Türk Ceza Kanunu Kapsamında Kişisel Veriler ve Bilişim Suçları
Türk Ceza Kanunu’nun Siber Suçlarla İlişkisi
5237 sayılı Türk Ceza Kanunu, bilişim sistemleri üzerinden işlenen suçları ve kişisel verilere yönelik hukuka aykırı fiilleri cezai yaptırımlara bağlamaktadır. KVKK daha çok idari yükümlülükler ve para cezaları getirirken, TCK kapsamında değerlendirilen ihlaller doğrudan ceza yargılamasına konu olabilir.
Bu nedenle bir veri ihlali yalnızca idari bir sorun olarak görülmemeli; aynı zamanda kişisel sorumluluk doğurabilecek bir ceza hukuku riski olarak ele alınmalıdır. Özellikle sistem yöneticileri, IT personeli ve teknik yetkililer açısından TCK hükümleri ayrı bir önem taşır.
Kişisel Verilere Karşı Suçlar (TCK 135–140)
Madde 135 – Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi
Bu madde, kişisel verilerin hukuka aykırı şekilde kaydedilmesini suç olarak düzenler.
Bir verinin dijital ortamda tutulması, her durumda hukuka uygun olduğu anlamına gelmez.
Teknik açıdan sık karşılaşılan örnekler:
- Gerekli olmadığı halde kullanıcı veya personel verilerinin sistemlerde tutulması
- Test ve geliştirme ortamlarında gerçek kişisel verilerin kullanılması
- Amacı dışında tutulan log kayıtları
“İleride lazım olur” düşüncesiyle veri saklamak, bu madde kapsamında hukuki risk doğurabilir.
Madde 136 – Kişisel Verilerin Hukuka Aykırı Olarak Verilmesi, Yayılması veya Ele Geçirilmesi
Kişisel verilerin yetkisiz kişilerin erişimine açılması, paylaşılması ya da ele geçirilmesi bu madde kapsamında suç teşkil eder. Bu durum yalnızca kasıtlı eylemleri değil, ihmal sonucu oluşan veri sızıntılarını da kapsayabilir.
IT dünyasında sık görülen senaryolar:
- Yanlış yetkilendirme nedeniyle veritabanına erişim
- Zayıf parola politikaları
- Açık bırakılan uzaktan erişim servisleri
- Yanlış yapılandırılmış bulut depolama alanları
Bu tür ihlaller, siber saldırı olmasa bile cezai sorumluluk doğurabilir.
Madde 137 – Suçun Nitelikli Halleri
Kişisel verilere ilişkin suçların;
- Kamu görevi kapsamında,
- Mesleğin veya görevin sağladığı yetkilerin kötüye kullanılması suretiyle
işlenmesi halinde verilecek ceza artırılır.
Bu durum, özellikle yetkili erişime sahip sistem yöneticileri ve teknik personel açısından önemlidir.
Madde 138 – Verileri Yok Etmeme
Kanunlara uygun olarak silinmesi veya yok edilmesi gereken kişisel verilerin süresi dolmasına rağmen sistemlerde tutulması bu madde kapsamında suç sayılır.
Uygulamada karşılaşılan durumlar:
- Süresi dolmuş log kayıtları
- İşten ayrılan personele ait hesap ve veriler
- Artık kullanılmayan arşiv ve yedekler
KVKK “gerektiği kadar sakla” derken, TCK bu sürenin aşılmasını cezai yaptırıma bağlamaktadır.
Madde 140 – Tüzel Kişiler Hakkında Güvenlik Tedbirleri
Kişisel verilere ilişkin suçların bir şirket veya kurum faaliyeti kapsamında işlenmesi halinde, ilgili tüzel kişi hakkında güvenlik tedbirleri uygulanabilir. Bu durum şirketler açısından ciddi yaptırımlar doğurabilir.
Bilişim Suçları (TCK 243–245)
Madde 243 – Bilişim Sistemine Girme
Yetkisiz şekilde bir bilişim sistemine girilmesi veya yetki sona ermesine rağmen sistemde kalınması suç olarak düzenlenmiştir.
Örnekler:
- Yetkisi olmayan kullanıcıların yönetici panellerine erişmesi
- Ortak kullanılan admin hesapları
- İşten ayrılan personelin erişimlerinin kapatılmaması
Bir kişinin şifreyi biliyor olması, erişimin hukuka uygun olduğu anlamına gelmez.
Madde 244 – Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme
Bu madde, bilişim sistemlerinin çalışmasını engelleyen veya sistemdeki verileri bozan fiilleri kapsar.
Teknik örnekler:
- Yetkisiz script veya komut çalıştırılması
- Logların silinmesi veya değiştirilmesi
- Yedeklerin kasıtlı olarak bozulması
- Hizmet kesintisine yol açan eylemler
Madde 245 – Banka ve Kredi Kartlarının Kötüye Kullanılması
Bu madde, banka ve kredi kartlarına ilişkin verilerin hukuka aykırı kullanımını düzenler. Özellikle ödeme sistemleri ve e-ticaret altyapıları açısından kritik öneme sahiptir.
IT Personeli ve Sistem Yöneticileri Açısından Cezai Riskler
Aşağıdaki ihmal veya uygulamalar TCK kapsamında sorumluluk doğurabilir:
- Logların tutulmaması veya bütünlüğünün korunmaması
- Yetkilendirme ve erişim kontrollerinin yapılmaması
- Kişisel admin hesaplarının paylaşılması
- Güvenlik ihlallerinin kayıt altına alınmaması
- Bilinen açıkların kapatılmaması
Teknik görev tanımı, cezai sorumluluğu ortadan kaldırmaz.
KVKK ve TCK Arasındaki Temel Ayrım
KVKK daha çok uyum ve idari yaptırımlara odaklanırken, TCK kişisel ve cezai sorumluluk getirir. Aynı olay hem KVKK hem de TCK kapsamında değerlendirilebilir.
Kurumlar İçin Genel Değerlendirme
Siber güvenlik yalnızca teknik bir konu değildir. Aynı zamanda hukuki, yönetsel ve cezai boyutları olan bir süreçtir. Bu nedenle kurumların teknik önlemlerle birlikte hukuki yükümlülükleri de dikkate alarak hareket etmesi gerekir.