.png)
Siber Güvenlik Kanunu Değerlendirme
- Paksoy
- 24 Mar
- 3 dakikada okunur
12.03.2025 tarihinde TBMM Genel Kurulunda kabul edilerek yasallaşan 7545 sayılı Siber Güvenlik Kanunu, 19.03.2025 tarihinde 32846 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Aşağıda Siber Güvenlik Kanunu değerlendirmesi yapılmıştır.
Siber Güvenlik Kanunu, kısa ve maksadını açıklar bir isim ile kanunlaşmış gibi görünmekte, ancak içeriği incelendiğinde kapsamının çok geniş olduğu görülmektedir. Örneğin Kanun’un Denetim başlıklı 8. maddesinin beşinci fıkrasında millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı veya cumhuriyet savcısının emri ile ev, iş yeri ve kamuya açık olmayan alanda arama yapılmasına, kopya çıkarılmasına ve el konulmasına izin verilmektedir.
Kanun’un 4. maddesi, siber güvenliğin sağlanmasında esas alınacak temel ilkeleri düzenlemektedir. Ancak bu ilkelerin ne şekilde yerine getirileceği ve denetimin kim tarafından nasıl yapılacağı açıklanmadığından, madde hükmü temelsiz kalarak adeta temenniler halini almıştır. Ardından idari teşkilatlanmaya ilişkin hükümler, suç ve cezalar ile idari para cezaları düzenlenmiş, toplumsal uyuma ilişkin hususlar ise çeşitli hükümler bölümünde kısaca ele alınarak geçici madde ile genel düzenleyici işlemlere bırakılmıştır. Siber güvenlik, hızlı gelişen bir alandır ve tıpkı sermaye piyasaları, suç gelirinin aklanması ve terörün finansmanının önlenmesi, sigorta ve kişisel veriler hukuku alanları gibi proaktif bir idare gerektirmektedir. Ancak kanun, sayılan alanlardaki düzenlemelerin aksine belirsiz ve eksiktir. Bu Kanun’un muhatabının sadece kamu tüzel kişileri değil, özel hukuk tüzel kişileri de olduğu düşünüldüğünde yetkilerin sınırlarının çizilmiş olması temel özgürlükler açısından çok önemlidir.
Kanun, siber güvenlik alanında yürütülecek faaliyetlerin koordinasyonunu ve takibini sağlamak amacıyla Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu’nu kurarak merkezi bir idari yapı oluşturmaktadır. Bu her ne kadar idari işlemlerde şeffaflık ve hesap verebilirlik ilkelerinin uygulanması açısından faydalı olarak değerlendirilebilecekse de Başkanlığın yetki alanının bu denli geniş oluşu hukuki güvenlik ve belirlilik ilkeleri bakımından endişe vericidir. Başkanlığın yetki alanındaki konularda yürütülen soruşturma süreçleri hakkında başka birçok suç tipi için öngörülmeyen geniş inisiyatifler öngörülmüştür. Örneğin 16. maddede Başkanlık tarafından istenen verilerin verilmemesi tek başına suç olarak düzenlenmiş ve ceza yargılaması başta olmak üzere kimsenin kendi aleyhine delil sunmaya zorlanamayacağı ilkesi göz ardı edilmiştir.
Burada dikkat çeken başka bir husus yine Başkanlık ile ilişkili, idari yetki devri ve uygulama usulleridir. Örneğin, Başkanlık yetkilerini düzenleyen altıncı madde, Başkanlık’ın verilere erişimi bakımından son derece geniş yetkiler içermektedir. Bu geniş yetki, idari şeffaflık ve hesap verebilirlik ilkeleriyle çelişmekte; keyfi uygulamalara zemin hazırlamaktadır. Örneğin Başkanlık, kanun kapsamındakilerden yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilir ve bunlarla irtibat kurabilir. Bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilir, saklayabilir, değerlendirebilir. Bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilir. Kanun’un 3. maddesine göre bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri ifade etmektedir. Sonuç olarak bilişim sistemi içermeyen hizmet sayısı sınırlıdır. Bu hususta Başkanlık eylemlerini ve yetki kullanımını denetleyen mekanizmaların kurulması elzemdir.
Kanunun geneline hâkim olan dil hakları tanımlamaktan ve kavramları netleştirmekten ziyade yasaklamak ve denetlemek üzerinedir. Ancak yasaklamalar ve denetimler anlamında da somut belirlemelerde bulunulmamıştır. Pek çok hükmün uygulama esasları ile sınırlandırmaların ilerleyen dönemlerde Başkanlık tarafından belirlenecek esaslara göre veya Cumhurbaşkanınca çıkarılacak yönetmelik ile belirleneceği öngörülmüştür. Bu durum da, hukuki belirlilik ve öngörülebilirlik ilkesini zayıflatmaktadır. Bu haliyle kanun, detaylara ilişkin düzenlemelerin yönetmelik ve Başkanlık yönergeleri ile belirlenmesinin hukuka uygun olmasını sağlayan sınırları gösteren yeterli çerçeveyi çizmemiştir. Örneğin, Kanun’un 18. maddesinin 2. fıkrası, “Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.” demekle, buna aykırı şekilde yapılan işlemleri hukuken geçersiz kabul edeceğini bildirmektedir. Ancak uygulama kriterlerini, uygulayıcı olan Başkanlığın yapacağı idari işlemlere atıfla sınırlı tutmuştur. Bu haliyle, şirket yapısındaki değişiklikleri kısıtlayan hüküm ile, Ticaret Kanunu ilkeleri göz ardı edilmiştir. Mülkiyet hakkına müdahale edilmesi kolaylaşmış ve sözleşme hürriyeti kısıtlanmıştır.
Kanun bu haliyle Bismarck’ın “Kanunlarla sosislerin nasıl yapıldığını bilmek istemezsiniz.” cümlesini hatırlatmaktadır. Siber uzaydaki ciddi güvenlik ihtiyacı açıkça görülmektedir. Fakat kanun, veri güvenliğini sağlamakla yükümlü kurumların bu yükümlülüklerini yerine getirmemesi nedeniyle meydana gelen çok sayıdaki veri sızıntılarını kontrole almak amacıyla hazırlandığı kanaatini uyandıran, vatandaşı kısıtlayıcı ancak idareye bir o kadar geniş yetkiler tanıyan, hukuken belirsiz bir kanundur. Düzen, sert ve kısıtlayıcı kanunlar ile değil sistemli ve bilimsel düzenlemelerle tesis edildiği halde kalıcı olabilir. Bu anlamda çerçevesi açıkça çizilmiş, ancak ihtiyaç halinde ve ihtiyaca yönelik yönetmelikler ile desteklenen, bireysel hak ve özgürlükleri koruyucu, siber uzayda veri güvenliğini sağlamaya yönelik değişiklikler yapılmasını temenni etmekteyiz.
