TCK 135 KAPSAMINDA BİLİŞİMSEL KENDİ KADERİNİ TAYİN HAKKI

1. GİRİŞ

Dijitalleşmenin hız kazanmasıyla birlikte kişisel veriler, bireyin kimliğini tanımlayan en temel unsurlardan biri hâline gelmiştir. Günümüzde birey yalnızca fiziksel varlığıyla değil, dijital ortamdaki izleriyle de var olmaktadır. İnternet kullanımı, mobil uygulamalar, sosyal medya etkileşimleri ve yapay zekâ sistemleri aracılığıyla her birey sürekli olarak veri üretmekte; bu veriler çoğu zaman kişinin farkında dahi olmadığı biçimlerde kaydedilmektedir.

Bu gelişme, kişisel verilerin korunmasını klasik anlamda “özel hayatın gizliliği” kavramının ötesine taşımış; bireyin dijital dünyadaki varlığı üzerinde söz sahibi olma hakkını gündeme getirmiştir. Türk Ceza Kanunu’nun 135. maddesi, tam da bu noktada devreye girerek kişisel verilerin hukuka aykırı biçimde kaydedilmesini suç olarak düzenlemiş ve bireyin bilişimsel varlığını ceza hukuku güvencesi altına almıştır.

​

2. TCK 135’İN KORUDUĞU HUKUKİ DEĞER

TCK 135’in hangi hukuki değeri koruduğu öğretide uzun süredir tartışma konusudur. Klasik görüş, söz konusu suçun özel hayatın gizliliğini koruduğunu savunmaktadır. Ancak bu yaklaşım, günümüz dijital toplumunun ihtiyaçlarını karşılamakta yetersiz kalmaktadır.

Günümüzde hâkim olan modern görüşe göre TCK 135 ile korunan asıl değer, bireyin kişisel verileri üzerindeki tasarruf yetkisi, diğer bir ifadeyle bilişimsel kendi kaderini tayin hakkıdır. Bu hak, bireyin kendisine ait verilerin hangi amaçla, kim tarafından ve ne ölçüde kullanılacağına karar verebilmesini ifade eder. Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunması hakkı da bu yaklaşımı desteklemektedir.

Dolayısıyla TCK 135 yalnızca özel hayatı değil, bireyin dijital kişiliğini ve veri egemenliğini koruyan anayasal nitelikte bir ceza normudur.

​

3. KİŞİSEL VERİ KAVRAMI VE KAPSAMI

Kişisel veri kavramı, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve TCK 135 çerçevesinde, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanım son derece geniş tutulmuş olup, yalnızca gizli veya mahrem nitelikteki bilgileri değil, gündelik yaşamın olağan akışı içerisinde ortaya çıkan çok sayıda veriyi de kapsamaktadır. Kanun koyucunun bu geniş yaklaşımı benimsemesinin temel nedeni, kişisel verilerin teknolojik gelişmeler karşısında sürekli yeni biçimler kazanması ve dar yorumların bireyin korunmasını yetersiz kılmasıdır.

Bu bağlamda ad, soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası gibi klasik tanımlayıcı verilerin yanı sıra; IP adresi, konum bilgisi, cihaz kimliği, sosyal medya paylaşımları, çevrim içi davranışlar, arama geçmişi, alışveriş tercihleri ve tüketim alışkanlıkları da kişisel veri olarak kabul edilmektedir. Hatta tek başına kişiyi doğrudan tanımlamayan bazı veriler dahi, başka verilerle bir araya getirildiğinde kişinin kimliğini belirlenebilir hâle getiriyorsa, kişisel veri niteliği kazanır. Bu nedenle kişisel veri kavramı statik değil, bağlamsal bir içerik taşımaktadır.

Önemle vurgulanması gereken husus, bir bilginin kişisel veri sayılabilmesi için mutlaka gizli olması gerekmediğidir. Uygulamada sıkça yapılan hatalardan biri, yalnızca gizli veya özel nitelikli bilgilerin kişisel veri sayılacağı yönündeki kabuldür. Oysa bir bilginin herkes tarafından erişilebilir olması, onun kişisel veri niteliğini ortadan kaldırmaz. Örneğin bir kişinin sosyal medya hesabında açıkça paylaştığı bilgilerin, sistematik biçimde toplanması, sınıflandırılması ve belirli bir amaç doğrultusunda kaydedilmesi hâlinde TCK 135 kapsamında değerlendirilmesi mümkündür.

Bu noktada belirleyici ölçüt, verinin kişiyi tanımlamaya elverişli olup olmadığıdır. Kişinin adı, fotoğrafı veya kullanıcı adı tek başına yeterli olabileceği gibi; IP adresi, konum bilgisi veya çevrim içi hareketleri de kişiyi dolaylı olarak tanımlayabilir. Özellikle büyük veri analizleri ve algoritmik eşleştirme yöntemleri sayesinde, başlangıçta anonim gibi görünen veriler dahi kısa sürede belirli bir kişiyle ilişkilendirilebilmektedir. Bu durum, kişisel veri kavramının dar yorumlanmasının neden hukuken sakıncalı olduğunu açıkça ortaya koymaktadır.

Kamuya açık alanlarda yer alan veriler bakımından da benzer bir değerlendirme yapılmalıdır. Bir bilginin internet sitesinde, sosyal medya platformunda ya da herkese açık bir veri tabanında bulunması, o bilginin sınırsız biçimde kaydedilebileceği veya işlenebileceği anlamına gelmez. Eğer bu veriler, paylaşım amacının dışına çıkılarak, sistematik şekilde toplanıyor, depolanıyor veya profilleme amacıyla kullanılıyorsa, bu durum TCK 135 kapsamında hukuka aykırı veri kaydı olarak nitelendirilebilir.

Nitekim doktrinde ve yargı uygulamasında da kabul edildiği üzere, kişisel verilerin korunmasında esas olan “gizlilik” değil, “kontrol edilebilirliktir”. Bireyin, kendisine ait bilgilerin kim tarafından ve hangi amaçla kullanıldığını bilme ve buna karar verebilme hakkı bulunmaktadır. Bu hak ihlal edildiği anda, verinin kamuya açık olup olmadığı önemini yitirmekte; hukuka aykırılık unsuru ortaya çıkmaktadır.

Sonuç olarak kişisel veri kavramı, dar anlamda gizli bilgilerle sınırlı değildir. Aksine, bireyin kimliğini doğrudan ya da dolaylı biçimde ortaya koyabilen her türlü bilgi bu kapsamda değerlendirilir. Bu nedenle kamuya açık dahi olsa kişisel verilerin rıza dışı ve amaç dışı biçimde kaydedilmesi, TCK 135 anlamında cezai sorumluluğa yol açabilecek niteliktedir. Bu yaklaşım, dijital çağda bireyin veri üzerindeki egemenliğini korumayı amaçlayan modern ceza hukuku anlayışının doğal bir sonucudur.

​

4. KAYDETME FİİLİNİN CEZA HUKUKU BAKIMINDAN DEĞERLENDİRİLMESİ

TCK 135 bakımından “kaydetme” kavramı, klasik ceza hukuku anlayışının ötesine geçen geniş bir içeriğe sahiptir. Kanun koyucu, kişisel verilerin yalnızca fiziksel olarak bir yere yazılmasını değil, dijital dünyada verinin herhangi bir şekilde muhafaza altına alınmasını da kaydetme fiili kapsamında değerlendirmiştir. Bu yaklaşım, teknolojinin gelişmesiyle birlikte verinin saklanma ve işlenme biçimlerinin çeşitlenmesi karşısında hukuki korumanın etkisiz hâle gelmemesi amacıyla benimsenmiştir.

Bu çerçevede kaydetme, yalnızca bir belgenin bilgisayara kaydedilmesi veya bir dosyanın arşivlenmesi anlamına gelmez. Günümüzde bir verinin bilgisayar sistemine girilmesi, bir sunucuya aktarılması, bulut ortamında saklanması, veri tabanına eklenmesi, log kayıtları arasında tutulması ya da yedekleme sistemlerine dahil edilmesi de kaydetme fiili kapsamında değerlendirilmektedir. Hatta teknik olarak pasif nitelikte görülebilecek işlemler dahi, verinin sistematik bir şekilde muhafaza edilmesi sonucunu doğurduğu ölçüde TCK 135 anlamında kaydetme olarak kabul edilmektedir.

Özellikle log kayıtları ve sistem izleme kayıtları bakımından bu husus önem taşımaktadır. Bir bilişim sisteminde kullanıcı hareketlerinin otomatik olarak kayıt altına alınması, çoğu zaman teknik bir zorunluluk olarak görülse de, bu kayıtların kişisel veri içermesi hâlinde hukuki sorumluluk doğabilmektedir. Aynı şekilde, şirketlerin veya kurumların veri güvenliği amacıyla tuttukları yedekleme kayıtları da, kişisel veri içerdiği ölçüde TCK 135 kapsamında değerlendirilebilmektedir.

Günümüzde tartışma yaratan bir diğer alan ise yapay zekâ sistemlerine veri sağlanmasıdır. Yapay zekâ modellerinin eğitilmesi amacıyla kişisel verilerin sisteme aktarılması, teknik olarak bir “işleme” faaliyeti olmakla birlikte, aynı zamanda kaydetme fiilini de içerir. Zira bu veriler, sistem belleğinde tutulmakta, analiz edilmekte ve belirli bir süre boyunca saklanmaktadır. Bu nedenle rıza olmaksızın yapay zekâ sistemlerine kişisel veri aktarılması, TCK 135 kapsamında suç teşkil edebilecek niteliktedir.

Önemle vurgulanması gereken bir diğer husus, suçun oluşması için verinin üçüncü kişilere aktarılmasının veya kötüye kullanılmasının şart olmadığıdır. Kanun koyucu, kişisel verilerin korunmasında “zarar gerçekleşmeden önce müdahale” anlayışını benimsemiştir. Bu nedenle hukuka aykırı şekilde verinin sisteme alınmasıyla birlikte suç tamamlanır. Failin veriyi daha sonra kullanıp kullanmaması, paylaşması veya herhangi bir menfaat elde etmesi suçun oluşumu açısından önem taşımaz.

Bu yönüyle TCK 135, soyut tehlike suçu niteliği taşımaktadır. Suçun oluşumu için somut bir zararın meydana gelmesi gerekmez. Yalnızca kişisel verinin hukuka aykırı biçimde kayıt altına alınması yeterlidir. Bu düzenleme, kişisel verilerin korunmasına yönelik ceza politikası açısından oldukça bilinçli bir tercihtir. Zira dijital çağda veri ihlalinin doğurduğu zararlar çoğu zaman ancak çok geç fark edilmekte ve geri dönüşü mümkün olmayan sonuçlar ortaya çıkarmaktadır.

Sonuç olarak, TCK 135 bakımından “kaydetme” kavramı dar yorumlanmamalıdır. Verinin herhangi bir dijital ortamda, sistematik biçimde muhafaza altına alınması, suçun maddi unsurunun gerçekleşmesi için yeterlidir. Bu yaklaşım, hem teknolojik gelişmelere uyum sağlamakta hem de kişisel verilerin etkin biçimde korunmasına hizmet etmektedir.

​

5. SUÇUN MANEVİ UNSURU VE HUKUKA AYKIRILIK

TCK 135 kapsamında düzenlenen kişisel verilerin kaydedilmesi suçu, kasten işlenebilen bir suçtur. Suçun oluşabilmesi için failin, kaydettiği verinin kişisel veri niteliğini taşıdığını bilmesi ve bu veriyi bilerek, isteyerek kaydetmesi yeterlidir. Bu anlamda suç, doğrudan kastla işlenebileceği gibi olası kastla da işlenebilir. Failin, verinin kişisel nitelikte olduğunu öngörmesine rağmen kaydetme fiilini gerçekleştirmesi hâlinde de cezai sorumluluğu doğar. Ancak suçun oluşumu bakımından özel bir saik aranmaz; yani failin veriyi hangi amaçla kaydettiği, suçun oluşması açısından belirleyici değildir.

Bu noktada önemle vurgulanması gereken husus, TCK 135’in bir soyut tehlike suçu niteliği taşımasıdır. Failin kaydettiği veriyi kötüye kullanması, üçüncü kişilere aktarması ya da mağdurun somut bir zarar görmesi aranmaz. Hukuka aykırı kaydetme fiilinin gerçekleşmesiyle suç tamamlanır. Bu yönüyle kanun koyucu, kişisel verilerin korunmasında önleyici bir ceza politikası benimsemiştir.

Suçun hukuka aykırılık unsurunun değerlendirilmesinde ise en kritik mesele rıza kavramıdır. Kişisel verilerin işlenmesi bakımından rıza, kural olarak bir hukuka uygunluk sebebi teşkil edebilir. Ancak ceza hukuku bakımından her rıza, hukuka uygunluk sonucu doğurmaz. Rızanın geçerli kabul edilebilmesi için belirli şartları taşıması gerekir. Aksi hâlde görünüşte rıza bulunsa bile fiil hukuka aykırı olmaya devam eder.

Bu kapsamda geçerli bir rızadan söz edilebilmesi için öncelikle rızanın açık olması gerekir. Zımni, örtülü veya varsayılan rıza ceza hukuku bakımından yeterli değildir. Kişinin iradesini açık biçimde ortaya koyması zorunludur. Ayrıca rızanın bilgilendirmeye dayanması gerekir. Kişi, hangi verisinin, kim tarafından, hangi amaçla ve ne süreyle işleneceğini bilmeden verdiği rızayla hukuken bağlanmış sayılmaz. Bilgilendirme eksikse, verilen rıza geçersizdir.

Bunun yanında rızanın özgür iradeyle verilmiş olması da zorunludur. Baskı, zorunluluk, hizmetten yararlanamama tehdidi veya ekonomik bağımlılık altında verilen rıza, ceza hukuku bakımından geçerli kabul edilmez. Özellikle işçi–işveren ilişkisi, kamu hizmetlerinden yararlanma veya dijital platformlara erişim gibi alanlarda alınan rızalar, bu yönüyle titizlikle değerlendirilmelidir.

Rızanın bir diğer temel şartı ise belirli bir amaca yönelik olmasıdır. Genel, sınırsız ve gelecekteki her türlü veri işlemeye izin veren rızalar hukuken geçerli değildir. Kişi, hangi amaç için rıza verdiğini açıkça bilmelidir. Bu nedenle “her türlü veri işlenebilir” şeklindeki genel ifadeler, ceza hukuku bakımından rıza olarak kabul edilmemektedir.

Bu çerçevede özellikle internet ortamında sıkça karşılaşılan “okudum, kabul ediyorum” şeklindeki genel onay kutucukları ciddi bir sorun teşkil etmektedir. Kullanıcının içeriğini fiilen okumadığı, anlamadığı veya gerçek bir tercih imkânı bulunmadığı bu tür onaylar, ceza hukuku açısından geçerli bir rıza oluşturmaz. Zira bu tür uygulamalarda rıza çoğu zaman şekli olup, özgür iradeye dayanmamaktadır.

Yargıtay ve Anayasa Mahkemesi uygulamaları da bu yöndedir. Yüksek yargı, kişisel verilerin korunmasına ilişkin uyuşmazlıklarda rızayı dar yorumlamakta; bireyin açık ve bilinçli iradesi bulunmadığı durumlarda hukuka aykırılık unsurunun gerçekleştiğini kabul etmektedir. Bu yaklaşım, kişisel verilerin korunmasına ilişkin anayasal güvencenin bir gereğidir.

Sonuç olarak TCK 135 bakımından kastın varlığı ve rızanın geçerliliği, suçun oluşumunda belirleyici rol oynamaktadır. Failin veriyi bilerek kaydetmesi yeterli olup, ayrıca kötü niyet aranmaz. Ancak rızanın varlığı hâlinde dahi bu rızanın hukuken geçerli olup olmadığı titizlikle incelenmelidir. Aksi hâlde kişisel verilerin korunması hakkı, şekli rıza beyanlarıyla işlevsiz hâle gelir ki bu durum, ceza hukukunun koruyucu fonksiyonuyla bağdaşmaz.

​

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLER VE AĞIRLAŞTIRILMIŞ HÂL

TCK 135’in ikinci fıkrasında düzenlenen özel nitelikli kişisel veriler, bireyin yalnızca özel hayatını değil, aynı zamanda kişilik bütünlüğünü ve insan onurunu doğrudan ilgilendiren verilerden oluşmaktadır. Kanun koyucu bu verileri diğer kişisel verilerden ayırarak daha sıkı bir koruma rejimine tâbi tutmuş ve bunların hukuka aykırı şekilde kaydedilmesini ağırlaştırılmış yaptırıma bağlamıştır. Bu yaklaşım, kişisel veriler arasında bir değer hiyerarşisi kurulduğunu ve bazı verilerin bireyin “çekirdek alanına” dâhil kabul edildiğini göstermektedir.

Bu kapsamda sağlık bilgileri, biyometrik ve genetik veriler, siyasi görüş, dini veya felsefi inanç, sendikal faaliyetler ve cinsel hayata ilişkin bilgiler özel nitelikli kişisel veri olarak kabul edilmektedir. Bu tür veriler, kişinin yalnızca bugünkü yaşamını değil, gelecekteki sosyal konumunu, güvenliğini ve hatta fiziksel bütünlüğünü dahi etkileyebilecek mahiyettedir. Bu nedenle söz konusu verilerin hukuka aykırı biçimde kaydedilmesi, sıradan bir veri ihlali olarak değil, doğrudan kişilik hakkına yönelmiş ağır bir saldırı olarak değerlendirilmelidir.

Özellikle sağlık verileri ve biyometrik bilgiler, modern teknolojilerle birlikte çok daha hassas bir hâle gelmiştir. Parmak izi, yüz tanıma, retina taraması ve DNA profilleri gibi veriler, bireyin kimliğini tartışmasız biçimde ortaya koyan ve geri dönüşü mümkün olmayan nitelikte bilgilerdir. Bu tür verilerin ele geçirilmesi veya kaydedilmesi hâlinde, kişi bu verileri değiştirme veya yenileme imkânına sahip değildir. Bu yönüyle biyometrik ve genetik veriler, klasik kişisel verilerden çok daha yüksek düzeyde korunmayı gerektirir.

TCK 135/2’de öngörülen ağırlaştırılmış ceza rejimi, tam da bu nedenle kabul edilmiştir. Kanun koyucu, bireyin mahremiyetinin en derin alanına giren bu verilerin kaydedilmesini, sıradan bir veri ihlali olarak görmemiş; aksine insan onuruna yönelik ciddi bir tehdit olarak değerlendirmiştir. Bu yaklaşım, Anayasa’nın 17. ve 20. maddelerinde güvence altına alınan kişi dokunulmazlığı ve özel hayatın korunması ilkeleriyle de doğrudan örtüşmektedir.

Günümüzde teknolojik gelişmeler, bu hükmün uygulama alanını daha da genişletmiştir. Özellikle yüz tanıma sistemleri, biyometrik kimlik doğrulama yöntemleri, sağlık uygulamaları ve büyük veri analizleri, özel nitelikli kişisel verilerin çok daha yaygın biçimde işlenmesine yol açmaktadır. Akıllı telefonlar, güvenlik kameraları, sağlık uygulamaları ve giyilebilir teknolojiler aracılığıyla bireylerin biyometrik ve sağlık verileri sürekli olarak toplanmakta ve saklanmaktadır. Bu durum, TCK 135/2’nin teorik bir düzenleme olmaktan çıkıp pratikte son derece önemli bir ceza normu hâline gelmesine neden olmuştur.

Özellikle sağlık sektöründe çalışanların, hastaların tıbbi verilerine erişim imkânına sahip olmaları, bu verilerin kötüye kullanılmasını kolaylaştırmaktadır. Bir sağlık çalışanının, tedavi amacı dışında hasta bilgilerini kaydetmesi veya üçüncü kişilerle paylaşması hâlinde yalnızca meslek etiği değil, aynı zamanda ceza hukuku da devreye girmektedir. Benzer şekilde, biyometrik doğrulama sistemlerini işleten özel şirketlerin, kullanıcı verilerini rıza dışı biçimde kaydetmesi de TCK 135/2 kapsamında değerlendirilmelidir.

Özel nitelikli kişisel verilerin korunmasında dikkat edilmesi gereken bir diğer husus da rıza meselesidir. Her ne kadar kişisel veriler bakımından rıza genel bir hukuka uygunluk sebebi olarak kabul edilse de, özel nitelikli veriler söz konusu olduğunda rızanın çok daha dar yorumlanması gerekir. Rızanın açık, bilgilendirilmiş ve belirli bir amaca yönelik olması zorunludur. Aksi hâlde verilen rıza, cezai sorumluluğu ortadan kaldırmaz.

Sonuç olarak, TCK 135’in ikinci fıkrası, kişisel verilerin korunmasına ilişkin ceza hukukunun en güçlü normlarından birini oluşturmaktadır. Bu düzenleme sayesinde bireyin biyolojik, psikolojik ve düşünsel varlığı doğrudan koruma altına alınmakta; dijital çağın doğurduğu yeni risklere karşı hukuki bir güvenlik alanı oluşturulmaktadır. Özellikle biyometrik ve sağlık verilerinin giderek yaygınlaştığı günümüzde, bu hükmün uygulamadaki önemi her geçen gün artmaktadır.

​

7. GÖREVİN KÖTÜYE KULLANILMASI VE TCK 137

TCK 137, kişisel verilerin hukuka aykırı şekilde kaydedilmesi suçunun belirli kişiler tarafından işlenmesi hâlinde daha ağır cezayı gerektiren nitelikli bir hâlini düzenlemektedir. Bu hükümle kanun koyucu, bazı kişilerin görevleri gereği sahip oldukları veri erişim yetkisinin kötüye kullanılmasını, sıradan failden daha ağır bir hukuki ihlal olarak değerlendirmiştir. Zira bu kişiler, görevleri nedeniyle kişisel verilere hukuka uygun biçimde erişebilme imkânına sahip olmakla birlikte, bu yetkinin amacı dışında kullanılması hâlinde bireyin özel hayatı çok daha ağır biçimde ihlal edilmektedir.

TCK 137 kapsamında ağırlaştırıcı neden oluşturan temel unsur, failin kamu görevlisi olması veya mesleği gereği kişisel verilere erişim yetkisine sahip bulunmasıdır. Bu bağlamda polis memurları, jandarma personeli, savcılar, zabıt kâtipleri, sağlık çalışanları, banka personeli, sigorta şirketi çalışanları ve benzeri konumda bulunan kişiler bu kapsama girmektedir. Bu kişilerin, görevleri nedeniyle erişebildikleri verileri yetkileri dışında kullanmaları, yalnızca kişisel veri ihlali değil, aynı zamanda kamu güvenine yönelik bir saldırı olarak kabul edilmektedir.

Örneğin bir polis memurunun, adli bir işlem bulunmaksızın MERNİS sistemi üzerinden bir kişinin adres bilgilerini sorgulaması; bir sağlık çalışanının hastane sisteminden hasta bilgilerini inceleyerek bunları kaydetmesi; bir banka çalışanının müşteri hesap hareketlerini izinsiz şekilde kayıt altına alması hâlinde, TCK 135 yanında TCK 137 hükmü de uygulanır. Bu durumda failin cezai sorumluluğu artmakta ve eylem basit bir veri ihlali olmaktan çıkarak kamu gücünün kötüye kullanılması niteliği kazanmaktadır.

Burada dikkat edilmesi gereken husus, veriye erişimin hukuka uygun olması ile verinin kaydedilmesinin hukuka uygun olması arasındaki farktır. Kamu görevlileri çoğu zaman ilgili verilere sistemsel olarak erişme yetkisine sahiptir. Ancak bu yetki, yalnızca görev kapsamında ve belirli bir amaç doğrultusunda kullanılabilir. Yetkinin görev dışı, kişisel merak, intikam, çıkar sağlama veya üçüncü kişilere bilgi aktarma amacıyla kullanılması hâlinde hukuka uygunluk tamamen ortadan kalkar. Bu nedenle “erişim yetkim vardı” savunması, TCK 137 kapsamında geçerli bir hukuka uygunluk sebebi oluşturmaz.

TCK 137’nin düzenlenme amacı, kamu gücüne duyulan güvenin korunmasıdır. Devletin bireyden topladığı verilerin güvenli bir şekilde saklanacağına ilişkin güven, hukuk devletinin temel unsurlarından biridir. Eğer kamu görevlileri bu verilere keyfî biçimde erişebiliyor veya bunları kaydedebiliyorsa, bireyin devlete olan güveni zedelenir. Bu nedenle kanun koyucu, kamu görevlilerinin işlediği veri suçlarını daha ağır yaptırımlarla karşılamayı tercih etmiştir.

Yargıtay uygulamasında da bu husus açık biçimde görülmektedir. Yargıtay, kamu görevlisinin görevle ilgisi bulunmayan bir amaçla kişisel veri kaydetmesini, “yetkinin kötüye kullanılması” olarak değerlendirmekte ve TCK 137’nin uygulanması gerektiğini kabul etmektedir. Özellikle kolluk personelinin sistem sorgularını kişisel amaçlarla yapması, uygulamada en sık karşılaşılan nitelikli hâl örneklerinden biridir.

Sonuç olarak TCK 137, kişisel verilerin korunmasına ilişkin ceza hukukunun en önemli güvenlik mekanizmalarından birini oluşturmaktadır. Bu düzenleme sayesinde kamu görevlilerinin ve meslek sahiplerinin sahip oldukları ayrıcalıklı erişim yetkisi sıkı bir denetime tabi tutulmakta, bireyin kişisel verileri üzerindeki hâkimiyeti güçlendirilmektedir. Kamu gücünün sağladığı imkânların bireyin aleyhine kullanılmasının önüne geçilmesi, hukuk devleti ilkesinin doğal bir sonucudur.

​

8. TCK 135 VE KVKK ARASINDAKİ İLİŞKİ

Kişisel verilerin korunması, Türk hukukunda çift katmanlı bir sistem üzerinden sağlanmaktadır. Bu sistemin ilk ayağını 6698 sayılı Kişisel Verilerin Korunması Kanunu oluştururken, ikinci ayağını ise Türk Ceza Kanunu’nun 135 ve devamı maddeleri meydana getirmektedir. Bu yapı, kişisel verilerin korunmasının yalnızca idari yaptırımlarla sınırlı tutulmadığını; aynı zamanda ceza hukuku yaptırımıyla da güvence altına alındığını göstermektedir.

KVKK esas itibarıyla idari nitelikte bir düzenlemedir. Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasını sağlamak, veri işleyenlerin yükümlülüklerini belirlemek ve veri güvenliğini tesis etmektir. Bu kapsamda KVKK, veri sorumlularına çeşitli yükümlülükler yüklemekte ve bu yükümlülüklere aykırılık hâlinde idari para cezaları öngörmektedir. Ancak KVKK’nın öngördüğü yaptırımların tamamı idari niteliktedir; yani hürriyeti bağlayıcı ceza söz konusu değildir.

Buna karşılık TCK 135, kişisel verilerin hukuka aykırı biçimde kaydedilmesini doğrudan suç olarak düzenlemekte ve hapis cezası öngörmektedir. Bu yönüyle TCK 135, KVKK’nın tamamlayıcısı değil, ondan bağımsız bir ceza normu niteliğindedir. Ceza hukukunun devreye girdiği bu aşamada amaç, yalnızca veri güvenliğini sağlamak değil; bireyin kişisel alanına yönelik ağır ihlalleri cezalandırmak suretiyle caydırıcılık oluşturmaktır.

Uygulamada sıklıkla tartışılan konulardan biri, aynı fiil nedeniyle hem KVKK kapsamında idari para cezası uygulanması hem de TCK 135 kapsamında ceza davası açılmasının mümkün olup olmadığıdır. Bu noktada “ne bis in idem” ilkesi gündeme gelmektedir. Ancak öğretide ve yargı içtihatlarında kabul edilen görüşe göre, bu durum ilkeye aykırılık oluşturmaz. Çünkü KVKK kapsamında uygulanan yaptırım idari nitelikte olup düzenleyici–önleyici bir amaca hizmet ederken, TCK 135 kapsamında verilen ceza cezalandırıcı ve caydırıcı niteliktedir.

Başka bir ifadeyle, her iki yaptırım farklı hukuki değerleri korumakta ve farklı hukuk dallarına ait bulunmaktadır. KVKK ile korunmak istenen değer veri güvenliği ve idari düzen iken, TCK 135 ile korunan değer bireyin kişisel verileri üzerindeki hâkimiyeti ve temel haklarıdır. Bu nedenle aynı fiil hem idari yaptırıma hem de ceza yaptırımına konu olabilmektedir.

Uygulamada bu durum özellikle şirketler ve kurumlar açısından önem taşımaktadır. Örneğin bir şirketin müşterilerine ait verileri hukuka aykırı şekilde kaydetmesi hâlinde, Kişisel Verileri Koruma Kurumu tarafından idari para cezası uygulanabilir. Aynı zamanda bu fiili gerçekleştiren gerçek kişiler hakkında TCK 135 kapsamında ceza soruşturması yürütülmesi de mümkündür. Bu noktada tüzel kişiye idari yaptırım uygulanırken, fiili işleyen gerçek kişi cezai sorumlulukla karşı karşıya kalmaktadır.

Bu ikili yapı, veri güvenliği konusunda güçlü bir koruma mekanizması oluşturmakla birlikte uygulamada bazı sorunları da beraberinde getirmektedir. Özellikle hangi fiilin yalnızca KVKK kapsamında kaldığı, hangi fiilin TCK 135 kapsamına girdiği her zaman net değildir. Bu nedenle uygulamada ölçüt olarak, fiilin yalnızca idari yükümlülüklere aykırılık mı oluşturduğu, yoksa kişisel verilerin bilinçli ve hukuka aykırı biçimde kaydedilmesi şeklinde mi gerçekleştiği dikkate alınmaktadır.

​

9. DİJİTAL DELİLLER VE İSPAT SORUNU

TCK 135 kapsamında yürütülen soruşturma ve kovuşturmalarda en çok tartışma yaratan konulardan biri, dijital delillerin elde edilme biçimi ve ispat gücüdür. Zira kişisel veriler çoğunlukla dijital ortamlarda bulunmakta; bu veriler ise teknik olarak kolayca silinebilmekte, değiştirilebilmekte veya manipüle edilebilmektedir. Bu durum, ceza muhakemesi bakımından hem maddi gerçeğe ulaşmayı güçleştirmekte hem de hukuka aykırı delil sorununu gündeme getirmektedir.

Dijital delillerin en önemli özelliği, klasik maddi delillerden farklı olarak çoğaltılabilir, değiştirilebilir ve iz bırakmadan yok edilebilir olmalarıdır. Bu nedenle ceza muhakemesinde dijital delillerin elde edilmesi, muhafazası ve incelenmesi süreci özel usullere tabidir. Aksi hâlde elde edilen veriler, maddi gerçeği ortaya koysa dahi hukuken geçersiz kabul edilmektedir.

Türk Ceza Muhakemesi Hukuku bakımından delil serbestisi ilkesi geçerli olmakla birlikte, bu ilke sınırsız değildir. Ceza Muhakemesi Kanunu’nun 206. ve 217. maddeleri uyarınca, hukuka aykırı şekilde elde edilen deliller hükme esas alınamaz. Bu ilke, Anayasa’nın 38. maddesinde de açıkça güvence altına alınmıştır. Dolayısıyla bir kişisel verinin suçun işlendiğini ortaya koyması, tek başına o verinin delil olarak kullanılabileceği anlamına gelmez.

TCK 135 bakımından bu durum özellikle önemlidir. Zira kişisel verilerin büyük bir kısmı, çoğu zaman mağdurun bilgisi ve rızası dışında elde edilmektedir. Özellikle eşler arasında, iş ilişkilerinde veya sosyal ilişkilerde sıkça rastlanan durumlarda; taraflardan biri karşı tarafın telefonuna casus yazılım yüklemekte, mesajlarını takip etmekte veya gizlice ekran görüntüsü almaktadır. Bu tür fiiller, yalnızca kişisel verilerin kaydedilmesi suçunu oluşturmakla kalmamakta, aynı zamanda haberleşmenin gizliliğini ihlal, özel hayatın gizliliğini ihlal ve bilişim sistemine girme gibi başka suçları da gündeme getirmektedir.

Casus yazılımlar (spyware) aracılığıyla elde edilen veriler, uygulamada sıkça delil olarak sunulmak istenmektedir. Ancak gerek Yargıtay gerek Anayasa Mahkemesi içtihatlarına göre, bu şekilde elde edilen kayıtlar hukuka aykırı delilniteliğindedir. Hukuka aykırı delillerin ise, suçun varlığını açıkça ortaya koysa bile yargılamada kullanılması mümkün değildir. Bu noktada ceza muhakemesinin temel ilkelerinden biri olan “zehirli ağacın meyvesi de zehirlidir” ilkesi devreye girmektedir.

Özellikle Anayasa Mahkemesi kararlarında, bireyin özel hayatına yönelik ağır müdahale içeren yöntemlerle elde edilen dijital kayıtların, adil yargılanma hakkını ihlal ettiği açıkça vurgulanmaktadır. Mahkeme, hukuka aykırı şekilde elde edilen delillerin kullanılmasının, yalnızca sanığın değil, hukuk düzeninin de zarar görmesine yol açacağını kabul etmektedir. Bu nedenle kişisel verilerin korunması söz konusu olduğunda, “gerçeğe ulaşma” amacı dahi hukuka aykırılığı meşrulaştırmamaktadır.

Dijital deliller bakımından bir diğer önemli mesele de delilin bütünlüğünün korunmasıdır. Dijital verilerin sonradan değiştirilmediğinin ispatı için delil zincirinin (chain of custody) eksiksiz şekilde oluşturulması gerekir. Delilin kim tarafından, ne zaman, hangi yöntemle elde edildiği; hangi ortamda saklandığı ve incelemeye nasıl sunulduğu açıkça ortaya konulmalıdır. Aksi hâlde delilin güvenilirliği ciddi şekilde zedelenir.

Bu bağlamda, özellikle kolluk tarafından elde edilen dijital delillerde bilirkişi incelemesi büyük önem taşır. Hash değerleri alınmadan, imaj kopyası oluşturulmadan veya teknik rapor düzenlenmeden sunulan dijital veriler, savunma tarafından kolaylıkla tartışmalı hâle getirilebilmektedir. Bu durum, TCK 135 gibi teknik altyapı gerektiren suçlarda yargılamanın sağlıklı yürütülmesini zorlaştırmaktadır.

Öte yandan uygulamada sıkça karşılaşılan bir başka sorun, mağdurun kendi imkânlarıyla elde ettiği delilleri mahkemeye sunmak istemesidir. Örneğin bir kişinin eşinin telefonuna gizlice girerek mesajları kopyalaması veya bilgisayarına izinsiz erişerek dosyaları alması durumunda, elde edilen bu veriler hem hukuka aykırı delil niteliği taşır hem de delili elde eden kişi bakımından ayrıca cezai sorumluluk doğurur. Bu nedenle TCK 135 kapsamında delil elde etme sürecinin, mutlaka hukuki sınırlar içinde yürütülmesi gerekir.

Sonuç olarak, dijital deliller TCK 135 bakımından vazgeçilmez olmakla birlikte, aynı zamanda en sorunlu delil türlerinden biridir. Ceza yargılamasında maddi gerçeğe ulaşma amacı, hukuka aykırı yöntemleri meşrulaştıramaz. Aksi hâlde bireyin kişisel verilerinin korunması hakkı işlevsiz hâle gelir. Bu nedenle hem soruşturma makamlarının hem de yargı organlarının, dijital delil elde etme sürecinde ölçülülük, hukuka uygunluk ve temel haklara saygı ilkelerini titizlikle gözetmesi zorunludur.

​

10. SONUÇ VE DEĞERLENDİRME

TCK 135, dijital çağda bireyin veri üzerindeki hâkimiyetini güvence altına alan en önemli ceza normlarından biridir. Bu düzenleme sayesinde birey yalnızca fiziksel varlığıyla değil, dijital kimliğiyle de korunmaktadır. Günümüzde kişisel veriler ekonomik ve stratejik bir değere dönüşmüş, bireylerin dijital profilleri üzerinden yönlendirilmesi mümkün hâle gelmiştir. Bu nedenle ceza hukukunun görevi, bireyi verinin nesnesi hâline getirmek değil; verisi üzerinde söz sahibi olan bir özne olarak korumaktır. TCK 135, bu anlayışın Türk ceza hukukundaki en somut yansımasıdır.

​

SIK SORULAN SORULAR – TCK 135 

TCK 135 nedir?

TCK 135, kişisel verilerin hukuka aykırı şekilde kaydedilmesini suç olarak düzenleyen ceza normudur. Bu maddeye göre bir kişinin kimliğini belirleyen veya belirlenebilir kılan bilgilerin, ilgili kişinin rızası olmaksızın kaydedilmesi hâlinde fail hakkında hapis cezası uygulanır.

​

TCK 135 suçu ne zaman oluşur?

TCK 135 suçu, kişisel verinin hukuka aykırı şekilde kaydedilmesiyle oluşur. Verinin üçüncü kişilere aktarılması veya kullanılması gerekmez. Sadece kaydedilmesi suçun oluşması için yeterlidir.

​

TCK 135 cezası kaç yıldır?

TCK 135 kapsamında kişisel verileri hukuka aykırı olarak kaydeden kişi 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılır. Eğer kaydedilen veriler özel nitelikli kişisel veri ise ceza daha ağır uygulanır.

​

Hangi veriler kişisel veri sayılır?

Aşağıdaki bilgiler kişisel veri kapsamındadır:

• Ad, soyad

• Telefon numarası

• IP adresi

• Konum bilgisi

• Sağlık verileri

• Biyometrik veriler

• Sosyal medya bilgileri

Bir bilginin herkese açık olması, onun kişisel veri olma niteliğini ortadan kaldırmaz.

​

Kişisel verilerin izinsiz kaydedilmesi suç mu?

Evet. Kişisel verilerin ilgili kişinin açık rızası olmadan kaydedilmesi TCK 135 kapsamında suçtur. Rıza yoksa veya rıza hukuka uygun değilse cezai sorumluluk doğar.

​

Kişisel verilerin kaydedilmesi için rıza yeterli midir?

Hayır. Rızanın geçerli olabilmesi için:

• Açık olması

• Bilgilendirmeye dayanması

• Özgür iradeyle verilmesi

• Belirli bir amaç içermesi

gerekir. Genel ve belirsiz onaylar geçerli sayılmaz.

​

TCK 135 ile KVKK arasındaki fark nedir?

KVKK idari para cezası öngörürken, TCK 135 hapis cezası öngörmektedir. Aynı fiil hem KVKK hem de TCK kapsamında değerlendirilebilir.

​

Kamu görevlisi kişisel veri kaydederse ne olur?

Kamu görevlisinin görevinden kaynaklanan yetkiyi kullanarak kişisel veri kaydetmesi hâlinde ceza artırılır. Bu durum TCK 137 kapsamında değerlendirilir.

​

Kişisel veriler delil olarak kullanılabilir mi?

Hukuka uygun şekilde elde edilen veriler delil olabilir. Ancak hukuka aykırı yollarla (casus yazılım, gizli kayıt vb.) elde edilen veriler mahkemede delil olarak kullanılamaz.

​

TCK 135 şikâyete tabi mi?

Hayır. TCK 135 suçu şikâyete tabi değildir. Savcılık tarafından resen soruşturulur.

​

TCK 135 uzlaşmaya tabi midir?

Hayır. TCK 135 suçu uzlaşma kapsamında değildir.

​

TCK 135 zamanaşımı süresi nedir?

TCK 135 için dava zamanaşımı süresi 8 yıldır.

​

TCK 135 kapsamında örnek suçlar nelerdir?

• İzinsiz müşteri bilgisi kaydetmek

• Başkasının telefon numarasını veri tabanına almak

• Eski eşin bilgilerini sistemden sorgulamak

• Sosyal medya verilerini izinsiz arşivlemek

• Yapay zekâ için rızasız veri toplamak

​

TCK 135 Yargıtay Kararları

​

Yargıtay 12. Ceza Dairesi’nin Kişisel Veri – Özel Hayat Ayrımına İlişkin Yaklaşımı

Yargıtay 12. Ceza Dairesi’nin 23.03.2022 tarihli ve 2019/14037 E., 2022/2232 K. sayılı kararı, kişisel verilerin kaydedilmesi suçu (TCK m.135) ile özel hayatın gizliliğini ihlal suçu (TCK m.134) arasındaki ayrımın somutlaştırılması bakımından önem arz etmektedir. Kararda, her ne kadar kişisel verilerin kapsamı geniş yorumlanmakta ise de, özel hayatın gizliliğine ilişkin görüntü ve ses kayıtlarının doğrudan TCK 135 kapsamında değerlendirilemeyeceği vurgulanmıştır. Yargıtay, mağdurun rızası dışında çekilen çıplak fotoğrafların kişisel veri değil, özel hayatın gizliliği kapsamında ele alınması gerektiğini belirterek, bu tür fiillerin TCK m.134 kapsamında değerlendirilmesi gerektiğini açıkça ortaya koymuştur. Bu yönüyle karar, kişisel veri kavramının sınırlarını çizmekte; her hukuka aykırı veri kaydının otomatik olarak TCK 135 kapsamına girmeyeceğini, suç vasfının belirlenmesinde verinin niteliği ile ihlalin yöneldiği hukuki değerin esas alınması gerektiğini ortaya koymaktadır.

​

"İçtihat Metni"

Mahkemesi :Asliye Ceza Mahkemesi
Suçlar : Kişilerin huzur ve sükununu bozma, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme
Hükümler : CMK’nın 223/2-e maddesi gereğince beraat

Kişilerin huzur ve sükununu bozma, kişisel verilerin kaydedilmesi ile verileri hukuka aykırı olarak verme veya ele geçirme suçlarından sanığın beraatine ilişkin hükümler, katılan vekili tarafından temyiz edilmekle, dosya incelenerek gereği düşünüldü:
Dairemizin 04.12.2019 tarihli tevdi kararı uyarınca; Yargıtay Cumhuriyet Başsavcılığı tarafından, sanık hakkında kişisel verilerin kaydedilmesi suçundan kurulan beraat hükmüne yönelik katılan vekilinin temyizi ile ilgili görüş içeren ek tebliğnamenin düzenlendiği belirlenerek yapılan incelemede:
A) Kişilerin huzur ve sükununu bozma suçundan kurulan beraat hükmüne yönelik temyiz isteminin incelenmesinde;
Yapılan yargılama sonunda, yüklenen suçun sanık tarafından işlendiğinin sabit olmadığı gerekçeleri gösterilerek mahkemece kabul ve takdir kılınmış olduğundan, katılan vekilinin sanık hakkında mahkumiyet yerine beraat kararı verilmesinin isabetsiz olduğuna ilişkin temyiz itirazlarının reddiyle, beraate ilişkin hükmün isteme uygun olarak ONANMASINA,
B) Kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçlarından kurulan beraat hükümlerine yönelik temyiz isteminin incelenmesine gelince;
Yapılan yargılamaya, incelenen dosya kapsamına göre, katılan vekilinin sair temyiz itirazlarının reddine, ancak;
Kişilerin özel hayatının gizliliğinin ihlal edilmesi, TCK'nın 134/1. madde ve fıkrasının 1. cümlesinde suç olarak düzenlenmiş olup, özel hayat; kişinin sadece gözlerden uzakta, başkalarıyla paylaşmadığı, kapalı kapılar ardında, dört duvar arasındaki yaşantısı ve mahremiyetinden ibaret değil, herkesin bilmediği veya bilmemesi gereken, istenildiğinde başka kişilere açıklanabilen, tamamen kişiye özel hayat olaylarını ve bilgilerin tamamını içerir. Bir olayın ya da bilginin, özel hayat kapsamına girip girmediği belirlenirken, kişinin toplum içindeki konumu, mesleği, görevi, kamuoyu tarafından tanınıp tanınmadığı, dışa yansıyan davranışları, rıza ve öngörüleri, sosyal ilişkileri, içinde bulunduğu fiziki çevrenin özellikleri, müdahalenin derecesi gibi ölçütler göz önüne alınmalıdır.
TCK’nın 135/1. madde ve fıkrasında ise hukuka aykırı olarak kişisel verilerin kaydedilmesi, aynı Kanunun 136/1. madde ve fıkrasında da, kişisel verilerin, hukuka aykırı olarak başkasına verilmesi, yayılması ya da ele geçirilmesi, “Kişisel verilerin kaydedilmesi” ve “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıkları altında suç olarak tanımlanmıştır.
Kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir.
Ayrıntıları Yargıtay Ceza Genel Kurulunun 17.06.2014 tarihli, 2012/1510 Esas - 2014/331 sayılı Kararında da vurgulandığı üzere; TCK'nın 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak kaydedilmesi, başkasına verilmesi, yayılması ve ele geçirilmesi fiilleri TCK'nın 135. maddesindeki kişisel verilerin kaydedilmesi ve aynı Kanunun 136. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçlarını oluşturur. Bu nedenle herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda “kişisel veri” olarak kabul edilmektedir. Ancak, kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçlarının uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir.
Ayrıca, bir özel hayat görüntüsünün ya da sesinin, “kişisel veri” olduğunda kuşku bulunmamakta ise de, kişinin özel hayatına ilişkin görüntüsünün ya da sesinin, bilgisi dışında, resim çekme veya kaydetme özelliğine sahip aletle belli bir elektronik, dijital, manyetik yere sabitlenmesi TCK'nın 134/1. madde ve fıkrasının 2. cümlesinde; rızası dışında ifşa edilmesi, yani; yayılması, açığa vurulması, afişe edilmesi, ilan edilmesi, kamuoyuna duyurulması, aleniyet kazandırılması, özetle; içeriğini öğrenme yetkisi bulunmayan kişi veya kişilerin bilgisine sunulması TCK'nın 134/2. madde ve fıkrasında özel hayatın gizliliğini ihlal suçu kapsamında düzenlendiğinden, kişinin özel hayatına ilişkin görüntüsü ya da sesi, yasal anlamda, TCK'nın 135/1 ve aynı Kanunun 136/1. madde ve fıkraları kapsamında kişisel veri olarak değerlendirilemez.
Bu açıklamalar ışığında incelenen dosya kapsamına göre, sanık ...’ın, gayri resmi birliktelik yaşadığı mağdur ...’le beraberken onun bilgisi dışında çıplak fotoğraflarını çekip, mağdurla aralarındaki ilişkinin sona ermesinin ardından, bu resimleri, ifşa edeceğine dair mesajlarla mağdura gönderdiği iddialarına konu olayda;
Dosyada mevcut 17.01.2014 tarihli mesaj tespit tutanağındaki 2 adet fotoğraftan birinin; mağdur tamamen çıplak ve yüzüstü şekilde uzanırken, diğerinin; üzerinde alt iç çamaşırı olan mağdurun bir tarafa doğru dönerek uzandığı esnada alt iç çamaşırına doğru odaklanarak çekilmesi ve her iki çekimin de mağdur tarafından çekim cihazına bakılmaksızın arkadan yapılması, fotoğrafların, mağdura, “Sen daha bugün göreceksin rezil”, “Annende öğrencek seni”, “Az bekle kayıtların hepsi geliyor birazdan”, “Mail adresini yolla”, “Bak sana neler yollayacağım”, “Tamam yolluyorum”, “Daha ister misin?”, “Benimle iyi geçin”, “Bu son annene şimdilik bir şey demeyeceğim”, “Daha da yollayayım mı?”, “Bunlar en basiti” vb. mesajlarla birlikte gönderilmesi, mağdura gönderilen mesajların sanığın da kabulünde olması hususları, dosyada mevcut diğer delillerle birlikte değerlendirildiğinde, sanığın, söz konusu fotoğrafları, mağdurun rızası dışında çektiği; ancak, fotoğrafların, mağdurun annesine ya da başkalarına ifşa edilmediği gibi iddianamede bu yönde bir anlatım da bulunmadığı anlaşılmakla;
Mağdura ait fotoğrafların mağdurun fiziksel mahremiyetine ilişkin olması nedeniyle sanığa isnat edilen TCK’nın 135/1. madde ve fıkrasındaki kişisel verilerin kaydedilmesi ve aynı Kanunun 136/1. madde ve fıkrasındaki verileri hukuka aykırı olarak verme veya ele geçirme suçlarının yasal unsurlarının somut olayda gerçekleşmediği; ancak, mağdurun çıplak ve yarı çıplak özel yaşam alanı kapsamındaki fotoğraflarını, onun rızasına aykırı şekilde kaydeden sanığa, iddianamede eyleminin tarif edildiği de nazara alınıp, CMK'nın 226. maddesi uyarınca TCK'nın 134/1-1 ve 134/1-2. madde, fıkra ve cümlelerinin uygulanması ihtimaline binaen ek savunma hakkı tanınarak, CMK'nın 254. maddesi gereğince uzlaştırma işlemleri yerine getirildikten sonra, uzlaşma gerçekleşmediği takdirde, sanık hakkında görüntü veya seslerin kayda alınması suretiyle özel hayatın gizliliğini ihlal suçundan dolayı TCK'nın 61/1. madde ve fıkrasında yer alan ölçütlerden suçun işleniş biçimi, meydana gelen tehlikenin ve sanığın kasta dayalı kusurunun ağırlığı ile sanığın güttüğü amaç ve saiki nazara alınarak, aynı Kanunun 3/1. madde ve fıkrası uyarınca işlenen fiilin ağırlığıyla orantılı olacak şekilde asgari hadden uzaklaşılarak temel ceza belirlenip, sanığın mahkumiyetine karar verilmesi gerekirken, delillerin takdirinde ve hukuki nitelendirmede yanılgıya düşülerek, yasal ve yeterli olmayan yazılı gerekçelerle kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçlarından CMK’nın 223/2-e madde, fıkra ve bendi gereğince beraat hükümleri kurulması,
Kanuna aykırı olup, katılan vekilinin temyiz itirazları bu itibarla yerinde görüldüğünden, hükümlerin bu nedenle 5320 sayılı Kanunun 8. maddesi uyarınca halen uygulanmakta olan 1412 sayılı CMUK'un 321. maddesi gereğince isteme uygun olarak BOZULMASINA, 23.03.2022 tarihinde oybirliğiyle karar verildi.

​

​

​

Yargıtay 12. Ceza Dairesi’nin 03.03.2025 Tarihli Kararı Işığında Görüntü Kaydı

Yargıtay 12. Ceza Dairesi’nin 03.03.2025 tarihli ve 2022/7478 E., 2025/2217 K. sayılı kararı, kişisel verilerin kaydedilmesi suçu ile özel hayatın gizliliğini ihlal suçu arasındaki ayrımı pekiştiren nitelikte önemli bir içtihat niteliği taşımaktadır. Karara konu olayda sanığın, mağdurla yaptığı görüntülü görüşme sırasında mağdurun rızası dışında görüntü kaydı alması ve bu kayıtları paylaşmakla tehdit etmesi söz konusu olmuş; ilk derece mahkemesi bu fiili TCK m.135 kapsamında değerlendirmiştir. Ancak Bölge Adliye Mahkemesi ve Yargıtay, söz konusu görüntülerin kişisel veri değil, mağdurun özel hayatına ilişkin görüntüler olduğu sonucuna varmış; bu nedenle fiilin TCK m.135 kapsamında değil, TCK m.134 kapsamında değerlendirilmesi gerektiğini belirtmiştir. Yargıtay bu kararla, kişisel verilerin kaydedilmesi suçunun uygulama alanının sınırsız olmadığını, her görüntü veya kaydın otomatik olarak “kişisel veri” sayılmayacağını, özellikle özel hayatın gizliliğine ilişkin görüntülerin ayrı bir hukuki koruma rejimine tabi olduğunu açık biçimde ortaya koymuştur. Böylece mahkeme, TCK 135’in ancak kişiyi tanımlayıcı nitelikteki verilerin kaydedilmesi hâlinde uygulanabileceğini; özel hayat görüntülerinin ise TCK 134 kapsamında değerlendirilmesi gerektiğini bir kez daha teyit etmiştir.

​

​

"İçtihat Metni"

SUÇ : Kişisel verilerin kaydedilmesi
HÜKÜM : İstinaf başvurusunun kabulü ile; İlk derece mahkemesi kararı kaldırılarak kurulan beraat
TEBLİĞNAME GÖRÜŞÜ : Temyiz istemlerinin esastan reddi ile hükmün onanması

İlk Derece Mahkemesince verilen hükme yönelik istinaf incelemesi üzerine Bölge Adliye Mahkemesi tarafından verilen kararın; katılan vekili ve katılan kurum vekili tarafından temyizi üzerine yapılan ön inceleme neticesinde 5271 sayılı Ceza Muhakemesi Kanununun (5271 sayılı Kanun) 298/1. maddesindeki temyiz istemlerinin reddini gerektirir bir durumun bulunmadığı tespit edilmekle, işin esasına geçildi, gereği düşünüldü:

I. HUKUKÎ SÜREÇ
İlk Derece Mahkemesince sanık hakkında kişisel verilerin kaydedilmesi suçundan 5237 sayılı Türk Ceza Kanununun (5237 sayılı Kanun) 135/1 ve 53. maddeleri gereğince 2 yıl 6 ay hapis cezası ile cezalandırılmasına ve hak yoksunluklarına karar verilmiş, kararın istinaf edilmesi üzerine Bölge Adliye Mahkemesince; "sanığın whatsapp adlı program aracılıyla katılana göğüslerini açtırarak görüşme yaptığı, görüşmeden sonra bunları kaydettiğini beyan ederek başka instagram sayfalarında paylaşacağını belirterek para istemek ve kendisiyle sevgili olmasını istemek şeklinde gerçekleşen eylemlerin şantaj ve özel hayatın gizliliğini ihlal etmek suçlarını oluşturup sanığın tanımlanan eylemlerinde kişisel nitelikte veri bulunmadığı gözetilmeksizin bu suç yönünden sanığın beraatine karar verilmesi gerekirken, yasal ve yeterli olmayan yazılı gerekçelerle, sanık hakkında mahkumiyet kararı verilmesi yasaya aykırı olup Yasaya aykırı olup katılan vekili, katılan kurum vekili ve sanığın istinaf başvurusu bu sebeple yerinde görülmüş ise de bu hususun düzeltilmesi yeniden yargılamayı gerektirmeyip CMK'nın 280/1-a maddesi delaletiyle 303/1 maddesi kapsamında dairemizin hukuka aykırılığı giderme yetkisinin bulunduğu kanaatine varılmakla; İstinaf kapsamındaki hükmü C bendinde yer alan hukuka aykırı olarak kişisel verileri kaydetmek suçuna ilişkin mahkumiyet hükmünün tamamının gerekçeleri ile birlikte hükmünden ÇIKARTILMASINA, Yerine; 'Sanık ...'ın hukuka aykırı olarak kişisel verileri kaydetmek suçunun unsurları ile oluşmaması nedeniyle CMK 223/2-a maddesi gereğince BERAATİNE'" dair karar verilmiş, Yargıtay Cumhuriyet Başsavcılığınca temyiz isteminin reddi ile hükmün onanması kararı verilmesi görüşünü içeren Tebliğname ile dava dosyası Daireye tevdi edilmiştir.

II. TEMYİZ SEBEPLERİ
Katılan vekili ve katılan kurum vekilinin temyiz istemleri, sanığın müsnet suçu işlediğinin sabit olduğu, cezalandırılmasına karar verilmesinin gerektiği, eksik araştırma sonucunda karar verildiği, beraat kararının usul ve yasaya aykırı olduğuna ilişkindir.

III. OLAY VE OLGULAR
İlk Derece Mahkemesince, dosyada mevcut belge ve bilgiler, soruşturma ve kovuşturma evrelerinde alınan beyanlarla birlikte dikkate alınarak yapılan değerlendirmede; katılanın internet üzerinden tanıştığı sanık ile yapmış oldukları görüntülü görüşme sırasında görüşmenin kaydını alan sanık hakkında 5237 sayılı Kanunun 135/1. maddesindeki kişisel verilerin kaydedilmesi suçundan mahkumiyet kararı verilmiştir.

Bölge Adliye Mahkemesince, İlk Derece Mahkemesinin kararı kaldırılarak sanığın eyleminin kişisel veri niteliğinde olmayıp özel hayatın gizliliğini ihlal suçundan sanık hakkında cezalandırılmasına karar verilmiş olduğundan kişisel verilerin kaydedilmesi suçundan 5237 sayılı Kanun'un 223/2-a maddesi uyarınca "yüklenen fiilin kanunda suç olarak tanımlanmamış olması" gerekçesiyle sanığın beraatine karar verilmiştir.

IV. GEREKÇE VE KARAR
Yargılama sürecindeki işlemlerin usûl ve kanuna uygun olarak yapıldığı, aşamalarda ileri sürülen iddia ve savunmaların toplanan tüm delillerle birlikte gerekçeli kararda gösterilip tartışıldığı, vicdanî kanının dosya içindeki belge ve bilgilerle uyumlu olarak kesin verilere dayandırıldığı anlaşılmakla, Bursa Bölge Adliye Mahkemesi 6. Ceza Dairesinin kararında katılan vekili ve katılan kurum vekili tarafından öne sürülen tüm temyiz sebepleri ve 5271 sayılı Kanunun 289/1. maddesi ile sınırlı olarak yapılan temyiz incelemesi sonucunda hukuka aykırılık görülmediğinden aynı Kanun'un 302/1. maddesi gereği, Tebliğname’ye uygun olarak, TEMYİZ İSTEMLERİNİN ESASTAN REDDİ İLE HÜKMÜN ONANMASINA,

Dava dosyasının, 5271 sayılı Kanunun 304/1. maddesi uyarınca Bursa 11. Asliye Ceza Mahkemesine Yargıtay ilâmının bir örneğinin ise Bursa Bölge Adliye Mahkemesi 6. Ceza Dairesine gönderilmek üzere Yargıtay Cumhuriyet Başsavcılığına TEVDİİNE,
03.03.2025 tarihinde oybirliğiyle karar verildi.

​

Yasal Uyarı ve Telif Hakkı Bildirimi

Bu çalışmada yer verilen Yargıtay kararları, 5846 sayılı Fikir ve Sanat Eserleri Kanunu’nun 31. maddesi uyarınca resmî nitelikte eser kapsamında olup telif hakkına tabi değildir. Karar metinleri, kamuya açık yargı içtihatlarından alınmış olup bilgilendirme amacıyla paylaşılmıştır.

Makale içerisinde yer alan değerlendirmeler, açıklamalar ve yorumlar tamamen yazarın kişisel bilimsel görüşleriniyansıtmakta olup, hukuki danışmanlık veya bağlayıcı görüş niteliği taşımaz. Somut olaylar bakımından hukuki değerlendirme yapılmadan önce alanında uzman bir hukukçuya danışılması tavsiye edilir.

Bu çalışmanın tamamı veya bir kısmı, kaynak gösterilmek suretiyle alıntılanabilir. İzinsiz çoğaltılması, ticari amaçla kullanılması veya içeriğin yazar adı belirtilmeksizin paylaşılması yasaktır.