Wrocław Temyiz Mahkemesi, Pegasus yazılımıyla elde edilen delillerin hukuki olmaması nedeniyle bir sanığı beraat ettirdi.
Mahkeme Kararı ve Gerekçesi
Mayıs 2023’te verilen hüküm, bir ceza davasına ilişkin olup, sanılardan birine kamu görevlisinin yetkisini kötüye kullanma ve devlet sırrını açıklama suçlarından yardım etme suçlaması yöneltildiği belirtildi.
Wrocław Temyiz Mahkemesi, bu kişiyi beraat ettirdi. Mahkeme, bu kararı çoğunlukla operasyonel-teşhis faaliyetleri kapsamında toplanan delillerin yargılamaya kabul edilemeyeceği ve gerçeklik tespitlerinin temeli olamayacağı gerekçesiyle verdi. Çünkü bu delillerin büyük olasılıkla casus yazılım aracılığıyla toplandığı anlaşıldı. Konu edilen program Pegasus’tu.
Temyiz mahkemesi, dava sürecinde delil olarak sunulması amaçlanan materyallerin bu şekilde elde edilmesinin yasal olarak kabul edilemeyeceğini tespit etti.
Pegasus. Uzman Görüşleri
Polonya’da artık Pegasus için lisans bulunmamasına rağmen, uzmanlara göre Yargıtay’ın bu konudaki kararı kilit önem taşıyacak.
Panoptykon Vakfı Başkan Yardımcısı Wojciech Klicki, Temyiz Mahkemesi’nin dikkatini şu şekilde çekti: “Pegasus, kötüye kullanım için devasa bir potansiyele sahip ve özel hayata derinlemesine müdahale ediyor. Krzysztof Brejza davasında olduğu gibi bu tür kötüye kullanımların yaşandığını biliyoruz. Polonya hukuku, casus yazılımlarla ilgili kötüye kullanımlara karşı koruma sağlamıyor. Wrocław Temyiz Mahkemesi, geçmiş verilere erişim imkanının bulunmadığını belirtti. Ancak istihbarat birimleri Pegasusa benzeri yazılımlara ihtiyaç duyuyor, çünkü piyasada bu tür daha fazla yazılım bulunuyor. İstihbarat birimleri, günlük çalışmalarında bunun gerekliliğini beyan ediyor. Burada iki değer çarpışıyor: İstihbarat birimlerinin etkin çalışma değeri ile yandan kötüye kullanımlardan korunma zorunluluğu.”
Basına göre, avukat şöyle yorumladı: “Yargıtay kararı, Temyiz Mahkemesi’nin görüşüne olursa, istihbarat birimlerinin casus yazılım kullanımıyla ilgili hukuki güvenden yoksun olacağı, bu tür materyalleri davalarında kullanamayacakları anlamına gelecek. Yargıtay kararı, istihbarat birimlerine etkin çalışma imkanı sağlarken vatandaşlara yönelik kötüye kullanımların (Krzysztof Brejza örneğinde olduğu gibi) yaşanmamasını temin edecek yasal çerçeveler oluşturması için bir tetikleyici olacak.”
Pegasus’u araştıran meclis soruşturma komisyonu başkanı Magdalena Sroka şunları belirtti: “Mahkeme, yürütülen davanın muhatabı olan bir kişinin suçluluğunu değerlendirirken toplanan tüm delilleri dikkate alır. Pegasus kullanılarak elde edilen deliller ise davadaki birçok delilden sadece biridir. Operasyonel yolda elde edilen delillerin tek olduğu bir durumla karşılaşmadım.”
Pegasus Yazılımının İşleyişi
Mahkeme, bu casus yazılımın nasıl çalıştığını açıkladı: “Yazılım, enfekte edilmiş cihazlardan verilerin etkili bir şekilde izlenmesini, toplanmasını ve indirilmesini sağlar.” Hatta cihazın içeriğini değiştirmek için de kullanılabilir. Bu nedenle Temyiz Mahkemesi’ne göre bu yazılım, son derece invazif, karmaşık ve kurnaz bir yazılımdır. Potansiyeli güçlü, pratikte ise neredeyse sınırsız imkanlara sahiptir. “(…) telefonun kontrolünü ele geçiren saldırgan operatörler, idari yetkiler elde ederler ki bu pratikte, enfekte edilmiş telefonla istediklerini yapabilecekleri anlamına gelir” diye belirtti Temyiz Mahkemesi. Saldırganların, cihazın kullanıcısından bile daha fazla müdahale imkanı olduğunu ekledi.
Bu durum, özellikle telefonu zehirli yazılımla enfekte etmek için işletim sistemindeki açıklıkların kullanılması ve yazılımın kurulum sürecinin kullanıcı için görünmez olmasından kaynaklanmaktadır.
Yasal Dayanak Yokluğu
Temyiz mahkemesi aynı zamanda yasal dayanak eksikliğine de dikkat çekti. Şu şekilde belirtti: “CBA (Ulusal Güvenlik Bürosu) yasasının 17. maddesinin 2. fıkrasının 4. bendi – çünkü bu özel dava da operasyonel kontrolü bu birim yürütüyordu – genel olarak veri elde etme ve belgelenmesinden bahseder. Casus yazılım türü yazılımlar, mobil cihaza tam erişim sağlayarak tam olarak bu tür veri elde etme ve belgelenme imkanı sunar. Sorun ise bu yazılımın telefonu izinsiz olarak ele geçirilmesiyle kurulmasıdır. “Oysa operasyonel kontrolle ilgili yürürlükteki mevzuat, ele alınan CBA yasasının 17. maddesi de dahil olmak üzere bu tür eylemlere, böyle bir imkan tanımıyor, böyle bir olanak öngörmüyor” diye belirtti wrocław mahkemesi.
Mahkemenin değerlendirmesine göre bu, casus yazılım kullanımının yasayla çelişen, delil elde etme için yasal bir yöntem olamayacağı anlamına geliyor. Temyiz mahkemesi aynı zamanda Anayasa Mahkemesi içtihatlarına da başvurarak şunu belirtti: “Mobil cihaz üzerinde tam kontrol sağlayan yazılımın, devlet keyfini sınırlamaya ve gizli operasyonel-teşhis faaliyetlerine karşı etkin denetim sağlamaya yönelik Anayasa Mahkemesi’nin belirlediği gerekliliklere uygun olduğu da kabul edilemez.”