Siber Güvenlik Kanun Teklifi: Neden hazırlandı, riskleri ne, neleri değiştirecek?

Adalet ve Kalkınma Partisi tarafından hazırlanan 21 maddelik Siber Güvenlik Kanun Teklifi, TBMM Genel Kurulu'nda kabul edildi. Ancak teklif, TBMM’ye sunulduğu günden beri özellikle muhalefet ve gazeteciler tarafından eleştiriliyor.
Bunun sebebi ise teklifin, kişisel verilerin korunması, özel hayatın gizliliği, ifade özgürlüğü ve basın özgürlüğü üzerinde ciddi kısıtlamalara ve keyfî uygulamalara yol açabilecek maddeler barındırması.
- Zira teklif, “veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi algı oluşturma” suçunu tanımlıyor(du), kamu kurum ve kuruluşlarından bilgi, belge ve log kayıtlarının toplanmasını ve saklanmasını öngörüyor ve Siber Güvenlik Kurulu'nun başkanına arama, kopya çıkarma, el koyma yetkisi veriyor.
TBMM Genel Kurulu’nda bazı maddelerde değişiklik yapılsa da eleştirilere neden olan maddelerin özü değişmedi. Peki, AK Parti’yi böyle bir yasa teklifi hazırlamaya iten ne oldu? Süreç nasıl gelişti? Teklif neler barındırıyor ve hangi tartışmalara neden oldu? Maddelerde ne gibi değişiklikler yapıldı? Yürürlüğe girerse hayatımızda neler değişecek?
AK Parti’yi yasa taslağını hazırlamaya iten şey: Önlenemeyen sızıntılar
Öncelikle, AKP’yi böyle bir kanun teklifi hazırlamaya iten sebeplere bakalım. Hiç kuşkusuz ilk akla gelen, şu ana dek resmî kaynaklardan yaşandığı iddia edilen veri sızıntısı haberleri. Öyle ki günümüze dek Emniyet Genel Müdürlüğü’nden Halk Sağlığı Yönetim Sistemi’ne, Merkezî Nüfus İdaresi Sistemi’nden (MERNİS) E-Devlet’e kadar çeşitli resmî ve özel kurum ve kuruluştan kişisel verilerin sızdırıldığına dair çok sayıda haber okuduk.
2016’da, yaklaşık 50 milyon kişinin verilerini içerdiği iddia edilen sızıntı, boyutu ve kamuoyunda yarattığı etki bakımından öncül sızıntı haberlerinden biri. Associated Press’in (AP) o dönem yaptığı habere göre, 49 milyon 611 bin 709 kişinin kişisel verileri sızdırıldı. Verileri inceleyen AP, "Sorguladığımız 10 TC kimlik numarasının 8'i listede doğru detaylarla birlikte yer alıyordu" dedi.
İbrahim Haskoloğlu isimli Twitter kullanıcısı, Nisan 2022’de, E-Devlet dahil bir dizi resmî kaynaktan kişisel verilerin sızdırıldığını öne sürdü. Haskoloğlu, bu iddiasını belgelemek için de Cumhurbaşkanı ile MİT Başkanı'na ait olduğu iddia edilen kimlik kartlarını Twitter’da paylaştı ve bunun üzerine tutuklandı.
Bir diğer önemli sızıntı iddiasının tarihi ise Haziran 2023. Free Web Turkey’de yer alan habere göre, 2022’de Sağlık Bakanlığı’na bağlı Halk Sağlık Yönetim Sistemi’den (HSYS) 101 milyon kişinin kişisel verileri çalındı ve internette yayımlandı. Haberde, Cumhuriyet Halk Partisi (CHP) Sandık Takip Sistemi’ne de sızıldığı ve buradan da veri çalındığı belirtildi.
9 Eylül 2024’te Free Web Turkey’de yayımlanan habere göre ise resmî kurumlarda kaydı olan 108 milyon yurttaşın tüm kişisel verileri çalındı ve bir yeraltı forumunda paylaşıldı. Kendi yazdığı bir haberde, kimlik numaralarından ev adreslerine kadar tüm kişisel verilerin yer aldığı veri setinin bir Google Drive dosyasında depolandığını ortaya koydum. Haberde, bunun üzerine Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) Google’dan yardım istediği yer alıyordu. Daha sonra bunun belgesi de paylaşıldı.
12 Eylül tarihli haberimde, 21 milyon işçi ve işverenin tüm Sosyal Güvenlik Kurumu (SGK) hizmet bilgilerinin sızdırıldığını aktardım.
Bu zaman diliminde, kaynağı çeşitli resmî kurumlar ile özel şirketler olan veri hırsızlıkları da yaşandı. Üstelik bunlar bizzat verileri çalınan kurum ve şirketler tarafından doğrulanmış sızıntılar. Kişisel Verileri Koruma Kurumu’nun internet sitesinden bu sızıntıların tümüne dair bilgilere ulaşabilirsiniz.
Süreç nasıl gelişti: Kamuoyu baskısı her seferinde arttı
Her bir sızıntı iddiası, basın ve sosyal medyada geniş yankı uyandırdı. Hâl böyle olunca da yetkililer açıklama yapmak zorunda kaldı.
Örneğin, 2016’daki 50 milyonluk sızıntı iddiası hakkında dönemin Adalet Bakanı Bekir Bozdağ, “Nereden sızdı, nasıl sızdı bilmiyorum. Rakamlara baktığınız zaman Türkiye'deki seçmen sayısına yakın bir rakam” ifadelerini kullandı. Dönemin Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım ise "Bu, bildiğimiz bir konudur, geçmişte yaşanmış bir hadisedir" dedi.
Ancak 2024’ün Eylül ayında yayımlanan 108 milyonluk sızıntı iddialı haber, belgesinin de yayımlanması sebebiyle en çok konuşulan veri hırsızlığı haberi oldu. Öyle ki bu haber, 21 milyonluk SGK sızıntısı iddialı haberle birlikte ulusal ve uluslararası basında yaklaşık 150 kez alıntılandı. Hatta Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu’nun görevden alınacağı dahi iddia edildi.
- Sızıntı üzerine bir açıklama yapan Uraloğlu, Cumhuriyet’ten Merve Kılıç’ın haberine göre sızıntıyı doğruladı ve bunun Sağlık Bakanlığı’ndan kaynaklı olduğunu söyledi.
Bu açıklama sonrası tepkiler daha da artınca aynı gün Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi bir açıklama yaptı ve bir sızıntı olmadığını belirterek iddiaları reddetti.
Adalet Bakanı Yılmaz Tunç da “Kişisel veriler ele geçirilmişse bu konuda gerekli başvuru yapılır. Kişisel verilerin korunmasıyla ilgili kanun var. İsteyen dava açabilir” dedi. Kişisel Verileri Koruma Kurumu ise kendilerine yapılan bir ihlal bildirimi olmadığını söyledi.
Teklifin içeriği: Her türlü dijital materyale el konulabilecek
Tartışmalardan üç ay sonra harekete geçen AK Parti, 10 Ocak’ta TBMM Başkanlığı’na Siber Güvenlik Kanun Teklifi’ni sundu. Burada, 15 Ocak’ta kabul edilen teklifin Türkiye'nin siber güvenliğini güçlendirmek ve tüm aktörleri siber saldırılara karşı korumak amacıyla hazırlandığı belirtildi.
Ancak teklif, içerdiği düzenlemelerle ifade ve basın özgürlüğü, özel hayatın gizliliği ve hatta kişisel verilerin korunması gibi temel hak ve özgürlüklerin ihlal edilmesi gibi riskler barındırdığı gerekçesiyle tartışmalara neden oldu. Zira teklif, Siber Güvenlik Başkanlığı’na (SGB) geniş yetkiler veriyor.
Örneğin, teklifin 6. maddesi, SGB’ye kanun kapsamındaki ilgili kamu kurumları, kritik altyapı kuruluşları ve şahıslardan bilgi, belge, veri ve log kayıtlarını alabilme yetkisi tanıyor.

Teklifin 8. maddesinin 5. fıkrası ise SGB’ye, gecikmesinde sakınca bulunan hâllerde hâkim onayı olmaksızın konut, işyeri ve kamuya açık olmayan kapalı alanlarda arama yapma, dijital materyallere el koyma ve veri toplama yetkisi tanıyor.

Teklifin 16. maddesinin 5. fıkrasıyla da “veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi algı oluşturma” fiili suç olarak tanımlanıyor ve bu suçu işleyenlere de 5 yıla kadar hapis cezası öngörülüyor.

Tartışmalar: 'İkinci bir sansür yasası'
Özellikle bu üç maddesiyle tartışmalara neden yasa hakkında ilk tepki, 16 Ocak’ta İfade Özgürlüğü Derneği’nden (İFÖD) geldi. Dernek, “Bu teklif, bireylerin hak ve özgürlüklerini doğrudan kısıtlayabilecek düzenlemeler içermekte” açıklamasını yaptı. İFÖD, teklifle kişisel mahremiyetin de tehlikeye atıldığını söyledi.
CHP Eskişehir Milletvekili Utku Çakırözer “AKP yine gazeteciliği, ifade ve basın özgürlüğünü hedef alıyor. Teklifteki bazı düzenlemelerin sansür yasasından farkı yok” derken Türkiye Gazeteciler Sendikası, “Basın özgürlüğünü, gazetecilerin haber kaynaklarını ve halkın haber alma hakkını doğrudan tehdit eden bu yasa teklifine ‘hayır’ diyoruz!” dedi ve Türkiye Gazeteciler Cemiyeti ise “İkinci sansür yasası olacak” yorumunu yaptı.
Ne değişti: İfadeler değişti, riskler duruyor
Kanun teklifi, tartışmaların gölgesinde, 12 Mart’ta TBMM Genel Kurulu’nda kabul edildi. Ancak Genel Kurul'daki görüşmelerde teklifte bazı değişikliklere gidildi.
- Teklifin 8. maddesinde yer alan ve Siber Güvenlik Kurulu başkanına hâkim kararı olmaksızın verilen arama, kopya çıkarma ve el koyma yetkisi, hâkim kararı veya cumhuriyet savcısının emrine bağlandı. Yani Başkan, yine arama ile kopyalama yapabilecek, verilere el koyabilecek.
“Veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi algı oluşturma” suçunu düzenleyen 16’ıncı maddenin 5. fıkrası da değişti. “Algı oluşturma” ifadesi kaldırılırken "veri sızıntısı" ifadesi ise "siber güvenlikle ilgili veri sızıntısı" olarak değiştirildi. İlgili fıkra şöyle oldu:
“Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.”
Hayatımızda neler değişecek: 'Veri sızıntısı var' diyene hapis
Hak ve özgürlükleri tehdit ettiği gerekçesiyle en çok 6, 8 ve 16’ncı maddelerden kaygı duyuluyordu ancak bunlardan yalnızca 8 ve 16’ncı madde değiştirildi. Bu değişiklikler de tehdidi ortadan kaldırmadı. Kanun, kamu kurumlarına yönelik siber saldırılar düzenleyenlere, buradan elde ettiği verileri yayanlara, saldırı düzenlemeyen ancak bu verilere ulaşıp yayanlara ve bu ihmale neden olan görevliler 15 yıla kadar hapis cezası öngörüyor.
Bu cezaları eleştiren kimse yok, aksine herkes destekliyor. Kamuoyunun eleştirisi, başta gazeteciler olmak üzere herkesin hak ve özgürlüklerini riske atıp keyfî uygulamalara neden olabilecek 6, 8 ve 16’ncı maddeler. O yüzden ben, teklif bu hâliyle yürürlüğe girerse bu maddeler hayatımızda neleri değiştirecek, onu anlatacağım.
Örneğin teklifin 6. maddesi. Bu madde, SGB’ye kanun kapsamındaki ilgili kamu kurumları, kritik altyapı kuruluşları ve şahıslardan bilgi, belge, veri ve log kayıtlarını alabilme yetkisi tanıyor. Log kayıtları, bir sistemde gerçekleşen olayları, kullanıcı etkileşimlerini ve ağ trafiğini takip etmek amacıyla tutulan kayıt dosyalarıdır. Bu kayıtlar; IP adresleri, bağlantı noktaları, trafik hareketleri, ziyaret edilen URL’ler, veri paketleri ve bunların hangi uygulama üzerinden, hangi tarih ve saatte gerçekleştiği gibi bilgileri içerir.
- Ancak teklifte, log kayıtları tanımlanmıyor ve bu saydığımız verileri kapsadığı belirtilmiyor. Bunun altını çizmekte yarar var. Zira bu madde, “‘Log kayıtları’ ifadesiyle bu bilgileri de kastetmiştik” gibi bir yorumla esnetilerek kötüye kullanılabilir ve çevrimiçi aktivitelerimizin tamamını veya teknolojik aletlerimizdeki her türlü veriye erişim istenebilir. Bu da yurttaşların özel hayatın gizliliği hakkı ile kişisel verilerin korunması kanununu ihlal eder.
Bunun gazeteciler için yarattığı risk daha da büyük. Çünkü bu maddeyle gazetecilerin kaynakları ve kaynaklarından elde ettiği belgeler ifşa edilebilir, kaynaklar baskı altına alınabilir. Kaynakları endişeye sürükleyerek gazetecilerin habere ulaşmasını zorlaştırabilecek olan bu madde, gazetecilerin mesleki dokunulmazlıkları ve haber yapma özgürlüklerini de ihlal eder.
8. maddenin 5. fıkrasının neden olabilecekleri de bundan farksız. Bu fıkra, Siber Güvenlik Kurulu Başkanı’na, hakim kararı veya savcının yazılı emri ile konut, işyeri ve kamuya açık olmayan kapalı alanlarda arama yapma, dijital materyallere el koyma ve veri toplama yetkisi veriyor. 6. maddedeki risklerin hepsi bu madde için de geçerli.
Üstelik, DW Türkçe’ye konuşan Alternatif Bilişim Derneği Başkanı Faruk Çayır, "Yargının böyle bir kararı vermesi normal. Ancak Türkiye'de geçmişte BTK ile ilgili pratikteki işlere baktığımızda aynı şekilde savcının istenilen her talebe onay vereceğini düşünüyoruz” ifadesiyle bu riskin yüksekliğine vurgu yapıyor.
Ve 16. maddenin 5. fıkrası. Bu fıkra, değiştirilmeden önceki hâliyle “veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi algı oluşturma” diye bir suç tanımlıyordu. Daha sonra ise “Siber uzayda veri sızıntısı olmadığını bildiği halde [...] siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara...” şeklinde değiştirildi.
Bu düzenleme, yalnızca gazetecilerin değil, bu tür olayları sosyal medyada tartışan yurttaş da cezalandırılmasını mümkün kılabilir. Yetkililerin geçmişte ortaya çıkan veri sızıntılarının (biri hariç) hepsini reddettiği düşünüldüğünde, bu fıkra, veri sızıntısıyla ilgili haber veya paylaşmadan önce iki kez düşünmeyi, otosansür uygulamayı gerektirebilir.
- Örneğin, 9 Eylül 2024'te yaptığım ve 108 milyon kişinin kişisel verilerinin sızdırıldığını belgeleyen haberim ile benzer haberler, bu teklif kabul edildikten sonra yapılması hâlinde suç sayılabilir. Bu durum, halkın bilgi edinme hakkını ortadan kaldırabileceği gibi kamuoyunu ilgilendiren usulsüzlüklerin üstünün örtülmesine de kapı aralayabilir.
Okuma önerisi: Dezenformasyonla Mücadele Merkezi yalanlıyor, belgeler doğruluyor: Üç haber örneği | Spektrum, Ali Safa Korkut
Kaydet
Okuma listesine ekle
Paylaş
YAZARLAR

Ali Safa Korkut
Gazeteci ve araştırmacı. MLSA'nın İnternet sansürünü izleyip raporlayan Free Web Turkey projesinin koordinatörlüğünü yapıyor. İnternet sansürü, erişim engelleri, bilgiye erişim hakkı, dijital haklar, ifade özgürlüğü gibi alanlarda haber ve raporlar yazıyor. Ulusal ve uluslararası basında bu konularla ilgili birçok haberi yayımlandı.

Aposto World
This newsletter offers a comprehensive overview of global events from each continent, curated from diverse international media sources. On Mondays, you will receive Aposto World in your inbox and we will give you only the relevant information on just the important stuff, from an Istanbul perspective.
İLGİLİ OKUMALAR


