Kişisel Veri Nedir? Neleri İçerir? Kişisel Veri Suçları ve Cezası
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri denir. Tanımdan da anlaşılacağı üzere herhangi bir verinin kişisel veri sayılabilmesi için birtakım unsurları barındırması gerekir. Bu noktada,
-Veri, gerçek bir kişiye ait olmalıdır. En temel unsur verinin gerçek bir kişiye ait olması gerektiğidir. Tüzel kişiye ait bir veri hiçbir şekilde kişisel veri özelliğine haiz olmaz. Örneğin isim/soyisim kişisel veriyken şirket unvanı kişisel veri değildir.
-Veri, doğrudan veya dolaylı yollarla kişinin kimliğini belirlemeye elverişli olmalıdır. Kişisel verinin bir başka unsuru da gerçek kişiye ait olan verinin kimliğinin belirli veya belirlenebilir olmasıdır. Yani TC Kimlik No kişinin kimliğini doğrudan belirlerken plaka veya fotoğraf kişinin kimliğini belirlemeye elverişli olup kişinin kimliğini dolaylı olarak belirlediğinden kişisel veridir. Veri tek başına kişiyi tanımlamasa bile, başka verilerle birleştirildiğinde kimliği ortaya çıkıyorsa da kişisel veridir.
-Veri, bir bilgi olmalıdır. Maddi bir nesne değil, bilgi içeriği önemlidir. Yani Kişisel veri, bir eşya / nesne değildir. Kişisel veri, bilgi içeriğidir. Örneğin Kimlik kartı kişisel veri değildir. Oysa kimlik kartının içindeki ad–soyad, T.C. kimlik numarası, doğum tarihi kişisel veridir. Kimlik fotokopisini izinsiz alındığında asıl hukuki koruma, kartın maddi varlığına değil kartta yer alan bilgilerin ele geçirilmesine yöneliktir. Sağlık Raporu belge olarak kişisel veri değildir. Raporda yazan hastalık bilgisi, teşhis, tedavi süreci kişisel veridir ve bu nedenle raporu yırtmak kişisel veri ihlali değilken rapordaki bilgileri başkalarına anlatmak kişisel veri ihlalidir
-Veri, objektif olarak tanımlamaya elverişli olmalıdır. Yani sübjektif yorumdan ibaret olmamalı, objektif olarak kişiyi tanımlamaya elverişli olmalıdır. Kişisel kanaate değil herkes tarafından aynı şekilde anlaşılabilecek, doğrulanabilir bir olguya dayanmalıdır. Pek tabii bu objektif bilginin de kişinin kimliğini belirlemeye elverişli olması gerekir. Örneğin; “X kişisi çirkin biri” kişisel veri sayılmaz ancak X kişisinin yüzünün net göründüğü bir fotoğraf kişisel veridir.
Tüm bu unsurlar bir veriyi, kişisel veri olarak nitelendirmek için gerekli ve yeterlidir.
Bununla birlikte;
-Gizli veya özel olma şartı aranmaz, bir verinin kişisel veri olması için gizli olması veya özel hayata ilişkin olması gerekmez.
-Dijital veya fiziksel ortamda olmasının önemi yoktur, dijital ortamda (sosyal medya, e-posta, IP) veya fiziksel ortamda (dosya, evrak, kamera kaydı) bulunması durumda da kişisel veri olabilir.
-Doğru veya yanlış olması önemli değildir, yanlış bilgi dahi eğer kişiyi tanımlıyorsa kişisel veridir. Yanlış adres bilgisi kişisel veri olmaya devam eder.
HUKUK DÜZENİNİ KİŞİSEL VERİYİ NASIL KORUR?
Hukuk düzeni, kişisel veriyi, bireyin özel hayatını ve temel haklarını korumak amacıyla çokça güvence barındırır. Anayasal düzenlemelerle, kanunlarla, uluslararası hukuk ile korumada altında olan kişisel veri özel hukukta kişilik hakkı kapsamında korunurken ceza hukukunda suça konu unsurdur.
-Anayasal Koruma: Türkiye’de kişisel verilerin korunması Anayasa ile güvence altındadır. Anayasa m. 20/3: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” Bu hak; kişisel veriler hakkında bilgilendirilme, verilere erişme, verilerin düzeltilmesini veya silinmesini isteme, verilerin amacı dışında kullanılmamasını talep etme imkanı verir. Anayasa ile kişisel verinin koruması temel bir insan hakkı olarak tanınmıştır.
-KVKK Kapsamında Koruma: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişisel veriyi en temel kasamda, ayrıntılı olarak düzenleyen 6698 sayılı kanun da kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlar. veri sahibinin hakları, kişisel verilerin işlenme şartları, Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi, Kişisel verilerin aktarılması gibi birçok husus KVKK’da açıkça düzenlenir. Kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumak ve veri sorumlularının hukuka uygun hareket etmesini sağlamak amacıyla 6698 sayılı kanun ile Kişisel Verileri korum Kurumu fiilen 2017 yılında göreve başlamıştır. Kurum; kamu tüzel kişiliğine sahip, idari ve mali özerkliği olan, düzenleyici ve denetleyici bir idari otoritedir. Kurumun karar organı olan Kişisel Verileri Koruma Kurulu 9 üyeden oluşur ve bu üyeler TBMM ve Cumhurbaşkanı tarafından seçilir. Kurulun kişisel veri ihlallerine ilişkin şikâyetleri inceleme, re’sen veya şikâyet üzerine denetim yapma, kişisel veri işleme faaliyetlerinin hukuka uygunluğunu gözetme gibi birçok yetki ve görevi bulunmakla beraber bu denetimlerin sonucunda KVKK’ ya aykırılık hâlinde idari yaptırım uygular.
-Özel Hukuk Kapsamında Koruma: Özel hukukta kişisel veri, kişilik hakkı kapsamında korunur. Türk Medeni Kanunu m.24 ile: “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, saldırıda bulunanlara karşı korunma isteyebilir.” Türk Medeni Kanunu m.25 ile : “Kişilik hakkı ihlalinde; saldırının önlenmesi, devam eden saldırının durdurulması, sona ermiş olsa bile etkileri süren saldırının hukuka aykırılığının tespiti talep edilebilir.” diyerek korunurken Türk Borçlar Kanunu uyarınca kişilik hakkı ihlale uğrayan kimse maddi tazminat ve manevi tazminat talep etme hakkına sahiptir.
-Uluslararası Koruma: Uluslararası hukuk her ne kadar ilk bakışta özel hayata ilişkin koruma içerir gibi görülse de incelendiğinde görülecektir ki kişisel veriyi de özel hayat başlığı altında koruma altında tutar. Uluslararası hukukun yapıtaşlarından olan AİHS 8. Maddede “1. Herkes, özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu otoritesi tarafından ancak, demokratik bir toplumda gerekli olan ölçüde ve ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için kanunla öngörülmüş olmak şartıyla müdahale edilebilir.” diyerek özel hayatı korur gibi görünse de kişisel veriler, bireyin özel hayatının bir parçasıdır. Bu nedenle, kişisel verilerin toplanması, kaydedilmesi, saklanması, paylaşılması AİHS m. 8 kapsamında özel hayata müdahale sayılır. Kişisel veriler, AİHS m.8 kapsamında özel hayatın bir parçası olarak korunur. Bu yorum AİHM içtihatlarıyla kesinleşmiştir. Örneğin; AİHM, Rotaru / Romanya (2000) uyuşmazlığında Devlet tarafından bir kişi hakkında bilgi toplanması, saklanması ve kullanılması özel hayata müdahaledir diyerek kişisel verilerin tutulmasını doğrudan m.8 ihlaliyle kesin olarak ilişkilendirmiştir. Ya da S. and Marper / Birleşik Krallık (2008) uyuşmazlığında AİHM ilk kez biyometrik kişisel verilerin açık biçimde özel hayat kapsamında olduğunu vurgulamıştır.
-Cezai Koruma: Kişisel veriler, 5237 sayılı Türk Ceza Kanunu ile de korunur. Türk Ceza Kanunu Madde 135, kişisel verilerin kaydedilmesi suç olarak tanımlar.
Madde 135/1: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir”. .
Türk Ceza Kanunu Madde 136 gereğince de verileri hukuka aykırı olarak verme veya ele geçirmek suçtur.
Madde 136/1: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” görüldüğü üzere ceza kanunu kişisel veriye ilişkin ihlalleri hapis cezası ile yaptırıma bağlar. Ayrıca TCK 138. madde, elde edilen kişisel verilerin imha edilmemesi veya geri verilmemesini suç sayar. Türk Ceza Hukuku, bu maddelerle birlikte kişisel verilerin korunmasına cezai bir güvence sağlar. Bu cezai hükümler, KVKK gibi idari düzenlemelerle birleştiğinde kişisel verilerin hem işlenmesi hem de ihlal edilmesi durumunda net bir koruma mekanizması oluşturur.
KİŞİSEL VERİLERİN KORUNMASI BAĞLAMINDA TÜRK CEZA KANUNU M. 136:
Verileri hukuka aykırı olarak verme veya ele geçirme başlıklı TCK M.136 kapsamında kişinin kendisiyle ilgili özel hayatına dair veya diğer kişisel verilerin hukuka aykırı olarak başkalarına verilmesi, yayılması veya ele geçirilmesi suçtur. Ve bu suçu işleyen kişi iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Bu madde ile korunan hukuki değer özel hayatın gizliliği, bireyin kişisel verileri üzerindeki hâkimiyeti, bilgi güvenliğidir.
Suçun konusunu ise kişisel veri oluşturur. Yukarıda detaylıca anlattığımız kişisel veri tanımı bu madde bağlamında da aynıdır. Örnek verilmesi gerekirse telefon numarası, adres, fotoğraf, plaka, IP adresi gibi kişisel veriler bu suçun konusunu oluşturur.
Suçun faili, herkes olabilir. Gerçek kişiler de tüzel kişiler de bu suçu işleyebilirler.
Suçun mağduru, kişisel verisi hukuka aykırı şekilde kullanılan gerçek kişidir. Tüzel kişiler mağdur olamaz. Çünkü kişisel veri kendi tanımı gereği gerçek kişiye aittir.
Seçimlik hareketli bir suçtur. Suçu oluşturacak hareketler kanunda sınırlı olarak sayılmıştır. Tanımdan da anlaşılacağı üzere bu suç 3 alternatif hareketle işlenebilir: verme, yayma, ele geçirme. Vermeden kasıt, kişisel verinin başkasına iletilmesidir. Örneğin hastane personelinin hasta bilgilerini paylaşması verme hareketidir. Yayma, kişisel verinin çok sayıda kişinin erişimine açılmasıdır. Mesela sosyal medyada başka bir kişiye ait adres veya telefon paylaşılması yayma hareketine örnektir. . Ele Geçirme, kişisel verinin hukuka aykırı şekilde elde edilmesidir. Ele geçirmek için kullanmak şart değildir, elde etmek yeterlidir. Örnekle açıklamak gerekirse başkasının e-postasına izinsiz girilmesi ele geçirme eylemi için yeterlidir ayrıca bu posta hesabını kullanarak başkalarına mail atmaya gerek yoktur.
Tüm bunlarla birlikte dikkat etmek gerekir ki bu eylemin suç teşkil edebilmesi için hukuka uygunluk halleri ile gerçekleşmemiş olması gerekir. Suça konu eylem kanun hükmünü yerine getirmek için gerçekleştirilmişse veya kişisel verisi ihlal edilen kişinin rızası varsa suçtan söz edilemez.
Bu suçun taksirle işlenmesi mümkün değildir, yalnızca kasten işlenebilir. Doğrudan ya da olası kastla işlenmesi mümkündür.
Soyut tehlike suçudur, mağdurun gerçekten zarara uğraması aranmaz, hareketin gerçekleşmesiyle birlikte suç tamamlanır.
Bu suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Suç şikâyete tabi değildir.
Bu suçun nitelikli halleri TCK m.137’de düzenlenir.
Nitelikli haller:
Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
TÜRK CEZA KANUNU M.136 YARGITAY KARARLARI:
TCK m.136’yı işlemek için suça konu verinin sır gibi saklanan bir bilgi olmasına gerek yoktur. Kişisel veri olması gerekli ve yeterlidir. Kişisel verinin tanımı geniş tutulmuştur. Her türlü kişisel bilgi hukuken veri sayılır. Yargıtay “herkese mal olmuş bilgi, kişisel veri değildir” diye bir sınırlama getirmiyor. Örneğin adımızı bir sır gibi saklamayız ancak adımız kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgilerden olduğu için kişisel veridir. Bu nedenle de isim/soyisim, fotoğraf gibi sır gibi korunup saklanmayan bilgiler de kişisel veri oluşturabilir.
-Yargıtay 12. Ceza Dairesi, 2023/3331 E. , 2025/6857 K. :
“…5237 sayılı Kanunun 136/1. maddesinde belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında suç olarak tanımlanmıştır. Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir...”
-Yargıtay 12. Ceza Dairesi, 2022/4834 E., 2024/8047 K. :
“TCK'nın 136/1. maddesinde belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında suç olarak tanımlanmıştır. Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA'SI, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir. Ayrıntıları Yargıtay Ceza Genel Kurulunun 17.06.2014 tarihli, 2012/1510 esas, 2014/331 sayılı kararında da vurgulandığı üzere; TCK'nın 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi fiilleri TCK'nın 136. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturur. Bu nedenle herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda “kişisel veri” olarak kabul edilmektedir. Ancak, verileri hukuka aykırı olarak verme veya ele geçirme suçunun uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir. TCK'nın 136/1. maddesinin, “Bu madde hükmü ile hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır.” şeklindeki gerekçesinden de anlaşılacağı üzere, kişisel verilerin, “verildiği”, “yayıldığı” veya “ele geçirildiği ”nin kabul edilebilmesi için, kişisel verilerin kaydedilmiş halde bulunması, kaydedilmiş haliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi gerekir. Bu noktada belirtmek gerekir ki, kişisel verilerin, üzerinde yazılı olduğu belgenin bulunduğu yerden alınması ya da kaydedilmiş haliyle başka bir nesne üzerine taşınarak (örneğin; yazının başka bir kağıt, defter vb. nesne üzerine geçirilmesi, taşınabilir belleğe veya CD'ye aktarılması gibi işlemlerle) sabitlenmesi, böylece istenildiğinde tekrar kullanılabilmesi olanağını sağlayan her türlü faaliyet, kişisel verileri “ele geçirme” kapsamında değerlendirilebilir. Bu açıklamalar ışığında incelenen dosya kapsamına ve ikrar içeren savunmaya göre; katılanların bir arada bulunduğu fotoğrafı, katılanların şahsi kullanımındaki instagram hesabından ele geçirdikten sonra yine instagram hesabı olan men.dakka.dukkaaa kullanıcı ismiyle katılanların rızası hilafına paylaşan sanığın, katılanlara ait kamuya açık alanda çekilmiş ve kişisel veri niteliğindeki resimlerini daha önce kendi instagram hesabında yayımlamasının bu resimlerin kişisel veri olma özelliğini değiştirmeyeceği gibi üçüncü kişilere katılanların rızası dışında yayınlama hakkı da tanımayacağı gözetilmeden sanık hakkında zincirleme şekilde verileri hukuka aykırı olarak verme veya ele geçirme suçundan mahkumiyet kararı verilmesi gerekirken, delillerin takdirinde yanılgıya düşülerek yazılı şekilde sanığın beraatine karar verilmesi, Hukuka aykırı olup, açıklanan nedenle katılanların temyiz istemi yerinde görüldüğünden BOZULMASINA, tarihinde karar verildi.”
-Yargıtay Ceza Genel Kurulu, 2018/575 E., 2021/60 K. :
“…Dairemizce de benimsenen Yargıtay Ceza Genel Kurulunun 17.06.2014 tarihli, 2012/1510-2014/331 sayılı kararında vurgulandığı üzere; TCK'nın 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi fiilleri TCK'nın 136. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturur. Bu açıklamalar ışığında incelenen dosya kapsamına göre; katılanla aynı üniversitede çalışan sanığın, katılanın resmi ile adı ve soyadını kullanarak, onun bilgisi ve rızası dışında facebook hesabı açtığı olayda; Katılanın günlük kıyafetleriyle poz vermiş şekilde çektirdiği resmi, katılanın başkalarının görmesini ve bilmesini istemeyeceği özel yaşam alanına ilişkin bir görüntü olarak kabul edilemeyeceğinden, katılanın kişisel veri niteliğindeki resmini, hukuka uygunluk nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle facebook adlı sosyal paylaşım sitesinde yayımlayan sanığın eyleminin, TCK'nın 136/1. madde ve fıkrasında tanımlanan verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturacağı gözetilmeden, suç vasfında yanılgıya düşülerek, yasal ve yeterli olmayan gerekçelerle sanık hakkında TCK'nın 134/1-1. madde, fıkra ve cümlesinde düzenlenen özel hayatın gizliliğini ihlal suçundan mahkûmiyet kararı verilmesi,… isabetsizliklerinden bozulmasına karar verilmiştir…”
TCK m. 136’nın oluşabilmesi için failin muhakkak verme veya yayma veya ele geçirme hareketini gerçekleştirmesi gerekir. Bunlardan birinin yapılması suçun oluşması için yeterlidir. Birden fazlası birlikte yapılırsa tek suç oluşur.
-Yargıtay 12. Ceza Dairesi, 2022/7038 E. , 2024/1950 K. :
“…Uyuşmazlık; kamu kurumlarında görev yapan ve görev yaptıkları kuruma ait bilişim sistemindeki kişisel verilere hizmet gereği erişme yetkisi verilen kişilerin; görevlerinin kapsamına ve niteliğine göre hizmetin yerine getirilmesi ile hiçbir ilgisi bulunmadığı hâlde, merak, beğeni vb. saikler ya da farklı amaçlarla, sistemde yer alan kişisel verileri sorgulamak ve bu verilere salt duyu organları aracılığıyla vakıf olmaktan ibaret eylemlerinin, 5237 sayılı TCK'nın 136/1. maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturup oluşturmayacağına ilişkindir.
Kamu kurumlarında görev yapan ve görev yaptıkları kuruma ait bilişim sistemindeki kişisel verilere hizmet gereği erişme yetkisi verilen kişilerin; görevlerinin kapsamına ve niteliğine göre hizmetin yerine getirilmesi ile hiçbir ilgisi bulunmadığı hâlde, merak, beğeni vb. saikler ya da farklı amaçlarla, sistemde yer alan kişisel verileri sorgulamak ve bu verilere salt duyu organları aracılığıyla vakıf olmaktan ibaret eylemlerinin, 5237 sayılı TCK'nın 136/1. maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturup oluşturmayacağına ilişkin uyuşmazlıkla sınırlı olarak yapılan değerlendirmede; TCK'nın 136. maddesi bünyesinde üç farklı suç tipini düzenlemiştir. Hukuka aykırı olarak kişisel verilerin başkasına verilmesi, yayılması ve ele geçirilmesi biçimindeki her bir hareket ile suç işlenmiş olacaktır. Uyuşmazlığın konusunu teşkil eden husus ise "ele geçirme" fiilinin somut olayda nasıl değerlendirilmesi gerektiği noktasında toplanmaktadır. Dairemizce de benimsenen Yargıtay Ceza Genel Kurulunun 21.06.2023 tarihli ve 2021/12-384 Esas, 2023/367 Karar sayılı kararındaki gerekçede de belirtildiği gibi ele geçirme başkasının hakimiyeti altında bulunan kişisel veriyi hukuka aykırı yollarla kendi hakimiyeti altına almakla gerçekleşir. Olayımızda ise sanık, kurumu tarafından kendisine verilen aparat ve şifre ile kendi hakimiyeti altında bulunan kişisel verilere ulaşmış ve bakmıştır. Sanığın kendi hakimiyeti altındaki bir veriye bakmaktan ibaret olan eyleminin ele geçirmek olarak kabul edilemeyeceği bu halin ilgili kurumun iç mevzuatı kapsamında disiplin soruşturmasına konu edilmesinin mümkün olduğu ancak TCK anlamında suç teşkil etmeyen eylem niteliğinde olduğu değerlendirilmiştir…”
-Yargıtay 12. Ceza Dairesi, 2023/438 E. , 2025/2522 K. :
“…kişisel verilerin, “verildiği”, “yayıldığı” veya “ele geçirildiği”nin kabul edilebilmesi için, kişisel verilerin kaydedilmiş halde bulunması, kaydedilmiş haliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi gerekir…”
-Yargıtay 12. Ceza Dairesi, 2022/9366 E. , 2022/10174 K. :
“…Dosya kapsamına göre; sanığın, adına kayıtlı cep telefonu numarası üzerinden boşanma aşamasında olduğu ve ayrı yaşadığı mağdur eşi adına kayıtlı cep telefonu numarasının son altı aylık arama bilgilerini içeren kişisel veri kapsamında olan HTS kayıtlarının gönderimini sağlaması şeklinde sübutu kabul eyleminin TCK’nın 136/1. madde ve fıkrasında düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğuna (ONAMA)
-Yargıtay 12. Ceza Dairesi, 2019/14037 E. , 2022/2232 K. :
“…Ayrıca, bir özel hayat görüntüsünün ya da sesinin, “kişisel veri” olduğunda kuşku bulunmamakta ise de, kişinin özel hayatına ilişkin görüntüsünün ya da sesinin, bilgisi dışında, resim çekme veya kaydetme özelliğine sahip aletle belli bir elektronik, dijital, manyetik yere sabitlenmesi TCK'nın 134/1. madde ve fıkrasının 2. cümlesinde; rızası dışında ifşa edilmesi, yani; yayılması, açığa vurulması, afişe edilmesi, ilan edilmesi, kamuoyuna duyurulması, aleniyet kazandırılması, özetle; içeriğini öğrenme yetkisi bulunmayan kişi veya kişilerin bilgisine sunulması TCK'nın 134/2. madde ve fıkrasında özel hayatın gizliliğini ihlal suçu kapsamında düzenlendiğinden, kişinin özel hayatına ilişkin görüntüsü ya da sesi, yasal anlamda, TCK'nın 135/1 ve aynı Kanunun 136/1. madde ve fıkraları kapsamında kişisel veri olarak değerlendirilemez. Bu açıklamalar ışığında incelenen dosya kapsamına göre, sanık ...’ın, gayri resmi birliktelik yaşadığı mağdur ...’le beraberken onun bilgisi dışında çıplak fotoğraflarını çekip, mağdurla aralarındaki ilişkinin sona ermesinin ardından, bu resimleri, ifşa edeceğine dair mesajlarla mağdura gönderdiği iddialarına konu olayda; … “Bunlar en basiti” vb. mesajlarla birlikte gönderilmesi, mağdura gönderilen mesajların sanığın da kabulünde olması hususları, dosyada mevcut diğer delillerle birlikte değerlendirildiğinde, sanığın, söz konusu fotoğrafları, mağdurun rızası dışında çektiği; ancak, fotoğrafların, mağdurun annesine ya da başkalarına ifşa edilmediği gibi iddianamede bu yönde bir anlatım da bulunmadığı anlaşılmakla; Mağdura ait fotoğrafların mağdurun fiziksel mahremiyetine ilişkin olması nedeniyle sanığa isnat edilen TCK’nın 135/1. madde ve fıkrasındaki kişisel verilerin kaydedilmesi ve aynı Kanunun 136/1. madde ve fıkrasındaki verileri hukuka aykırı olarak verme veya ele geçirme suçlarının yasal unsurlarının somut olayda gerçekleşmediği; ancak, mağdurun çıplak ve yarı çıplak özel yaşam alanı kapsamındaki fotoğraflarını, onun rızasına aykırı şekilde kaydeden sanığa, iddianamede eyleminin tarif edildiği de nazara alınıp, CMK'nın 226. maddesi uyarınca TCK'nın 134/1-1 ve 134/1-2. madde, fıkra ve cümlelerinin uygulanması ihtimaline binaen ek savunma hakkı tanınarak, CMK'nın 254. maddesi gereğince uzlaştırma işlemleri yerine getirildikten sonra, uzlaşma gerçekleşmediği takdirde, sanık hakkında görüntü veya seslerin kayda alınması suretiyle özel hayatın gizliliğini ihlal suçundan dolayı TCK'nın 61/1. madde ve fıkrasında yer alan ölçütlerden suçun işleniş biçimi, meydana gelen tehlikenin ve sanığın kasta dayalı kusurunun ağırlığı ile sanığın güttüğü amaç ve saiki nazara alınarak, aynı Kanunun 3/1. madde ve fıkrası uyarınca işlenen fiilin ağırlığıyla orantılı olacak şekilde asgari hadden uzaklaşılarak temel ceza belirlenip, sanığın mahkumiyetine karar verilmesi gerekirken, delillerin takdirinde ve hukuki nitelendirmede yanılgıya düşülerek, yasal ve yeterli olmayan yazılı gerekçelerle kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçlarından CMK’nın 223/2-e madde, fıkra ve bendi gereğince beraat hükümleri kurulması, Kanuna aykırı olup, …”
Suçun oluşabilmesi için hukuka uygunluk nedenlerinin bulunmaması gerekir. TCK m. 136 kapsamındaki suçun oluşmasında dikkat edilmesi gereken en temel hukuka uygunluk nedenleri; rızanın var olup olmadığı ve fiilin hukuka aykırı şekilde yapılıp yapılmadığıdır. Pek tabii eğer mağdurun rızası varsa veya failin fiili hukuka uygunsa suç oluşmayacaktır.
-Yargıtay 12. Ceza Dairesi, 2023/3331 E., 2025/6857 K. :
“…Ayrıntıları Yargıtay Ceza Genel Kurulunun 17.06.2014 tarihli, 2012/1510 Esas, 2014/331 Karar sayılı kararında da vurgulandığı üzere; 5237 sayılı Kanunun 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi fiilleri 5237 sayılı Kanunun 136. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturur. Bu nedenle herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda “kişisel veri” olarak kabul edilmektedir. Ancak, verileri hukuka aykırı olarak verme veya ele geçirme suçunun uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir.
5237 sayılı Kanunun 136/1. maddesinin, “Bu madde hükmü ile hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır.” şeklindeki gerekçesinden de anlaşılacağı üzere, kişisel verilerin, “verildiği”, “yayıldığı” veya “ele geçirildiği” nin kabul edilebilmesi için, kişisel verilerin kaydedilmiş halde bulunması, kaydedilmiş haliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi gerekir.
Bu noktada belirtmek gerekir ki, kişisel verilerin, üzerinde yazılı olduğu belgenin bulunduğu yerden alınması ya da kaydedilmiş haliyle başka bir nesne üzerine taşınarak (örneğin; yazının başka bir kağıt, defter vb. nesne üzerine geçirilmesi, taşınabilir belleğe veya CD'ye aktarılması gibi işlemlerle) sabitlenmesi, böylece istenildiğinde tekrar kullanılabilmesi olanağını sağlayan her türlü faaliyet, kişisel verileri “ele geçirme” kapsamında değerlendirilebilir. Bu açıklamalar ışığında incelenen dosya kapsamına göre; sanığın şüpheli sıfatıyla taraf olduğu kovuşturmaya yer olmadığına dair kararının karar başlığında yer alan katılanların adı, soyadı, anne-baba adı, doğum tarihi ve ikamet bilgilerinin bulunduğu, bu bilgilerin kişisel veri niteliğinde olduğu, sanığın katılanlara ait kişisel verileri katılanların rızası dışında kendi facebook hesabından üçüncü kişilerin görebileceği şekilde paylaşması eylemi ile sanık hakkında zincirleme şekilde verileri hukuka aykırı olarak yayma suçundan mahkumiyet kararı verilmesi gerekirken, delillerin takdirinde yanılgıya düşülerek yazılı şekilde sanığın beraatine karar verilmesi,
Hukuka aykırı olup, açıklanan nedenle katılanlar vekilinin temyiz istemi yerinde görüldüğünden Sakarya Bölge Adliye Mahkemesi 3. Ceza Dairesinin kararının 5271 sayılı Kanunun 302/2. maddesi gereği, Tebliğname’ye aykırı olarak, BOZULMASINA,…”
-Yargıtay 12. Ceza Dairesi, 2018/8186 E. , 2019/5456 K. :
“…Ancak, verileri hukuka aykırı olarak verme veya ele geçirme suçunun uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir.
Bu açıklamalar ışığında incelenen dosya kapsamına göre; daha önce facebook adlı sosyal paylaşım sitesinde katılan ... tarafından paylaşılan katılanın fotoğraflarının, sanık ... ile katılan arasında husumet oluştuğu dönemde, sanık ...'a ait facebook hesabından, “Kız Sultan sana türban daha çok yakışıyor. Sende karar ver kapalı mı yoksa açık mısın?”; “Boşa dememişler kapalıdan korkacan” ibareleri ile katılanın bilgisi dışında paylaşıldığı olayda; Katılanın kişisel veri niteliğindeki fotoğraflarını hukuka uygunluk nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle başkalarının görgüsüne sunan sanığın sübut bulan eyleminden dolayı TCK'nın 136/1. madde ve fıkrasındaki verileri hukuka aykırı olarak verme veya ele geçirme suçundan mahkumiyet kararı verilmesi gerektiği gözetilmeksizin, “...katılan tarafından arkadaşı olan herkesin görebileceği şekilde konan fotoğrafları paylaşmanın atılı suçun unsurlarını oluşturmayacağı...” biçimindeki yasal ve yeterli olmayan gerekçelerle sanık hakkında CMK'nın 223/2-e madde ve fıkrası gereğince beraat kararı verilmesi,
Kanuna aykırı olup, katılan vekilinin temyiz itirazları bu itibarla yerinde görüldüğünden, hükmün bu nedenle 5320 sayılı Kanun'un 8. maddesi uyarınca halen uygulanmakta olan 1412 sayılı CMUK'un 321. maddesi gereğince isteme aykırı olarak BOZULMASINA, 24.04.2019 tarihinde oybirliğiyle karar verildi…”
- Yargıtay 12. Ceza Dairesi, 2023/2695 E. ,2025/4315 K. :
“İlk Derece Mahkemesince, dosyada mevcut belge ve bilgiler, soruşturma ve kovuşturma evrelerinde alınan beyanlarla birlikte dikkate alınarak yapılan değerlendirmede; katılanların birlikte çekilmiş oldukları fotoğrafı herkese açık olan sosyal medya hesaplarından paylaştıkları, sanığın katılanlara ait olan bu fotoğrafı kendi ... isimli sosyal medya hesabından paylaştığı olayda sanık hakkında verileri hukuka aykırı olarak verme veya ele geçirme suçundan 5271 sayılı Kanunun 223/2-a maddesi gereğince beraatine karar verilmiştir. Bölge Adliye Mahkemesince İlk Derece Mahkemesinin kararı kaldırılarak sanığın yapmış olduğu paylaşımın inceleme ve değerlendirilmesinden kişisel veri niteliğinde olduğu anlaşılan fotoğrafı katılanların bilgi ve rızası dışında paylaşan sanık hakkında 5237 sayılı Kanunun 136/1. maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçundan cezalandırılmalarına karar verilmiştir.(ONAMA)
Stj. Av. Nisa Nur MASKAN
