TCK 136 kapsamında ele geçirme, verme ve yayma fiilleri
Ele geçirme ile kaydetme arasındaki fark
TCK 136’daki “ele geçirme”, kişisel veriye yetkisiz şekilde erişmek, veriyi edinmek veya kontrol altına almak anlamına gelir. Bu, çoğu zaman bir dosyayı kopyalamak, bir hesaba izinsiz girmek, bir kurum ekranından veri çekmek ya da bir başkasının telefonundan rehberi almak gibi davranışlarla karşımıza çıkar. Kanun metninde ele geçirme, “kişisel verileri… ele geçiren” şeklinde açıkça sayılır.
“Kaydetme” ise TCK 135’te düzenlenen ayrı bir fiildir. Burada hukuka aykırı biçimde kişisel verinin bir yere yazılması, sisteme girilmesi, bir tabloda tutulması, arşivlenmesi gibi “kalıcılaştırma” davranışı ön plandadır. Yani veriyi görüp okumak (ele geçirme) ile veriyi veri tabanı, excel, CRM, defter veya benzeri bir ortamda saklamak (kaydetme) aynı şey değildir.
Verme ve yaymanın kapsamı nedir?
TCK 136, kişisel veriyi hukuka aykırı şekilde bir başkasına verme, yayma veya ele geçirme seçenekli hareketlerle oluşan bir suç tipidir.
“Verme” çoğu zaman belirli bir kişiye aktarmayı ifade eder. Örneğin birinin telefon numarasını, adresini, kimlik bilgisini, sağlık bilgisini veya müşteri listesini bir üçüncü kişiye göndermek “verme” kapsamında değerlendirilebilir.
“Yayma” ise veriyi daha geniş bir çevreye ulaştırmaya elverişli biçimde paylaşmaktır. Sosyal medya paylaşımı, gruplara atma, link dağıtma, ifşa amaçlı ekran görüntüsü dolaştırma gibi eylemler yayma tartışmalarını doğurur. Paylaşımın çok kişiye ulaşması şart değildir; önemli olan, hukuka aykırı biçimde başkalarının erişimine sunulmasıdır.
Suçun koruduğu hukuki değer
TCK 136’nın temel amacı, kişinin kişisel verileri üzerindeki hâkimiyetini ve özel hayatın gizliliğini korumaktır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak kabul edilir. Bu nedenle korunan menfaat, yalnızca “utanılacak” bilgilerin saklı kalması değil; bireyin kendisiyle ilgili bilgilerin kimde, hangi kapsamda ve hangi amaçla kullanıldığını kontrol edebilmesidir.
Kişisel veri sayılan bilgiler nelerdir, hangileri girmez?
Herkesin bildiği bilgi kişisel veri olur mu?
Bir bilginin “herkesçe biliniyor” olması, otomatik olarak kişisel veri olmaktan çıkardığı anlamına gelmez. Ölçüt, bilginin kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin olup olmadığıdır. Bu nedenle ad-soyad, çalıştığı yer, telefon numarası gibi bilgiler bazı ortamlarda zaten biliniyor olsa bile kişisel veri niteliğini korur.
Ancak bilginin daha önce ilgili kişi tarafından alenileştirilmiş olması veya herkesin erişebildiği bir yerde yer alması, somut olayda “hukuka aykırılık” değerlendirmesini etkileyebilir. Örneğin bir bilginin hangi amaçla ve hangi bağlamda paylaşıldığı, tekrar paylaşımın kapsamı ve ifşa niyeti önem kazanır. Kısacası “zaten internette var” savunması her durumda koruma sağlamaz.
Fotoğraf, kullanıcı adı ve ekran görüntüsü kişisel veri mi?
Çoğu durumda evet. Yüzün görüldüğü bir fotoğraf, bir kişiyi doğrudan tanımlayabildiği için kişisel veridir. Hatta yüz görünmese bile dövme, plaka, ev içi detaylar, konum ve zaman bilgisi gibi unsurlar kişiyi belirlenebilir kılabilir.
Kullanıcı adı da genellikle kişisel veridir. Özellikle kullanıcı adı, profil linki veya hesap bilgileri kişinin kimliğine bağlanabiliyorsa “belirlenebilirlik” şartı oluşur.
Ekran görüntüsü ise çoğunlukla birden fazla kişisel veriyi birlikte taşır: mesaj içerikleri, telefon numarası, profil fotoğrafı, konum, ses kaydı transkripti gibi. Bu nedenle ekran görüntüsünü “sadece konuşma” gibi görüp paylaşmak, TCK 136 ve KVKK bakımından risk yaratır.
Özel nitelikli kişisel verilerle ilişki
“Özel nitelikli kişisel veri” kavramı, ceza hukuku tarafında TCK 136’nın kapsamını daraltmaz; bu veriler de kişisel veridir ve hukuka aykırı ele geçirme, verme veya yayma fiillerine konu olabilir. Ayrıca bu tür veriler (sağlık bilgisi, biyometrik veri, siyasi görüş, dini inanç gibi) bakımından hukuka aykırılık daha kolay gündeme gelir ve sonuçları daha ağır olabilir. Tanım ve kapsam için 6698 sayılı KVKK hükümleri esas alınır.
Suçun unsurları ve hukuka aykırılık şartı
Fail ve mağdur kim olabilir?
TCK 136 bakımından fail, kişisel veriyi hukuka aykırı biçimde “veren, yayan veya ele geçiren” herkes olabilir. Özel bir sıfat aranmaz. Uygulamada en sık; işyeri çalışanı, eski eş veya partner, yönetici, çağrı merkezi personeli, site yöneticisi, sağlık çalışanı gibi kişilerin erişebildiği verileri sınırını aşarak paylaşmasıyla gündeme gelir.
Mağdur ise verisi hukuka aykırı biçimde kullanılan gerçek kişidir. Kişisel veri kavramı da temelde gerçek kişiye ilişkindir. Bir şirketin ticari sırları veya kurumsal e-posta listeleri tek başına TCK 136 kapsamında “kişisel veri” sayılmayabilir; ama listede gerçek kişileri belirlenebilir kılan bilgiler varsa suç tartışması doğar.
Kast aranır mı, olası kast mümkün mü?
Bu suç kasten işlenir. Yani fail, paylaştığı veya ele geçirdiği şeyin kişisel veri olduğunu ve bunu hukuka aykırı biçimde yaptığını bilerek ve isteyerek hareket etmelidir. “Yanlışlıkla gönderdim” iddiası bazı dosyalarda tartışma konusu olur; ancak somut olayda gerçekten hata mı var, yoksa bilerek paylaşım mı yapıldı, mesaj akışı ve davranışlar üzerinden değerlendirilir.
Olası kast da teorik olarak mümkündür. Örneğin kişi, gönderdiği dosyada kişisel veri olabileceğini öngörmesine rağmen kontrol etmeden paylaşım yapıyorsa, kastın türü tartışılabilir. Kast ve olası kast ayrımı, ceza miktarı ve indirimler açısından önemlidir.
Rıza ve diğer hukuka uygunluk halleri
TCK 136’da kilit mesele “hukuka aykırılık”tır. En sık karşılaşılan hukuka uygunluk nedeni, ilgili kişinin açık ve geçerli rızasıdır. Rıza, kapsamıyla sınırlıdır. “Sadece iş başvurusu için verdim” denilen bir bilgiyi başka amaçla yaymak rıza sınırını aşabilir.
Bunun yanında, bazı durumlarda kanunun hükmünü yerine getirme veya hakkın kullanılması kapsamında değerlendirme yapılabilir. Örneğin bir dava dosyasına delil sunulması, resmi bir merciin talebi üzerine bilgi verilmesi gibi hallerde hukuka uygunluk tartışması somut olayın sınırlarına göre yapılır. TCK’nın genel hükümleri için Türk Ceza Kanunu metni esas alınır.
TCK 136 cezası ve TCK 137 nitelikli haller
Cezanın alt ve üst sınırı
TCK 136/1’e göre kişisel verileri hukuka aykırı şekilde bir başkasına verme, yayma veya ele geçirme fiilinin cezası 2 yıldan 4 yıla kadar hapistir. Uygulamada mahkeme, temel cezayı belirlerken verinin türüne, paylaşımın kapsamına, mağdur üzerindeki etkisine ve failin kastına bakar.
Maddeye 2019’da eklenen TCK 136/2 bakımından ise suçun konusu, CMK 236/5-6 uyarınca kayda alınan beyan ve görüntüler ise (özellikle hassas mağdur beyanlarının kayıtları), verilecek ceza bir kat artırılır. Bu, aynı fiilin “sıradan bir veri” yerine daha korunmaya muhtaç kayıtlar üzerinde işlenmesi halinde cezayı belirgin şekilde yükseltir.
Kamu görevi veya meslek nedeniyle işlenmesi
TCK 137, TCK 136 dahil “yukarıdaki maddelerde” tanımlanan kişisel veriye ilişkin suçlar için nitelikli halleri düzenler. Suç;
- kamu görevlisi tarafından ve görevin verdiği yetki kötüye kullanılarak,
- belli bir meslek veya sanatın sağladığı kolaylıktan yararlanılarak
işlenirse, verilecek ceza yarı oranında artırılır. Örneğin kurumdaki erişim yetkisiyle vatandaş kaydını sızdırmak veya iş gereği ulaşılan müşteri bilgisini üçüncü kişilere aktarmak bu başlık altında değerlendirilir.
HAGB, erteleme ve adli para cezasına çevirme
TCK 136’da alt sınır 2 yıl olduğu için, HAGB (CMK 231) ve erteleme (TCK 51) ihtimali genelde “sonuç ceza” üzerinden tartışılır. Mahkeme, takdiri indirim gibi nedenlerle sonucu 2 yıl veya altına indirirse ve diğer şartlar da varsa HAGB veya erteleme gündeme gelebilir.
Adli para cezasına çevirme ise kasten işlenen suçlarda kural olarak 1 yıl veya daha az hapis cezaları için söz konusu olur. Bu nedenle TCK 136’da çoğu dosyada para cezasına çevirme ihtimali pratikte sınırlıdır; ancak teşebbüs, zincirleme, indirimler gibi etkenlerle sonuç cezanın 1 yıl ve altına indiği istisnai durumlarda değerlendirilebilir.
Teşebbüs, iştirak ve içtima uygulamada nasıl değerlendirilir?
Teşebbüs ne zaman gündeme gelir?
TCK 136 “seçimlik hareketli” bir suçtur. Bu yüzden teşebbüs tartışması, hangi hareketin hedeflendiğine göre değişir.
- Ele geçirme bakımından suç çoğu zaman veriye fiilen erişildiği anda tamamlanır. Veriye hiç ulaşılamadıysa, TCK 136’dan teşebbüs yerine olayın niteliğine göre bilişim sistemine girme gibi başka suçlar gündeme gelebilir.
- Verme veya yayma bakımından ise teşebbüs daha görünürdür. Örneğin kişisel veriyi bir gruba atmak üzere gönder tuşuna basıp teknik sebeple iletilememesi, dosyayı yükleyip paylaşımın tamamlanamaması gibi durumlarda, icra hareketlerine başlanıp netice gerçekleşmediği için teşebbüs değerlendirmesi yapılabilir. Teşebbüsün genel çerçevesi TCK 35’te yer alır.
Birden fazla suçla birlikte işlenmesi
Kişisel veri paylaşımı tek başına kalmayabilir. Aynı eylem:
- aynı kişiye karşı farklı zamanlarda tekrar ediyorsa zincirleme suç (TCK 43),
- tek bir hareketle birden fazla farklı suçu doğuruyorsa fikri içtima (TCK 44)
tartışmalarını doğurur.
Örneğin bir kişinin verilerini farklı günlerde farklı platformlarda paylaşmak zincirleme suç yaklaşımına konu olabilir. Tek bir paylaşımın hem kişisel veri hem de özel hayat görüntüsü içermesi halinde ise hangi suçun “en ağır cezayı” gerektirdiği üzerinden fikri içtima değerlendirmesi yapılabilir.
İştirak açısından da sınır nettir: Veriyi bizzat paylaşan failin yanında, suçu planlayan azmettiren veya paylaşımı kolaylaştıran yardım eden kişiler de şartları varsa sorumlu tutulabilir.
TCK 134, 135, 136 ve bilişim suçları ayrımı
Uygulamada en çok karışan hatlar şunlardır:
- TCK 135 (kaydetme): Kişisel veriyi hukuka aykırı biçimde bir yerde tutma, arşivleme, veri tabanına işleme.
- TCK 136 (verme, yayma, ele geçirme): Veriyi başkasına aktarma, ifşa etme veya yetkisiz şekilde edinme.
- TCK 134 (özel hayatın gizliliği): Kişisel veriden daha dar ama daha “mahrem” alana ilişkin görüntü, ses, içerik ve özel hayat alanının ihlali.
Bir de işin “nasıl elde edildiği” kısmı vardır. Veri, bilişim sistemine hukuka aykırı girişle alındıysa TCK 243 ve sistemde bozma, engelleme, verileri yok etme gibi fiiller varsa TCK 244 ile birlikte değerlendirme yapılması mümkündür. Bu ayrım, hem suç vasfını hem de içtima uygulamasını doğrudan etkiler.
Suç duyurusu nereye yapılır, şikayet süresi var mı?
Şikayet mi re’sen soruşturma mı?
TCK 136, kural olarak şikâyete bağlı değildir. Yani savcılık suçu öğrendiğinde re’sen soruşturma yapabilir. Bu nedenle “6 aylık şikâyet süresi” mantığı burada çoğu dosyada uygulanmaz. Yine de pratikte, olayın ciddiyeti ve delillerin hızlı toplanabilmesi için mümkün olan en kısa sürede suç duyurusunda bulunmak önemlidir.
Şikâyetten vazgeçme de otomatik olarak dosyayı düşürmez. Çünkü takip rejimi şikâyet değil, kamu adına yürütülen soruşturmadır.
Görevli mahkeme ve yetkili savcılık
TCK 136’nın temel halinde öngörülen ceza aralığı nedeniyle, yargılama görevi kural olarak Asliye Ceza Mahkemesindedir.
Suç duyurusu ise Cumhuriyet Başsavcılığına yapılır. Yetki, genel kural olarak suçun işlendiği yer savcılığına aittir. İnternet paylaşımlarında “işlendiği yer” tartışmalı olabildiğinden, çoğu durumda bulunduğunuz yerdeki savcılığa başvurup dosyanın yetkili birime gönderilmesi sağlanabilir. Başvuru, fiziken dilekçeyle yapılabileceği gibi UYAP Vatandaş üzerinden de gerçekleştirilebilir.
Zamanaşımı ve soruşturma süreci
TCK 136 bakımından dava zamanaşımı, cezanın üst sınırı dikkate alınarak genellikle 8 yıl üzerinden değerlendirilir. Zamanaşımı, bazı işlemlerle kesilebilir veya durabilir. Bu yüzden “zamanım var” düşüncesiyle beklemek risklidir.
Soruşturma sürecinde savcılık; şüphelinin tespiti, paylaşımın nerede ve nasıl yapıldığının belirlenmesi, platformlardan kayıt istenmesi ve gerekirse bilirkişi incelemesi gibi adımlar atar. Mağdur açısından en kritik konu, paylaşımın linkini, ekran görüntülerini, tarih-saat bilgisini ve mümkünse paylaşımı gören kişilerin bilgilerini hızlıca dosyaya sunmaktır.
Kişisel verisi ifşa edilen kişi hangi delilleri toplamalı?
URL, ekran görüntüsü ve paylaşım tespiti
İfşa edilen kişisel veriyle ilgili en kritik konu, içeriğin hızla silinebilmesidir. Bu yüzden ilk adım, paylaşımın “nerede, ne zaman, kim tarafından” yapıldığını mümkün olduğunca netleştirecek dijital izleri toplamaktır.
Öncelikle URL (paylaşım linki), paylaşımı yapan hesabın profil linki/hesap adı, varsa grup adı ve kanal linki gibi bilgiler kaydedilmelidir. Ardından ekran görüntüsü alınırken yalnızca içerik değil, tarih-saat, platform arayüzü, paylaşımı yapan hesap bilgisi ve mümkünse yorumlar ile görünür etkileşimler de kadraja girmelidir. Tek bir ekran görüntüsü yerine, yukarıdan aşağıya kaydırarak birden fazla görüntü almak çoğu dosyada daha sağlıklı olur.
İçerik mesajlaşma uygulamasındaysa, “iletildi/forwarded” ibaresi, mesajın hangi numaradan geldiği, medya dosyasının ön izlemesi gibi ayrıntılar da önemlidir. Teknik olarak mümkünse, paylaşımın cihazda göründüğü hali yanında sayfa kaydı (tarayıcıdan “PDF’ye yazdır” gibi) da alınabilir.
Noter tespiti ve platform kaldırma başvuruları
Paylaşımın ileride inkâr edilmesi ihtimaline karşı, özellikle yayma geniş kitleye ulaşmışsa noter tespiti pratikte güçlü bir delil olarak kullanılabilir. Noter tespiti her dosyada şart değildir; ama içeriğin kısa sürede kaldırılacağı, hesabın kapanacağı veya linkin değişeceği düşünülüyorsa ciddi avantaj sağlar.
Delil toplarken eş zamanlı olarak platforma kaldırma/şikâyet başvurusu yapmak da önemlidir. Burada iki hedef vardır: içeriğin yayılmasını durdurmak ve platform üzerinden erişilebilecek kayıtların (link, kullanıcı, tarih) korunmasını kolaylaştırmak. Kaldırma talebi yaparken, içeriğin “kişisel veri ifşası” olduğuna dair kısa ve net açıklama yazmak, gereksiz tartışmaya girmemek çoğu zaman daha etkilidir.
KVKK başvurusu ile ceza süreci birlikte yürür mü?
Evet, çoğu durumda birlikte yürür. Ceza süreci TCK 136 kapsamında savcılık eliyle ilerler. KVKK süreci ise verinin paylaşıldığı/işlendiği kurum veya kişi “veri sorumlusu” ise, önce veri sorumlusuna başvuru, ardından şartları oluştuğunda Kişisel Verileri Koruma Kurumuna şikâyet şeklinde ilerleyebilir. Bu iki yol birbirini otomatik olarak durdurmaz; amaçları da farklıdır.
KVKK tarafında hedef, hukuka aykırı işlemenin durdurulması, silme/erişimin engellenmesi gibi idari ve teknik sonuçlar ile idari yaptırımlardır. Ceza soruşturmasında ise failin tespiti ve cezai sorumluluk değerlendirmesi öne çıkar. Başvuru adımlarının güncel çerçevesi için Kişisel Verileri Koruma Kurumu sayfasındaki başvuru rehberleri esas alınmalıdır.
