Belediyeler ve Kamu Kurumları için 5651 Sayılı Yasa Rehberi: Zorunluluklar ve Çözüm Yolları
Dijitalleşmenin yaygınlaştığı günümüzde kamu kurumları da artık sadece fiziksel binalardan ibaret değildir. Online işlemler, e-belediye portalları derken dijital altyapı, kamu hizmetlerinin temel taşlarından biri haline gelmiştir. Dijital hizmetlerin artması, 5651 Sayılı Kanun gibi yasal sorumlulukları da beraberinde getirir.
İnternet erişimi sunan tüm kamu kurumlarını da doğrudan ilgilendiren 5651, vatandaşların dijital ortamda güvenliğini sağlamayı amaçlar. Belediyenin halk kütüphanesinde ücretsiz Wi-Fi sağlaması veya kamu binasında personelin internete bağlanması gibi durumların hepsi yasanın kapsamına girer. Göz ardı edilen küçük bir ihmal, ciddi yasal sonuçlar doğurabilir. Bu yazıda 5651 sayılı yasanın kamu kurumları için ne anlama geldiğini keşfedebilirsiniz.
5651 Sayılı Kanun’un Amacı ve Kamu Kurumlarını Etkileyen Hükümler
5651 Sayılı Kanun’un temel amacı, internet ortamında işlenen suçların takibini kolaylaştırmak ve gerekli durumlarda sorumluların tespit edilebilmesini sağlamaktır. Kanun, “internet toplu kullanım sağlayıcılarını” doğrudan hedef alır. İfade kulağa teknik gelebilir ama özünde şunu anlatır: Eğer bir kurum internet erişimi sağlıyorsa, ister belediye binasında olsun ister halk kütüphanesinde yasa kapsamında yükümlülüklere sahiptir.
Kanunun kamu kurumlarını ilgilendiren en önemli hükümlerinden biri, erişim kayıtlarının tutulması zorunluluğudur. Sunulan hizmetin yasalara uygun şekilde kayıt altına alınması ve gerektiğinde yetkili mercilere sunulabilecek biçimde saklanması gerekir. Örneğin, belediye binasında vatandaşlara sunulan Wi-Fi hizmeti üzerinden yasadışı işlem yapılırsa, işlemi kimin ne zaman yaptığını gösterecek log kayıtlarının BTK standartlarına uygun olarak saklanıyor olması beklenir.
Kanun aynı zamanda içerik sağlayıcılık, yer sağlayıcılık ve erişim sağlayıcılık gibi farklı tanımlar yapar. Belediyeler ve kamu kurumları erişim sağlayıcı olarak değerlendirildiğinden loglama, zaman damgası kullanımı gibi teknik detaylara uymak zorundadır. Aksi halde yasanın öngördüğü idari para cezalarıyla karşılaşabilir, hatta olası soruşturma sırasında ciddi sorumluluklar altına girebilirler.
Burada önemli olan bir diğer nokta da, yükümlülüklerin sadece teknik ekiplerin değil kurumsal yönetimin de sorumluluğunda olduğudur. Yöneticilerin de 5651 kapsamında nelerle yükümlü olduğunu bilmesi ve bu doğrultuda hareket etmesi gerekir.
Belediye ve Kamu Kurumlarının Yasal Sorumlulukları Nelerdir?
5651 Sayılı Kanun kapsamında internet erişimi sağlayan tüm kamu kurumları bazı temel yükümlülüklere sahiptir. Özellikle belediyeler gibi geniş halka hizmet veren kurumlar için bu sorumluluklar daha kritik bir hale gelir. Sorumluluklar aşağıdaki gibi sıralanır:
- En temel yükümlülük, internet erişimi sunulan tüm alanlarda log kayıtlarının tutulmasıdır. Yani kim ne zaman internete bağlandı, hangi IP üzerinden erişim sağladı, oturum ne kadar sürdü gibi bilgilerin sistemli şekilde kaydedilmesi gerekir. Kayıtlar istenildiğinde geriye dönük olarak incelenebilmelidir. Yani sadece kaydetmek yetmez, veriler gerektiğinde analiz edilebilecek şekilde saklanmalıdır.
- Sadece kayıt almak değil bu kayıtların zaman damgası ile doğrulanması da gerekir. Böylece olayın tam olarak hangi gün ve saatte gerçekleştiği resmi olarak belgelenmiş olur. Eklenen damga kayıtların sonradan değiştirilmediğini de ispatlar. Özellikle adli süreçlerde bu detayın büyük önemi vardır.
- 5651 sayılı yasa, kayıtların en az 2 yıl süreyle saklanmasını şart koşar. Süre zarfında kayıtların güvenli şekilde tutulması ve yetkisiz erişimlere karşı korunması gerekir. Yani log dosyaları zarar görmeyecek bir yerde güvenli şekilde arşivlenmelidir.
- Tüm loglama sistemleri ve süreçler, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayınlanan standartlara uygun şekilde çalışmalıdır. Bu da teknik anlamda kurumsal ağ yapısının yeniden değerlendirilmesini gerektirebilir.
- Belediyeler ve kamu kurumları, siber güvenlik konusunda idari sorumluluk taşır. Kurum yöneticileri yasal yükümlülükleri bilmek ve gerekli önlemleri almakla yükümlüdür. BTK tarafından yapılacak denetimde, süreçlerin eksiksiz işlediğini belgeleyebilmeniz beklenir. Aksi halde ciddi idari para cezalarıyla karşı karşıya kalabilirsiniz.
İnternet Erişim Sağlayıcıları için Log Kayıt Zorunlulukları
5651 Sayılı Kanun’un en çok kafa karıştıran konularından biri de log kayıtlarının nasıl tutulacağıdır. Aslında temel prensip nettir, internet erişimi sunuyorsanız kimlerin bağlandığını kayıt altına almak zorundasınız. Belediyeler, kütüphaneler, halk eğitim merkezleri ya da gençlik merkezleri gibi yerlerde ücretsiz Wi-Fi hizmeti sunuluyorsa log tutma zorunluluğu vardır. Kayıt altına alınması gereken temel bilgiler şunlardır:
- İnternete erişim sağlayan cihazın MAC adresi
- Kullanıcının oturum açtığı IP adresi
- Bağlantının başlangıç ve bitiş zamanı
- Hangi kullanıcı adıyla veya kimlik doğrulamayla bağlanıldığı (varsa)
- Kullanılan port ve protokol bilgileri
Logların yasal geçerliliği olabilmesi için zaman damgası içermesi gerekir. Zaman damgası, verilerin sonradan değiştirilmediğini ve ilgili tarihe ait olduğunu kanıtlar. BTK bu noktada Zaman Damgası Hizmeti Sağlayıcıları üzerinden alınan mühürlü kayıtları talep edebilir.
Bu konuda hâlâ birçok kurumda yanlış bir algı vardır. Modem arayüzü kısa süreli bağlantı geçmişini tutabilir ama bu ne kapsamlıdır ne de yasal yükümlülüğü karşılar. Gerçek anlamda loglama, 5651 uyumlu yazılım çözümü ile yapılmalıdır.
BTK’ya Yapılması Gereken Bildirimler ve Raporlama Süreçleri
BTK, zaman zaman kamu kurumlarına yönelik denetimler yapar. Denetimlerde erişim sağlayıcının 5651’e uygun hareket edip etmediği kontrol edilir. BTK müfettişleri log kayıtlarının tutulup tutulmadığını, zaman damgası kullanılıp kullanılmadığını ve kayıtların ne kadar süreyle, nasıl saklandığını detaylı şekilde inceleyebilir.
Kurumunuzda loglama sistemlerinde cihaz arızası, veri kaybı gibi ciddi bir aksama yaşanırsa durumun BTK’ya bildirilmesi gerekir. Bildirimsiz geçen süreçler, ileride sorumluluğun kurumunuza yüklenmesine neden olabilir. Kurum olarak kendi iç denetim süreçlerinizi de oluşturmalısınız. Her yıl en az bir kez log sistemlerinin işlerliği, kayıtların bütünlüğü ve güvenliği gözden geçirilmeli, gerekiyorsa dış danışmanlık firmasıyla kontroller sağlanmalıdır. Bu tür raporlar BTK denetimlerinde elinizi güçlendirir ve kurumsal şeffaflığınızı artırır.
Kamu Kurumları için Teknik Altyapı Gereksinimleri
Kanun, tutulan tüm log kayıtlarının zaman damgalı olmasını şart koşar. Her internet erişim kaydının Türkiye Saati’ne göre, değiştirilemez zaman bilgisiyle mühürlenmesi anlamına gelir. Damgalama işlemi, güvenilir zaman sunucularıyla (NTP serverları) entegre çalışan veya zaman damgası hizmeti (TSA) sağlayan kurumlarla bağlantılı sistemler aracılığıyla gerçekleştirilir. Altyapının 7/24 kesintisiz kayıt yapabilmesi ve elektrik kesintisi, donanım arızası gibi durumlara karşı yedeklilik (redundancy) içermesi de büyük önem taşır.
Kamu kurumları tek bir genel (public) IP adresi üzerinden internete ulaşır, ancak kurum içindeki her bilgisayarın kendine özgü iç (private) IP adresi bulunur. Kanun iç IP adreslerinin kime, ne zaman ve hangi genel IP adresi üzerinden verildiğinin kaydının tutulmasını zorunlu kılar. Genel IP üzerinden yapılan yasa dışı işlemde, suçu işleyen iç kullanıcının tespiti imkansız hale gelir.
Tutulan log kayıtlarının syslog formatında olması yasal zorunluluktur. Kayıtların bütünlüğünün bozulmaması, adına Log Yönetim Sistemi (LMS) veya SIEM (Security Information and Event Management) çözümleri kullanılır. İlgili sistemler kayıtları toplar, güvenli şekilde depolar, şifreler ve gerektiğinde yetkililere sunulabilecek raporlar haline getirir. Fiziksel olarak da kayıtların tutulduğu sunucuların güvenli ortamda, yetkisiz erişime kapalı olması istenir. Örneğin geçmişte bazı kurumların log kayıtlarını sadece basit metin dosyalarında tuttuğu ve bu dosyaların kolayca değiştirilebildiği durumlar yaşanmış, bu da adli süreçlerde büyük sorunlara yol açmıştır.
5651 Uyumluluğu Sağlayan Yazılım ve Donanım Çözümleri
5651 Sayılı Kanun’a uyum sağlamanın en pratik yolu, bu alanda geliştirilmiş özel yazılım ve donanım çözümlerinden faydalanmaktır. Aşağıda listelenen loglama çözümlerinden birini tercih edebilirsiniz:
Donanım Tabanlı Loglama Cihazları
Donanım tabanlı cihazlar ağınızın merkezine entegre edilir, internet trafiğinizi gerçek zamanlı olarak izleyerek gerekli log kayıtlarını tutar. Kullanıcı IP’si, MAC adresi, bağlantı zamanı gibi veriler BTK standartlarına uygun biçimde toplanır. Donanım çözümleri genellikle tak-çalıştır mantığıyla çalıştığından teknik bilgi gereksinimi düşüktür, sistemler arasında uyumluluk sorunları yaratmaz. Özellikle küçük ve orta ölçekli belediyeler için kutudan çıkar çıkmaz çalışan sistemler bütçe açısından avantaj sağlar.
Yazılım Tabanlı Loglama Sistemleri
Donanıma yatırım yapmak istemeyen veya mevcut sunucu altyapısını kullanmak isteyen kurumlar için yazılım çözümleri de oldukça yaygındır. Yazılımlar, ağ geçidi (gateway) seviyesinde çalışarak trafiği izler, 5651’e uygun kayıtları dijital olarak arşivler. Yazılım sistemleri, daha fazla özelleştirme imkânı sunduğu için büyük ölçekli kurumlar tarafından tercih edilir.
SASE ve UTM Cihazlarında Entegre 5651 ve Hotspot Çözümleri
Uzman yorumu :
Günümüzde birçok SASE (Secure Access Service Edge) ve UTM (Unified Threat Management) cihazı, 5651 uyumlu loglama ve hotspot yönetim özelliklerini entegre şekilde sunar. Bu sistemler hem güvenlik duvarı, saldırı önleme, içerik filtreleme gibi güvenlik fonksiyonlarını hem de BTK standartlarına uygun loglama altyapısını bir arada sağlar. Ayrıca SMS doğrulamalı hotspot, e-Devlet entegrasyonu veya T.C. kimlik numarası ile oturum açma gibi kullanıcı kimlik doğrulama yöntemleri de cihaz üzerinde yerleşik olarak bulunabilir. Böylece ek bir yazılım veya donanım yatırımı yapmadan hem ağ güvenliği hem de yasal uyumluluk tek noktadan yönetilebilir.
Erdem Tutal – Satış Mühendisi
Tercih edilen çözümlerinin zaman damgası hizmetiyle entegre çalışabiliyor olması çok önemlidir. Aksi durumda loglarınız yasal geçerliliğini kaybedebilir. Bu yüzden tercih ettiğiniz çözümün BTK tarafından tanınan zaman damgası servisleriyle uyumlu olup olmadığını mutlaka kontrol etmelisiniz.
5651 kapsamında sadece log kaydı değil, kimin internete bağlandığını da biliyor olmanız gerekir. Bu nedenle SMS doğrulamalı hotspot sistemleri, e-Devlet entegrasyonlu giriş ekranları veya T.C. kimlik numarasıyla yapılan oturum açma sistemleri kullanılmalıdır. Birçok loglama çözümü ilgili sistemleri içinde entegre olarak sunar. Böylece hem yasal uyum sağlanır hem de vatandaşların kimliği kayıt altına alınmış olur.
Erdem Tutal –
Yasal Yükümlülüklerin Yerine Getirilmemesinin Sonuçları ve Cezalar
Yasal yükümlülüklerin göz ardı edilmesi veya eksik yerine getirilmesi durumunda karşılaşılacak yaptırımlar, maddi cezaların ötesinde, kamu güvenini sarsan ve operasyonel aksaklıklara yol açan daha geniş etkiler doğurabilir. BTK, kanunun uygulanmasından sorumlu ana kurum olup, ihlallerin tespiti halinde idari para cezaları uygulama yetkisine sahiptir. Cezaların miktarları, ihlalin türüne ve ağırlığına göre değişmekle birlikte, 2025 yılı itibarıyla oldukça yüksek seviyelere ulaşmıştır:
- İnternet erişim kayıtlarını yasalara uygun formatta tutmayan veya belirlenen süre boyunca saklamayan kamu kurumlarına 10.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası uygulanabilir.
- Kamu kurumlarının, internet erişim hizmeti sunmaya başladıklarında BTK’ya gerekli bildirimleri yapmamaları veya talep edilen raporları zamanında sunmamaları durumunda, 10.000 Türk Lirasından 50.000 Türk Lirasına kadar idari para cezası ile karşılaşabilirler. Kurumunuz “yer sağlayıcı” statüsünde de değerlendirilirse ve bu bildirimleri hiç yapmazsa, bu ceza 100.000 Türk Lirasından 1.000.000 Türk Lirasına kadar çıkabilir.
- Bir kamu kurumu BTK tarafından verilen hukuka aykırı içeriğin erişimin engellenmesi kararlarını süresi içinde yerine getirmezse, 10.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası uygulanabilir. Özellikle kamuya açık internet hizmeti sunan yerler için hayati bir sorumluluktur.
- İdari para cezasını gerektiren ihlallerin bir yıl içinde tekrarlanması durumunda, cezalar katlanarak artırılır.
- Kanundaki yükümlülüklerini yerine getirmeyen sorumlular hakkında, fiil daha ağır suçu oluşturmadığı takdirde dahi adli para cezası uygulanabilir. Bazı durumlarda ise hapis cezaları da gündeme gelebilir. Özellikle logların kasıtlı olarak silinmesi, değiştirilmesi veya yanlış bilgi verilmesi gibi durumlarda, sorumlular Türk Ceza Kanunu kapsamında “suç delillerini yok etme, gizleme veya değiştirme” gibi suçlardan yargılanabilir.
Yaptırımlar nedeniyle 5651 sayılı Kanun’a uyum, günümüz dijital çağında kamu hizmetlerinin vazgeçilmez bir parçasıdır, azami özenle yaklaşılması gereken konudur.
