CANAN COŞKUN
11’inci Yargı Paketi taslağında, Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) yetkilerini ve idari yaptırımlarını düzenleyen Elektronik Haberleşme Kanunu’nun 60’ıncı maddesi ile abonelik sözleşmelerini düzenleyen 50’nci maddesinde kapsamlı değişiklikler öngörülüyor. Taslak, BTK başkanına yeniden içerik kaldırma yetkisi tanıyor.
Yasa taslağının abonelik sözleşmeleriyle ilgili kısmı biraz daha tartışmalı. Değişiklik, mobil hat işletmecisine abone olmak isteyen kişinin kimliğini, yüz veya parmak izi özetine ilişkin biyometrik veriler ya da kimlik belgesinin şifresi aracılığıyla teyit etme yetkisi öneriyor. Bunun yanı sıra, vatandaş olmayan kişilere verilen kimlik belgelerinin biyometrik verilerle doğrulanmasının da “resmi makamlar” üzerinden yapılacağı belirtildi. Değişiklik önerisi taslak metnini Boğaziçi Üniversitesi Bilgisayar Mühendisliği Bölümü’nden Prof. Tuna Tuğcu Kısa Dalga’ya yorumladı.
Kimliğin elektronik ortamda teyit edilmesi
Yasa teklifi taslağına göre, mobil hat işletmecileri, abone olmak isteyen kişilerin kimliklerini, “özetlenmiş” olduğu belirtilen yüz veya parmak izi verisiyle veya kimlik belgesinin şifresiyle teyit edecek. Yargı paketinde mevcut aboneliklerle ilgili herhangi bir düzenleme öngörülmediğini belirten Tuğcu, şunu söyledi:
“Mevcut 132 milyon abonelik sözleşmesi herhangi bir elektronik kimlik doğrulama gerçekleştirilmeden yapılmış durumda. Teklifte bu temel durumun hiç göz önünde bulundurulmamış olması metnin etraflıca düşünülmeden kaleme alındığını gösteriyor.”
Söz konusu değişiklikle, işletmecinin doğrulama için kullanıcının biyometrik verileri (yüz veya parmak izi özeti) ve kimlik şifresine sahip olacağını aktaran Prof. Tuğcu, şöyle devam etti:
“Bu bilgiler tuzlanmış özet (salted hash) yöntemiyle saklansa bile, işletmecinin bu bilgilere sahip olması ulusal güvenlik açısından büyük bir risk oluşturur. Doğrulamanın işletmeci değil merkezi bir birim (e-devlet ya da benzeri) yapılması, ayrıca bu doğrulama ile yapılan tüm işlemlerin detayıyla zaman damgalı ve elektronik imzalı olarak saklanması gerekir.”
Kimlik elektronik olarak doğrulanamazsa…
Yasadaki bir diğer değişiklik önerisi de abonelik kaydı yapılan kişinin kimlik bilgisinin elektronik olarak teyit edilemediği zamanlarda yapılacakları düzenliyor. Böyle durumlarda işletmeciye, kimliğin teyidini yüz veya parmak izine ilişkin biyometrik verileriyle resmi makamlar üzerinden yapma yetkisi veriliyor. Doğrulamanın uzaktan yapılması halinde abone olmak isteyen kişinin konumu resmi makama iletilecek. Kimlik belgesiyle kayıt olma durumunda abonelik kaydı yapılan kişinin yüzüne ilişkin biyometrik verilerin alınacağı belirtildi. Prof. Tuğcu, değişiklik önerisini şöyle değerlendirdi:
“Bu maddenin her iki fıkrasından anlaşılan kullanıcının biyometrik verilerinin işletmeci tarafından alınacağıdır. (Değilse de teklif edilen madde bunun böyle yapılamayacağını kayıt altına almıyor.) Bu durumda işletmeci kişinin biyometrik verilerine (üstelik de özetlenmemiş haliyle) sahip olacaktır. Bu bilginin neden işletmeci tarafından alındığı, veri güvenliğinin nasıl sağlanacağı, kişisel verinin işletmecide ne kadar süreyle saklanacağı, hangi şartlarda ve nasıl imha edileceği, bu kişisel verinin işletmeci ve iştiraklerinin başka işleri için kullanılıp kullanılamayacağı, sözleşme yenilenmesi veya değişikliklerde saklanan verinin mi yeniden kullanılacağı yoksa yeniden mi kişisel veri toplanacağı belirtilmemiştir.”
Tuğcu, sözleşme değişikliği veya uzatılması durumlarında kimlik doğrulamasının nasıl yapılacağının belirtilmediğini aktararak “Dolayısıyla değişiklik veya uzatma işlemlerini gerçekleştiren kişinin sözleşmeyi yapan kişi olup olmadığının nasıl teyit edileceği açık bırakılmıştır” dedi.
Üç ayda bir kontrol
Yasadaki bir diğer ek madde de mobil hat işletmecisine üç ayda bir tüm abonelerin ölüm, tüzel kişiliğin sona ermesi ve sınırdışı edilme hallerinde hattın aktif olup olmadığını resmi makamlardan teyit etme yükümlülüğü getiriyor. Teklife göre teyit edilemeyen abonelere ait hatların bağlantısı kesilecek. Prof. Tuğcu, düzenlemeyi şöyle yorumladı:
“Bu istisnai durumlarda eğer hattın kötü niyetli kullanımından endişe ediliyorsa neden bu kötü niyetli kişilere 3 aylık zaman penceresinin açıldığı belirlenmemiştir. Örneğin ölen bir kişinin mallarına yönelik usulsüz işlemlerin zaten bu 3 aylık dönemde yapılmış olması beklenir.”
BTK’dan abonelik kaydı sınırı
Yasa değişikliğine göre, mobil hat işletmecisi, gerçek veya tüzel bir kişi adına açılabilecek hat sayısına ilişkin BTK tarafından belirlenen sınırdan fazla abonelik kaydı yapamayacak. Tuğcu, söz konusu öneriyi ise şöyle yorumladı:
“Bu maddedeki gerçek/tüzel kişi başına hat sayısı sınırının sahtecilik işlemlerini engellemek için konulduğu belli oluyor. Gerçek kullanımı da engellememek için bu sayı düşük tutulamayacağı aşikar. Ancak sınırlama kişinin toplam sayısına değil o işletmeciden alacağı hat sayısına konulduğu için kötü niyetli bir kişinin tüm işletmeciler sınır sayıda hat alarak hala çok yüksek sayılara erişmesi işten bile değil.”
Prof. Tuğcu, yargı paketi kapsamında değişiklik önerilen yasa maddelerinde sadece engelleme ve cezaların hedeflendiğinin görüldüğünü söylüyor. Topluca bir yasal düzenlemeye gidildiğini belirten Tuğcu, "Madem toplu bir yasal düzenlemeye gidiliyor, eski adıyla UMTH (uzak mesafe telefon hizmeti) olarak hizmet veren işletmecilerin talep ve ihtiyaçlarına da yanıt verilecek düzenlemeler pakete dahil edilseydi” diyor.
BTK’nın sızıntılı şöhreti
Yasa değişikliği önerisinde öne çıkan bir diğer husus da BTK’ya geniş yetkiler tanınmış olması. BTK’nın adı geçtiğimiz günlerde bir veri sızıntısı iddiasıyla gündeme gelmişti. İddiayı haberleştiren gazeteci Tolga Şardan’ın haberine BTK’dan jet bir yalanlama gelmiş, suç duyurusunda bulunulacağı belirtilmişti. Bir gün sonra Şardan’a fiilen gözaltı işlemi uygulanmış, yurtdışı çıkış yasağıyla serbest bırakılmıştı.
Veri sızıntısı iddiasından kısa bir süre önce de BTK Başkanı Ömer Abdullah Karagözoğlu adına da sahte e-imza çıkarıldığı ortaya çıkmıştı. Geçtiğimiz yıl Eylül ayında Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, 85 milyon kişinin kimlik verilerinin çalınıp çalınmadığı sorusuna, sızıntının pandemi döneminde yaşandığını söyleyerek yanıt verdi. Veri güvenliğiyle ilgili yukarıdaki hatırlatmaları yapan Tuğcu, şunları söyledi:
“Bu noktada, bu kişisel veri ihlalleri gerçekleştiğinde bu süreci yönetmekle yükümlü olan Kişisel Verileri Koruma Kurumu (KVKK). Adı görevini çok güzel açıklıyor ama varlığı 6698 sayılı yasaya bağlı olan bu kurum ne yazık 6698 sayılı yasanın paspas yapılmasına göz yumuyor. Nitekim söz konusu skandallar ortaya çıktığından beri KVKK’dan bu konularda hiçbir açıklama yapılmamış olması kurumun varlığının ne kadar gereksiz olduğunu ve bugüne kadar bu kuruma verilen bütçeleri sorgulatıyor.”