U svojoj srži, zakon uvodi stroge mere kao što su kriminalizacija izveštavanja o curenju podataka i davanje velikih ovlašćenja šefu Direkcije za sajber sigurnost, novostvorene institucije. Kritičari tvrde da nejasan i dalekosežan jezik zakona stavlja nesrazmeran naglasak na kontrolu online narativa, a ne na osiguranje digitalne infrastrukture.

Vladajuća Stranka pravde i razvoja (AKP) predstavila je nacrt zakona od 21 člana po prvi put 10. januara 2025. godine. Autori zakona – zastupnici AKP-a – tvrde da zakon ima za cilj da poboljša odbranu zemlje od sajber pretnji, da ojača nacionalnu sigurnost i zaštiti i javne institucije i subjekte privatnog sektora. Zakonodavci AKP-a veruju da trenutni zakon o dezinformacijama, donesen 2022. godine, ne uspeva da adekvatno obradi pretnje sajber sigurnosti. Oni tvrde da će novi zakon povećati efikasnost napora u borbi protiv sajber kriminala.

Dva od 21 člana zakona su posebno ispitana: članci 8 i 16. U originalnoj iteraciji zakona, član 8 je pozvao na široke ovlasti i ovlasti koje su date šefu Direkcije za sajber sigurnost, uključujući mogućnost sprovođenja istrage, zaplene materijala i kopiranja digitalnog sadržaja bez potrebe za prethodnim odobrenjem suda. U svojoj konačnoj verziji, nakon reakcija tokom rasprava o zakonu, ovlašćenje za pretraživanje, kopiranje i zapljenu podataka je uklonjeno iz teksta zakona i to ovlašćenje je dato tužiocu.

Član 16 u originalnoj verziji sadržavao je dva specifična pojma koji su takođe doveli do neslaganja oko zakona. Termini “curenje podataka” i “oni koji šire sadržaj” zamenjeni su u svojoj konačnoj verziji sa “curenje podataka vezanih za sajber sigurnost” i “oni koji stvaraju sadržaj”. Zatvorska kazna od pet godina zbog kršenja ovog člana i njegovih odredbi ostala je nepromenjena. Kao takav, prema stavu 5 člana 16,

Oni koji stvaraju lažni sadržaj o curenju podataka u vezi sa sajber sigurnošću, iako znaju da nema curenja podataka u sajber prostoru, ili oni koji šire taj sadržaj u tu svrhu, biće osuđeni na dve do pet godina zatvora.

U svojoj pravnoj analizi zakona, Udruženje za studije medija i prava (MLSA) istaknulo je nekoliko problematičnih nijansi, kao što je kažnjavanje novinara koji rade na sigurnosti podataka istim kaznama kao i počinioci koji stoje iza curenja informacija. MLSA je zaključio da je zakon novi alat za cenzuru u rukama vlasti.

Šef Direkcije za sajber sigurnost (kojeg će imenovati predsednik Redžep Tajip Erdogan prema novousvojenom zakonu), ima ovlašćenje da traži informacije i dokumente od svih institucija i organizacija i da revidira računarske sisteme ovih organizacija. U tom kontekstu, objasnio je MLSA, šef Direkcije za sajber sigurnost će moći pristupiti i pohraniti podatke bilo koje institucije i organizacije. Oni koji odbiju da udovolje zahtevima biće zatvoreni do tri godine.

Takva široka ovlašćenja i kazne su zabrinjavajuće u kontekstu grupa civilnog društva i posla koji obavljaju jer pružaju lak put do zloupotrebe ovlašćenja sa direkcijom koja zahteva pristup komunikacijama organizacije, osetljivim podacima, praćenju njihovih aktivnosti. Zakon bi mogao imati zastrašujući efekat na slobodu izražavanja – grupe civilnog društva mogu oklevati da izraze svoje stavove u svetlu pretnje zatvorom. Ovlašćenje za pristup i pohranjivanje podataka može ozbiljno da ugrozi pravo na privatnost za organizacije i pojedince i, u slučaju novinara, privatnost njihovih izvora. Zakon bi mogao dovesti do ciljanja određenih grupa, od kojih su neke često kritične prema vlastima i mogu se suočiti sa nesrazmernim odgovorom na novi zakon, potiskujući i potkopavajući mehanizme odgovornosti unutar demokratskih procesa. To bi moglo omogućiti proizvoljno tumačenje i sprovođenje, čineći grupe civilnog društva ranjivijima jer zakon ne definirše jasno parametre za usklađenost i kriterije za delovanje direkcije.

Postoji više kazni uvedenih kao deo zakona, koje je sažeo nezavisni portal Bianet:

8 do 12 godina zatvora zbog izvođenja sajber napada usmerenih na elemente turske nacionalne moći u sajber prostoru;

2 do 4 godine zatvora i novčane kazne za rad bez potrebnih dozvola i dozvola;

4 do 8 godina zatvora zbog nepoštivanja obaveza poverljivosti;

3 do 5 godina zatvora za dijeljenje ili prodaju ličnih ili osetljivih vladinih podataka dobijenih putem kršenja sajber sigurnosti;

2 do 5 godina zatvora za lažnu tvrdnju da je došlo do curenja podataka vezanih za sajber sigurnost kako bi izazvalo javnu paniku ili klevetalo institucije ili pojedince.

Pored direkcije, biće uspostavljeno i Veće za sajber sigurnost, na čelu s predsednikom zemlje, a uključiće kao članove šefa Direkcije za sajber sigurnost, potpredsednika, šefa obaveštajne službe i nekoliko ministara, prema izveštavanju Bianet-a.

Duga istorija curenja podataka u Turskoj

Turski građani su dugo bili izloženi kršenju ličnih podataka. Neki od dokumentovanih slučajeva do sada uključuju kršenje 2016. godine, kada su procurili lični podaci oko 50 miliona turskih građana (imena, adrese, imena roditelja, gradovi rođenja, datumi rođenja i nacionalni identifikacijski brojevi).

U 2017. godini, probijeni su lični podaci oko 60 miliona pretplatnika glavnog turskog GSM operatera Turkcella. U 2021. godini, sajber napad na najveću aplikaciju za dostavu hrane u zemlji, Yemeksepeti, rezultirao je curenjem podataka 19 miliona korisnika, uključujući prijavu, telefonske brojeve, e-poštu i informacije o adresi.

U 2023. godini, nakon hakiranja glavnog portala javne uprave u zemlji e-Devlet (e-Država), procurili su lični podaci 85 miliona turskih građana i miliona stanovnika.

U 2024. godini, sajber napad na sistem upravljanja informacijama lokalne bolnice u Istanbulu procurio je medicinsku dokumentaciju miliona pacijenata. Iste godine, turske vlasti otkrile su da je kršenje podataka tokom pandemije dovelo do krađe podataka više od 100 miliona građana, uključujući one koji žive u inostranstvu, izbeglice i druge pojedince koji su bili registrovani u službenim institucijama. U januaru 2025. došlo je do kršenja satelitskih podataka.

Ovi primeri nikako nisu iscrpni. A izveštavanje o ovim kršenjima je jedan od načina da se javnost informiše, čak i ako turski građani ne očekuju nikakvu privatnost na internetu ili bolju zaštitu svojih ličnih podataka.

U svetlu ovih primera, i ukupnog rezultata zemlje o slobodama, posebno sa slobodom medija i izražavanja, treba proceniti implikacije novog zakona o sajber sigurnosti. U intervjuu za Turkey ReCap, Özgür Ceylan, glasnogovornik komisije glavne opozicione Republikanske narodne stranke (CHP), rekao je:

U situaciji u kojoj su kritički stavovi i pravo na informisanje javnosti već suočeni sa rizikom proizvoljnog kažnjavanja, ova uredba će utrti put njima [vladajućoj vladi] da idu korak dalje. U ovom kontekstu, postovi koji tvrde da curenje podataka ili kršenje sajber sigurnosti koji se tiču javnosti mogli bi biti meta. Sposobnost pojedinaca da se slobodno izražavaju može biti ograničena, a ljudi koji prijavljuju tvrdnje o kršenju podataka mogu biti suđeni pod ovim zločinom – predviđajući teške kazne.

Već sada, u okviru zakona o dezinformacijama iz 2022. godine, postoji najmanje 66 istraga novinara i preko 4.500 istraga o pojedincima optuženim za “širenje obmanjujućih informacija”, pokrenutih od 2022. godine.