ENFaaliyet Belgesi Doğrula
E-posta
İstanbul Barosu LogoİSTANBUL BAROSU
“Herhalde dünyada bir hak vardır ve hak kuvvetin üstündedir.”M. Kemal ATATÜRK

Siber Güvenlik Kanun Teklifi Hakkındaki Komisyon Görüşümüz

Siber Güvenlik Kanun Teklifi Hakkındaki Komisyon Görüşümüz

Siber Güvenlik Kanunu Teklifi geçtiğimiz Ocak ayında Türkiye Büyük Millet Meclisi’ne sunuldu ve basına yansıyan haberlerden görüldüğü üzere 12 Mart gecesi TBMM Genel Kurulu’nda 102’ye karşı 246 oyla kabul edildi.

Kanun teklifinin bu haliyle Resmi Gazete’de yayımlanarak yürürlüğe gireceği ön kabulüyle kanun teklifinde yer alan, kişisel verilerin korunması hakkına ölçüsüz bir müdahale ve sınırlama getireceğini düşündüğümüz hususlarda İstanbul Barosu Kişisel Verilerin Korunması Komisyonu ve İstanbul Barosu İnsan Hakları Merkezi – İfade Özgürlüğü Alt Çalışma Grubu olarak bu duyuruyu yapma ihtiyacı hissetmiş bulunmaktayız.

Siber Güvenlik Başkanlığı, kişisel verilere erişen, kişisel veri saklayan bir idari otorite olmamalıdır.

Kişisel Verileri Koruma Kurumu’na dair dahi özellikle bağımsız otorite olmadığı yönündeki eleştiriler hala daha tazeliğini korur iken yasalaşan kanun teklifinin birçok maddesinde Siber Güvenlik Başkanlığı’nın bilgi ve belgelere, log kayıtlarına erişme, bunları inceleme ve saklama yetkileri düzenlenmiştir. Siber Güvenlik Başkanlığı, yürütme erki içerisinde yer alan bir idari otorite olup doğrudan ticari sır ve kişisel verilere temas edici yetkilerle donatılmamalıdır. Siber Güvenlik Başkanlığı, rehberlik etme, yönlendirme, özel sektör ve kamu kurumları arasındaki işbirliğini organize etme, alınacak tedbirleri belirleme gibi görevleri haiz ve fakat sınırlı yetkilerle donatılmış bir kurum olarak düzenlenmeliydi.

Yasalaşan kanun teklifinde Siber Güvenlik Başkanlığı’nın denetimine ve faaliyetleri kapsamında gerçekleştireceği veri işleme faaliyetlerinde şeffaflığa dair düzenlemeler de yeterli değildir.

Kritik altyapı tanımlaması Siber Güvenlik Başkanlığı’nın idari kararına bırakılmıştır.

Yasalaşan kanun teklifinin tanımlar bölümünde kritik altyapı, “işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar” olarak tanımlanmıştır. Genel nitelikli bu tanım yapılmış olmasına rağmen 5’inci maddede kritik yapılar ile ait oldukları kurum ve konumları belirleme hakkı Siber Güvenlik Başkanlığı’na ve yine 9’uncu maddede kritik altyapı sektörlerini belirleme yetkisi ise bu kez Siber Güvenlik Kurulu’na verilmiştir.

Kritik altyapıların hangi sektörlere ait altyapılar olduğu yönünde bir çerçeve çizilmemiş olması, Siber Güvenlik Başkanlığı’na ve Siber Güvenlik Kurulu’na “öngörülebilirlik” ilkesine aykırı bir şekilde geniş yetkiler verilmesi kanunun uygulaması adına hak ihlalleri yaratacak niteliktedir. Özellikle 16/9’uncu madde ile getirilen “Kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası verilir.” şeklindeki suç tanımında suçun konusu olan “kritik altyapıların” kanunla belirlenmemiş olması suçta ve cezada kanunilik ilkesine aykırıdır.

Siber Güvenlik Başkanlığı’na yetki tanımlaması yapılırken vatandaşların kişisel verilerinin korunması hakkına dair sınırlar soyut bir şekilde çizilmiştir.

Yasalaşan kanun teklifinin 6’ncı maddesinde Siber Güvenlik Başkanlığı’na tanınan özellikle maddenin (b), (c), (d) bentlerindeki “log kaydı toplama”; (ç) bendindeki “bilgi-belge, veri ve kayıt alma” yetkileri, vatandaşların kişisel verilerinin Siber Güvenlik Başkanlığı tarafından birçok şekilde işlenmesine cevaz vermektedir.

Buna rağmen, vatandaşların kişisel verilerinin korunması hakkının nasıl tesis edileceği, veri işlemenin sınırları net bir şekilde çizilmemiş, 6’ncı maddenin 2’nci fıkrasında 6698 s. Kanun’un 4’üncü maddesindeki temel ilkeler tekrar edilerek soyut bir sınır çizilmiştir.

Siber Güvenlik Başkanlığı’na kişisel verilere erişim ve işleme hususunda geniş yetkiler verilmişken veri korumasının nasıl sağlanacağı, erişilen ve işlenen özel nitelikli kişisel verilere dair nasıl ek tedbirler alınacağı, elde edilen kişisel verilerin kimlerle paylaşılacağı, hangi ortamlarda saklanacağı gibi hususlar, 6698 s. Kanun’un 4’üncü maddesi tekrar edilmek yerine çok daha detaylı ve Siber Güvenlik Başkanlığı’na yükümlülük yükleyecek şekilde düzenlenmelidir.

Kişisel verilerin korunmasına ilişkin 6698 s. Kanun’la getirilen yükümlülüklerin ihlali halinde özel hukuk kişilerine idari para cezaları verilerek 2016 yılından bu yana ülkemizde belli seviyede bir veri mahremiyeti kültürü oluşturulmuştur.

Ancak 6698 s. Kanun’un 18’inci maddesinin 4’üncü fıkrasına göre kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları hakkında idari para cezası verilememekte; bunun yerine disiplin hükümleri çerçevesinde işlem yapılmaktadır. Şüphesiz ki bu durum; kamu kurumları nezdinde veri mahremiyeti kültürünün, özel sektör kadar benimsenmemiş olması sonucunu yaratmakta; diğer yandan Kişisel Verileri Koruma Kurulu’nun da bağımsız ve özerk yapısının gücünü azaltmaktadır.

Yasalaşan kanun teklifinde Siber Güvenlik Başkanlığı’nın yetkileri geniş bir şekilde ve kazuistik olarak tanımlanmışken yükümlülükleri yüzeysel bir şekilde düzenlenmiştir.

Yasalaşan kanun teklifinin ikinci bölümünün başlığı “Görev, Yetki, Sorumluluk, Denetim ve Siber Güvenlik Kurulu” olmasına rağmen “sorumluluk” kısmında Siber Güvenlik Başkanlığı’nın değil, tüm diğer kişilerin sorumlulukları düzenlenmiştir.

Siber Güvenlik Başkanlığı’na tüm kanun teklifinde getirilen sadece 2 fıkrada düzenlenen yükümlülükler vardır. Bunlardan birisi, 6’ncı maddenin 2’nci fıkrasındaki yükümlülük. Diğeri ise 13’üncü maddedeki sır saklama yükümlülüğüdür.

Şüphesiz ki bu kadar geniş yetkilerin verildiği bir kurumun yetki sınırlarının, vatandaşların kişisel verilerini işlerken alması gereken teknik ve idari tedbirlerin, ticari sıraların korunmasına dair detaylı yükümlülüklerin çok daha kazuistik ve belirgin bir şekilde kanunlaşması gerekirdi.

Özellikle Siber Güvenlik Başkanlığı’nın Kişisel Verileri Koruma Kurumu ile aralarındaki ilişki, Kişisel Verileri Koruma Kurumu’nun denetim yetkisi gibi hususların kanunda düzenlenmemiş olması büyük eksiklik olmuştur.

Siber Güvenlik Kurulu’na Kişisel Verileri Koruma Kurumu’nun dahil edilmesi gerekmektedir.

Yasalaşan kanun teklifinin 9’uncu maddesinde Siber Güvenlik Kurulu’nun yapısı düzenlenmiştir. 1’inci fıkrasına göre Siber Güvenlik Kurulu; Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, içişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşmaktadır.

Kanunun 1’inci maddesinde kanunun amacı, “Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemek olduğu” belirtilmiştir.

Siber güvenliğin sağlanmasıyla amaçlanan koruma konusunu bireylere, tüzel kişiliklere ve devlete ait verilerin oluşturduğu tartışmasızdır. Bireylere ait veriler ise “kişisel veriler” olarak vücut bulmaktadır. Bu durumda, siber güvenlikle ilgili kurulacak bir kurulda; Kişisel Verileri Koruma Kurumu’nun yer almaması çok büyük bir eksiklik teşkil etmektedir.

Zira 6698 s. Kanun’un 22’nci maddesine göre Kişisel Verileri Koruma Kurulu, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamakla görevli olan bir organ olarak Kişisel Verileri Koruma Kurumu bünyesinde oluşturulmuş bir kuruldur.

Siber Güvenlik Kurulu’nu, Kişisel Verileri Koruma Kurulu’nun hiyerarşik üstü niteliğinde tanımlayan 9/4(d) maddesi  6698 s. Kanun’un 21’inci maddesine aykırıdır.

Yasalaşan kanun teklifinin 9/4(d) maddesi “Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak.” şeklindedir.

Bu durumda Kişisel Verileri Koruma Kurulu’nun, Siber Güvenlik Başkanlığı ile ilgili veya Siber Güvenlik Başkanlığı hakkında herhangi bir idari yaptırım kararı vermesi imkansız kılınmıştır. Zira 9/4(d) maddesi ile Siber Güvenlik Kurulu’na, Siber Güvenlik Başkanlığı ile diğer kamu kurum ve kuruluşları arasında bir ihtilaf meydana geldiğinde, bir hiyerarşik üst merci sıfatıyla karar alıp ihtilafı çözme yetkisi verilmiştir.

Bu yetki, 6698 s. Kanun’un 21’inci maddesine açıkça aykırıdır. 6698 s. Kanun’un 21/1’inci maddesine göre “Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz.”

Halbuki yasalaşan kanun teklifinin 9/4(d) maddesiyle Siber Güvenlik Kurulu’na Kişisel Verileri Koruma Kurulu ile Siber Güvenlik Başkanlığı arasındaki bir ihtilafı karara bağlama yetkisi verildiği görülmektedir. Bu durumda Kişisel Verileri Koruma Kurulu’nun Siber Güvenlik Başkanlığı tarafından gerçekleştirilen kişisel veri işleme süreçleriyle ilgili olarak pratikte hiçbir denetim ve karar alma yetkisi kalmamıştır.

Siber Güvenlik Kanunu Ölçüsüz, Orantısız Ve Belirsiz Olması Sebebiyle Anayasaya Aykırılık Teşkil Etmektedir.

Yukarıda açıklanan tüm bu nedenlerle birlikte, Siber Güvenlik Kanunu, Anayasanın m. 2, 13, 20, 22, 26, 28 ve 125. maddelerine açıkça aykırılık teşkil etmektedir. Şöyle ki, Siber güvenlik kanunu kapsamında düzenlenmiş olan “kritik altyapı”, “kritik kamu hizmeti” ve “kritik veri” gibi kavramların yoruma açık ve muğlak olması belirsizliğe neden olmuş, belirsizliğin çözümü idarenin takdirine bırakılmıştır. Siber Güvenlik Başkanlığına verilen geniş, belirsiz ve sınırları çizilmemiş yetkiler bireylerin temel hak ve özgürlüklerine ağır müdahalelere yol açabilecek ve insan hakları ihlallerine doğrudan yol açabilecek sonuçlar doğuracaktır.

Bu durum Anayasa’nın 2, 13, 20, 22, 26, 28 ve 125. maddelerinin ihlaline sebebiyet vermektedir. Özellikle Madde 6/1-b, siber saldırılara karşı tedbir alınması amacı taşısa da, getirilen yazılım ve donanım yükümlülükleri, tüzel ve gerçek kişilerden veri ve log kayıtları toplanması bireylerin kişisel verilerinin geniş kapsamlı ve sürekli şekilde izlenmesine olanak tanıyarak bireylerin haberleşme ve özel hayat gizliliğini de ihlal etme riski taşırken, Madde 8/5’te suç oluşmadan yalnızca "yakın tehdit" gerekçesiyle müdahaleye izin verilmesi keyfiliğe açık bir düzenleme yaratması ve Madde 16/5’teki "gerçek dışı bilgi" tanımı da sınırları belirsiz olması ifade ve basın özgürlüğü üzerinde baskı oluşturabilecek niteliktedir.

Madde 18’deki, Siber Güvenlik ürün ve hizmetlerinin yurtdışına satışı ve yerel şirketlerin birleşme işlemleri Başkanlığın onayına bağlanmış ancak Başkanlık onayının reddedilmesi halinde bu karara ilişkin gerekçelendirme yükümlülüğü getirilmemiş ve karara karşı itiraz yolları düzenlenmemiştir. Bu ve yukarıda belirtilen diğer belirsizlik halleri, hukuk devleti ilkesinin temel yapı taşları olan belirlilik ve öngörülebilirlik ilkelerinin ihlaline yol açmaktadır.

Sonuç olarak, Siber Güvenlik Kanunu, hem bireylerin temel hak ve özgürlüklerini ölçüsüz şekilde sınırlandırması hem de hukuk devleti ilkesinin temel unsurları olan belirlilik, öngörülebilirlik ve denetlenebilirlik gereklerini ihlal etmesi, hukuk devletinin asgari gereklerini ortadan kaldırmakta, bireyi devlete karşı korumasız ve denetimsiz bırakmakta; demokratik toplum düzeninin ve hukukun üstünlüğü ilkesinin özüne bir tehdit teşkil etmektedir.

İSTANBUL BAROSU KİŞİSEL VERİLERİN KORUNMASI KOMİSYONU
 

 

Kategori:Haberler