Adres:
Çetin Emeç Bulv. Yukarı Öveçler Mh. Lizbon Cd. No: 2/3 Çankaya, Ankara
Telefon:
0 (312) 911 81 94
İzinsiz Faaliyet Yürütme Suçu
7545 sayılı Siber Güvenlik Kanunu, siber güvenlik alanında faaliyet gösterecek kişi ve kuruluşları belirli bir denetim ve yetkilendirme rejimine tabi kılmıştır. Kanun’un çeşitli maddelerinde Siber Güvenlik Başkanlığı’ndan onay, yetki veya izin alınması zorunluluğu öngörülmüş; bu zorunluluğa uyulmaması ise 16. maddenin ikinci fıkrasında bağımsız bir suç tipi olarak düzenlenmiştir.
Madde metni şu şekildedir:
Siber Güvenlik Kanunu m.16/2
“Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.”
Bu düzenleme, Kanun’un öngördüğü lisanslama ve sertifikasyon sisteminin ceza hukuku yaptırımıyla desteklenmesi amacını taşımaktadır. Siber güvenlik alanının hassasiyeti göz önünde bulundurulduğunda, bu alanda kontrolsüz faaliyet yürütülmesinin ulusal güvenlik bakımından ciddi riskler barındırdığı açıktır. Kanun koyucu, bu riskleri bertaraf etmek amacıyla izinsiz faaliyet yürütmeyi suç olarak tanımlamış ve 16. maddenin birinci fıkrasındaki bilgi vermeme suçundan daha ağır bir yaptırım öngörmüştür.
I. Korunan Hukuki Değer
Bu suç tipiyle korunan hukuki değer, siber güvenlik alanındaki kamu düzeni ve bu alandaki faaliyetlerin devlet denetimi altında yürütülmesine ilişkin kamusal yarardır.
Siber güvenlik sektörü, doğası gereği son derece hassas verilere ve kritik altyapılara erişim imkânı sunan bir faaliyet alanıdır. Bu alanda denetimsiz şekilde faaliyet gösteren kişi ve kuruluşların, savunma sanayi, enerji, sağlık, finans ve telekomünikasyon gibi kritik sektörlerin bilişim sistemlerine erişebilme potansiyeli bulunmaktadır. Yetkilendirme ve sertifikasyon sistemi, bu erişimin güvenilir ve ehil kişi ve kuruluşlarca gerçekleştirilmesini sağlamayı hedeflemektedir.
Bu bakımdan suç, ekonomik faaliyetlerin düzenlenmesine ilişkin suçlarla (örneğin, ruhsatsız silah ticareti veya izinsiz bankacılık faaliyeti gibi) yapısal benzerlik taşımaktadır. Her iki durumda da belirli bir alanda faaliyet göstermek, kamusal otoriteden izin alınmasına bağlanmış; izinsiz faaliyet ise suç olarak tanımlanmıştır.
II. Suçun Maddi Unsurları
A. Fail
Suç, herkes tarafından işlenebilen genel bir suçtur. Gerçek kişiler, tüzel kişilerin organları sıfatıyla hareket eden gerçek kişiler ve tüzel kişiliği bulunmayan kuruluşlar fail olabilir. Tüzel kişilerin cezai sorumluluğu, TCK’nın genel hükümleri çerçevesinde güvenlik tedbiri olarak değerlendirilecektir.
Uygulamada bu suçun potansiyel failleri arasında şu kişi ve kuruluşlar öne çıkmaktadır:
- Başkanlıktan sertifika almaksızın siber güvenlik hizmeti sunan şirketler,
- Yetkilendirme ve belgelendirme işlemlerini tamamlamadan faaliyetlerini sürdüren dernekler, vakıflar ve federasyonlar,
- Onay almaksızın siber güvenlik ürünlerini yurt dışına ihraç eden firmalar,
- Başkanlık onayı olmadan birleşme, bölünme veya pay devri işlemi gerçekleştiren siber güvenlik şirketlerinin yetkilileri.
B. Mağdur
Suçun mağduru, kamu düzeninin bozulmasından etkilenen toplum ve devlettir. Siber güvenlik alanında denetimsiz faaliyet yürütülmesi, doğrudan veya dolaylı olarak toplumun siber güvenlik hakkını tehlikeye düşürmektedir.
C. Fiil
Suçun maddi unsurunu oluşturan fiil, Kanun uyarınca alınması gereken onay, yetki veya izinleri almaksızın faaliyet yürütmektir. Burada üzerinde durulması gereken iki temel kavram bulunmaktadır: “onay, yetki veya izin” ve “faaliyet yürütme.”
1. Onay, Yetki veya İzin Gerektiren Durumlar
Kanun’un çeşitli maddelerinde Başkanlıktan onay, yetki veya izin alınmasını zorunlu kılan düzenlemeler yer almaktadır. Bunların başlıcaları şunlardır:
Sertifikasyon ve yetkilendirme zorunluluğu (m.5/1-ğ ve m.7/1-ç)
Siber güvenlik alanında faaliyet gösteren şirketlerin, Başkanlık tarafından belirlenen ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlaması gerekmektedir. Kanun’un Geçici 1. maddesinin dördüncü fıkrası uyarınca, siber güvenlik alanında faaliyet icra eden dernek, federasyon, vakıf ve ticaret şirketleri, ilgili düzenlemelerin yürürlüğe girmesinden itibaren bir yıl içinde bu işlemleri tamamlamakla yükümlüdür. Bu yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamayacağı açıkça hükme bağlanmıştır.
Siber güvenlik ürünlerinin ihracatı (m.18/1)
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacaktır. İzne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınması zorunludur.
Şirket birleşme, bölünme ve pay devri işlemleri (m.18/2)
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemlerinde, kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir. Kanun, onay alınmaksızın gerçekleştirilen işlemlerin hukuki geçerlilik kazanmayacağını da açıkça belirtmektedir.
Bağımsız denetçi ve denetim kuruluşlarının yetkilendirilmesi (m.6/1-ğ)
Siber güvenlik denetimi gerçekleştirecek bağımsız denetçi ve kuruluşların Başkanlık tarafından yetkilendirilmesi gerekmektedir.
2. Faaliyet Yürütme
Faaliyet yürütme kavramı, Kanun’da tanımlanmamıştır. Bu kavramın geniş yorumlanması halinde, siber güvenlik alanıyla ilgili herhangi bir faaliyetin izinsiz olarak gerçekleştirilmesi suçun oluşmasına yeterli olacaktır. Dar yorumda ise yalnızca Kanun’un açıkça izne bağladığı belirli faaliyetlerin izinsiz yürütülmesi suç oluşturacaktır.
Suç ve cezada kanunilik ilkesi (TCK m.2, Anayasa m.38) gereğince, bu kavramın dar yorumlanması gerekmektedir. Ancak Kanun’un açıkça izne bağladığı faaliyet alanlarının genişliği göz önünde bulundurulduğunda, dar yorum dahi geniş bir uygulama alanı bırakmaktadır.
Fiilin icrai nitelikte olduğu açıktır. İzinsiz olarak faaliyet yürütmek, aktif bir davranışı gerektirmektedir. Salt izin başvurusunda bulunmamak, herhangi bir faaliyet yürütülmediği sürece bu suçu oluşturmayacaktır.
D. Suçun Tamamlanması
Suç, sırf hareket suçu niteliğindedir. İzinsiz faaliyetin yürütülmesiyle suç tamamlanır; ayrıca bir neticenin gerçekleşmesi aranmaz. Faaliyetin kısa veya uzun süreli olması, suçun oluşmasını etkilemez; ancak cezanın bireyselleştirilmesinde dikkate alınabilir.
Bu suç, aynı zamanda mütemadi (kesintisiz) suç niteliği taşımaktadır. İzinsiz faaliyet sürdürüldüğü müddetçe suç işlenmeye devam etmektedir. Zamanaşımı, faaliyetin sona erdiği tarihten itibaren işlemeye başlayacaktır.
III. Suçun Manevi Unsuru
Suçun manevi unsuru genel kasttır. Failin, ilgili faaliyet için Kanun uyarınca onay, yetki veya izin alınması gerektiğini bilmesi ve buna rağmen izin almaksızın faaliyete başlaması ya da devam etmesi yeterlidir.
Olası kast bakımından ise failin, faaliyeti için izin gerekip gerekmediğini bilmemekle birlikte, bu ihtimali öngörmesine rağmen faaliyete devam etmesi halinde de suçun oluşacağı kabul edilmelidir.
Hukuki hata konusu ise ayrıca değerlendirilmelidir. Kanun’un yeni bir düzenleme olması ve ikincil mevzuatın henüz tam olarak oluşmamış olması nedeniyle, failin hangi faaliyetlerin izne tabi olduğunu bilmemesi durumu kaçınılmaz hata olarak nitelendirilebilir mi? TCK’nın 4. maddesindeki kanunu bilmemek mazeret sayılmaz ilkesi genel kural olmakla birlikte, TCK’nın 30. maddesinin dördüncü fıkrasındaki hata hükmünün somut olayın koşullarına göre uygulanması gündeme gelebilecektir.
IV. Yaptırım
Suç için öngörülen yaptırım, iki yıldan dört yıla kadar hapis cezası ve bin günden iki bin güne kadar adli para cezasıdır. Her iki ceza kümülatif olarak uygulanacaktır.
Hapis cezasının alt sınırının iki yıl olması önemli sonuçlar doğurmaktadır. İki yıl ve altındaki hapis cezaları, TCK’nın 51. maddesi uyarınca ertelenebilir. Ancak hükmün açıklanmasının geri bırakılması (HAGB) bakımından, CMK’nın 231. maddesi uyarınca üst sınırın iki yıl olması gerektiğinden, somut cezanın iki yılı aşması halinde HAGB uygulanamayacaktır. Alt sınırdan ceza verilmesi halinde ise HAGB mümkün olabilecektir.
Adli para cezası bakımından, TCK’nın 52. maddesi uyarınca gün biriminin yirmi ile beş yüz Türk lirası arasında belirlenebileceği göz önüne alındığında, adli para cezasının yirmi bin TL ile bir milyon TL arasında bir tutarda hükmedilmesi söz konusu olabilecektir.
Bu yaptırım düzeyi, birinci fıkradaki bilgi vermeme suçundan belirgin şekilde ağırdır. Kanun koyucu, izinsiz faaliyet yürütmeyi, denetim mekanizmasının engellenmesinden daha ağır bir haksızlık olarak değerlendirmiştir. Bu tercih, siber güvenlik alanındaki denetimsiz faaliyetlerin potansiyel zararının büyüklüğüyle doğrudan ilişkilidir.
V. Nitelikli Haller
Kanun’un 16. maddesinin yedinci fıkrasında yer alan ağırlaştırıcı sebepler, bu suç bakımından da geçerlidir:
Kamu görevlisi tarafından işlenmesi halinde ceza üçte bir oranında artırılır. Bir kamu görevlisinin, kamu görevi dışında siber güvenlik alanında izinsiz faaliyet yürütmesi bu kapsamda değerlendirilebilir.
Birden fazla kişi tarafından birlikte işlenmesi halinde ceza yarı oranında artırılır. Bir şirketin birden fazla yetkilisinin, izin almaksızın siber güvenlik hizmeti sunma kararı alması bu kapsamda değerlendirilebilir.
Bir örgütün faaliyeti çerçevesinde işlenmesi halinde ceza yarısından iki katına kadar artırılır. Bu nitelikli halin uygulanması durumunda cezanın üst sınırı teorik olarak on iki yıla kadar çıkabilecektir.
VI. Diğer Suç Tipleriyle İlişkisi
A. TCK m.243-246 ile İlişkisi
İzinsiz faaliyet yürütme suçu ile TCK’daki bilişim suçları arasında doğrudan bir ilişki bulunmamaktadır. Ancak izinsiz siber güvenlik faaliyeti kapsamında, örneğin yetkisiz sızma testi (penetrasyon testi) yapılması halinde, TCK’nın 243. maddesindeki bilişim sistemine girme suçu da gündeme gelebilecektir. Bu durumda gerçek içtima kuralları çerçevesinde her iki suçtan ayrı ayrı ceza verilmesi söz konusu olabilir.
B. Kanun’un 16/1 ile İlişkisi
İzinsiz faaliyet yürüten bir kişi veya kuruluşun, aynı zamanda Başkanlığın bilgi taleplerini de yerine getirmemesi halinde, her iki suçun unsurları ayrı ayrı gerçekleşebilir. Bu durumda gerçek içtima uygulanacak ve her iki suçtan ayrı ayrı ceza verilecektir.
C. İdari Yaptırımlarla İlişkisi
Kanun’un 16. maddesinin onuncu ve on birinci fıkralarında düzenlenen idari para cezaları ile ikinci fıkradaki cezai yaptırım arasındaki ilişki de değerlendirilmelidir. 7. maddenin birinci fıkrasının (b) ve (c) bentlerindeki yükümlülüklere aykırılık, hem idari para cezası hem de belirli koşullar altında cezai yaptırım gerektirebilir. Bu durumda, aynı fiil nedeniyle hem adli hem idari yaptırım uygulanıp uygulanamayacağı, ne bis in idem (aynı fiilden dolayı iki kez yargılanmama) ilkesi çerçevesinde tartışmaya açıktır.
VII. Uygulamada Karşılaşılabilecek Sorunlar
A. İkincil Mevzuatın Belirsizliği
Kanun’un pek çok hükmü, Başkanlıkça belirlenecek usul ve esaslar ifadesine atıf yapmaktadır. Geçici 1. madde uyarınca bu düzenlemelerin bir yıl içinde yürürlüğe konulması öngörülmüştür. Ancak ikincil mevzuat yürürlüğe girinceye kadar, hangi faaliyetlerin izne tabi olduğunun tam olarak bilinememesi ciddi bir hukuki belirsizlik yaratmaktadır. Suç ve cezada kanunilik ilkesinin bir uzantısı olan belirlilik ilkesi, bu belirsizliğin giderilmesini zorunlu kılmaktadır.
B. Geçiş Dönemi Sorunları
Kanun’un yürürlüğe girdiği tarihte halihazırda siber güvenlik alanında faaliyet gösteren şirketler ve kuruluşlar bakımından, sertifikasyon sürecinin tamamlanması için Geçici 1. madde ile bir yıllık süre tanınmıştır. Bu süre içinde faaliyetlerin sürdürülmesinin suç oluşturup oluşturmayacağı önemli bir sorudur. Geçici maddenin lafzından, bu süre içinde faaliyetlerin sürdürülmesinin izinsiz faaliyet olarak nitelendirilemeyeceği sonucuna ulaşılabilir. Ancak sürenin dolmasının ardından sertifikasyonunu tamamlamamış kuruluşların faaliyetlerine devam etmesi, suçun oluşmasına yol açacaktır.
C. Siber Güvenlik Faaliyetinin Tanımı
Siber güvenlik alanında faaliyet kavramının sınırları da uygulamada sorun yaratabilir. Örneğin, bir bilişim şirketinin kendi müşterilerine sunduğu güvenlik duvarı yapılandırma hizmeti, siber güvenlik faaliyeti olarak mı nitelendirilecektir? Bir yazılım geliştiricisinin oluşturduğu antivirüs yazılımını piyasaya sürmesi için Başkanlıktan izin alması gerekecek midir? Bu soruların yanıtları, ikincil mevzuatla netleştirilmelidir.
D. Uluslararası Boyut
Yurt dışından Türkiye’deki müşterilere siber güvenlik hizmeti sunan yabancı şirketlerin bu suçun faili olup olamayacağı da tartışmalıdır. TCK’nın 8. maddesi uyarınca Türkiye’de işlenen suçlar bakımından Türk ceza kanunları uygulanacaktır. Ancak fiilin tamamen yurt dışında gerçekleştirilmesi halinde, yetki alanı (jurisdiction) sorunu gündeme gelecektir.
VIII. Sonuç
7545 sayılı Siber Güvenlik Kanunu’nun 16. maddesinin ikinci fıkrasında düzenlenen izinsiz faaliyet yürütme suçu, siber güvenlik sektörünün devlet denetimi altına alınmasının en önemli cezai güvencesidir. Suçun geniş kapsamı, kümülatif yaptırım yapısı ve mütemadi suç niteliği, kanun koyucunun bu alandaki kararlılığını yansıtmaktadır.
Bununla birlikte, suçun etkin bir şekilde uygulanabilmesi, büyük ölçüde ikincil mevzuatın zamanında ve yeterli açıklıkta çıkarılmasına bağlıdır. Suç ve cezada kanunilik ile belirlilik ilkeleri, Başkanlığın düzenleme yetkisini kullanırken izne tabi faaliyetlerin sınırlarını net bir şekilde çizmesini zorunlu kılmaktadır. Bu bağlamda, Kanun’un Geçici 1. maddesiyle öngörülen bir yıllık süre içinde çıkarılacak yönetmelik ve usul esasların, sektör aktörleri tarafından yakından takip edilmesi gerekmektedir.
Siber güvenlik alanında faaliyet gösteren tüm şirket, dernek, vakıf ve gerçek kişilerin, Kanun’un öngördüğü sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ivedilikle başlatmaları; mevcut faaliyetlerini Kanun’un gereklilikleriyle uyumlu hale getirmeleri ve bu konudaki gelişmeleri düzenli olarak izlemeleri hayati önem taşımaktadır.