5651 Sayılı Kanun Nedir? Yönetmelik ve
5651 Sayılı Kanun Nedir? Türkiye'de İnternet Erişim Kayıtlarının Hukuki Temeli
5651 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun", 4 Mayıs 2007 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Bu kanun, Türkiye'de internet üzerinden sunulan hizmetlerin denetimi, içerik sağlayıcıların ve erişim sağlayıcıların hukuki sorumluluklarını düzenleyen temel yasal çerçeveyi oluşturur. Özellikle toplu kullanıma açık internet erişimi sunan işletmeler — oteller, kafeler, alışveriş merkezleri, fabrikalar, kamu kurumları, hastaneler, kongre merkezleri — için 5651 sayılı kanun yalnızca bir öneri değil, zorunlu bir yasal yükümlülüktür.
Kanunun özünde iki temel sorumluluk alanı bulunur: içerik sorumluluğu ve erişim kayıtlarının saklanması. İçerik sağlayıcılar (yer sağlayıcı, hosting) yayınladıkları içerikten doğrudan sorumlu tutulurken, erişim sağlayıcılar (ISP, toplu internet hizmeti veren işletmeler) kullanıcıların internet erişim kayıtlarını belirli sürelerle saklamak ve yetkili makamlara sunmakla yükümlüdür. Bu yükümlülük, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte değerlendirildiğinde, işletmelerin hem yasal sorumluluk hem de veri güvenliği açısından çift taraflı bir uyum sağlaması gerektiği anlamına gelir.
5651 sayılı kanunun uygulanmasını düzenleyen İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Yönetmelik (23 Şubat 2011 tarihli Resmi Gazete, sayı: 27866) ve sonraki değişiklikler, hangi bilgilerin ne kadar süre saklanacağını, hangi teknik önlemlerin alınacağını ve yetkili makamlara bildirim süreçlerini detaylandırır. Bu yönetmelikler, işletmelerin günlük operasyonlarında somut adımlar atmasını gerektirir: kullanıcı kimlik doğrulama, erişim loglarının zaman damgalı kaydı, güvenli saklama ve denetim süreçleri.
Yasanın Temel Maddeleri ve Toplu İnternet Sağlayıcılar İçin Kritik Hükümler
5651 sayılı kanunun tamamı 40 maddeden oluşur, ancak toplu internet erişimi sunan işletmeler açısından en kritik maddeler şunlardır:
Madde 4 – Erişim Sağlayıcıların Yükümlülükleri
Bu madde, erişim sağlayıcıların (ISP ve toplu internet hizmeti veren işletmeler) kullanıcıların internet erişim kayıtlarını saklamasını zorunlu kılar. Kayıt altına alınması gereken bilgiler şunlardır:
- Kullanıcı kimlik bilgileri: Ad, soyad, TC kimlik numarası (veya yabancılar için pasaport numarası), adres bilgileri
- Erişim zamanı: Bağlantının başlangıç ve bitiş zamanı (NTP senkronize zaman damgası ile)
- Atanan IP adresi: Kullanıcıya tahsis edilen yerel veya genel IP adresi
- Erişim noktası bilgisi: MAC adresi, SSID, cihaz tanımlayıcıları (otel oda numarası, masa numarası gibi fiziksel konum bilgileri)
- Trafik bilgileri: Erişilen alan adları, URL'ler, veri trafiği miktarı (yönetmeliğe göre değişkenlik gösterebilir)
Bu kayıtlar, en az 1 yıl süreyle güvenli bir ortamda saklanmalıdır. Saklama süresi, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından 2 yıla kadar uzatılabilir. Önemli nokta: bu süre, kaydın oluşturulduğu tarihten itibaren başlar ve her kayıt için ayrı ayrı hesaplanır.
Madde 5 – Yer Sağlayıcıların Yükümlülükleri
Yer sağlayıcılar (hosting, sunucu barındırma hizmeti verenler), sundukları içeriğin yayın tarihini, içerik sağlayıcının kimlik bilgilerini ve içeriğe erişim kayıtlarını saklamakla yükümlüdür. Bir otel veya AVM kendi web sitesi veya dijital içerik platformu işletiyorsa, bu madde kapsamına da girebilir.
Madde 6 – Toplu Kullanım Sağlayıcılarının Özel Yükümlülükleri
Bu madde, toplu kullanıma açık internet erişimi sunan işletmeleri doğrudan hedefler. Oteller, kafeler, restoranlar, kütüphaneler, AVM'ler, fabrikalar, hastaneler gibi kuruluşlar bu kategoriye girer. Yükümlülükler şunlardır:
- Kullanıcı kimlik doğrulama: İnternet erişimi vermeden önce kullanıcının kimliğini doğrulamak (TC kimlik, pasaport, otel rezervasyon bilgisi, SMS onayı gibi yöntemlerle)
- Erişim kayıtlarının tutulması: Madde 4'te belirtilen tüm bilgilerin kaydedilmesi
- Güvenli saklama: Kayıtların yetkisiz erişime karşı korunması, şifreleme, yedekleme ve bütünlük kontrollerinin uygulanması
- Yetkili makamlara bilgi sunumu: Adli ve idari makamların talebi üzerine kayıtların eksiksiz ve zamanında sunulması
Yönetmelik, toplu kullanım sağlayıcılarının kullanıcılara açık ve anlaşılır bir şekilde bilgilendirme yapmasını da gerektirir. Kullanıcılar, internet erişimi sırasında hangi bilgilerinin toplandığını, ne kadar süre saklanacağını ve hangi amaçlarla kullanılacağını öğrenmelidir. Bu, KVKK'nın "aydınlatma yükümlülüğü" ile de örtüşür.
Madde 8 – İçerik ve Erişim Engelleme
Bu madde, BTK ve mahkemelerin belirli içeriklere erişimi engelleyebileceğini düzenler. Toplu internet sağlayıcılar, BTK'nın erişim engelleme kararlarını uygulamakla yükümlüdür. Modern firewall ve hotspot çözümleri (örneğin FortiGate, Sophos XG, SonicWall), BTK'nın güncel engel listelerini otomatik olarak senkronize edebilir.
Resmi Gazete Yönetmelikleri: Uygulama Detayları ve Güncellemeler
5651 sayılı kanunun uygulanmasını düzenleyen ana yönetmelik, 23 Şubat 2011 tarihli Resmi Gazete'de (sayı: 27866) yayımlanmıştır. Bu yönetmelik, kanunun genel çerçevesini somut teknik ve idari gerekliliklere dönüştürür. Yönetmeliğin önemli bölümleri şunlardır:
Yönetmeliğin 20. Maddesi – Saklama Yükümlülüğü Detayları
Bu madde, hangi bilgilerin hangi formatta saklanacağını açıklar. Kayıtlar, elektronik ortamda, değiştirilemez ve silinemeyen bir yapıda tutulmalıdır. Yönetmelik, log kayıtlarının "bütünlüğünü" korumak için hash algoritmaları veya dijital imza kullanılmasını önerir (zorunlu kılmasa da denetim sırasında ispat aracı olarak değerlidir).
Saklama süresi boyunca kayıtların yedeklenmesi ve felaket kurtarma senaryolarına karşı korunması gerekir. Bir otel yangın geçirse veya sunucu arızalansa bile, yasal saklama süresindeki loglar kaybolmamalıdır. Bu nedenle bulut tabanlı loglama çözümleri (NextLog5651 gibi), yerel appliance'lara göre daha yüksek güvenilirlik sunar: veriler coğrafi olarak dağıtık veri merkezlerinde şifrelenerek saklanır, otomatik yedekleme ve sürüm kontrolü sağlanır.
Yönetmeliğin 21. Maddesi – Yetkili Makamlara Bilgi Sunumu
Adli makamlar (savcılık, mahkeme) veya idari makamlar (BTK, Emniyet Müdürlüğü, MİT), yazılı bir talep ile erişim kayıtlarını isteyebilir. İşletme, talebin alınmasından itibaren en geç 15 gün içinde kayıtları sunmakla yükümlüdür. Kayıtlar, genellikle CSV, JSON veya syslog formatında, zaman damgası ve kullanıcı kimliği ile eşleştirilerek sunulur.
Yetkili makamların talebi dışında, kayıtlar üçüncü kişilerle paylaşılamaz. Bu, KVKK'nın "veri minimizasyonu" ve "amaç sınırlaması" ilkeleriyle uyumludur. İşletme, kayıtları yalnızca yasal yükümlülük ve güvenlik amacıyla işleyebilir; pazarlama, profilleme veya ticari amaçlarla kullanamaz.
Güncellemeler ve Ek Düzenlemeler
5651 sayılı kanun, 2014, 2015 ve 2020 yıllarında çeşitli değişikliklerle güncellenmiştir. Özellikle 2020 tarihli değişiklik, sosyal medya platformlarının Türkiye'de temsilci bulundurma yükümlülüğünü getirmiş ve içerik kaldırma süreçlerini hızlandırmıştır. Toplu internet sağlayıcılar açısından doğrudan etki yaratmasa da, genel internet düzenlemelerinin sıkılaştığını ve denetim mekanizmalarının güçlendiğini gösterir.
BTK, yönetmelik değişiklikleri ve uygulama rehberleri yayımlayarak işletmelere yol gösterir. Örneğin, 2018 yılında yayımlanan bir BTK genelgesi, toplu kullanım sağlayıcılarının kullanıcı kimlik doğrulamasında SMS onayı veya otel PMS entegrasyonu gibi yöntemleri kullanabileceğini açıklamıştır. Bu, özellikle otel sektöründe yaygın bir uygulama haline gelmiştir: misafir oda numarasını ve soyadını girerek WiFi'ye bağlanır, sistem arka planda Opera, Elektraweb veya Amonra gibi PMS yazılımlarından rezervasyon bilgilerini doğrular ve kimlik kaydını tamamlar.
Toplu İnternet Sağlayıcılarının Hukuki Sorumluluk Tablosu
Aşağıdaki tablo, farklı işletme türlerinin 5651 sayılı kanun kapsamındaki yükümlülüklerini, saklama sürelerini, olası cezaları ve teknik gerekliliklerini özetler. Bu tablo, işletme sahipleri ve IT yöneticileri için pratik bir kontrol listesi işlevi görür:
| İşletme Türü | Yasal Yükümlülük | Saklama Süresi | Kimlik Doğrulama Yöntemi | Ceza Riski (İdari Para Cezası) | Teknik Gereklilik |
|---|---|---|---|---|---|
| Otel / Apart Otel | Misafir WiFi erişim kayıtları, kimlik doğrulama, log saklama | 1-2 yıl (BTK kararına göre) | PMS entegrasyonu (Opera, Elektraweb, Amonra), oda numarası + soyad, pasaport/TC kimlik | 10.000 - 100.000 TL (kayıt tutmama), 50.000 - 500.000 TL (bilgi sunmama) | Hotspot captive portal, syslog sunucusu, firewall (FortiGate, Sophos, MikroTik), bulut loglama |
| Kafe / Restoran | Müşteri WiFi erişim kayıtları, kimlik doğrulama, log saklama | 1-2 yıl | SMS onayı, TC kimlik/pasaport girişi, sosyal medya login (ek kimlik doğrulama ile) | 10.000 - 100.000 TL (kayıt tutmama), 50.000 - 500.000 TL (bilgi sunmama) | Hotspot captive portal, güvenli log saklama, firewall/router syslog |
| AVM / Alışveriş Merkezi | Ziyaretçi WiFi erişim kayıtları, kimlik doğrulama, log saklama | 1-2 yıl | SMS onayı, TC kimlik/pasaport girişi, e-posta doğrulama (ek kimlik ile) | 10.000 - 100.000 TL (kayıt tutmama), 50.000 - 500.000 TL (bilgi sunmama) | Yüksek kapasite hotspot, merkezi log yönetimi, firewall (SonicWall, FortiGate), bulut loglama |
| Fabrika / Üretim Tesisi | Çalışan ve ziyaretçi WiFi erişim kayıtları, kimlik doğrulama, log saklama | 1-2 yıl | Kurumsal kimlik (Active Directory, LDAP), TC kimlik, ziyaretçi için SMS/pasaport | 10.000 - 100.000 TL (kayıt tutmama), 50.000 - 500.000 TL (bilgi sunmama) | Kurumsal firewall (FortiGate, Sophos XG), RADIUS/802.1X, syslog/SIEM entegrasyonu |
| Kamu Kurumu / Belediye | Vatandaş WiFi erişim kayıtları, kimlik doğrulama, log saklama | 1-2 yıl | e-Devlet entegrasyonu, TC kimlik doğrulama, SMS onayı | 10.000 - 100.000 TL (kayıt tutmama), 50.000 - 500.000 TL (bilgi sunmama), idari soruşturma | Yüksek güvenlik firewall, KVKK uyumlu log saklama, bulut tabanlı çözüm, e-Devlet API entegrasyonu |
| Hastane / Sağlık Tesisi | Hasta ve ziyaretçi WiFi erişim kayıtları, kimlik doğrulama, log saklama | 1-2 yıl | TC kimlik, hasta kayıt sistemi entegrasyonu, SMS onayı | 10.000 - 100.000 TL (kayıt tutmama), 50.000 - 500.000 TL (bilgi sunmama), ek sağlık veri mevzuatı cezaları | Tıbbi cihaz ağından izole WiFi, güvenli log saklama, KVKK + sağlık veri güvenliği uyumu |
Bu tabloda belirtilen ceza miktarları, 5651 sayılı kanunun 9. maddesi ve BTK'nın idari para cezası yönetmeliği kapsamında belirlenir. Cezalar, işletmenin büyüklüğüne, ihlalin tekrarına ve kastın derecesine göre artırılabilir. Örneğin, bir otel zinciri birden fazla tesiste kayıt tutmuyorsa, her tesis için ayrı ceza kesilebilir. Ayrıca, yetkili makamlara bilgi sunmama veya eksik/yanlış bilgi sunma durumunda, idari para cezasının yanı sıra adli soruşturma da başlatılabilir (TCK 257. madde: görevli memura yardım etmeme).
Teknik Uygulama: 5651 Uyumlu Loglama ve Hotspot Sistemleri
5651 sayılı kanuna uyum sağlamak, yalnızca hukuki bir zorunluluk değil, aynı zamanda teknik bir mimari gerektirir. İşletmeler, aşağıdaki bileşenleri entegre bir şekilde kullanmalıdır:
1. Kullanıcı Kimlik Doğrulama ve Captive Portal
Captive portal, kullanıcıların WiFi ağına bağlanmadan önce kimlik doğrulama yapmasını sağlayan web tabanlı bir giriş sayfasıdır. Modern hotspot çözümleri (NextLog5651, UniFi, Cisco ISE, Aruba ClearPass), aşağıdaki doğrulama yöntemlerini destekler:
- TC Kimlik Numarası: Kullanıcı TC kimlik numarasını girer, sistem Mernis veya yerel veritabanından doğrular
- SMS Onayı: Kullanıcı cep telefonu numarasını girer, sistem OTP (tek kullanımlık şifre) gönderir, kullanıcı kodu girerek doğrular
- PMS Entegrasyonu (Oteller): Kullanıcı oda numarası ve soyadını girer, sistem Opera, Elektraweb veya Amonra PMS'ten rezervasyon bilgilerini çeker ve doğrular
- Sosyal Medya Login: Kullanıcı Facebook, Google veya Apple hesabıyla giriş yapar (ek kimlik doğrulama gereklidir; sosyal medya bilgileri tek başına 5651 uyumu sağlamaz)
- e-Devlet Entegrasyonu: Kamu kurumları için kullanıcı e-Devlet şifresiyle giriş yapar, sistem TC kimlik ve kişisel bilgileri doğrular
Captive portal, kullanıcıya KVKK aydınlatma metnini göstermeli ve kullanıcının açık rızasını (checkbox veya buton tıklaması) almalıdır. Bu adım, hem 5651 hem de KVKK uyumu için zorunludur.
2. Firewall ve Router Syslog Entegrasyonu
Kullanıcı kimlik doğrulamasından sonra, internet erişim kayıtları firewall veya router tarafından oluşturulur ve merkezi bir log sunucusuna (syslog server) gönderilir. Yaygın kullanılan cihazlar ve entegrasyon yöntemleri:
- FortiGate (Fortinet): Syslog veya FortiAnalyzer üzerinden log gönderimi. FortiGate, kullanıcı IP'si, MAC adresi, zaman damgası, erişilen URL'leri detaylı şekilde kaydeder. NextLog5651 gibi bulut çöz
Sık Sorulan Sorular
5651 loglama ve hotspot hakkında en çok sorulan konular.
- NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
- Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
- Kimler NextLog5651 kullanmalı?
- Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
- Teklif ve keşif için nasıl iletişime geçilir?
- 0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.
Ağınızın Güvenliğini Şansa Bırakmayın
NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.
Fabrika
Hastane
Kamu
Otel
Yurt
KOBİ