Muhalefet milletvekillerinin “Siber Güvenlik” kavramı altında ifade özgürlüğünün önünün kesilmesinin amaçlandığına yönelik eleştirileri kabul edilmedi. Siber Güvenlik Kurumu Başkanına denetim dışı yargıç yetkileri kullanma gücü veren yasa iktidar oylarıyla geçti.
İfade özgürlüğü savunucularının, habercilerin ve hukukçuların sert eleştirilerine karşın AKP’nin hazırlayarak TBMM’ye getirdiği Siber Güvenlik Kanun Teklifi üzerindeki son görüşmeler çarşamba gece yarısı tamamlandı ve 21 Maddelik yasa TBMM Genel Kurulunda 102’ye karşı 246 oyla kabul edildi.
Yasada öne çıkan maddeler
▶ Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara 8 yıldan 12 yıla kadar hapis cezası verilecek
▶ Yetkili mercilerin ve denetim görevlilerinin istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak
▶ Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar hapis cezası verilecek.
Eleştiriler karşısında yapılan değişiklikler
Kanun teklifinde Siber Güvenlik Kurulu Başkanı’na arama, kopya çıkarma ve el koyma yetkisini düzenleyen ifade, verilen önerge kapsamında kanun metninden çıkarıldı.
Teklifin tartışmalı maddelerinden 16’ncı maddenin en tartışılan 5’inci fıkrasındaki “veri sızıntısı” ibaresi AKP’nin önergesiyle “siber güvenlikle ilgili veri sızıntısı” olarak değiştirildi ve şu şekilde kabul edildi:
“Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.”
16’ncı maddenin 3’üncü fıkrasında yer alan “veya bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara” ibaresi metinden çıkarıldı. 9’uncu fıkrada yer alan “kritik” ibaresinin öncesine “Bu kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya” ibaresi yerleştirildi ve 11’inci fıkrasında yer alan “yüzde 1’i ile vergi öncesi kârının yüzde 20’sinden yüksek olanına” ibaresi, “yüzde 5’ine” şeklinde değiştirildi.
Eleştiriler
İfade Özgürlüğü Derneği, Yasa Teklifinin açıklanmasından sonra yaptığı değerlendirmede teklifi Yasallık ilkesinin ağır ihlali, Kurumsal belirsizlik, Suç ve cezaların belirsizliği, Başkanlığın görevlerinin belirsizliği ve bu belirsizliğin ifadesi olarak, Özel hayatın gizliliği ve kişisel veriler tehlike altında, Hakim onayı olmaksızın her türlü bilgiye erişim yetkisi: kişisel mahremiyet tehlikede, Kişisel verilere keyfi erişim: denetim dışı bir güç, Anayasa mahkemesi’nin içtihatlarına aykırılık, Hak arama hürriyetine müdahale, Bağımsız demokratik denetim gerekliliği, İfade özgürlüğüne tehdit: belirsiz, keyfi ve baskıcı düzenlemeler, Algı üzerinden suçlama: keyfi ve belirsiz tanımlamalar başlıkları altında eleştirmiş ve şu önerilerde bulunmuştu:
1. Yasa teklifi geri çekilmeli ve kapsamlı bir şekilde yeniden ele alınmalıdır. Düzenlemeler, ulusal ve uluslararası hukuka uygun hale getirilmelidir.
2. Kurumlar, suçlar ve görevler belirsizlikten arındırılmalıdır. Yasanın kapsamına giren her türlü yetki ve tanım, Anayasa’nın öngördüğü şekilde öngörülebilir, belirli ve keyfiyete yer bırakmayacak bir biçimde düzenlenmelidir.
3. Temel hak ve özgürlükleri sınırlandıran hükümlerde güçlü güvenceler sağlanmalıdır. Özellikle ifade özgürlüğü ve özel hayatın korunması hakkı başta olmak üzere, temel hakları sınırlandıran hükümlerde hakim onayı şartı, bağımsız denetim mekanizmaları ve kişisel verilerin korunmasına yönelik güvenceler açık ve net bir şekilde ifade edilmelidir.
4. Siber güvenliğin güçlendirilmesi adına atılacak adımlar, ifade özgürlüğünü ve diğer temel hakları ihlal etmeyecek şekilde düzenlenmelidir.
Son uyarılar: “AYM’den dönecek!”
Yasa Teklifinin TBMM Genel Kurulunda tartışılması sırasında benzer eleştiriler dile getirilse de eleştirilere birkaç değişiklik önergesiyle verilen yanıtların genellikle eleştirileri karşılamadığı muhalefet milletvekillerince ifade edildi.
Kanun Teklifi üzerine son konuşmayı yapan CHP Çanakkale Milletvekili Özgür Ceylan, üzerinde en çok durulan eleştirileri özetledi.
“Kanun teklifinde maalesef ki kabul edemediğimiz pek çok önemli konu var. Örneğin, kritik altyapı tanımı; bunu defalarca tartıştık. Kritik altyapının tanımlanması, neyin kritik altyapı olduğu, el konulabilecek şeylerin ne olduğu Cumhurbaşkanlığının başkanlığındaki bir kurula bırakılmış.
“Değerli AKP milletvekilleri, bu millet sizlere güvenmiyor; kritik altyapının ne olacağını güzelce tarif etmemiz gerekiyordu, etmedik, burada inisiyatifine bıraktık, bu çok önemli bir konu, kritik altyapının tanımlanması gerekirdi, maalesef ki tanımlanmadı.
“Bir önemli konu da bu kanun teklifinde denetimle ilgili hiçbir şey yok. ‘Devlet Denetleme Kurulu denetler’ deniliyor ama Devlet Denetleme Kurulunun denetlemesi yeterli değildir. Başlı başına bütçesi olan, personeli olan, çok önemsediğimiz bir kurumun denetim mekanizmasının da bu kanun teklifinde oluşturulması gerekiyor. Cezayı getirmeyi düşünüyorsunuz ama denetlemeyi getirmeyi düşünmüyorsunuz, bir AKP klasiği, denetlenmek istemiyorsunuz, ne yaparsak yapalım olsun istiyorsunuz. Maalesef ki, böyle bir yasa anlayışı olamaz, gerçekleştirilemez.
“Madde 8’de Başkana arama, el koyma yetkisi vardı. Bu yetkiyi görüşerek kaldırdık, teşekkür ediyoruz ama 6 ve 7’nci maddelerdeki görev tanımı ve sorumluluklarda hâlâ bu duruyor. Yani bu anlamda, burada, 8’inci maddeden kaldırılan Başkanın yetkileri 6 ve 7’nci maddelerde hâlâ tanımlanmış hâlde duruyor. Bu bile başlı başına bir garabet, Anayasa Mahkemesinden dönecek bir konu. Bürokrasi bunu kötü niyetli olarak kullanabilir, o zaman 8’inci maddede yaptığımız değişikliğin hiçbir anlamı kalmayacaktır. Bunun için 6 ve 7’nci maddelerde defalarca gerekli düzeltmenin yapılmasını söyledik ama netice alamadık.
“Madde 16’da ‘veri sızdırılmadığı hâlde sızdırılmış gibi davranmak’ diye bir suç uydurmuşsunuz ve bunun ceza hükmünü getirmişsiniz. Bakın, biz ‘Siber güvenlik önemli bir konu, bu konuda ülkemizde alınacak her türlü adımı destekliyoruz.’ dedik ama burada getirdiğiniz suç zaten TCK’da düzenlenmiş. Siz bununla yetinmeyip bunu daha da geliştirerek, daha da farklılaştırarak, daha da insanların konuşmasını, basının konuşmasını, temel hak ve özgürlükleri kısıtlayacak seviyeye getirecek şekilde maalesef ki getirmişsiniz ve ceza hükmünü de getirmişsiniz. Bu kanun teklifinden bu maddenin çıkarılması gerekirdi ama maalesef ki bunda da başarılı olamadık. Bu da bu şekilde geçtiğinde inanın ki bir sansür mekanizması olarak toplumun üzerinde, barışın üzerinde, insan hak ve özgürlüklerinin üzerinde bir giyotin gibi sallanacaktır.”
Siber Güvenlik Başkanlığında çalışacakların özgürlükleri kısıtlanıyor
Anadolu Ajansının haberine göre, bu kanunla, Siber Güvenlik Başkanlığında kadrolu veya sözleşmeli statüde görev yaparken herhangi bir nedenle ilişiği kesilenler, başkanlıktan muvafakat almadan 2 yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek faaliyetinde bulunamayacak ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamayacak.
Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasak olacak.
Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgi, kişisel veri, ticari sır ve bunlara ait belgeler mevzuat gereği yetkili kılınan mercilerden başkasına açıklanamayacak, gerçek ve tüzel kişilerin menfaatine kullanılamayacak.
Cezalar
Yasayla birlikte gelen yasaklar ve cezalar da şöyle:
▶ Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak.
▶ Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar hapis ve 1000 günden 2 bin güne kadar adli para cezası ile cezalandırılacak.
Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar hapis cezası verilecek.
Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara 3 yıldan 5 yıla kadar hapis cezası verilecek.
▶ Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilecek.
Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde 8 yıldan 12 yıla kadar hapis cezası verilecek. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara 10 yıldan 15 yıla kadar hapis cezası verilecek.
Bu cezalar, suçun kamu görevlisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.
Başkanlıkta görev yapanlara ilişkin yasak hükümlerine aykırı davrananlara 3 yıldan 5 yıla kadar hapis cezası verilecek.
Kanundan kaynaklanan görev ve yetkilerini kötüye kullanan veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar hapis cezası verilecek.
Bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.
Milli güvenlik ve kamu kaynaklarının verimli kullanımı amacıyla kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı veya bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemlerinin onayına ilişkin usul ve esaslar ilişkin görev ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecek.
Denetime tabi tutulanların, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almalarına ilişkin yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilecek.
Yasa ayrıca idari para cezalarının uygulanmasına ilişkin bir dizi hükmü de içeriyor.
Yurt dışına satış da izne tabi
[…] Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacak. Bu usul ve esaslarda yer alacak izine tabi ürünlerin yurt dışına satışında Başkanlık onayı alınacak. Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilecek. Bu işlemler kapsamında gerçek veya tüzel kişilerin münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabi olacak. Başkanlık onayı alınmadan gerçekleştirilen işlemlerin hukuki geçerliliği olmayacak. Başkanlık, yapılacak işlemlerle ilgili kurum ve kuruluşlardan bilgi ve belge talep edebilecek. Uygulamaya ilişkin hususlar Başkanlık tarafından yayınlanacak usul ve esaslarla belirlenecek./Bianet/
