Halen devam etmekte olan İzmir’deki Uluslararası Bilişim Hukuku Kurultayı’ndaki çalıştaylardan bir tanesi, 5651 sayılı kanunla ilgili. Gerçi kamuoyu 5651 sayılı kanunu site engellemelerle anıyor ama bu kanunun şirketleri, kurumları ve toplu erişim sağlayıcılarını ilgilendiren başka boyutları da var. Üstelik bu konu gölgede kalmış gözüküyor. Şirket, üniversite ve kamu kurumlarındaki 5651 ile ilgili log tutma işlemini gerçekleştiren sistem yöneticilerinin bazı çekinceleri bu oturum sırasında konuşuldu.
Çalıştay’a katılan sistem yöneticileri 5651’den korktuklarını, çünkü logların takibi sırasında bazen kişisel verilere bakılmasının gerektiğini belirttiler. Sistem yöneticileri şunları belirtiyorlar :
Log üretilir, saklanır ve gerektiğinde sunulur. Ama hangi logu kaydedeceğiz, hangisini saklayacağız çok net değil.
Biz şirket olarak erişim sağlayıcısı mıyız, toplu sağlayıcı mıyız bilemiyoruz. Kanunda bu daha net olmalı. Gerçi sıkça sorulan sorulara bakınca, ipucu alıyorsunuz ama bunun daha net olması lazım.
Bu sorunu aşabildikten sonra yer sağlyıcı olarak tutuyor olduğunuz loglarla ilgili işlem-sonuç bilgileri deniliyor ama orada da netlik yok. Ucu açık bir tanım. Bir arkadaş blog ya da forum sayfası açmış ve public erişime kapatmış diyelim. Yer sağlayıcı, kanunen tuttuğu loglarda, bu kişinin oraya yazdıklarını tutuyor olabilir. Acaba bu olmalı mı?
Erişim sağlayıcı ile ilgili notlar var, erişilen adresler vs gibi kimlik bilgileri, tuttuğunuz veriyi çok önemli hale getiriyor.
Kaydedilen veri çok kıymetli. Mesela kurumunuzda çalışan herhangi birisi, sistem mühendisine geliyor ve diyor ki; şu kişi benim nişanlım, acaba nereye giriyor, öğrenebilir miyim? Bu durumun karşılığı nedir?
Diğer yandan, tuttuğunuz veri binlerce kişiyse, bütün bunlar sizin üstünüzden internete çıkıyorsa, sizin çok ciddi bir rapor elde etme olanağınız var mesela kullanıcıların alışveriş alışkanlıklarını tespit edebilirsiniz.
Zaten internette underground search yaparsanız, “1 milyon mail adresini kategorize ettik, bisikletle ilgili sitelere giren kişileri bulabilirsiniz.” denilebiliyor.
Sistem yöneticileri, şirketlerdeki sistem yöneticilerinin bu tür verileri sağlamakla suçlanabileceklerini dikkat çekerek şu önemli noktaları işaret ediyorlar ;
Hatta veriler kanunda istenildiği şekilde tutulduğu takdirde, bu kişilerin siyasi tarafını da üretmek mümkün olabilir.
Sonuçta bu veriyi tutan bir sistem ve takip eden insanlar var. Open source sistemlerde rahat ama diğer sistemlerde mümkün, verinin hash value’sunun hesaplanmasından önce bu verinin manipule edilme imkanı var. Mesela text data, analiz edilecek bir kavram değil, bu veriyi tutmakla sorumlu kişi de emniyet personeli ya da adli bilişim uzmanı değil. Kanunu uyguladığımız zaman da kendimizi ne kadar rahat hissedebileceğimizi bilmiyoruz.
Yöneticiler “Kişisel verilerin gizliliği” kanunun çıkarılmasının kendilerini rahatlatacağını da ifade ettiler. 2004’den beri TBMM’de olan taslak şu anda Adalet alt Komisyonunda bulunuyor.
Özetle 5651 kanun olarak uygun ama yöntem açıkta gibi. Mesela sorulardan birisi şu şekilde :
Diyelim ki; bir ISS firmasında çalışıyorsunuz, hiyerarşik bir düzende üstleriniz var. Üstlerinizden birisi diyor ki, mahkeme istedi, şu kayıtları var. Biz bu durumda düşünüyoruz; “bu kayıtları vermeli miyim, resmi kağıdı görmeyi istemeli miyim?”
Kanunda zaman damgası konusunda bir şey yok. Sadece toplu kullanım sağlayıcı yönetmeliğinde var. O zaman kendinizin sağlayabilirsiniz. Ama o zaman bu da yanıltılabilir. Zaman damgası 1 ay önceye alınabilir.
Bütün bunların sonucunda 5651 sayılı kanun, kurumlara, üniversitelere ve şirketlere bazı zorunluluklar getiriyorlar ama tam olarak bunun yöntemlerinin belli olmadığı görülüyor.
Kaynak : 