Kişisel verilerin korunması, özel hayatın gizliliği ve ifade özgürlüğü konularında ciddi kısıtlamalara ve keyfi uygulamalara yol açabileceği gerekçesiyle eleştirilen Siber Güvenlik Kanunu Teklifi, Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu'nda 102'ye karşı 246 oyla kabul edildi. Teklifin kabul edilmesinin ardından Meclis Başkanvekili Gülizar Biçer Karaca, birleşimi 13 Mart Perşembe günü saat 14.00'te toplanmak üzere kapattı.
Teklifte, kamuoyunda tartışmalara neden olan ve yasayla birlikte oluşturulacak Siber Güvenlik Kurulu Başkanı’na arama, kopya çıkarma ve el koyma yetkisi veren 8’inci maddede, AK Parti’nin sunduğu önergeyle değişiklik yapıldı. Önerge doğrultusunda, Kurul Başkanı’na bu yetkileri tanıyan ifade yasa metninden çıkarıldı.
Teklifin en çok eleştirilen maddelerinden biri olan 16’ncı maddenin 5’inci fıkrasında da değişikliğe gidildi. AK Parti’nin önergesiyle fıkra şu şekilde revize edildi:
"Siber uzayda veri sızıntısı olmadığını bildiği hâlde, halk arasında endişe, korku ve panik yaratmak ya da kişi veya kurumları hedef göstermek amacıyla gerçeğe aykırı içerik üreten veya yayanlar, iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.
Ayrıca 16’ncı madde kapsamında, 3’üncü fıkrada yer alan ‘veya bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara’ ifadesi metinden çıkarıldı. 9’uncu fıkradaki ‘kritik’ kelimesi, ‘Bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik’ şeklinde değiştirildi. 11’inci fıkrada ise ‘yüzde 1’i ile vergi öncesi kârının yüzde 20’sinden yüksek olanına’ ifadesi ‘yüzde 5’ine’ şeklinde revize edildi.
Teklifin 7’nci maddesinde de değişiklik yapılarak, ‘Siber güvenlik uzmanları ve’ ibaresi ‘Siber güvenlik uzmanlarından, üreticilerinden veya’ olarak güncellendi. Ayrıca ‘tavsiye ve benzeri belgelerde’ ifadesi, ‘diğer düzenleyici işlemlerde’ olarak değiştirildi. Böylece, siber güvenlik ürünleri, sistemleri ve hizmetlerinin yalnızca belirli kaynaklardan değil, üreticilerden de temin edilmesine olanak sağlandı ve ilgililerin Başkanlık tarafından çıkarılacak tüm düzenleyici işlemlere tabi olacağı hükme bağlandı.
Bununla birlikte, teklifin 2’nci maddesinin 2’nci fıkrası şöyle değiştirildi:
(2) 4 Temmuz 1934 tarihli ve 2559 sayılı Polis Vazife ve Salahiyet Kanunu, 9 Temmuz 1982 tarihli ve 2692 sayılı Sahil Güvenlik Komutanlığı Kanunu, 10 Mart 1983 tarihli ve 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanunu kapsamında yürütülen istihbari faaliyetler ile 1 Kasım 1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu ve 4 Ocak 1961 tarihli ve 211 sayılı Türk Silahlı Kuvvetleri İç Hizmet Kanunu kapsamındaki faaliyetler bu Kanun’un kapsamı dışındadır.
Ayrıca, 3’üncü maddenin 1’inci fıkrasının g bendinde yer alan ‘bu sistemler tarafından işlenen’ ifadesi metinden çıkarıldı. Böylece, siber uzaydaki her türlü veri ihlalinin madde kapsamına alınması hedeflendi.
6’ncı maddenin 1’inci fıkrasının h bendindeki "kullanım öncesinde uygunluk verir" ifadesi, "dair kriterler ile Başkanlığa yapılacak bildirimlere ilişkin usul ve esasları belirler" şeklinde değiştirildi. Bu düzenleme ile kritik altyapıların bilişim sistemlerinde kullanılacak yazılım, donanım, ürün ve hizmetlerin siber güvenliğe etkisiyle ilgili belirlenen kriterler ve yapılacak bildirimlerin usul ve esaslarının netleştirilmesi amaçlandı.
Yine AK Partili milletvekillerinin verdiği önergeyle teklifin 18'inci maddesi de şöyle değiştirildi:
"(1)Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılır. Bu usul ve esaslarda yer alacak izne tabi ürünlerin yurtdışına satışında Başkanlık onayı alınır.
(2) Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.
(3) Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki bir geçerlilik kazanmaz. Başkanlık, bu madde kapsamında yapılacak işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir.
(4) Bu maddenin uygulanmasına ilişkin hususlar Başkanlık tarafından yayımlanacak usul ve esasları ile belirlenir."
Teklife göre, Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı'ndan oluşacak.
Bununla birlikte, kanunla, belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek veya anonim hale getirilecek.
Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara 8 yıldan 12 yıla kadar hapis cezası verilecek. Yetkili mercilerin ve denetim görevlilerinin istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak. Sır saklama yükümlülüğünü yerine getirmeyenlere veya görev ve yetkilerini kötüye kullananlara 4 yıldan 8 yıla kadar hapis cezası verilecek.
