Single Blog Title

This is a single blog caption

Kişisel Verilerin Hukuka Aykırı Olarak Ele Geçirilmesi ve Yayılması

Giriş

Dijital çağda kişisel veriler, bireylerin en önemli hukuki değerlerinden biri hâline gelmiştir. Artık kişilerin adı, soyadı, telefon numarası, T.C. kimlik numarası, adresi, fotoğrafı, e-posta adresi, IP bilgisi, banka bilgileri, sağlık verileri, sosyal medya hesapları, konum bilgileri ve özel hayatına ilişkin kayıtları çoğu zaman dijital sistemlerde saklanmaktadır. Bu nedenle kişisel verilerin hukuka aykırı olarak ele geçirilmesi, yayılması veya üçüncü kişilerle paylaşılması yalnızca özel hayatı değil; kişinin itibarı, güvenliği, ekonomik varlığı ve sosyal hayatını da doğrudan etkileyebilir.

Kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması, Türk hukukunda hem ceza hukuku hem de kişisel verilerin korunması hukuku bakımından sonuç doğuran ciddi bir ihlaldir. Bir kişinin telefon numarasının sosyal medyada ifşa edilmesi, fotoğrafının sahte hesapta kullanılması, adresinin paylaşılması, kimlik bilgilerinin üçüncü kişilere verilmesi, müşteri bilgilerinin eski çalışan tarafından kopyalanması, veri tabanının siber saldırıyla ele geçirilmesi veya özel bilgilerin Telegram/WhatsApp gruplarında yayılması bu kapsamda değerlendirilebilir.

Türkiye’de kişisel verilerin korunması, anayasal güvenceye de sahiptir. Anayasa m.20’de herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu; bu hakkın kişisel veriler hakkında bilgilendirilme, verilere erişme, bunların düzeltilmesini veya silinmesini isteme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme haklarını da kapsadığı düzenlenmiştir. Aynı hükümde kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği belirtilmiştir.

Bu konu, özellikle sosyal medya ve internet kullanımının artmasıyla daha da önemli hâle gelmiştir. Bugün kişisel veriler bazen eski eş veya eski sevgili tarafından, bazen çalışan tarafından, bazen sahte hesaplar üzerinden, bazen dolandırıcılık amacıyla, bazen de şirketlerin güvenlik zafiyetleri nedeniyle hukuka aykırı şekilde ele geçirilebilmekte veya yayılabilmektedir. Dolayısıyla kişisel veri ihlali mağdurlarının hangi hukuki yollara başvurabileceğini, şirketlerin hangi yükümlülüklere sahip olduğunu ve faillerin hangi cezai yaptırımlarla karşılaşabileceğini bilmesi büyük önem taşır.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım oldukça geniştir. Bir verinin kişisel veri sayılması için mutlaka T.C. kimlik numarası gibi doğrudan kimlik belirleyici bir bilgi olması gerekmez. Kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her bilgi kişisel veri niteliği taşıyabilir.

Ad, soyad, telefon numarası, adres, e-posta adresi, fotoğraf, kamera görüntüsü, ses kaydı, IP adresi, araç plakası, banka hesap bilgisi, kredi kartı bilgisi, müşteri numarası, kullanıcı adı, sosyal medya hesabı, konum bilgisi, mesleki bilgi, eğitim bilgisi, sağlık bilgisi, biyometrik veri, parmak izi, imza, aile bilgileri ve alışveriş geçmişi kişisel veri kapsamında değerlendirilebilir.

Yargıtay uygulamasında da kişisel veri kavramı geniş yorumlanmaktadır. Yargıtay 12. Ceza Dairesi’nin bir kararında, belirli veya belirlenebilir kişiye ait her türlü bilginin TCK m.136 kapsamındaki suçun maddi konusunu oluşturabileceği; nüfus bilgileri, telefon numarası, elektronik posta adresi, banka hesap bilgileri, sağlık bilgileri ve benzeri bilgilerin kişisel veri niteliğinde olduğu belirtilmiştir. Kararda, herkes tarafından bilinen veya kolaylıkla ulaşılması mümkün olan bilgilerin de yasal anlamda kişisel veri olarak kabul edilebileceği vurgulanmıştır.

Bu nedenle “bu bilgi zaten internette vardı”, “telefon numarası herkeste bulunuyordu”, “fotoğrafı sosyal medyada paylaşılmıştı” gibi savunmalar her zaman hukuka uygunluk sağlamaz. Bir bilginin daha önce bir yerde görünür olması, o bilginin sınırsız şekilde kullanılabileceği, başka hesaplarda paylaşılabileceği veya üçüncü kişilere yayılabileceği anlamına gelmez. Kişisel verinin kullanım amacı, rıza kapsamı, paylaşım bağlamı ve hukuka uygunluk sebebi ayrıca değerlendirilmelidir.

Kişisel Verilerin Hukuka Aykırı Olarak Ele Geçirilmesi Nedir?

Kişisel verilerin hukuka aykırı olarak ele geçirilmesi, kişinin rızası veya kanuni bir yetki olmaksızın kişisel verilerine ulaşılması, bu verilerin elde edilmesi, kopyalanması, kaydedilmesi veya üçüncü kişilerin hâkimiyet alanına geçirilmesidir. Ele geçirme fiili dijital ortamda gerçekleşebileceği gibi fiziksel belgeler üzerinden de gerçekleşebilir.

Örneğin bir kişinin telefon rehberinin izinsiz kopyalanması, e-posta hesabına girilerek yazışmalarının alınması, hastane kayıtlarına yetkisiz erişilmesi, bir şirketin müşteri listesinin eski çalışan tarafından USB belleğe aktarılması, kimlik fotokopisinin izinsiz paylaşılması, banka bilgilerinin sahte link yoluyla alınması, sosyal medya hesabından fotoğrafların kopyalanması veya veri tabanındaki bilgilerin dışarı aktarılması kişisel verilerin hukuka aykırı ele geçirilmesi olarak değerlendirilebilir.

Bu suçun oluşması için verinin mutlaka gizli veya sır niteliğinde olması gerekmez. Önemli olan verinin gerçek kişiye ilişkin olması ve hukuka aykırı şekilde elde edilmesidir. Elbette sağlık verileri, cinsel hayat, biyometrik veriler, siyasi görüş, dini inanç, sendika üyeliği gibi özel nitelikli veriler söz konusu olduğunda ihlalin ağırlığı artar ve hem ceza hukuku hem de KVKK bakımından daha hassas değerlendirme yapılır.

Kişisel Verilerin Hukuka Aykırı Olarak Yayılması Nedir?

Kişisel verilerin yayılması, ele geçirilen veya elde bulundurulan kişisel verilerin üçüncü kişilere aktarılması, sosyal medyada paylaşılması, internet sitesinde yayımlanması, WhatsApp veya Telegram gruplarına gönderilmesi, e-posta listelerine dağıtılması, forumlarda yayınlanması veya herhangi bir şekilde başkalarının erişimine açılmasıdır.

Örneğin bir kişinin telefon numarasını sosyal medyada hedef gösterecek şekilde paylaşmak, adresini ifşa etmek, fotoğrafını sahte hesapta kullanmak, kimlik bilgilerini üçüncü kişilere göndermek, müşteri listesini rakip firmaya vermek, çalışanların maaş bilgilerini e-posta grubunda paylaşmak, hastaların sağlık verilerini yetkisiz kişilerle paylaşmak veya özel yazışmaları internet ortamında yayımlamak kişisel verilerin hukuka aykırı yayılması niteliği taşıyabilir.

Yargıtay 12. Ceza Dairesi, sahte sosyal medya hesabında mağdurun profil fotoğrafının kullanılmasına ilişkin bir kararında, fotoğrafın özel hayat alanına ilişkin görüntü sayılmaması hâlinde dahi kişisel veri niteliğinde olduğunu ve mağdur adına oluşturulan sahte hesapta profil resmi olarak kullanılmasının TCK m.136 kapsamında değerlendirilebileceğini kabul etmiştir.

Yine Yargıtay 4. Ceza Dairesi’nin bir kararında, kişinin ismiyle birlikte photoshop yoluyla oluşturulan görsellerin internet sitesinde yayımlanması eyleminin TCK m.136 kapsamında kişisel verileri hukuka aykırı yayma suçunu oluşturduğu; aynı fiilin ayrıca hakaret suçuyla ilişkisi bakımından fikri içtima hükümlerinin değerlendirilmesi gerektiği belirtilmiştir.

TCK m.135: Kişisel Verilerin Hukuka Aykırı Kaydedilmesi

Kişisel verilere karşı suçlar Türk Ceza Kanunu’nda ayrı bir bölümde düzenlenmiştir. Bunlardan ilki TCK m.135’te yer alan kişisel verilerin kaydedilmesi suçudur. TCK m.135’e göre, hukuka aykırı olarak kişisel verileri kaydeden kişiye bir yıldan üç yıla kadar hapis cezası verilir. Ayrıca kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması hâlinde ceza yarı oranında artırılır.

Burada “kaydetme” fiili önemlidir. Fail, veriyi henüz yaymamış olabilir; ancak hukuka aykırı şekilde kişisel veriyi bir sisteme, dosyaya, arşive, telefona, bilgisayara, USB belleğe veya veri tabanına kaydetmişse TCK m.135 gündeme gelebilir. Örneğin hastane çalışanının hasta bilgilerini özel amaçla kaydetmesi, işverenin çalışan hakkında hukuka aykırı özel veri arşivi oluşturması, bir kişinin başkasına ait özel bilgileri izinsiz olarak listelemesi bu kapsamda değerlendirilebilir.

TCK m.136: Verileri Hukuka Aykırı Olarak Verme, Yayma veya Ele Geçirme

Kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması denildiğinde en temel ceza normu TCK m.136’dır. Bu maddeye göre kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Suçun konusunun, CMK m.236’nın beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda ceza bir kat artırılır.

TCK m.136’da üç ayrı seçimlik hareket vardır: verme, yayma ve ele geçirme. “Verme”, kişisel verinin belirli bir kişiye aktarılmasıdır. “Yayma”, verinin daha geniş bir çevreye duyurulması veya erişilebilir hâle getirilmesidir. “Ele geçirme” ise verinin hukuka aykırı şekilde failin hâkimiyet alanına alınmasıdır.

Bu suç bakımından mağdurun kişisel verisinin mutlaka ekonomik değer taşıması gerekmez. Telefon numarası, fotoğraf, adres, e-posta, sosyal medya kullanıcı adı, kimlik bilgisi veya özel yazışma da suçun konusu olabilir. Fiilin hukuka aykırı olması gerekir. Kanuni yetki, açık rıza, meşru savunma kapsamında zorunlu delil kullanımı veya hukuka uygun gazetecilik faaliyeti gibi durumlar her somut olayda ayrıca değerlendirilir.

TCK m.137: Nitelikli Hâller

TCK m.137, kişisel verilere ilişkin suçların bazı kişiler tarafından veya bazı kolaylıklardan yararlanılarak işlenmesi hâlinde cezada artırım öngörür. TCK m.135 ve m.136’da tanımlanan suçların kamu görevlisi tarafından görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi hâlinde verilecek ceza yarı oranında artırılır.

Bu hüküm özellikle kamu kurumları, sağlık kuruluşları, bankalar, avukatlık büroları, sigorta şirketleri, insan kaynakları şirketleri, çağrı merkezleri, yazılım firmaları, e-ticaret platformları ve müşteri verisi işleyen meslek grupları bakımından önemlidir. Çünkü bu kişiler, meslekleri veya görevleri gereği normal bir kişiden daha fazla veriye erişim imkânına sahip olabilir. Bu erişim imkânının kötüye kullanılması, suçun daha ağır değerlendirilmesine neden olur.

Örneğin bir kamu görevlisinin sistemden vatandaş bilgilerini sorgulayıp üçüncü kişilere vermesi, hastane çalışanının hasta bilgilerini yayması, banka çalışanının müşteri bilgilerini paylaşması, şirket çalışanının müşteri listesini rakibe aktarması veya bir meslek mensubunun görevi nedeniyle öğrendiği verileri yetkisiz biçimde kullanması TCK m.137 kapsamında ağırlaştırıcı neden oluşturabilir.

TCK m.138: Verileri Yok Etmeme

TCK m.138’de verileri yok etmeme suçu düzenlenmiştir. Kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların bu görevlerini yerine getirmemesi cezai sorumluluk doğurabilir. Anayasa Mahkemesi’nin bir kararında da TCK m.138’in kanuni saklama süresi dolmasına rağmen verileri yok etmeyenler bakımından hapis cezası öngördüğü aktarılmıştır.

Bu hüküm, kişisel verilerin yalnızca hukuka uygun şekilde toplanmasını değil, gerekli süre sonunda silinmesini veya yok edilmesini de önemli hâle getirir. Şirketler bakımından saklama ve imha politikası, veri envanteri, süre yönetimi ve imha kayıtları bu nedenle önemlidir. Özellikle çalışan verileri, müşteri kayıtları, kamera görüntüleri, başvuru formları, internet sitesi logları ve eski müşteri verileri süresiz olarak saklanmamalıdır.

KVKK ile Ceza Hukuku Arasındaki İlişki

Kişisel verilerin hukuka aykırı ele geçirilmesi ve yayılması yalnızca TCK kapsamında ceza soruşturması konusu değildir. Aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında idari ve özel hukuk sonuçları da doğurabilir. KVKK, veri sorumlularına kişisel verilerin hukuka aykırı işlenmesini önleme, verilere hukuka aykırı erişimi önleme ve verilerin muhafazasını sağlama yükümlülüğü yükler.

Bu nedenle bir şirketin müşteri verileri sızdırılmışsa, olay sadece “fail kim?” sorusundan ibaret değildir. Ayrıca şirket gerekli teknik ve idari tedbirleri aldı mı, veri ihlalini zamanında tespit etti mi, Kurula ve ilgili kişilere bildirim yaptı mı, veri güvenliği politikaları yeterli miydi, çalışanların erişim yetkileri sınırlandırılmış mıydı, log kayıtları tutuluyor muydu gibi sorular da sorulur.

KVKK Kurulu’nun veri ihlali bildirim usulüne ilişkin kararında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurula bildireceği; “en kısa sürede” ifadesinin Kurula bildirim bakımından 72 saat olarak yorumlandığı belirtilmiştir.

Veri İhlali Nedir?

Veri ihlali, kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesi, ifşa edilmesi, değiştirilmesi, kaybolması, silinmesi, erişilemez hâle gelmesi veya hukuka aykırı biçimde erişime açılmasıdır. Veri ihlali her zaman dış saldırı şeklinde gerçekleşmez. Yanlış alıcıya e-posta gönderilmesi, açık erişimli bulut klasörü, eski çalışanın sisteme girmeye devam etmesi, müşteri bilgilerinin rakibe aktarılması, zayıf parola nedeniyle CRM sistemine erişim sağlanması veya yetkilendirme hatası nedeniyle başkasının dosyalarının görülmesi de veri ihlali olabilir.

Güncel KVKK duyuruları, veri ihlallerinin uygulamadaki çeşitliliğini göstermektedir. Örneğin KVKK’nın 2026 tarihli bir kamuoyu duyurusunda, bir şirketin internet sitesi üzerinden sunulan sorgulama ekranında yetkilendirme kontrollerinin yetersizliği ve sorgu parametrelerinin manipülasyonu nedeniyle üçüncü kişilere ait hasar dosyası içeriklerine yetkisiz erişim sağlandığı bildirilmiştir.

Başka bir 2026 duyurusunda ise bir mağazacılık şirketinin CRM sisteminin çalıştığı sunucu üzerindeki veri tabanlarına saldırganlarca erişim sağlandığı, kimlik ve iletişim verilerinin ihlalden etkilendiği ve etkilenen kişi sayısının tahmini 4.500.000 kişi olabileceği açıklanmıştır. Bu tür örnekler, veri güvenliğinin yalnızca büyük teknoloji şirketleri için değil, müşteri verisi işleyen tüm işletmeler için kritik olduğunu göstermektedir.

Sosyal Medyada Kişisel Verilerin Yayılması

Sosyal medya, kişisel verilerin hukuka aykırı yayılması suçunun en sık işlendiği alanlardan biridir. Bir kişinin telefon numarasının paylaşılması, adresinin ifşa edilmesi, fotoğrafının sahte hesapta kullanılması, kimlik bilgilerinin gönderi olarak yayımlanması, özel yazışmalarının ekran görüntüsüyle paylaşılması veya kişisel bilgilerinin hedef gösterme amacıyla yayılması cezai sorumluluk doğurabilir.

Burada en sık yapılan hata, “kişinin profili zaten herkese açıktı” düşüncesidir. Bir kişinin sosyal medya profilinde fotoğrafının bulunması, o fotoğrafın başka kişi tarafından sahte hesapta kullanılabileceği veya üçüncü kişilere farklı amaçla yayılabileceği anlamına gelmez. Rıza, bağlam ve kullanım amacı belirleyicidir.

Örneğin mağdurun Instagram hesabından alınan fotoğrafının sahte flört hesabında kullanılması, mağdurun telefon numarasının “rahatsız edin” şeklinde paylaşılması, adresinin tartışma sırasında ifşa edilmesi veya kişisel verilerinin organize linç amacıyla yayılması TCK m.136 kapsamında değerlendirilebilir. Fiil aynı zamanda hakaret, tehdit, şantaj veya özel hayatın gizliliğini ihlal suçlarını da oluşturabilir.

Kişisel Veri Suçu ile Özel Hayatın Gizliliğini İhlal Arasındaki Fark

Uygulamada TCK m.136 ile TCK m.134 sıkça karıştırılır. TCK m.136 kişisel verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesini düzenler. TCK m.134 ise özel hayatın gizliliğini ihlal suçunu düzenler. Her kişisel veri ihlali aynı zamanda özel hayatın gizliliğini ihlal değildir; ancak bazı olaylarda her iki suç birlikte gündeme gelebilir.

Örneğin bir kişinin günlük kıyafetle çekilmiş profil fotoğrafının sahte hesapta kullanılması, özel hayatın gizliliğini ihlal kapsamında değil, kişisel verinin hukuka aykırı yayılması kapsamında değerlendirilebilir. Buna karşılık kişinin mahrem fotoğrafının, özel yazışmasının, ev içi görüntüsünün, sağlık bilgisinin veya cinsel hayatına ilişkin verisinin paylaşılması hem özel hayatın gizliliğini ihlal hem de kişisel veri suçu bakımından incelenebilir.

Bu ayrım, soruşturmanın doğru yürütülmesi ve suç vasfının doğru belirlenmesi açısından önemlidir. Şikâyet dilekçesinde olayın yalnızca “özel hayatım ihlal edildi” veya yalnızca “kişisel verilerim yayıldı” şeklinde dar anlatılması yerine, hangi verinin nasıl ele geçirildiği, nerede paylaşıldığı, kimlere ulaştığı ve verinin niteliği açıkça belirtilmelidir.

Mağdur Ne Yapmalı?

Kişisel verileri hukuka aykırı şekilde ele geçirilen veya yayılan kişi öncelikle delilleri kaybetmeden saklamalıdır. Sosyal medya paylaşımı, ekran görüntüsü, URL adresi, kullanıcı adı, tarih ve saat bilgisi, mesajlar, e-posta başlıkları, telefon numarası, paylaşımın yapıldığı grup veya platform, tanıklar ve varsa ödeme/şantaj talepleri kayıt altına alınmalıdır.

İçerik sosyal medyada veya internet sitesinde yayımlanmışsa, yalnızca ekran görüntüsü almak yeterli olmayabilir. Tam URL adresi, paylaşımı yapan hesabın profil bilgileri, paylaşım tarihi, hesabın herkese açık olup olmadığı ve verinin hangi bağlamda paylaşıldığı saklanmalıdır. Fail hesabı kapatmadan veya içeriği silmeden önce delil tespiti yapılması önemlidir.

Ardından Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulabilir. Suç duyurusunda TCK m.136 başta olmak üzere somut olaya göre TCK m.135, 137, 138, 134, 125, 106, 107, 243 veya 244 gibi suçların değerlendirilmesi talep edilebilir. Fail bilinmiyorsa sosyal medya platformundan IP ve log kayıtlarının istenmesi, internet servis sağlayıcısından IP tahsis bilgilerinin sorulması, GSM operatörlerinden hat bilgilerinin araştırılması ve dijital materyallerin bilirkişi incelemesine gönderilmesi talep edilmelidir.

Şikâyet Süreci ve Savcılık Araştırması

TCK m.136’da düzenlenen kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu kural olarak şikâyete bağlı suçlardan değildir. Bu nedenle suçun işlendiğinin öğrenilmesi hâlinde Cumhuriyet savcılığı re’sen soruşturma yürütebilir. Ancak mağdurun ayrıntılı suç duyurusu yapması, delilleri sunması ve somut araştırma taleplerini belirtmesi soruşturmanın etkinliği bakımından son derece önemlidir.

Savcılık soruşturmasında özellikle şu hususlar araştırılmalıdır: Kişisel veri hangi yolla ele geçirilmiştir? Veri kim tarafından paylaşılmıştır? Paylaşım hangi platformda yapılmıştır? Veriye kaç kişi erişmiştir? Veri hâlen yayında mıdır? Failin hesabı gerçek midir, sahte midir? IP kayıtları kimle ilişkilidir? Veri bir şirket sisteminden sızmışsa şirketin güvenlik zafiyeti var mıdır? Veriyi paylaşan kişi kamu görevlisi, çalışan veya mesleki erişim yetkisine sahip biri midir?

Bu soruların cevapları suçun nitelendirilmesini ve cezai sorumluluğun kapsamını belirler. Örneğin sıradan bir sosyal medya kullanıcısının mağdurun telefon numarasını paylaşması ile bir kamu görevlisinin sistemden öğrendiği adres bilgisini üçüncü kişiye vermesi aynı ağırlıkta değerlendirilmez. İkinci durumda TCK m.137’deki nitelikli hâl gündeme gelebilir.

Şirketler Açısından Veri Güvenliği Yükümlülüğü

Kişisel verilerin hukuka aykırı ele geçirilmesi çoğu zaman şirketlerin veri güvenliği zafiyetleriyle bağlantılıdır. E-ticaret siteleri, sağlık kuruluşları, sigorta şirketleri, bankalar, eğitim kurumları, insan kaynakları şirketleri, yazılım firmaları ve çağrı merkezleri çok sayıda kişisel veri işler. Bu verilerin korunması için gerekli teknik ve idari tedbirlerin alınması zorunludur.

KVKK’ya göre veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve verilere hukuka aykırı erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almakla yükümlüdür. Kurum, veri güvenliği tedbirlerinin her veri sorumlusunun yapısına, faaliyetlerine ve risklerine göre belirlenmesi gerektiğini; tek bir model öngörülemeyeceğini açıklamaktadır.

Bu kapsamda şirketlerin erişim yetkilendirme, güçlü parola, çok faktörlü kimlik doğrulama, log kayıtları, şifreleme, veri maskeleme, yedekleme, sızma testi, çalışan eğitimi, gizlilik taahhütleri, veri işleyen sözleşmeleri, saklama-imha politikası ve veri ihlali müdahale planı gibi önlemler alması gerekir. Aksi hâlde veri sızıntısı gerçekleştiğinde yalnızca saldırgan değil, gerekli önlemleri almayan veri sorumlusu da idari ve hukuki sorumlulukla karşılaşabilir.

Veri İhlali Bildirimi ve 72 Saat Kuralı

Bir veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğini öğrenirse bu durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir. Kurulun 2019/10 sayılı kararı kapsamında Kurula yapılacak bildirimin kural olarak ihlalin öğrenilmesinden itibaren en geç 72 saat içinde yapılması gerektiği kabul edilmektedir.

Bildirimde ihlalin ne zaman gerçekleştiği, ne zaman tespit edildiği, hangi veri kategorilerinin etkilendiği, kaç kişinin etkilendiği, ihlalin kaynağı, alınan önlemler, ilgili kişilerin hangi yöntemle bilgilendirileceği ve ihlal hakkında bilgi alabilecekleri iletişim kanalları belirtilmelidir. KVKK’nın ihlal bildirim formunda da 72 saatin geçirilmesi hâlinde gecikme sebebinin açıklanması istenmektedir.

Geç bildirim, veri sorumlusu açısından ayrıca yaptırım sebebi olabilir. KVKK’nın 2026 tarihli karar özetlerinden birinde, veri sorumlusunun ihlali ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin “en kısa süre”yi aştığı ve veri güvenliği ihlali olarak değerlendirildiği belirtilmiştir.

Tazminat Hakkı

Kişisel verileri hukuka aykırı şekilde ele geçirilen veya yayılan kişi, ceza soruşturmasının yanında maddi ve manevi tazminat talep edebilir. Kişisel verinin yayılması nedeniyle mağdurun itibarı zedelenmiş, iş ilişkileri bozulmuş, güvenliği tehlikeye girmiş, ekonomik zararı doğmuş veya psikolojik olarak zarar görmüş olabilir.

Maddi tazminat, somut zararın ispatlanması hâlinde gündeme gelir. Örneğin kimlik bilgilerinin kullanılması nedeniyle maddi kayıp doğmuşsa, banka bilgileri kullanılarak para çekilmişse, müşteri listesi yayıldığı için ticari zarar oluşmuşsa maddi tazminat talep edilebilir. Manevi tazminat ise kişilik haklarının ihlali, özel hayatın zedelenmesi, itibar kaybı, huzur ve güven duygusunun bozulması gibi durumlarda gündeme gelir.

KVKK m.11 kapsamında ilgili kişinin kişisel verilerinin silinmesini, düzeltilmesini, eksik veya yanlış işlenmişse düzeltilmesini, işleme amacını öğrenmesini ve kanuna aykırı işleme nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme hakları da bulunmaktadır. Bu nedenle mağdur, hem ceza hukuku hem KVKK başvurusu hem de özel hukuk tazminat yollarını birlikte değerlendirmelidir.

Delil Toplama Nasıl Yapılmalıdır?

Kişisel veri ihlallerinde delil toplama süreci son derece önemlidir. Çünkü dijital içerikler hızla silinebilir, hesaplar kapatılabilir, kullanıcı adları değiştirilebilir veya veri farklı platformlara yayılabilir. Bu nedenle mağdurun ilk aşamada hukuka uygun şekilde delil toplaması gerekir.

Sosyal medya paylaşımı varsa tam URL, ekran görüntüsü, ekran kaydı, kullanıcı adı, profil bağlantısı, tarih ve saat bilgisi, paylaşımın içeriği ve kimlerin erişebildiği kaydedilmelidir. WhatsApp veya Telegram grubu varsa grup adı, katılımcı sayısı, mesaj içeriği ve tarih bilgisi alınmalıdır. E-posta varsa sadece e-posta metni değil, e-posta başlık bilgileri de saklanmalıdır. İnternet sitesinde yayın varsa sayfanın URL’si, yayının tarihi ve mümkünse noter/uzman tespiti alınmalıdır.

Delil toplarken hukuka aykırı yöntemlere başvurulmamalıdır. Başkasının hesabına izinsiz girmek, telefonunu gizlice incelemek, şifre kırmak veya özel sistemlere yetkisiz erişim sağlamak mağdurun kendisi açısından da ceza hukuku riski doğurabilir. Mağdur, kendi hesabında gördüğü, kendisine gönderilen veya kamuya açık şekilde eriştiği içerikleri hukuka uygun şekilde belgelemelidir.

Şüpheli veya Sanık Açısından Savunma

Kişisel veri suçlarında savunma da teknik ve hukuki analiz gerektirir. Öncelikle paylaşılan bilginin kişisel veri olup olmadığı, verinin gerçek kişiye ilişkin olup olmadığı, mağdurun belirlenebilir olup olmadığı, verinin hukuka aykırı şekilde ele geçirilip geçirilmediği ve failin kastının bulunup bulunmadığı incelenmelidir.

Bazı durumlarda veri, mağdurun açık rızasıyla paylaşılmış olabilir. Bazı durumlarda verinin paylaşılması kanuni yükümlülük gereği yapılmış olabilir. Bazı durumlarda haber verme, iddia ve savunma hakkı, meşru menfaat veya yargılama delili sunma gibi hukuka uygunluk sebepleri gündeme gelebilir. Ancak bu sebepler sınırsız değildir. Özellikle sosyal medyada hedef gösterme, ifşa, intikam amacı veya ekonomik menfaat sağlama gibi durumlarda hukuka uygunluk iddiası zayıflar.

Sanık müdafii açısından IP kayıtları, hesap sahipliği, cihaz kullanımı, paylaşımın kim tarafından yapıldığı, verinin daha önce kimler tarafından bilindiği, delillerin hukuka uygun elde edilip edilmediği ve suçun manevi unsurunun oluşup oluşmadığı dikkatle incelenmelidir.

Sonuç

Kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması, dijital çağın en önemli ceza hukuku ve bilişim hukuku sorunlarından biridir. Telefon numarası, adres, fotoğraf, kimlik bilgisi, banka verisi, sağlık bilgisi, sosyal medya hesabı, IP adresi, e-posta veya özel yazışmalar gibi verilerin rıza veya kanuni yetki olmadan ele geçirilmesi, üçüncü kişilere verilmesi veya internet ortamında yayılması ciddi hukuki sonuçlar doğurur.

Türk Ceza Kanunu bakımından TCK m.135 kişisel verilerin hukuka aykırı kaydedilmesini, TCK m.136 kişisel verilerin hukuka aykırı olarak verilmesini, yayılmasını veya ele geçirilmesini, TCK m.137 nitelikli hâlleri, TCK m.138 ise verileri yok etmeme suçunu düzenlemektedir. Bunun yanında somut olayın niteliğine göre özel hayatın gizliliğini ihlal, hakaret, tehdit, şantaj, bilişim sistemine girme, dolandırıcılık veya sistemi bozma suçları da gündeme gelebilir.

KVKK bakımından ise veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı erişimi önlemek için gerekli teknik ve idari tedbirleri almak zorundadır. Veri ihlali yaşandığında Kurula ve ilgili kişilere bildirim yükümlülüğü doğabilir. Özellikle şirketler için veri güvenliği, saklama-imha politikası, erişim yetkilendirme, log kayıtları, çalışan eğitimi ve veri ihlali müdahale planı büyük önem taşır.

Mağdur açısından en önemli adım, delillerin hızla ve hukuka uygun şekilde korunmasıdır. Paylaşımlar, URL’ler, ekran görüntüleri, mesajlar, kullanıcı adları, tarih-saat bilgileri ve diğer dijital izler kaydedilmeli; ardından Cumhuriyet Başsavcılığı’na ayrıntılı suç duyurusu yapılmalı, gerekiyorsa KVKK başvurusu, içerik kaldırma ve tazminat yolları birlikte değerlendirilmelidir.

Sonuç olarak kişisel veri ihlalleri basit bir internet paylaşımı veya sıradan bir veri sızıntısı olarak görülmemelidir. Kişisel veri, kişinin dijital kimliğinin ve özel hayatının temel parçasıdır. Bu nedenle kişisel verilerin hukuka aykırı ele geçirilmesi ve yayılması iddialarında sürecin ceza hukuku, KVKK, bilişim hukuku, dijital delil ve tazminat boyutlarıyla birlikte profesyonel şekilde yürütülmesi büyük önem taşır.

Leave a Reply

Call Now Button