WhatsApp, Skype ve Benzeri Platformlara Düzenleme Geliyor (Basın Kanunu Değişiklik Teklifi Değerlendirmesi-2)

Abone Ol

Giriş

İlk olarak Basın Kanunu Değişiklik Teklifi ile TCK’ya eklenmesi planlanan ‘’halkı yanıltıcı bilgiyi alenen yayma‘’ suçunu değerlendirmiş ve buna yönelik bir makale yayınlamıştım. İlgili makaleye şu URL adresinden ulaşılabilir: https://www.hukukihaber.net/halki-yaniltici-bilgiyi-alenen-yayma-sucu-nedir-basin-kanunu-degisiklik-teklifi-degerlendirmesi-makale,10014.html

Bu yazıda ise Basın Kanunu Değişiklik Teklifi olarak isimlendirilen torba kanun teklifindeki, Elektronik Haberleşme Kanunu’na dair yapılması planlanan değişiklikleri açıkladım.

A) Şebekeler Üstü Hizmet/OTT Düzenlemesi Ne Getiriyor ?

Basın Kanunu Değişiklik Teklifi metninin 36. maddesinde, Elektronik Haberleşme Kanunu’nun 3. maddesine şebekeler üstü hizmet ve şebekeler üstü hizmet sağlayıcı tanımları getirilmektedir. İlgili tanımlar şunlardır:

Şebekeler üstü hizmet: İnternet erişimine sahip abone ve kullanıcılara, işletmecilerden veya sağlanan internet hizmetinden bağımsız olarak kamuya açık bir yazılım vasıtası ile sunulan; sesli, yazılı, görsel iletişim kapsamındaki kişiler arası elektronik haberleşme hizmetlerini

Şebekeler üstü hizmet sağlayıcı: Şebekeler üstü hizmet tanımı kapsamına giren hizmetleri sunan gerçek veya tüzel kişiyi

Teklif metninin 37. maddesinde ise Elektronik Haberleşme Kanunu’nun 9. maddesine şu alt fıkranın ekleneceği yazılıdır:

“(14) Kurum, şebekeler üstü hizmet sunumuna ilişkin gerekli düzenlemeleri yapmaya, düzenlemelerde öngörülen yükümlülükleri yerine getirmeksizin veya yetkilendirilmeksizin sunulan şebekeler üstü hizmetlerin sunumunun engellenmesini teminen işletmecilere yükümlülük getirilmesi dahil her türlü tedbiri almaya yetkilidir. Şebekeler üstü hizmet sağlayıcılar, faaliyetlerini Türkiye'de kurdukları anonim şirket ya da limited şirket statüsündeki tam yetkili temsilcileri vasıtası ile Kurumca yapılacak yetkilendirme çerçevesinde yürütürler. Şebekeler üstü hizmet sağlayıcılar, Kurumun elektronik haberleşme sektörüne ilişkin görevleri kapsamında bu hizmete yönelik yapacağı düzenlemelere uymakla yükümlüdür. Kurum yapacağı düzenlemelerde hizmetlerin kullanıcılarına Ulusal Numaralandırma Planında yer alan numaralar ile haberleşme imkanı sunup sunmadığı, Türkiye'deki kullanıcı sayısı veya günlük erişim sayısı gibi kriterleri dikkate alır. Şebekeler üstü hizmet sağlayıcılar, Türkiye’deki aktif bireysel ve kurumsal kullanıcı sayısı, sesli arama sayısı ve süresi, görüntülü görüşme sayısı ve süresi, anlık mesaj sayısı ve Kurumun belirleyebileceği diğer bilgileri Kurumca belirlenecek periyotlarla Kuruma bildirmekle yükümlüdür.”

Teklif metninin 38. maddesinde ise Elektronik Haberleşme Kanunu’nun 60. maddesine şu fıkraların ekleneceği yazılıdır:

“(16) Bu Kanunun 9 uncu maddesine aykırı olarak düzenlemelerde öngörülen yükümlülükleri yerine getirmeyen veya yetkilendirilmeksizin hizmet sunan şebekeler üstü hizmet sağlayıcılara bir milyon Türk Lirasından otuz milyon Türk Lirasına kadar idari para cezası verilebilir.

(17) Bu maddenin onaltıncı fıkrasında uygulanan idari para cezasını süresinde ödemeyen ve Kurumca yapılacak bildirimden itibaren altı ay içerisinde Kurum düzenlemelerinde öngörülen yükümlülükleri yerine getirmeyen veya yetkilendirilmeksizin hizmet sunan şebekeler üstü hizmet sağlayıcısının internet trafiği bant genişliğinin %95’ine kadar daraltılmasına veya ilgili uygulama veya internet sitesine erişimin engellenmesine Kurum tarafından karar verilebilir. Erişim Sağlayıcıları Birliğine uygulanmak üzere gönderilen kararın gereği, erişim sağlayıcılar tarafından yerine getirilir.”

BTK’ya verilen yetkiler ve hizmet sağlayıcıların yükümlülük ihlalinde karşılaşacakları müeyyideler madde metninden açıkça anlaşıldığından, bu noktada ilgili hususlar ayrıca açıklanmamıştır. Belirtmek gerekir ki ilgili maddeler kanunlaşır ise düzenlemelerin detaylarının yönetmelik ve/veya kurul kararları ile detaylandırılacağı görülmektedir. Bu sebeple tam olarak nasıl bir normatif düzenlemeler yelpazesi ile karşılaşılacağı henüz net değildir.

B) Şebekeler Üstü Hizmet Nedir ?

Şebekeler üstü hizmet/Over The Top şeklinde isimlendirilen uygulamalar, genellikle aracı bir internet sitesi/uygulaması işletmecisinin bulunmadığı ve hizmetin direkt olarak internet kullanıcısına sunulduğu internet platformlarını nitelemek için kullanılır. Örneğin X şirketi Y sosyal medya platformunda bir sohbet odası açabilir, Y platformunda kendi çektiği filmlerini ya da müziklerini yayınlayabilir veya Y’nin sunucu altyapısı üzerinden video görüşmesi yaptırabilir. Eğer X şirketi kendisine müstakil bir internet platformu kurar ve aracı bir İSS olmadan bu hizmetleri kullanıcılarına sunarsa, bu tür hizmetlere şebekeler üstü hizmet denilmektedir.

Yani işin özünde buradaki ‘’şebekeler üstü‘’ durumu internet omurgası ve omurgayı işleten erişim sağlayıcılara dair bir bağımsızlığa işaret etmez. Yine şebekeler üstü hizmet sağlayıcıların, üçüncü taraf yer sağlayıcı şirketlerden bulut sunucu hizmeti almaması gerektiğine dair bir kural da olmadığı için bu tür hizmetlerde üçüncü taraf hosting firmalarından da tam bir bağımsızlık aranmaz. Özünde bir internet sitesi ya da uygulamasının işletilmesi olan bu faaliyetlerin içerisine genel literatürde Whatsapp, Netflix, Zoom, Skype, Spotify ve benzerleri yerleştirilmektedir.

C) Teklif ile Her Türlü Şebekeler Üstü Hizmet Değil, Whatsapp-Skype ve Benzeri Hizmetler Düzenlenmektedir

Kanun teklifindeki ‘’Şebekeler üstü hizmet: İnternet erişimine sahip abone ve kullanıcılara, işletmecilerden veya sağlanan internet hizmetinden bağımsız olarak kamuya açık bir yazılım vasıtası ile sunulan; sesli, yazılı, görsel iletişim kapsamındaki kişiler arası elektronik haberleşme hizmetlerini,‘’ şeklindeki tanımda, ‘’kişiler arası elektronik haberleşme‘’ denilmiş olması, iki kişinin karşılıklı iletişim kurmadığı elektronik haberleşme hizmetlerini kapsam dışında bırakmaktadır.

İnternet teknolojilerinde bilişim sistemleri, internet ağı vasıtasıyla ve erişim sağlayıcıların omurga altyapısı üzerinden birbiri ile haberleşir. Bir şebekeler üstü/OTT hizmet olan Netflix’te bu durum şu şekilde işlemektedir: Netflix üyesi X, cep telefonundan Netflix uygulamasına eriştiğinde, evindeki yerel ağ üzerinden yerel ve küresel erişim sağlayıcı routerları ile omurgaları üzerinden Netflix’in dünyanın bir ucundaki sunucularına veri iletmekte, Netflix’in veri tabanı sunucularında zaten önceden mevcut olan verilere erişim için yapılan bu isteğe veri tabanı ve uygulama sunuculardan dönen cevaplar da benzer yollarla omurga üzerinden X’e iletilmektedir. Dikkat edilir ise burada X’in karşısında doğrudan muhatap bir gerçek kişi olmadan elektronik haberleşme tecelli etmektedir. Halbuki Whatsapp örneğinde X’ten giden veriler Whatsapp’ın bilişim sistemleri ağı üzerinden diğer bir gerçek kişi olan Y’ye iletilmekte ve iki kişi arasında bir elektronik haberleşme tecelli etmektedir. Skype yahut Zoom uygulamalarında da sistem aynı şekilde işlemektedir. (Pekala iletişimin karşı tarafında bir chatbot/asistan yazılım türünde bir yapay zeka da olabilir ise de kanun teklifinde bu tür durumların dikkate alınmadığı görülmektedir)

Sonuç olarak yalnızca veri tabanı sunucularına yapılan erişimler ve bu sunuculara gönderilen veri paketlerine dair internet iletişimi/elektronik haberleşme, Elektronik Haberleşme Kanunu’nda yapılması planlanan bu düzenlemelerin kapsamı dışında kalmaktadır. Bir hizmetin Elektronik Haberleşme Kanunu’na dahil edilecek olan ‘’kişiler arası elektronik haberleşme hizmetleri‘’ kapsamında kalması için iki adet istemcinin aralarında elektronik haberleşme altyapısı üzerinden iletişim kuruyor olması gerekir. (En azından bu düzenlemelerden ben bunu anlıyorum)

Durumu daha da somutlaştırmak ve basitleştirmek gerekirse, salt veri tabanındaki filmlere erişmeyi konu eden Netflix ya da salt müziklere erişmeyi konu eden Spotify bu düzenlemenin konusu değildir. Aynı şekilde eğer Skype, sadece video yüklenen Youtube benzeri bir platform olsaydı ve bilahare diğer kullanıcılar veri tabanı sunucularında yüklü bu verilere erişselerdi, Skype da bu düzenlemeye dahil olmayacaktı. Ancak Skype üzerinden iki kişi fiilen iletişim kurduğu için halihazırda Skype bu düzenlemenin konusudur. Zaten halihazırda Netflix-Disney+ gibi şebekeler üstü hizmetler Radyo, Televizyon ve İsteğe Bağlı Yayınların İnternet Ortamından Sunumu Hakkında Yönetmelik’te, sosyal medya platformları da 5651 s. Kanun içerisinde düzenlenmiş ve yapılması planlanan kanun değişikliğindekilere benzer yükümlülüklere hali hazırda tabi durumdadırlar.

D) Teklif ile Türk İnternet Hukukunda Yeni Bir İnternet Servis Sağlayıcı Tipi Yaratılmıştır

İnternet hukukunda temelde üç tip İSS mevcut olup, bunlar erişim sağlayıcılar, yer sağlayıcılar ve internet site/uygulamalarını işleten hizmet sağlayıcılardır. Hukukumuzda erişim sağlayıcı ve yer sağlayıcı kavramı normatif olarak yerleşmiş ise de internet site ve uygulamalarını işleten İSS’lere dair genel bir çatı kavram oluşturulmamış, bunlardan her biri sosyal ağ sağlayıcı-platform işletmecisi-aracı hizmet sağlayıcı gibi ayrı ayrı isimlendirilmiş ve ayrık mevzuatlarda bunlara dair düzenlemelere gidilmiştir.

Şebekeler üstü hizmet sağlayıcısı da temelde bir internet sitesi ya da uygulamasını işlettiği için (hukukumuzda çatı bir kavram olarak yerleşememiş) internet site/uygulaması işletmecisi çatı kavramının bir alt başlığı olarak ortaya çıkmaktadır. Esasında olması gereken, 5651 s. Kanun’da çatı bir internet sitesi/uygulaması işletmecisi kavramını oluşturup, bu tür İSS türlerine dair genel yükümlülükleri bu kanunda düzenleyip daha sonra da sosyal ağ sağlayıcı ya da şebekeler üstü hizmet sağlayıcılar gibi spesifik alt tiplere dair hususi hükümler getirilmesiydi.

E) Bu Düzenleme ile Tüketiciye Sunulan Deep Web İçeriklere Dair Hizmetler Türk İnternet Hukukuna Dahil Edilecektir

Şebekeler üstü hizmetler olarak adlandırılan platformlardan öne çıkanlarının tamamı internet ağının deep web katmanında ve bu katmanın her isteyenin erişemediği noktalarında yer almaktadır. Örneğin Whatsapp sunucularında tutuldukları kısa süre boyunca Whatsapp içeriklerine üçüncü taraf internet kullanıcıları tarayıcılar üzerinden serbestçe erişememektedir. Yine Skype üzerinden yapılan bir görüşmeyi her isteyen tarayıcısı üzerinden görememekte, malware kullanımı ya da sniffing yöntemiyle araya girerek görüşmeyi izlediğinde ise suç işlemiş olmaktadır. Önemli husus şudur: Bu tür platformlardaki içerikler kamuya kapalı fakat platformlarda verilen hizmetler genellikle kamunun kullanımına açıktır. Kanun teklifinde de ‘’internet hizmetinden bağımsız olarak kamuya açık bir yazılım vasıtası ile sunulan‘’ denilerek ne açık kaynak yazılımlara ne de içeriğine herkesin erişebildiği kamuya açık yayınlara değil, Whatsapp gibi kamunun kullanımına açık hizmetlere işaret edilmiştir. Öyleyse bir şirketin intranet sistemindeki/LAN içerisindeki cihazlar tıpkı Whatsapp gibi bir yazılım üzerinden haberleştiğinde, firewall ya da NAC bu hizmeti kamunun kullanımına kapalı hale getireceği için bu tür internet ortamları bu düzenlemenin konusunu oluşturmamaktadır.  

Burada dikkat edilmesi gereken husus şudur: 5651 s. Kanun, ‘’Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortamı‘’ şeklinde tanımladığı, surface web ve deep web’in kamuya açık kısmını ilgilendirmektedir. Elektronik Haberleşme Kanunu’na eklenecek olan şebekeler üstü hizmetler ve örneğin Whatsapp ise internetin kamuya açık olmayan/kapalı kısmında yer alır. Zira sadece yetkililer bu noktalardaki internet içeriklerine erişebilmekte ve sunuculardan verileri çağırabilmektedir. Ancak yukarıda da belirtildiği üzere Whatsapp kamunun ‘’kullanımına açık‘’ bir hizmettir.  Öyleyse 5651 s. Kanun’un tamamen dışladığı deep web’in yetkisiz olarak erişilemeyen kısmına konu hizmetler, Elektronik Haberleşme Kanunu’ndaki şebekeler üstü hizmet düzenlemesi ile kısmen Türk internet hukukuna dahil olacaktır. Lakin 5651 s. Kanun’da ‘’kişisel veya kurumsal bilgisayar sistemleri‘’ denilerek işaret edilen ve kamuya kullanım imkanı tanınmamış intranet platformları halen Türk internet hukukunun dışında tutulmuş olacaktır.

F) Şebekeler Üstü Hizmet Platformlarının Yer Sağlayıcılar ve Sosyal Ağ Sağlayıcılara Dair Düzenlemeler(5651 s. Kanun) ile Bağlantısı

Şebekeler üstü hizmet sağlayıcı eğer platformundaki verilerini kendi sunucularında barındırıyor yani 5651 s. Kanun’a göre bir yer sağlayıcı sayılıyorsa, trafik bilgileri/logların tutulması ve sair yükümlülüklere yine uyacaktır.

Şebekeler üstü hizmet platformları, kullanıcılarının karşılıklı olarak etkileşime geçmesine izin verdiğinde, aynı zamanda bir sosyal medya/Web 2.0 platformu da sayılabilir. Zira bu kavramlar zaten literatürde birbirinden tamamen ayrıştırılmış değildir ve kavramlar üzerinde bir fikir birliği de yoktur. Kanaatimizce böyle bir durumda ilgili İSS her iki ayrı yükümlülük düzenlemesine de uymak zorunda kalacaktır. Zaten yurt içinde bir temsilcilik açılması veya şirket kurulması gibi esaslı bir kısım yükümlülükler sosyal ağ sağlayıcılar ve şebekeler üstü hizmet sağlayıcılar yönünden benzer şekilde düzenlenmiş olsa da bu tür durumlarda mükerrer idari yaptırımlar yönünden uygulamada sorunların doğması söz konusu olabilir.

G) Eleştiriler

1)Asıl Olarak 5651 s. Kanun’daki İnternet Ortamı Tanımının Değiştirilerek, Bu Düzenlemelerin 5651 s. Kanun’da Yapılması Daha Doğru Olurdu

5651 s. Kanun’daki internet ortamı tanımının internet ağının pek çok noktasını kapsamına almaması başlıca bir sorundur. Kanunda internet ortamının maddi gerçeklere uygun şekilde tanımlanıp, kamuya açık ve kamuya kapalı/herkesin erişemediği internet içeriklerine dair ayrı ayrı düzenlemelere gidilmesi gerekirdi. Böyle bir düzenlemeye gidilmediği ve internet site/uygulamalarını işleten İSS türlerine dair bir çatı tanımlama ile çerçeve yükümlülükler getirilmediği için internet ağının farklı farklı katmanlarında hizmet veren site/uygulama işletmecisi İSS’ler farklı kanunlarda ayrık olarak düzenlenmektedir. Her bir internet site/uygulaması işletmecisi de ayrıca düzenlenmediği ve böyle bir düzenleme yapmanın da mümkün olmadığı için düzenlenmeyen İSS tiplerine ve bunlara dair internet içerikleri ile verilen hizmetlere dair de bir kanun boşluğu oluşmaktadır.

Temel olarak Whatsapp ve benzeri tipteki şebekeler üstü hizmet uygulamalarını hedeflemiş gibi görünen Elektronik Haberleşme Kanunu’na getirilmesi planlanan düzenleme ise yukarıda açıklanan karmaşık durumu daha da karmaşıklaştıracak, benzer hizmetlere dair çok sayıda farklı kanunda çok sayıda farklı düzenleme mevcut hale gelecektir.

2) Yetkilendirme Şartı Getirilmeden, Sosyal Ağ Sağlayıcılar Gibi Temsilcilik Sistemi Yeterli Görülebilirdi

Kanun teklifine göre kişiler arası elektronik haberleşme hizmeti veren şebekeler üstü hizmet sağlayıcılar(örn. Whatsapp), faaliyetlerini Türkiye'de kuracağı anonim şirket ya da limited şirket statüsündeki tam yetkili temsilcileri vasıtası ile Kurumca yapılacak yetkilendirme çerçevesinde yürütecektir. Yetkilendirme genel olarak Elektronik Haberleşme Kanunu’nda elektronik haberleşme altyapısını işleten erişim sağlayıcı işletmecilere yönelik düzenlenmiş bir sistemdir. Whatsapp ise bir internet uygulamasını işletmekte olup, elektronik haberleşme altyapısına dair bir faaliyet yürütmemektedir. Kaldı ki Whatsapp’ın kullandığı ağ teknolojileri ve yazılımların benzerleri pek çok farklı internet uygulaması ve sitesinde de kullanılmakta, örneğin online oyunlar ya da sosyal medya platformlarında benzeri faaliyetler gerçekleştirilmektedir.

Kanaatimce olması gereken bir düzenleme internet platformlarını işletenleri klasik tarzda bir yetkilendirmeye tabi kılmak değil,  Whatsapp, Telegram, Zoom ve benzeri internet uygulamalarını işletenlerin, tıpkı sosyal medya platformlarını işletenler gibi Türkiye’de bir temsilci bulundurarak bu hizmetleri yürütmelerinin sağlanmasıdır.

3) Haberleşme Platformlarına Dair Düzenlemelerin Tüketici/Kullanıcı Yararına Yapılması ve Örneğin Kullanıcı İstemiyorsa Trafik Bilgisi Dışında Kayıt Tutmama Şartı ile Kayıt Tutuluyorsa Verilerin Türkiye’de Barındırılması Gibi Haberleşmenin Gizliliği ve Haberleşme Kayıtlarının  Güvenliğini Önceleyen Düzenlemelere Gidilmesi de Gerekirdi

Düzenlemenin hedefindeki şebekeler üstü hizmetler, ekseriyetle haberleşmenin gizliliği kapsamında kalan elektronik haberleşmeleri konu edinmektedir. 5651 s. Kanun ve sair mevzuata göre trafik bilgilerinin yer sağlayıcılar tarafından kaydedilmesi/log tutulması gerekir. Bu loglar paket başlıkları yani gelen-giden trafiğe dair genel bilgiler ile ilgili olup, iletişim/haberleşme içerikleri ile ilgili değildir. Ancak sunucular iletişim/haberleşme içeriklerini kaydediyorsa, teknolojinin işleyişinden kaynaklı olarak haberleşme içerikleri kayıt altında tutulmuş olacaktır. KVKK düzenlemeleri gereğince bu kayıtlar kriptolanmak zorunda olsa ve hacking saldırılarına karşı korunması gerekse de buradaki temel sorun verilere hackerların erişmesi değil, bizzat haberleşme içeriklerinin kaydı ve daha sonra bunların çeşitli merciler ile paylaşılıp paylaşılmayacağı meselesidir.

Anayasa ve Elektronik Haberleşme Kanunu’na göre haberleşmenin gizliliği kapsamında kalan haberleşmelerin kaydı yargı kararı olmaksızın yapılamaz. Bu noktada CMK md. 135 örnek normlardan biri olup, örneğin CMK md. 135’e göre verilmiş bir karar yoksa anlık elektronik haberleşmeler dinlenemez/izlenemez/kaydedilemez. Lakin yukarıda da zikredildiği üzere internet teknolojilerinde sunucular devreye girdiği için tıpkı kişinin kendisine gönderilen mail içeriğine mail sunucusundan erişmesi gibi bu tür haberleşme içeriklerinin kaydına dair teknolojik bir zaruret mevcut olabilmektedir. Bu noktada yapılması gereken düzenleme, Whatsapp iletişiminde olduğu gibi eğer iletilen veriler Whatsapp sunucuları haricinde alıcı kişinin bilişim sistemine de kaydediliyor ise kullanıcılara ‘’Hizmet sağlayıcı, benim iletişim içeriklerimi kendi sunucularına kaydetmesin‘’ diyebilme imkanının seçenekli olarak sunulmasına dair bir düzenlemedir. Kullanıcıların verilerine(örn. sohbet kayıtlarına) daha sonra erişmek istedikleri için bu veriler sunucularda saklanacak ise bu durumda da kişisel verinin ötesinde haberleşme kaydı olan bu verilerin KVKK onamlarından daha kapsamlı onamlara tabi kılınması gerekmektedir.

İkinci olarak gerek KVKK sisteminin uygulanabilmesinin ve gerekse de trafik bilgisi ile (tutuluyorsa)haberleşme içeriklerine dair verilerin güvenli şekilde depolanmasının Türkiye açısından en mantıklı çözümü, verilerin Türkiye’deki veri merkezlerinde barındırılması zorunluluğudur. Bu zorunluluğun şüphesiz ki ‘’işletilemeyen‘’ adli yardımlaşma süreçlerinden olumsuz etkilenmemesi gereken adli bilişim çalışmalarına da katkısı olacağı açıktır. 5651 s. Kanun’da sosyal ağ sağlayıcılara verileri Türkiye’de barındırma zorunluluğu getirilmiş olmasına rağmen ve genel olarak Türk telekomünikasyon hukukunda verilerin Türkiye’de saklanması ilkesi esas iken, şebekeler üstü hizmet sağlayıcıların Türkiye’ye yönelik faaliyetlerine dair verilerini Türkiye’de barındırmaları zorunluluğuna dair bir düzenleme getirilmemesi dikkat çekmektedir.