İfade Özgürlüğü Derneği (İFÖD), Siber Güvenlik Kanunu teklifi hakkında kamuoyunu uyardı: “Bu teklif, yalnızca ‘Orwellian’ bir yaklaşımı çağrıştırmakla kalmayıp, bireylerin hak ve özgürlüklerini doğrudan kısıtlayabilecek düzenlemeler içermekte.”
Siber Güvenlik Kanunu Teklifi, TBMM Milli Savunma Komisyonu’nda kabul edilerek Meclis’e geldi.
İFÖD, söz konusu teklifte hak ve özgürlüklerin tehlikede olduğunu belirtti. Derneğin dikkat çektiği noktalara göre suç ve cezalar, görevler belirsiz. Ayrıca kişisel mahremiyet de tehlikede.
Diğer yandan keyfi uygulamaların önünü açacak olan ‘algı üzerinden suçlama’ maddesi de kaygılandırıcı: “Teklif edilen Yasanın 16’ncı maddenin 5’inci fıkrası, ‘Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bu yönde algı oluşturmak suretiyle kurumları veya şahısları hedef almaya yönelik faaliyet yürütenlere iki yıldan beş yıla kadar hapis cezası verilir’ hükmünü içermektedir.”
İFÖD’ün açıklaması şöyle:
* Siber güvenliğin güçlendirilmesi hedefiyle sunulan bu teklif, yalnızca ‘Orwellian‘ bir yaklaşımı çağrıştırmakla kalmayıp, bireylerin hak ve özgürlüklerini doğrudan kısıtlayabilecek düzenlemeler içermekte.
* Tasarı, belirsiz kavramlar getirerek, kurulacak Siber Güvenlik Başkanlığı’na aşırı geniş ve denetimsiz yetkiler tanımakta, bu yetkilerin kullanımı kapsamında kişi ve kuruluşlara orantısız adli ve idari yaptırımlar öngörmekte.
* Temel hak ve özgürlüklerin korunması adına, teklifin mevcut haliyle kabul edilmesi mümkün değil; derinlemesine gözden geçirilmesi ya da tamamen geri çekilmesi zorunlu.
Yasallık ilkesinin ağır ihlali
Kurumsal Belirsizlik
* Siber Güvenlik Kanunu Teklifi, kapsamı ve kurduğu Siber Güvenlik Başkanlığı’nın yetkileri açısından ciddi belirsizlikler içermekte. Yasa teklifi, Türk hukukunda daha önce tanımlanmamış olan ‘kritik altyapı’ ve ‘kritik kamu hizmeti’ gibi soyut kavramları ilk kez kapsamına almaktadır. Ancak, Yasada bu kavramların içeriği açık bir şekilde belirtilmemiş, 5’nci madde ile bu belirleme yetkisi doğrudan başkanlığa bırakılmıştır.
* Bu durum, yasama yetkisinin idareye devri anlamına gelmekte ve başkanlığın keyfi olarak özerk olması gereken üniversiteler, bağımsız idari otoriteler gibi kurumları kritik altyapı ilan etmesinin önünü açmakta. Böyle bir tanımlama, özerk olması gereken kurumların tüm faaliyetlerini Başkanlığın denetimi altına alabilir ve işbirliği yapmayanlara 16’ncı madde uyarınca ağır yaptırımlar uygulanmasına neden olabilir.
* Yasadaki belirsizlik, yalnızca bu kavramlarla da sınırlı değildir. Öngörülen kurumsal yapı da Anayasa’nın 123’üncü maddesinde güvence altına alınan kanuni idare ilkesine aykırı. Bu maddeye göre kurulacak bir idarenin şeklen yasayla kurulmuş olması yeterli değildir, idarenin yapısının maddi olarak da yasayla belirlenmesi gerekir.
* Anayasa Mahkemesi’nin belirttiği gibi “Anayasanın 123’üncü maddesinde yer alan idarenin kanuniliği ilkesi, yasamanın, bir alanı temel ilkeleriyle belirlemesi, düzenlemesi; ondan sonra da, yürütmenin, bu çerçevesi çizilmiş alanda düzenleyici birtakım işlemler yapabilmesini gerektirir. Anayasanın 7’nci maddesine göre yasama yetkisi Türkiye Büyük Millet Meclisi’nindir ve bu yetki devredilemez.” (AYM, E: 2011/149, K: 2012/187, K.T.: 22.11.2012)
* Ancak Siber Güvenlik Kanun Teklifi bu ilkeyi de tümüyle göz ardı etmekte. Örneğin, yasa metninde adı geçen ‘SOME’ (Siber Olaylara Müdahale Ekibi) isimli birimle ilgili herhangi bir açıklama bulunmamakta. 5’inci maddeye göre SOME’ler başkanlık tarafından kurulup denetlenecektir. Bununla birlikte SOME’lerin kimlerden oluşacağı, yetkilerinin ne olduğu ve burada çalışacak kişilerin seçiminin nasıl yapılacağı belirsiz.
* 6’ncı madde, bu tür detayların cumhurbaşkanlığı tarafından çıkarılacak bir yönetmelikle belirleneceğini ifade etmektedir. Ancak, yasanın kendisinin sınırlarını çizmediği bir konuda cumhurbaşkanlığı yönetmeliğiyle düzenleme yapılması Anayasa’nın yasallık ilkesine aykırıdır.
* Bu belirsizlikler, yalnızca hukuki öngörülebilirliği zedelemekle kalmamakta, aynı zamanda bireylerin haklarını keyfi müdahalelere karşı savunmasız bırakmakta. Yasa kapsamındaki soyut ve belirsiz yetkiler, temel hak ve özgürlükleri ciddi bir şekilde tehdit etmekte.
Suç ve cezaların belirsizliği
* Siber Güvenlik Kanunu Teklifindeki belirsizlik sadece kurumsal yapı ve görevler açısından söz konusu değil. Yasanın yeni ihdas ettiği suç ve cezalar da yasallık ilkesini ihlal etmekte.
Suç ve cezaların yasallığı ilkesinin ihlalinin doğrudan kişi özgürlüğünü kısıtlama potansiyeli nedeniyle daha da ağır sonuçları var.
Teklifin 16’ncı ve 17’nci maddelerinde yer alan ağır cezalar, yalnızca kişisel hakları değil, aynı zamanda temel anayasal güvenceleri de tehdit etmekte.
* Anayasa Mahkemesinin bir çok kararında ifade ettiği gibi suç ve cezaların kanuniliği ilkesi, genel olarak bütün hak ve özgürlüklerin düzenlenmesinde temel bir güvence oluşturmanın yanı sıra suç ve cezaların belirlenmesi bakımından özel bir anlam ve önem taşımakta; bu kapsamda kişilerin kanunen yasaklanmamış veya yaptırıma bağlanmamış fiillerden dolayı keyfî bir şekilde suçlanmaları ve cezalandırılmaları önlenmekte; buna ek olarak suçlanan kişinin lehine olan düzenlemelerin geriye etkili olarak uygulanması sağlanmakta.
* Özellikle yetki alanı tanımlanmamış denetim mercilerinin talimatlarına uymayan bireylerin cezalandırılmasını öngören maddeler, keyfi uygulamalara kapı aralamakta. Ayrıca, yasa kapsamında belirlenen cezaların ölçüsüzlüğü, hukuk devleti ilkesine aykırılık teşkil etmekte ve bireylerin temel haklarını ağır şekilde ihlal etme riski taşımakta.
Görevlerinin belirsizliği
* Yakın tarihte cumhurbaşkanlığı kararnamesiyle kurulan ve yasa teklifiyle geniş yetkilerle donatılması planlanan Siber Güvenlik Başkanlığı, özel hayatın gizliliği ve kişisel verilerin korunması açısından ciddi bir tehdit oluşturmakta. Her ne kadar yasa teklifinin amacı, siber güvenliği güçlendirmek ve kritik altyapıyı korumak olarak ifade edilse de, 6’ncı maddede tanımlanan yetkiler, yasal güvenceden yoksun, keyfi uygulamalara yol açabilecek ve denetlenemeyen bir sistem öngörülmekte.
Hakim onayı olmaksızın her türlü bilgiye erişim yetkisi: Kişisel mahremiyet tehlikede
* Yasa teklifinin 6’ncı maddesinin birinci paragrafının (b), (ç), ve (d) bentleri, Siber Güvenlik Başkanlığına sınırsız bir erişim yetkisi tanımakta. Buna göre Başkanlık, ‘her türlü bilgi, belge, veri ve log kayıtlarını’ başkanlık sistemlerine aktarabilir; elektronik bilgi işlem merkezlerinden, iletişim altyapılarından ve arşivlerden sınırsız şekilde faydalanabilir. Bu düzenlemelerde hakim onayı şartı aranmamaktadır ve yasal süreçlerin nasıl işleyeceği belirsiz bırakılmıştır. Bu durum, bireylerin özel hayatına keyfi bir müdahale riskini beraberinde getirmektedir.
Kişisel verilere keyfi erişim: Denetim dışı bir güç
* Hakim onayı olmaksızın bilgiye erişim yetkisi, sadece bireylerin mahremiyetini değil, aynı zamanda kişisel verilerin güvenliğini de tehdit etmektedir. Kanunun 6’ncı maddesi, Başkanlığın hangi tür bilgilere erişim sağlayacağı konusunda herhangi bir sınır çizmemekte. Özellikle, kişisel veri barındıran bilgi ve belgelerin alınması, işlenmesi ve saklanması konularında yasal güvence eksikliği dikkat çekici. Bu belirsizlik, kişisel verilerin tamamen keyfi şekilde erişilebilir hale gelmesine zemin hazırlamakta. Bu durum, yalnızca bireylerin değil, aynı zamanda sivil toplum kuruluşları, basın kuruluşları ve özel sektör şirketlerinin de veri güvenliğini tehlikeye atmakta.
Anayasa Mahkemesi’nin içtihatlarına aykırı
Yasa teklifinin 6(1)(ç) maddesinde ‘elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilir ve çalışma süresi sonrasında imha edilir’ ve 6(2) maddesinde de ‘bu kanun uyarınca yürütülen iş ve işlemler kapsamında kişisel veriler; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenir’ denilmiştir. Fakat teklif edilen yasa metninde başkanlık tarafından elde edilecek bilgi ve belgelerle ilgili yasal güvenceler yer almamaktadır.
* Anayasa’nın 13’üncü ve 20’inci maddeleri uyarınca kişisel verilerin korunmasını isteme hakkını sınırlamaya yönelik kanuni bir düzenlemenin şeklen var olması yeterli olmayıp yasal kuralların keyfiliğe izin vermeyecek şekilde belirli ve öngörülebilir düzenlemeler niteliğinde olması gerekir.
Anayasa Mahkemesi, 5651 Sayılı Kanununda yer alan benzer yetkileri iptal etmiştir
* Anayasa Mahkemesi, öncelikle “Trafik bilgisi Telekomünikasyon İletişim Başkanlığı tarafından ilgili işletmecilerden temin edilirve hâkim tarafından karar verilmesi hâlinde ilgili mercilere verilir” hükmünü iptal etmiş (AYM, E. 2014/149, K. 2014/151, 02.10.2014)arkasından da “Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle” ilgili hükmü de Anayasa’ya aykırı bulmuş ve iptal etmiştir (AYM, E. 2014/87, K. 2015/112, 08.12.2015).
* Anayasa Mahkemesi bu kararlarında, belirli ve öngörülebilir olmayan düzenlemelerin kişisel verilerin korunması hakkını ölçüsüzce sınırlandırmakta olduğunu ve Anayasa’nın 20’nci maddesine aykırılık teşkil ettiğini tespit edilmiştir. Mahkeme, trafik bilgisi adı altında temin edilecek olan bilgilerin birçok temel hakla doğrudan ilgili olup bu bilgilerin BTK tarafından herhangi bir kurala ve sınırlamaya tabi olmaksızın istenildiği zaman ve şekilde elde edilebilir olmasını temel hak ve özgürlüklerin korunması bakımından sorunlu bulmuş ve keyfiyete izin verdiğini belirtmiştir.
Hak arama hürriyetine müdahale
* Benzer bir durum şimdi de Siber Güvenlik Başkanlığına verilen yetkiler bakımından da söz konusudur. Başkanlığın tamamen keyfi olarak tüm işletmelerden temin edebileceği, talep edilecek olan bilgilerin mahiyetinin belirsiz olduğu ve kişisel verileri de içerecek nitelikteki her türlü bilgi ve belge nedeniyle zarar görecek kişilerin Başkanlığın bilinmeyen ve hakim onayı şartı aranmayan kararlarına karşı hukuki yollara başvurması, itiraz etmesi mümkün olmadığı gibi, özel hayata müdahaleye sebep olacak bu uygulamanın hak arama hürriyetini ortadan kaldırmasının ötesinde, Anayasanın 40’ncı Maddesi ve Avrupa İnsan Hakları Sözleşmesi’nin 13’üncü Maddesinde öngörülen etkili başvuru yolunu kullanılamaz hale getireceği açıktır.
Siber Güvenlik Başkanlığı ve bağımsız demokratik denetim gerekliliği
* Teklif, Başkanlığa geniş yetkiler tanımasına rağmen bu yetkilerin kullanımıyla ilgili herhangi bir bağımsız denetim mekanizması öngörmemektedir. Başkanlığın keyfi işlemleriyle zarar görecek bireyler için etkili bir denetim veya başvuru mekanizması da bulunmamakta. Bu eksiklik, teklifin temel hak ve özgürlükleri koruma konusundaki güvenilirliğini tamamen ortadan kaldırmakta.
* Açıklamak gerekirse, Başkanlığa teslim edilecek kişisel bilgi ve verilerin ‘iki yıl sonra‘ imha edileceği belirtilmiş fakat imha edilip, edilmeyeceği hususunda herhangi bir yasal güvence sunulmamış, bu konuda ihmali veya kusuru olanlar ve dolayısıyla Başkanlık personeli açısından herhangi bir ceza veya yaptırım öngörülmemiş, Başkanlığın da bağımsız bir şekilde denetlenmesi de Yasa teklifinde öngörülmemiştir. Bu hususun yargısal denetimi de neredeyse imkansızdır.
* Bir başka deyişle, Yasada herhangi bir bağımsız denetim mekanizması öngörülmemiş, kişisel verilerin korunmasına ilişkin genel ifadeler belirsiz ve öngörülemez bir çerçevede sunulmuştur. Dolayısıyla, denetim mekanizmalarının tamamen eksikliği, bu tür geniş yetkilerin keyfi kullanımına kapı aralamaktadır.
İfade özgürlüğüne tehdit: Belirsiz, keyfi ve baskıcı düzenlemeler
* Siber Güvenlik Kanunu Teklifi, yalnızca kişisel verilerin korunması ve özel hayatın gizliliği konularında değil, aynı zamanda ifade özgürlüğü üzerinde ciddi kısıtlamalar yaratabilecek hükümler içermektedir.
* Yukarıda açıklandığı üzere yasadaki hükümler hangi eylemlerin suç olarak düzenlendiğini açık bir şekilde tarif etmediği için öncellikle yasallık ilkesine aykırıdır. Ancak bunun yanında ilgili kuralların ayrıca Anayasa’da korunan temel hak ve özgürlükleri ciddi anlamda tehdit etmektedir. Teklifin, özellikle 16’ncı maddesinin 5’inci fıkrası, ifade özgürlüğüne yönelik yeni bir tehdit unsuru oluşturmakta ve belirsizliklerle dolu, keyfiyete açık bir düzenleme sunmaktadır.
Algı üzerinden suçlama: Keyfi ve belirsiz tanımlamalar
* Teklif edilen Yasanın 16’ncı maddenin 5’inci fıkrası, “Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bu yönde algı oluşturmak suretiyle kurumları veya şahısları hedef almaya yönelik faaliyet yürütenlere iki yıldan beş yıla kadar hapis cezası verilir” hükmünü içermektedir.
* Ancak, ‘algı oluşturmak’ gibi soyut ve yoruma açık bir fiilin tanımlanmamış olması, yasanın uygulanmasında keyfiyete zemin hazırlamaktadır. Söz konusu hüküm, Milli Savunma Komisyonu’nunda şu şekilde değiştirilmiştir: “Siber uzayda veri sızıntısı olmadığı halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef almak amacıyla veri sızıntısı yapılmış gibi içerik oluşturanlara veya bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilecek” şeklinde değiştirilmiştir. Ancak bu değişiklik, yasa metninin belirsizliklerini gidermek yerine, daha önce büyük eleştirilere hedef olan Türk Ceza Kanunu’nun 217/A maddesindeki ‘Halkı yanıltıcı bilgiyi alenen yayma suçu‘ ve yasalaşmayan ‘etki ajanlığı’ suçlarıyla benzer sorunları yeniden gündeme taşımaktadır.
* Bu tür belirsiz ve geniş tanımlamalar, ifade özgürlüğünü doğrudan tehdit etmekle kalmayıp, bireylerin ve kurumların eleştiri yapma cesaretini de kırmaktadır. Özellikle gazeteciler, sivil toplum kuruluşları ve insan hakları savunucuları gibi toplumun demokratik denetim işlevini yerine getiren gruplar üzerinde caydırıcı bir etki yaratacağı açıktır.
* Eleştirel görüşlerin ve kamuyu bilgilendirme hakkının keyfi cezalandırılma riskiyle karşı karşıya kalması, bu düzenlemeyi demokratik bir hukuk devleti anlayışıyla bağdaştırmayı imkânsız hale getirmektedir. Bu nedenle, bu tür düzenlemelerin, ‘hassas‘ olarak nitelendirilen konularda eleştirel görüşlerin susturulması için bir araç haline dönüşme riski son derece yüksektir. Bu bağlamda, siber güvenlikle ilgili kamuoyunu yakından ilgilendiren veri sızıntısı veya veri ihlali iddiaları ve paylaşımları hedef alınabilir, bireylerin özgürce ifade hakkını kullanmaları engellenebilir ve veri ihlali iddialarını bildiren kişiler ağır cezalar öngören bu suçtan yargılanabilir.
Sonuç: Temel hakların korunması için acil gözden geçirme zorunluluğu
* Siber Güvenlik Kanunu Teklifi, siber güvenliğin sağlanmasını hedefleyen bir düzenleme olarak temel hak ve özgürlüklerin korunmasıyla uyumlu olmak zorundadır. Ancak, teklifin mevcut hali, ifade özgürlüğü, kişisel verilerin korunması ve özel hayatın gizliliği gibi demokratik toplumun temel değerlerini ciddi şekilde tehlikeye atmaktadır. Yasa teklifinin içerdiği belirsiz ve keyfi düzenlemeler, yasal güvencelerden yoksun yetkiler ve bağımsız denetim mekanizmalarının eksikliği, bireylerin haklarını derinden zedeleyebilecek niteliktedir.
Bu bağlamda, İfade Özgürlüğü Derneği olarak aşağıdaki hususları vurguluyoruz:
- Yasa teklifi geri çekilmeli ve kapsamlı bir şekilde yeniden ele alınmalıdır. Düzenlemeler, ulusal ve uluslararası hukuka uygun hale getirilmelidir.
- Kurumlar, suçlar ve görevler belirsizlikten arındırılmalıdır. Yasanın kapsamına giren her türlü yetki ve tanım, Anayasa’nın öngördüğü şekilde öngörülebilir, belirli ve keyfiyete yer bırakmayacak bir biçimde düzenlenmelidir.
- Temel hak ve özgürlükleri sınırlandıran hükümlerde güçlü güvenceler sağlanmalıdır. Özellikle ifade özgürlüğü ve özel hayatın korunması hakkı başta olmak üzere, temel hakları sınırlandıran hükümlerde hakim onayı şartı, bağımsız denetim mekanizmaları ve kişisel verilerin korunmasına yönelik güvenceler açık ve net bir şekilde ifade edilmelidir.
- Siber güvenliğin güçlendirilmesi adına atılacak adımlar, ifade özgürlüğünü ve diğer temel hakları ihlal etmeyecek şekilde düzenlenmelidir.
Sonuç olarak, bu teklifin mevcut haliyle yasalaşması, demokratik toplum düzenine ve temel insan haklarına ciddi bir tehdit oluşturacaktır.
