin saklanması ve korunması bakımından, kişisel verilerin korunmasına yönelik mevzuat ile Kurumumuz mevzuatı uyum içerisinde tesis edilmiştir. Kurumumuz görevini yerine getirirken hukuka ve dürüstlük kurallarına uygun olarak, doğru ve güncel verileri belirli ve meşru amaçlar için muhafaza etmekte, böylece; kanunda belirtilen amaçla bağlantılı, sınırlı ve ölçülü olarak hem tedbirin uygulanması hem de kişisel verilerin gizliliğinin korunması sağlanmaktadır.
İLGİNİZİ ÇEKEBİLİR:
BTK’dan “BTK-gate” açıklaması geldi, hukukçulara göre suç işleniyor
