1. Giriş
Avrupa Komisyonu yakın zamanda ‘X’in (eski adıyla Twitter) sahibi Elon Musk’a çevrimiçi güvenlik ile ilgili endişelere ilişkin 10 Ekim 2023 tarihli uyarısını[1] yayınladı. Bu uyarıda, ‘X’in, Gazze Şeridi’nde yeniden alevlenen çatışmaya ilişkin ‘X’te yayınlanan ‘bilgi çarpıtma/yanıltıcı haber’ ve ‘yasa dışı’ içerik (disinformation and illegal content) ile ilgili yasal yükümlülükleri hatırlatılıyor. Ertesi gün Mark Zuckerberg ve Meta da benzer bir uyarı[2] aldılar.
Sosyal medya platformları ve bu platformların çevrimiçi güvenliği artırma yükümlülükleri etrafındaki tartışmalar ve giderek artan incelemeler yeni değildir. Ancak çatışmadan ortaya çıkan korkunç hikâyeler, görüntüler ve video içeriği (ve bunun sonucunda yapılan yorumlar), Avrupa Komisyonu’nu hem platform sahipleri hem de dolaylı olarak onların kullanıcıları, sosyal medyanın vahşi batısını ve daha geniş anlamda İnterneti yöneten yasaların mevcut olduğunu hatırlatmaya teşvik etti (hâlâ da mevcut).
Birleşik Krallık’ta da durum farklı değil ve yakın zamanda Çevrimiçi Güvenlik Yasası (Online Safety Bill-OSB[3]) şeklinde internet düzenlemesine yönelik bir adım atıldı. Avrupa Komisyonu’nun sorgulaması, Birleşik Krallık’ın pozisyonunun (varsa) ne olabileceğini düşündürüyor.
Bu nedenle, bu blogda, çevrimiçi güvenlik ile ilgili olarak Birleşik Krallık’taki İnternet düzenlemesinin mevcut durumu incelenecektir.
2. Ceza Hukuku ve Çevrimiçi Güvenlik [criminal law and online safety]
Temel konumu ceza hukuku perspektifinden ortaya koymaya değer. Yasa dışı hale getirilen içeriğin (nefret söylemi, terörizmi destekleme vb.) çevrimiçi olarak yayınlanması yasa dışıdır. Ancak konuyu araştırmak ve harekete geçmek (ilgili sosyal medya sağlayıcısına bildirimde bulunarak veya başka şekilde) polis kurumunun sorumluluğundadır. Sosyal medyanın ve diğer platformların devasa boyutu ve bunun sonucunda ortaya çıkan çevrimiçi içerik göz önüne alındığında, Hükümet çevrimiçi güvenliği sağlama yükünü özel şirketlere yüklemeye çalışmıştır.
3. Veri Koruma ve Çevrimiçi Güvenlik [data protection and online safety]
Çevrimiçi Güvenlik Yasası hem Avam Kamarası’ndan hem de Lordlar Kamarası’ndan geçmiş ancak henüz Kraliyet Onayını alamamıştır. Bu önümüzdeki ay içinde verilmelidir. Bu durumda, unsurlarının uygulamaya konulması için ikincil mevzuatın gerekli olması nedeniyle, tamamen uygulanabilir hale gelmesi için bir hazırlık süresi vardır.
Bu nedenle şu anda en ilgili düzenleyici rejim, Bilgi Komiserliği Ofisi’nin (Information Commissioner Office-ICO) 2018 tarihli Veri Koruma Kanunu (Data Protection Act-DPA) uyarınca yayınlanan Bilgi Komiserliği Ofisi’nin ‘Yaşa Uygun Tasarım Kuralları’dır (Age Appropriate Design Code). Bu kurallar, çocukların çevrimiçi güvenliğini artırmak amacıyla belirli hizmet sağlayıcıların uyması gereken 15 adet ‘standardı’ ortaya koymaktadır. Anılan kurallar kendi başına yasa değildir, ancak söz konusu kurallara uyulmaması, bir kuruluşun Birleşik Krallık Genel Veri Koruma Yönetmeliğine (United Kingdom General Data Protection Regulation-GDPR) uymadığının göstergesi olabilir. Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 38. ifadesinde, Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamında çocukların veri koruma haklarının (ve kişisel verilerinin) özel koruma ve dikkat gerektirdiği belirtilmektedir. Başka bir deyişle, geniş düzeyde, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 5. maddesinde belirtilen ‘veri koruma ilkelerine’ (data protection principles) uymak, çocukların kişisel verileri söz konusu olduğunda daha zordur. İlkelere uyulmaması Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin ihlali anlamına gelir.
Mezkûr kurallar, Yönetmelik 2’de tanımlanan tüm ‘bilgi toplumu hizmetleri’ (information society services) için geçerlidir. 2002 tarihli Elektronik Ticaret Düzenlemeleri [Electronic Commerce (EC Directive) Regulations[4]], internetteki hizmetlerine ‘çocuklar tarafından erişilmesi muhtemel’ (likely to be accessed by children) veya doğrudan çocukları hedefleyen herhangi bir ‘kâr amaçlı’ (for profit) hizmet sağlayıcıyı ifade etmektedir.
Bilgi Komiserliği Ofisi, bir çocuğun bir web sitesine veya uygulamaya erişme olasılığının olup olmadığını değerlendirmek için hizmet sağlayıcıların dikkate alması gereken bir dizi faktör yayınlamıştır. Bunlar o kadar geniştir ki, Bilgi Komiserliği Ofisi’nin amacı açıkça mümkün olduğu kadar çok web sitesini ele geçirmektir. Tek gerçek muafiyet, çocukların web sitenize veya uygulamanıza erişememesini sağlamak için yeterli yaş sınırı önlemlerini uygulamaktır. Birleşik Krallık’taki pek çok kumar sağlayıcısı bu uygulamaya sahiptir, ancak yetişkinlere yönelik web sitelerinin çoğu, kullanıcının en az 18 yaşında olduğunu belirten bir ‘öz beyanına’ (self-declaration) güvenmektedir. Bilgi Komiserliği Ofisi, bir öz beyanın yeterli olma ihtimalinin düşük olduğunu söyledi.
Kurallar öncelikle çevrimiçi güvenliği teşvik etmek ve bazı durumlarda uygulamak için iki farklı yol içerir. İlk yol daha çok Birleşik Krallık Genel Veri Koruma Yönetmeliği odaklıdır ve çocukların gizlilik ayarlarının varsayılan olarak ‘yüksek’ (high) olmasını [örneğin, bilinmeyen sosyal kullanıcıların onlara ‘arkadaşlık isteği’ (friend request) gönderememesini sağlamak], gizlilik ayarlarının çocuklar için anlaşılır olmasını, çocuklardan daha fazla veri paylaşmalarının istenmemesini (‘dürtme’; nudging), konum ayarlarının açık olmamasını ve gerekli olduğu durumlarda (çocuk 13 yaşın altındaysa) ebeveyn izninin alınmasını gerektirmektedir.
Bu ilk yol elbette çocuklar tarafından erişilebilen web siteleri/uygulamalar için geçerlidir, çünkü sağlayıcı, içeriğin 18 yaşın altındakiler için uygun olduğunu belirlemiştir (her ne kadar söz konusu kurallar değişken bir ölçek gerektirse de, bir web sitesinde 16 yaşındaki bir çocuk için uygun olan şey 5 yaşındaki bir çocuk için uygun olmayabilir).
Web sitelerinin yalnızca yetişkinleri hedef aldığı durumlarda, hizmet sağlayıcının yaş doğrulama yoluyla çocukların web sitesine/uygulamaya erişimini engelleme yükümlülüğü vardır. Bu riske bağlıdır. İçerik ne kadar uygunsuzsa çocukları dışarıda tutma zorunluluğu da o kadar güçlü olur. Bununla birlikte, eski bir mevzuatın burada geçerli olduğu sıklıkla unutulsa da, 2017 tarihli Dijital Ekonomi Yasası (Digital Economy Act), internet servis sağlayıcılarının, yeterli düzeyde yaş doğrulaması sağlamayan yetişkinlere yönelik web sitelerini engellemesini zorunlu kılıyordu. Her ne kadar Çevrimiçi Güvenlik Yasası bunun çalışma şeklini değiştirmeye ayarlanmış olsa da.
Bu kurallar açıkça interneti çocuklar için daha güvenli hale getirmeyi amaçlıyor; peki ya yetişkinler? İlginç bir şekilde, anılan kuralların altıncı standardı, hizmet sağlayıcıların (sosyal medya şirketleri gibi) tüm kullanıcıların belirli bir şekilde davranmasını gerektirdiği durumlarda, bunu uygulayacak prosedürlerin mevcut olması gerektiğini gerektirmektedir. Bir forum ‘zorbalık’ veya ‘yasa dışı’ içeriğe (bullying or illegal content) izin vermiyorsa, sosyal medya şirketinin bu içeriği kaldırma yükümlülüğü vardır. Aksi takdirde Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin ihlali söz konusu olur.
Söz konusu kuralların bu koşulu, Birleşik Krallık’ın kişisel verilerin ‘adil’ ve ‘şeffaf’ (fairly and transparently) şekilde işlenmesine ilişkin Madde 5(1-a) ilkesinin ayrıntılı bir açıklamasıdır. İnternet kullanıcılarına bir şey söylendiğinde (kişisel verilerini işleyen bir web sitesini kullanırken ne beklemeleri gerektiği hakkında) başka bir şey gerçekleşirse, bu bir ihlaldir. Bu yetişkinler için geçerlidir. Ancak yine de mezkûr kuralların açık sınırlamaları vardır.
Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin ihlaline ilişkin cezalar, 17,5 milyon pound (£) veya dünya çapındaki yıllık cironun %4’ünden daha yüksektir.
4. Çevrimiçi Güvenlik Yasası [Online Safety Bill]
Çevrimiçi Güvenlik Yasası, 2017’deki başlangıcından bu yana Parlamento’da zorlu bir yolculuk geçirdi. Parlamento tarafından da kabul edildiği[5] gibi, Çevrimiçi Güvenlik Yasası ile söz konusu Kurallar arasında önemli bir örtüşme vardır -niyet (sonuç olup olmayacağı henüz belli değil), Çevrimiçi Güvenlik Yasası ve anılan Kuralların Birleşik Krallık’taki kullanıcıların eriştiği internetin önemli bir kısmına düzenleme sağlamak için birbirini tamamlamasıdır. Birleşik Krallık İletişim Ofisi (Office of Communications-OFCOM), Çevrimiçi Güvenlik Yasası kapsamına giren hizmet sağlayıcıları, Bilgi Komiserliği Ofisi ise söz konusu kurallar kapsamına girenleri düzenleyecektir.
Bu kuralların öncelikli odak noktası çocuklar olsa da Çevrimiçi Güvenlik Yasası, hem çocuklar hem de yetişkinler için çevrimiçi güvenliği sağlamayı amaçlamaktadır.
İlk olarak, kullanıcılar arasında etkileşime izin veren, yalnızca sosyal medya şirketlerine ait olmayan, tipik olarak kullanıcıdan kullanıcıya hizmetler için geçerlidir. Yükümlülük, kullanıcı tarafından oluşturulan herhangi bir içerikle başka bir kullanıcının karşılaşabilmesi olup; belirli bir içeriğin gerçekte karşılaşılmaması önemli değildir. ‘İçerik’ internet üzerinden aktarılabilen her türlü bilgidir.
İkincisi, Çevrimiçi Güvenlik Yasası arama motorları için geçerlidir (bazı istisnalar hariç). Bu geniş kapsamlı olup, diğer web sitelerinden sonuçları alan her türlü işlevi kapsar.
‘Kategori 1’ sağlayıcılar (Facebook ve Google gibi büyük şirketler) ve ‘Kategori 2’ sağlayıcılar için daha güçlü yükümlülükler bulunmaktadır. Kategori 2 için eşik değerler henüz tam olarak belirlenmemiştir. Ancak Birleşik Krallık’ta 25 bine kadar teknoloji şirketinin etkileneceği tahmin ediliyor.
Çevrimiçi Güvenlik Yasası, genel olarak, bu sağlayıcılara, yasa dışı içeriği ve ‘zararlı’ (harmful) içeriği (hem çocuklar için hem de yetişkinler için zararlı) kaldırma ve/veya bunlara erişimi kısıtlama yükümlülüğü getirmektedir. Yasadışı içerik, özü itibariyle, bir kişiye karşı işlenebilir.
Kapsam dâhilindeki tüm hizmet sağlayıcıların (diğer görevlerin yanı sıra), yasa dışı içeriğin yüklenmesini önleyecek sistemlere ve bu içeriğin izlenmesine ve kaldırılmasına yönelik sistemlere sahip olması gerekir.
Yetişkinlere zararlı içeriğin ne olacağı ikincil mevzuat ve kılavuzda belirlenecektir. Bu konunun hararetle tartışılması muhtemeldir. Aynı şekilde çocuklara zararlı olan da uymaktır. Ancak görünen o ki kamusal tartışma, ‘kendine zarar verme’ (self-harm) içeriği, zorbalık vb. gibi zarar teşkil edebilecek şeylere daha fazla değer vermektedir.
Birleşik Krallık İletişim Ofisi’nin zararlı içerik ile ilgili rehberliğini beklerken, hizmet sağlayıcıların çok sayıda çocuğa ve/veya yetişkine maddi zarar verme riski bulunan zararlı içerikleri de kısıtlaması gerektiği yönünde genel bir kanı olduğunu artık biliyoruz. Objektif bir test olması muhtemeldir. Zarar tanımlanır: Psikolojik ve fiziksel zararları kapsar. Ciddiyetine bağlı olarak, farklı zararlı içerik türleri için farklı tanımlamalar vardır. Belirli zararlı içerik türleri için yükümlülükler ve beklentiler daha yüksektir. Bu, söz konusu kurallardan bir sapmadır; ‘uygunsuz’ içerik sübjektif olarak belirlenecekti. Hükümet hem yetişkinler hem de çocuklar için kabul edilebilir olan ve olmayan şeyleri yasaklamaya çalışmaktadır. Yetişkinler hukuki zarar yaklaşımına dayalı olarak risk alabilir, ancak çocuklar bunu yapamaz.
Ancak söz konusu kurallara benzer şekilde, hizmet sağlayıcıların da çocukların zararlı materyale erişimini kısıtlamak ve/veya etkisini azaltmak (yine değişken bir yaş ölçeğinde) için önlemler alması gerekmektedir.
Kategori 1, hizmet sağlayıcılar, yetişkinlerin hizmet koşullarının izin verdiği zararlı içeriğe maruz kalma riskini azaltmak için orantılı önlemler almalıdır. Yetişkinler hâlâ zararlı ancak yasa dışı olmayan içeriği görüntüleyebilir ancak eğer istemezlerse, bu kapsamda hizmet sağlayıcıların yeterli önlemleri alma görevi vardır.
İlave görevler de bulunmaktadır: risk değerlendirmeleri, raporlama, kullanıcıların doğrulanması, mevzuata uygunluk vb. Çevrimiçi Güvenlik Yasası’nın bu yönlerini tartışmak başka bir yazı konusu olur. Çevrimiçi iletişimler ile ilgili olarak yine çevrimiçi güvenliği artırmayı amaçlayan yeni suçlar da vardır.
İletişim Ofisi, 18 milyon pound veya küresel yıllık cironun %10’u kadar para cezası verme yetkisine sahip olacaktır. İletişim Ofisi ayrıca hizmet sağlayıcıların Çevrimiçi Güvenlik Yasası’na ve diğer ilgili yaptırım yetkilerine uymasını talep edebilir. Kullanıcıdan kullanıcıya hizmet veren şirket yöneticilerinin Çevrimiçi Güvenlik Yasası’nın ihlaline rıza göstermesi veya ‘ihmal’ nedeniyle bu kurallara uymaması halinde potansiyel cezai suçlar söz konusu olabilir.
5. Sonuç
Hükümet, Birleşik Krallık’ı ‘çevrimiçi olmak için en güvenli yer’ (safest place to be online) haline getirmeye çalışmaktadır. Avrupa Birliği mevzuatına uygun olarak, çevrimiçi hizmet sağlayıcılar, yasa dışı içeriği (ve Birleşik Krallık’taki zararlı içeriği) mümkün olan en kısa sürede önlemek ve kaldırmak konusunda ağır bir düzenleme yüküyle karşı karşıya kalacak veya ciddi sonuçlarla karşı karşıya kalacaktır.
Çevrimiçi Güvenlik Yasası, bahsi geçen kuralları tamamlasa da, bazı açılardan, başlangıçta inanılmaz derecede boş alan olan Batı ülkelerindeki internetin durumunu önemli ölçüde geriletecektir. İnternetin günlük yaşamdaki yaygınlığı göz önüne alındığında bu beklenen bir şeydi, ancak bunun internet üzerinde gerçekten bir etkisi olup olmayacağı ya da teknoloji şirketlerinin Çevrimiçi Güvenlik Yasası nedeniyle Birleşik Krallık’taki kullanıcıları engelleyip engellemeyeceği henüz bilinmemektedir.
[1] < https://www.theguardian.com/technology/2023/oct/10/eu-warns-elon-musk-over-disinformation-about-hamas-attack-on-x#:~:text=The%20EU%20has%20issued%20a,was%20formerly%20known%20as%20Twitter. >
[2] < https://www.bbc.com/news/technology-67073956 >
[3] < https://bills.parliament.uk/bills/3137 >
[4] < https://www.legislation.gov.uk/uksi/2002/2013/regulation/2/made >
[5] < https://publications.parliament.uk/pa/jt5802/jtselect/jtonlinesafety/129/12908.htm >
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.