Bu köşede önceden de birkaç defa, siber güvenlik mevzuatları ve özellikle şirketler hukukuna etkileri hakkında incelemelerde bulunduk. 19 Mart’ta yürürlüğe giren yeni Siber Güvenlik Kanunumuz, aslında karşılaştırmalı hukuka göre çok detaylı bir düzenleme sayılmasa da ülkemizin bu alandaki en ciddi ve keskin düzenlemesi konumunda. Siber Güvenlik Kanunu, daha çok kamunun siber güvenlik üzerindeki yetkilerini düzenleyen, ancak tüm gerçek ve tüzel kişilere çeşitli zorunluluk ve para cezaları getiren bir düzenleme.
Kanuna bir göz atalım. Siber Güvenlik Başkanlığı’na yetki ve görevler getiriliyor. Hapis ve para cezaları mevcut. Verileri kamu kurumlarıyla paylaşma zorunlulukları var. Denetimlerde uyumluluk göstermeyen şirketlere cironun %5’i ceza kesilebiliyor. Bazı hallerde hâkim kararı olmadan savcı talimatıyla konut veya işyerinde arama yapılabiliyor. Bazı kritik maddeleri buraya yorumsuz ekliyorum ki okuyucularımız kendi değerlendirmelerini de yapsınlar:
Madde 16/1: “Kamu kurum ve kuruluşları hariç olmak üzere, bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır.”
Madde 16/5: Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.
Madde 16/6: Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan on iki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan on beş yıla kadar hapis cezası verilir.
Madde 16/11: 8 inci maddenin dördüncü fıkrasındaki yükümlülüklerini yerine getirmeyenlere, yüzbin Türk lirasından bir milyon Türk lirasına kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde yüzbin Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilir.
Madde 8/4: Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir. Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.
