Teknolojinin gündelik yaşamın ve ticari faaliyetlerin ayrılmaz bir parçası haline gelmesi, hukuki uyuşmazlıkların niteliğini de dijital mecralara taşımıştır. Günümüzde klasik suç tiplerinin yanı sıra, tamamen bilişim sistemleri üzerinden işlenen veya bilişim sistemlerinin araç olarak kullanıldığı suçlar, Türk Ceza Kanunu (TCK) ve özel kanunlarla düzenlenen geniş bir yelpazeyi kapsamaktadır. Bu kapsamda bilişim suçları, sadece teknik bir ihlal değil, aynı zamanda bireylerin temel hak ve özgürlüklerinin, özellikle de özel hayatın gizliliğinin ve kişisel verilerinin korunması hakkının ağır bir şekilde ihlal edilmesine yol açabilmektedir. Bu makalede, Türk hukuk sisteminde bilişim suçlarının kapsamı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile olan etkileşimi ve yargılama süreçlerindeki kritik usul kuralları derinlemesine incelenecektir.
Bilişim suçları, en genel tanımıyla verileri otomatik işleme tabi tutan veya verilerin nakline yarayan bir sistem üzerinden işlenen hukuka aykırı fiilleri ifade eder. Türk Ceza Kanunu’nun “Bilişim Alanında Suçlar” başlıklı bölümünde (Madde 243-246) bu suçlar sistematik bir şekilde düzenlenmiştir. Ancak dijital dünyadaki ihlaller sadece bu maddelerle sınırlı kalmamakta; hakaret, tehdit, dolandırıcılık gibi suçlar da bilişim sistemleri aracılığıyla işlenebilmektedir. Özellikle kişisel verilerin korunması hususu, Ceza Hukuku ile İdare Hukuku ve Özel Hukuk arasındaki sınırın en belirginleştiği alanlardan biridir. Kişisel verilerin hukuka aykırı olarak ele geçirilmesi veya yayılması, hem ağır ceza yaptırımlarına hem de ciddi tazminat yükümlülüklerine kapı aralamaktadır.
Türk Ceza Kanunu Kapsamında Temel Bilişim Suçları ve Tipiklik
Türk Ceza Kanunu, bilişim sistemlerini doğrudan hedef alan saldırıları cezalandırırken sistemin güvenliğini, bütünlüğünü ve erişilebilirliğini korumayı amaçlar. TCK 243. maddesinde düzenlenen bilişim sistemine girme suçu, bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kişinin cezalandırılmasını öngörür. Bu suçun oluşması için sistemin korumalı olması veya bir şifre ile girilmesi şart değildir; önemli olan failin sisteme erişim yetkisinin bulunmamasıdır. Uygulamada, bir başkasının sosyal medya hesabına izinsiz giriş yapılması veya e-posta adresine erişilmesi bu suçun en yaygın örneklerindendir. Suçun oluşması için herhangi bir zararın doğması şart olmayıp, sisteme giriş yapılması yeterlidir; ancak verilerin silinmesi veya değiştirilmesi durumunda daha ağır cezai yaptırımlar gündeme gelecektir.
TCK 244. maddesinde düzenlenen sistemi engelleme, bozma, verileri yok etme veya değiştirme suçu ise daha nitelikli bir müdahaleyi kapsar. Bu maddeye göre, bir bilişim sisteminin işleyişini engelleyen, bozan, verileri yok eden, değiştiren veya erişilmez kılan kişiler hapis cezası ile cezalandırılır. Özellikle şirketlerin veri tabanlarına yönelik saldırılar, web sitelerinin çökertilmesi (DDoS saldırıları) veya yazılımlara virüs bulaştırılarak işleyişin durdurulması bu madde kapsamında değerlendirilir. Eğer bu fiiller bir banka veya kredi kurumuna ait sistemler üzerinde gerçekleştirilirse, verilecek ceza yarı oranında artırılmaktadır. Bu durum, kanun koyucunun finansal sistemlerin güvenliğine verdiği stratejik önemi göstermektedir.
Bilişim suçları içerisinde ekonomik boyutu en yüksek olanlardan biri de TCK 245. maddede yer alan banka veya kredi kartlarının kötüye kullanılması suçudur. Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kişinin, kart sahibinin rızası olmaksızın bunu kullanarak kendisine veya bir başkasına menfaat sağlaması bu suçun temel şeklini oluşturur. Günümüzde oltalama (phishing) yöntemleri ile kart bilgilerinin ele geçirilmesi ve internet üzerinden harcama yapılması bu suç tipinin en sık karşılaşılan uygulama alanıdır. Bu suçun takibi şikayete bağlı olmayıp, savcılık tarafından resen soruşturulur.
Kişisel Verilerin Korunması Kanunu ve TCK Arasındaki Uygulama Alanı
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi sürecinde disiplin ve denetim mekanizması oluştururken, bu verilerin hukuka aykırı şekilde ihlal edilmesini Türk Ceza Kanunu’ndaki yaptırımlara bağlamıştır. TCK’nın 135. maddesi ile 140. maddesi arasındaki hükümler, “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlığı altında kişisel verileri koruma altına alır. Kişisel verilerin kaydedilmesi (TCK 135), verileri hukuka aykırı olarak verme veya ele geçirme (TCK 136) ve verileri yok etmeme (TCK 138) suçları, KVKK uyum süreçlerinin ihlali durumunda doğrudan devreye girmektedir.
TCK 135 uyarınca, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Burada dikkat edilmesi gereken husus, verinin “kişisel veri” niteliğinde olmasıdır. Kişiyi belirlenebilir kılan her türlü bilgi (isim, TC kimlik numarası, telefon, parmak izi, IP adresi, biyometrik veriler vb.) bu kapsamdadır. Başkent Hukuk ve Danışmanlık olarak merkezimiz Bursa Nilüfer’de olsa da tüm Türkiye genelinde müvekkillerimize özellikle veri ihlallerinden kaynaklanan ceza davalarında profesyonel hukuki destek sağlamaktayız. KVKK kapsamında veri sorumlusu olan şirketlerin, çalışanlarının veya müşterilerinin verilerini hukuka aykırı işlemesi durumunda sadece idari para cezası ile değil, aynı zamanda TCK 135 ve devamı maddeleri uyarınca hapis cezası riskiyle karşı karşıya kalabileceği unutulmamalıdır.
TCK 136. maddede düzenlenen kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, uygulamada en çok karşılaşılan ve yargılaması en titiz yapılması gereken suçlardan biridir. Kişisel verileri başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Sosyal medya üzerinden birinin telefon numarasının paylaşılması, rıza dışı fotoğraf paylaşımı veya bir şirketin müşteri listesinin rakip firmaya sızdırılması bu madde kapsamına girer. Yargıtay’ın yerleşik içtihatlarına göre, verinin herkes tarafından biliniyor olması veya kamuya açık bir alanda bulunması, o verinin hukuka aykırı olarak ele geçirilmesi ve yayılması suçunu ortadan kaldırmaz.
Dijital Delillerin Toplanması ve Hukuka Uygunluk Denetimi
Bilişim suçları ve kişisel verilere yönelik ihlallerde en kritik aşama delillerin elde edilme biçimidir. Dijital deliller, doğası gereği kolayca değiştirilebilir, silinebilir veya manipüle edilebilir özelliktedir. Bu nedenle Ceza Muhakemesi Kanunu (CMK) Madde 134, “Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma” işlemlerini sıkı şartlara bağlamıştır. Hukuka aykırı yollarla elde edilen dijital deliller, Anayasa ve CMK uyarınca hükme esas alınamaz. Örneğin, usulüne uygun bir mahkeme kararı olmaksızın bir bilgisayarın imajının alınması veya verilerin incelenmesi, o delili “yasak delil” statüsüne sokar.
Adli bilişim (digital forensics) incelemeleri sırasında delil zincirinin korunması hayati önem taşır. El koyma anından itibaren cihazın “Hash” değerinin (dijital parmak izi) alınması ve raporlanması gerekir. Müvekkillerin en sık yaptığı hatalardan biri, bir ihlal tespit ettiklerinde ekran görüntüsü (screenshot) alarak cihazı temizlemeleridir. Oysa basit bir ekran görüntüsü, hukuki süreçte tek başına yeterli bir delil olmayabilir; zira bu görüntülerin kolayca manipüle edilebileceği savunma makamı tarafından ileri sürülebilir. Bunun yerine, ilgili URL adresinin, log kayıtlarının ve IP numaralarının zaman damgalı olarak muhafaza edilmesi ve mümkünse noter huzurunda veya uzman teknik destekle tespit edilmesi gerekmektedir.
- Log Kayıtları: Sisteme giriş ve çıkışların, yapılan işlemlerin tarih ve saat bazlı dökümüdür.
- IP Adresi Tespiti: Suçun işlendiği cihazın internet ağındaki kimlik numarasıdır. Ancak statik ve dinamik IP ayrımı savunma stratejisinde kritik rol oynar.
- Zaman Damgası: Verinin belirli bir tarihte mevcut olduğunu kanıtlayan elektronik veridir.
- Hash Değeri: Verinin bütünlüğünün bozulup bozulmadığını kontrol eden matematiksel değerdir.
Soruşturma Süreci, Görevli Mahkeme ve Hak Düşürücü Süreler
Bilişim suçlarının birçoğu şikayete tabi olmayan, savcılık tarafından resen soruşturulan suçlardır. Ancak TCK 135-138 maddeleri arasında yer alan kişisel verilere ilişkin bazı suçlarda, şikayet süresi ve uzlaşma hükümleri farklılık gösterebilir. Genel kural olarak, şikayete tabi suçlarda 6 aylık hak düşürücü süre mevcuttur. Ancak bilişim sistemine girme veya sistemi engelleme gibi suçlar şikayete tabi olmadığı için 8 yıllık genel dava zamanaşımı süresi içerisinde her zaman soruşturma konusu edilebilir. Mağdurun şikayetini geri çekmesi, resen takip edilen suçlarda davayı düşürmez, ancak cezanın tayininde mahkemece dikkate alınabilir.
Görevli mahkeme kural olarak Asliye Ceza Mahkemeleridir. Ancak suçun niteliğine, işleniş biçimine ve öngörülen cezanın üst sınırına göre Ağır Ceza Mahkemelerinin görev alanına giren durumlar da söz konusu olabilir (Örneğin yağma suçuyla birlikte işlenen bilişim ihlalleri). Yetkili mahkeme ise kural olarak suçun işlendiği yer mahkemesidir. Bilişim suçlarında “suçun işlendiği yer”, genellikle sisteme müdahalenin yapıldığı yer veya sonucun meydana geldiği yer olarak kabul edilir. İnternet üzerinden işlenen suçlarda, mağdurun ikametgahı da yetki kuralları çerçevesinde önem kazanabilmektedir.
Soruşturma aşamasında savcılık, BTK (Bilgi Teknolojileri ve İletişim Kurumu) üzerinden trafik bilgilerini talep edebilir. IP adresi üzerinden yapılan tespitlerde, ilgili internet aboneliğinin kime ait olduğu belirlenir. Ancak “IP adresinin sahibi suçun failidir” yaklaşımı her zaman doğru değildir. Kablosuz ağın şifresiz olması, cihazın başkası tarafından kullanılması veya IP çakışmaları gibi teknik detaylar, masumiyet karinesi çerçevesinde profesyonel bir savunma ile mahkemeye sunulmalıdır. Bu noktada teknik uzmanlık ile hukuk bilgisinin harmanlanması, haksız mahkumiyetlerin önüne geçmek için elzemdir.
Bilişim Suçları ve KVKK İhlallerinde Sık Yapılan Hatalar
Hem şüpheli hem de mağdur tarafında yapılan hatalar, yargılama sürecinin seyrini geri dönülemez şekilde değiştirebilmektedir. Mağdurlar açısından en büyük hata, delillerin karartılmasına veya kaybolmasına izin vermektir. Bir siber saldırıya uğrayan veya kişisel verileri sızdırılan bir kişi, vakit kaybetmeksizin bilişim hukuku alanında uzman bir avukata başvurmalıdır. Kendi imkanlarıyla sistemde düzeltme yapmaya çalışmak, suçun izlerini silebilir ve failin tespitini imkansız kılabilir.
Şüpheliler veya sanıklar açısından ise, kollukta verilen eksik veya hatalı ifadeler en büyük risktir. Bilişim sistemlerinin karmaşık yapısı nedeniyle, failin kastı olmaksızın gerçekleştirdiği teknik bir hata, mahkemece “sistemi bozma” veya “verileri ele geçirme” olarak yorumlanabilir. Ayrıca, başkasına ait olduğu bilinen ancak şifresiz bırakılan bir sisteme merak saikiyle girmek bile TCK 243 kapsamında suç teşkil etmektedir. “Hukuku bilmemek mazeret sayılmaz” ilkesi uyarınca, failin eyleminin suç olduğunu bilmediğini beyan etmesi onu cezai sorumluluktan kurtarmaz. Bu nedenle, soruşturmanın en başından itibaren stratejik bir savunma yapılması şarttır.
Bir diğer önemli hata ise sosyal medya mecralarında “ifşa” adı altında yapılan paylaşımlardır. Kendisine karşı bir suç işlendiğini düşünen mağdurun, failin kişisel verilerini (fotoğraf, mesaj kayıtları vb.) sosyal medyada paylaşması, kendisini de TCK 136 uyarınca sanık durumuna düşürebilir. Türk Ceza Hukuku’nda “ihkak-ı hak” yani kendi hakkını kendi gücüyle alma yöntemi kabul edilmemektedir; hak arama yeri sosyal medya değil, Cumhuriyet Başsavcılıkları ve Mahkemelerdir.
Hak Kaybı Yaşamamak İçin Profesyonel Hukuki Destek Alınmalıdır
Bilişim suçları ve kişisel verilerin korunması hukuku, hem ileri düzeyde teknik bilgi hem de derinlemesine mevzuat hakimiyeti gerektiren disiplinler arası bir alandır. Teknolojik delillerin toplanmasından, bunların mahkemede hukuka uygun şekilde sunulmasına kadar olan her aşama, titizlikle yönetilmelidir. Usul kurallarına aykırı bir işlem, haklıyken haksız duruma düşmenize veya uğradığınız zararın tazmin edilememesine neden olabilir.
Başkent Hukuk ve Danışmanlık olarak, bilişim hukukunun karmaşık yapısında müvekkillerimizin haklarını korumak, siber suçlarla mücadele etmek ve KVKK uyum süreçlerinde rehberlik etmek için Bursa Nilüfer merkezli ofisimizde ve tüm Türkiye genelinde hizmet sunmaktayız. Unutulmamalıdır ki dijital dünyada bırakılan her izin hukuki bir karşılığı vardır ve bu izlerin doğru okunması, adaletin tecellisi için birincil önceliktir.
Bu makalede sunulan bilgiler genel bilgilendirme amacı taşımakta olup, her somut olayın kendine özgü teknik ve hukuki detayları bulunmaktadır. Bilişim sistemleri üzerinden yaşanan uyuşmazlıklarda veya kişisel veri ihlallerinde telafisi güç zararların oluşmaması için uzman bir ceza avukatından profesyonel destek alınması büyük önem arz etmektedir. Hak kaybı yaşamamak ve süreci doğru yönetmek adına profesyonel danışmanlık hizmeti almayı ihmal etmeyiniz.
