şirketlerin bilgisayarlarından işlenen bilişim suçları ve şirketlerin log tutma yükümlülüğü

Herkese merhaba,
Pek de asina olmadigimiz hatta yabancisi oldugunu soyleyebilecegimiz bir konuda muvekkilden gelen bir soru var fakat hatlari net olmadigindan kesin bir gorus bildiremedim. Karsilasan meslektaslarimiz varsa ve fikirlerini paylasirlarsa sevinirim.

Konu asagidaki gibidir:

İnternet Hizmeti veren İsp ( İnternet Servis Saglayıcı ) ve Şirketlerde internet kullanan firmalarda 1 Yıl boyunca bu logların tutulması gerekmektedir,Nedenleri;
· Is yerinden dışarıya gönderilen hakaret içerikli bir mail ve sonucunda dava konusu olunabilecek bir durumda,Bu emailin sirket sisteminden çıkıp çıkmadıgını yasal olarak kanıtlamak adına,log kayıtlarına bakılır,loglamalar degiştirilmeme adına signature ile imzalanır.
· Is yerine gönderilen bir emailin bizim tarafımıza gönderilmesi konusundada aynı işlemler yapılabilir.( Kimden geldigi-Hangi ip Adresinden-Ne zaman-Kime geldigigibi...)
· Is yerinden içeriden dışarıya yada dışarıdan içeriye sirkete olabilecek her türlü attackla ilgili loglama yapabilen bir programdır.
· Bu loglama programının yönetmelige göre standartları vardır.

Bu duruma atfen bir sirketin kendilerini koruma durumu ne olabilir ? Bir yasal zorunluluk mevcut mudur ?

Bu yonetmelik bildigimiz kadari ile internet kafeler icin daha cok duzenlenmis ama birden cok kisi calistiran ve calistirdigi kisilere de internet erisimi saglayan bir sirket icin de gecerli midir ya da baglayici midir ?
Mesela bir log tutulmasi durumunda is yerinden giden ve is yerinin kendi calisani tarafindan atilan hakaret icerikli mailleri saklamak yasalar karsisinda sirketi korur mu ? Bu maili atan is yeri calisanina rucuu etme hakkini verir mi sirkete ? Yani is yerinin calisani tarafindan atilan ve suc unsuru barindiran bir mail o is yerini mi baglar cezai anlamda yoksa sadece o maili gonderen calisanini mi ? Log tutulmasi icin mutlaka fiyati 1000-2000 $ civarinda olan bir yazilim alinmasi gerekir mi is yerine ?

Sorular bunlardan ibaret...

Saygilarimla

Bahsettiğiniz log tutma zorunluluğu 5651 sayılı kanunda mevcut değil. Sanıyorum kastınız İNTERNET TOPLU KULLANIM SAĞLAYICILARI HAKKINDA YÖNETMELİK olsa gerek?

Bu yönetmeliğin 4 ve 5. maddeleri bahsettiğiniz log zorunluluğunu getiriyor. 3. maddenin g ve l fıkraları ise bu iki maddeye kimlerin gireceğini belirtiyor. 5. madde ve 3/l ile internet kafe vs. yerlerin kastedildiği çok açık. Ancak 4. madde ve 3/g ile çalışanlarına internet bağlantısı veren şirketlerin kastedilip kastedilmediği muğlak. Bu konuda en sağlıklı Bilgi Teknolojileri İletişim Kurumundan alabilirsiniz:
http://www.btk.gov.tr/

Ancak yönetmelikle ilgili uygulamaya değil, lafzına dayalı bir yorum yapmak gerekirse, birden fazla çalışanını aynı IP adresi üzerinden internete çıkaran şirketlerin bu yönetmeliğin 4. maddesi kapsamına gireceği kanaatindeyim. Yönetmeliğin engellemeye çalıştığı eylem anonim kimlikle internet suçlarının işlenmesi. Suç işleyen IP adresi sahibinin servis sağlayıcı kayıtlarıyla tesbiti çok kolay ancak eğer bu adres birden fazla kişiye servis veren bir kuruma aitse, o zaman suçu bu kurumdan kimin işlediğinin tesbit edilebilmesi için bu yönetmelik düzenlemesi yapılmış, bu durumda da birden fazla çalışanına aynı adresten internet erişimi sağlayan şirketlerin bu düzenleme kapsamında olduğu sonucunu çıkarmak mümkün.

Öte yandan bu hukuki yorum, yönetmeliğin yorumudur, yönetmeliğin 5651 sayılı yasaya uygun olduğu anlamına gelmez. Kanunda ne log tutma konusunda, ne anonim kimlikle internete çıkışın engellenmesi veya kayıt altına alınması konusunda, ne de ticari yönü olmayan Toplu kullanım sağlayıcıların yükümlülükleri konusunda (kanunun 7. maddesi SADECE ticari toplu kullanım sağlayıcılarına bazı yükümlülükler getiriyor) bir düzenleme yapılmış değil. Dolayısıyla yönetmeliğin, bilişimi hukukuna ilişkin diğer pekçok idari tasarruf gibi yine "amacını aşan" ve "kanunun amacının dışına çıkan" kısıtlama ve yasaklamalar getirdiğini söylemek de mümkün ve bu açıdan kanuna uygunluğu ayrı bir tartışma konusu.