2026 Siber Güvenlik Yasası: Sokaktaki Vatandaşın Verisi Gerçekten Korunacak mı?

Geçtiğimiz yıl Mart ayında Resmi Gazete'de yayımlanarak hayatımıza giren ve etkilerini asıl 2026 itibarıyla hissetmeye başladığımız bu yasa, aslında siber güvenliği bir "birey hakkı" olmaktan ziyade doğrudan bir "Milli Güvenlik" meselesi olarak kodluyor. İşte sokaktaki vatandaşın yanılgısı da tam burada başlıyor.

Korunan Şey Vatandaşın Kendisi mi, Yoksa "Kritik Altyapı" mı?

Yasanın temel felsefesine baktığımızda hedefin doğrudan Ayşe Teyze'nin veya Ahmet Amca'nın şahsi verileri olmadığını, asıl hedefin devletin ayakta kalmasını sağlayan "Kritik Altyapılar" olduğunu görüyoruz.

• Yasa; bankacılık, enerji, ulaştırma, sağlık ve telekomünikasyon gibi devasa sektörleri sıkı bir güvenlik çemberine alıyor.

• Elbette bu kurumlar bizim verilerimizi tutuyor; ancak yasanın temel amacı sizin kredi kartı ekstrenizin sızmasını engellemekten ziyade, o bankanın sistemlerinin yabancı bir hacker grubu tarafından tamamen çökertilip ülke ekonomisinin durdurulmasını engellemek.

• Dolayısıyla, merdiven altı bir alışveriş uygulamasından verileriniz çalındığında, yeni kurulan devasa Siber Olaylara Müdahale Ekipleri'nin (SOME) birincil önceliği sizin mağduriyetiniz olmayacaktır.

Şirketlerin Yeni Kalkanı: "Biz Gerekli Özeni Gösterdik"

Yasanın 2026 yılındaki güncel yaptırım tablosu şirketler için gerçekten korkutucu. Mevzuattaki tedbirleri almayan veya bir zafiyeti bildirmeyen firmalara 12.5 Milyon TL'ye kadar, kurallara hiç uymayan ticari şirketlere ise yıllık brüt satış hasılatının yüzde 5'ine kadar idari para cezaları kesilebiliyor. Ancak bu ağır cezalar, mağdur olan vatandaşa ödenecek bir tazminat değil, doğrudan devlete kesilen kestiği bir cezadır.

Buradaki en büyük tehlike, şirketlerin hukuki savunma stratejilerinde yatıyor.

• 2026 itibarıyla şirketler, kurulan Siber Güvenlik Başkanlığı'nın denetimlerinden geçebilmek için tonla sızma testi (pentest) yaptırıyor ve log kayıtlarını kusursuz tutmaya çalışıyor.

• Yarın öbür gün milyonlarca müşterinin verisi sızdığında şirketler mahkemeye çıkıp tam olarak şunu söyleyecek: "Biz yasaya uyduk, devletin istediği tüm testleri yaptık, sertifikalarımız tamdı, bu tamamen öngörülemez bir siber terör saldırısıydı.".

• Yani yasa, şirketleri siber saldırılara karşı zorla güçlendirirken, aynı zamanda olası bir veri sızıntısında vatandaşa karşı kullanabilecekleri mükemmel bir "yasal savunma kalkanı" da sunmuş oluyor. Vatandaş ise zararını tazmin edebilmek için o uzun ve yıpratıcı "özel hukuk" (tazminat) davalarında tek başına çırpınmaya devam edecek.

Sınırsız Denetim Yetkisi: Güvenlik mi, Dijital Gözetim mi?

İşin bir de mahremiyet boyutu var. Yasa ile kurulan merkezi Siber Güvenlik Başkanlığı, siber güvenlikle ilgili tüm faaliyetleri yerinde denetleme, elektronik altyapıları, cihazları inceleme ve dijital görüntüleri toplama gibi çok geniş yetkilerle donatıldı.

Her ne kadar kamu kurumları ve yetkilendirilmiş veri merkezleri için hakim kararı gibi bazı istisnalar bulunsa da, bu durum teknoloji ve hukuk çevrelerinde ciddi soru işaretleri yaratıyor. Yasanın, güvenliği sağlama motivasyonuyla hareket ederken, temel hak ve özgürlükleri, kişisel mahremiyeti ve iletişim özgürlüğünü zedeleyebilecek potansiyel bir "gözetim aracına" dönüşme riski, eleştirmenlerin en çok dile getirdiği konuların başında geliyor.

 2026 Siber Güvenlik Yasası, Türkiye'nin dijital sınırlarını dış tehditlere karşı korumak için atılmış devasa ve çok gerekli bir askeri/bürokratik adımdır. Ancak sokaktaki vatandaşın kişisel verilerinin korunması konusunda, bireyleri şirketler karşısında sihirli bir şekilde güçlendirmeyeceği; aksine asıl mücadelenin sızıntı sonrasındaki tazminat davalarında yaşanacağı çok açıktır.