Kişisel Verilerin Kaydedilmesi Suçu ve Cezası [TCK 135. Madde]
Kritik Uyarı: Kişisel verilerin hukuka aykırı kaydedilmesi, Türk Ceza Kanunu’nun 135. maddesinde düzenlenen ve 2 ile 6 yıl arasında hapis cezası gerektiren bir suçtur. Dijitalleşen dünyada bilinçsizce yapılan kayıt işlemleri bile ağır cezai yaptırımlara yol açabilmektedir.
Kişisel Verilerin Kaydedilmesi Suçu Nedir?
Kişisel verilerin kaydedilmesi suçu, 5237 sayılı Türk Ceza Kanunu’nun 135. maddesinde düzenlenmiştir. Bu suç, kişilerin özel hayatının gizliliği hakkını korumayı amaçlar ve hukuka aykırı olarak kişisel verileri kaydeden kişileri cezalandırır.
TCK madde 135/1’e göre: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.” Aynı maddenin ikinci fıkrası ise nitelikli halleri düzenler: “Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.”
Suçun Unsurları
| Unsur | Açıklama | Örnekler |
|---|---|---|
| Maddi Unsur | Kişisel verilerin kaydedilmesi fiili | Ses kaydı, görüntü kaydı, veri tabanına işleme |
| Hukuka Aykırılık | İlgilinin rızası veya kanuni yetki olmaması | Rızasız kayıt, yetkisiz erişim |
| Manevi Unsur | Genel kast | Bilerek ve isteyerek kaydetme |
| Fail | Herkes (özgü suç değil) | Gerçek kişiler, şirket çalışanları |
Kişisel Veri Kavramı
6698 sayılı Kişisel Verilerin Korunması Kanunu madde 3/1-d uyarınca kişisel veri: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım oldukça geniştir ve şunları kapsar:
- Ad, soyad, TC kimlik numarası, pasaport numarası
- Telefon numarası, adres, e-posta adresi
- Fotoğraf, ses kaydı, parmak izi, DNA profili
- IP adresi, konum bilgisi, çerez kayıtları
- Banka hesap numarası, kredi kartı bilgileri
- Sosyal medya profilleri, kullanıcı adları
Özel Nitelikli Kişisel Veriler
TCK 135/2’de sayılan ve daha ağır cezai yaptırım gerektiren özel nitelikli kişisel veriler:
2. Felsefi inanç: Dünya görüşü, yaşam felsefesi
3. Din ve mezhep: İnanç bilgileri, ibadet alışkanlıkları
4. Irk ve etnik köken: Soy bilgileri, etnik kimlik
5. Cinsel yaşam: Cinsel yönelim, cinsel tercihler
6. Sağlık verileri: Hastalık bilgileri, tedavi kayıtları
7. Sendika üyeliği: Sendika bağlantıları, grev katılımı
8. Biyometrik veriler: Parmak izi, iris taraması
9. Genetik veriler: DNA profili, genetik hastalık bilgileri
Hukuka Uygunluk Nedenleri
Kişisel verilerin kaydedilmesi her durumda suç oluşturmaz. KVKK madde 5 ve 6’da sayılan hukuka uygunluk nedenleri:
1. İlgilinin Açık Rızası
KVKK madde 3/1-a uyarınca açık rıza: “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır. Açık rızanın geçerli olması için:
- Bilgilendirme: Veri işleme amacı açıklanmalı
- Belirlilik: Hangi verilerin işleneceği belirtilmeli
- Özgür irade: Baskı veya tehdit olmamalı
- Açıklık: Rıza açık ve net olmalı
2. Kanunlarda Açıkça Öngörülme
Bazı kanunlar, belirli durumlarda kişisel veri kaydını zorunlu kılar veya yetki verir:
| Kanun | Yetki/Zorunluluk | Veri Türü |
|---|---|---|
| İş Kanunu | İşçi özlük dosyası | Kimlik, sağlık, özgeçmiş |
| Vergi Usul Kanunu | Mükellefiyet kaydı | Mali bilgiler |
| 5651 sayılı Kanun | Trafik bilgisi saklama | IP, erişim logları |
| Bankacılık Kanunu | Müşteri tanıma | Kimlik, adres, mali durum |
3. Fiili İmkansızlık ve Yaşamsal Menfaat
İlgilinin rıza veremeyecek durumda olması ve yaşamsal çıkarının korunması gereken haller:
- Bilinci kapalı hastanın tıbbi verilerinin kaydı
- Kayıp kişinin bulunması için veri işleme
- Afet durumlarında kurtarma amaçlı kayıtlar
4. Sözleşmenin İfası
Tarafı olunan sözleşmenin gereği olarak veri kaydı:
- Kargo teslimatı için adres kaydı
- Sigorta poliçesi için sağlık bilgisi
- Kredi başvurusu için mali veri kaydı
5. Hukuki Yükümlülük
Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi:
- İşverenin SGK bildirimleri
- Şirketlerin defter tutma yükümlülüğü
- Avukatların dosya saklama zorunluluğu
6. Aleniyet Kazanmış Olma
İlgili kişi tarafından alenileştirilmiş veriler:
- Sosyal medyada paylaşılan bilgiler
- Kamuya açık sicillerdeki kayıtlar
- Basında yer alan haberler
7. Meşru Menfaat
Temel hak ve özgürlüklere zarar vermemek kaydıyla meşru menfaatler için zorunlu olma:
- Güvenlik kamerası kayıtları
- Dolandırıcılığın önlenmesi için veri analizi
- İş yeri güvenliği için kayıtlar
Suçun Cezası ve Yaptırımlar
Temel Ceza (TCK 135/1)
Hukuka aykırı olarak kişisel verileri kaydeden kişiye 1 yıldan 3 yıla kadar hapis cezası verilir. Bu ceza:
- Alt sınır: 1 yıl hapis
- Üst sınır: 3 yıl hapis
- Adli para cezasına çevrilme: Mümkün (TCK 50)
- Hükmün açıklanmasının geri bırakılması: Şartları varsa mümkün
- Uzlaşma: Bu suç uzlaşma kapsamında değildir
Nitelikli Hal Cezası (TCK 135/2)
Özel nitelikli kişisel verilerin kaydedilmesi halinde ceza %50 oranında artırılır. Bu durumda:
– Alt sınır: 1 yıl + 6 ay = 1 yıl 6 ay hapis
– Üst sınır: 3 yıl + 1 yıl 6 ay = 4 yıl 6 ay hapis
Tüzel Kişiler Hakkında Güvenlik Tedbirleri
TCK madde 140 uyarınca, kişisel veri suçlarının bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde:
- Faaliyet izninin iptali: Ağır ihlallerde
- Müsadere: Suçta kullanılan araç ve gereçler
İdari Para Cezaları (KVKK Madde 18)
Ceza yargılamasından bağımsız olarak Kişisel Verileri Koruma Kurulu tarafından uygulanabilecek idari para cezaları:
| İhlal Türü | 2025 Yılı Ceza Miktarı | Açıklama |
|---|---|---|
| Aydınlatma yükümlülüğü ihlali | 25.000 – 500.000 TL | Bilgilendirme yapılmaması |
| Veri güvenliği ihlali | 50.000 – 2.000.000 TL | Teknik tedbirlerin alınmaması |
| Sicile kayıt yükümlülüğü | 75.000 – 1.500.000 TL | VERBİS’e kayıt olunmaması |
| Kurul kararlarına aykırılık | 100.000 – 3.000.000 TL | Kurul kararlarının uygulanmaması |
Suçun İşleniş Biçimleri ve Örnekler
1. İş Yerinde Kişisel Veri Kaydı
İş yerlerinde sıklıkla karşılaşılan hukuka aykırı kayıt örnekleri:
- Gizli ses kaydı: Çalışanların rızası olmadan konuşmalarının kaydedilmesi
- E-posta takibi: Kişisel e-postaların okunması ve kopyalanması
- Aşırı kamera gözetimi: Soyunma odası, tuvalet gibi mahrem alanlara kamera
- Sağlık verisi toplama: İş ile ilgisi olmayan sağlık bilgilerinin istenmesi
2. Dijital Ortamda Veri Kaydı
İnternet ve sosyal medya üzerinden gerçekleştirilen ihlaller:
- Web scraping: İzinsiz veri kazıma işlemleri
- Profil kopyalama: Sosyal medya profillerinin çoğaltılması
- Cookie hırsızlığı: Tarayıcı çerezlerinin ele geçirilmesi
- Phishing: Sahte sitelerle veri toplama
3. Sağlık Verilerinin Kaydı
Sağlık sektöründe özel dikkat gerektiren durumlar:
– Tedavi amaçlı tıbbi kayıtlar
– Reçete bilgileri
– Sigorta işlemleri için gerekli verilerHukuka aykırı kayıt:
– Tedavi dışı amaçla veri toplama
– Üçüncü kişilerle izinsiz paylaşım
– Araştırma için rızasız veri kullanımı
4. Finansal Verilerin Kaydı
Bankacılık ve finans sektöründe dikkat edilmesi gerekenler:
- Müşteri kimlik bilgileri sadece yasal zorunluluklar için
- Kredi değerlendirmesi için orantılı veri toplama
- Üçüncü taraf paylaşımlarında açık rıza
- Pazarlama amaçlı veri kullanımında özel izin
Zamanaşımı ve Yargılama Usulü
Dava ve Ceza Zamanaşımı
TCK madde 66 uyarınca zamanaşımı süreleri:
| Suç Türü | Dava Zamanaşımı | Ceza Zamanaşımı |
|---|---|---|
| TCK 135/1 (Temel hal) | 8 yıl | 10 yıl |
| TCK 135/2 (Nitelikli hal) | 8 yıl | 15 yıl |
Görevli ve Yetkili Mahkeme
Kişisel verilerin kaydedilmesi suçunda:
- Görevli mahkeme: Asliye Ceza Mahkemesi
- Yetkili mahkeme: Suçun işlendiği yer mahkemesi (CMK 12)
- Özel yetki: Bilişim sistemleri kullanılmışsa mağdurun yerleşim yeri mahkemesi de yetkili
Soruşturma ve Kovuşturma
Bu suç için şikayet şartı aranmaz. Cumhuriyet savcısı re’sen soruşturma başlatabilir. Soruşturma aşamasında:
- Delil toplama: Bilişim sistemlerinde inceleme, log kayıtları
- Bilirkişi incelemesi: Teknik konularda uzman görüşü
- Arama ve el koyma: Hakim kararıyla, gecikmesinde sakınca varsa C.Savcısı emriyle
Özel Durumlar ve İstisnalar
Basın ve İfade Özgürlüğü
KVKK madde 28/1 uyarınca, basın ve ifade özgürlüğü kapsamında yapılan veri işlemelerde:
- Sanat ve edebiyat amaçlı veri işleme
- Akademik araştırma ve yayınlar
- Haber verme amaçlı gazetecilik faaliyetleri
“Kamu yararı bulunan bir konuda haber yapma amacıyla kişisel verilerin işlenmesi, basın özgürlüğü kapsamında değerlendirilmelidir. Ancak bu özgürlük, özel hayatın gizliliği ile dengelenmelidir.”
Bilimsel Araştırma İstisnası
Bilimsel araştırmalarda kişisel veri kullanımı için:
- Etik kurul onayı alınması
- Verilerin anonimleştirilmesi
- Araştırma amacıyla sınırlı kullanım
- Üçüncü taraflarla paylaşım yasağı
Arşiv Araştırmaları
Tarihi araştırmalar ve arşiv çalışmalarında:
- Kamu arşivlerindeki veriler
- 100 yıl kuralı (hassas veriler için)
- Araştırma amaçlı sınırlı erişim
Veri İhlali Durumunda Yapılması Gerekenler
Veri Sorumlusu Yükümlülükleri
KVKK madde 12/5 uyarınca veri ihlali durumunda:
- Tespit: İhlalin kapsamının belirlenmesi
- Değerlendirme: Risk analizinin yapılması
- Bildirim: 72 saat içinde KVKK’ya bildirim
- İlgiliye bilgi: Yüksek risk varsa ilgili kişilere bildirim
- Kayıt: İhlal kayıtlarının tutulması
Mağdur Hakları
Kişisel verileri hukuka aykırı kaydedilen kişilerin hakları:
| Hak Türü | İçerik | Başvuru Yeri |
|---|---|---|
| Ceza şikayeti | Suç duyurusu | Cumhuriyet Başsavcılığı |
| KVKK başvurusu | İdari yaptırım talebi | Kişisel Verileri Koruma Kurumu |
| Tazminat davası | Maddi/manevi tazminat | Hukuk Mahkemesi |
| Silme/yok etme | Verilerin silinmesi talebi | Veri sorumlusuna başvuru |
Somut Olay Örnekleri
Örnek 1: İşyerinde Gizli Kamera
Olay: Bir işveren, çalışanlarının hırsızlık yaptığından şüphelenerek, onların bilgisi olmadan çalışma alanlarına ses kayıt özelliği olan gizli kameralar yerleştirmiş ve 3 ay boyunca kayıt yapmıştır.
Hukuki Değerlendirme:
– TCK 135/1 kapsamında suç oluşur
– Çalışanların açık rızası alınmamıştır
– Ses kaydı alınması ağırlaştırıcı unsurdur
– Meşru menfaat savunması geçerli değildir
Muhtemel Ceza: 1-3 yıl hapis cezası
İdari Para Cezası: 100.000-2.000.000 TL arası
Örnek 2: E-ticaret Veri Satışı
Olay: Bir e-ticaret sitesi, müşterilerinin alışveriş alışkanlıkları, kredi kartı bilgileri (CVV hariç) ve adres bilgilerini içeren veri tabanını, müşterilerin rızası olmadan bir pazarlama şirketine satmıştır.
Hukuki Değerlendirme:
– TCK 135/1 + TCK 136 (verileri yayma) suçları oluşur
– Ticari sır niteliğindeki veriler de içerir
– Zincirleme suç hükümleri uygulanır
– Tüzel kişi hakkında güvenlik tedbiri
Muhtemel Ceza: Her iki suçtan ayrı ceza, artırımlı
Tazminat: Etkilenen her kişi için ayrı tazminat hakkı
Örnek 3: Sosyal Medya Profil Kopyalama
Olay: Bir kişi, eski sevgilisinin sosyal medya hesaplarındaki tüm fotoğraf ve paylaşımları indirip, bunları kullanarak sahte hesaplar açmış ve bu verileri başkalarıyla paylaşmıştır.
Hukuki Değerlendirme:
– TCK 135/1 – Kişisel verileri kaydetme
– TCK 136 – Verileri hukuka aykırı verme/yayma
– TCK 134 – Özel hayatın gizliliğini ihlal
– Hakaret suçu da oluşabilir
Özellik: Aleni veriler olsa bile amaç dışı kullanım suçtur
Ek yaptırım: Sosyal medya platformlarında engellenme
Sonuç
Kişisel verilerin kaydedilmesi suçu, dijital çağın en önemli hukuki sorunlarından biri haline gelmiştir. TCK madde 135 ile KVKK’nın birlikte uygulanması, hem cezai hem idari yaptırımlarla güçlü bir koruma sağlamaktadır.
Özellikle dikkat edilmesi gereken hususlar:
- Açık rıza: Salt genel ifadeler yeterli değildir
- Veri minimizasyonu: Sadece gerekli veriler toplanmalıdır
- Amaç sınırlaması: Veriler sadece belirtilen amaçla kullanılmalıdır
- Güvenlik: Teknik ve idari tedbirler alınmalıdır
- Hesap verebilirlik: Uyum kanıtlanabil
melidir
Kişisel verilerin korunması sadece hukuki bir zorunluluk değil, aynı zamanda güven ilişkisinin temelidir. Hem bireyler hem kurumlar, veri koruma bilincini artırmalı ve gerekli tedbirleri almalıdır. Veri ihlali durumlarında hak kaybı yaşamamak adına bir avukatın profesyonel desteği kritik öneme sahiptir.
Sıkça Sorulan Sorular (SSS)
1. İş başvurusunda istenen bilgiler suç oluşturur mu?
İş ile ilgili makul bilgiler (eğitim, deneyim, referans) istenebilir. Ancak hamilelik durumu, siyasi görüş, dini inanç gibi bilgilerin istenmesi ve kaydedilmesi suç oluşturur.
2. Güvenlik kamerası kayıtları ne kadar saklanabilir?
KVKK uyarınca güvenlik amaçlı kayıtlar genellikle 30 gün, özel durumlarda (banka vb.) 90 güne kadar saklanabilir. Daha uzun saklama için özel gerekçe gerekir.
3. Sosyal medyada paylaştığım bilgiler korumasız mı?
Hayır. Sosyal medyada paylaşılan bilgiler aleni olsa bile, bunların başka amaçlarla toplanması, işlenmesi veya profil oluşturulması için kullanılması suç oluşturur.
4. Veri ihlali durumunda ne yapmalıyım?
Derhal veri sorumlusuna başvurun, tatmin edici cevap alamazsanız KVKK’ya şikayet edin. Aynı zamanda Cumhuriyet Başsavcılığına suç duyurusunda bulunabilirsiniz.
5. KVKK kapsamı dışında kalan veriler var mı?
Evet. Tamamen anonim veriler, tüzel kişilere ait veriler, resmi istatistik amaçlı işlenen veriler KVKK kapsamı dışındadır. Ancak bu verilerin de kötüye kullanımı başka suçları oluşturabilir.
Avukat Görkem Demircan, 1993 yılında Ankara’nın Yenimahalle ilçesinde doğmuştur. Hukuk Fakültesini tam burslu ve onur öğrencisi olarak Ankara’da tamamlamıştır.
Avukat Görkem Demircan, avukatlık stajını yoğunluklu olarak ceza hukuku, aile hukuku, iş hukuku, icra hukuku ve idare hukuku alanlarında çalışarak tamamlamıştır.
Ankara Barosu nezdinde 39533 sicil numarası ile serbest AVUKAT olarak çalışmaktadır.
Özellikle ceza hukuku ve aile hukuku alanında uzmanlaşmak adına yoğunluğunu bu alanlara vermiştir. Yaklaşık 5 yıldır fiili olarak avukatlık mesleğini icra etmektedir.
