Rekabet Kurulu'nun Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuzu

Giriş

Bilindiği üzere 4054 sayılı Rekabetin Korunması Hakkında Kanun’un (“Kanun”) 15. maddesi, Rekabet Kurumu’na (“Kurum”) Kanun’un kendisine verdiği görevleri yerine getirirken gerekli görmesi durumunda teşebbüslerde yerinde incelemelerde bulunma yetkisi tanımıştır. İlgili hükme göre Rekabet Kurulu (“Kurul”) emrinde çalışan rekabet uzmanları, teşebbüs veya teşebbüs birliklerinin:

• Defterlerini, fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerini ve belgelerini inceleyebilir, bunların fiziki örneklerini alabilir,
• Belirli konularda yazılı veya sözlü açıklama isteyebilir,
• Teşebbüslerin her türlü mal varlığına ilişkin mahallinde incelemeler yapabilir.

Söz konusu hükme dayalı olarak Kurum, başta soruşturma ve önaraştırmalar olmak üzere yürüttüğü dosyalarda yerinde inceleme yapma hakkını sıklıkla kullanır. Öyle ki yerinde incelemeler, çoğu durumda teşebbüslerde kaygı yaratmakta, yerinde inceleme sırasında uzmanların hangi belge ya da cihazları inceleme yetkisine sahip olduğu konusunda tartışmalar yaşanabilmektedir. Esas itibarıyla ilgili hüküm, uzmanlara teşebbüsün her türlü bilişim sisteminde tutulan veri ve belgelerini inceleme yetkisi tanımış olsa da özellikle bu yetkinin sınırları zaman zaman tartışma konusu olmaktadır. Uygulamada rekabet uzmanları, özellikle son dönemde teşebbüs yetkililerinin bilgisayarlarının yanı sıra telefonlarını da (Whatsapp vb.) incelemekte, bu durum teşebbüs yetkililerinde endişe yaratabilmektedir.

Kurul, uygulamada gözlenen bu endişeleri de göz önünde bulundurarak yerinde inceleme yetkisinin sınırlarını somutlaştırmak amacıyla 08.10.2020 tarihli kararıyla “Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz”u (“Kılavuz”) yayınlamıştır.

Kılavuz

Kurul tarafından yayımlanan Kılavuz uyarınca yerinde incelemeler sırasında teşebbüslerin elektronik ortam ve bilişim sistemlerindeki veri ve belgelerinin incelenmesi ve muhafazasına ilişkin genel esaslar belirlenmiştir. Bu kapsamda yerinde incelemelerde dijital verilerin incelenmesi sürecine ilişkin Kılavuz ile belirlenen usul ve esaslar aşağıdaki gibidir:

İnceleme Yetkisi

Kurum uzmanları, teşebbüse ait her türlü dijital veriyi bulunduran sunucu, masaüstü/dizüstü bilgisayar, taşınabilir cihaz gibi bilişim sistemleri ile CD, DVD, USB, harici hard disk, yedekleme kayıtları, bulut servisleri gibi depolama araçları gibi ortamlarda inceleme yapmaya yetkilidir. Böylelikle uzmanların yalnızca bilgisayar incelemesi ile sınırlı kalmayacağı, teşebbüslerin sunucu ve diğer tüm arşivlerini ve yedeklerini de inceleyebileceği açıklığa kavuşmuştur. Bunun da ötesinde, bulut servislerinin dahi incelemenin konusu olacağı açıkça ifade edilmiştir.

Yerinde incelemelerde, rekabet uzmanlarının bilişim uzmanı desteği ile çalıştığı zaten bilinmektedir. Bilişim uzmanları, teşebbüslerin sunucularında tarama yapmakta, silinen belgelerin dahi geri getirilmesi mümkün olmaktadır. Bazen bilişim uzmanlarının sunucuya erişimleri noktasında teşebbüs yetkililerince itirazlar olabilmektedir. Özellikle uluslararası şirketlerin yurt dışında depolanan verilerine ve bulut hizmetlerine erişimde inceleme taleplerine karşı çıkılabildiği bilinmektedir. Kılavuz, yerinde inceleme gerçekleştiren uzmanların tüm bu kaynakları inceleme yetkisi bulunduğunu pekiştirmektedir.

Bu kapsamda Kılavuz uyarınca teşebbüs yetkilileri, kullanılan bilişim teknolojileriyle ilgili yazılım ve donanımlar hakkında bilgi vermek, sistem yöneticisi yetkilerini sağlamak, teşebbüs çalışanlarının e-posta hesaplarına uzaktan erişim hakkı tanımak, bilgisayar ve sunucuları ağ ortamından izole etmek, kullanıcıların kurumsal hesaplarına erişimlerini sınırlandırmak, yedeklenmiş kurumsal verileri geri yüklemek gibi hususlarda yükümlülük altına alınmıştır.

Cep Telefonları

Cep telefonu, tablet gibi taşınabilir iletişim cihazları öncelikle teşebbüse ait dijital veri içerip içermediğine ilişkin olarak gözden geçirilir. Tümüyle şahsi kullanıma özgü olduğu tespit edilen taşınabilir iletişim cihazları inceleme konusu yapılmaz. Teşebbüse ait veri içerdiği tespit edilen taşınabilir iletişim cihazları ise adli bilişim araçları vasıtasıyla teşebbüs yerleşkesinde incelenir.

Diğer bir ifadeyle Kılavuz, uzmanların cep telefonlarını inceleme yetkisi bulunduğu konusunu açıklığa kavuşturur; teşebbüs yetkililerinin şirket telefonları incelemeye konu olacak, şahsi telefonlar ise tümüyle şahsi kullanıma özgü olduğu anlaşılana kadar gözden geçirilebilecektir. Bu anlamda yalnızca şirket telefonları üzerinden değil, şahsi telefonlar üzerinden yapılan ve teşebbüs faaliyetleriyle ilgili olduğu tespit edilen yazışmaların uzmanlarca incelenmesi ve dosya kapsamında delil olarak alınması mümkün olmaktadır.

Verilerin Alınmasında Usul

İnceleme esnasında görevli Kurum uzmanlarınca gerekli görülmesi durumunda; incelenecek dijital veriler, adli bilişim yöntemleri ile kısmen veya bütün olarak ayrı veri depolayıcılarına kopyalanır. Adli bilişim yöntemleri ile kopyası alınan verilerin orijinal halleriyle birebir aynı oldukları, ‘hash’ değerleri hesaplanarak teyit edilir ve Kurum tarafından tahsis edilen ve adli bilişim yazılımı yüklü bulunan bilgisayara kopyalanır. Kopyalanan veriler, Kurum uzmanlarınca indekslenip incelenir. İnceleme sonunda gerekli görülen dijital veriler iki ayrı veri depolayıcısına kopyalanır ve kopyalardan biri teşebbüse teslim edilir. İnceleme sonunda tutanak hazırlanarak, ekinde söz konusu dijital verilerin ‘hash’ değerleri yer almak suretiyle, görevli Kurum uzmanları ve teşebbüs yetkilisi tarafından imzalanır. Söz konusu yöntem, yıllardır uygulamada kullanılmakta olan yöntemdir. Öte yandan Kılavuz’da açıkça yer verilen bu yöntemin meşruluğu da bir kez daha ortaya konulmuştur.

İncelemeye Sonradan Devam Edilmesi

İncelemenin teşebbüse ait yerleşkede tamamlanması esastır. Ancak, gerekli görülmesi durumunda incelemeye Kurum bünyesindeki adli bilişim laboratuvarında devam edilebilir. Cep telefonlarından elde edilen dijital verilerin incelenmesi her halükarda teşebbüs yerleşkesinde tamamlanır. Kurum merkezinde incelenecek dijital veriler eşdeğer kopyalar halinde hash değerleri hesaplanıp karşılaştırıldıktan sonra üç ayrı veri depolayıcısına aktarılır. Kopyalardan bir tanesi teşebbüse bırakılıp diğer iki kopya zarfa konularak Meslek Personeli tarafından mühürlenmek suretiyle fiziki güvenlik altına alınır. İlgili teşebbüs, mühürlü zarfın açılması anında ve Kurumun adli bilişim laboratuvarında devam edecek inceleme sırasında bir temsilci hazır bulundurmak üzere Kurum tarafından yazılı olarak davet edilir. Kurul tarafından gerekli görülmesi halinde, alınacak bir kararla söz konusu mühürlü zarf, açılmadan ilgili teşebbüse iade edilebilir.

Bu düzenleme ile yerinde inceleme sırasında cep telefonları hariç olmak üzere alınan verilerin daha sonra Kurum merkezinde incelenmesi de mümkün kılınır. Bu yöntem, uygulamada daha önce gözlenmemiştir; ancak Kılavuz’da yer bulması ile gelecekteki yerinde incelemelerde karşımıza çıkması muhtemeldir. Bu yöntemin Avrupa Birliği’nde de Komisyon tarafından kullanılmakta olduğu not edilmelidir.

Ticari Sırlar ve Avukat-Müvekkil Gizliliği

İnceleme sonucunda alınan dijital veriler içerisinde ticari sır niteliğinde veri bulunması halinde, 2010/3 sayılı “Dosyaya Giriş Hakkının Düzenlenmesine ve Ticari Sırların Korunmasına İlişkin Tebliğ” kapsamında işlem yapılır. Durum, mevcut uygulamada da bu şekildedir.

Son olarak, yerinde inceleme sırasında kopyalanan veriler, avukat-müvekkil gizliliği ilkesi kapsamında korumadan yararlanır. Buna göre, müvekkili ile arasında işçi-işveren ilişkisi bulunmayan bağımsız avukat ile müvekkil arasında, müvekkilin savunma hakkının kullanılması amacıyla yapılan yazışmalar mesleki ilişkiye ait kabul edilir ve avukat-müvekkil gizliliği ilkesi kapsamında korumadan yararlanır. Ancak, savunma hakkının kullanımıyla doğrudan ilgisi bulunmayan, özellikle de bir rekabet ihlaline yardım etmek veya devam eden ya da ileride işlenecek bir ihlali gizlemek gibi konularda yapılan yazışmalar anılan korumadan yararlanamaz. Kılavuz’daki söz konusu düzenleme ile Kurul’un daha önceki kararları ile belirlenen unsurlar net bir biçimde pekiştirilmiştir.

Sonuç

Kılavuz’la, Kurum tarafından gerçekleştirilen yerinde incelemelerde uzmanların sahip olduğu yetkiler ile incelemelerin sınırı daha net biçimde belirlenmiştir. Belirtmek gerekir ki, Kılavuz’da öngörülen kurallar, zaten uygulamada rastlanan ve genel olarak kabul gören durumlardır. Öte yandan Kılavuz’un yayımlanması ile birlikte bu konuya resmi bir açıklık kazandırılmıştır.

Özellikle cep telefonları ile bulut hizmetlerinde depolanan verilerin de inceleme kapsamında olduğunun düzenlenmesi önemlidir. Ayrıca, Kılavuz ile getirilen uzaktan incelemeye devam edilmesine ilişkin yöntem de yerinde inceleme usulüne yeni bir boyut katacaktır. Bu yöntemin ne sıklıkta ve nasıl uygulanacağı zaman içinde gözlemlenecektir.