BTK Türkiye’deki tüm kullanıcıların internet hareketleri, yaklaşık bir buçuk yıldır, kimlikleri ve kişisel verileriyle birlikte BTK’ya akıyor.

Girdiğiniz internet siteleri, WhatsApp’ta kimlerle yazıştığınız ya da telefonlaştığınız, konum verileriniz ve daha fazlası, her saat başı Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) gönderiliyor. Medyascope, daha önce ortaya çıkan kitlesel gözetim faaliyetinin belgelerine ulaştı. Belgelere göre internet servis sağlayıcıları, bilgisayar ya da mobil cihaz üzerinden internete bağlanan tüm kullanıcıların trafiğini, her saat başı BTK’ya iletiyor. BTK’ya giden bu veriler anonim hâle getirilmiyor. Yani her bir veri paketi, kullanıcının kimliğiyle birlikte kuruma gönderiliyor. “Adli ve önleyici tedbirler” gerekçesiyle internet trafiğini isteyen BTK’nın, tüm vatandaşların verilerini nasıl kullanacağı belirsiz.

USULSÜZ TELEFON DİNLEMELERİ

Çevrimiçi kitlesel gözetim, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı dönemden itibaren Türkiye’de tartışma konusu. Fakat Türkiye’de iletişimin gizliliği ve veri mahremiyeti konusundaki en büyük tartışmalar internetin gözetimi hakkında değil, usulsüz telefon dinlemeleri sebebiyle ortaya çıkmıştı.  

BTK YALANLAMADA BULUNMAMIŞTI

Ancak Medyascope’un ulaştığı belgeler, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel gözetimin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.
BTK’nın kullanıcı trafik verilerini düzenli olarak internet servis sağlayıcılardan istediğini daha önce CHP Genel Başkan Yardımcısı Onursal Adıgüzel açıklamış, BTK herhangi bir yalanlamada bulunmamıştı.
Medyascope’un ulaştığı 15 Aralık 2020 tarihli, 15 sayfadan oluşan belgelere göre BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının verilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik detay dokümanında internet servis sağlayıcılara ayrıntılarıyla anlattı.

KİMLİKLERİYLE BİRLİKTE

İSS Trafik Log Deseni başlıklı yazıda, kullanıcı verilerinin anonim olarak değil, kullanıcının adı soyadıyla birlikte kuruma gönderilmesi isteniyor.
BTK’nın gözetimi, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Medyascope’un görüştüğü bilişim uzmanları, bu gözetim sayesinde elde edilecek verilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram gibi uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi oldukça kolay.

KULLANICILARIN ADIYLA BİLDİRİLİYOR

Görüştüğümüz internet servis sağlayıcıları, mobil telefon operatörlerinden BTK’ya giden veriler arasında, kullanıcıların konum bilgilerinin de olduğunu ileri sürüyor. Ancak Medyascope bu iddiayı aynı zamanda mobil telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.
Aralık 2020 tarihli belgede, kullanıcıların internet trafik verilerini BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor. Trafik verileri anonim hâlde değil, kullanıcıların adıyla birlikte bildiriliyor

KİŞİSEL VERİLERİN KORUNMASI KANUNU

Mobil uygulamalar, Facebook gibi sosyal ağ platformları ya da Google gibi servisler, kullanıcılarından topladığı verileri ürün ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Ancak Türkiye’de ve dünyada yürürlükte olan kişisel verilerin korunması kanunları uyarınca, bu veriler veri sahiplerinin kimliklerinin belirlenmesini önleyecek şekilde maskeleniyor. Yani toplanan veriler ile gerçek kişiler arasındaki bağlar koparılıyor.

HER BİR SATIR ABONENİN ADIYLA BAŞLIYOR

Şakoğlu'ndan Ali Güney'e: "Hislerini dışa vurmuşsun!" Şakoğlu'ndan Ali Güney'e: "Hislerini dışa vurmuşsun!"

BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği verilerde ise böyle bir uygulama yok. Yani veriler anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor. İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin adıyla başlıyor.

BTK’ya giden trafik kayıtlarının her bir satırında;
•    Abonenin adı ve soyadı (Tüzel kişiyse resmi adı),
•    Abonenin o sırada kullanmakta olduğu IP numarası,
•    Hangi uygulamayla ya da internet sitesiyle veri alışverişi yaptığı,
•    İlgili veri alışverişinin başlangıç tarihi ve saati, veri alışverişinin ne kadar sürdüğü,
•    Ne büyüklükte veri alıp ne büyüklükte veri gönderdiği
gibi bilgiler yer alıyor.
4 Aralık 2018’de işletmecilere Abone Desen Yapısı adlı bir belge yollayan BTK, aralarında internet kullanıcılarına ait aşağıdaki kişisel bilgilerin de bulunduğu abone dosyalarının kendisiyle paylaşılmasını istemişti:
•    Abone adı-soyadı
•    T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
•    Cinsiyet ve uyruk
•    Anne ve baba adı ile anne kızlık soyadı
•    Doğum yeri ve tarihi
•    Meslek
•    Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
•    Abonenin adresi
•    Abonenin eski cep telefonu numarası

BTK ayrıca, bu kişisel bilgilerin güncel hallerini içeren dosyaların her ayın ilk günü kendisine tekrar gönderilmesini şart koşmuştu. BTK’nın aboneler hakkında tuttuğu dosyalardaki (kimlik, meslek, adres içeren dosya) bilgiler,her ayın ilk günü internet servis sağlayıcılardan gelen verilerle güncelleniyor.

355ddf84-76f1-4938-b401-a2bbfad318c5