Ceza Hukuku

TCK 135 Kişisel Verilerin Kaydedilmesi Suçu ve Cezası

Yayınlayan author-avatar
0

Kişisel verileri hukuka aykırı olarak ele geçirme, başkasına verme veya yayma suçu, bireyin özel hayatına ve kişilik haklarına yönelen en önemli müdahalelerden biridir. 5237 sayılı TCK m.136 uyarınca, kişisel verileri hukuka aykırı biçimde bir başkasına veren, yayan veya ele geçiren kişi hakkında 2 yıldan 4 yıla kadar hapis cezası öngörülmektedir. Suç, seçimlik hareketli bir suçtur; yani aşağıdaki davranışlardan herhangi birinin gerçekleşmesi suçu oluşturmak için yeterlidir:

  • Kişisel verilerin ele geçirilmesi,
  • Kişisel verilerin başkasına verilmesi,
  • Kişisel verilerin yayılması.

Suçla korunan hukuki değer, yalnızca “sır” kavramı değil, daha geniş anlamda kişinin kişilik hakları, özel hayatı ve hayatın gizli alanıdır. Bu nedenle, herkes tarafından bilinmeyen çok mahrem bilgiler kadar, günlük hayatta üçüncü kişiler tarafından bilinmesi mümkün olan, ancak kişiyi belirlenebilir kılan bilgiler de korunma kapsamındadır.

TCK m.136, TCK m.134 özel hayatın gizliliği, TCK m.135 kişisel verilerin kaydedilmesi, haberleşmenin gizliliği ve konuşmaların kayda alınması gibi suçlarla iç içe geçebilmekte; uygulamada bu suç tipleri arasındaki ayrım, çoğu kez Yargıtay içtihatları ile netleştirilmektedir.

Kişisel Veri Kavramı ve Suçun Konusu

Kişisel verilerin korunmasına ilişkin temel çerçeve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile çizilmiştir. KVKK’ya göre “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veridir.

Yargıtay, kişisel veri kavramını son derece geniş yorumlamakta ve özetle şu tür bilgileri kişisel veri olarak kabul etmektedir:

  • Kimlik bilgileri: T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, anne-baba adı, nüfus kayıt bilgileri,
  • İletişim ve yerleşim bilgileri: Adres, telefon numarası, e-posta adresi, yerleşim yeri,
  • Mali ve mesleki bilgiler: Banka hesap bilgileri, kredi kartı bilgileri, maaş bilgileri, meslek, eğitim durumu,
  • Sağlık ve biyometrik veriler: Kan grubu, sağlık geçmişi, kullanılan ilaçlar, parmak izi, DNA, biyolojik örnekler,
  • Özel nitelikli veriler: Etnik köken, siyasi, felsefi, dini görüş, sendikal bağlantılar, cinsel yaşama ilişkin veriler vb.

Yargıtay’ın yerleşik yaklaşımına göre:

  • Bir kimseye ait fotoğraf, görüntü, video kaydı da somut olaya göre kişisel veri kabul edilebilmektedir.
  • Ancak kişinin özel yaşam alanına ilişkin görüntü ve sesleri, çoğu durumda TCK m.134 kapsamındaki “özel hayatın gizliliğini ihlal” suçunu oluşturmakta; her olayda TCK m.136 ile TCK m.134 arasındaki sınır dikkatle değerlendirilmelidir.
  • Herkes tarafından bilinen veya kolaylıkla erişilebilir bilgiler dahi, uygulamada çoğu kez kişisel veri sayılmakta; ancak suçun sınırlarının keyfi şekilde genişlememesi için somut olay üzerinde hassas bir değerlendirme yapılması gerektiği vurgulanmaktadır.

Bu nedenle, ad-soyad, adres, telefon numarası, sosyal medya profil fotoğrafı gibi veriler, her zaman olmasa da çoğu olayda kişisel veri niteliğinde kabul edilmekte; bu verilerin rıza dışında ele geçirilmesi, başkalarına verilmesi veya internet ortamında yayılması TCK m.136 kapsamına girebilmektedir.

Suçun Unsurları ve Seçimlik Hareketler

Kişisel verileri ele geçirme, başkasına verme veya yayma suçu, seçimlik hareketli ve soyut tehlike suçu niteliğindedir. Suçun oluşması için somut bir zararın doğması gerekmez; kişisel veri üzerinde hukuka aykırı tasarrufta bulunulması yeterlidir.

Suçun temel unsurları özetle şu şekildedir:

1. Suçun Konusu – Kişisel Verinin Kaydedilmiş Olması

  • TCK m.136’nın gerekçesi ve Yargıtay kararlarına göre, suça konu kişisel verinin, kural olarak kayıtlı bir veri olması beklenir.
  • Veri; fiziki belge, dijital kayıt, sosyal medya hesabı, veri tabanı, taşınabilir bellek, CD, telefon rehberi vb. üzerinde tutulabilir.
  • Yargıtay, bazı kararlarda, nüfus cüzdanı üzerindeki bilgileri okuyup ezberlemek suretiyle kredi kartı başvurusu yapılmasını dahi kişisel veriyi “ele geçirme” şeklinde değerlendirmektedir.

2. Seçimlik Hareketler

  • Kişisel verilerin bir başkasına verilmesi:
    Kişisel veri, bireylere veya tüzel kişilere herhangi bir iletişim aracıyla aktarılabilir. Elden teslim, posta, e-posta, mesaj, sistem çıktısı, dosya paylaşımı gibi yolların tamamı “verme” kapsamında değerlendirilmektedir. Burada önemli olan, verinin hukuka aykırı şekilde başkasının bilgisine sunulmasıdır.
  • Kişisel verilerin yayılması:
    Kişisel verinin belirsiz veya geniş bir çevreye duyurulması, dağıtılması veya aleniyet kazandırılmasıdır. Sosyal medya, web sitesi, forum, toplu e-posta, SMS, basın-yayın organı gibi araçlarla yapılan ifşalar, tipik “yayma” halleridir.
  • Kişisel verilerin ele geçirilmesi:
    Failin, başkasının hâkimiyet alanında bulunan kişisel veriyi kendi hâkimiyetine almasıdır.
    Örnek olarak:
    • Bir sistemden yetkisiz sorgulama yapılması,
    • USB bellek, CD, çıktı, dosya vb. belgelerin alınması,
    • ATM’ye düzeneğin yerleştirilerek kart bilgilerinin okunmaya çalışılması,
    • Okunan kimlik bilgilerinin kullanılarak işlem yapılması.

3. Manevi Unsur – Kast

  • Suç kasten işlenebilir. Failin, verinin kişisel veri olduğunu ve yaptığı işlemin hukuka aykırı olduğunu bilmesi yeterlidir.
  • Yargıtay, özellikle kamu görevlileri ve uzun süreli meslek icra eden kişilerin, sahip oldukları konum gereği hukuka aykırılığı bilebilecek durumda olduklarını sıklıkla vurgulamaktadır.

4. Hukuka Aykırılık

  • Verilerin işlenmesini meşru kılan bir hukuka uygunluk nedeni varsa (kanuni zorunluluk, açık rıza, savunma hakkı, yetkili mercinin talebi vb.) hukuka aykırılıktan söz edilemez.
  • Ancak, savunma hakkı veya şikâyet hakkının kullanılması bahanesiyle, gerekenden daha fazla verinin ve ilgilinin bilgisi dışında elde edilip yayılması durumunda, Yargıtay çoğu kez TCK m.136 kapsamındaki sorumluluğu kabul etmektedir.

Suçun Cezası, Nitelikli Haller ve Teşebbüs

1. Temel Ceza
TCK m.136’ya göre, kişisel verileri hukuka aykırı olarak veren, yayan veya ele geçiren kişi hakkında:

  • 2 yıldan 4 yıla kadar hapis cezası öngörülmüştür.

Suç, kural olarak soyut tehlike suçu olduğundan, somut bir zarar ispatı aranmaz; verinin hukuka aykırı olarak ele geçirilmesi veya ifşası yeterlidir.

2. Nitelikli Haller – TCK m.137

Aşağıdaki hallerde verilecek ceza yarı oranında artırılır:

  • Suçun, kamu görevlisi tarafından ve görevin sağladığı yetki kötüye kullanılarak işlenmesi,
  • Suçun, belli bir meslek veya sanatın sağladığı kolaylıktan yararlanılarak işlenmesi.

Bu durumda temel ceza aralığı fiilen 3 yıldan 6 yıla kadar hapis seviyesine çıkmaktadır.

Uygulamada Yargıtay;

  • Polis memurunun, kendisine verilen kullanıcı adı ve şifreyle, herhangi bir adli veya idari talep olmaksızın kişisel merakla sistemden veri sorgulaması halinde, görevin sağladığı yetkinin kötüye kullanıldığına,
  • Telekomünikasyon şirketi çalışanının, sistemde kayıtlı telefon numaralarını ticari amaçla üçüncü kişilere aktarması halinde, mesleğin sağladığı kolaylıktan yararlanıldığına,
  • Sağlık çalışanının elindeki hasta kayıtlarını amacı dışında üçüncü kişilerle paylaşması halinde yine nitelikli halin gerçekleştiğine karar vermektedir.

Ayrıca, suçun konusunun cinsel saldırı mağduru veya mağdur çocuğa ait kayıt ve görüntüler olması hâlinde cezanın bir kat artırılacağı da özel bir düzenleme olarak kabul edilmektedir.

3. Teşebbüs

  • Fail kişisel verileri ele geçirmek veya yaymak için harekete geçmiş, ancak elinde olmayan nedenlerle sonuç tamamlanamamışsa, teşebbüs hükümleri uygulanır.
  • Özellikle ATM cihazına düzenek yerleştirip herhangi bir kart bilgisi kopyalanamadan yakalanma gibi olaylarda, Yargıtay, TCK m.136’ya teşebbüs hükümlerini uygulamaktadır.

Şikâyet, Dava Zamanaşımı ve Hukuka Uygunluk Nedenleri

1. Şikâyet ve Soruşturma Usulü

  • Kişisel verileri hukuka aykırı olarak ele geçirme, verme veya yayma suçu, şikâyete bağlı değildir.
  • Suç işlendiğinin herhangi bir şekilde Cumhuriyet savcılığı tarafından öğrenilmesi üzerine re’sen soruşturma başlatılması gerekir.
  • Mağdurun şikâyetçi olmaması, çoğu olayda soruşturma ve kovuşturmanın yapılmasına engel değildir; ancak pratikte mağdur beyanı davanın seyrini belirleyen en önemli delillerden biridir.

2. Dava Zamanaşımı

  • Suç için 8 yıllık dava zamanaşımı süresi uygulanır.
  • Bu süre, kural olarak fiilin işlendiği tarihten itibaren işlemeye başlar.
  • Zamanaşımı süresinin dolması hâlinde, artık soruşturma ve kovuşturma yapılamaz.

3. Hukuka Uygunluk Nedenleri ve Yargıtay’ın Yaklaşımı

Her kişisel veri işleme olayı otomatik olarak TCK m.136 kapsamına girmez. Şu hallerde hukuka uygunluk gündeme gelebilir:

  • Kanuni zorunluluk: Kanunların açıkça öngördüğü veri paylaşımları, bildirim yükümlülükleri,
  • Açık rıza: İlgilinin serbest iradeye dayalı, bilgilendirilmiş açık rızası,
  • Savunma hakkının kullanılması: Taraf olunan bir dava veya soruşturmada, iddia veya savunmayı ispat için makul ölçüde veri kullanılması,
  • Yetkili makamların talebi: Mahkeme, savcılık, idari kurumlarca yapılan hukuka uygun bilgi talepleri.

Ancak Yargıtay, örneğin;

  • Şikâyet dilekçesine eklenmek üzere sağlık kurumundan gizlice alınan doğum belgesini ilgili kişinin rızası olmadan kuruma sunmayı,
  • Mesleki konumunu kullanarak, kurum sisteminde kişisel merakla yapılan sorgulamaları,

çoğu olayda hukuka aykırı veri işlemesi olarak değerlendirmekte ve TCK m.136 kapsamında sorumluluk doğduğunu kabul etmektedir. Bu nedenle, savunma hakkı veya şikâyet hakkı ileri sürülse bile, kullanılan yöntemin ve paylaşılan verinin kapsamının zorunlu ve ölçülü olup olmadığı titizlikle incelenmektedir.

Yargıtay Kararları Işığında Uygulama Örnekleri

Yargıtay içtihatları, TCK m.136’nın uygulanma sınırlarını pratik örneklerle netleştirmektedir. Öne çıkan başlıca örnekler şu şekilde özetlenebilir:

  • Sosyal medya fotoğrafları ve kişisel veri:
    Günlük kıyafetlerle çekilen, özel yaşamın en mahrem alanına girmeyen fotoğraflar; kişinin adı, soyadı, adresiyle birlikte kullanıldığında kişisel veri niteliği taşımaktadır. Bu fotoğrafların, gerçek veya sahte sosyal medya hesaplarında, kişinin rızası olmadan yayımlanması, çoğu kararda TCK m.136 kapsamında kişisel verileri yayma suçu olarak kabul edilmektedir.
  • Telefon numarasının paylaşılması:
    Bir kimsenin cep telefonu numarasının, arkadaşlık sitesi profiline eklenmesi, cinsel içerikli mesajlara maruz bırakacak şekilde paylaşılması veya üçüncü kişilere dağıtılması, Yargıtay tarafından kişisel verilerin başkasına verilmesi / yayılması olarak nitelendirilmektedir. Bu tür olaylarda, çoğu kez zincirleme şekilde kişisel verileri yayma, tehdit ve cinsel taciz suçları birlikte değerlendirilir.
  • Kimlik bilgilerini okuyarak kredi başvurusu yapma:
    Failin, mağdurun evinde bulunan nüfus cüzdanını görüp, oradaki kimlik bilgilerini ezberleyerek internetten kredi başvurusu yapması, Yargıtay kararlarında kişisel verilerin ele geçirilmesi kapsamında değerlendirilmiş ve TCK m.136 uygulama alanı bulmuştur.
  • Kamu görevlisinin sistemden sorgulama yapması:
    Kamu görevlisinin, kendisine verilen kurumsal şifrelerle, herhangi bir yasal istek veya göreve dayanmadan tanınmış bir kişinin nüfus veya adres bilgilerini merak saikiyle sorgulaması, kişisel verileri görevin sağladığı yetkiyi kötüye kullanarak ele geçirme suçu olarak kabul edilmekte; bu durumda hem TCK m.136 hem de TCK m.137/1-a’ daki nitelikli hal birlikte uygulanmaktadır.
  • Doğum belgesi ve sağlık verilerinin şikâyet dilekçesine eklenmesi:
    Uzun süre memur olarak çalışan bir kişinin, başkasına ait doğum belgesini, ilgilinin rızası olmadan hastaneden alıp, il müdürlüğüne verdiği şikâyet dilekçesine eklemesi; Yargıtay tarafından kişisel verileri ele geçirme ve yayma suçu olarak kabul edilmektedir. Şikâyet niyeti, hukuka aykırılığı ortadan kaldırmamaktadır.
  • WhatsApp profil fotoğrafı ve kişisel veri:
    Kişinin WhatsApp profil fotoğrafı olarak kullandığı ve telefon rehberinde kayıtlı olan numaraya sahip herkes tarafından görülebilen fotoğrafın, yalnızca delil amaçlı kaydedilip, üçüncü kişilerle paylaşılmadığı olaylarda Yargıtay, somut durumda TCK m.136’nın şartlarının oluşmadığı yönünde değerlendirme yapmıştır.
  • Fotoğrafçının düğün fotoğraflarını örnek olarak kullanması:
    Fotoğrafçının, müşterisinin düğün fotoğraflarını, açık rızası olmaksızın albüm yaparak iş yerinde gelen müşterilere örnek olarak göstermesi; bu fotoğraflar çok mahrem nitelikte olmasa da kişisel veri kabul edilmekte ve Yargıtay bu tür durumlarda kişisel verilerin hukuka aykırı olarak başkalarının görgüsüne sunulduğunu kabul etmektedir.

Bu örnekler, özel hayatın gizliliğini ihlal suçu (TCK m.134) ile kişisel verileri hukuka aykırı verme / yayma suçu (TCK m.136) arasındaki sınırın çoğu zaman olayın niteliğine göre belirlendiğini, aynı fotoğraf veya verinin, koşullara göre farklı suç tipleri kapsamında değerlendirilebileceğini göstermektedir.

Cezanın Bireyselleştirilmesi: Adli Para Cezası, HAGB ve Erteleme

Kişisel verileri ele geçirme, başkasına verme veya yayma suçu, alt sınırı 2 yıl olan bir hapis cezası öngördüğü için, uygulamada cezanın bireyselleştirilmesi büyük önem taşır. Somut olayın özelliklerine göre:

  • Temel ceza, alt sınırdan uzaklaşılarak belirlenebilir,
  • Takdiri indirim nedenleri uygulanarak ceza aşağı çekilebilir,
  • Uygun koşullar oluştuğunda;
    • Hükmün açıklanmasının geri bırakılması (HAGB),
    • Hapis cezasının ertelenmesi,
    • Kısa süreli hapis cezasının adli para cezasına çevrilmesi mümkündür.

Özellikle ilk kez suç işleyen, zararın giderilmesi için çaba sarf eden, yargılama sürecinde pişmanlık gösteren sanıklar bakımından mahkemeler, somut olayın özelliklerine göre bu bireyselleştirme kurumlarını uygulayabilmektedir.

Sonuç itibarıyla, TCK m.136 kapsamındaki kişisel verileri ele geçirme, başkasına verme veya yayma suçu, hem ceza hukuku hem de veri koruma hukuku bakımından son derece hassas bir alanı düzenlemekte; Yargıtay kararları ile sınırları günbegün daha da netleşen, teknik ve uygulama yoğun bir suç tipidir. Kişisel verilerle çalışan veya bu tür verilere erişim imkânı bulunan herkesin, hem KVKK hükümlerine hem de TCK m.135–137 arasındaki ceza hükümlerine uygun hareket etmesi, ileride ağır ceza sorumluluğu ile karşılaşmamak açısından hayati önem taşımaktadır.

Daha yeni
TCK 42 Bileşik Suç Nedir?
Listeye geri dön
Daha eski SGK Tarafından Emekliliğin İptal Olması

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir