Kişisel verilerin izinsiz kaydedilmesi suçu, 5237 sayılı Türk Ceza Kanunu’nun 135. maddesinde düzenlenmiş olup, bireylere ait kişisel verilerin hukuka aykırı şekilde kayıt altına alınmasını yaptırıma bağlar. Bu suç tipi, kişisel verinin yalnızca elde edilmesini değil, belirli bir sistem dahilinde saklanabilir hale getirilmesini hedef alır.
Korunan hukuki değer, bireyin özel hayatı ile sınırlı olmayan, daha geniş anlamda kişisel veri üzerindeki tasarruf yetkisidir. Kişinin kimliğini belirli veya belirlenebilir kılan her türlü bilginin kontrolü, doğrudan ilgili kişinin iradesine bağlıdır. Bu nedenle veri üzerinde ilk müdahale anı olan “kaydetme” fiili, ceza hukuku bakımından bağımsız bir koruma alanı oluşturur.
TCK m. 135 kapsamında suçun oluşabilmesi için verinin mutlaka üçüncü kişilerle paylaşılması gerekmez. Verinin yalnızca kaydedilmesi, başka bir ifadeyle dijital ya da fiziksel bir ortama aktarılması dahi suçun tamamlanması için yeterlidir. Bu yönüyle düzenleme, kişisel verilerin daha ileri aşamalarda kullanılmasının önüne geçmeyi amaçlayan önleyici bir nitelik taşır.
Güncel davalarda bu suç tipi çoğunlukla dijital veri işlemleri üzerinden ortaya çıkar. Elektronik cihazlardan veri kopyalanması, log kayıtlarının yetkisiz şekilde tutulması, kamera veya ses kayıtlarının hukuki dayanak olmaksızın saklanması gibi fiiller, kaydetme kavramının somut yansımaları arasında yer alır. Bu nedenle suçun değerlendirilmesi, teknik süreçlerin hukuki nitelendirilmesini de zorunlu kılar.
Suçun Maddi ve Manevi Unsurları
Kişisel verilerin izinsiz kaydedilmesi suçu, belirli unsurların birlikte gerçekleşmesiyle oluşur. Bu unsurlar, fiilin maddi yapısını ve failin iç dünyasına ilişkin yönünü ortaya koyar.
Maddi unsur, kişisel verinin hukuka aykırı şekilde kaydedilmesidir. Kaydetme fiilinin gerçekleşmesi için verinin kalıcı olarak saklanabilir bir ortama aktarılması yeterlidir. Verinin daha sonra kullanılması, paylaşılması veya bir zarara yol açması şart değildir. Suç, kaydetme işlemiyle birlikte tamamlanır.
Kaydedilen verinin kişisel veri niteliği taşıması zorunludur. Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin olmayan veriler bu suçun konusunu oluşturmaz. Buna karşılık verinin doğrudan kimliği göstermemesi, suçun oluşumunu engellemez. Belirli bir kişiyle ilişkilendirilebilir olması yeterlidir.
Fiilin hukuka aykırı olması, maddi unsurun ayrılmaz bir parçasıdır. Kanundan doğan bir yetki, açık rıza veya hukuken geçerli bir sebep bulunması halinde kaydetme fiili suç oluşturmaz. Bu nedenle her somut olayda, kaydetmenin dayandığı hukuki zemin ayrıca değerlendirilir.
Manevi unsur bakımından suç kasten işlenebilir. Failin, kaydettiği verinin kişisel veri olduğunu bilmesi ve bu veriyi kayıt altına alma iradesiyle hareket etmesi yeterlidir. Özel bir amaç aranmaz. Verinin hangi nedenle kaydedildiği, suçun oluşumu açısından belirleyici değildir.
Dijital sistemlerde gerçekleştirilen kayıt işlemlerinde kastın tespiti teknik veriler üzerinden yapılır. Kullanıcı yetkileri, erişim logları, işlem kayıtları ve veri hareketleri, failin bilinçli hareket edip etmediğinin belirlenmesinde önemli rol oynar. Bu nedenle teknik inceleme, maddi ve manevi unsurların birlikte değerlendirilmesini sağlar.
TCK m. 135 Kapsamında Suçun Cezası
5237 sayılı Türk Ceza Kanunu’nun 135. maddesine göre kişisel verilerin izinsiz kaydedilmesi fiilini gerçekleştiren kişi hakkında hapis cezası öngörülmüştür. Kanun koyucu, verinin kaydedilmesini bağımsız bir ihlal olarak kabul ettiği için ceza, verinin sonraki kullanımına bağlı olmaksızın uygulanır.
Suçun temel halinde fail, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Cezanın alt ve üst sınırı belirlenirken, kaydedilen verinin niteliği, kapsamı, kayıt süresi ve failin konumu gibi hususlar dikkate alınır.
Ceza miktarının belirlenmesinde dijital verinin hacmi ve sistematikliği de etkili olur. Geniş veri setlerinin kayıt altına alınması, birden fazla kişiye ait verilerin toplanması veya verinin belirli bir sistem içinde organize edilmesi, cezanın tayininde ağırlaştırıcı bir etki yaratır.
Şirket faaliyetleri kapsamında gerçekleştirilen kayıt işlemlerinde sorumluluk, fiilin somut özelliklerine göre belirlenir. Yetkisiz veri toplama, hukuki dayanağı bulunmayan kayıt süreçleri veya görev sınırlarının aşılması halinde, ilgili kişiler hakkında doğrudan cezai sorumluluk doğar. Tüzel kişiler hakkında ayrıca güvenlik tedbirleri gündeme gelebilir.
Verinin yalnızca kısa süreli tutulmuş olması veya sınırlı sayıda kişiye ait olması, suçun varlığını ortadan kaldırmaz. Ceza hukuku bakımından belirleyici olan, kaydetme fiilinin hukuka aykırı şekilde gerçekleştirilmiş olmasıdır.
Nitelikli Haller (Özel Nitelikli Kişisel Veriler)
TCK m. 135 kapsamında bazı kişisel veriler, içerikleri itibarıyla daha güçlü bir koruma altına alınmıştır. Bu verilerin kaydedilmesi halinde ceza miktarı artırılır. Kanun, bireyin mahremiyet alanına daha derin şekilde temas eden veri kategorilerini ayrı bir düzenlemeye tabi tutmuştur.
Özel nitelikli kişisel veriler, kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini veya mezhebi, sağlık durumu, cinsel hayatı, sendika üyeliği gibi alanlara ilişkin bilgilerdir. Ayrıca biyometrik ve genetik veriler de bu kapsamda değerlendirilir. Bu veriler, kişinin sosyal ve özel hayatını doğrudan etkileyen hassas bilgiler içerir.
Bu tür verilerin hukuka aykırı şekilde kaydedilmesi halinde, fail hakkında verilecek ceza daha ağırdır. Nitelikli halin varlığı, yalnızca verinin içeriğine bağlıdır. Kaydetme yönteminin veya verinin kullanım amacının farklı olması sonucu değiştirmez.
Dijital sistemlerde özel nitelikli verilerin işlenmesi daha yüksek risk taşır. Sağlık uygulamaları, biyometrik doğrulama sistemleri, çalışanlara ilişkin hassas bilgiler ve benzeri veri setleri, kapsamı itibarıyla bu kategoriye girer. Bu verilerin kayıt altına alınması, sıkı hukuki şartlara bağlıdır.
Şirketler bakımından özel nitelikli verilerin kaydedilmesi, yalnızca teknik değil aynı zamanda organizasyon yükümlülüklerini de doğurur. Erişim yetkilerinin sınırlandırılması, veri güvenliğinin sağlanması ve kayıt süreçlerinin açık şekilde belirlenmesi gerekir. Bu önlemler alınmadan gerçekleştirilen kayıt işlemleri, doğrudan cezai sorumluluk doğurur.
Değerlendirme yapılırken verinin niteliği esas alınır. Verinin hassas içeriğe sahip olması, kaydetme fiilinin hukuka uygunluk sınırlarını daraltır ve ihlal halinde daha ağır sonuçlara yol açar.
Kişisel Veri Kavramı ve Dijital Veri Gerçeği
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanım, yalnızca ad, soyad veya kimlik numarası gibi doğrudan teşhis sağlayan verilerle sınırlı değildir. Bir kişinin başka verilerle eşleştirilerek belirlenmesini mümkün kılan her bilgi de kişisel veri kapsamında değerlendirilir.
Dijitalleşmenin geldiği noktada veri kavramı genişlemiş, kişisel veri çoğu zaman elektronik sistemler içinde üretilen ve saklanan bir nitelik kazanmıştır. IP adresleri, cihaz kimlik bilgileri, konum verileri, erişim kayıtları, işlem geçmişleri ve kullanıcı davranışlarına ilişkin veriler bu kapsamda yer alır. Bu tür veriler tek başına kimliği açıkça göstermese dahi, belirli bir kişiyle ilişkilendirilebilir olması nedeniyle hukuki koruma altındadır.
Dijital veri gerçeği, TCK m. 135 bakımından kaydetme fiilinin sınırlarını doğrudan etkiler. Veri artık yalnızca fiziksel belgelerle değil, sistem logları, veri tabanı kayıtları ve otomatik veri işleme süreçleri aracılığıyla ortaya çıkar. Bu durum, teknik olarak rutin görülen birçok işlemin ceza hukuku bakımından değerlendirilmesini gerekli kılar.
Özellikle şirket içi sistemlerde tutulan veriler açısından mesele daha da hassas hale gelir. Çalışanların giriş çıkış kayıtları, performans verileri, e-posta içerikleri, müşteri işlem geçmişleri ve benzeri kayıtlar, işin yürütülmesi ile doğrudan bağlantılı olsa dahi kişisel veri niteliğini ortadan kaldırmaz. Bu verilerin hangi kapsamda ve ne şekilde kaydedildiği, hukuka uygunluk değerlendirmesinde belirleyici rol oynar.
Kişisel veri kavramının dijital ortamda genişleyen yapısı, kaydetme fiilinin çoğu zaman fark edilmeden gerçekleşmesine yol açar. Bu nedenle değerlendirme, yalnızca verinin türüne değil, verinin elde edilme ve saklanma yöntemine odaklanarak yapılmalıdır.
Dijital Ortamda Kişisel Veri Türleri
Dijital sistemlerde üretilen ve saklanan veriler, içerik ve kullanım amacına göre farklı kategorilere ayrılır. Bu ayrım, TCK m. 135 kapsamında kaydetme fiilinin hukuki değerlendirmesinde doğrudan etkili olur. Verinin niteliği, korunma düzeyini ve hukuka uygunluk sınırlarını belirler.
Kimlik ve iletişim verileri, en temel kişisel veri grubunu oluşturur. Ad, soyad, telefon numarası, e-posta adresi ve kullanıcı hesap bilgileri bu kapsamdadır. Bu veriler doğrudan kişiyi tanımlamaya elverişli olduğundan, izinsiz şekilde kaydedilmeleri halinde suçun oluşumu bakımından tereddüt doğmaz.
Trafik ve bağlantı verileri, dijital ortamda en sık karşılaşılan veri türleri arasındadır. IP adresleri, cihaz kimlik bilgileri, giriş çıkış saatleri, erişim logları ve baz istasyonu kayıtları, kişinin dijital hareketlerini ortaya koyar. Bu veriler tek başına isim içermese dahi, belirli bir kullanıcıyla ilişkilendirilebilir olması nedeniyle kişisel veri niteliği taşır.
Davranışsal veriler, kullanıcıların sistem üzerindeki işlem geçmişlerinden oluşur. Tıklama kayıtları, gezinme alışkanlıkları, satın alma tercihleri ve uygulama kullanım verileri bu gruba girer. Bu veriler, profil oluşturma ve analiz amacıyla kullanıldığında kişisel veri korumasının kapsamı daha da genişler.
Görsel ve işitsel veriler, kamera kayıtları, fotoğraflar ve ses kayıtlarını içerir. Bu tür veriler çoğu zaman doğrudan kimlik tespiti yapılmasına imkan tanır. Özellikle sürekli kayıt alan sistemlerde bu verilerin saklanması, kaydetme fiilinin en açık örneklerinden biridir.
Özel nitelikli kişisel veriler, sağlık bilgileri, biyometrik veriler, genetik veriler, siyasi düşünce, inanç ve benzeri hassas alanlara ilişkin verileri kapsar. Bu verilerin kaydedilmesi, daha sıkı şartlara bağlıdır ve ceza hukuku bakımından daha ağır sonuçlar doğurur.
Şirket sistemlerinde bu veri türlerinin çoğu aynı anda bulunur. Bu nedenle her bir veri kategorisinin ayrı ayrı değerlendirilmesi gerekir. Tek tip bir yaklaşım yerine, verinin niteliğine göre farklı hukuki ölçütler uygulanmalıdır.
Otomatik ve Manuel Kayıt Ayrımı
Kişisel verilerin izinsiz kaydedilmesi suçu bakımından, verinin hangi yöntemle kayıt altına alındığı hukuki değerlendirmeyi doğrudan etkiler. Dijital sistemlerin büyük bölümü veriyi otomatik süreçler aracılığıyla üretir ve saklar. Buna karşılık manuel kayıt, insan iradesiyle gerçekleştirilen doğrudan veri toplama ve saklama işlemlerini ifade eder.
Otomatik kayıt, veri işleme sistemlerinin teknik işleyişi içinde gerçekleşir. Sunucu loglarının tutulması, kullanıcı hareketlerinin sistem tarafından kaydedilmesi, güvenlik yazılımlarının veri üretmesi ve veri tabanlarına otomatik kayıt düşülmesi bu kapsamdadır. Bu tür kayıtlar çoğu zaman sistemin çalışması için gerekli görülse de, hukuki dayanak bulunmadığı sürece kaydetme fiilinin varlığı ortadan kalkmaz.
Manuel kayıt, verinin doğrudan kişi tarafından toplanması ve saklanmasıdır. Bir çalışanın başka bir kişiye ait verileri kendi cihazına aktarması, ekran görüntüsü alınması, veri listesinin oluşturulması veya bilgilerin fiziksel ya da dijital ortamlara bilinçli şekilde yazılması bu kapsamda değerlendirilir. Bu tür fiillerde kastın tespiti daha açık şekilde ortaya konulabilir.
Otomatik ve manuel kayıt ayrımı, sorumluluğun belirlenmesi açısından önem taşır. Otomatik sistemlerde sorumluluk çoğu zaman sistemi kuran, işleten veya bu süreci yöneten kişilerde toplanır. Manuel kayıtlarda ise fiili gerçekleştiren kişinin doğrudan sorumluluğu söz konusu olur.
Şirketler bakımından otomatik kayıt süreçleri ayrı bir risk alanı oluşturur. Teknik zorunluluk gerekçesiyle tutulan verilerin kapsamı, saklama süresi ve erişim yetkileri açık şekilde belirlenmediği takdirde, sistematik veri toplama faaliyetleri ceza hukuku kapsamında değerlendirilir. Bu nedenle kayıt yönteminin niteliği kadar, kayıt sürecinin hukuki çerçevesi de belirleyici rol oynar.
Kaydetme Fiilinin Sınırları ve Suçun Oluşumu
TCK m. 135 kapsamında suçun merkezinde yer alan fiil, kişisel verinin kaydedilmesidir. Kaydetme, verinin geçici olmaktan çıkarılarak belirli bir süre boyunca erişilebilir ve kullanılabilir şekilde bir ortama aktarılmasını ifade eder. Bu aktarım dijital bir veri tabanına, bir cihaza, bulut sistemine veya fiziksel bir ortama yapılabilir.
Suçun oluşumu bakımından verinin kullanılması, paylaşılması veya ekonomik bir değere dönüştürülmesi şart değildir. Verinin yalnızca kayıt altına alınması yeterlidir. Bu yönüyle düzenleme, daha ileri aşamalarda gerçekleşebilecek ihlallerden önce devreye giren bağımsız bir koruma mekanizması niteliği taşır.
Kaydetme fiilinin sınırları belirlenirken, verinin tutulma biçimi ve süresi önem kazanır. Anlık olarak görüntülenen bir bilginin kalıcı hale getirilmesi, teknik olarak sistemde saklanması veya daha sonra erişilebilecek şekilde depolanması kaydetme olarak kabul edilir. Buna karşılık tamamen geçici ve sistemsel olarak iz bırakmayan işlemler, somut olayın özelliklerine göre farklı değerlendirmelere konu olabilir.
Dijital sistemlerde en sık karşılaşılan tartışma, rutin teknik işlemlerin kaydetme sayılıp sayılmayacağına ilişkindir. Sistem güvenliği, performans takibi veya hizmet sunumu amacıyla tutulan kayıtların kapsamı ve sınırları açık şekilde belirlenmemişse, bu tür işlemler de hukuka aykırı kayıt kapsamında değerlendirilebilir. Bu nedenle teknik gereklilik ile hukuki sınır arasındaki çizgi somut veriler üzerinden kurulmalıdır.
Suçun tamamlanması için verinin belirli bir düzen içinde tutulması yeterlidir. Verinin sınıflandırılmış olması, indekslenmesi veya sistematik şekilde işlenmesi zorunlu değildir. Basit bir veri listesi, ekran görüntüsü veya yedek dosya dahi kaydetme fiilini oluşturabilir. Bu durum, özellikle şirket içi veri akışlarında risk alanını genişletir.
Değerlendirme yapılırken yalnızca teknik işlem değil, bu işlemin dayandığı hukuki zemin esas alınır. Hukuka uygun bir sebep bulunmadığı sürece, kişisel verinin herhangi bir şekilde kayıt altına alınması TCK m. 135 kapsamında suç olarak kabul edilir.
Hangi Eylemler Kaydetme Sayılır?
Kaydetme fiili, kişisel verinin belirli bir süre erişilebilir kalacak şekilde bir ortama aktarılmasıyla gerçekleşir. Bu aktarımın teknik yöntemi veya kullanılan araç, fiilin hukuki niteliğini değiştirmez. Önem taşıyan husus, verinin geçici olmaktan çıkarılıp saklanabilir hale getirilmesidir.
Dijital ortamda en sık karşılaşılan örneklerden biri, verinin bir cihazdan başka bir ortama kopyalanmasıdır. Bilgisayardaki dosyaların harici bir diske aktarılması, sunucu verilerinin yerel ortama indirilmesi veya veri tabanı çıktılarının alınması, kaydetme kapsamında değerlendirilir.
Ekran görüntüsü alınması, uygulamada çoğu zaman göz ardı edilse de kaydetme fiilinin tipik örneklerinden biridir. Görüntülenen verinin kalıcı bir dosya haline getirilmesi, verinin saklanabilir hale gelmesi sonucunu doğurur. Aynı şekilde ekran kaydı alınması da aynı hukuki sonucu doğurur.
Ses ve görüntü kayıtları, doğrudan kaydetme fiilini oluşturur. Kamera sistemleri aracılığıyla yapılan kayıtlar, cep telefonu ile alınan görüntüler veya ses kayıt cihazlarıyla elde edilen veriler, kişisel veri içermesi halinde TCK m. 135 kapsamında değerlendirilir.
Veri listesi oluşturulması veya mevcut verilerin bir araya getirilerek düzenlenmesi de kaydetme sayılır. Birden fazla kaynaktan elde edilen bilgilerin tek bir dosyada toplanması, kişisel veri içeren bir veri seti oluşturulması anlamına gelir.
Sistem loglarının tutulması da belirli koşullarda kaydetme fiilini oluşturur. Kullanıcı hareketlerinin, giriş çıkış saatlerinin veya işlem geçmişlerinin kaydedilmesi, teknik bir süreç olarak ortaya çıksa da hukuki dayanak bulunmadığında bu kayıtlar suç kapsamında değerlendirilir.
Fiilin görünüşte basit olması sonucu değiştirmez. Kısa süreli veya sınırlı kapsamlı kayıtlar dahi, kişisel verinin saklanabilir hale getirilmesi sonucunu doğurduğu sürece kaydetme fiili olarak kabul edilir.
Anlık Görüntü Alma, Log Tutma, Yedekleme İşlemleri
Dijital sistemlerde veri işleme süreçleri çoğu zaman teknik gereklilik olarak değerlendirilir. Buna rağmen anlık görüntü alma, log tutma ve yedekleme işlemleri, kişisel verinin saklanabilir hale getirilmesi sonucunu doğurduğu ölçüde TCK m. 135 kapsamında incelenir. Değerlendirme, işlemin teknik niteliğinden çok hukuki dayanağına bağlıdır.
Anlık görüntü alma, verinin o anda görüntülenen halinin kalıcı bir dosyaya dönüştürülmesidir. Ekran görüntüsü alınması, kısa süreli veri akışının sabitlenmesine yol açar. Bu işlem, verinin sistemde zaten mevcut olup olmadığına bakılmaksızın, yeni bir kayıt oluşturulması anlamına gelir.
Log tutma işlemleri, sistem güvenliği ve denetimi açısından yaygın biçimde kullanılır. Kullanıcı hareketlerinin, erişim zamanlarının ve işlem geçmişlerinin kaydedilmesi, teknik olarak sistem işleyişinin parçasıdır. Buna rağmen logların kapsamı, saklama süresi ve erişim yetkileri belirlenmemişse, bu kayıtlar hukuka aykırı veri kaydı niteliği kazanabilir.
Yedekleme işlemleri, mevcut verinin korunması amacıyla yapılan kopyalama faaliyetidir. Yedekleme sırasında kişisel verilerin başka ortamlara aktarılması, yeni bir kayıt oluşturulması sonucunu doğurur. Yedeklenen verinin kapsamı ve saklama süresi kontrol altına alınmadığında, bu işlemler de ceza hukuku bakımından değerlendirme konusu haline gelir.
Şirketler açısından bu üç işlem türü, en sık karşılaşılan risk alanlarını oluşturur. Teknik ekipler tarafından rutin olarak gerçekleştirilen işlemler, hukuki sınırlar açık şekilde çizilmediğinde suç kapsamında değerlendirilebilir. Bu nedenle veri işleme süreçlerinin yalnızca teknik gerekliliklere göre değil, açık hukuki dayanaklara göre yapılandırılması gerekir.
İşlemin otomatik olarak gerçekleşmesi veya sistem tarafından zorunlu tutulması, hukuka uygunluk sonucunu kendiliğinden doğurmaz. Her kayıt işlemi, dayandığı hukuki sebep çerçevesinde ayrı ayrı ele alınmalıdır.
Verinin Sistematik Şekilde Tutulması
Kişisel verinin belirli bir düzen içinde tutulması, kaydetme fiilinin kapsamını genişleten unsurlardan biridir. Verilerin sınıflandırılması, gruplanması, indekslenmesi veya belirli bir amaca yönelik olarak organize edilmesi, kaydın niteliğini güçlendirir. Bu tür işlemler, verinin yalnızca saklanmadığını, aynı zamanda işlenebilir hale getirildiğini gösterir.
Sistematik kayıt, çoğu zaman veri tabanları ve yazılım sistemleri aracılığıyla gerçekleştirilir. Kullanıcı bilgilerinin kategorilere ayrılması, işlem geçmişlerinin düzenli şekilde tutulması, erişim kayıtlarının analiz edilebilir formatta saklanması bu kapsamda yer alır. Bu yapı, verinin belirli bir amaca yönelik olarak hazır tutulduğunu ortaya koyar.
TCK m. 135 bakımından sistematiklik, suçun oluşumu için zorunlu bir unsur değildir. Basit ve dağınık kayıtlar da kaydetme fiilini oluşturur. Buna karşılık verinin sistematik şekilde tutulması, fiilin kapsamını genişleten ve çoğu zaman ihlalin ağırlığını artıran bir özellik taşır.
Şirket sistemlerinde sistematik kayıt neredeyse kaçınılmazdır. Müşteri ilişkileri yönetimi sistemleri, insan kaynakları yazılımları, finansal veri tabanları ve güvenlik altyapıları, veriyi belirli bir düzen içinde saklamak üzere tasarlanır. Bu durum, veri işleme faaliyetlerinin sürekli ve kapsamlı hale gelmesine yol açar.
Bu tür yapılarda hukuki risk, yalnızca verinin varlığından değil, verinin nasıl organize edildiğinden kaynaklanır. Belirli bir amaçla toplanan verinin farklı amaçlarla kullanılabilecek şekilde yapılandırılması, hukuka aykırılık değerlendirmesinde etkili olur.
Değerlendirme yapılırken sistematik yapı ile hukuki dayanak arasındaki uyum esas alınır. Verinin düzenli tutulması tek başına sorun oluşturmaz. Bu düzenin hangi sınırlar içinde kurulduğu ve hangi amaçla sürdürüldüğü belirleyici rol oynar.
Dijital Veriler Üzerinden Suçun İşlenme Biçimleri
Dijital ortamlar, kişisel verilerin izinsiz kaydedilmesi suçunun en yoğun şekilde ortaya çıktığı alanı oluşturur. Veri üretiminin büyük ölçüde elektronik sistemler üzerinden gerçekleşmesi, kaydetme fiilinin teknik işlemler içinde gizlenmesine yol açar. Bu nedenle suçun görünümü çoğu zaman klasik yöntemlerden farklıdır.
Elektronik cihazlar üzerinden veri kopyalama, en yaygın işlenme biçimlerinden biridir. Bilgisayar, cep telefonu veya harici depolama araçları kullanılarak kişisel verilerin başka ortamlara aktarılması, doğrudan kaydetme fiilini oluşturur. Bu işlem çoğu zaman yetki sınırlarının aşılması şeklinde ortaya çıkar.
Sistem loglarının geniş kapsamlı tutulması, teknik bir faaliyet olarak görünse de hukuki sınırlar aşılabilir. Kullanıcı hareketlerinin gereğinden fazla detaylı şekilde kaydedilmesi veya bu kayıtların belirli bir amacın ötesine geçecek biçimde saklanması, hukuka aykırı veri kaydı sonucunu doğurur.
Kamera ve ses kayıt sistemleri, sürekli veri üreten yapılar olarak özel bir değerlendirme gerektirir. İşyerlerinde, ortak alanlarda veya dijital platformlarda gerçekleştirilen kayıtlar, kapsamı ve saklama süresi itibarıyla kontrol altında tutulmadığında suç kapsamında değerlendirilir.
Bulut sistemleri ve uzaktan erişim araçları üzerinden yapılan veri aktarımları da kaydetme fiiline dahil edilir. Verinin farklı sunuculara yüklenmesi, yedeklenmesi veya senkronize edilmesi, yeni bir kayıt oluşturulması anlamına gelir.
Şirket içi veri akışları, bu suç bakımından en kritik alanlardan biridir. Çalışanların görev sınırlarını aşarak veri toplaması, müşteri bilgilerinin yetkisiz şekilde kayıt altına alınması veya veri setlerinin farklı amaçlarla yeniden oluşturulması, sıklıkla karşılaşılan ihlal türleri arasında yer alır.
Dijital sistemlerin sağladığı kolaylık, veri kaydını sıradan bir işlem haline getirir. Buna karşılık her kayıt işlemi, hukuki bir değerlendirmeyi gerektirir. Teknik imkanın varlığı, hukuka uygunluk sonucunu doğurmaz. Her somut olayda kayıt işleminin dayandığı hukuki sebep esas alınır.
HTS ve Baz Kayıtları
HTS (Historical Traffic Search) ve baz istasyonu kayıtları, kişilerin iletişim ve konum hareketlerini ortaya koyan teknik verilerdir. Bu kayıtlar, arama yapılan numaralar, görüşme süreleri, mesajlaşma bilgileri ve cihazın bağlandığı baz istasyonlarına ilişkin verileri içerir. İçerik bilgisi taşımaksızın dahi, belirli bir kişinin hareket ve iletişim ağı hakkında ayrıntılı sonuçlar üretir.
Bu tür veriler, doğrudan kimlik bilgisi içermese dahi kişisel veri niteliği taşır. Belirli bir kişiyle ilişkilendirilebilir olmaları, hukuki koruma kapsamına girmeleri için yeterlidir. Bu nedenle HTS ve baz kayıtlarının izinsiz şekilde elde edilmesi veya saklanması, TCK m. 135 kapsamında değerlendirilir.
HTS kayıtları kural olarak yalnızca yetkili kamu makamları tarafından, kanunda öngörülen usuller çerçevesinde temin edilebilir. Bu verilerin yetkisiz kişiler tarafından temin edilmesi veya kayıt altına alınması, yalnızca veri ihlali değil aynı zamanda ceza hukuku bakımından suç teşkil eder.
Şirketler ve özel kişiler açısından en sık karşılaşılan sorun, bu tür verilere dolaylı yollarla erişim sağlanmasıdır. Üçüncü kişilerden temin edilen iletişim kayıtlarının saklanması, çalışanlara ait iletişim verilerinin yetkisiz şekilde toplanması veya benzeri yöntemlerle veri seti oluşturulması, kaydetme fiilini oluşturur.
HTS ve baz kayıtları, içerdikleri veri yoğunluğu nedeniyle yüksek hassasiyet taşır. Bu veriler üzerinden kişinin günlük yaşam düzeni, sosyal çevresi ve hareket alışkanlıkları ortaya konulabilir. Bu nedenle hukuka aykırı kayıt işlemleri, değerlendirme sırasında daha ağır sonuçlara yol açabilecek niteliktedir.
Dijital delil niteliği taşıyan bu kayıtlar, davalarda teknik inceleme ile değerlendirilir. Buna rağmen bu verilerin hangi yolla elde edildiği ve hangi koşullarda saklandığı, hukuki nitelendirme açısından belirleyici rol oynar.
Elektronik Cihaz İncelemeleri ve Veri Kopyalama
Elektronik cihazlar üzerinde gerçekleştirilen incelemeler, kişisel verilerin izinsiz kaydedilmesi suçu bakımından en yoğun uyuşmazlık alanlarından birini oluşturur. Bilgisayarlar, cep telefonları, tabletler ve harici depolama araçları, yüksek miktarda kişisel veri barındırır. Bu cihazlardan veri alınması, çoğu durumda doğrudan kaydetme fiili anlamına gelir.
Veri kopyalama, cihazda bulunan bilgilerin başka bir ortama aktarılmasıdır. Dosyaların harici diske alınması, e-posta içeriklerinin indirilmesi, uygulama verilerinin dışa aktarılması veya sistem imajı oluşturulması bu kapsamda değerlendirilir. Bu işlemler, verinin yalnızca görüntülenmesini aşarak kalıcı hale getirilmesini sağlar.
Yetkili makamlar tarafından yürütülen adli bilişim incelemeleri, kanuni dayanak ve usul kuralları çerçevesinde gerçekleştirilir. Buna karşılık özel kişiler veya şirketler tarafından yapılan incelemelerde, aynı işlemler hukuka aykırı hale gelebilir. Yetki sınırının aşılması, rıza bulunmaması veya açık bir hukuki sebebin olmaması halinde veri kopyalama işlemi suç teşkil eder.
İş ilişkileri içinde gerçekleştirilen cihaz incelemeleri ayrıca değerlendirilir. İşverenin, işyeri araçları üzerinde belirli denetim yetkileri bulunmakla birlikte, bu yetki sınırsız değildir. Çalışanın kişisel verilerini içeren kayıtların kapsamı, inceleme amacı ve kullanılan yöntem birlikte ele alınır. Bu sınırlar aşılmadan gerçekleştirilmeyen her kayıt işlemi hukuka aykırılık sonucunu doğurur.
Veri kopyalama işlemlerinde teknik yöntemler çeşitlilik gösterir. Tam disk imajı alınması, belirli klasörlerin seçilerek aktarılması, veri kurtarma yazılımlarıyla silinmiş verilerin yeniden elde edilmesi gibi işlemler, verinin yeniden kaydedilmesi anlamına gelir. Bu nedenle yalnızca aktif veriler değil, silinmiş verilerin yeniden oluşturulması da kaydetme kapsamında değerlendirilir.
Bu alandaki değerlendirme, teknik işlem ile hukuki yetki arasındaki ilişkiye dayanır. Teknik olarak mümkün olan her veri kopyalama işlemi, hukuken geçerli kabul edilmez. Kayıt işleminin dayandığı hukuki sebep bulunmadığı sürece, gerçekleştirilen işlem TCK m. 135 kapsamında suç olarak nitelendirilir.
Kamera Kayıtları ve Ses Kayıtları
Kamera ve ses kayıt sistemleri, kişisel verilerin sürekli ve yoğun şekilde üretildiği alanlar arasında yer alır. Bu sistemler aracılığıyla elde edilen görüntü ve ses verileri, doğrudan veya dolaylı olarak kişiyi belirlenebilir kıldığı ölçüde kişisel veri niteliği taşır. Bu nedenle kayıt faaliyetleri, TCK m. 135 kapsamında dikkatle değerlendirilir.
Kamera kayıtları, özellikle işyerleri, siteler, mağazalar ve ortak kullanım alanlarında yaygın biçimde kullanılır. Bu kayıtlar, kişilerin fiziksel hareketlerini, bulunduğu yerleri ve zaman dilimlerini ortaya koyar. Sürekli kayıt alan sistemlerde verinin saklanma süresi, kayıt alanının kapsamı ve erişim yetkileri hukuki sınırın belirlenmesinde etkili olur.
Ses kayıtları, çoğu zaman daha dar bir alanda elde edilse de içerdiği veri yoğunluğu nedeniyle daha hassas bir değerlendirme gerektirir. Bir konuşmanın kaydedilmesi, yalnızca kimlik bilgisini değil, aynı zamanda içerik verisini de ortaya çıkarır. Bu nedenle ses kayıtları, hem kişisel veri hem de haberleşme özgürlüğü bağlamında değerlendirilir.
Rıza alınmaksızın gerçekleştirilen kayıt işlemleri, genel olarak hukuka aykırılık sonucunu doğurur. Buna karşılık belirli şartlar altında, örneğin güvenlik amacıyla yapılan kayıtlar hukuki dayanağa sahip olabilir. Bu tür durumlarda kayıt alanının sınırlandırılması, veri saklama süresinin belirlenmesi ve kişilerin bilgilendirilmesi gerekir.
Şirketler açısından kamera ve ses kayıt sistemleri, veri işleme faaliyetlerinin önemli bir parçasını oluşturur. Çalışanların izlenmesi, müşteri hareketlerinin kayıt altına alınması veya çağrı merkezi görüşmelerinin kaydedilmesi gibi uygulamalar, belirli kurallara bağlıdır. Bu kuralların dışına çıkıldığında kayıt işlemi ceza hukuku kapsamında değerlendirilir.
Kamera ve ses kayıtlarının hukuki niteliği, kayıt amacına, kapsamına ve saklama koşullarına göre belirlenir. Teknik olarak mümkün olan kayıt faaliyetleri, hukuki sınırlar içinde kalmadığı sürece TCK m. 135 kapsamında suç teşkil eder.
Şirket İç Sistemleri ve Çalışan Verileri
Şirket içi veri işleme süreçleri, kişisel verilerin izinsiz kaydedilmesi suçu bakımından en hassas alanlardan birini oluşturur. Çalışanlara ve iş süreçlerine ilişkin veriler, çoğu zaman sistematik şekilde toplanır ve saklanır. Bu durum, veri işleme faaliyetlerinin hukuki sınırlarının açık şekilde belirlenmesini zorunlu kılar.
Çalışan verileri, kimlik bilgileri, özlük dosyaları, performans değerlendirmeleri, giriş çıkış kayıtları, e-posta yazışmaları ve cihaz kullanım verileri gibi geniş bir alanı kapsar. Bu verilerin işin yürütülmesi ile bağlantılı olması, sınırsız şekilde kaydedilebileceği anlamına gelmez. Her kayıt işlemi, belirli bir hukuki sebebe dayanmalıdır.
Şirket iç sistemlerde veri kaydı çoğu zaman otomatik süreçler üzerinden gerçekleşir. İnsan kaynakları yazılımları, erişim kontrol sistemleri, güvenlik altyapıları ve kurumsal iletişim araçları, sürekli veri üretir. Bu sistemlerin kapsamı, kayıt süresi ve veri erişim yetkileri açık şekilde tanımlanmadığında, kayıt işlemleri hukuka aykırı hale gelebilir.
Çalışanlara ait verilerin kaydedilmesinde, işverenin yönetim hakkı ile çalışanın kişisel veri üzerindeki hakları arasında denge kurulması gerekir. İşin yürütülmesi için gerekli olan veri ile bu sınırı aşan veri toplama faaliyetleri birbirinden ayrılmalıdır. Gereklilik sınırını aşan her kayıt işlemi, ceza hukuku bakımından risk doğurur.
Müşteri ve üçüncü kişi verileri de şirket sistemlerinde önemli yer tutar. Sipariş kayıtları, finansal işlemler, iletişim bilgileri ve işlem geçmişleri gibi veriler, ticari faaliyetlerin doğal bir parçasıdır. Buna rağmen bu verilerin kaydedilmesi, açık rıza veya kanuni bir dayanak bulunmadığı sürece hukuka uygun kabul edilmez.
Şirketler açısından sorumluluk yalnızca veriyi kaydeden kişi ile sınırlı değildir. Veri işleme süreçlerini belirleyen, yöneten veya denetlemeyen kişiler de sorumluluk kapsamında değerlendirilebilir. Bu nedenle veri kayıt faaliyetlerinin kurumsal düzeyde planlanması ve denetlenmesi gerekir.
Değerlendirme yapılırken veri işleme faaliyetinin amacı, kapsamı ve yöntemi birlikte ele alınır. Şirket içi sistemlerde gerçekleştirilen her kayıt işlemi, dayandığı hukuki sebep ile uyumlu olmak zorundadır.
Şirketler Açısından Hukuki Riskler ve Sorumluluk
Şirketlerin veri işleme faaliyetleri, kişisel verilerin izinsiz kaydedilmesi suçu bakımından doğrudan risk alanı oluşturur. Kurumsal sistemlerde veri akışının genişliği ve sürekliliği, kayıt işlemlerinin çoğu zaman fark edilmeden hukuka aykırı hale gelmesine yol açar. Bu nedenle sorumluluk yalnızca bireysel fiillerle sınırlı kalmaz, organizasyonel yapı da değerlendirme kapsamına girer.
Yetkisiz veri toplama, en sık karşılaşılan ihlal türlerinden biridir. İşin yürütülmesi için gerekli olmayan verilerin sistematik şekilde kaydedilmesi, veri minimizasyonu ilkesine aykırılık oluşturur. Bu tür kayıtlar, hukuki dayanak bulunmadığı sürece doğrudan TCK m. 135 kapsamında değerlendirilir.
Belirsiz kayıt süreçleri, sorumluluğu artıran bir diğer unsurdur. Hangi verinin hangi amaçla kaydedileceği, ne kadar süre saklanacağı ve kimlerin erişebileceği açık şekilde belirlenmemişse, veri işleme faaliyetleri kontrol dışına çıkar. Bu durum, kayıt işlemlerinin hukuka uygunluk zeminini ortadan kaldırır.
Yetki sınırlarının aşılması, özellikle çalışanlar üzerinden ortaya çıkar. Görev kapsamında erişim yetkisi bulunan kişilerin bu yetkiyi aşarak veri kaydetmesi, bireysel sorumluluğun yanı sıra kurumsal sorumluluğu da gündeme getirir. Denetim mekanizmalarının yetersizliği, şirket açısından ağır sonuçlar doğurabilir.
Veri güvenliği önlemlerinin yetersizliği, dolaylı şekilde kaydetme suçuna zemin hazırlayabilir. Sistemlerin korunmaması, yetkisiz erişimlerin engellenmemesi veya veri hareketlerinin izlenmemesi, hukuka aykırı kayıt işlemlerinin gerçekleşmesini kolaylaştırır. Bu tür eksiklikler, yalnızca idari yaptırımlara değil, ceza sorumluluğuna da yol açabilir.
Tüzel kişiler hakkında doğrudan ceza uygulanmasa da, güvenlik tedbirleri gündeme gelebilir. Faaliyetin durdurulması, belirli alanlarda işlem yapılmasının yasaklanması veya kazancın müsaderesi gibi sonuçlar söz konusu olabilir. Bunun yanında fiili gerçekleştiren gerçek kişiler hakkında cezai sorumluluk doğar.
Şirketlerin sorumluluktan kaçınabilmesi, veri işleme süreçlerinin baştan itibaren hukuka uygun şekilde kurulmasına bağlıdır. Veri kayıt faaliyetleri, yalnızca teknik gereklilikler çerçevesinde değil, açık ve somut hukuki dayanaklara dayanarak yürütülmelidir.
İşverenin Veri Toplama ve Saklama Sınırları
İşverenin veri toplama ve saklama yetkisi, iş ilişkisinin kurulması ve yürütülmesi ile sınırlıdır. Bu sınır, hem iş hukukundan hem de kişisel verilerin korunmasına ilişkin düzenlemelerden kaynaklanır. İşin gerektirdiği ölçünün aşılması, kaydetme fiilini hukuka aykırı hale getirir.
Gereklilik ölçütü, değerlendirmede temel kriterdir. İşin ifası için zorunlu olmayan verilerin toplanması ve saklanması, hukuki dayanak bulunmadığı sürece kabul edilmez. Çalışanın özel hayatına ilişkin verilerin iş ilişkisiyle bağlantısı kurulmadan kaydedilmesi, doğrudan ihlal oluşturur.
Belirli ve açık amaç, veri toplama sürecinin merkezinde yer alır. Hangi verinin hangi amaçla kaydedildiği önceden belirlenmeli ve bu amaç dışında kullanımın önüne geçilmelidir. Amaçtan bağımsız geniş kapsamlı veri toplama faaliyetleri, hukuka uygunluk sınırını ortadan kaldırır.
Saklama süresi, veri kaydının hukuki çerçevesini belirleyen unsurlardan biridir. Süresiz veya belirsiz şekilde veri tutulması, kaydetme fiilinin hukuka aykırı hale gelmesine yol açar. Veri, yalnızca gerekli olduğu süre boyunca saklanmalı, bu sürenin sonunda sistemlerden silinmelidir.
Erişim yetkileri, veri güvenliği ile doğrudan bağlantılıdır. Çalışan verilerine kimlerin erişebileceği, hangi kapsamda işlem yapabileceği açık şekilde belirlenmelidir. Geniş ve kontrolsüz erişim yetkileri, yetkisiz kayıt işlemlerinin önünü açar.
İşverenin yönetim hakkı, sınırsız bir veri işleme yetkisi tanımaz. İşyerinde kullanılan cihazlar ve sistemler üzerinde denetim yetkisi bulunsa dahi, bu yetki kişisel verilerin korunmasına ilişkin sınırlarla birlikte değerlendirilir. Bu sınırların aşılması halinde kayıt işlemi TCK m. 135 kapsamında suç teşkil eder.
Değerlendirme, veri işleme faaliyetinin amacı ile kullanılan yöntem arasındaki uyuma dayanır. İşverenin veri toplama ve saklama faaliyetleri, hukuki çerçeve içinde kalmadığı sürece cezai sorumluluk doğurur.
Çalışan Verilerinin Kaydedilmesi
Çalışan verilerinin kaydedilmesi, iş ilişkisinin doğası gereği belirli ölçüde zorunludur. Buna rağmen kayıt faaliyetinin kapsamı, amacı ve yöntemi hukuki sınırlar içinde kalmak zorundadır. İş sözleşmesinin kurulması ve yürütülmesi için gerekli olan veri ile bu sınırı aşan veri toplama faaliyetleri birbirinden ayrılır.
Özlük dosyası kapsamında tutulan veriler, kimlik bilgileri, eğitim geçmişi, ücret bilgileri ve benzeri kayıtları içerir. Bu verilerin kaydedilmesi, kanuni yükümlülükler ve işin yürütülmesi ile doğrudan bağlantılıdır. Buna karşılık özlük dosyasına dahil olmayan, işle ilgisi kurulmamış verilerin kaydedilmesi hukuka aykırı sonuç doğurur.
Performans ve davranış verileri, çalışanların iş süreçlerindeki faaliyetlerini ortaya koyar. Çalışma saatleri, görev tamamlama süreleri, sistem kullanımı ve benzeri kayıtlar bu kapsamda değerlendirilir. Bu verilerin kaydedilmesi, belirli bir ölçülülük ve amaç sınırlaması içinde yapılmalıdır. Aksi halde çalışan üzerinde sürekli ve sınırsız bir izleme faaliyetine dönüşür.
Elektronik iletişim verileri, işyeri e-postaları, mesajlaşma sistemleri ve cihaz kullanım kayıtlarını içerir. Bu alan, hem işverenin denetim yetkisi hem de çalışanın kişisel veri hakkı bakımından hassas bir denge gerektirir. Kayıt işlemi, açık kurallara bağlanmadan ve çalışan bilgilendirilmeden gerçekleştirildiğinde hukuka aykırılık ortaya çıkar.
Biyometrik ve hassas veriler, çalışan verileri içinde en sıkı korumaya tabi olan grubu oluşturur. Parmak izi, yüz tanıma verileri veya sağlık bilgileri gibi kayıtlar, ancak açık hukuki dayanak ve sıkı güvenlik önlemleri altında tutulabilir. Bu şartlar sağlanmadan yapılan kayıt işlemleri, nitelikli ihlal kapsamında değerlendirilir.
Çalışan verilerinin kaydedilmesinde en sık karşılaşılan sorun, veri kapsamının kontrolsüz şekilde genişlemesidir. İşin yürütülmesi için gerekli sınır aşıldığında, kayıt işlemi hukuki dayanağını kaybeder. Bu durum, TCK m. 135 kapsamında cezai sorumluluk doğurur.
Değerlendirme yapılırken kayıt işleminin amacı, kapsamı ve yöntemi birlikte ele alınır. Çalışan verileri üzerinde gerçekleştirilen her kayıt faaliyeti, belirli bir hukuki çerçeve içinde yürütülmek zorundadır.
Müşteri Verileri ve Ticari Faaliyetler
Müşteri verileri, ticari faaliyetlerin yürütülmesi sırasında en yoğun şekilde işlenen kişisel veri grubunu oluşturur. Sipariş süreçleri, ödeme işlemleri, teslimat organizasyonu ve müşteri ilişkileri yönetimi kapsamında çok sayıda veri kayıt altına alınır. Bu faaliyetlerin işin doğası gereği olması, kayıt işlemlerinin sınırsız olduğu anlamına gelmez.
Kimlik ve iletişim verileri, müşteri ile kurulan ilişkinin temelini oluşturur. Ad, soyad, adres, telefon ve e-posta bilgileri, hizmet sunumu için gerekli olabilir. Buna karşılık bu verilerin kapsamının genişletilmesi, örneğin ilgisiz ek bilgilerin sistematik şekilde kaydedilmesi, hukuki dayanak bulunmadığı sürece ihlal oluşturur.
Finansal veriler, ödeme işlemleri ve fatura düzenlemeleri kapsamında kaydedilir. Kredi kartı bilgileri, hesap hareketleri ve ödeme geçmişi gibi veriler, yüksek hassasiyet taşır. Bu verilerin kaydedilmesi, saklanması ve erişimi sıkı kurallara bağlıdır. Gerekli güvenlik önlemleri alınmadan gerçekleştirilen kayıt işlemleri, cezai sorumluluğu gündeme getirir.
İşlem geçmişi ve davranışsal veriler, müşteri tercihlerini ve alışkanlıklarını ortaya koyar. Satın alma geçmişi, ürün inceleme davranışları ve hizmet kullanım kayıtları, ticari analizler için kullanılır. Bu verilerin kaydedilmesi, açık ve belirli bir amaca dayanmalı, bu amacın dışına taşmamalıdır.
Pazarlama faaliyetleri kapsamında gerçekleştirilen veri kayıtları, ayrı bir değerlendirme gerektirir. Müşteri verilerinin kampanya, reklam ve analiz amaçlı kullanılması, açık rıza ve bilgilendirme yükümlülükleri ile birlikte ele alınır. Bu şartlar sağlanmadan yapılan kayıt işlemleri hukuka aykırı hale gelir.
Şirketler açısından müşteri verileri üzerindeki risk, veri miktarının büyüklüğü ile artar. Geniş veri setlerinin sistematik şekilde tutulması, hukuka uygunluk denetimini zorlaştırır. Bu nedenle veri işleme süreçlerinin baştan itibaren açık kurallara bağlanması gerekir.
İşin yürütülmesi için gerekli sınırı aşan her kayıt işlemi, TCK m. 135 kapsamında suç olarak nitelendirilir.
Açık Rıza ve Aydınlatma Yükümlülüğü
Kişisel verilerin kaydedilmesi sürecinde açık rıza, hukuka uygunluk sebeplerinden biridir. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onayı ifade eder. Genel nitelikte, belirsiz veya zorunlu kabul edilen rızalar geçerli sayılmaz.
Açık rızanın geçerli kabul edilebilmesi için verinin hangi amaçla kaydedileceği, ne kadar süre saklanacağı ve kimlerle paylaşılabileceği açık şekilde ortaya konulmalıdır. Bu unsurların bulunmadığı rıza beyanları, kaydetme fiiline hukuki dayanak oluşturmaz.
Aydınlatma yükümlülüğü, veri sorumlusunun kayıt işlemi öncesinde ilgili kişiyi bilgilendirmesini gerektirir. Bu bilgilendirme; veri sorumlusunun kimliği, veri işleme amacı, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin haklarını kapsar. Aydınlatma yapılmadan alınan rıza, geçerli kabul edilmez.
Şirketler açısından açık rıza ve aydınlatma yükümlülüğü, yalnızca formalite niteliğinde değildir. Hazırlanan metinlerin içeriği, kapsamı ve sunuluş şekli hukuki değerlendirmede doğrudan etkili olur. Standart ve genel ifadeler içeren metinler, somut veri işleme faaliyetini karşılamadığında yeterli kabul edilmez.
Çalışanlar bakımından açık rıza ayrı bir hassasiyet taşır. İş ilişkisi içindeki bağımlılık nedeniyle verilen rızanın özgür iradeye dayanıp dayanmadığı ayrıca değerlendirilir. Bu nedenle çalışan verilerinin kaydedilmesinde açık rıza tek başına yeterli bir dayanak oluşturmayabilir.
Açık rıza bulunması, veri kaydının sınırsız şekilde yapılabileceği anlamına gelmez. Rıza verilen kapsam ile gerçekleştirilen kayıt işlemi arasında uyum bulunmalıdır. Bu sınır aşıldığında kayıt işlemi hukuka aykırı hale gelir.
Aydınlatma yükümlülüğünün yerine getirilmemesi veya açık rızanın geçersiz olması halinde, kişisel verilerin kaydedilmesi TCK m. 135 kapsamında suç teşkil eder.
KVKK ile TCK m. 135 Arasındaki İlişki
6698 sayılı Kişisel Verilerin Korunması Kanunu ile TCK m. 135 arasında doğrudan bir bağlantı bulunur. Her iki düzenleme de kişisel verilerin korunmasını amaçlar; ancak biri idari ve özel hukuk boyutunu, diğeri ceza hukuku boyutunu düzenler.
KVKK, kişisel verilerin hangi şartlarda işlenebileceğini, veri sorumlularının yükümlülüklerini ve ilgili kişilerin haklarını belirler. Bu çerçevede veri işleme faaliyetlerinin hukuka uygunluğu, öncelikle KVKK hükümlerine göre değerlendirilir.
TCK m. 135 ise bu sınırların ihlal edilmesi halinde devreye giren yaptırım mekanizmasını oluşturur. KVKK’ya aykırı şekilde gerçekleştirilen veri kayıt işlemleri, aynı zamanda ceza hukuku bakımından suç teşkil edebilir. Bu nedenle iki düzenleme birbirini tamamlayan niteliktedir.
Her KVKK ihlali doğrudan ceza sorumluluğu doğurmaz. İhlalin TCK m. 135 kapsamında değerlendirilebilmesi için kişisel verinin hukuka aykırı şekilde kaydedilmiş olması gerekir. Buna karşılık hukuka aykırı bir kayıt işlemi çoğu zaman aynı zamanda KVKK ihlali anlamına gelir.
Şirketler açısından KVKK’ya uyum süreçleri, ceza sorumluluğunun önlenmesi bakımından kritik rol oynar. Veri işleme faaliyetlerinin hukuki dayanağının belirlenmesi, aydınlatma yükümlülüğünün yerine getirilmesi ve veri güvenliği önlemlerinin alınması, kaydetme fiilinin hukuka uygun hale gelmesini sağlar.
KVKK kapsamında getirilen yükümlülüklerin ihlali idari para cezaları ve diğer yaptırımlara yol açarken, aynı fiilin TCK m. 135 kapsamına girmesi halinde hapis cezası gündeme gelir. Bu nedenle veri işleme faaliyetleri hem idari hem de cezai sonuçlar bakımından birlikte değerlendirilmelidir.
Değerlendirme yapılırken veri kaydının hukuki zemini esas alınır. KVKK’ya uygun şekilde yürütülen bir kayıt faaliyeti, kural olarak TCK m. 135 kapsamında suç oluşturmaz. Buna karşılık hukuki dayanağı bulunmayan kayıt işlemleri, her iki düzenleme bakımından da sorumluluk doğurur.
Hukuka Uygunluk Halleri
Kişisel verilerin kaydedilmesi fiili, belirli şartlar altında hukuka uygun kabul edilebilir. Bu hallerde yapılan kayıt işlemi TCK m. 135 kapsamında suç oluşturmaz. Değerlendirme, kaydetme işleminin dayandığı hukuki sebebe göre yapılır.
Açık rıza, en bilinen hukuka uygunluk sebeplerinden biridir. İlgili kişinin belirli bir veri işleme faaliyetine özgür iradesiyle onay vermesi halinde, bu kapsamda gerçekleştirilen kayıt işlemleri hukuka uygun kabul edilir. Rızanın belirli, bilgilendirmeye dayalı ve özgür iradeye dayanması zorunludur.
Kanundan doğan yetki, veri kaydını hukuka uygun hale getiren bir diğer sebeptir. Mevzuatta açıkça öngörülen durumlarda, kişisel verilerin kaydedilmesi mümkündür. Kamu kurumlarının görevlerini yerine getirirken gerçekleştirdiği kayıt işlemleri bu kapsamdadır. Ancak bu yetki, kanunda belirlenen sınırlar içinde kullanılmalıdır.
Sözleşmenin kurulması ve ifası, veri kaydının gerekli olduğu hallerden biridir. Taraflar arasındaki hukuki ilişkinin yürütülmesi için zorunlu olan verilerin kaydedilmesi mümkündür. Buna karşılık sözleşme ile ilgisi bulunmayan verilerin kaydedilmesi bu kapsamda değerlendirilmez.
Meşru menfaat, belirli şartlar altında veri kaydına hukuki dayanak oluşturabilir. Veri sorumlusunun meşru bir menfaatinin bulunması ve bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerekir. Bu değerlendirme, somut olayın özelliklerine göre yapılır.
Bu hukuka uygunluk sebeplerinin varlığı, kayıt işleminin sınırsız şekilde yapılabileceği anlamına gelmez. Her durumda veri işleme faaliyetinin kapsamı, amacı ve süresi ile hukuki dayanak arasında uyum bulunmalıdır. Bu uyum ortadan kalktığında kayıt işlemi hukuka aykırı hale gelir.
Hukuka uygunluk sebeplerinin bulunmadığı veya şartlarının sağlanmadığı durumlarda, kişisel verilerin kaydedilmesi TCK m. 135 kapsamında suç olarak değerlendirilir.
TCK m. 135 Davalarında Savunma ve Dijital Delillerin Değerlendirilmesi
TCK m. 135 kapsamında yürütülen davalarda savunmanın ağırlık noktası, çoğu zaman dijital delillerin niteliği ve elde edilme biçimi üzerinde yoğunlaşır. Kişisel verinin gerçekten kaydedilip kaydedilmediği, bu kaydın hangi yöntemle yapıldığı ve hukuki dayanağının bulunup bulunmadığı, teknik inceleme ile birlikte değerlendirilir.
Kaydetme fiilinin varlığı, savunmanın ilk temas noktalarından biridir. Her veri işleme faaliyeti kaydetme anlamına gelmez. Verinin kalıcı şekilde saklanıp saklanmadığı, sistemde geçici olarak mı işlendiği yoksa erişilebilir bir veri setine mi dönüştürüldüğü somut olarak ortaya konulmalıdır. Geçici veri akışları ile kalıcı kayıtlar arasındaki fark, suçun oluşumu bakımından belirleyici sonuçlar doğurur.
Hukuka uygunluk zemini, savunmanın ikinci temel eksenini oluşturur. Açık rıza, kanundan doğan yetki, sözleşmenin ifası veya meşru menfaat gibi hukuki sebeplerin varlığı halinde kaydetme fiili suç teşkil etmez. Bu nedenle veri kaydının hangi hukuki çerçevede gerçekleştirildiği, somut olayın tüm unsurlarıyla birlikte değerlendirilir.
Dijital delillerin elde edilme yöntemi, yargılama sonucunu doğrudan etkiler. Hukuka aykırı şekilde elde edilen veriler, delil değeri bakımından tartışma konusu olur. Özellikle yetkisiz cihaz incelemeleri, izinsiz veri kopyalama işlemleri ve üçüncü kişilerden temin edilen kayıtlar, savunma bakımından ayrıntılı şekilde incelenir.
Log kayıtları ve sistem verileri, fiilin teknik olarak gerçekleşip gerçekleşmediğini ortaya koyar. Erişim hareketleri, işlem zamanları, kullanıcı yetkileri ve veri transfer kayıtları, kaydetme iddiasının doğruluğunu test eder. Bu veriler üzerinden, failin bilinçli hareket edip etmediği ve fiilin kapsamı belirlenir.
Yetki sınırları, özellikle şirket içi uyuşmazlıklarda ön plana çıkar. Çalışanın veya yöneticinin ilgili veriye erişim yetkisi bulunup bulunmadığı, bu yetkinin kapsamı ve aşım olup olmadığı değerlendirilir. Yetki dahilinde gerçekleştirilen işlemler ile yetki dışına çıkan kayıt faaliyetleri farklı hukuki sonuçlara yol açar.
Veri bütünlüğü ve teknik güvenilirlik, dijital delillerin değerlendirilmesinde ayrı bir önem taşır. Verinin sonradan değiştirilip değiştirilmediği, üzerinde oynama yapılıp yapılmadığı ve orijinal haliyle korunup korunmadığı teknik yöntemlerle incelenir. Bu inceleme, delilin güvenilirliğini doğrudan etkiler.
Veri kapsamı ve ölçülülük, savunmada dikkate alınan bir diğer unsurdur. Kaydedildiği iddia edilen verinin kapsamı, sayısı ve içerik yoğunluğu, fiilin ağırlığını belirler. Sınırlı ve zorunlu veri ile geniş ve kontrolsüz veri setleri aynı şekilde değerlendirilmez.
Değerlendirme, teknik bulgular ile hukuki ölçütlerin birlikte ele alınmasını gerektirir. Kaydetme fiilinin teknik olarak mümkün olması tek başına yeterli değildir. Bu işlemin hukuka uygun bir zemine dayanıp dayanmadığı ve ceza hukuku bakımından suç oluşturup oluşturmadığı ayrı ayrı incelenir.
Kaynaklar: 5237 sayılı Türk Ceza Kanunu (TCK), 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 5271 sayılı Ceza Muhakemesi Kanunu (CMK)
