Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK 136)
Giriş: Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçunun Tanımı ve Hukuki Temeli
Bilişim teknolojilerinin hızla gelişmesiyle birlikte kişisel verilerin korunması, modern hukuk düzenlerinin temel meselelerinden biri haline gelmiştir. Türk Ceza Kanunu (TCK), bu hassas alana yönelik çeşitli düzenlemeler içermekte olup, özellikle TCK m. 136 Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
suçu, kişisel verilerin gizliliği ve güvenliğini teminat altına almayı hedefleyen önemli bir hükümdür. Bu makale, söz konusu suç tipinin hukuki niteliğini, maddi ve manevi unsurlarını, Yargıtay uygulamalarındaki yansımalarını ve doktrindeki akademik tartışmaları derinlemesine inceleyecektir. Hedef kelime olan veri hırsızlığı cezası kavramı, TCK 136 kapsamında ele geçirme eyleminin hukuki sonuçları bağlamında değerlendirilmektedir.
TCK m. 136 Kapsamında Suçun Hukuki Niteliği ve Unsurları
TCK 136, bilişim sistemleri aracılığıyla veya başkaca yöntemlerle elde edilen kişisel verilerin hukuka aykırı olarak başkalarına verilmesi veya ele geçirilmesi eylemlerini suç olarak tanımlar. Bu madde, TCK'nın Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar
başlıklı yedinci bölümünde yer almakta olup, kişilerin mahremiyet alanını ve veri güvenliğini korumayı amaçlar.
Korunan Hukuki Değer
TCK 136 ile korunan temel hukuki değer, bireylerin kişisel verileri üzerindeki hâkimiyet hakkı ve dolayısıyla özel hayatın gizliliğidir. Kişisel veriler, bir bireyin kimliğini doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgiyi ifade eder. Bu verilerin hukuka aykırı yollarla elde edilmesi veya paylaşılması, kişilerin özel yaşamlarını ihlal etmekle kalmaz, aynı zamanda kişilik haklarına da ciddi zararlar verebilir. Bu bağlamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile TCK hükümleri arasında yakın bir ilişki bulunmaktadır.
Maddi Unsur
Suçun maddi unsuru, TCK m. 136/1'de belirtilen verme
veya ele geçirme
eylemleridir:
- Verme: Kişisel verinin, rıza veya hukuki yetki olmaksızın üçüncü bir kişiye aktarılması, sunulması veya erişimine imkan tanınmasıdır. Verinin fiziksel veya dijital yollarla aktarılması bu kapsamdadır.
- Ele Geçirme: Kişisel veriye, sahibinin rızası veya kanunî bir yetki olmaksızın, herhangi bir yöntemle (bilgisayar korsanlığı, oltalama, sahtecilik vb.) ulaşılması, elde edilmesi ve üzerinde fiili hâkimiyet kurulmasıdır. Bu eylem, halk arasında genellikle veri hırsızlığı olarak nitelendirilmektedir ve TCK 136 kapsamında ağır bir suç teşkil etmektedir.
Her iki eylem de, hukuka aykırı
bir şekilde gerçekleştirilmiş olmalıdır. Hukuka aykırılık, ilgili kişinin açık rızasının bulunmaması veya kanunda bu verilerin elde edilmesine/verilmesine izin veren bir hükmün olmaması durumunu ifade eder.
Manevi Unsur
TCK m. 136'daki suç, kastla işlenebilen bir suçtur. Failin, gerçekleştirdiği eylemin kişisel veri vermeye veya ele geçirmeye yönelik olduğunu ve bu eylemin hukuka aykırı olduğunu bilerek ve isteyerek hareket etmesi gerekir. Doktrinde, bu suçun işlenmesi için genel kastın yeterli olup olmadığı veya özel bir kastın (örneğin, haksız çıkar sağlama amacı) aranıp aranmayacağı hususu tartışılmıştır. Öğretideki baskın görüş, failin kişisel verilerin hukuka aykırı olarak verildiğini veya ele geçirildiğini bilmesinin ve istemesinin genel kast açısından yeterli olduğunu savunmaktadır. Özel kast, TCK'da açıkça belirtilmedikçe aranmaz.
Yargıtay Uygulaması ve İçtihatlar Işığında TCK m. 136
Yargıtay, TCK m. 136'nın uygulanmasında titiz bir yaklaşım sergilemekte ve özellikle kişisel veri
kavramının genişliğini vurgulamaktadır. Yüksek Mahkeme, bir bilginin kişisel veri olup olmadığının, somut olayın özelliklerine göre ve ilgili kişiyle ilişkilendirilebilme potansiyeline bakılarak değerlendirilmesi gerektiğini belirtmektedir. Ayrıca, Yargıtay'ın yerleşik içtihatlarında, hukuka aykırılık unsurunun belirlenmesinde rızanın önemi üzerinde durulur. Rızanın yokluğu, genellikle hukuka aykırılık karinesini oluşturur.
Yargıtay 12. Ceza Dairesi'nin yerleşik içtihadında da belirtildiği üzere,
kişisel veri, belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü bilgi olup; bu bilgilerin hukuka uygun bir şekilde elde edilmemiş olması veya elde edilmiş olsa dahi rıza hilafına ya da kanun dışı yollarla başkasına verilmesi veya ele geçirilmesi, TCK 136 kapsamında suç teşkil eder. Suçun oluşumu için, verinin somut ve doğrudan bir zarar doğurması şart olmayıp, verinin gizliliğinin ihlal edilmesi yeterlidir.
Yargıtay, ele geçirme
eylemini yorumlarken, verinin fiziki olarak ele geçirilmesinin yanı sıra, dijital ortamda kopyalanması, şifresinin kırılması suretiyle erişilmesi gibi eylemleri de bu kapsamda değerlendirmektedir. Failin, veriye erişim sağladıktan sonra, bu veriyi kendi sistemi içinde tutması, kaydetmesi veya başka bir cihaza aktarması, ele geçirme fiilini tamamlanmış kılar. Verme eyleminde ise verinin, alıcı tarafından algılanabilir hale getirilmesi yeterlidir; alıcının bu veriyi kullanıp kullanmamasının suçun oluşumu açısından bir önemi bulunmamaktadır.
Doktrindeki Görüşler ve Tartışmalı Hususlar
Doktrinde TCK m. 136 ile ilgili çeşitli tartışmalar bulunmaktadır:
- Kişisel Veri Tanımının Kapsamı: KVKK ile genişleyen kişisel veri tanımının, TCK 136 uygulamasında nasıl yorumlanacağı konusunda görüş ayrılıkları mevcuttur. Özellikle anonimleştirilmiş veya takma adlı verilerin ne ölçüde kişisel veri sayılacağı önemlidir.
- Eylemlerin Ayrımı ve Tekliği:
Verme
veele geçirme
eylemlerinin farklı suçlar mı yoksa aynı suçun farklı işleniş biçimleri mi olduğu, zincirleme suç hükümleri açısından önem taşımaktadır. Öğretide, bu eylemlerin genellikle bağımsız eylemler olduğu ve tek bir fiille birden fazla kişisel verinin ele geçirilmesi durumunda zincirleme suç hükümlerinin (TCK m. 43) uygulanabileceği kabul edilmektedir. - Suçun Nitelikli Halleriyle İlişkisi: TCK m. 137'de düzenlenen nitelikli haller (kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılarak, belirli meslek grupları tarafından işlenmesi), cezanın artırılmasına yol açar. Bu nitelikli hallerin uygulanmasında, failin sıfatının ve eylemi hangi bağlamda gerçekleştirdiğinin tespiti büyük önem arz eder.
Veri Hırsızlığı Cezası ve Yaptırımlar
TCK m. 136/1 uyarınca, hukuka aykırı olarak kişisel verileri veren veya ele geçiren kişi hakkında iki yıldan dört yıla kadar hapis cezası öngörülmüştür. Bu ceza miktarı, bilişim suçlarının ciddiyetini ve kişisel verilerin korunmasına verilen önemi açıkça ortaya koymaktadır. Suçun TCK m. 137'de belirtilen nitelikli hallerden biriyle işlenmesi durumunda ise verilecek ceza yarı oranında artırılır.
Bu tür suçlarda, fail hakkında güvenlik tedbirleri, hak yoksunlukları (TCK m. 53) ve etkin pişmanlık hükümleri de (TCK m. 138) gündeme gelebilir. Ayrıca, işlenen fiilin aynı zamanda KVKK kapsamında idari para cezası veya diğer hukuki sorumlulukları da doğurabileceği unutulmamalıdır.
Sonuç
Verileri hukuka aykırı olarak verme veya ele geçirme suçu (TCK m. 136), modern toplumun en önemli hukuki sorunlarından biri olan kişisel veri güvenliğine karşı işlenen ciddi bir suçtur. Bu suç, bireylerin özel hayatın gizliliği ve veri üzerindeki kontrol haklarını korumayı hedefler. Gerek doktrinde gerekse Yargıtay içtihatlarında, suçun unsurları ve uygulama alanına ilişkin detaylı değerlendirmeler yapılmaktadır. Kişisel verilerin korunması bilincinin artması ve bu tür eylemlere karşı hukuki yaptırımların caydırıcılığı, dijital çağda bireylerin güvenliğini sağlamanın temelini oluşturmaktadır. Bu suçun hukuki sonuçları, halk arasında veri hırsızlığı cezası
olarak bilinmekle birlikte, TCK'nın veri gizliliğini çok boyutlu olarak koruma altına aldığını göstermektedir.
Sıkça Sorulan Sorular
Soru 1: TCK 136 ve KVKK arasındaki ilişki nedir?
TCK 136, kişisel verileri hukuka aykırı olarak verme veya ele geçirme fiillerini ceza hukuku bağlamında suç olarak düzenlerken, KVKK ise kişisel verilerin işlenmesi, korunması ve aktarılmasına ilişkin genel ilke ve yükümlülükleri belirleyen idari ve özel hukuk niteliğinde bir kanundur. TCK 136, KVKK'nın ihlali sonucu oluşabilecek cezai sorumlulukların temelini oluşturur. KVKK'ya aykırı bir veri işleme faaliyeti, aynı zamanda TCK 136 veya diğer ilgili bilişim suçları kapsamında cezai sorumluluğu da tetikleyebilir; ancak her KVKK ihlali doğrudan TCK 136 suçunu oluşturmaz. TCK 136, daha spesifik eylemleri (verme ve ele geçirme) cezalandırır.
Soru 2: Kişisel verilerin ele geçirilmesi durumunda etkin pişmanlık hükümleri uygulanabilir mi?
Evet, TCK m. 138 uyarınca, TCK'nın Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar
bölümünde yer alan suçlarda (ki bu bölüme TCK 136 da dahildir), failin işlediği suçu yetkili makamlar haber vermeden önce, mağdurun zararını tamamen tazmin etmesi veya eski hale getirmesi durumunda etkin pişmanlık hükümleri uygulanabilir. Bu durumda cezada indirim yapılır veya ceza verilmez. Ancak, bu hükümlerin uygulanabilmesi için zararın tam olarak giderilmesi veya eski hale getirme koşulunun gerçekleşmesi ve bunun yargılama öncesinde veya belirli bir aşamada yapılması gerekmektedir.
Soru 3: Verilerin ele geçirilmesi
ile çalınması
terimleri arasında hukuki bir fark var mıdır?
Hukuki terminolojide, çalma
kavramı genellikle hırsızlık
(TCK m. 141 vd.) suçuyla ilişkilendirilir ve bir malın zilyetliğinin hukuka aykırı olarak ele geçirilmesini ifade eder. Kişisel veriler, klasik anlamda taşınır bir mal olmadığı için, doğrudan hırsızlık suçunun konusu olamazlar. Bu nedenle, kişisel verilerin hukuka aykırı olarak elde edilmesi eylemi için ele geçirme
terimi kullanılmaktadır ve TCK 136 kapsamında bu eylem suç olarak düzenlenmiştir. Halk arasında kullanılan veri hırsızlığı
ifadesi, hukuki olarak TCK 136'daki ele geçirme
eylemine karşılık gelmektedir. Fark, kullanılan terimin hukuki bağlamı ve suçun konusu olan nesnenin niteliğidir.