Hukuka aykırı olarak verilerin ele geçirilmesi suçu, Türk Ceza Kanunu’nda kişisel verilerin yetkisiz biçimde edinilmesini yaptırıma bağlayan suç tiplerinden biridir. Bu suç, TCK m. 136 içinde düzenlenmiştir.
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Kanun maddesinden de görüleceği üzere, ele geçirme fiili tek başına bağımsız bir seçimlik hareket olarak düzenlenmiştir. Dolayısıyla kişisel verinin mutlaka üçüncü kişilere yayılması veya başkasına verilmesi gerekmez. İlgili kişinin rızası ya da kanuni dayanak bulunmadan kişisel verinin alınması, indirilmesi, kopyalanması veya failin denetim alanına sokulması halinde suç oluşabilir.
Burada korunan alan, herhangi bir bilgi yığını değildir. Korunan şey kişisel veridir. Bir kişiyi doğrudan ya da dolaylı biçimde belirlenebilir hale getiren bilgiler bu kapsamda değerlendirilir. Ad, soyad, telefon numarası, adres, T.C. kimlik numarası, e-posta bilgisi, fotoğraf, ses kaydı, sağlık bilgisi, banka verisi, plaka bilgisi, kullanıcı hesabı verisi veya IP bilgisi buna örnek gösterilebilir. Verinin dijital ortamda tutulması şart değildir. Yazılı evrak, çıktı, liste veya fiziksel kayıt içindeki kişisel bilgi de ceza hukuku bakımından korunur.
Ele geçirme fiili çok farklı yöntemlerle gerçekleşebilir. Bir müşteri listesinin dışarı aktarılması, telefon rehberinin kopyalanması, kurumsal veri tabanından kişisel bilgilerin çekilmesi, mesaj içeriklerinin kaydedilmesi, sağlık kayıtlarının sistemden indirilmesi, USB belleğe veri aktarılması veya ekran görüntüsü alınarak kişisel bilginin edinilmesi bu kapsamda değerlendirilebilir. Hareketin biçimi değişse de ortak nokta aynıdır. Kişisel veri, hukuka aykırı biçimde failin hakimiyet alanına girmektedir.
Madde metnindeki “hukuka aykırı olarak” ibaresi son derece önemlidir. Çünkü her veri edinme işlemi suç değildir. Kanundan doğan yetki, açık rıza, yargısal karar, idari yükümlülük veya görevin gereği olan meşru erişim halleri ayrıca değerlendirilir. Ceza sorumluluğu, kişisel verinin hukuki bir dayanak olmadan ve meşru sınırlar aşılmak suretiyle ele geçirilmesi halinde doğar. Bu nedenle davalarda yalnızca verinin alınmış olması değil, bu edinmenin hangi hukuki zeminde gerçekleştiği de incelenir.
Bu suçun temel amacı, bireyin kişisel verileri üzerindeki koruma alanını güvence altına almaktır. Veri fiziksel olarak yok edilmemiş olabilir. Hatta başka yere gönderilmemiş de olabilir. Yine de kişinin bilgisi ve iradesi dışında ele geçirilmişse hukuki ihlal tamamlanmış sayılabilir. Ceza hukuku burada sadece teknik güvenliği değil, aynı zamanda özel hayatın gizliliğini ve kişinin verisi üzerindeki tasarruf hakkını korur.
Fail bakımından özel bir sıfat aranmaz. Herkes bu suçun faili olabilir. Kurum çalışanı, teknik personel, eski ortak, aile bireyi, iş arkadaşı veya dışarıdan üçüncü kişi fail olabilir. Bununla birlikte erişim imkanına sahip olmak otomatik biçimde hukuka uygunluk yaratmaz. Kişi, görev sınırını aşarak yahut erişim yetkisini amacı dışında kullanarak kişisel veriyi ele geçirmişse yine aynı suçtan sorumlu tutulabilir.
TCK m. 136 Kapsamında Korunan Hukuki Değer
TCK m. 136 ile korunan hukuki değer, yalnızca teknik anlamda veri güvenliği değildir. Asıl korunan alan, kişinin özel hayatı, kişisel verileri üzerindeki tasarruf hakkı ve bireysel mahremiyet alanıdır. Kanun koyucu, kişisel verilerin hukuka aykırı biçimde verilmesini, yayılmasını veya ele geçirilmesini suç sayarken, kişinin kendisine ait bilgilerin kim tarafından, hangi amaçla ve hangi sınır içinde kullanılacağını belirleme hakkını güvence altına almaktadır. Nitekim madde metni, kişisel verilerin hukuka aykırı biçimde ele geçirilmesini açıkça yaptırıma bağlamaktadır.
Bu koruma alanı, Anayasal düzeyde de karşılık bulur. Kişisel verilerin korunması hakkı, özel hayatın gizliliği ile doğrudan bağlantılı bir temel haktır. Ceza hukuku ise bu hakkın ihlal edilmesi halinde en ağır müdahale araçlarından biri olarak devreye girer. Bir kişinin telefon numarasının, sağlık bilgisinin, kimlik verisinin, adresinin, mesaj içeriğinin, fotoğrafının veya kullanıcı hareketlerinin rızası dışında başkasının hakimiyet alanına girmesi, yalnızca teknik bir bilgi transferi değildir. Böyle bir fiil, kişinin özel alanına yönelen doğrudan bir müdahaledir.
Korunan hukuki değeri daha iyi anlayabilmek için kişisel verinin ekonomik değerinden çok bireysel değerine odaklanmak gerekir. Bir veri ticari açıdan önemsiz görünebilir. Buna rağmen ilgili kişinin kimliğini belirlemeye elverişli ise hukuken korunur. Çünkü mesele yalnızca maddi zarar doğup doğmaması değildir. Kişinin kendi verisi üzerindeki denetimini kaybetmesi de başlı başına bir hukuki ihlaldir. Bu nedenle ceza hukuku, zarar fiilen büyümese bile kişisel verinin hukuka aykırı biçimde ele geçirilmesini yaptırıma bağlamıştır.
Öte yandan TCK m. 136 ile korunan yarar, sadece tek bir bireyin menfaati ile sınırlı değildir. Kişisel verilerin hukuka aykırı dolaşıma girmesi, toplumsal güven duygusunu da zedeler. Özellikle dijital sistemlerin yaygınlaştığı günümüzde insanlar; hastane kayıtları, banka hareketleri, eğitim bilgileri, iş başvuru evrakları, sosyal medya verileri ve kurumsal kullanıcı bilgileri bakımından belirli bir hukuki koruma beklentisi içindedir. Bu güvenin kırılması, kişisel verilerin korunmasına ilişkin genel toplumsal düzeni de sarsar. Ceza normunun varlık sebebi, bireyi ve toplumsal güveni birlikte korumaktır.
Bu suç tipinde korunan hukuki değer ile bilişim sistemlerinin güvenliği arasında da dolaylı bir ilişki vardır. Kimi olaylarda kişisel veri, doğrudan fiziki evrak üzerinden ele geçirilir. Kimi olaylarda ise veri tabanı, telefon, bilgisayar, e posta hesabı veya kurum içi yazılım üzerinden edinilir. Kullanılan araç değişse de korunan temel değer aynı kalır. Yani TCK m. 136’nın odağı, sistemin kendisi değil, o sistem içinde yer alan kişisel verinin hukuki dokunulmazlığıdır. Bu yönüyle madde, bilişim suçları ile kesişse bile onlardan farklı bir koruma alanına sahiptir.
Eğer elde edilen bilgi kişisel veri niteliği taşımıyorsa, TCK m. 136 bakımından korunan hukuki değerin ihlal edildiğinden söz etmek kolay değildir. Buna karşılık verinin kişiyi belirlenebilir hale getirdiği açık ise, artık veri ister bir excel tablosunda ister mesaj ekranında ister basılı evrak üzerinde bulunsun, ceza hukukunun koruma alanı devreye girer. Bu sebeple mahkemeler önce verinin niteliğini, ardından bu verinin hangi yolla edinildiğini ve son olarak edinmenin hukuka aykırı olup olmadığını değerlendirir.
TCK m. 136 kapsamında korunan hukuki değer, kişinin kendi verileri üzerindeki hukuki hakimiyetidir. Buna bağlı olarak özel hayatın gizliliği, bilgi mahremiyeti ve kişisel verilerin korunması hakkı da güvence altına alınır. Madde, kişisel verinin sıradan bir bilgi parçası değil, bireyin kişilik alanına dahil bir hukuki değer olduğunu kabul etmektedir.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Ceza hukuku bakımından bu kavram özel önem taşır. Çünkü hukuka aykırı olarak verilerin ele geçirilmesi suçu bakımından korunan alan, herhangi bir veri değil, kişiyi tanımlayan veya kişiye ulaşmayı mümkün kılan veridir. Bu yaklaşım, kişisel verilerin korunmasına ilişkin temel mevzuatta da açık biçimde benimsenmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir.
Bu tanım oldukça geniştir. Yalnızca ad, soyad veya T.C. kimlik numarası gibi doğrudan kimliği gösteren bilgiler kişisel veri sayılmaz. Telefon numarası, adres, e-posta bilgisi, araç plakası, fotoğraf, ses kaydı, IP adresi, kullanıcı adı, lokasyon bilgisi, okul kaydı, sağlık verisi, banka hareketi, özlük dosyası bilgileri ve mesaj içerikleri de kişisel veri niteliği taşıyabilir. Verinin kişisel veri sayılabilmesi için tek başına kimliği açıkça göstermesi şart değildir. Başka bilgilerle birleştiğinde belirli bir kişiye ulaşmayı mümkün kılması da yeterlidir.
Kişisel veri kavramı yalnızca dijital kayıtlarla sınırlı değildir. Bilgisayarda tutulan tablo, telefon hafızasındaki rehber, e posta hesabındaki bilgiler, kurum içi veri tabanı, mesajlaşma uygulaması kayıtları, bulut sistemindeki belgeler, basılı evrak, hasta dosyası, personel listesi ve sınav kağıdı üzerindeki bilgiler de kişisel veri niteliği taşıyabilir. Verinin bulunduğu ortam değişse de hukuki koruma ortadan kalkmaz. Çünkü korunmak istenen şey, verinin saklandığı araç değil, kişinin o bilgi üzerindeki mahremiyet alanıdır.
Öte yandan her bilgi kişisel veri değildir. Tamamen anonim hale getirilmiş, belirli bir kişiyle ilişkilendirilemeyen ve başka verilerle eşleştirilse bile kimliğe ulaştırmayan bilgiler bu kapsamda değerlendirilmez. Bu ayrım, özellikle ceza davalarında önemlidir. Çünkü TCK m. 136 yönünden mahkumiyet kurulabilmesi için ele geçirildiği iddia edilen bilginin gerçekten kişisel veri niteliği taşıdığının ortaya konulması gerekir. Bu nedenle savunmada çoğu zaman ilk itirazlardan biri, verinin kişisel veri olup olmadığı noktasında yoğunlaşır.
Kişisel veriler kendi içinde daha hassas bir gruba da ayrılır. Sağlık bilgileri, biyometrik veriler, genetik veriler, cinsel hayata ilişkin bilgiler, sendika üyeliği, siyasi düşünce, dini inanç gibi veriler hukuk düzeninde daha sıkı koruma altındadır. Her ne kadar ceza normunda temel yapı genel kişisel veri kavramı üzerinden kurulmuş olsa da, verinin hassas niteliği davanın ağırlığını, mağduriyetin boyutunu ve yargısal değerlendirmeyi etkileyebilir. Bu nedenle elde edilen verinin sıradan kimlik bilgisinden mi yoksa daha mahrem bir alandan mı geldiği ayrıca önem taşır.
Davalarda en çok, kurum içi bilgi ile kişisel verinin birbirine karıştırılması hususu görülmektedir. Bir şirket raporu, teknik analiz belgesi veya satış stratejisi tek başına kişisel veri olmayabilir. Buna karşılık aynı belge içinde çalışan isimleri, müşteri iletişim bilgileri, kimlik numaraları, sağlık kayıtları veya kullanıcı hareketleri yer alıyorsa artık kişisel veri alanına girilmiş olur. Dolayısıyla bir belgenin tamamı değil, içindeki belirli bölümler de ceza hukuku bakımından korunan veri niteliği taşıyabilir.
Bir başka önemli nokta da gerçek kişi unsurudur. Kişisel veri kavramı, tüzel kişilere ait ticari bilgileri doğrudan kapsamaz. Şirket unvanı, kurum ticari politikası veya markaya ait genel veriler tek başına kişisel veri sayılmaz. Fakat o şirket içindeki çalışanlara, ortaklara, müşterilere veya yöneticilere ilişkin belirlenebilir bilgiler söz konusu ise artık gerçek kişiye temas eden kısım bakımından kişisel veri koruması devreye girer. Bu ayrım, özellikle ticari sır ile kişisel veri kavramlarının birbirine karıştığı davalarda önemlidir.
Kişisel veri kavramı geniş ve dinamik bir kavramdır. Bir kişiyi doğrudan tanımlayan ya da başka bilgilerle birlikte onu belirlenebilir hale getiren her bilgi, ceza hukuku bakımından önem taşır. TCK m. 136 kapsamında suçun oluşup oluşmadığını tartışabilmek için önce ele geçirildiği iddia edilen bilginin gerçekten kişisel veri niteliğinde olup olmadığı belirlenmelidir.
TCK m. 136 Uyarınca Verme, Yayma ve Ele Geçirme Fiilleri
TCK m. 136 tek hareketli bir suç değildir. Kanun koyucu maddede üç ayrı seçimlik hareket düzenlemiştir. Bunlar kişisel verilerin bir başkasına verilmesi, yayılması ve ele geçirilmesidir. Madde metni bu ayrımı açık biçimde kurar:
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Bu nedenle soruşturma ve kovuşturma aşamasında ilk yapılması gereken iş, somut olaydaki hareketin verme, yayma veya ele geçirme fiillerinden hangisine uyduğunu belirlemektir. Çünkü aynı madde içinde yer alsalar da bu hareketler aynı davranışı ifade etmez. Aralarındaki farkın doğru kurulması, hem suç vasfı hem de savunma stratejisi bakımından önem taşır.
Verme, kişisel verinin belirli bir kişiye veya sınırlı sayıdaki kişiye aktarılmasıdır. Burada fail, elindeki kişisel veriyi hedeflediği bir başka kişiye ulaştırır. Örnek olarak müşteri listesinin rakip şirkete gönderilmesi, çalışan özlük bilgilerinin üçüncü kişiye iletilmesi, bir kişinin telefon numarasının veya adres bilgisinin belirli bir kişiye aktarılması verinin verilmesi kapsamında değerlendirilebilir. Hareketin ayırt edici yönü, aktarımın belirli bir muhataba yönelmiş olmasıdır.
Yayma ise kişisel verinin daha geniş ve dağınık bir çevreye açılması anlamına gelir. Verinin sosyal medyada paylaşılması, internet sitesinde yayımlanması, mesaj gruplarında dolaşıma sokulması, herkese açık bir platforma yüklenmesi veya çok sayıda kişiye ulaşacak biçimde dağıtılması bu kapsama girebilir. Verme fiilinde hedef belirli iken, yaymada kişisel veri daha geniş bir çevrenin bilgisine sunulur. Bu yüzden yayma hareketi, ihlalin etkisini büyüten bir görünüm taşır.
Ele geçirme ise önceki iki hareketten farklı olarak, kişisel verinin fail tarafından edinilmesini ifade eder. Burada fail veriyi başkasına aktarmak zorunda değildir. Veriyi yalnızca kendi denetim alanına sokmuş olması yeterli olabilir. Mesela veri tabanından kişisel bilgilerin çekilmesi, telefondaki rehberin kopyalanması, e posta hesabındaki verilerin indirilmesi, sağlık kayıtlarının sisteme girilerek alınması veya personel listelerinin dışarı aktarılması ele geçirme fiiline örnek gösterilebilir. Bu görünümde odak, aktarım değil edinimdir.
Somut olayda bu üç hareket bazen tek tek ortaya çıkar, bazen de birbirini izler. Bir kişi önce kişisel veriyi ele geçirebilir, ardından belirli bir kişiye verebilir, daha sonra da geniş bir çevreye yayabilir. Böyle durumlarda hareketler birbirinden tamamen kopuk değilse ve tek suç işleme iradesi içinde gerçekleşiyorsa, olayın bütününe göre değerlendirme yapılır. Ne var ki iddianamenin ve mahkeme gerekçesinin, hangi hareketin sabit görüldüğünü açıkça göstermesi gerekir. Aksi halde savunma hakkı zedelenebilir.
Davalarda en çok karışan noktalardan biri, ele geçirme ile verme arasındaki sınırdır. Örneğin bir çalışan, müşteri listesini önce kendi bilgisayarına indirip ardından rakip firmaya iletmişse burada iki aşamalı bir fiil söz konusudur. İlk aşamada ele geçirme, ikinci aşamada verme hareketi vardır. Buna karşılık veriyi yalnızca indirip kendi kullanım alanına alan fakat henüz kimseye göndermeyen kişi bakımından esas hareket ele geçirmedir. Yine sosyal medya üzerinden paylaşım yapılmışsa artık yayma boyutu da devreye girer.
Bir başka ayrım, verme ile yayma arasındadır. Kişisel verinin tek bir kişiye mesaj yoluyla gönderilmesi ile herkese açık bir platformda yayımlanması aynı sonuçları doğurmaz. Her ikisi de TCK m. 136 kapsamındadır, ancak hareketin niteliği ve mağduriyetin genişliği farklıdır. Bu nedenle mahkemeler, verinin kimlere, hangi araçla ve ne ölçüde ulaştığını dikkatle incelemelidir.
Savunma bakımından da bu ayrım önemlidir. Sanığa yayma isnadı yöneltilmişse, verinin gerçekten geniş bir çevreye ulaşıp ulaşmadığı araştırılmalıdır. Verme iddiası varsa, aktarımın belirli kişiye yapıldığı teknik ve içerik yönünden ispat edilmelidir. Ele geçirme iddiasında ise verinin failin hakimiyet alanına gerçekten girip girmediği, yalnızca sisteme erişim izinin bulunmasının yeterli sayılıp sayılamayacağı tartışılmalıdır. Her seçimlik hareketin ispat dinamiği farklıdır.
Hukuka Aykırı Olarak Verilerin Ele Geçirilmesi Suçunun Cezası
Hukuka aykırı olarak verilerin ele geçirilmesi suçunun cezası, doğrudan TCK m. 136 içinde düzenlenmiştir. Kanun metnine göre kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi hakkında iki yıldan dört yıla kadar hapis cezası öngörülür. Buna ek olarak, suçun konusunun Ceza Muhakemesi Kanunu m. 236’nın beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması halinde ceza bir kat artırılır.
Bu düzenleme, ele geçirme fiilinin hafif bir veri ihlali olarak görülmediğini açıkça gösterir. Kanun koyucu, kişisel verinin hukuka aykırı biçimde edinilmesini doğrudan hapis cezası ile yaptırıma bağlamıştır. Dolayısıyla suçun temel halinde seçenek yaptırım ya da sadece idari yaptırım söz konusu değildir. Ceza yargılamasında önce fiilin TCK m. 136 kapsamına girip girmediği belirlenir, ardından somut olayın özelliklerine göre temel ceza alt ve üst sınırlar arasında takdir edilir.
Temel ceza belirlenirken mahkeme, fiilin işleniş biçimini, ele geçirilen verinin niteliğini, verinin kapsamını, mağdur sayısını, failin kast yoğunluğunu ve ortaya çıkan tehlikenin ağırlığını dikkate alır. Örneğin tek kişiye ait sınırlı veri ile çok sayıda kişiye ait kapsamlı veri setinin ele geçirilmesi aynı ağırlıkta değerlendirilmeyebilir. Aynı şekilde sağlık bilgisi, çocuk beyanı, görüntü kaydı veya mahrem nitelikte veri içeren olaylar cezanın bireyselleştirilmesinde daha ağır sonuç doğurabilir. Bu değerlendirme, kanundaki alt ve üst sınırlar içinde yapılır.
Madde ikinci fıkradaki artırım nedeni özellikle önem taşır. Ceza Muhakemesi Kanunu m. 236 kapsamında kayda alınan belirli beyan ve görüntüler suçun konusunu oluşturuyorsa, temel ceza bir kat artırılır. Bu artırım, özellikle kırılgan mağdur gruplarına ilişkin kayıtların daha sıkı korunması amacını taşır. Bu nedenle soruşturma ve kovuşturma aşamasında yalnızca verinin kişisel veri olup olmadığı değil, aynı zamanda ikinci fıkra kapsamındaki özel kayıt grubuna girip girmediği de ayrıca incelenmelidir.
Yalnızca TCK m. 136 ile yetinilmemesi gereken bir başka alan da TCK m. 137 bağlantısıdır. Suçun kamu görevlisi tarafından ve görevin verdiği yetki kötüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenmesi halinde ceza artırılır. Bu artırım, ele geçirilen verinin niteliğinden değil, failin konumundan ve suçu işleme imkanından kaynaklanır. Bu yüzden hekim, avukat, banka çalışanı, insan kaynakları personeli, memur veya teknik yetkili bakımından dosya ayrıca değerlendirilmelidir.
Ceza hesabı bakımından pratikte en çok karıştırılan mesele, ikinci fıkradaki bir kat artırım ile TCK m. 137’deki artırım nedenlerinin nasıl uygulanacağıdır. Bu artırım sebepleri somut olayda birlikte bulunabilir. Böyle bir durumda mahkeme önce temel cezayı belirler, ardından uygulanabilir nitelikli halleri sırayla değerlendirir. Elbette nihai sonuç ceza, olayın özelliklerine, iştirak durumuna, teşebbüs ihtimaline ve takdiri indirim nedenlerine göre ayrıca şekillenir. Bu nedenle sadece madde metnini okumak her zaman yeterli olmaz; cezanın hangi aşamada nasıl arttığı dosyanın yapısına göre değişebilir.
Aşağıdaki tablo, temel ceza yapısını sade biçimde göstermektedir:
| Düzenleme | Fiil | Ceza |
|---|---|---|
| TCK m. 136/1 | Kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme | 2 yıldan 4 yıla kadar hapis |
| TCK m. 136/2 | CMK m. 236 kapsamındaki kayda alınan beyan ve görüntülerin konu olması | Verilecek ceza 1 kat artırılır |
| TCK m. 137 | Kamu görevlisinin görevin verdiği yetkiyi kötüye kullanması veya meslek ve sanatın sağladığı kolaylıktan yararlanılması | Ceza ayrıca artırılır |
Ceza hukuku bakımından bir başka önemli başlık, bu suçun adli para cezasına çevrilmesi, hükmün açıklanmasının geri bırakılması veya erteleme gibi kurumlarla ilişkisidir. Bu değerlendirme otomatik değildir. Nihai sonuç cezanın miktarı, failin sabıka durumu, suçun işleniş biçimi ve mahkemenin bireyselleştirme takdiri belirleyici olur. Bu yüzden “bu suçta kesin olarak şu sonuç çıkar” şeklinde genelleme yapmak isabetli değildir. Somut dava yapısı görülmeden kesin değerlendirme yapılmamalıdır.
Hukuka aykırı olarak verilerin ele geçirilmesi suçunda ceza, her olayda yalnızca temel hal üzerinden belirlenmez. Kanun koyucu, kimi durumlarda fiilin daha ağır değerlendirilmesini gerekli görmüş ve buna bağlı olarak cezanın artırılmasını öngörmüştür. Bu artırım sebeplerinin bir bölümü doğrudan TCK m. 136 içinde, bir bölümü ise TCK m. 137 üzerinden düzenlenmiştir. Bu nedenle ceza hesabı yapılırken yalnızca ele geçirme fiiline değil, verinin niteliğine ve failin konumuna da ayrıca bakmak gerekir.
Bu düzenleme, belirli beyan ve görüntü kayıtlarının daha güçlü ceza koruması altında tutulduğunu gösterir. Başka bir anlatımla suçun konusu sıradan kişisel veri değil de, Ceza Muhakemesi Kanunu m. 236 kapsamında özel usulle kayda alınan beyan ve görüntüler ise mahkeme temel cezayı belirledikten sonra bu cezayı bir kat artırır. Böylece kanun, özellikle kırılgan mağdur gruplarına ilişkin daha hassas nitelikteki kayıtların ele geçirilmesini daha ağır yaptırıma bağlamaktadır.
İkinci önemli nitelikli hal ise TCK m. 137 bağlantısında ortaya çıkar. Bu maddede, kişisel verilere karşı işlenen suçların belirli sıfat ve imkanlar kullanılarak işlenmesi halinde cezanın artırılacağı kabul edilmiştir. İlgili düzenleme özetle iki ayrı artırma nedeni içerir. Bunlardan ilki, suçun kamu görevlisi tarafından ve görevin verdiği yetki kötüye kullanılmak suretiyle işlenmesidir. İkincisi ise suçun, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenmesidir. Bu durumlarda ceza ayrıca artırılır.
Kamu görevlisinin görevin verdiği yetkiyi kötüye kullanması hali, özellikle kamu kurumlarında tutulan kişisel veriler bakımından önem taşır. Nüfus kayıtlarına, adli kayıtlara, sağlık sistemlerine, sosyal güvenlik verilerine veya belediye veri tabanlarına erişim yetkisi bulunan kişinin bu yetkiyi görev amacı dışında kullanarak kişisel veriyi ele geçirmesi halinde, fiil artık daha ağır değerlendirilir. Burada artırımın nedeni yalnızca verinin ele geçirilmesi değildir. Aynı zamanda kamusal görevden doğan güven ilişkisinin kötüye kullanılmasıdır. Bu sebeple failin memur ya da kamu görevlisi olması tek başına yeterli olmaz. Asıl önemli olan, suçu görevin sağladığı erişim imkanı sayesinde işlemiş olmasıdır.
Meslek ve sanatın sağladığı kolaylıktan yararlanılması da pratikte sık karşılaşılan bir artırım nedenidir. Hekim, avukat, banka çalışanı, insan kaynakları personeli, çağrı merkezi görevlisi, muhasebe çalışanı, teknik servis sorumlusu veya sistem yöneticisi gibi kişiler, görevleri gereği başkalarının kişisel verilerine daha kolay erişebilir. Bu kişiler, sahip oldukları profesyonel imkanları kullanarak verileri hukuka aykırı biçimde ele geçirirse ceza ağırlaşır. Çünkü burada yalnızca kişisel veri ihlali değil, mesleki güven ilişkisinin bozulması da söz konusudur.
Davalarda en çok tartışılan konulardan biri, failin sahip olduğu erişim imkanının gerçekten mesleğin sağladığı kolaylık kapsamında değerlendirilip değerlendirilemeyeceğidir. Her çalışan bu kapsama otomatik girmez. Kişinin veriye erişimi sıradan bir teknik tesadüf sonucu oluşmuşsa ya da kurumsal yapı içinde özel yetki gerektirmeyen bir alanda bulunuyorsa artırım nedeni ayrıca tartışılır. Buna karşılık failin mesleki konumu sayesinde kapalı veri alanına ulaşabildiği ve bu imkan olmasa fiili işleyemeyeceği açıksa, nitelikli hal daha güçlü biçimde gündeme gelir.
Bir başka önemli husus, bu artırımların temel suç oluşmadan uygulanamayacağıdır. Önce TCK m. 136 kapsamında kişisel verilerin hukuka aykırı biçimde ele geçirildiği sabit olmalıdır. Daha sonra verinin niteliği veya failin sıfatı nedeniyle cezanın artırılıp artırılmayacağı değerlendirilir. Bu nedenle mahkeme önce temel unsurları, ardından nitelikli halleri inceler. Doğrudan artırım nedeninden yola çıkılarak mahkumiyet kurulamaz.
Ceza hesabında birden fazla artırım nedeninin aynı olayda birlikte bulunması da mümkündür. Örneğin kamu görevlisi, görevinin verdiği yetkiyi kötüye kullanarak CMK m. 236 kapsamındaki özel kayıtları ele geçirmiş olabilir. Böyle bir durumda mahkeme önce temel cezayı belirler, ardından uygulanabilir artırım nedenlerini sırayla değerlendirir. Bu nedenle nitelikli hal incelemesi yalnızca suçun oluşup oluşmadığı bakımından değil, nihai ceza miktarı bakımından da büyük önem taşır.
Aşağıdaki tablo, artırma nedenlerini genel çerçevede göstermektedir:
| Düzenleme | Nitelikli Hal | Sonuç |
|---|---|---|
| TCK m. 136/2 | Suçun konusunun CMK m. 236 kapsamındaki kayda alınan beyan ve görüntüler olması | Ceza 1 kat artırılır |
| TCK m. 137 | Kamu görevlisinin görevin verdiği yetkiyi kötüye kullanması | Ceza artırılır |
| TCK m. 137 | Meslek ve sanatın sağladığı kolaylıktan yararlanılması | Ceza artırılır |
Hangi Hallerde Suç Oluşmaz
Hukuka aykırı olarak verilerin ele geçirilmesi suçu her veri edinme işleminde kendiliğinden oluşmaz. Ceza hukuku bakımından belirleyici olan unsur, kişisel verinin hukuka aykırı biçimde elde edilmesidir. Bu nedenle kimi hallerde veri edinilmiş olsa bile suçtan söz edilemez. Yargısal incelemede asıl soru, verinin alınıp alınmadığından önce, hangi hukuki zeminde alındığı sorusudur. Nitekim TCK m. 136’da yer alan “hukuka aykırı olarak” ibaresi, suçun ayrılmaz unsurudur.
İlk olarak, açık rıza bulunan hallerde suç oluşmayabilir. Kişi, kendisine ait verinin belirli amaçla alınmasına, saklanmasına veya kullanılmasına serbest iradesiyle onay vermişse ceza sorumluluğu doğmayabilir. Yine de burada verilen rızanın kapsamı önemlidir. Belirli amaç için verilen izin, sınırsız kullanım yetkisi yaratmaz. Kişinin yalnızca bir işlem için paylaştığı verinin sonradan başka amaçlarla alınması veya saklanması halinde yeniden hukuka aykırılık tartışması doğabilir. Bu yüzden davalarda rızanın varlığı kadar, sınırları ve amacı da ayrıca incelenir.
İkinci olarak, kanundan doğan yetki veya yükümlülük çerçevesinde yapılan veri edinimleri suç oluşturmaz. Mahkeme kararı, savcılık talebi, soruşturma işlemi, idari denetim yükümlülüğü, mevzuattan doğan kayıt zorunluluğu veya resmi görev kapsamında yapılan veri işlemleri bu başlık altında değerlendirilebilir. Bir kamu görevlisinin ya da yetkili personelin, görevinin gerektirdiği ölçüde kişisel veriye erişmesi her zaman suç anlamına gelmez. Ceza sorumluluğu ancak bu yetkinin sınırlarının aşılması halinde gündeme gelir.
Görevin gereği olan meşru erişim de ayrıca önem taşır. Bir hastane çalışanının görev alanındaki hasta kaydına bakması, insan kaynakları personelinin personel özlük verisini incelemesi, avukatın vekalet ilişkisi içinde dosyadaki kişisel verilere ulaşması veya banka görevlisinin işin gerektirdiği kullanıcı bilgilerine erişmesi tek başına suç oluşturmaz. Ne var ki erişimin meşru olması ile verinin sonradan amaç dışı kullanılması aynı şey değildir. Yetki, sadece işin gerektirdiği sınır içinde koruma sağlar. Bu sınır aşıldığında suç tartışması yeniden başlar.
Bir diğer ihtimal, verinin kişisel veri niteliği taşımamasıdır. Eğer edinildiği iddia edilen bilgi, belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemiyorsa TCK m. 136 bakımından suçun konusu oluşmayabilir. Tamamen anonim hale getirilmiş, kimliğe ulaşmayı mümkün kılmayan veya gerçek kişiye temas etmeyen bilgiler bu suç tipinin kapsamı dışında kalabilir. Bu nedenle savunmada çoğu zaman ilk itirazlardan biri, ele geçirilen içeriğin gerçekten kişisel veri olup olmadığı yönünde geliştirilir.
Kastın bulunmaması halinde de ceza sorumluluğu tartışmalı hale gelir. Bu suç kasten işlenir. Sanığın kişisel veriyi bilerek ve isteyerek ele geçirmesi gerekir. Teknik hata, yanlış dosyaya istem dışı erişim, otomatik yedekleme, sistem senkronizasyonu, arka planda çalışan yazılım işlemi veya yanlış yönlendirilen e postanın iradi olmayan biçimde açılması her olayda suç sonucuna götürmez. Mahkemenin, sanığın bilinçli veri edinme iradesini somut delillerle değerlendirmesi gerekir.
İspat yetersizliği de pratikte çok önemlidir. Sisteme giriş kaydı bulunması, her zaman kişisel verinin ele geçirildiğini göstermez. Aynı şekilde verinin dışarı çıktığı iddiası da bunu kimin yaptığı açıkça ortaya konulmadan yeterli olmaz. Ortak kullanılan bilgisayar, paylaşımlı ağ, açık bağlantı, başkalarınca bilinen parola, kurumsal kullanıcı hesabı veya çok kişili erişim yapısı bulunan davalarda sanık ile veri edinme fiili arasındaki bağ dikkatle kurulmalıdır. Ceza yargılamasında kuşku giderilemeden mahkumiyet kurulamaz.
Bazen de veri edinimi meşru savunma, hakkın kullanılması veya ilgilinin daha üstün yararı gibi hukuka uygunluk nedenleri çerçevesinde tartışılabilir. Bu başlıklar her dosyada kolay uygulanmaz. Yine de somut olayın özelliğine göre, kişinin kendisine yönelen haksız fiili ispatlamak amacıyla belirli veriye eriştiği, hukuki hakkını korumak için sınırlı hareket ettiği veya daha ağır bir hukuki değeri korumaya çalıştığı savunmaları gündeme gelebilir. Böyle dosyalarda mahkeme, araç ile amaç arasındaki ölçülülüğü dikkatle incelemelidir.
Bir başka önemli nokta, rıza ile paylaşılmış verinin sonradan edinilmesi ile ilgilidir. Veri sahibi, bilgiyi daha önce bir kuruma vermiş olabilir. Bu durum, o veriye herkesin ulaşabileceği anlamına gelmez. Rıza sadece belirli kişi, kurum veya amaç yönünden geçerlidir. Bu yüzden “veri zaten bir yerde vardı” savunması tek başına yeterli değildir. Mahkeme, verinin hangi kapsamda paylaşıldığını ve sonradan edinimin bu sınırların içinde kalıp kalmadığını değerlendirir.
Hukuka Aykırı Olarak Verilerin Ele Geçirilmesi Suçu ile TCK m. 135 Arasındaki Fark
Hukuka aykırı olarak verilerin ele geçirilmesi suçu ile TCK m. 135 kapsamında kişisel verilerin izinsiz kaydedilmesi suçu, uygulamada sık karıştırılan iki ayrı suç tipidir. Her iki düzenleme de kişisel verileri korur. Bununla birlikte cezalandırılan hareket aynı değildir. Bu ayrım doğru kurulmadığında sevk maddesi hatalı belirlenebilir, iddianame çerçevesi belirsizleşebilir ve savunma hakkı zedelenebilir. Bu sebeple önce her iki maddenin koruduğu alanı ve cezalandırdığı hareketi ayrı ayrı görmek gerekir.
TCK m. 135’in merkezinde kişisel verilerin kaydedilmesi vardır. Başka bir anlatımla fail, hukuka aykırı biçimde kişisel veriyi bir sisteme, listeye, dosyaya, tabloya, cihaza veya kayıt ortamına geçirir. Burada esas hareket, verinin depolanması ve kayıt altına alınmasıdır. Verinin daha önce hiç mevcut olmaması şart değildir. Önemli olan, failin kişisel veriyi hukuka aykırı şekilde kaydetmesidir. TCK m. 136’da ise odak farklıdır. Burada esas hareket, mevcut kişisel verinin verilmesi, yayılması veya ele geçirilmesidir. Dolayısıyla 136. maddede saklama veya kayıt altına alma değil, verinin edinilmesi ya da dolaşıma sokulması ön plana çıkar.
Bu farkı daha somut göstermek mümkündür. Bir kişi, başkasına ait kimlik bilgilerini, adreslerini veya sağlık kayıtlarını hukuka aykırı biçimde tek tek toplayıp kendi oluşturduğu excel dosyasına işlerse, ilk bakışta kaydetme fiili öne çıkar. Buna karşılık bir çalışan, kurum veri tabanında zaten mevcut bulunan müşteri bilgilerini USB belleğe aktarır, kendi bilgisayarına indirir veya ekran görüntüsü alarak edinirse, burada daha çok ele geçirme fiili tartışılır. İlk örnekte veri kayıt altına alınmaktadır. İkinci örnekte ise mevcut veri failin hakimiyet alanına sokulmaktadır.
Davalarda bazen her iki hareket iç içe geçer. Fail önce kişisel veriyi ele geçirir, ardından kendi cihazında, klasöründe veya veri tabanında sistematik biçimde kaydeder. Böyle durumlarda tek hareketten değil, birbiriyle bağlantılı birden fazla fiilden söz edilebilir. Bu nedenle somut olayda sadece sonuca bakmak yetmez. Verinin nasıl elde edildiği, hangi aşamada kaydedildiği, hangi araçla saklandığı ve hangi amaçla kullanıldığı birlikte incelenmelidir. Doğru vasıflandırma ancak hareket zinciri tam olarak çözüldüğünde mümkün olur.
Her iki suç tipi bakımından ortak nokta, korunan konunun kişisel veri olmasıdır. Yine her iki maddede de hareketin hukuka aykırı olması gerekir. Açık rıza, kanuni yetki, görev gereği erişim veya hukuka uygunluk nedeni bulunduğunda ceza sorumluluğu doğmayabilir. Ne var ki ayrım, hukuka aykırılığın üzerinde değil, cezalandırılan davranışın niteliğinde ortaya çıkar. TCK m. 135’te veri kayıt altına alınır. TCK m. 136’da ise veri başkasına verilir, yayılır veya ele geçirilir.
Savunma bakımından bu ayrım özellikle önemlidir. İddianamede ele geçirme isnadı yer almasına rağmen dosyadaki deliller yalnızca kaydetme fiiline işaret ediyor olabilir. Aynı şekilde kaydetme suçundan söz edildiği halde ortada fail tarafından oluşturulmuş bağımsız bir kayıt bulunmayabilir, sadece mevcut verinin indirilmesi veya kopyalanması söz konusu olabilir. Böyle bir durumda müdafinin ilk işi, hareketin niteliğini doğru tanımlamak olmalıdır. Çünkü yanlış madde üzerinden kurulan değerlendirme, hem suçun unsurlarını hem de ceza hesabını etkiler.
Bir başka ayrım da delil yapısında ortaya çıkar. TCK m. 135 bakımından çoğu kez dosyada verinin kayıt altına alındığını gösteren tablo, klasör, dosya, liste, not, veri tabanı veya cihaz içeriği aranır. TCK m. 136 yönünden ise erişim kayıtları, indirme geçmişi, veri aktarım izleri, e posta hareketleri, USB bağlantıları, ekran görüntüleri ve bulut senkronizasyon kayıtları daha çok önem taşır. Bu nedenle aynı kişisel veri ihlali dosyasında bile hangi teknik delilin belirleyici olacağı, sevk maddesine göre değişebilir.
Öğreti ve yargı pratiğinde dikkat çeken konulardan biri de, kaydetme ile ele geçirme fiillerinin her zaman birbirini dışlamamasıdır. Fail bazen önce veriyi hukuka aykırı olarak ele geçirir, daha sonra bunu ayrı bir veri seti haline getirerek kaydeder. Kimi olaylarda ise ele geçirme anı ile kaydetme anı neredeyse eş zamanlı gerçekleşir. Böyle durumlarda içtima hükümleri, tek fiil çok suç görünümü ve somut olayın baskın hareketi ayrıca değerlendirilir. Bu nedenle her dosyada otomatik bir ayrım formülü kurmak doğru olmaz.
Aşağıdaki tablo farkı daha sade biçimde göstermektedir:
| Başlık | TCK m. 135 | TCK m. 136 |
|---|---|---|
| Temel hareket | Kişisel verilerin hukuka aykırı olarak kaydedilmesi | Kişisel verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi |
| Odak | Verinin kayıt altına alınması | Mevcut verinin edinilmesi veya dolaşıma sokulması |
| Tipik örnek | Kişisel verilerden yasa dışı veri listesi oluşturmak | Kurum veri tabanındaki kişisel verileri indirip almak |
| Delil yapısı | Dosya, liste, veri tabanı, kayıt ortamı | Erişim kaydı, indirme izi, aktarım kaydı, ekran görüntüsü |
Özetle, TCK m. 135 ile TCK m. 136 arasındaki temel fark, cezalandırılan hareketin niteliğindedir. Birinde veri kaydedilir, diğerinde veri edinilir veya dışarı aktarılır. Somut olayda hangi maddenin uygulanacağını belirlemek için fiilin teknik yapısına, zaman sırasına ve delil zincirine dikkatle bakmak gerekir.
İspat ve Deliller
Hukuka aykırı olarak verilerin ele geçirilmesi suçunda yargılamanın merkezinde çoğu zaman delil tartışması yer alır. Bu suç tipi, klasik tanık anlatımıyla çözülen davalardan farklıdır. Çünkü iddia edilen fiil genellikle dijital ortamda gerçekleşir ve kişisel verinin sanığın hakimiyet alanına girip girmediği teknik izler üzerinden araştırılır. Bu nedenle mahkeme yalnızca genel beyanlara değil, erişim kayıtlarına, cihaz incelemelerine, veri aktarım izlerine, ekran görüntülerine, mesaj içeriklerine ve bilirkişi raporlarına birlikte bakar. Ceza yargılamasında belirleyici olan husus, kişisel verinin gerçekten ele geçirilip geçirilmediğinin ve bunun sanıkla somut biçimde ilişkilendirilip ilişkilendirilemediğinin ortaya konulmasıdır.
Bu suçta en sık başvurulan delillerden biri log kayıtlarıdır. Kurumsal sistemler, e posta sunucuları, kullanıcı panelleri, veri tabanları ve çevrim içi platformlar çoğu zaman erişim hareketlerini belirli ölçüde kaydeder. Hangi hesaptan ne zaman giriş yapıldığı, hangi IP üzerinden bağlantı kurulduğu, hangi dosyanın görüntülendiği, indirildiği veya taşındığı bu kayıtlar üzerinden anlaşılabilir. Ne var ki log kaydı tek başına her zaman yeterli olmaz. Aynı hesaba birden fazla kişi erişmiş olabilir. Kullanıcı bilgileri paylaşılmış olabilir. Ağ yapısı ortak kullanıma açık olabilir. Bu nedenle log kaydı, başka delillerle birlikte anlam kazanır.
IP kayıtları da benzer biçimde önem taşır. Özellikle veri tabanına dışarıdan girildiği, e posta üzerinden veri çekildiği veya çevrim içi bir hesap üzerinden kişisel bilgi edinildiği iddiası bulunan davalarda IP eşleşmesi ilk teknik halka olarak öne çıkar. Buna rağmen IP adresi, tek başına fiili kullanıcıyı kesin biçimde göstermeyebilir. Ortak ofis ağı, kurumsal internet çıkışı, paylaşımlı modem, mobil erişim, VPN kullanımı veya uzak bağlantı programları bu değerlendirmeyi karmaşık hale getirir. Bu yüzden savunma bakımından IP verisinin yeterliliği her dosyada ayrıca sorgulanmalıdır.
Ayrıntılı bilgi: IP Adresi Delili ve Siber Suçlarda İspat
Cihaz incelemesi de çoğu kez belirleyicidir. Bilgisayar, cep telefonu, harici disk, USB bellek, bulut hesabı veya kurumsal cihaz üzerinde yapılan inceleme, verinin gerçekten sanığın hakimiyet alanına geçip geçmediğini gösterebilir. İndirilen dosyalar, ekran görüntüleri, aktarım klasörleri, önbellek kayıtları, senkronizasyon izleri, e posta ekleri ve mesajlaşma uygulaması içerikleri burada önem taşır. Bir verinin sanığın cihazında bulunması güçlü bir belirti olabilir. Bununla birlikte cihazın ortak kullanıma açık olup olmadığı, cihazdaki verinin ne zaman ve hangi kullanıcı tarafından oluşturulduğu da ayrıca araştırılmalıdır.
Ekran görüntüleri, mesaj yazışmaları ve e posta içerikleri de dava pratiğinde sık kullanılan delillerdendir. Kişisel verinin görüntülenmesi, paylaşılması veya dışarı aktarılması çoğu zaman bu tür dijital içeriklerden anlaşılır. Ancak bu belgelerin gerçekliği, değiştirilebilir olup olmadığı ve hangi koşullarda elde edildiği mutlaka incelenmelidir. Özellikle tek taraflı alınmış ekran görüntülerinin doğruluğu, meta verilerle ve başka kayıtlarla desteklenmeden kesin delil gibi kabul edilmemelidir.
Bilirkişi incelemesi, bu davalarda en kritik aşamalardan biridir. Mahkeme çoğu zaman teknik verileri doğrudan yorumlayamaz. Bu nedenle cihazların imajı alınır, erişim kayıtları incelenir, dosya hareketleri analiz edilir ve teknik rapor hazırlanır. Sağlıklı bir bilirkişi raporunda yalnızca sonuç değil, sonuca nasıl ulaşıldığı da açıkça gösterilmelidir. Hangi kayıtların incelendiği, hangi zaman aralığının esas alındığı, hangi cihazdan neyin tespit edildiği, verinin kişisel veri niteliği taşıyıp taşımadığı ve sanıkla teknik bağın nasıl kurulduğu somut biçimde açıklanmalıdır. Varsayıma dayalı, eksik ya da yöntem göstermeyen raporlar savunma bakımından ciddi itiraz sebebidir.
Delil değerlendirmesinde kişisel veri niteliğinin ispatı da ayrı bir basamaktır. Çünkü TCK m. 136 bakımından her bilgi değil, yalnızca kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgi korunur. Kişisel Verileri Koruma Kurumu da kişisel veriyi bu şekilde tanımlamaktadır. Bu nedenle dosyada elde edildiği ileri sürülen içeriğin gerçekten kişisel veri niteliği taşıyıp taşımadığı ayrıca gösterilmelidir. Anonim hale gelmiş, belirli kişiye bağlanamayan veya gerçek kişiyi belirlenebilir kılmayan bilgiler bakımından suçun konusu tartışmalı hale gelebilir.
Hukuka uygun delil meselesi de göz ardı edilemez. Dijital materyalin ele geçirilmesi, kopyalanması, incelenmesi ve mahkemeye sunulması süreçlerinde usule uygunluk aranır. El koyma işlemi, imaj alma yöntemi, zincirleme koruma, kayıtların değişmezliğinin sağlanması ve delilin kaynağının gösterilmesi büyük önem taşır. Özellikle şirket içi incelemelerde ya da kişisel cihazlardan veri alınan durumlarda delilin nasıl toplandığı tartışma yaratabilir. Hukuka aykırı biçimde elde edilen delillerin mahkumiyete esas alınıp alınamayacağı her somut olayda ayrıca değerlendirilmelidir.
Davalarda sık rastlanan bir diğer sorun, erişim ile ele geçirme arasındaki farkın delille karıştırılmasıdır. Dosyada sisteme giriş izi bulunabilir. Buna rağmen kişisel verinin indirildiğini, kopyalandığını veya sanığın denetim alanına geçtiğini gösteren açık teknik bulgu bulunmayabilir. Böyle bir durumda sırf erişim kaydına dayanarak ele geçirme fiilinin gerçekleştiği sonucuna ulaşmak her zaman doğru olmaz. Ceza yargılamasında şüpheyi aşan, somut ve teknik olarak doğrulanabilir bir bağ aranmalıdır.
Tanık beyanları da tamamen önemsiz değildir. Kurum çalışanlarının anlatımları, veri akışını bilen kişilerin açıklamaları, sistem yöneticilerinin tespitleri ve mağdurun olaya ilişkin beyanı, teknik delillerin yorumlanmasına katkı sağlayabilir. Yine de bu suçta tanık anlatımı çoğu zaman tek başına yeterli olmaz. Dijital deliller ile beyanların birbirini desteklemesi gerekir.
İspat bakımından son derece önemli bir konu da zaman tespitinin doğru kurulmasıdır. Veri hangi anda görüntülendi, hangi anda indirildi, hangi anda başka ortama aktarıldı, cihazda ne zaman bulundu ve sanığın erişim zamanı ile bunlar arasında uyum var mı soruları cevaplandırılmalıdır. Zaman damgaları, oturum geçmişi, dosya oluşturma ve değiştirme tarihleri bu nedenle özel önem taşır. Nedensellik bağı çoğu kez tam da bu zaman uyumu üzerinden kurulur.
TCK m. 136 Davalarında Soruşturma, Kovuşturma ve Savunma
TCK m. 136 davalarında soruşturma, kovuşturma ve savunma birbirinden kopuk alanlar değildir. Bu suç tipinde soruşturmanın yönü, çoğu kez delilin niteliğini belirler. Delilin nasıl toplandığı da kovuşturmanın kaderini etkiler. Savunma ise yalnızca son aşamada yapılan bir itiraz faaliyeti değildir. Tersine, ilk andan itibaren suç vasfını, kişisel veri niteliğini, hukuka aykırılık unsurunu ve teknik delil zincirini tartışan bütüncül bir çalışma gerektirir. Çünkü TCK m. 136 bakımından mahkemenin önündeki temel soru, kişisel verinin gerçekten hukuka aykırı biçimde ele geçirilip geçirilmediği ve bu fiilin sanıkla somut olarak ilişkilendirilip ilişkilendirilemediğidir. Nitekim madde metninde kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin cezalandırılacağı açıkça düzenlenmiştir.
Soruşturma aşaması çoğu davada şikayet, ihbar, kurum içi tespit veya dijital inceleme bulgusu ile başlar. Kişisel verilerin dışarı aktarıldığı, bir çalışan tarafından edinildiği, telefon rehberinin kopyalandığı, sağlık kayıtlarının alındığı, müşteri listesinin rakip yapıya verildiği veya veri tabanından kullanıcı bilgilerinin çekildiği yönünde iddia ortaya çıktığında savcılık önce olayın teknik zeminini anlamaya çalışır. Bu aşamada cihazlara el koyma, kurumsal sistem loglarının toplanması, IP hareketlerinin incelenmesi, e posta ve mesaj kayıtlarının değerlendirilmesi, bilirkişi atanması ve gerektiğinde arama işlemleri gündeme gelebilir. Dijital suç şüphesi bulunan davalarda ilk müdahale biçimi son derece önemlidir. Çünkü delilin geç toplanması, yanlış toplanması veya zincirleme koruma altına alınmaması yargılamanın tamamını zayıflatabilir.
TCK m. 136 bakımından soruşturmanın sağlıklı ilerleyebilmesi için savcılık yalnızca “veri dışarı çıkmış olabilir” düzeyinde soyut bir kabul ile yetinemez. Önce ele geçirildiği iddia edilen bilginin gerçekten kişisel veri niteliği taşıyıp taşımadığı belirlenmelidir. Kişisel Verileri Koruma Kurumu da kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Bu nedenle dosyada geçen içerik anonim nitelikte ise, gerçek kişiye bağlanamıyorsa veya belirlenme unsuru bulunmuyorsa suçun konusu baştan tartışmalı hale gelir. Savunmanın ilk ve en güçlü başlıklarından biri de çoğu zaman burada ortaya çıkar.
Soruşturma aşamasında ikinci ana mesele, hukuka aykırılık unsurudur. Her veri edinimi suç değildir. Açık rıza, kanuni yükümlülük, mahkeme kararı, idari yetki, görevin gereği olan sınırlı erişim veya sözleşme ilişkisi içindeki meşru kullanım hallerinde ceza sorumluluğu doğmayabilir. Bu sebeple savcılık, yalnızca verinin alınmış olup olmadığını değil, hangi hukuki zeminde alındığını da araştırmak zorundadır. Müdafi bakımından da burada geniş bir savunma alanı vardır. Erişimin görev gereği yapıldığı, kurum içi yetki kapsamında kaldığı, veri sahibinin açık rızasının bulunduğu veya teknik erişimin hukuki dayanağa sahip olduğu yönündeki savunmalar, dosyanın sonucunu doğrudan etkileyebilir.
Kovuşturma aşamasına gelindiğinde mahkemenin önündeki asıl tartışma çoğu kez delilin yeterliliği üzerinde yoğunlaşır. Log kayıtları, IP verileri, dosya indirme izleri, USB aktarım bulguları, ekran görüntüleri, e posta trafiği, mesaj yazışmaları ve cihaz içerikleri tek başına değil, bir bütün halinde değerlendirilmelidir. Sırf sisteme giriş kaydı bulunması, kişisel verinin ele geçirildiğini göstermeyebilir. Aynı şekilde kişisel verinin başka bir ortamda bulunması da tek başına sanığın fiiline bağlanamayabilir.
Bu nedenle bilirkişi raporu, TCK m. 136 davalarında çoğu zaman omurga niteliği taşır. Raporun yalnızca sonuç cümlelerinden ibaret olması yeterli değildir. Hangi cihaz incelendi, hangi veri kaydı esas alındı, dosya hareketleri nasıl tespit edildi, aktarım izi neye göre kuruldu, aynı veriye başka kişilerin erişim ihtimali dışlandı mı, ortak kullanım ihtimali değerlendirildi mi, verinin kişisel veri niteliği somut biçimde gösterildi mi sorularının açık cevapları bulunmalıdır. Eksik inceleme, varsayıma dayalı teknik yorum veya yalnızca kurum beyanını tekrar eden raporlar mahkumiyet için sağlıklı temel oluşturmaz.
Savunma bakımından ilk basamak, suç vasfını doğru kurmaktır. Çünkü her dijital erişim TCK m. 136 anlamında verilerin ele geçirilmesi suçu değildir. Bazen olay yalnızca sisteme hukuka aykırı erişim görünümündedir. Bazen kurum içi disiplin ihlali söz konusudur. Bazen de kişisel veri niteliği taşımayan ticari veya teknik bilgiye temas edilmiştir. Müdafi, öncelikle ele geçirildiği söylenen içeriğin kişisel veri olup olmadığını, ardından sanığın bu veriyi gerçekten edinip edinmediğini, daha sonra da edinimin hukuka aykırı sayılıp sayılamayacağını ayrı ayrı tartışmalıdır.
İkinci önemli savunma hattı, failin tespiti üzerinedir. Bir IP adresi, bir kullanıcı hesabı veya bir cihaz kaydı her zaman fiili kullanıcıyı kesin olarak göstermez. Ortak kullanılan ofis ağı, paylaşımlı bilgisayar, kurumsal kullanıcı hesabı, başkalarınca bilinen parola, uzaktan bağlantı yazılımı veya aynı cihazı birden fazla kişinin kullanması gibi ihtimaller mutlaka incelenmelidir. Ceza yargılamasında teknik iz ile gerçek fail arasındaki boşluk kapatılmadan mahkumiyet kurulamaz. Özellikle şirket içi davalarda bu ayrım büyük önem taşır.
Üçüncü savunma alanı, kastın varlığı ile ilgilidir. TCK m. 136 kasten işlenebilen bir suçtur. Sanığın, ele geçirdiği içeriğin kişisel veri olduğunu bilmesi ve bunu hukuka aykırı biçimde edinmeyi istemesi gerekir. Teknik hata, yanlış dosya açılması, otomatik eşitleme, istem dışı yedekleme, sistemin arka planda veri üretmesi veya verinin niteliğinin farkında olunmaması her olayda aynı hukuki sonuca götürmez. Müdafi, erişim hareketinin bilinçli veri edinimi mi yoksa teknik süreç içindeki yan sonuç mu olduğunu dikkatle tartışmalıdır.
Dördüncü savunma başlığı, hukuka uygun delil meselesidir. Dijital materyalin nasıl toplandığı, hangi cihazdan nasıl kopyalandığı, imaj alma işleminin yapılıp yapılmadığı, kayıtların değişmezliğinin korunup korunmadığı, el koyma ve inceleme işlemlerinin usule uygun yürütülüp yürütülmediği mutlaka denetlenmelidir. Özellikle şirket içi soruşturma kaynaklı dosyalarda, delilin çalışan rızası olmadan veya usule aykırı yöntemle elde edilmesi ayrı tartışmalar doğurabilir. Hukuka aykırı delilin mahkumiyetin omurgası haline getirilmesi kabul edilemez.
Bir başka kritik nokta da TCK m. 135 ile TCK m. 136 arasındaki ayrım ve gerektiğinde bilişim suçları ile kurulan ilişkidir. Kimi dosyalarda mevcut veri yalnızca ele geçirilmiş değil, ayrıca yeni bir liste halinde kaydedilmiş olabilir. Kimi olaylarda ise sistem erişimi vardır, ancak veri edinimi ispatlanamamaktadır. Bu nedenle savunma yalnızca “suçu işlemedim” çizgisinde kalmamalı, aynı zamanda doğru maddenin uygulanıp uygulanmadığını da tartışmalıdır. Yanlış vasıflandırma, ceza miktarını ve yargılamanın çerçevesini doğrudan etkiler.
TCK m. 136 davalarında kovuşturmanın sonucunu belirleyen bir diğer husus, zaman çizelgesinin sağlıklı kurulup kurulmadığıdır. Veri ne zaman görüntülendi, ne zaman indirildi, hangi anda dış ortama aktarıldı, cihazda ne zaman bulundu, sanığın erişim zamanı ile bu hareketler uyumlu mu soruları cevaplandırılmalıdır. Zaman damgaları, oturum kayıtları, dosya oluşturma tarihleri ve aktarım logları arasında kopukluk varsa, savunma bakımından güçlü şüphe doğar. Ceza yargılaması ihtimaller üzerine değil, somut ve tutarlı delil zinciri üzerine kurulmalıdır.
Mahkeme hüküm kurarken yalnızca teknik sonuca değil, kişisel verinin niteliğine, mağdur sayısına, edinimin kapsamına, failin konumuna ve varsa nitelikli hallere de bakar. Özellikle suçun, kamu görevlisinin görevin verdiği yetkiyi kötüye kullanmasıyla veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenmesi halinde ceza artışı gündeme gelir. Benzer şekilde suçun konusunun, Ceza Muhakemesi Kanunu m. 236 kapsamında kayda alınan beyan ve görüntüler olması durumunda da ceza ağırlaşır. Bu nedenle savunma sadece suçun oluşup oluşmadığına değil, varsa artırım sebeplerinin koşullarının gerçekten oluşup oluşmadığına da yönelmelidir.
TCK m. 136 davalarında soruşturma, kovuşturma ve savunma teknik ve hukuki yönü birlikte yürütülen bir süreçtir. Kişisel veri niteliği, hukuka aykırılık, failin tespiti, kast, delilin güvenilirliği ve usule uygunluk bir arada incelenmeden sağlıklı karar verilemez. Başarılı savunma, yalnızca iddiayı reddetmekten ibaret değildir. Delilin nasıl oluştuğunu, hangi hukuki sınırın ihlal edildiğini, verinin gerçekten ele geçirilip geçirilmediğini ve isnadın doğru maddeye dayanıp dayanmadığını sistemli biçimde sorgulayan bir yaklaşım gerektirir. Bu sebeple TCK m. 136 davaları, hem ceza hukuku bilgisi hem de dijital delil okuma yeteneği isteyen özel dosyalar arasında yer alır.
Av. Ramazan Sertan Safsöz
Not: Bu makale yalnızca bilgilendirme amacı taşımakta olup, somut davalar için alanında uzman bir avukattan profesyonel destek alınmalıdır.
Fotoğraflarım sosyal medyada bazı reklamlarda kullanılıyor. Bu suç kapsamında mıdır?
Evet, TCK m. 136/2 kapsamında değerlendirilir.