Kişisel Verilerin Hukuka Aykırı Olarak Ele Geçirilmesi ve Yayılması Suçları
Dijitalleşmenin hayatımızın her alanına nüfuz ettiği günümüzde, bireylerin kişisel bilgilerinin korunması en temel hukuki gereksinimlerden biri haline gelmiştir. İnternet kullanımının artması, e-ticaretin yaygınlaşması ve sosyal medya platformlarının günlük yaşantımızın merkezine yerleşmesiyle birlikte, kişisel veri kavramı ve bu verilerin güvenliği hayati bir önem taşımaktadır.
Bu kapsamda Türkiye’de 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. Ancak verilerin sadece idari yönden değil, cezai yönden de korunması şarttır. Türk Ceza Kanunu (TCK), kişisel verilerin ele geçirilmesi ve kişisel verileri yayma eylemlerini ciddi hapis cezaları ile yaptırıma bağlamıştır. Bu makalemizde, KVKK’nın temel kavramlarını, TCK kapsamında düzenlenen veri suçlarını ve bu suçlara öngörülen cezaları detaylı bir şekilde inceleyeceğiz.
KVKK Amacı ve Kapsamı
Kısa adıyla KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanunu‘nu ifade eder. 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren bu kanun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlar. Aynı zamanda, kişisel verileri işleyen gerçek ve tüzel kişilerin uyması gereken yükümlülükleri ve kuralları belirler.
KVKK, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu olarak hazırlanmış olup, veri sorumlularına aydınlatma yükümlülüğü, veri güvenliğini sağlama yükümlülüğü ve Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü gibi çeşitli idari ve teknik tedbirler getirmiştir. Kanunun ihlali durumunda, Kişisel Verileri Koruma Kurulu tarafından milyonlarca lirayı bulan idari para cezaları kesilebilmektedir.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir bilginin kişisel veri sayılabilmesi için o bilginin doğrudan doğruya belirli bir kişiye ait olması veya o kişinin kimliğini tespit etmeye yarayacak nitelikte olması yeterlidir.
Kanun koyucu, kişisel verileri iki ana kategoriye ayırmıştır: Genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler. Özel nitelikli kişisel veriler, öğrenilmesi halinde kişinin ayrımcılığa maruz kalmasına veya mağdur olmasına neden olabilecek daha hassas bilgilerdir ve işlenmeleri çok daha sıkı şartlara bağlanmıştır.
| Veri Türü | Tanımı | Örnekler |
|---|---|---|
| Genel Nitelikli Kişisel Veri | Kişiyi belirlenebilir kılan standart bilgilerdir. | Ad, soyad, TCKN, telefon numarası, e-posta adresi, araç plakası, IP adresi, özgeçmiş bilgileri. |
| Özel Nitelikli Kişisel Veri | Kişinin hassas bilgilerini içeren ve sıkı korunan verilerdir. | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek/vakıf/sendika üyeliği, sağlık verileri, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veriler. |
Kişisel Verilerin İşlenme Şartları Nelerdir?
Kişisel verilerin hukuka uygun olarak işlenebilmesi için kural olarak ilgili kişinin “açık rızası” gereklidir. Ancak KVKK madde 5’te açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai haller de düzenlenmiştir. Bunlar:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.
Eğer kişisel veriler bu şartlardan hiçbirine dayanmadan işleniyor, kaydediliyor veya paylaşılıyorsa, hem KVKK kapsamında idari yaptırımlar hem de TCK kapsamında cezai yaptırımlar gündeme gelecektir.
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK 136)
Kişisel verilerin ihlali sadece idari bir kabahat değil, aynı zamanda Türk Ceza Kanunu kapsamında bir suçtur. TCK 136, “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında bu suçu düzenlemiştir.
Madde metnine göre; “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.”
Bu suç tipi, üç farklı seçimlik hareketle işlenebilmektedir:
- Kişisel verilerin ele geçirilmesi: Verinin sahibinin rızası dışında veya hukuka uygun bir neden olmaksızın verinin hakimiyet altına alınmasıdır. Birinin telefon rehberini kopyalamak, sistemden izinsiz müşteri datası çekmek bu kapsama girer.
- Kişisel verileri başkasına verme: Verinin, yetkisiz üçüncü bir kişiye aktarılmasıdır. (Örneğin, bir şirkette çalışan personelin, şirket müşterilerine ait bilgileri rakip firmaya satması veya iletmesi).
- Kişisel verileri yayma: Verinin, birden fazla kişinin veya belirsiz sayıda kişinin görebileceği şekilde paylaşılmasıdır.
Kişisel Verilerin Hukuka Aykırı Olarak Ele Geçirilmesi Cezası
Bir başkasına ait kişisel verilerin ele geçirilmesi suçu, TCK 136. madde kapsamında 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılmaktadır. Bu suçun oluşması için failin veriyi ele geçirmesi yeterlidir; veriyi ele geçirdikten sonra kullanıp kullanmadığı veya bu veriden maddi bir menfaat sağlayıp sağlamadığı suçun oluşumu açısından önem taşımaz.
Özellikle siber saldırılar (hacking) yoluyla, sosyal mühendislik yöntemleriyle veya fiziksel dosyaların izinsiz fotoğraflanması yoluyla verilerin elde edilmesi bu suçun tipik örnekleridir. Yargıtay kararlarında, bir kişinin rızası dışında fotoğrafının Whatsapp üzerinden başka birine gönderilmesi dahi bu kapsamda değerlendirilebilmektedir.
Kişisel Verileri Yayma Cezası
Kişisel verileri yayma, bilginin aleniyet kazanmasını sağlayan en tehlikeli eylemlerden biridir. Verinin internet sitelerinde yayımlanması, sosyal medya platformlarında (Instagram, Twitter, Facebook, TikTok vb.) paylaşılması veya herkese açık panolara asılması bu suçu oluşturur.
Kişisel verileri hukuka aykırı olarak yayan kişi de tıpkı ele geçiren kişi gibi 2 yıldan 4 yıla kadar hapis cezası ile yargılanır. Günümüzde sıkça karşılaşılan “ifşa” eylemleri, başkasına ait telefon numarasını eskort sitelerine yazmak, bir kişinin TCKN veya adres bilgisini kin ve düşmanlık saikiyle sosyal medyada paylaşmak bu suçun en net örnekleridir.
Eğer paylaşılan veri, bir kişinin özel hayatının gizliliğini ihlal eden görüntü veya ses kayıtlarıysa (örneğin yatak odası görüntüleri), bu durumda TCK madde 134’te düzenlenen “Özel Hayatın Gizliliğini İhlal” suçu gündeme gelir ve nitelikli hallerde ceza miktarı değişebilir.
Cezayı Artıran Nitelikli Haller (TCK137)
Kanun koyucu, bazı kişilerin sahip oldukları meslek veya kamu görevi nedeniyle kişisel verilere çok daha kolay ulaşabildiğini göz önünde bulundurarak, bu suçun belirli kişiler tarafından işlenmesini cezayı artıran nitelikli hal olarak düzenlemiştir.
TCK 137’ye göre, kişisel verilerin ele geçirilmesi veya yayılması suçunun;
- Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
- Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle (Örneğin; avukat, doktor, bankacı, muhasebeci veya kargo/nakliyat şirketi çalışanının işi gereği elde ettiği verileri yayması)
işlenmesi halinde, TCK 136’ya göre verilecek olan ceza yarı oranında artırılır. Yani 2 yıldan 4 yıla kadar olan hapis cezası, 3 yıldan 6 yıla kadar hapis cezasına dönüşür.
Bunun yanı sıra, suçun konusunun Ceza Muhakemesi Kanunu’nun (CMK) 236. maddesinde sayılan, çocukların veya cinsel saldırı mağdurlarının beyanlarını içeren ses ve görüntü kayıtları olması halinde de verilecek ceza bir kat artırılmaktadır.
TCK Bağlamında İlgili Diğer Kişisel Veri Suçları
Kişisel verilerin korunması sadece TCK 136 ile sınırlı değildir. TCK’nın özel hayata ve hayatın gizli alanına karşı suçlar bölümünde kişisel verilerle ilgili iki önemli madde daha bulunur:
- Kişisel Verilerin Kaydedilmesi Suçu (TCK Madde 135): Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir. Kaydedilen verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına veya sendikal bağlantılarına ilişkin olması halinde verilecek ceza yarı oranında artırılır.
- Verileri Yok Etmeme Suçu (TCK Madde 138): Kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi halidir. Cezası 1 yıldan 2 yıla kadar hapistir.
Şikayet, Uzlaşma ve Zamanaşımı
Kişisel verilerin ele geçirilmesi ve yayılması suçlarına ilişkin usul hukuku kuralları, sürecin nasıl işleyeceğini belirler.
| Hukuki Kavram | Uygulama Durumu | Açıklama |
|---|---|---|
| Şikayete Tabi mi? | Hayır | Bu suçlar şikayete tabi değildir. Savcılık, suçun işlendiğini öğrendiği an (re’sen) soruşturma başlatır. Şikayetten vazgeçme, kamu davasını düşürmez. |
| Uzlaşma Kapsamında mı? | Hayır | TCK 135, 136 ve 138’deki kişisel veri suçları uzlaşma hükümleri kapsamında yer almaz. |
| Görevli Mahkeme | Asliye Ceza Mahkemesi | Bu suçlar için yargılama yapma görevi Asliye Ceza Mahkemelerine aittir. |
| Dava Zamanaşımı | 8 Yıl | Suçun işlendiği tarihten itibaren 8 yıllık olağan dava zamanaşımı süresi içinde soruşturma başlatılabilir. |
Ceza Davası ve KVKK İdari Yaptırım Süreçlerinin Birlikte Yürütülmesi
Uygulamada sıkça sorulan sorulardan biri, hapis cezası gerektiren mahkeme süreci ile Kişisel Verileri Koruma Kurulu’na yapılacak şikayetin aynı anda yürütülüp yürütülemeyeceğidir.
Bir kişinin kişisel verisi hukuka aykırı olarak bir şirket, kurum veya şahıs tarafından ele geçirilip yayılmışsa, mağdur iki farklı hukuki yolu aynı anda işletebilir:
- Cumhuriyet Başsavcılığına Suç Duyurusu: TCK 136 kapsamında failin hapis cezası alması için şikayette bulunmak.
- KVKK Kuruluna Şikayet: Veri sorumlusu olan kurumun/şirketin veri güvenliğini sağlayamaması nedeniyle KVKK madde 18 kapsamında idari para cezası alması için kurula başvurmak.
Ayrıca şartları oluşmuşsa, mağdurun maddi ve manevi tazminat davası açma hakkı da saklıdır.
Sonuç
Kişisel veriler, bireylerin en değerli dijital varlıklarıdır. KVKK mevzuatının ihlal edilmesi ve kişisel verilerin ele geçirilmesi veya kişisel verileri yayma eylemleri, Türk Ceza Kanunu kapsamında ciddi hapis cezaları ile yaptırıma bağlanmıştır. Gerek işletmelerin veri güvenliği konusunda alması gereken tedbirleri eksiksiz uygulaması, gerekse bireylerin verilerinin ihlal edilmesi durumunda haklarını araması büyük önem taşımaktadır.
Bu tür suçlar uzlaşmaya ve şikayete tabi olmadığından, hukuki sürecin son derece titiz yürütülmesi gerekir. Verilerinizin izinsiz ele geçirildiğini veya yayıldığını düşünüyorsanız, telafisi güç zararların önüne geçmek adına hızlı ve etkili bir şekilde hukuki yollara başvurmak şarttır.
KVKK Hakkında Sıkça Sorulan Sorular
KVKK Nedir, Açılımı Ne Anlama Gelir?
KVKK, Kişisel Verilerin Korunması Kanunu’nun kısaltmasıdır. 2016 yılında yürürlüğe giren bu kanun, bireylerin kişisel verilerinin (ad, soyad, TC kimlik numarası, iletişim bilgileri vb.) rastgele ve yetkisiz kişilerce kullanılmasını engellemeyi amaçlar. KVKK’nın temel hedefi, verilerin işlenmesi sürecinde özel hayatın gizliliğini güvence altına almak ve veri işleyen kurum ile kuruluşlara belirli yükümlülükler getirmektir.
KVKK Kimleri Kapsar ve Uymak Zorunlu Mudur?
Evet, KVKK hükümlerine uymak kanuni bir zorunluluktur. Kanun; kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişileri kapsar. Yani e-ticaret sitelerinden apartman yönetimlerine, hastanelerden kargo firmalarına ve hukuki danışmanlık hizmeti veren ofislere kadar müşteri veya çalışan verisi işleyen herkes KVKK’ya tabidir.
KVKK İhlali ve Veri Sızdırma Cezaları Ne Kadar?
Kişisel verilerin hukuka aykırı olarak işlenmesi, aydınlatma yükümlülüğünün yerine getirilmemesi veya veri güvenliğinin sağlanamaması durumunda Kişisel Verileri Koruma Kurulu tarafından ağır idari para cezaları uygulanır. Yeniden değerleme oranlarına göre her yıl güncellenen bu cezalar, 2026 yılı itibarıyla ihlalin türüne göre on binlerce liradan başlayıp milyonlarca liraya kadar ulaşabilmektedir. Ayrıca, verilerin ele geçirilmesi ve yayılması Türk Ceza Kanunu kapsamında hapis cezasını gerektiren bir suçtur.
Açık Rıza Nedir? Her Durumda Açık Rıza Alınmalı Mı?
Açık rıza, belirli bir konuya ilişkin, yeterli bilgilendirilmeye dayanan ve kişinin özgür iradesiyle açıkladığı onaydır. Ancak yaygın bilinenin aksine, kişisel veri işlemek için her durumda açık rıza alınması zorunlu değildir. KVKK Madde 5’te belirtilen; kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, hukuki bir yükümlülüğün yerine getirilmesi gibi istisnai şartlar mevcutsa, kişilerden açık rıza alınmaksızın veri işlenebilir.
VERBİS Nedir ve Kimler Kayıt Olmak Zorundadır?
VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’nin kısaltmasıdır. Kişisel veri işleyen gerçek ve tüzel kişilerin, hangi kategorideki verileri hangi amaçlarla işlediklerini devlete bildirdikleri kayıt sistemidir. Yıllık çalışan sayısı veya mali bilanço toplamı Kurul tarafından belirlenen eşik değerlerin üzerinde olan şirketler ile ana faaliyeti özel nitelikli kişisel veri işlemek olan profesyonellerin (örneğin sağlık kuruluşları) VERBİS’e kayıt olması yasal bir zorunluluktur.
İşyerinde Güvenlik Kamerası Kullanmak KVKK’ya Aykırı Mı?
İşyerlerinde güvenlik amacıyla kamera kullanmak doğrudan KVKK’ya aykırı değildir; ancak sıkı kurallara tabidir. İşveren veya işletme sahibi, kamera kaydı alındığına dair çalışanlarını ve ziyaretçilerini bilgilendirmek (katmanlı aydınlatma metni ve görünür uyarı levhaları ile) zorundadır. Ayrıca, tuvaletler, soyunma odaları veya emzirme odaları gibi özel hayatın gizliliğinin yüksek olduğu alanlara kesinlikle kamera yerleştirilemez. Kameranın açısı ve kayıtların saklanma süresi, sadece güvenlik amacıyla sınırlı ve ölçülü olmalıdır.