Academic Research - International Disputes and Cyber Law
Bilişim
Hukukunda Uluslararası Uyuşmazlıklar
Günümüzde teknolojinin kişiler
ve kurumlar arasında kullanımının artması, iletişimin dijital kanallara
aktarılmasına ve bu kanallar üzerinden gerçekleşmesi durumuna sebebiyet
vermiştir. Bu durum, verinin iletim süresini ciddi seviyelerde kısaltmış
dolayısıyla elektronik iletişimi gerek kurumlar gerekse kişiler nezdinde çok
daha cazip hale getirmiştir. İletişimde elektronik kanalların tercih edilmesi
ve popülerleşmesi, sistemin dışarıya açık ve risk barındıran yüzey alanının
artmasına sebebiyet vermiş, dolayısı ile tüm bu cazibe, yanında birtakım güvenlik
ve veri kaybı başta olmak üzere çeşitli riskleri de beraberinde meydana getirmiştir.
Zaman içerisinde elektronik ortamda meydana gelen işlemler ve dolayısı ile bu
elektronik ortamın korunması ihtiyacı ortaya çıkmıştır.
1.
Bilişim ve Bilişim Sistemi Kavramları
Bilişim kelime kökeni olarak; insanoğlunun teknik, ekonomik
ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan
bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir
biçimde işlenmesi bilimi şeklinde ifade edilmektedir.[1]
Aynı zamanda pek çok kaynakta enformatik olarak da anılmaktadır.
Bilişim sistemleri ise bilginin toplanmasında, işlenmesinde,
depolanmasında, ağlar aracılığıyla bir yerden bir yere iletilip kullanıcıların
hizmetine sunulmasında kullanılan iletişim ve bilgisayarlar dâhil bütün
teknolojileri kapsar.[2]
Ülkemizde ise bilişim sistemi, TCK 243. Maddesinin gerekçesinde“…verileri
toplayıp yerleştirdikten sonra bunları otomatik işlemlere tabi tutma olanağını
veren manyetik sistemler.” olarak belirtilmiştir.[3]
2.
Bilişim Suçlarında Gözlenen Artış ve Artan Güvenlik
İhtiyacı
Özellikle elektronik verinin ve bilişim sistemlerinin
kullanımının gitgide yaygınlaşması, bilişim sistemlerinin saldırganlar
tarafından daha cazip bir hedef haline gelmesine sebebiyet vermiştir. Bu
durumun istatistiki yansıması olarak adli istatistikler verilebilir. Adalet
Bakanlığı tarafından düzenli olarak yayınlanan adli istatistikler
incelendiğinde bilişim suçu dosyalarının açılış adetlerinin yıllara sair
şekilde dağılımı aşağıdaki tabloda da görülebilmektedir.[4]
|
2017
ve öncesi |
2018 |
2019 |
2020 |
2021 |
2024[5] |
|
7,168 |
2,242 |
7,251 |
6,093 |
8,239 |
20,634 |
Adalet
bakanlığı kaynaklarında tespit edilebilen ve istatistiki bilgi tespit edilen en
son yıl olan 2024 yılında işlenen bilişim suçlarına ilişkin detay tablo ise
aşağıda yer almaktadır:[6]
|
Suç
Türü |
TCK Madde
No. |
Dosya |
Sanık |
Suç |
|
Banka veya Kredi Kartlarının
Kötüye Kullanılması |
245 |
11,451 |
13,198 |
16,989 |
|
Sistemi Engelleme, Bozma,
Verileri Yok Etme ve Değiştirme |
244 |
1,637 |
2,303 |
2,871 |
|
Bilişim Sistemine Girme |
243 |
641 |
711 |
734 |
|
Yasak Cihaz ve Programlar |
243/A |
31 |
39 |
40 |
|
Toplam (Adet) |
13,760 |
16,251 |
20,634 |
|
Yukarıdaki tablolarda yer alan
veriler incelendiğinde, 2017 yılında 7,168 adet olan bilişim suçu sayısının
2024 yılına gelindiğinde 20,634 adede yükselerek %188 artış meydana geldiği
görülebilmektedir. Bu durum, bilişim suçlarındaki artışı istatistiki unsurlar
ile ortaya koymaktadır.
Ülkemizde bilişim suçlarındaki bu
artış, elektronik verinin güvenliği konusundaki uygulamaların ve elektronik
verinin güvenliğinin yeniden değerlendirilmesine sebebiyet vermektedir. Buradan
hareketle, bir sonraki başlık altında elektronik veri kavramı ve elektronik
verinin güvenliği konularına değinmek faydalı olacaktır.
3.
Elektronik Veri Kavramı ve Elektronik Verinin
Güvenliği
Elektronik
veri, sistem ve uygulama yazılımları, sabit diskler veya disketler, CD-ROM'lar,
bantlar, sürücüler, hücreler, veri işleme aygıtları veya elektronik olarak
kontrol edilen ekipmanlarla kullanılan diğer ortamlar dâhil olmak üzere
bilgisayar yazılımlarında depolanan, oluşturulan veya kullanılan veya bunlara
iletilen bilgi, gerçek veya programlar anlamına gelmektedir.[7]
Elektronik bir verinin üretimi ve iletilmesini basitçe
açıklamak gerekirse; verilerin saklandığı fiziksel bir sunucu, kullanıcı
tarafından etkileşim kurulabilecek bir uç nokta (arayüz) ve cihazlar arası
iletişimin kurulabilmesi adına port ve bağlantı bilgilerinden bahsedilebilir.
Bu belirtilen kısımlara yetkisiz kişilerce gerçekleştirilecek erişim, verinin
değişikliğe uğramasına, sistemlere zarar verilmesine, veriye veya sistemlere istenmeyen
kişilerce erişilmesine veya iletilememesine sebebiyet verebilir. Bu durum,
bilişim suçlarını beraberinde getirmektedir.
4.
Türkiye Cumhuriyeti ve Diğer Çeşitli Ülkelerde
Bilişim Suçlarına İlişkin Düzenlemeler
Yazının ilk kısmında, dijital
yollar üzerinden verinin iletiminin cazibe kazanmasıyla birlikte bilişim
sistemlerinin dışarıya açık risk yüzey alanını artırdığını belirtmiştik. Bu
durum, zaman içinde elektronik ortamların (bilişim sistemlerinin) saldırganlar
tarafından daha cazip bir hedef haline gelmesine sebebiyet vermiştir. Bu duruma
karşı önleyici mekanizmalar olarak hukuk mercileri tarafından bu tür suçların
gerek işlenmesini caydırıcı gerekse cezalandırma amacıyla pek çok kanun maddesi
ortaya konulmuştur.
Bilişim hukuku alanında devletler tarafından tanımlı bilişim
düzenlemeler aşağıdaki şekilde örneklenebilir:
Türk Ceza Kanununda Bilişim Suçları Alanındaki
Düzenlemeler
Ülkemizde bilişim alanında hukuksal düzenlemeler ilk olarak 1991
yılında 3756 sayılı kanun ve 765 sayılı değişiklik ile ortaya konulmuştur.[8]
Bu kanunlara zamanla Ulusal Bilgi Güvenliği Kanunu, 5237 sayılı Türk Ceza
Kanunu gibi çeşitli düzenlemeler gerçekleştirilmiş ve zaman içerisinde daha
kapsayıcı bir biçimde ele alınmıştır. Ülkemizde bilişim alanında
gerçekleştirilen yasal düzenlemeler, genel olarak AB direktifleri ile uyumlu
olacak şekilde hazırlanmıştır. Bilişim suçları, her suçun kendi alanına ilişkin
düzenlemeler içermektedir. Bilişim Hukuku’na ilişkin en kapsamlı düzenlemeler 5237
sayılı Türk Ceza Kanununda (“TCK”) yer almaktadır. [9]
TCK’da ele alınan ve öne çıkan suçlar, aşağıda her bir
ilgili başlık altında, ilgili kanunda yer aldığı şekliyle sunulmaktadır.[10]
TCK Madde 243
İlgili madde, bir bilişim sistemine girme suçuna ilişkin
düzenlemeleri içermektedir. İlgili madde aşağıdaki şekilde düzenlenmiştir:
1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka
aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis
veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı
yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı
oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur
veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
(4) (Ek: 24/3/2016-6698/30 md.) Bir bilişim
sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri
nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen
kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.
TCK Madde 244
İlgili madde, bir bilişim sistemini engelleme, bozma,
verileri yok etme veya değiştirme suçuna ilişkin düzenlemeleri içermektedir.
İlgili madde aşağıdaki şekilde düzenlenmiştir:
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan
kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden,
değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri
başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile
cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir
kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde,
verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi
suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar
sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar
hapis ve beşbin güne kadar adlî para cezasına hükmolunur.
TCK Madde 245
İlgili madde kredi kartlarının kötüye kullanılmasına ilişkin
düzenlemeleri içermektedir. İlgili madde aşağıdaki şekilde düzenlenmiştir.
(1) Başkasına ait bir banka veya kredi kartını, her ne
suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin
veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu
kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç
yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezası ile
cezalandırılır.
(2) Başkalarına ait banka hesaplarıyla ilişkilendirilerek
sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul
eden kişi üç yıldan yedi yıla kadar hapis ve onbin güne kadar adlî para cezası
ile cezalandırılır.
(3) Sahte oluşturulan veya üzerinde sahtecilik yapılan bir
banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar
sağlayan kişi, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı
takdirde, dört yıldan sekiz yıla kadar hapis ve beşbin güne kadar adlî para
cezası ile cezalandırılır.
(4) Birinci fıkrada yer alan suçun;
•
(a)Haklarında ayrılık kararı verilmemiş eşlerden
birinin,
•
(b)Üstsoy veya altsoyunun veya bu derecede kayın
hısımlarından birinin veya evlat edinen veya evlâtlığın,
•
(c)Aynı konutta beraber yaşayan kardeşlerden
birinin,
•
(d)zararına olarak işlenmesi hâlinde, ilgili
akraba hakkında cezaya hükmolunmaz.
(5)(Ek: 6/12/2006 – 5560/11 md.)Birinci fıkra kapsamına
giren fiillerle ilgili olarak bu Kanunun malvarlığına karşı suçlara ilişkin
etkin pişmanlık hükümleri uygulanır.
Bu maddelere ek olarak, Madde 245/A (özetle - “bilişim suçları için aracı olarak cihaz ve
programların kullanımı”) ve 246 (özetle - “haksız menfaat elde edilmesi
durumunda özel güvenlik tedbirleri uygulanması”) verilebilir.
Kanunda Öne Çıkan, Bilişim Suçları ile İlişkili Diğer Düzenlemeler
TCK’da yukarıda belirtilen suçların yanı sıra, bazı suçların
bilişim alanında düzenlenmemiş olmasına rağmen bilişim sistemleri aracılığıyla
işlenebilir. Bu suçlar “Kişinin Özel Hayatına Karşı İşlenen Suçlar (TCK 132
Haberleşmenin Gizliliğini İhlal Suçu, TCK 135 Kişisel Verilerin Kaydedilmesi
Suçu vb.) suçlar ile birlikte Kişinin Özel Hayatının Korunması ile doğrudan
doğruya bağlantılı olmamakla birlikte bilişim sistemleri aracılığıyla
işlenebilecek suçlar (TCK 106 Tehdit, TCK 124 Haberleşmenin Engellenmesi vb)
olarak örneklendirilebilir.[11]
Diğer Ülkelerin Hukukunda Tanımlı Bilişim Suçları
Alanındaki Düzenlemeler
Bilişim suçlarının yalnızca ülkemize özgü olmadığı, diğer
Türkiye Cumhuriyeti sınırları dışındaki ülke sınırları içerisinde de,
elektronik cihazların kullanılması aracılığı ile çeşitli suçların işlendiği ve
bunların hukuki birer karşılığı bulunduğu unutulmamalıdır. Bu kapsamda,
uyuşmazlık kavramına ve bilişim hukukunda uluslararası düzenlemelere geçmeden
önce bilişim hukuku alanında diğer ülke uygulamalarını ele almakta fayda
bulunmaktadır.
A) Amerika Birleşik Devletleri[12]
ABD bilgisayar ve bilişim teknolojilerinin ilk geliştiği ülkelerden
biri olması sebebiyle bilişim suçları alanında da ilk yapılan düzenlemeler ABD’ye
aittir. Bunda
işlenen ilk bilişim suçlarının ABD’de meydana gelmesinin de etkisi olduğu
söylenebilir.[13] 1984’e
gelindiğinde tarihte bilinen ilk bilişim suçları düzenlemesi olan CFAA (“Computer
Fraud and Abuse Act”) ABD’de meydana gelen bilişim suçlarının artmasını önlemek
amacıyla yürürlüğe girmiştir. CFAA çok geniş bir bakış açısıyla bilişim
suçlarına üç alanda düzenleme getirmektedir;
•
Atom enerjisi, savunma ve dış politika alanındaki
gizli bilgilere, Birleşik Devletlerin zararına veya yabancı bir ülkenin faydasına
olacak şekilde ulaşmak için bir bilgisayara yetkisiz olarak girmek,
•
Finansal bir kurumun finans kayıtlarına veya tüketici
bilgilerine ulaşmak veya bunları kullanmak amacıyla bir bilgisayara hukuka aykırı
olarak girmek,
•
Hükümet işlerinde kullanılan bir bilgisayara
kasten girmek veya bu bilgisayardaki bilgilere erişmek veya çalışmasını
engellemek veya zarar vermek veya değişiklik yapmak,
Bu eylemlerden herhangi birinin suç olarak kabul
edilebilmesi için sanığın bilgisayara yetkisiz veya mevcut yetkisini aşarak erişmiş
olduğunun kanıtlanabilmesi gerekmektedir.[14]
Bu düzenlemelere diğer örnekler olarak 1986 tarihli
Elektronik Haberleşme Gizlilik Kanunu, 1992 tarihli Bilgi ve Teknoloji Kanunu,
Ulusal Bilgi Altyapısı Kanunu, 1998 tarihli Çocukların Online Yayınlardan
Korunması Kanunu, 1997 tarihli İnternette Kumarın Önlenmesi Kanunu, 2001
tarihli Anti-Terörizm Kanunları verilebilir.[15]
Yukarıda da görülebileceği üzere, ABD’de Çeşitli Federal
düzenlemeleri de içeren, bilişim hukuku alanında pek çok düzenleme yer
almaktadır. Bunlar içerisinde Delaware Veri Gizliliği Yasası, Florida Veri
Gizliliği Yasası gibi Eyaletlere göre değişkenlik gösteren pek çok veri
gizliliğine yönelik düzenleme verilebilir.[16]
B) Almanya
Almanya’da bilgisayar korsanlığı, kötü amaçlı yazılımların
kullanımı ve siber saldırılar gibi bilgisayar suçları, Alman Ceza Kanunu’nun
özel bir bölümü olan “Bilgisayar Suçları” (“Computerkriminalität”) altında düzenlenmiştir.
Bu kanun;
•
Bilgisayar korsanlığı, kötü amaçlı yazılım
kullanımı ve siber suçları düzenler.
•
Bilgisayar korsanlığı (illegal hacker
aktiviteleri) işlenmesi durumunda, 1 yıldan 10 yıla kadar hapis cezası öngörülebilir.
•
Kötü amaçlı yazılımların dağıtılması veya kullanılması
ciddi cezalar getirebilir.
Buna ek olarak, Almanya’da yine bilişim hukuku alanında çeşitli
mevzuatların yer aldığı da görülmektedir. Bunlara örnek olarak:
•
Strafgesetzbuch (StGB) – Ceza Kanunu,
•
Datenschutz-Grundverordnung (DSGVO) – Genel Veri
Koruma Tüzüğü (GDPR),
•
Urheberrechtsgesetz (UrhG) – Telif Hakkı Kanunu,
•
Bundesdatenschutzgesetz (BDSG) – Federal Veri
Koruma Yasası,
•
Telemediengesetz (TMG) – Çevrimiçi Medya
Hizmetleri Yasası,
•
Gesetz gegen den unlauteren Wettbewerb (UWG) –
Haksız Rekabet Karşıtı Yasası,
•
Telekommunikationsgesetz (TKG) – Telekomünikasyon
Yasası,
•
Sicherheitsgesetz (BSI-Gesetz) – Bilgi Güvenliği
Yasası[17]
düzenlemeleri verilebilir.
Bunlara ek olarak, BDSG - Federal Veri Koruma Yasasının[18]
GDPR ile birlikte 25 Mayıs 2018 tarihinde yürürlüğe girdiği ve GDPR ile uyumlu şekilde
yapılandırılan bir yasa olduğundan söz etmek gerekebilir.[19]
Bu durum, Avrupa Birliği ülkelerinin AB tarafından yürürlüğe alınan yasaların
AB’ye üye ülkeler tarafından uygulanması konusundaki hassasiyeti gözler önüne
sermektedir.
5.
Uyuşmazlık Kavramı
Uyuşmazlık kavramı, T.C. Adalet Bakanlığı Sözlüğünde en
temel haliyle, “İki tarafın bir konu üzerinde farklı görüşlere sahip olmasından
ortaya çıkan anlaşmazlık.” olarak ifade edilmiştir.[20]
Özellikle gerek kişiler arası, gerek kişiler ile şirketler arasındaki
karşılıklı iletişimin ve etkileşimin sürdüğü dünyada hemen her an, herhangi bir
sebepten ötürü uyuşmazlık ortaya çıkma ihtimali bulunmaktadır. Kişiler ve
şirketler arasında gerçekleşen bu uyuşmazlık durumu, çeşitli sebeplerden ötürü
devletleri de içine alacak şekilde genişleyebilir veya çözümde bürokrasinin
kaçınılmaz bir biçimde dâhil olma ihtiyacını ortaya koyabilir.
Bir hukuki uyuşmazlık çözümünde pek çok farklı yöntem
bulunmakla birlikte, bunlar arasında arabuluculuk, tahkim, uzlaşma ve dava
süreci gibi farklı seçenekler verilebilir. Mahkeme süreci geleneksel bir
uyuşmazlık çözüm yöntemi, Tahkim, arabuluculuk ve uzlaştırma (arabuluculuk)
yöntemleri ise alternatif uyuşmazlık çözümleri olarak belirtilebilir.[21]
Bilişim suçları, işleniş şekli, takibi, etkisi ve karmaşık
yapısı sebebiyle derin ve kapsamlı hukuksal düzenlemelere olan ihtiyacı ortaya
çıkartmış, bu nedenle farklı uyuşmazlık çözüm yöntemlerinin kullanımı
ihtiyacına sebebiyet vermiştir. Bunun yanı sıra, bilişim suçlarının uzaktan
gerçekleştirilebilmesi ve “sınır tanımaması”, bu konunun milletlerarası boyutta
ele alınması ihtiyacını ortaya koymuştur. Bu sebeple bilişim suçlarına ilişkin
düzenlemeleri milletlerarası boyutta incelemek faydalı olacaktır.
6.
Bilişim Suçlarına İlişkin Milletlerarası Düzenlemeler
Bilişim hukuku alanında uluslararası alanda bilişim
suçlarının ortaya çıkması ile birlikte milletlerarası boyutta pek çok yasa
tasarısı ortaya atılmış, bu tasarılar zamanla bir araya getirilerek Sözleşme ve
Tüzük formuna getirilerek bir arada düzenlenmiştir. Bu düzenlemeler
incelendiğinde başlıca öne çıkanlar aşağıda yer almaktadır.
Avrupa Konseyi Siber Güvenlik (Budapeşte) Sözleşmesi (23
Kasım 2001)
Siber tehditlere yönelik olarak Birleşmiş Milletler, Avrupa
Konseyi, Avrupa Birliği, OECD ve G8 gibi uluslararası kuruluşlar tarafından
birçok çalışma yürütülmüştür. Bu çalışmalar arasında özellikle Avrupa Konseyi
bünyesinde gerçekleştirilen faaliyetler öne çıkmaktadır. Avrupa Konseyi
bünyesinde kabul edilen Siber Güvenlik Sözleşmesi, siber tehditlerin
önlenmesine yönelik en kapsamlı ve ilk uluslararası antlaşmadır. Bu sözleşmeyi
diğer çalışmalardan ayıran temel özellik; taraf devletlerin, bilişim suçlarına
ilişkin olarak iç hukuklarında düzenleme yapmayı ve uluslararası adli iş
birliğini açıkça taahhüt etmiş olmalarıdır.[22]
Türkiye, sözleşmeyi 10 Kasım 2010 tarihinde imzalamış, 29 Eylül 2014 tarihinde
onaylamış ve sözleşme 1 Ocak 2015 itibarıyla yürürlüğe girmiştir.
Genel Veri Koruma Tüzüğü (“GDPR”) (14 Nisan 2016)
AB, siber güvenlik alanını düzenlerken direktif (directive),
tüzük (regulation veya act) ve komisyon uygulama tüzüğü (commission delegated
act) gibi bağlayıcı regülasyon araçlarının yanı sıra yumuşak hukuk kurallarından
da fazlasıyla yararlanmaktadır. Hem direktifler hem de tüzükler, Avrupa Birliği
üyesi tüm devletler açısından bağlayıcı nitelikte düzenlemelerdir. Direktifler,
genel bir çerçeve sunarak belirlenen hedef ve gerekliliklerin her bir üye
devlet tarafından iç hukuklarına aktarılmasını zorunlu kılmaktadır [23]
Bu kapsamda Avrupa Birliği tarafından kişisel verilerin korunmasına yönelik pek
çok düzenlemeden söz edilebilir. Bunlar içerisinde 1992 yılında siber
güvenlikle bağlantılı Avrupa’da kabul edilen ilk düzenleme olan 92/242/EEC
sayılı Avrupa Konseyi kararı ve 2016 yılında kabul edilen, AB düzeyinde siber
şebeke ve bilgi sistemleri güvenliğine yönelik olarak NIS1 direktifi ile 2016
yılında kabul edilerek 2018 yılında yürürlüğe giren GDPR verilebilir.
Özünde GDPR, Avrupa Birliği'nde (veya daha geniş Avrupa
Ekonomik Alanı'nda) yaşayan tüm bireylere internetteki verilerine erişme ve
bunları kontrol etme konusunda yeni haklar vererek, kişisel verilerin toplanma
ve işlenme biçimini temelden yeniden şekillendirmeyi amaçlamaktadır. Tüzük,
genel hatları ile veri işlemenin yasal dayanakları, verilerin silinmesi, erişim
kısıtları, düzeltme ve veri taşınabilirliğine ilişkin herhangi bir veri
sorumlusu veya veri işleyicisinin (burada teknoloji şirketleri haricindeki
şirketleri de kapsamak amaçlanmaktadır) yükümlülüklerini ve ihlallere ilişkin
yasaları düzenler.[24]
Siber Suçlara Karşı Birleşmiş Milletler Sözleşmesi (24
Aralık 2024)
Sözleşme, Budapeşte Sözleşmesi’nden farklı olarak BM Genel
Kurulu çatısı altında kabul edildiği için, daha kapsayıcı ve küresel bir temsil
sunar. Özellikle Çin, Rusya, Hindistan gibi Budapeşte Sözleşmesine taraf
olmayan ülkelerin bu sürece katılımı, normatif çeşitliliği artırmaktadır.
Sözleşme, genel hatlarıyla Budapeşte sözleşmesi ile aynı temellere dayansa da
ilgili sözleşmeyi Budapeşte sözleşmesinden ayıran temel özellik olarak siber
tehditlere karşı önleyici güvenlik anlayışını merkeze alması şeklinde belirtilebilir.
Bunlara örnek olarak Kaynağında siber suçların risklerinin ve tehditlerinin
azaltılması için devlet müdahalesi ve ortak siber operasyonlar verilebilir.[25]
Bilişim suçları kapsamında milletlerarası düzenlemeler
yalnızca yukarıda verilen örneklerle sınırlı değildir. İlgili düzenlemelere ek
pek çok protokol, tüzük düzenlemesi (Ör: Budapeşte Sözleşmesi’ne ek olarak
kabul edilen ve Birinci Ek Protokol olarak da anılan Bilişim Sistemleri
Aracılığıyla Gerçekleştirilen Irkçı ve Yabancı Düşmanı Niteliğindeki Fiillerin
Cezalandırılmasına İlişkin Ek Protokol ve İkinci ek protokol, NATO tarafından
uygulamaya konulan Siber Güvenlik Politikası gibi)[26]
yürürlüğe konulmakta ve mevcut düzenlemelerde iyileştirmelere gidilmektedir. Bu
gelişmeler, bilişim hukuku alanındaki sürekli izlemenin ve gelişen ve
evrimleşen suçlara ilişkin iyileştirmelerin devamının göstergesi
niteliğindedir.
7.
Bilişim Hukuku Alanında Uluslararası Uyuşmazlık
(Vaka) Örnekleri
Makalenin önceki kısmında, bilişim hukukunda ülkeler ve
milletlerarası seviyede uygulamaya alınan kanunları ele almıştık. Bu bilgiler
ışığında, uluslararası alanda meydana gelen bazı vakaları incelemek, ilgili
hukuksal düzenlemelere olan ihtiyacın da daha net bir biçimde ortaya
konulmasına yardımcı olacaktır. Bu kapsamda, milletlerarası seviyede bazı vaka
ve uyuşmazlık örneklerine aşağıda yer verilmektedir.
A) Amazon v Lüksemburg Ulusal Komisyonu (18 Mart 2025)[27]
Davanın Konusu
Amazon, özellikle hedefli reklam uygulamalarıyla bağlantılı
olarak, GDPR’ı ihlal edecek şekilde kişisel veri işlemekle suçlanmıştır. Şirketin
kullanıcıların çevrimiçi faaliyetleri—arama ve satın alma işlemleri de dâhil
olmak üzere—hakkında veri topladığı ve bu verileri kullanıcıların rızası olmaksızın
hedefli şekilde reklam göstermek için kullandığı tespit edilmiştir.[28]
Davanın Neticesi
Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD) Amazon’un kişisel
veri işleme faaliyetlerinin AB hukukuna uygun olmadığına hükmetmiştir. Amazon,
Avrupa Birliği veri koruma yasalarını ihlal ettiği iddiasıyla 886,6 M USD (636 M
EUR) tutarında bir para cezasına çarptırılmıştır. [29]
Lüksemburg’un gizlilik kuralları sebebiyle karara ilişkin detaylar DPA
tarafından yayınlanmamıştır. İlgili davanın hükmü Amazonun kendisi tarafından
yayınlanmıştır.
B) Uber v ABD (2016)
Davanın Konusu
Ulaşım amacıyla hizmet veren ve gerek müşteri, gerek kimlik
ve ehliyet bilgileri gibi pek çok kullanıcı verisini barındıran Uber firması,
2016 yılında 57 milyon kullanıcının verisini sızdırdığı ancak bu durumu örtbas
etmeye teşebbüs ettiği iddiasıyla suçlanmıştır. İddia kapsamında
hacker grubuna 100,000 USD karşılığında çalınan veriyi silmeleri ve olayı yaymamaları
adına ödeme yapıldığı belirtilmiştir[IL1] .
Davanın Neticesi
10 ay boyunca gerçekleştirilen soruşturmalar neticesinde, 57
milyon kullanıcı hesabının ve buna ek olarak 600,000 sürücü ehliyeti bilgisinin
sızdığı tespit edilmiştir. Özellikle sızdırılan verilerin pek çok farklı
ülkeden insana ait olması (kullanıcıların yarısından fazlası ABD’de
yaşamaktaydı), İngiltere, Avustralya, ve Filipinler’deki otoritelerin de
dikkatini çekmesine sebebiyet vermiştir. Olayın tespit edilmesi sonrası Uber,
148 M USD tutarında bir cezaya mahkum edilmiş, aynı olayın tekrarının da önüne geçilmesi
adına Uber sonraki iki yıl boyunca her çeyrekte bir veri sızıntısı vakalarını
raporlamaya ve dışarıdan bir yetkili tarafında kapsamlı bir bilgi güvenliği
hizmeti verilmesi adına programa tabi tutulmuştur.[30]
Buna ek olarak; 2016'da firmanın $100 milyon ödemeyi kabul ederek
ilgili mahkeme ile uzlaşmaya gitme teşebbüsünde bulunduğu, ancak bu durumun
ilgili mahkemece kabul görmediğini de belirtmek gerekmektedir.[31]
C) Almanya v Facebook Inc. [IL2] (Şimdiki
adı ile Meta Platforms Inc.) –(6 Şubat 2019)
Davanın Konusu
6 Şubat 2019 tarihinde, Almanya Federal Reklamcılık Dairesi,
Facebook’u kullanıcılarından izinsiz bir biçimde veri toplandığına ve kullanıcı
verisini kullanma yöntemlerini ihlal ettiğine karar verdi. Bu karar,
Facebook’un kullanıcı verilerini izinsiz bir şekilde toplamasını ve
reklamcılara izinsiz olarak verileri aktarmasını engellemek amacıyla
alınmıştır. Bu, olayın gerçekleştiği dönemde, Almanya’da bilişim hukuku ve veri
koruma konularında açılan önemli bir dava olarak dikkat çekti. [32]
Davanın Neticesi
Karar neticesinde Facebook 51,000 Euro tazminat ödemeye
mahkum edilmesi ile birlikte[33]
dikkat çekilmesi gereken asıl konu, Almanya’daki Facebook kullanıcılarının
artık uygulamanın kullanımı sırasında üretilen verilerinin, diğer kaynaklardan
elde edilen verilerle ne ölçüde birleştirileceğini kapsamlı biçimde kontrol
edebileceği bir açık rıza mekanizmasına sahip hale gelmesi olarak
gösterilebilir.[34] Davanın
neticesinde, Facebook uygulamanın veri toplama ve kullanma yöntemini kalıcı
olarak bu doğrultuda güncelleme ve kullanıcıya bırakma yoluna gitme durumunda
kalmıştır.
D) Linkedin v İrlanda[35]
- 2018
Davanın Konusu
2018 yılında bir Fransız kuruluş Linkedin’in kişisel
verileri yetkisizce işleyerek davranışsal analiz ve kullanıcıları hedef alan
reklamlar amacıyla bilgilendirilmeden ve rıza alınmadan işlendiğine dair bir yetkili
mercilere şikayette bulunmuştur. Şikayet neticesinde ilgili suçların işlenip
işlenmediğine ilişkin bir inceleme gerçekleştirilmiştir. Linkedin’in merkezinin
İrlanda’da bulunması sebebiyle davayı İrlanda’da yer alan İrlanda Veri Koruma
Komisyonu (DPC) yönetmiştir.[36]
Davanın Neticesi
Karar neticesinde Linkedin tarafından yapılan söz konusu
verilerin şeffaf şekilde temin edilmediği, işlenmesinin ise hukuka uygun
olmadığı belirtilmiştir. DPC, Linkedin’in veri işleme faaliyetlerini GDPR ile
uyumlu hale getirmesini ve 310 milyon € tutarında idari para cezası ödemesini
emretmiştir.
E) Barbulescu v Romanya (12 Ocak 2016)
Davanın Konusu
İlgili dava, Romanya’da özel bir firmada satış mühendisi
olarak çalışan Barbulescu isimli kişiye bir şirket e-postası tanımlanarak bu
e-posta üzerinden gerçekleştireceği iletişimin düzenli olarak takip edileceği
bilgisi verilmiş, ancak bu takibin detaylarına ilişkin bilgiler kendisine
verilmemiştir. Her ne kadar kendisi tarafından şirket e-postasının kişisel
amaçlarla kullanmadığını belirtse de, bu iddia sebebiyle işvereni tarafından
sözleşmesi feshedilmiştir. Olayın ardından Romanya mahkemelerine başvuran Barbulescu,
talebinin mahkeme tarafından reddedilmesi üzerine Romanya Devletine karşı
Avrupa İnsan Hakları Mahkemesi’ne (AIHM) başvurmuştur.
Davanın Neticesi
Avrupa İnsan Hakları Mahkemesi (AİHM) Büyük Dairesi’nin
Bărbulescu – Romanya davasındaki yakın tarihli kararı, bir çalışanın e-posta
hesabının izlenmesinin, AİHS’nin 8. maddesi anlamında özel hayata ve
haberleşmeye saygı hakkının ihlaliyle sonuçlanmadığını tespit etmiştir. Sunulan
delillere dayanarak Mahkeme, başvurucunun şirketin iç düzenlemeleri hakkında
bilgilendirildiğini ve ulusal mahkemelerin söz konusu menfaatleri doğru şekilde
belirlediğini kabul etmiştir.[37]
AIHM’in 8’inci maddesi özel hayatın korunmasına ilişkin
hükümleri içermektedir.[38]
Gerekçeli kararda aynı zamanda GDPR’ın 88’inci maddesine de atıfta bulunulduğu
görülmüştür. İlgili madde, kişisel verinin işveren tarafından işlenmesine
ilişkin düzenlemeleri içermektedir.[39]
8.
Sonuç
Bu makalede özetle, teknolojinin gelişimi ve beraberinde
getirdiği elektronik verinin transferi ve artan depolama ihtiyaçları
neticesinde artan bilişim suçları, çeşitli veri kaynaklarından elde edilen
istatistiksel veriler ile ortaya konulmuş; bilişim, bilişim sistemleri ve
elektronik veri kavramları tariflenmeye çalışılmıştır. Özellikle Türkiye
Cumhuriyeti ve bazı farklı ülkelerde bilişim hukukuna ve suçlarına ilişkin
çeşitli düzenlemeler ele alınmış, bilişim suçlarının uzaktan
gerçekleştirilebilmesi ve sınır tanımamasının bilişim hukukuna ilişkin milletlerarası
çözümlerin getirilmesi ihtiyacına sebebiyet verdiği ifade edilmiştir. Bu
kapsamda, gerek AB, gerekse BM ve benzeri organizasyonlar ve kuruluşlar
özelinde bilişim hukukuna ve suçlarına ilişkin yürürlüğe konulan düzenlemeler
ele alınmış, bu düzenlemelerin sürekli izlemenin ve gelişen ve evrimleşen
bilişim suçlarına ilişkin iyileştirmelerin devamının göstergesi niteliğinde
olduğu ortaya konulmuştur. Makalede yer alan birtakım dava örneklerinde
davaların detaylarına ve çözüm şekillerine çeşitli gizlilik kuralları nedeniyle
ulaşılamamaktadır. Ancak erişilebilen davalardan da görülebileceği üzere, bazı
davaların çözümü adına gerek geleneksel gerekse alternatif uyuşmazlık çözüm
mekanizmalarının devreye alındığı ve özellikle kişisel verilerin korunmasına
yönelik ihlallerde etkilerin yalnızca ilgili ülke ile sınırlı kalmadığı,
sızdırılan veri boyutuna benzer şekilde farklı ülkelerin de konuya müdahil
olabildiği görülebilmektedir. Yukarıda belirtilen bu durumlar; bilişim
suçlarının etkilerinin ne kadar geniş çaplı olduğu, fiziksel bir sınır veya
ülke sınırı tanımadığı, sürekli olarak evrildiği ve buna eş şekilde
düzenlemelerin de genişleyerek ve güncellenerek hayata geçirildiği
görülebilmektedir. Tüm bu sebepler, meydana gelen siber suçların milletlerarası
boyut kazanma potansiyelinin oluşmasının an meselesi olduğunu göstermekte ve
siber suçlarla mücadelenin önemini ortaya koymaktadır.
[1] https://sozluk.gov.tr/?ara=bili%C5%9Fim
[2]https://be.gazi.edu.tr/view/page/286398/bilisim-sistemleri-hakkinda#:~:text=Bili%C5%9Fim%20sistemleri%2C%20bilginin%20toplanmas%C4%B1nda%2C%20i%C5%9Flenmesinde,bilgisayarlar%20d%C3%A2hil%20b%C3%BCt%C3%BCn%20teknolojileri%20kapsar.
[3]
https://www.hukukvebilisimdergisi.com/bilisim-sistemine-girme-sucu-ve-uluslararasi-alanda-degerlendirilmesi/
[4] Mehmet
Bedii Kaya, https://mbkaya.com/bilisim-suc-istatistik-turkiye-siber-guvenlik/,
V. Bilişim Suçları Dosyalarının Açılış Yılına Göre Dağılımı, 2022
[5]Kaynak:
Adalet Bakanlığı, Adalet İstatistikleri, 2.17 - TCK uyarınca ceza
mahkemelerinde kovuşturma evresinde ilk on beş suç türüne ilişkin karara
bağlanan dosya, sanık ve suç sayıları, 2024, Sayfa 103
[6]Kaynak: Adalet
Bakanlığı, Adalet İstatistikleri, 2.17 - TCK uyarınca ceza mahkemelerinde
kovuşturma evresinde ilk on beş suç türüne ilişkin karara bağlanan dosya, sanık
ve suç sayıları, 2024, Sayfa 103
[7]https://www-lawinsider-com.translate.goog/dictionary/electronic-data?_x_tr_sl=en&_x_tr_tl=tr&_x_tr_hl=tr&_x_tr_pto=wa&_x_tr_hist=true
[8] https://medya.barobirlik.org.tr/tbbdergisi/App_Themes/Dergi/2009-81-498.pdf
[9] https://internet.btk.gov.tr/turkiye-de-bilisim-hukuku
[10] Aşağıda
yer alan kanun hükümleri https://www.mevzuat.gov.tr/ adresinden alınmıştır. 5237 sayılı kanunda yer
alan bu maddeler, mevzuatta yer aldığı biçimiyle aktarılmıştır.
[11]
Ş.Cankat Taşkın, “Bilişim Hukuku - Uluslararası Uyuşmazlıklar”, TBB Dergisi,
Sayı 85, 2009, sf.346
[12]
Örneklemlerde Rüya Şamlı tarafından hazırlanan “Türk ve Dünya Hukukunda Bilişim
Suçları” içeriğinden faydalanılmıştır. https://ab.org.tr/ab10/sunum/106.pdf
[13] Referans
gelecek.
[14] Stj.
Av. Z. Ebrar Kaya, Hukuk ve Bilişim Dergisi,2022, https://www.hukukvebilisimdergisi.com/mukayeseli-hukukta-bilisim-suclari/
[15] Rüya
Şamlı, Türk ve Dünya Hukukunda Bilişim Suçları, https://ab.org.tr/ab10/sunum/106.pdf
[16]
https://www-dlapiperdataprotection-com.translate.goog/index.html?t=law&c=US&_x_tr_sl=en&_x_tr_tl=tr&_x_tr_hl=tr&_x_tr_pto=tc
[17] Bilişim
ve Hukuk, Almanya’da Bilişim Hukuku, 2023, https://bthukuku.com.tr/almanyada-bilisim-hukuku/
[18] Federal
Data Protection Act, (BDSG), 2017 https://www.gesetze-im-internet.de/englisch_bdsg/englisch_bdsg.html
[19] https://www.dlapiperdataprotection.com/index.html?t=law&c=DE
[20] T.C.
Adalet Bakanlığı, Hukuk Sözlüğü, https://sozluk.adalet.gov.tr/
[21] İlter
Lofçalı, Oytun Önder, Batuhan Tellioğlu, Ticari Uyuşmazlık Danışmanlığı, KPMG
Gündem, sf 76 - 79, 2020, https://assets.kpmg.com/content/dam/kpmg/tr/pdf/2020/04/Gundem-36.pdf
[22] https://mbkaya.com/hukuk/siber-guvenlik-hukuku.pdf
[23] https://mbkaya.com/hukuk/siber-guvenlik-hukuku.pdf
, sf 39
[24] https://gdpr.eu/what-does-it-stand-for/
[27] https://2b-advice.com/en/2025/03/26/record-fine-against-amazon-administrative-court-confirms-cnpd-decision-of-746-million-euros/#:~:text=The%20Luxembourg%20data%20protection%20supervisory,full%20on%20March%2018%2C%202025.
[28] https://www.getastra.com/blog/security-audit/data-breach-fines-and-penalties/#didi-global
[29] https://www.bbc.com/news/business-58024116
[30] https://www.reuters.com/article/us-uber-databreach-idUSKCN1M62AJ/
[31] https://www.napolilaw.com/tr/article/uber-davasini-anlamak/
[32] https://bthukuku.com.tr/almanyada-bilisim-hukuku/
[33] https://www.edpb.europa.eu/news/national-news/2019/hamburg-data-protection-commissioners-eu51000-fine-against-facebook-germany_en
[34] https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2024/B6-22-16.pdf?__blob=publicationFile&v=8
[35] https://www.pinsentmasons.com/out-law/news/irish-data-protection-fines-linkedin-310-million
[36] https://www.rte.ie/news/business/2024/1024/1477224-linkedin-fined-by-dpc/
[37] https://strasbourgobservers.com/2017/10/19/barbulescu-v-romania-and-workplace-privacy-is-the-grand-chambers-judgment-a-reason-to-celebrate/
[38] https://www.equalityhumanrights.com/human-rights/human-rights-act/article-8-respect-your-private-and-family-life#:~:text=England-,Article%208%20protects%20your%20right%20to%20respect%20for%20your%20private,and%20emails%2C%20for%20example).
[39] https://gdpr--info-eu.translate.goog/art-88-gdpr/?_x_tr_sl=en&_x_tr_tl=tr&_x_tr_hl=tr&_x_tr_pto=tc
Yorumlar
Yorum Gönder