Genel AB hedefi, bilgi sistemlerine yönelik saldırılar karşısında ülkeler arasında işbirliğini geliştirmek, mevzuat ve uygulamada uyumu sağlamaktır. Bu kapsamda mahkemeler, yetkili idareler ve polis kuvvetleri arasında uyum ve işbirliği de yer almaktadır. Mevzuat bazında ceza hukukunun yakınlaştırılması amaçlanmaktadır. Bu açıdan hazırlanan Çerçeve karar Avrupa Konseyi’nin Siber Suç Sözleşmesi ile örtüşmektedir.
Tanımlar ikinci madde kapsamında verilmektedir. Bu madde AB mevzuat bakımından önem taşımaktadır. Zira uygulamadaki diğer ilgili mevzuatta yer alan tanımlarla örtüşmektedir. Bu tanımlar AB mevzuatının birikiminden doğan ve kabul edilmiş olan tanımlar olup, Çerçeve Karar ile kesinlik kazanmış olmaktadırlar. İkinci madde kapsamında yetkili kişinin tanımlanmasına gidilmiştir. Avrupa Konseyi Siber Suç Sözleşmesinin yaklaşımı ile benzerlikler taşımaktadır. Yetki yapılan eyleme “hak” ve muafiyet kazandırmaktadır.
Madde 3, Madde 4 ve Madde 5 Suç Teşkil Eden Eylemleri içermektedir. Madde 3 bilgi sistemlerine yasadışı erişim ile ilgilidir. Niyet ve yetki Avrupa Konseyi Siber Suç Sözleşmesi ile benzer şekilde tanımda yer almaktadır ve belirleyici rol oynamaktadır. Madde 4’te ise bilgi sistemlerine yasadışı müdahale ele alınmaktadır. Madde 4 kapsamı geniş ve açıklayıcı bir maddedir. Başta “hacking” olmak üzere sistemlere yönelik her türlü müdahaleyi kapsamaktadır. Daha önce Avrupa Komisyonu tarafından bilgi sistemlerine yönelik tehditleri ve suç teşkil eden eylemleri içeren çalışmadan yola çıkılarak hazırlanan bir maddedir. Madde 5 ise genel bir yaklaşımı göstermektedir. Zira çerçeve karar olması nedeniyle hangi durumların madde kapsamında yer alacağı Üye Ülkelerin iç hukukuna bırakılırken, Kararın diğer maddelerinde yataklık suçunun eylemden daha düşük cezaya tabi tutulacağına ilişkin görüş bulunmaktadır.
Madde 6 ceza hukuku ile ilgilidir. Bir yıldan az olmamak kaydı ile hapis cezası öngörülmekte olup madde hükümleri AB genelinde kabul görecek ve Üye Ülkelerin yorumu ile iç hukuka yansıyacaktır.Zarara yol açmayan veya ekonomik fayda kazandırmayan durumlarda suç teşkil eden eylemlere yönelik muafiyet söz konusudur.
Madde 7’de ceza hukukuna ilişkin kapsam genişletilmektedir. Madde özel durumlarda hapis cezasının 4 yıldan az olmaması hükmünü ve özel durumları ifade etmektedir. Madde 7 kapsamında terör ve suç örgütleri tarafından işlenen suçlar; suç teşkil eden eylemin kişilere ve Üye Ülkelerin kritik altyapısına zarar vermesi;(burada Üye Ülkelerin “kritik altyapı” tanımı milli güvenlik ve askeri altyapı, kamu sağlığı ve güvenliği gibi özel durumları içerecek ve Üye Ülkelerin iç hukuku ile şekillenecektir.) ve yapılan soruşturmada suç teşkil eden eylemler içerisinde bilgi sistemine yönelik saldırıların belirleyici eylem olması yer almaktadır. İkinci paragrafta bazı durumlarda yataklık suçların Üye Ülkenin yorumu ve kararı doğrultusunda suç teşkil eden eylemden daha az cezaya tabi olacağı ifade edilmektedir.
Madde 8 uyarınca zararın ölçeği suça yönelik eylemle ilgili cezayı belirlemektedir. “Az zarar” az ceza anlayışı getirilmektedir.
Kurumsal sorumluluk Madde 9 ile açıklanmaktadır. Yönetici durumundaki kişiyi bağlayıcı bir maddedir. İkinci paragrafında kontrolün önemli olduğu, yöneticilerin gözetim ve kontrol görevini üstlenmiş oldukları ifade edilmektedir. Doğal olarak sorumluluk kurumsal yapıda olsa da suç teşkil eden eylemde bulunan kişinin cezadan muaf tutulmasını sağlamaz.
Madde 10 kurumlara yönelik yaptırımları içermektedir. Para cezası, meslekten ve ticari yaşamdan men (süreli ve ya sürekli), yetkilerinin iptali, mahkeme kararı ile gözetim altında tutulması gibi yaptırımlar Çerçeve Karar içerisinde yer almaktadır.
Çerçeve karar olması nedeniyle her Üye Ülkenin kendi kararı önemli olacaktır. Ancak AB’de ceza hukukunun uyumlaştırılması açısından Madde 11’de öngörülen koşulllar önem taşımaktadır.
Üye Ülkenin suç teşkil eden eylemi yargılayabilmesi için;
- suç kendi topraklarında işlenmiş olmalı,
- suç kendi vatandaşlarından biri tarafından işlenmiş olmalı
- eylem bu Ülkedeki grup veya kişileri etkilemeli veya
- suç Üye Ülkede merkezi bulunan bir kuruluşa yarar sağlamak amacıyla işlenmiş olmalıdır.
Sonuç olarak her Üye Ülke kendi topraklarında, kendi vatandaşları tarafından işlenen ve kendi insan veya kurumlarının zarar görmesi sonucunu doğuran bilgi sistemlerine yönelik saldırılara karşı ceza hukukunu sözkonusu Çerçeve Karar ile uyumlaştırmakla yükümlüdür.
Merkezi ilgili Üye Ülkede bulunan kurumların ki burada çok uluslu veya konsolidasyon yolu ile birkaç ülkede faaliyet eder hale gelmiş şirketler ifade edilmektedir, zarar gördüğü eylemler de Üye Ülkenin sorumluluğu altındadır.
İkinci paragraf ile Madde 10’un kapsamı genişletilmektedir. Buna göre suçun işlendiği yerin fiziki olarak kendi topraklarında olması (suçun yönelik olduğu sistemin kendi topraklarında olması) gerekmemektedir. Önemli olan eylem gerçekleştiği fiziki ortamdır.
Suçu işleyen kişinin fiziki olarak bilgi sistemi ile aynı Ülke içerisinde olmaması halinde dördüncü paragrafın hükümleri suçlu kişinin teslimini öngörmektedir. AB Üye Ülkesi veya üçüncü bir ülke suçluyu iade etmiyor ise kendi kanunları ile bu suçu yargılayabilme kabiliyetine sahip olmakla yükümlüdür.
Uyumlaştırma ve kanunlarda yeterlilik yaklaşımı ile suçun uluslararası niteliğine çözüm getirilmek istenmektedir. Suç birden fazla ülkeyi ilgilendiriyor ise, işbirliği yoluna gidilmeli ve ülkeler kendi aralarında hangi ülkenin yargılamayı üstleneceği konusunda anlaşmaya varmalıdırlar. Yargılama sürecinin bir Üye Ülke tarafından üstlenilmesi öngörülürken, AB kurumlarının bu süreç içerisinde uyumu ve bilgi akışını sağlamak amacıyla işbirlikçi ve destekleyici tavır içerisinde bulunacakları ifade edilmektedir.
Milli güvenlik ve kamu yararı gibi özel durumlar ise Üye Devletlerin anlayışına bırakılmıştır. Ancak bu gibi durumlarda özel durumun Konsey ve Komisyon’a bildirilmesi gerekmektedir.
Madde 12 uyarınca işbirliği ve bilgi akışı ancak kişisel verilerin korunması prensibi doğrultusunda gerçekleştirilebilecektir.
Madde 13, 31 Aralık 2003 tarihine kadar Üye Ülkelerin sözkonusu Çerçeve Karar ile uyumu gerçekleştirmiş olmalarını ve 31 Aralık 2004 tarihine kadar Komisyon’un bir değerlendirme raporu yayınlamasını öngörmektedir.