5651 Rehber
5651 Sayılı Kanun: İşletmeler İçin Güncel Rehber
5651 sayılı kanun kapsamında kimler yükümlü, hangi kayıtlar tutulmalı, zaman damgası ve saklama süreleri. İşletmeler için pratik uyum rehberi.
5651 sayılı kanun neyi düzenler?
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, internet üzerinden sunulan hizmetlerin denetlenebilir olmasını ve suç unsuru içeren faaliyetlerin tespit edilebilmesini amaçlar. Kanunun işletmeleri doğrudan ilgilendiren en kritik hükümlerinden biri, internet erişimi sağlayan tüzel ve gerçek kişilerin erişim kayıtlarını tutma yükümlülüğüdür.
Kanun, "içerik sağlayıcı", "yer sağlayıcı" ve "toplu kullanım sağlayıcı" kavramlarını tanımlar. Günlük işletme hayatında en sık karşılaşılan kategori, otel, kafe, restoran, yurt, site, AVM, fabrika ve ofis gibi işletmelerin müşterilerine, misafirlerine veya personeline internet erişimi sunduğu durumlarda devreye giren toplu kullanım sağlayıcı statüsüdür.
Bu rehber, işletmelerin 5651 kapsamındaki temel yükümlülüklerini, kayıt tutma standartlarını ve uyum süreçlerini özetler. [DOĞRULA: Mevzuat güncelliği resmi kaynaklardan periyodik teyit edilmelidir.]
Kimler 5651 kapsamında yükümlüdür?
5651 sayılı kanunun 2. maddesi ve ilgili yönetmelikler uyarınca, ticari amaçlı veya ticari olmayan şekilde internet erişim hizmeti sunan gerçek ve tüzel kişiler yükümlü kapsamına girer. Pratikte bu tanım oldukça geniştir: otel lobisinde misafir Wi-Fi paylaşan otel işletmesi, müşterilerine şifre veren kafe, ortak alan interneti sunan site yönetimi, öğrencilerine ağ erişimi sağlayan yurt ve ziyaretçi ağı işleten fabrika bu kapsamdadır.
Yalnızca kendi personeline kapalı intranet sunan ve dışarıya internet erişimi sağlamayan işletmeler farklı değerlendirilebilir; ancak misafir veya ziyaretçi ağı varsa yükümlülük başlar. ISS aboneliğinizin kendisi sizi muaf tutmaz; erişimi son kullanıcıya sunan taraf sizseniz kayıt tutmak sizin sorumluluğunuzdadır.
Kamu kurumları, eğitim kurumları ve sağlık tesisleri de kendi özel düzenlemeleriyle birlikte benzer loglama gerekliliklerine tabidir. Özel sektör işletmeleri için yaptırım mekanizması mülki amirlikler ve BTK üzerinden işler.
Hangi kayıtlar tutulmalı?
5651 kapsamında tutulması gereken kayıtlar, kullanıcının internete erişim başlangıç ve bitiş zamanını, kullanılan protokol ve hizmet bilgilerini, kaynak ve hedef IP adreslerini, port numaralarını ve trafik miktarını içermelidir. Kayıtların bütünlüğü korunmalı; sonradan değiştirilmediği ispat edilebilir olmalıdır.
Bu nedenle kanun ve yönetmelikler, kayıtların güvenilir zaman damgası ile imzalanmasını ve belirli süre saklanmasını öngörür. Ev tipi modem veya router cihazlarının yerel logları çoğu zaman bu nitelikleri taşımaz: disk kapasitesi dolduğunda eski kayıtlar silinir, zaman senkronizasyonu hatalı olabilir ve bütünlük kanıtı sunulamaz.
Toplu kullanım sağlayıcıları için İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik, kamuya açık alanda internet sunan işletmelerin kullanıcıları SMS ve benzeri yöntemlerle tanımlamasını ayrıca düzenler. Bu, log kaydının anonim bir IP ile değil, gerçek bir kullanıcı oturumu ile eşleştirilmesini gerektirir.
Zaman damgası neden zorunludur?
Zaman damgası, elektronik bir kaydın belirli bir anda var olduğunu ve sonradan değiştirilmediğini kriptografik olarak kanıtlayan elektronik mühürdür. RFC 3161 standardında sunulan zaman damgası hizmetleri, TÜBİTAK onaylı sağlayıcılar aracılığıyla Türkiye'de yaygın biçimde kullanılır.
Denetim veya adli süreçte "bu log gerçekten o tarihte mi oluşturuldu, sonradan mı eklendi?" sorusu en sık sorulan sorulardan biridir. Zaman damgasız kayıtlar bu soruya güvenilir cevap veremez; delil niteliği zayıflar.
LogonAR, tüm erişim kayıtlarını RFC 3161 uyumlu zaman damgası ile imzalar. Bu sayede kayıtlarınız hem denetim hem adli süreçte güçlü delil niteliği taşır.
Kayıtlar ne kadar süre saklanmalı?
5651 sayılı kanun ve ilgili tebliğler, trafik bilgilerinin en az iki yıl süreyle saklanmasını öngörür. Saklama süresi dolduktan sonra kayıtlar güvenli biçimde imha edilmelidir. KVKK ile birlikte değerlendirildiğinde, kişisel veri niteliğindeki log bilgileri yalnızca yasal yükümlülük kapsamında işlenmeli ve amacı dışında kullanılmamalıdır.
Saklama süresince kayıtların bütünlüğü korunmalı, yetkisiz erişime karşı şifreleme ve erişim kontrolü uygulanmalıdır. Bulut veya yerel sunucu fark etmeksizin, işletme değişse bile kayıtların devamlılığı sağlanmalıdır.
Denetim anında yetkili merciler talep ettiğinde kayıtların belirli formatta ve sürede sunulabilmesi işletmenin uyum kapasitesinin göstergesidir. Manuel hazırlanan raporlar gecikme ve hata riski taşır; otomatik denetim raporu üreten sistemler bu riski azaltır.
Yaptırımlar ve uyum stratejisi
Yükümlülüklere uymayan işletmelere mülki amir tarafından kademeli yaptırım uygulanır: yazılı uyarı, üç güne kadar işyeri kapatma ve idari para cezası. 2026 itibarıyla para cezası alt sınırı yeniden değerleme ile yaklaşık 20.000 TL seviyesine ulaşmıştır. Para cezasından daha kritik riskler, işyerinin mühürlenmesi ve ağınızdan işlenen suçta kayıt sunamamanın doğurduğu adli sorumluluktur.
Uyum stratejisinin temeli sürekliliktir: loglama bir kez kurulup unutulmamalı, cihaz arızası veya disk dolması durumunda sistem otomatik uyarı vermelidir. Donanım tabanlı tek nokta arızası yerine izlenen ve yedekli bulut altyapısı tercih edilmelidir.
LogonAR abonelik modeli, cihaz yatırımı olmadan 5651 uyumunu sürekli hale getirir: kurulum dahil aylık abonelik, otomatik güncellemeler, 7/24 izleme ve tek tıkla denetim raporu. İşletmenizin segmentine özel çözüm için /5651 sayfamızı inceleyebilir veya ücretsiz keşif talep edebilirsiniz.
5651 ile KVKK arasındaki ilişki
5651 kapsamında tutulan log kayıtları kişisel veri niteliği taşır: IP adresi, MAC adresi, telefon numarası ve erişim zamanları doğrudan veya dolaylı olarak kişiyi tanımlayabilir. Bu nedenle loglama yükümlülüğü KVKK ile çatışmaz; kanuni yükümlülük kapsamında veri işleme meşru bir dayanağa sahiptir.
Ancak meşru dayanak, sınırsız veri kullanımı anlamına gelmez. Log verileri yalnızca yasal saklama ve talep halinde yetkili mercilere sunma amacıyla işlenmelidir. Pazarlama listesi oluşturmak, misafir profili çıkarmak veya üçüncü taraflarla paylaşmak KVKK ihlali doğurur.
LogonAR, veri minimizasyonu ilkesine uygun çalışır: yalnızca mevzuatın gerektirdiği alanlar kaydedilir, saklama süresi dolduğunda kayıtlar güvenli imha edilir. Aydınlatma metni ve açık rıza süreçleri LegalModal üzerinden işletmenize entegre edilebilir.
İSS ile toplu kullanım sağlayıcı farkı
Sık yapılan bir karışıklık: "Zaten Turkcell/Vodafone/Türk Telekom abonesiyim, onlar log tutuyor" düşüncesi. İnternet servis sağlayıcısı (İSS), hat seviyesinde trafik bilgisi tutar; ancak işletmenizdeki misafir veya müşteri ağına kimin bağlandığını İSS bilmez. Toplu kullanım sağlayıcısı sizsiniz; son kullanıcıya erişimi sunduğunuz noktada kayıt tutma yükümlülüğü size aittir.
Örneğin bir kafede müşterilere Wi-Fi şifresi veriyorsanız, o ağdaki her oturum sizin sorumluluğunuzdadır. İSS'nin kayıtları işletmenizin iç ağını çözmez. Denetim yazısı işletme adına gelir; cevap vermek zorunda olan taraf sizsiniz.
Doğru model: İSS hattı + işletme içi hotspot/loglama katmanı. LogonAR bu ikinci katmanı sağlar; ISS altyapınıza dokunmadan misafir ağını yasal hale getirir.
Denetim sürecinde ne olur?
Denetim genellikle mülki amirlik veya BTK kaynaklı yazı ile başlar. Belirli bir tarih aralığında, belirli bir IP veya kullanıcı oturumuna ait kayıtlar istenir. İşletmenin makul sürede, doğru formatta ve bütünlüğü korunmuş kayıtları sunması beklenir.
Kayıt sunulamazsa veya güvenilir bulunmazsa süreç kademeli yaptırıma gider. Adli soruşturma kapsamında ise kayıt sunamama, işletme sahibi veya yetkililer hakkında ayrıca soruşturma açılmasına yol açabilir. "Modem logu vardı ama silindi" savunması genellikle kabul görmez.
Proaktif uyum, reaktif kriz yönetiminden çok daha ucuzdur. LogonAR denetim raporu ile talep edilen aralıktaki kayıtları saatler içinde değil, dakikalar içinde hazırlayabilirsiniz.
Sektörlere göre tipik senaryolar
Otel ve pansiyonlarda misafir Wi-Fi en yoğun trafik kaynağıdır; sezonluk dalgalanma ve çok lokasyonlu yapılar özel dikkat gerektirir. Detaylı rehber: otelde misafir Wi-Fi yasal yükümlülükler makalesi.
Kafe ve restoranlarda kısa süreli oturumlar, günde yüzlerce farklı cihaz demektir. SMS doğrulama hem yönetmelik gereği hem de kişi-oturum eşleştirmesi için zorunludur. /5651/kafe sayfasında segmente özel çözümü inceleyebilirsiniz.
Site, yurt ve fabrika senaryolarında ortak nokta süreklilik ve merkezi yönetimdir. Yurtlarda öğrenci kimlik doğrulama; sitelerde sakin/ziyaretçi ayrımı; fabrikalarda ziyaretçi ve personel ağları ayrı loglanmalıdır. Modem logu hiçbirinde yeterli değildir — konuyla ilgili ayrı rehberimizi okuyun.
Uyum kontrol listesi
İşletmenizin 5651 uyumunu hızlıca değerlendirmek için şu soruları yanıtlayın: Misafir veya müşteriye internet erişimi sunuyor musunuz? Kayıtlar kimlik doğrulama ile eşleştiriliyor mu? Zaman damgası var mı? En az iki yıl saklanıyor mu? Denetim talebinde rapor üretebiliyor musunuz? Sistem 7/24 izleniyor mu?
Bu sorulardan herhangi birine "hayır" veya "emin değilim" diyorsanız uyum eksiktir. "Modem logu var" cevabı çoğu işletme için yeterli değildir; ayrıntılar için modem logu rehberimize bakın.
LogonAR keşif görüşmesinde bu kontrol listesi birlikte doldurulur; eksik maddeler için somut çözüm planı sunulur. Kurulum çoğu işletmede aynı gün tamamlanır; cihaz yatırımı gerekmez.
5651 uyumu bir kerelik proje değil, sürekli operasyondur. Personel değişse, modem değişse veya yeni bir şube açsanız bile loglama kesintisiz devam etmelidir. Abonelik modeli bu sürekliliği garanti altına alır.
Yasal metinler zaman içinde güncellenir; yeniden değerleme oranları değişir, yönetmelik tebliğleri revize olur. [DOĞRULA: Resmi Gazete ve BTK duyuruları periyodik takip edilmelidir.] LogonAR aboneleri mevzuat değişikliklerinden otomatik güncellemelerle haberdar edilir.