5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da Değişiklik Yapılmasına Dair Kanun (“5651 Sayılı Kanun”) 31 Temmuz 2020’de Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun değişikliğinin yürürlüğe girdiği tarihten bir gün sonra, 02 Ekim 2020 tarihinde Bilgi Teknolojileri ve İletişim Kurulu’nun (“BTK”) usul ve esaslara ilişkin kararı yayınlanmıştır. Kanun kapsamında getirilen yeni düzenlemelerden biri olan sosyal ağ sağlayıcıların kullanıcı verilerini Türkiye’de barındırma yükümlülüğü uygulamada pek çok soru işareti yaratmış ve BTK kararı ile bu yükümlülükten geri adım atılmadığının altı çizilmiştir ancak yükümlülük kapsamı henüz netlik kazanmamıştır.
Sosyal Ağ Sağlayıcılara Getirilen Veri Lokalizasyon Kuralları
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da Değişiklik Yapılmasına Dair Kanun (“5651 Sayılı Kanun”) 31 Temmuz 2020’de Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun değişikliğinin yürürlüğe girdiği tarihten bir gün sonra, 02 Ekim 2020 tarihinde Bilgi Teknolojileri ve İletişim Kurulu’nun (“BTK”) usul ve esaslara ilişkin kararı yayınlanmıştır. Kanun kapsamında getirilen yeni düzenlemelerden biri olan sosyal ağ sağlayıcıların kullanıcı verilerini Türkiye’de barındırma yükümlülüğü uygulamada pek çok soru işareti yaratmış ve BTK kararı ile bu yükümlülükten geri adım atılmadığının altı çizilmiştir ancak yükümlülük kapsamı henüz netlik kazanmamıştır.
Sosyal Ağ Sağlayıcı Tanımı
Sosyal Ağ Sağlayıcıları, sosyal etkileşim amacıyla kullanıcıların internet ortamında metin, görüntü, ses, konum gibi içerikleri oluşturmalarına, görüntülemelerine veya paylaşmalarına imkân sağlayan gerçek ve tüzel kişileri ifade ediyor. Sosyal etkileşim kavramının geniş yorumlanabilmesi nedeniyle birçok şirket sosyal ağ sağlayıcısı tanımı içerisinde değerlendirilebilir. 5651 Sayılı Kanun’da getirilen veri lokalizasyonu kuralı, değerlendirmeye konu şirketin sosyal ağ sağlayıcısı tanımı içerisinde yer almasına bağlı olarak uygulama alanı bulacaktır.
Kapsamı açısından oldukça eleştiri alan sosyal ağ tanımı, BTK’nın kararı ile sınırlandırılmıştır. Buna göre, internet ortamında yapılan yayının sadece belirli bir kısmında sosyal etkileşim amaçlı içeriğe yer veren ve kişisel internet siteleri, elektronik ticaret siteleri ve haber siteleri gibi sosyal amaçlı içeriğin ikincil hizmet olarak sunulduğu platformlar kapsam dışında bırakılmıştır.
Kullanıcı Verilerinin Türkiye’de Barındırılması Yükümlülüğü
5651 Sayılı Kanunda Ek Madde 4 ile getirilen değişiklik ile Türkiye’den günlük erişimi bir milyondan fazla olan yurt içi veya yurt dışı kaynaklı sosyal ağ sağlayıcılarının Türkiye’deki kullanıcılarının verilerini Türkiye’de barındırma yönünde gerekli tedbirleri alması gerektiğini düzenlemektedir. BTK’nın kararı m. 12/2 uyarınca temel kullanıcı verileri ile BTK tarafından belirlenen verilerin Türkiye’de barındırılması için gerekli tedbirlerin alınmasına öncelik verilmesi gerektiği ve bu doğrultuda alınan tedbirler ile ilgili her raporlama döneminde BTK’ya bilgi verilmesi gerektiği düzenlenmiştir. Veri lokalizasyonu şartı Türkiye sınırları içerisinde bulunan kullanıcıları milliyet gözetmeksizin kapsarken, Türk vatandaşı olup yurt dışında bulunan kullanıcı verileri lokalizasyon yükümlülüğünden muaftır. Söz konusu yükümlülük 01 Ekim 2020 tarihinde yürürlüğe girmiştir.
Veri lokalizasyon kurallarının uygulama alanı bulabilmesi için, değerlendirmeye konu şirketin öncellikle sosyal ağ sağlayıcı olarak tanımlanıyor olması gerekmektedir. Daha sonra sosyal ağ sağlayıcısının sunduğu servislerin Türkiye’den bir milyondan fazla erişime ulaşması gerekmektedir. Sosyal ağ sağlayıcısının muğlak tanımı BTK kararı ile giderilmiştir, ancak bir milyon erişimin hangi metriklere göre ölçüleceği belirtilmemiştir. Ayrıca, veri lokalizasyon yükümlülüğü uyarınca kullanıcı verilerin bir kopyasının Türkiye’de bulunması şartıyla yurt dışındaki veri merkezlerinin kullanılarak işleme veya saklama faaliyetlerinin yürütülüp yürütülemeyeceği belirsiz olup verinin Türkiye’de saklanma süresi de belirtilmemiştir.
Yurt dışına aktarım
5651 Sayılı Kanun’da yurt dışına kullanıcı verilerinin aktarımı konusunda herhangi bir düzenleme veya sınırlama yoktur, ancak yurt dışına kişisel veri transferi yaparken kişisel verilerin korunması hukuku her zaman gözetilmelidir.
Yaptırım
5651 sayılı Kanunda, temsilci bildirimi, raporlama, içerik çıkarma gibi getirilen yeni yükümlülüklere uyulmaması durumunda ağır idari para cezaları ve yaptırımlar öngörülmüştür. Ancak, sosyal ağ sağlayıcılarının veri lokalizasyon kurallarını ihlali durumuna ilişkin özel bir yaptırım açıkça düzenlenmemiştir. Açık şekilde düzenlenen bir yaptırım hükmünün bulunmaması nedeniyle, veri lokalizasyon kuralının uygulanabilirliği soru işareti yaratmaktadır ve uygulamada şekilleneceği düşünülmektedir. Bunun yanında, BTK kararı ile bu kullanıcı verilerinin Türkiye’de barındırılmasına ilişkin alınan tedbirlerin raporlamada yer alacağı özel olarak belirtilmiştir ve raporlamanın yapılmamasına uygulanabilecek olan 10 milyon TL idari para cezası bu yükümlülüğe aykırılığa uygulanabilecek bir idari yaptırım gibi yorumlanabilir.
5651 Sayılı Kanun kapsamında getirilen değişikliklerin temel amacı, sosyal medya içeriğini düzenlemek ve sosyal medya sağlayıcılarını yasa dışı olarak görülen içeriği kaldırmaları hususunda daha verimli olmalarını sağlamaktır. Türk makamları, çoğu zaman sosyal ağ sağlayıcılarından bir muhatap bulmanın zor olduğunu veya bazı durumlarda yasal gerekliliklere uymadıklarını ifade etmektedir. Bu nedenle yeni getirilen kurallar, kamu kurumları, savcılar ve mahkemeler için etkili bir içerik kaldırma süreci oluşturmayı hedeflemiştir.
Bununla birlikte, getirilen veri lokalizasyon (kullanıcı verileri açısından) kuralları diğer yükümlülükler arasında uygulaması en tartışmalı kurallardan biri olup global sunucuları ve depolama sistemlerine sahip olmaları nedeniyle global sosyal ağ sağlayıcıları bu düzenlemeye uyum sağlamayı teknik olarak zor bulmaktadır. Ayrıca 5651 Sayılı Kanun, Türkiye'de hangi tür kullanıcı verilerinin barındırılması gerektiğine, Türkiye'de sosyal ağ sağlayıcıların ataması gereken temsilcilerin sorumluluklarının neler olduğuna ve kullanıcı verilerinin Türkiye’de bulunmaması durumunda bu verilerin temsilciden talep edilip edilemeyeceğine dair herhangi bir düzenleme yoktur. Temsilcinin verilere erişim sağlayamaması durumunda şahsi sorumluluğuna gidilip gidilemeyeceği de soru işareti yaratmaktadır.
Uygulamada sosyal ağ sağlayıcılara getirilen veri lokalizasyon kuralının esasen kanun ile hedeflenen amacı gerçekleştirmenin ötesinde bir hüküm olarak getirildiğini ve uygulaması güç bir hüküm olduğunu düşünülmektedir. Ancak, BTK’nın idari yetkilerinin geniş olduğu ve ihlal durumunda kuralları geniş yorumlayabilecekleri de gözden kaçırılmamalıdır.
Sonuç
5651 Sayılı Kanun ile getirilen veri lokalizasyon yükümlülüğü sosyal ağ sağlayıcılar için uyulması güç ve açık olarak yaptırımı da düzenlenmediği için uygulanabilirliği tartışmalı bir yükümlülük olarak algılanmaktadır. İkincil düzenlemeler ile bu yükümlülük etrafında oluşan soru işaretleri giderilememiş ve, bu haliyle özellikle global ölçekteki sosyal ağ sağlayıcılarının, oldukça tartışmalı bu yükümlülüğe uymaktan imtina edecekleri düşünülmektedir[1].
[1] Financial Times gazetesinin haberine göre Facebook Türk Hükümetine ilgili kanuna bu haliyle uymayacağını açıklamıştır. Pitel, L. and Murphy, H., 2020. Facebook To Defy New Turkish Social Media Law. [online] Ft.com. Available at: <https://www.ft.com/content/91c0a408-6c15-45c3-80e3-d6b2cf913070> [Accessed 6 October 2020].
-------------------------------------------------