Twitterda Aziz Kamil Can adlı kullanıcı yargı mensubu Bylock programı hakkında detaylı bir yazı kaleme aldı.
İşte Justice Squareda yer alan o yazı...
1. ByLock ile İlgili Yargının İlk Değerlendirmesi
Türk hukuk tarihinde gelecek nesiller için kara bir leke olarak görülecek “ByLock” programı ile ilgili hukuksal değerlendirme konusunda yargının imtihanı devam etmektedir.
Temel olarak imtihanın ilk resmi kaybı, Yargıtay 16. Ceza Dairesinin (YCD) ilk derece mahkemesi sıfatı ile verdiği 24 Nisan 2017 tarih ve 2015/3 E – 2017/3 K. sayılı karar ve bu kararı onayan Yargıtay Ceza Genel Kurulunun (YCGK) 26.09.2017 tarih, 2017/16.MD-956 E, 2017/370 K. sayılı kararı ile oldu. YCGK, hakim kararı olmadan, yabancı bir ülke kaynağından uluslararası hukuk çiğnenerek istihbari yol ile alınan ByLock uygulama içeriğini maalesef delil olarak kabul etti.
Akabinde Türkiye’deki tüm mahkemeler anılan iki karara atıf yaparak, ByLock verilerinin yasal delil olduğunu değerlendirip mahkûmiyet kararlarında kullanmaya başladılar. Bugüne kadar bu kararlar üzerine on binlerce insan, sırf bu programı indirdikleri iddiasıyla, terör örgütü üyesi kabul edilerek mesleklerinden ihraç edildi, tutuklandı, hapis cezası aldı.
Yargıtay 16. CD, 24 Nisan 2017 tarihli kararında, ByLock’a ilişkin verilerin nasıl ele geçirildiğini ve ceza soruşturmalarına dayanak yapıldığını şu şekilde açıklamıştır:
“ByLock’a ilişkin veriler ilk kez MİT tarafından satın alma yoluyla elde edilmiş, bu veriler bir hard disk ve flaş belleğe yüklenerek Ankara Cumhuriyet Başsavcılığı ve Emniyet Genel Müdürlüğüne gönderilmiştir.”
Yargıtay 16. CD, ByLock’a ilişkin verilerin yasal delil olduğunu göstermek için, 9 Aralık 2016 tarihinde Başsavcılığın, Ankara 4. Sulh Ceza Hâkimliğinden inceleme izni istediğini belirtmiştir.
Ankara 4. Sulh Ceza Hâkimliği de, 9 Aralık 2016 tarihinde Ceza Muhakemesi Kanunu (CMK) 134. maddesi uyarınca ByLock’a ilişkin dijital materyaller (hard disk ve flaş bellek) üzerinde inceleme izni (2016/6774 D.İş) vermiştir.
Yargıtay’a göre ByLock’a ilişkin verilerin yer aldığı hard disk ve flaş bellek 9 Aralık 2016 tarihli hakimlik kararından sonra incelenmeye başlanmış ve kimlerin ByLock kullandığı bu tarihten sonra tespit edilmiştir.
Kısaca, Yargıtay 16. Ceza Dairesine göre, ByLock’a ilişkin dijital materyaller üzerinde CMK’nın 134. maddesi uyarınca alınmış bir hâkimlik kararından sonra inceleme ve tespit işlemleri yapıldığı için, ByLock verileri yasal delil niteliğindedir.
Oysa soruşturma dosyalarına ve internet sitelerine yansıyan resmi belgelerdeki bilgiler durumun hiç de böyle olmadığını net olarak ortaya koyuyordu. Bu belgelere göre, ByLock verilerinin yer aldığı hard disk ve flaş bellek 9 Aralık 2016 tarihli ilk hâkimlik kararından aylarca önce incelenmiş, tespit ve tasnifler yapılmıştır.
Örneğin, 4 Eylül 2016, 30 Eylül 2016, 10 Ekim 2016, 14 Ekim 2016, 18 Ekim 2016, 20 Ekim 2016, 21 Ekim 2016, 25 Ekim 2016, 9 Kasım 2016 ve 6 Aralık 2016 tarihli Emniyet Müdürlüğü yazıları veya iddianamelerde açıkça ilgililerin ByLock kullandıkları belirtilmiştir.
Emniyetin ilk hakimlik kararından aylar önce yaptığı inceleme sonucu, kimlerin ByLock kullanıcısı olduğu tespit edilmiş, sınıflandırmalar (kırmızı, turuncu ve mavi listeler) yapılmış, bu hususta bir de EGM Terörle Mücadele Dairesi Başkanlığı bünyesinde “merkezi bir veri tabanı”oluşturulmuştur.
Bu merkezi veri tabanı, 9 Aralık 2016 tarihli ilk hakimlik kararından çok önce, il emniyet müdürlüklerinin hizmetine sunulmuştur. Bu sistemden yararlanılarak, savcılıkların sorularına polis tarafından aynı gün cevaplar verilebilmiştir (bkz. Mütalaa, § 18 – EK 6 ve 7).
Özetle, ByLock’a ilişkin verilerin yer aldığı hard disk ve flaş bellek, Emniyet tarafından 9 Aralık 2016 tarihinden çok önce incelenmiş olmasına rağmen, Yargıtay 16. CD ve YCGK, bu olguları göz ardı etmiştir.
Oysa CMK 134. madde uyarınca, herhangi bir dijital materyale el koyma ve incelemeden önce mutlaka hakimlik kararı alınmak zorundadır. Aksi şekilde yapılan incelemeler, dijital materyallerdeki tüm verileri yasa dışı veri haline getirir.
ByLock konusunda da aynı durum yaşanmış olup, ByLock’a dair hard disk ve flaş bellekteki verilerin tamamı yasa dışı bir yol ile alınmıştır. Anayasanın 38/6 ve CMK m. 217/2 hükümleri dikkate alındığında, bahse konu hard disk ve flaş bellekteki ByLock verileri asla mahkûmiyete esas alınamaz. Bir an için hakim kararı üzerine inceleme yapıldığı kabul edilse bile bu da delili hukuka uygun hale getirilmez. Çünkü delilin ilk elde ediliş şekli de ilgili Yargıtay kararında da kabul edildiği gibi istihbari bir yöntem ile olmuş ve yasal olarak yargılamada kullanma şartlarını haiz değildir.
2. Bylock Verilerinin MİT Tarafından Satın Alındığı Yönündeki Yargıtay Tespiti Ne Kadar Doğru?
Yargıtay 16 Ceza Dairesi, 2015/3 E. 2017/3 sayılı kararında; “Milli İstihbarat Teşkilatınca, bu yetkiye dayanarak teşkilata özgü teknik istihbarat usul araç ve yöntemleri kullanılmak suretiyle ByLock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı, e-posta adreslerinin içerikleri başta olmak üzere muhtelif veriler elde edildiği, düzenlenen teknik analiz raporu ve dijital materyaller Ankara Cumhuriyet Başsavcılığına ve Emniyet Genel Müdürlüğüne ulaştırılmıştır.” denilerek verilerin satın alındığını belirtmiştir.
MİT ByLock Teknik Raporu’nda “… Teşkilata özgü teknik istihbarat usul, araç ve yöntemleri kullanılmak suretiyle … elde edilmiştir” denilmektedir (MİT ByLock Teknik Raporu, 3.1 Dayanak ve Yöntem, sayfa: 12).
Ankara 15.Ağır Ceza Mahkemesinin (2017/13 E. 2017/21 K.) ByLock ile ilgili olarak verdiği mahkumiyet kararının gerekçesinde de MİT’in ByLock server’ini satın aldığı ifade edilmiştir.
Hükümete yakınlığı ile bilinen bir yayınevinden çıkarılan ‘’Fetö’nün Dijital “İni” ByLock’a Böyle Girildi: Kod Adı Baybay’’ isimli kitapta da bir şekilde Baltic (Cherry) Server’a erişim sağlandığı, 18 milyon mesajın kopyalandığı ve bunun server tarafından fark edilmesi üzerine açığın kapatıldığı, mahkeme kabullerine zıt biçimde, anlatılmaktadır.
Mahkemelerdeki soyut kabuller bu yönde iken, ByLock hizmetinin verildiği Baltic (Cherry) Server ve Litvanya hükümeti makamlarının açıklamaları ise farklı olmuştur.
Kaynağı belirsiz bir şekilde, uluslararası ve iç hukuka aykırı oluşturulan isim listelerinde ismi olan kişilerin kendileri veya yakınlarının Baltic (Cherry) Server firmasına mail yoluyla yaptıkları başvurulara şu şekilde cevap verilmiştir:
“Chery Servers, sunucuları yönetmediğimiz, gelen / giden trafiğini izlemediğimiz veya bu verileri depolamadığımız anlamına gelen Bare-Metal sunucuları sağlayıcısıdır. Müşterilerimiz sunucu güvenliği konusunda tamamen sorumludur ve maalesef, birilerinin müşterilerimizin serverlarına sızmaları siber saldırı teşebbüslerinin sıradanlaştığı bugünlerde bizi şaşırtmayacaktır. Kişisel bilgilerle ilgili husus, üçüncü taraf kuruluşlarla işbirliği yapmamamız, müşterilerimizle ilişkili herhangi bir bilgiyi bu tür kurumlara açıklamayacağımızdır. Şirketimiz Litvanya’da kayıtlı olduğu için sadece Litvanya’daki yerel kolluk kuvvetlerine hesap verebiliriz ve yalnızca yerel yasalarla veya Litvanya’daki mahkeme kararı ile yükümlü olduğu zaman onlara bilgi sunabiliriz.
Mantas Levinas, Halkla İlişkiler”
Ayrıca, bazı Bylock mağdurlarının Litvanya’daki Baltic Server firmasına açtığı dava neticesinde 19.06.2017 tarihli Litvanya Villnius City District Court (Prosecutor Regimantas Zukauskas) şu şekilde karar vermiştir:
‘’Şirket kayıtlı olmak için verilen müşterilerin iletişim bilgilerini kontrol etmiyor. Şirket sunucularda saklanan içerikleri de kontrol etmiyor, müşteriyle olan anlaşma iptal edilince sunucularda saklanan bilgiler otomatik olarak bir hafta içerisinde silinir ve (temizlenmiş) sunucu yeni bir müşteri için hazırlanır. Şirketin işbu belgede adı geçen sunucuda yapılmış izinsiz (kanunsuz) faaliyetler hakkında bir bilgisi yok. Litvanya Ceza Muhakemesi Kanunu 97. madde gerektiği gibi Cherry Servers AŞ şöyle bir bilgiler verdi: 08.08.2014 itibaren 46.166.164.181. IP adresini John Dash isimli bir müşteri kullanıyordu. O sistemde bu IP adresinin ilk kullanıcısı oydu, 02.03.2016 kadar kullanıyordu. Başvurusunda ABD telefon numarasını, kayıtlı olduğu ülke olarak Almanya’yı gösterdi. Bütün Cherry Servers AŞ selfservis sistemine yapılan girişler yurt dışında olan İnternet sağlayıcıların Almanya, ABD, İngiltere, Türkiye, Hong Kong, Panama, Fransa, Hollanda, Norveç, Avustralya IP adreslerinden yapıldı. 10.03.2016 ile 27.09.2016 tarihleri arasında adanmış sunucu hizmetlerinden Claudia R Martins faydalanıyordu. Yalanla yapılan hizmet ödemeleri için artık bir müşteri değildir. Başvurusunda Brezilya’daki iletişim bilgilerini verdi. Selfservis sistemine 10 ve 11 Mart 2016 158.69.127.69 IP adresinden (bu adresi ABD’deki OVH Hosting Inc. idare ediyor) giriş yaptı. Sunucuya direkt yapılan girişler ve sunucunda yapılmış faaliyetler hakkında şirketin bir bilgisi yok. Bu tür veriler sunucunda olan dosyalara yazılır, müşteri hizmetleri kullanmaktan vazgeçtikten ve sunucu temizlendikten sonra bu veriler de yok oluyorlar. Şu anda 2016 yılında geçen (6 aydan fazla bir zamanından sonra) Cherry servers AŞ tarafından ByLock uygulamasına kiralanmış web sunucusuna izinsiz bir şekilde belki yapılmış olan bir giriş ve açık olmayan bilgilerin ele geçirildiği hakkında objektif veriler toplamak mümkün değildir, çünkü Litvanya Elektronik İletişim Kanununun 65. madde 2. fıkrası ve 66. madde 6. fıkrası gerektiği gibi elektronik iletişim verileri iletişim kurma olayından sonra 6 ay kadar saklanır; işbu belgede verilen detaylar da verilerin toplanamayacağını gösteriyor; bu da şu demek oluyor: Türkiye Milli İstihbarat Teşkilatın ByLock kullanıcılarının (Şikayetçi dahil) bilgilerini Şikayetçinin anlattığı şekil ve metotla (biri Cherry servers AŞ kiralık web sunucusuna izinsiz girmiş, biri Cherry servers AŞ kullanıcı bilgilerini uydurmuş ve yeni bir şifre için başvurmuş, veya Cherry servers AŞ bilgileri ortaya çıkarmış) ele geçirdiğine dair şikayette yer alan iddialarını ne ispatlayabilir, ne de reddedebilir.’’
Litvanya savcılığının yukardaki kararına göre, ByLock kullanıcısı Baltic (Cherry) server kullanımını 02.03.2016 tarihinde bırakmıştır. Hemen sonrasında 10.03.2016 tarihinde ise büyük bir tesadüfle aynı datayı kiralayan ve muhtemelen gerçek olmayan Claudia R. Martins adındaki başka bir kullanıcı tarafından data içindeki bütün kişisel kullanıcı mesajları ve ID’leri kopyalanarak ele geçirilmiştir. Bu durumda ismi gerçek olmayan bir kullanıcının ByLock datasını ustalıkla kiralayarak kişisel verileri çalması şüpheli bir durum oluşturmaktadır.
Litvanya Hukuk Müşavirliği Yazısı: Türkiye’de, Server’ı Litvanya’da olan ByLock iletişim uygulamasına istinaden yapılan toplu tutuklamalar ve zulümler üzerine bazı insan hakları örgütleri konuyu ele almış, parlamentoya başvurmuştur. Litvanya Meclisi Hukuk ve Hukuk Düzeni Komitesi’nde konu kapalı oturumda ele alınmış; Komite Başkanı (Julius Sabatauskas) Türkiye’nin verileri ‘usulüne uygun olarak elde ettiğine dair bilgi bulunmadığını’ açıklamıştır. (The Committee has been informed that state authorities -Ministry of Justice, Ministry of Foreign Affairs, General Prosecutors Office, State Security Department, Police Department- did not receive request for legal assistance from Turkish Authories concerning the matters specified in application).
Yine birçok uluslararası raporlarda da ByLoc verilerinin elde ediliş ve çözülüşüne ilişkin hukuksuzluklar ve tespitlerin güvensizliğine dikkatler çekilmiştir.
Hackleme / satınalma / çalma gibi eylemler sonucu ele geçirildiği düşünülen kişisel verilerle oluşturulan MİT raporunun, uluslararası bir bilgi teknolojileri (IT) firması olan FOX-IT tarafından yapılan incelemesi neticesinde düzenlenen kapsamlı raporda Fox-IT, MİT raporunda tanımlanan MİT incelemesinin, adli ilkelere bağlı olmadığını ve bu nedenle adli inceleme olarak görülmemesi gerektiği sonucuna varmıştır. Raporda: “Çelişkili ve asılsız tespitler, nesnellik ve şeffaflıktan uzak olunması nedeniyle MİT soruşturması temelde kusurludur. Bu durum, soruşturmanın sonuçlarını da şüpheli hale getirmiştir. … Fox-IT, ByLock için daha kapsamlı, objektif ve şeffaf bir şekilde adli bir soruşturma yürütülmesini önermektedir. … MİT raporu, kullanıcıların nasıl tespit edildiği hususunda çok sınırlı bilgi içermektedir. ” şeklinde tespitlerde bulunularak MİT’in elde ettiği bilgilerin şeffaf ve güvenilir olmadığı vurgulanmıştır.
Bütün bu nedenlerle, ByLock delilinin taraf olduğumuz Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) adil yargılama ve özel hayatın gizliliği ilkelerini ihlal ettiği açıktır.
Nitekim benzer bir konuda Avrupa İnsan Hakları Mahkemesi (AİHM) de ihlal kararı vermiştir.
3. AİHM’nin Delilin Yasadışı Elde Ediliş Yöntemine İlişkin Değerlendirmesi
AİHM, yakın tarihte bu iddiayı destekleyecek önemli bir karar verdi. AİHM 28/04/2018 tarihinde verdiği Benedik/Slovenya kararı ile Türkiye’de devam eden “ByLock” tartışmalarına, özel hayatın gizliliğini ihlal etmesi yönünden, gelecekteki tavrını ortaya koymuş oldu.
Özel Hayatın Gizliliğinin İhlali Bakımından
Söz konusu davada başvurucu, tüm ülkelerde ağır bir suç sayılan “çocuk pornografisi” içeriklerini indirmekle suçlanmıştır. Slovenya polisi, geçerli bir mahkeme kararı almadan, Slovenya ISS (İnternet servis sağlayıcısı) şirketinden IP adresi tahsis edilen kişiye ait verileri istemiş, şirket de başvurucunun bilgilerini vermiştir. Slovenya polisi, başta alması gereken mahkeme kararını, bilgileri aldıktan sonra almıştır. Alınan karar sonrası yapılan incelemede, başvurucunun bilgisayarında, indirilen dosyalar arasında çocuk pornografisi tespit edilmiş ve başvurucu hakkında dava açılmış, başvurucu bu ülkede suçlu bulunmuş ve ceza almıştır.
AİHM kendisine gelen uyuşmazlıkta öncelikle, başvurucunun abonelik bilgilerinin ve bu bilgilere ulaşılmasını sağlayan dinamik IP’lerin de “kişisel veri” kapsamında olduğunu, bu nedenle Sözleşme’nin 8. maddesinin koruma ile bağlantılı olabilecek gizlilik konuları ile ilgili olduğunu kabul etmiştir. Mahkeme, sonuç olarak, başvurucunun özel hayatına saygı gösterilme hakkına yapılan müdahalenin, Sözleşme’nin 8. maddesindeki “yasaya uygunluk” koşulunu sağlamadığına (önceden hakim kararı alınmadığı için) ve Sözleşme’nin 8. maddesinin yani “özel hayatın gizliliğinin”ihlal edildiği sonucuna varmıştır.
Anayasamıza Göre İç Hukukumuzda Geçerli Olan Bu Emsal Kararın Bylock İddialarına Bakan Yönü Nedir?
Bilindiği üzere ByLock programı, kişiler arasında iletişimi sağlayan bir mesajlaşma programıdır. Bu programa bağlı olan IP’ler, ADSL bilgileri ve mesaj içeriklerinin tamamı kişisel verilerdir. Dolayısıyla ülkemizde Anayasal koruma altındadır. Herhangi bir soruşturma ya da kovuşturmada, söz konusu kişisel verilere ulaşılması Anayasa ve ilgili kanunlarda gösterilen hukuki yollarla mümkündür. Aksi halde ulusal ve uluslararası mevzuatların koruma altına aldığı “özel hayatın gizliliği” ihlal edilmiş olacaktır. Yukarıdaki dava örneğinde iddia edilen suç, her ne kadar uluslararası hukuk kabullerine göre büyük bir suç ve elde edilen deliller bu suçun işlendiğini kat’i şekilde ortaya koymuş olsa bile, özel hayatın gizliliği ihlal edilmiş olması nedeniyle başvurucunun cezalandırılması AİHM tarafından hak ihlali olarak kabul edilmiştir.
ByLock programının kullanıcılarına ait kişisel veriler ancak üç farklı yoldan elde edilebilir:
Birincisi; uluslararası adli yardımlaşma yoluyla olabilir ki yüz binden fazla kişiye ilişkin verilerin bu şekilde adli yardımlaşma kapsamında paylaşılması hukuken mümkün olmadığı gibi, ne MİT ne de Adalet Bakanlığı böyle bir iddia da bulunmuştur.
İkinci yol; adı geçen programın sahibi olduğu şirketin satın alınması olabilir. Ancak 95/46 Sayılı Veri Koruma Direktifine tabi bir Avrupa Birliği üyesi olan Litvanya açısından da bu mümkün değildir. Ayrıca Litvanya Meclisinde tutanaklara geçen beyanlarda, böyle bir durumun söz konusu olmadığı kayıtlara işlenmiştir.
Geriye tek ihtimal kalıyor ki, o da uluslararası siber suç yöntemiyle yani “hackerlik” yapılarak söz konusu verilere ulaşılmasıdır. Zaten MİT basın kuruluşlarına yaptığı açıklamada, söz konusu verileri elde etme yöntemini açıklama yerine “Devletin teknik istihbarat faaliyetlerine ilişkin imkan ve kabiliyetlerin açığa çıkarılmaması ve istihbarata karşı koyma amacıyla verilerin temin edilmesine ilişkin hassas yöntem, usul ve araçlara yer verilmemiştir” diyerek bunun kanun dışı yollarla elde edildiğini dolaylı olarak kabul etmiştir. Hükümete yakın medya da bu durum, “Litvanya’nın başkenti Vilnius’ta bulunan ByLock’un serverına bir siber operasyonla gizli ağa ulaşan Türk istihbaratı, şifreyi kırarak kayıtlı yaklaşık 215 bin ByLock kullanıcısından 53 binini ele geçirmeyi başardı” şeklinde haber yapılmış ve bu haber MİT tarafından yalanlanmamıştır.
MİT yaptığı bir açıklamada ise, ByLock verilerinin Mayıs 2016 tarihinden itibaren ilgili devlet kurumlarına gönderildiğini belirtmiştir. Dolayısıyla, ByLock verileri bu tarihten önce ele geçirilmiş olup, Mayıs 2016 ve öncesinde yürürlükte olan CMK’nın 135. maddesine göre, telekomünikasyon yoluyla iletişime müdahale edebilmek için yetkili Ağır Ceza Mahkemesinin oy birliği ile karar alması gerekmekteydi. Oysa ByLock verileri ile ilgili CMK 134. maddesine dayanarak alınan ilk mahkeme kararı 9 Aralık 2016 tarihlidir. Mayıs 2016 tarihinin dışında ayrıca, örneğin Adana Cumhuriyet Başsavcılığının Adana Emniyetinden bir sanığın ByLock kullanıcısı olup olmadığına dair ve Emniyetin 20 Ekim 2016 tarihli bir yazısında sanığın ByLock kullanıcısı olduğuna dair 9 Kasım 2016 tarihli yazıları söz konusudur. Dolayısıyla Ankara 4. Sulh Ceza Hakimliği kararından çok daha önceki tarihlerde, hiçbir mahkeme kararı olmadan MİT tarafından elde edilen bu kişisel veriler polis tarafından kullanılmış, incelenmiş, delil olarak savcılıklara gönderilmiş ve yazılar sanıklara ilişkin dosyalara konulmuştur.
MİT’in elde ettiği ByLock verilerinin içeriklerinde bugüne kadar basına yansıyan tek bir “suç içeriği” de söz konusu değildir. Kullanımda olduğu dönemde uygulama marketlerinden herkesin indirip kullanabildiği bir programı indirmek de, içeriği suç oluşturmayan mesajları atmış olmak da bir suç teşkil etmemektedir. Bir an için söz konusu programın sadece kullanılmasının suç olduğu iddia edilse bile, AİHM kararından hareketle, çok açık şekilde “özel hayatın gizliliğinin ihlali” söz konusu olacaktır.
Adil yargılama İlkesi Yönünden Konunun Değerlendirilmesi
Yargıtay, 15 Temmuz 2016 sonrasında vermiş olduğu bir kararında, ByLock programı kullanmanın, “silahlı terör örgütü üyeliği suçu” için “tek başına delil” olabileceğini kabul etmiştir. Dolayısıyla burada AİHS’nin 8. maddesi dışında dikkat çekmemiz gereken diğer bir hak da 6. maddede koruma altına alınan “Adil Yargılama İlkesi”dir.
41 ülkede yaygın olarak kullanılan ve iletişim uygulamaları arasında dünyada ilk 500 arasında yer alan bir uygulamanın kullanılmasının terör örgütü üyeliğine delil olarak kabul edilmesinin hukuken izahı mümkün değildir. Kullanıcısı olduğu iddia edilen kişilerin kimlik bilgilerinin tamamıyla uluslararası hukuk normları ve iç hukuka aykırı şekilde adli kolluk yetkisi olmayan istihbarat birimleri tarafından elde edilmesi ve bu verilerin idari ve adli soruşturmalarda ve yargılamalarda delil olarak kabul edilmesiyle Avrupa İnsan Hakları Sözleşmesi ile birlikte Avrupa Konseyi ve Avrupa Birliği Veri Koruma Mevzuatı ihlal edilmiştir. Türkiye ve Litvanya Avrupa Konseyi üyesidir. Litvanya aynı zamanda Avrupa Birliği üyesidir. Hem Türkiye’nin hem de Litvanya’nın bahse konu sözleşmeler kapsamında kişilere ait veri ve dataların korunmasında uluslararası hukuk kapsamında sorumlulukları vardır.
Kişilere ait data ve kişisel bilgilere hukuka aykırı şekilde yapılan erişim neticesinde; AİHS^de yer alan ve Sözleşme hükümleri ile koruma altına alınan Adil Yargılama İlkesi ve Özel hayatın Gizliliği gibi birden fazla maddesi ihlal edilmiştir.
Bu hususta 15 Temmuz darbe girişimi sonrası Türkiye’de adli makamlarca yapılan soruşturmalar ve kabul edilen delillerin uluslararası hukuktaki yeri üzerine Hukukçular William Clegg ve Simon Baker tarafından hazırlanan hukuki mütalaada da bu hususa yer verilmiştir.
Mütalaanın ByLock verilerinin delil olarak kullanılması yönündeki değerlendirmesinde adil yargılama hakkının ihlal edildiği şu ifadelerle belirtilmiştir:
“Gizemli Bir Rapor- MİT ByLock Raporu-: MİT ByLock Raporunu yazanların kimlikleri raporda belirtilmemiştir, Raporu yazanlar delil göstermemişlerdir ve bu kişilerin kim oldukları ile nitelik ve tecrübeleri bilinmemektedir. Bu raporun yazarları hakkında hiçbir şekilde soru sorma imkânı yoktur, yazarlardan ByLock uygulamasının Türkiye ile irtibatı olmayan 40’tan fazla ülkede indirilmiş olması ile ilgili açıklama getirmeleri istendiğinde bulunulma imkânı yoktur. Yazarlara Türkiye dışında uygulamanın indirilmesinin darbe teşebbüsüne katkısı konusundaki kanaate ulaşmada ne gibi bir delile dayandıkları hususunda soru sorulma imkânı bulunmamaktadır.
Gizemli bir Rapor ile Boşu Boşuna Mesnetsiz Mahkûmiyet: Yapılan incelemelerde Türkiye’de ki Mahkeme ByLock uygulamasını değerlendiren teknik raporu esas alarak X’i mahkûm etmiştir. AİHS’nin 6. maddenin 3. fıkrasının (d) bendinde belirtildiği gibi, şüphelinin ‘İddia tanıklarını sorguya çekmek veya çektirmek’ hakkına sahip olması adil yargılamanın temel bir prensibidir. Bu imkânı sağlamayan MİT Teknik Raporun duruşma sırasında delil olarak kullanılması Sözleşme’de geçen bu hakkın açık bir ihlalidir. Raporda, daha sonra mahkeme kararlarının tesis edileceği hayati sonuca ulaşmada kullanılan mekanizma da açıklanmamıştır.”
Ayrıca yine istihbarat verisinin ham bilgi oluşu, çoğu kez ilgilinin gıyabında toplanması, tabiatı gereği süreci ve korunmasının gizli olması, ilgilinin taraf olmaması, itiraz etme, yanlışsa düzelttirme imkânı olmaması, hak ve özgürlüklerin teminatı olan hâkimin müdahale güvencesi veya hâkime müracaat imkanının olmaması nedeniyle istihbari bilgilerin hiçbir surette delil olarak kullanılamayacağına dair birçok karar vardır: (AİHM, BN: 9248/81, KT: 26/03/1987, Leander/İsveç, pr: 48,59; AİHM, BN: 27798/95, KT: 16/02/2000, Amann/İsviçre, pr: 65, 69,70; AİHM, BN: 28341/95, KT: 02/05/2000, Rotaru/Romanya, pr: 43, 44 vb…).
Öte yandan Avrupa Konseyinde Kişisel Veriler 108 Sayılı Sözleşmesini Türkiye imzalamıştır ve bu sözleşme yürürlüktedir.
Avrupa Birliği mevzuatında ise kişisel verilerin korunmasını düzenleyen AB mevzuatında yer alan 95/46 sayılı Yönergesi (Kişisel verilerin korunmasına verilen ehemmiyetten ötürü, koruma dayanağı bir üst norm olan Tüzük seviyesine yükseltilmiştir. 2016/679 sayılı Tüzük 25 Mayıs 2018 de yürürlüğe girmiştir.) ve OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data’sı şeklinde sıralanabilecek Uluslararası Sözleşme ve Yönetmelikler bulunmakta olup, bunlara da aykırı davranılmıştır.
Diğer bir yasadışılık da adli yardım konusunda olmuştur. Türkiye, Ceza İşlerinde Karşılıklı Adli Yardım Avrupa Sözleşmesi’ne (CİKAYAS) ve bu sözleşmenin Ek 1. Protokolüne taraftır. Litvanya da aynı sözleşmenin tarafıdır. CİKAYAS’a taraf olan diğer 45 devletle aramızdaki suçlu iadesi işlemleri bu Sözleşme hükümlerine göre yerine getirilmektedir.
Yine Avrupa Konseyi bünyesinde “Sanal Ortamda İşlenen Suçlar Sözleşmesi”ne (SSS-Siber Suçlar Sözleşmesi) hem Türkiye hem de Litvanya taraftır. Türkiye, 6533 sayılı Kanun ile Sözleşmeyi onaylamış ve Resmi Gazete’de yayınlayarak yürürlüğe koymuştur. Sözleşmenin 35. Maddesine göre, akit devletler, internet ve bilişim alanında gelen talepleri karşılamak ve bilgi paylaşımında bulunmak üzere kendi ülkelerinde merkezi makam belirlemeleri gerekmektedir. Nitekim Türkiye’de bu konuda “Siber Suçlarla Mücadele Daire Başkanlığı” ihdas edilmiş ve Sözleşmenin yürürlüğünden beri hizmet vermektedir. Buna göre Litvanya’dan talepte bulunulması yerine MİT yasadışı yöntemleri kullanarak verileri elde etme yoluna gitmiştir.
Dolayısıyla ceza yargılaması konusunda adli yardım gerektiğinde yukarıdaki sözleşme ve Ek 1. Protokol hükümlerine göre işlemlerin yürütülmesi gerekmektedir. Bu hususta uygulanması gereken yol ve yöntemler Adalet Bakanlığı Uluslararası Hukuk ve Dış İlişkiler Genel Müdürlüğü’nün 16/11/2011 tarihli Tarih ve 69/2 sayılı genelgesinde örneklerle açıklanmıştır.
Türkiye’deki binlerce ceza mahkemesi yıllardır yabancı ülkelerle adli yardımlaşmayı bu Sözleşme ve Genelgeye göre uygulamışlardır. Dolayısıyla, Türk soruşturma makamları usulüne uygun isteme yerine yasadışı şekilde hackleme/satınalma/çalma yollarına tevessül etmiş ve uluslararası hukuku çiğnemiştir.
Ceza alanında yurtdışı istinabe işlemlerinin nasıl yapılacağı, örnek formlar ve basamaklar halinde yapılması gerekenler teferruatıyla www.uhdim.adalet.gov.tr adresinde anlatılmaktadır.
Aynı adreste yapılması gerekenlerin ayrıntısıyla açıklandığı ve örneklendiği, 16/11/2011 tarih ve 69/2 sayılı, ‘Uluslararası Ceza İstinabe İşlemlerinde Adli Makamlarımızca Dikkat Edilmesi Gereken Hususlar’ başlığını taşıyan genelge mevcuttur. Ceza yargılamasında yurtdışından istinabe (bir davanın görülmekte olduğu mahkemeye gönderilmek üzere, başka bir yerde bulunan tanığın ifadesinin bulunduğu yerdeki mahkemece alınması.) için belirtilen mevzuattaki usullere ve araçlara uyulması zorunludur. Ayrıca istenen hususların CMK’ya uygun olması da şarttır.
Bir an için, MİT’in istihbarat maksadıyla özel hukuk yöntemlerini kullandığını varsaysak da Avrupa Konseyi bünyesinde 1954 tarihinde ‘Hukuki ve Ticari Konularda Hukuki ve Adli İş birliği Anlaşması’ imzalanmıştır. Türkiye ve Litvanya sözleşmeye taraftır.
Ayrıca Türkiye ve Litvanya arasında ikili olarak adli iş birliği antlaşması da imzalanmıştır. Hukuki konularda karşılıklı taleplerin buna göre yapılması gerekmektedir. ByLock konusunda sayılan uluslararası yükümlülüklere uygun bir talepte bulunulmamıştır.
MİT’in ByLock verilerini pazarlıkla satın alması da mümkün değildir. Çünkü bu veriler, kişilerin haberleşmesini içerdiğinden gizlidir ve serbest pazarda satışa sunulması mümkün değildir. Dolayısıyla serbest piyasada alım-satıma konu olamaz.
Buna göre ByLock verilerinin elde ediliş ve raporlandırılmasının hiçbir yasal dayanağı olmadığından birçok hukuksal norm ihlal edilmiştir.
4. Anayasa Mahkemesinin Adil Yargılama İlkesi Açısından Delillin Yasallığı ile İlgili Değerlendirmesi
Anayasa’nın 36. maddesine “Adil yargılama” ibaresinin eklenmesine ilişkin gerekçede Türkiye’nin tarafı olduğu uluslararası sözleşmelerce de güvence altına alınan adil yargılama hakkının madde metnine dahil edildiği vurgulanmıştır. Nitekim AİHS’nin 6. maddesinin 1 numaralı fıkrasında, hakkaniyete uygun yargılanma hakkı düzenlenmiştir. Anayasa Mahkemesi de Anayasa’nın 36. maddesi uyarınca değerlendirme yaptığı birçok kararında, kanuni bir temele dayanmadan veya hukuka aykırı şekilde elde edilen delillerin yargılamada kullanılmasıyla ilgili olarak ileri sürülen iddiaları adil yargılama hakkının güvencelerinden olan hakkaniyete uygun yargılanma hakkı kapsamında incelemektedir.
Adil yargılama İlkesi ile ilgili bu tespitin yapıldığı AYM’nin 01.02.2018 tarihli Orhan Kılınç başvurusunda, hukuka aykırı delillerin Adil yargılama İlkesini niçin ihlal edeceği şu tespitlerle kabul edilmiştir:
“Anayasa’nın 38. maddesinin altıncı fıkrasına göre, ‘Kanuna aykırı olarak elde edilmiş bulgular delil olarak değerlendirilemez.’ 5271 sayılı Kanunun 217. maddesinin 2 numaralı fıkrasında, ’Yüklenen suç hukuka uygun bir şekilde elde edilmiş her türlü delille ispat edilebilir’ denilmiştir. Aynı Kanunun 206. maddesinin 2 numaralı fıkrasında, ortaya konulması istenilen bir delilin kanuna aykırı olarak elde edilmiş olması hâlinde reddolunacağı, 230. maddesinde ise mahkumiyet hükmünün gerekçesinde hükme esas alınan ve reddedilen delillerin belirtileceği, bu kapsamda dosya içerisinde bulunan ve hukuka aykırı yöntemlerle elde edilen delillerin ayrıca ve açıkça gösterileceği kurala bağlanmıştır. Söz konusu kurallar dikkate alındığında, hukukumuzda toplanmaları sırasında kişilerin temel hak ve özgürlüklerinin ihlal edilip edilmediğine bakılmaksızın hukuka aykırı delillerin ceza yargılamasında kullanılması yasaklandığı anlaşılmaktadır.”
AYM, mezkur kararında, hükmüne esas aldığı AİHM içtihatlarına da yer vermiştir: “AİHM, hakkaniyete uygun yargılanma hakkının, ceza muhakemesini ilgilendiren boyutunda savunma hakkı ile bağlantılı olduğunu vurgulamaktadır; delillerin kabul edilebilirliği ile ilgili olarak somut davada kullanılan delillerin sanığın hazır bulunduğu duruşmada “silahların eşitliği” ve “çekişmeli yargılama” ilkeleri gözetilerek tartışılıp tartışılmadığını ya da söz konusu delillerin yargılamanın bir bütün olarak adil olup olmamasına etkisini değerlendirmektedir (Tamminen/Finlandiya, Barbera, Messegue ve Jabardn/İspanya). Delil sunmak veya bazı belgeleri istemek gibi davanın taraflarının inisiyatifine bırakılan konularda dahi mahkemenin gerçeğin ortaya çıkarılabilmesi için Sözleşme’nin 6. maddesinin 1 numaralı fırkasındaki hakları güvence altına alma pozitif yükümlülüğü bulunduğuna değinilmektedir (Barbera, Messegue ve Jabardo/İspanya). AİHM, Sözleşme’nin 8. maddesinde güvence altına alınan ‘özel hayata ve aile hayatına saygı hakkı’ kapsamındaki güvencelere aykırı olarak elde edilen delillerin mahkumiyete esas alınmasının yargılamanın hakkaniyete uygun olmadığı ve dolayısıyla adil yargılama hakkının ihlal edildiği sonucuna ulaşılması bakımından tek başına yeterli bir ölçüt olmadığını vurgulamaktadır. Bunun için yürütülen ceza soruşturmasının iç hukukta bir dayanağının var olması, delillerin sıhhati veya gerçekliği konusunda kuşkuya düşülmesini haklı kılan sebeplerin bulunmaması veya bulunsa dahi destekleyici diğer deliller sayesinde bu kuşkuların giderilmiş olması ve sanığa delillerin gerçekliğine etkili bir şekilde itiraz etme fırsatının tanınmış olması şartlarını aramaktadır (Schenk/İsviçre, Desde/Türkiye, Khan/Birleşik Krallık).”
Yargılama sırasında herhangi bir davaya ilişkin olarak delilleri değerlendirme ve gösterilmek istenen delilin davayla ilgili olup olmadığına karar verme yetkisi esasen derece mahkemelerine aittir. Ancak bu noktada ayrıştırıcı olan husus AYM’nin kararında da belirttiği gibi şudur:
“Delillerin taktiri derece mahkemelerine ait olmakla birlikte, kanuni bir temeli olmadan elde edildiği veya elde ediliş yöntemi bakımından hukuka aykırı olduğu ilk bakışta anlaşılabilen veya derece mahkemelerince hukuka aykırı olduğu tespit edilen delillerin yargılamada tek veya belirleyici delil olarak kullanılmasının hakkaniyete uygun yargılanma hakkı bakımından sorun oluşturabileceği dikkate alınmalıdır. Ceza muhakemesinde delillerin elde ediliş şekli ve mahkumiyete dayanak alınma düzeyleri yargılamanın bütününü hakkaniyete aykırı hâle getirebilir.”
AYM bu kararında, söz konusu kanuni düzenlemeler ile AİHM ilkeleri ışığında somut olaydaki hükmünü şöyle açıklamıştır: “Dava konusu olayda, elde edilen delilin 5271 sayılı Kanunun belirtilen maddelerine aykırı olduğu açıktır. Kolluk görevlilerinin konutta arama yapmaları için hâkim kararı veya Cumhuriyet savcısının yazılı emri bulunmamaktadır. Arama belli bir süre (yaklaşık on sekiz saat) sonra nöbetçi Cumhuriyet Savcısına bildirilmiştir. Mahkeme kararından anlaşıldığına göre mahkumiyet hükmü, belirleyici olarak hukuka aykırı arama sonucunda elde edilen bu delillere dayandırılmıştır. Belirli bir davaya ilişkin olarak delilleri değerlendirme yetkisi kural olarak yargılamayı yapan mahkemeye ait olmakla birlikte somut olayda hukuka aykırı şekilde gerçekleştirilen arama sonucu elde edilen delillerin belirleyici delil olarak kullanılmasının bir bütün olarak yargılamanın hakkaniyetini zedelediği görülmektedir. Aramanın icrasındaki ‘kanuna aykırılığın’ yargılamanın bütünü yönünden adil yargılama hakkını ihlal eder nitelikte olduğu kanaatine varılmıştır.”
Görüldüğü üzere, hukuka aykırı elde edilen delilin tek başına ya da belirleyici delil olarak mahkumiyete esas alınması, AİHS’nin ve Anayasanın koruduğu “özel hayatın gizliliği” ilkesi yanında “adil yargılama hakkı”nın da ihlali anlamına gelmektedir.
5. Bu İlkelere Mahkemeler Ne Kadar Uymaktalar?
Aslında sorunun cevabı belli: Hiç! Ama yine de bir durum değerlendirmesi yapalım.
Yukarıda yer verildiği üzere, Yargıtay 16. CD, “ByLock” delilini, silahlı terör örgütü üyeliği suçu açısından “tek” ve “esas” delil olarak kabul etmiştir.
ByLock verilerinin MİT tarafından elde edilmesi ve emniyet ile savcılıklara ulaştırılmasından çok sonraki bir dönemde mahkeme kararı alınmıştır. Esasen alınan bu mahkeme kararı bile geçerli değildir. YCGK, yukarıda anılan kararında, ByLock kullanımıyla ilgili elde edilen delillerin hukuki olup olmadığı ve terör örgütü suçlaması konusunda değerlendirmeler yaparken önceki içtihatlarından saparak bir hukuksuzluğa imza atmıştır.
İlk olarak; YCGK kararındaki tespite konu olan bilgilerin neredeyse tamamı, Yargıtay’ın hali hazırda anladığı anlamda “iletişimin tespiti” kavramının kapsamında olup, bu nedenle somut olaya CMK’nın 134. maddesi değil 135. maddesi uygulanması gerekirdi.
İkinci olarak; CMK’nın 134. maddesi elektronik verileri taşıyan hard materyallere (kütlesi olan cisimlere, hard disk, flaş bellek, bilgisayar ve benzeri araçlara) el koymaya izin verirken, CMK’nın 135. maddesi, haberleşmeye ilişkin soft verilere (elle tutulamayan ve kütlesi olmayan elektronik verilere) müdahaleye izin vermektedir. Bugüne kadarki yargı uygulamaları da bu yönde olup, e-posta ile yazışmalara müdahale için mahkemeler CMK’nın 135. maddesine dayanarak inceleme izni vermişlerdir.
Üçüncü olarak; bir an için somut olaya CMK’nın 134. maddesi uygulanacak olsa dahi, CMK’nın 135. maddesinden farklı olarak, bu maddede sadece şüphelinin fiilen kullandığı bilgisayarlara el konulabileceğine izin verilmiştir. CMK m. 134, şüphelinin kullandığı bilgisayardan bahsetmiştir. Ceza hukukçusu Ersan Şen’in belirttiği gibi, “Failin bir dönem kullandığı ve sonra zilyetliğini devrettiği bilişim cihazına el konulması ve incelenmesi CMK m. 134’de öngörülen usul ve esaslar dairesinde yapılamaz.” Oysa somut olayda, Ankara Sulh Ceza Hakimliğinin verdiği karara konu olan bilgisayar kütükleri, şüphelilerden hiçbirinin kullanımında veya tasarrufunda olmayan ya da zilyetliğinde dahi bulunmayan kütükler olup, bu nedenle bu işleme CMK’nın 134. maddesi dayanak olamaz.
Her ne kadar mahkeme kararı CMK’nın olaya uymayan bir maddesi gereğince alınmış olsa da, söz konusu kararın tarihi bile AYM kararında belirtildiği üzere, tek başına bu delili hukuka aykırı hale getirmiştir. Soruşturma sırasında, şüphelilerin önüne koyulan ByLock iddialarına karşı, şüpheliler ve müdafileri, iddiaları reddederek excel tabloları ile önlerine koyulan bu kayıtların doğru olmadığını, söz konusu programın sahibi ve sunucu olarak görünen şirkete, programın indirildiği iddia edilen “uygulama programları (Play Store ve İos Market)” şirketlerine resmi müzekkere yazılarak iddialarla ilgili gerekli araştırmanın yapılmasını istemişlerdir. Gerek Savcılık makamları, gerekse mahkemeler bu en önemli ve tek iddiayı doğrulayabilecek gerekli delillerin toplanmasına izin vermemişlerdir. Ceza yargılamasının tek amacı olan maddi gerçeğe ulaşmayı ve savunma hakkını ihlal eden söz konusu makamlar, ”silahların eşitliği” prensibini bu nedenle ortadan kaldırmışlardır.
Nitekim Dombo Beher kararında AİHM, silahların eşitliği ilkesini; “bir tarafı, davanın diğer tarafı karşısında, nitelikli bir dezavantaj içine sokmayacak şartlar altında, her bir tarafın, delilleri de dahil olmak üzere, davasını ortaya koymak için makul bir olanağa sahip olması zorunluluğu”olarak tanımlamıştır. Delil sunma veya diğer tarafın iddialarına etkili cevap verebilme imkanını ortadan kaldıracak biçimde bir sınırlama olması halinde, silahların eşitliği ilkesi ihlal edilmiş olacaktır.
AYM’nin yukarıdaki kararından da anlaşılabileceği gibi, ByLock delili, gerek elde edilme gerekse davalarda kullanılma yöntemi nedeniyle AİHS’nin 8. maddesi dışında ayrıca ve tek başına 6. maddesi olan Adil yargılama İlkesini de ihlal etmektedir.
6. Yargı ByLock Hukuksuzluğunu Yumuşatıyor mu?
Süreç içerisinde yoğunlaşan tepkiler, ortaya çıkan şüpheler, istihbaratın kasıtlı ve hatalı raporlarındaki yanlışlıkların tespiti, uluslararası kurumların değerlendirmeleri neticesinde yargı, ByLock konusunda daha hassas düşünmek zorunda kalarak kısmen hukuka uygun değerlendirmelerde bulunmaya başladı.
Bu kapsamda Yargıtay 16. Ceza Dairesi 2018/1773 E. – 2018/1630 K. ve 14.05.2018 tarihli kararında Yargıtay Cumhuriyet Başsavcılığın itirazını reddederek, kendi eliyle yaptığı ByLock hukuksuzluğuna kısmen daha adil bir yorum getirdi.
İlgili Daire anılan kararında: “…ByLock iletişim sistemi, …örgüt talimatı ile bu ağa dahil olunduğunun ve gizliliği sağlamak için haberleşme amacıyla kullanıldığının, her türlü şüpheden uzak, kesin kanaate ulaştıracak teknik verilerle tespiti halinde, kişinin örgütle bağlantısını gösteren bir delil olacaktır.
Bu minvalde, ByLock uygulaması programı indirmek, mesajlaşmak, haberleşmek için yeterli değildir. Öncelikle kayıt esnasında kullanıcının bir kullanıcı adıyla parola üretmesi, mesajlaşma için ise kayıt olan kullanıcılara sistem tarafından otomatik olarak atanan ve kullanıcıya özel olan ID (kimlik) numarasının bilinmesi ve karşı tarafça onaylanması gerekmektedir. Karşılıklı ekleme olmaksızın iletişime geçilme imkanı bulunmamaktadır.
Bu nedenle ancak operatör kayıtları (CGNAT Raporu) ve User-ID eşleşmesi doğru yapılabilen kişilerin gerçek ByLock kullanıcısı olduklarının kabulü gerekeceğinden, kişinin örgütsel gizliliği sağlamak ve haberleşmek amacıyla ByLock sistemine girdiğinin ve bu sistemi kullandığının, User-ID, şifre ve grup elemanlarını içerir ByLock tespit değerlendirme tutanağı ile kesin olarak kanıtlanması zorunludur…” şeklinde değerlendirmede bulundu.
Yargıtay’ın ByLock suçlaması ile ilgili hukuki kriterlerini artırması olumlu bir gelişme olmakla birlikte, teknik olarak bu delilin varlığını yüzde yüz ispatlamak neredeyse imkansız gibidir. Aşağıda açıklanacağı üzere, üstte sayılan tüm araştırmalar yapılsa bile gerçek kullanıcıyı şüpheden arınmış vaziyette tespit etmek çok zordur.
7. Yargıtay’ın İstediği Operatör Kayıtları / CGNAT (Carrier Grade Network Address Translation – Operatörler İçin Ağ Adres Çevirisi-) Ne Kadar Güvenilirdir?
CGNAT; IP4 dünyasında yeterli IP olmamasından dolayı bir gerçek IP’nin Port’lar yardımı ile 1’den fazla sanal IP’ye dağıtılarak, sorunun çözülmesidir. Bu teknolojiyi en çok kullanan özellikle Mobil Telekom operatörleridir. Türkiye’de BTK hangi IP’yi kimin kullandığı takibini yapabilmek için 2007 – 2017’de yayınladığı mevzuat ve yönetmelik içerisinde bunun takibini istediğini internet servis sağlayıcılarına belirtmiştir. Yönetmelikte geçen ifade: “Madde 3 – e) Erişim Kayıtları: Kendi iç ağlarında dağıtılan IP adres bilgilerini, kullanıma başlama ve bitiş zamanını ve bu IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgileri, hedef IP adresi, bir veya birden fazla IP adresinin portlar aracılığı ile kullanıcılara paylaştırılması yöntemi ile sunulan internet erişim hizmetinde kullanıcıya tahsis edilen gerçek IP ve port bilgilerini…”
Burada BTK, kişiyi tespit edilebilmek için önlem almaya çalışmıştır. Fakat bir IP’yi kimin kullandığını tespit etmekte bazı bilgiler gerekir: Kaynak ve Hedef IP’ler, kullanılan protokoller gibi.
Ancak yukarıda görüldüğü üzere, hangi protokol kullanıldığı bilgisini BTK istememiştir. CGNAT’nin temeli olan, kullanılan IP’nin internet servis sağlayıcı tarafından değiştirilmesidir. Dolayısıyla kullanıldığı gözüken IP gerçek IP olmayabilir. Çünkü CGNAT kullanılan IP yi değiştirmektedir.
Buna göre hukuki açıdan kullanılan IP’nin değiştirilmesi gerçek kullanıcıya ulaşılması noktasında sorun oluşturmaktadır. Dünyadan CGNAT’ın sorun olduğuna dair örnekler bulunmaktadır: Europol Executive Director’u, CGNAT’tan dolayı bu tip olaylarda kişi tespitinin % 90 yapılamadığını belirtmiştir. FBI 2012’den beri CGNAT yerine IPv6 kullanılması gerektiğini savunmaktadır.
Bu nedenle mahkemelerin operatör kayıtlarına güvenmesi, mutlak bir veri olarak değerlendirmesi hatalı ve adil olmayan kararlara neden olacaktır. Çünkü CGNAT, kişi bilgisi tespiti için güvenilir bir teknoloji değildir. BTK’nın elindeki kayıt bilgilerinin yetersiz olduğu açıktır. Bu kayıtlar delil olarak kullanılamaz.
Öte yandan ByLock ile ilgili MİT raporunda (sayfa 25), 15.11.2014 öncesi bütün kayıt bilgilerinin silindiği belirtilmiştir. Bu tarihten itibaren Ortadoğu ve Türkiye’den ByLock uygulamasına bağlantılar yasaklanmıştır. Dolayısıyla, 15.112014 tarihinden sonra Türkiye’den ByLock sunucusuna bağlanmak isteyenlerin mutlaka VPN kullanmaları zorunlu hale gelmiştir. Bu nedenle IP’lerin kayıtları ‘Türkiye’ olanlar için VPN IP’leri şeklinde olmuştur. Buna göre 15.11.2014 öncesi ve sonrası ByLock sunucu kayıtlarındaki hiçbir IP Türkiye’den değildir.
Bu kadar yanlışa rağmen tespit edilme yoluna gidilmesi durumunda: BTK, HTS, CGNAT, ISP, ByLock sunucu kayıtlarının hepsinin uyumlu olması gerekmektedir. Ancak tespit için gerekli unsurlardan BTK kayıtları yetersizdir. Çünkü ByLock sunucu kayıtlarının olmadığı açık ve nettir. Sadece CGNAT ve ISP kayıtları ile IP ve dolayısıyla kişi tespiti de yapılamaz.
Ayrıca CGNAT kayıt işlemlerini yapan sistemler ( loglama sistemleri) de sıkıntılıdır. CGNAT, Telekom operatörlerinin kısıtlı sayıdaki IPv4 numaralarını çok fazla abone sayısına paylaştırmaya imkan sağlıyor. CGNAT, özel IP ve port kullanarak, gerçek IP’den birçok kullanıcının internete bağlanmasını sağlıyor. CGNAT sistemleri kullandıkları bu özel IP, Port- Reel IP işlemlerini kayıt dosyalarında (LOG) saklamaktalar. CGNAT sistemlerinin birçoğunda bu kayıtlar şifresiz metin (cleartext) olarak tutuluyor. Şifresiz metin olarak tutulan bu kayıtlar üzerinde el ile (manuel) bir değişiklik yapılması çok kolay ve bu değişikliğin bir kaydı tutulmuyor. CGNAT logları daha sonra resmi kurumlara ( BTK) iletiliyor. CGNAT loglama sistemlerindeki açık nokta, verinin (kayıtların) üretilip, resmi kurumlara iletilmesine kadar geçen yol üzerinde herhangi bir veri bütünlüğü ve doğruluğunu koruyacak yapının olmamasıdır. CGNAT kayıtlarının BTK’ya iletilmesi anına kadar tüm yol güzergahında değiştirilebilmesi ve değişikliğin fark edilememesi mümkündür. Dolayısıyla CGNAT kayıtlarının % 100 değiştirilmeden, doğru olarak ilgili resmi kuruma (BTK) ulaştırıldığını kimse iddia edemez. Oysa bir delilin geçerli olması için, şüphe bırakmayacak şekilde elde edilmiş olması şarttır.
Bu kadar karışık ve şüpheli olan bu hususta mahkemeler, alanında uzman ve objektif davranabilecek bilirkişilere de başvurmuyorlar. Üstten gelen talimatlara kilitlenmiş bazı mahkemelerce, “tüm raporların, şahitlerin, uzman görüşlerinin istenmesine” rağmen bütün talepler reddedilerek cezalar verilebiliyor maalesef!
Umarım, Yargıtay 16. CD’nın bu yeni karar ile ilgili son incelemeyi yapacak olan YCGK, 26.09.2017 tarihinde vermiş olduğu ByLock ile ilgili hukuksuz kararını düzeltir ve dünyada yüzbinlerce kullanıcısı olan, hakim kararı olmadan elde edilen, bu uygulama ile ilgili içtihadını değiştirir. Bu hukuk devleti adına zorunlu olan bir durumdur.
Aksi durumda, bu hukuksuz uygulamalar nedeniyle Türkiye’nin, ilerde yüz bini aşan davalarda AİHM nezdinde mahkum olması ve milyonlarca lira tazminat ödemesi kaçınılmazdır.
