KİŞİSEL VERİLERİN DİJİTAL YÖNTEMLER İLE HUKUKA AYKIRI ELDE EDİLMESİ

​

​

                                                                                                      KVKK Uzmanı Avukat Sena DALAZ

​

​

ÖZET

​

Günümüz teknoloji çağında, bilginin çok hızlı şekilde toplanması, işlenmesi ve aktarılmasının kişinin mahremiyet, rahatsız edilmeme, anonim kalma gibi özellikle manevî varlığına ilişkin haklarını tehdit etmesiyle birlikte, dünya üzerinde kişinin aidiyetini belirleyen kişisel verilerinin korunması gerektiği fikri ortaya çıkmıştır. Elektronik cihazlar ve sistemlerle bilginin otomatik hâlde işlenmesi bu fikrin tohumlarının atılmasına sebep olurken internetin icat edilmesi ve çok hızlı bir şekilde toplumların gündelik yaşamlarında kullanılmaya başlaması ise bu gerekliliği hayatî hâle getirmiştir.

 

İşbu makalede, kişisel verilerin hukuka aykırı olarak elde edilmesi, kişisel verilerin ceza mevzuatındaki yeri ve işleyiş sorunları ele alınmıştır.

​

Anahtar Kelimeler: Kişisel Veri, Kişisel Verilerin Ele Geçirilmesi, Kişisel Verilerin Korunması

​

GİRİŞ

​

Günümüzde gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu bilgiler arasında gittikçe artan bir ölçüde kişisel verilerin de yer alması, söz konusu verilerin korunması ihtiyacını gündeme getirmiştir.

​

Kişisel verilerin artık ticarî meta hâline getirilmesi, her geçen gün yeni bir boyut kazanan siber suçlardaki hızlı artış ve buna bağlı olarak toplum psikolojisinde ortaya çıkan kaygılar; izleme, gözetleme, dinleme ve kaydetme imkânlarının olağanüstü derecede artması, yaygınlaşması ve kolaylaşması, bilgisayar ya da diğer mobil cihazlar başında insanoğlunun olağanüstü sosyalleşme çabaları ve buna bağlı olarak sosyal medya aracılığı ile çok fazla miktarlarda paylaşılan kişisel veriler dikkate alındığında kişisel verilerin genel mevzuat hükümlerine göre korumada yetersiz kalacağı açıktır (Oğuz, 2013) . Bu çalışmada kişisel veriler, dijital yöntemler, kişisel verilerin dijital yöntemler ile hukuka aykırı bir şekilde ele geçirilmesi ve ilgili kanun ve yönetmelikler ele alınacaktır.

​

KİŞİSEL VERİ

​

Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir ve ayırt edici nitelikte olması gerekmektedir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırt etmeye ve niteliklerini ortaya koymaya elverişli her türlü bilgidir.

​

Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı bilgisi, kişisel düşünce ve inançları, dernek, vakıf ya da sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. Kanunda yer alan kişisel veri tanımı doğrultusunda gerçek bir kişiyi belirli veya belirlenebilir kılan her türlü bilginin kişisel veri olarak kabul edilmesi gerekmektedir. Kanunda yapılan tanımlamada hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin esaslar sayılmıştır. Bu hususta Kanun koyucu tarafından sınırlı sayım esasının (Numerus Clausus ilkesi) benimsenmediği görülmektedir.

​

Kanunda gelişen teknolojilerle türetilebilecek veri kategorilerini de düzenleyecek şekilde geniş bir kişisel veri tanımı sunulmaktadır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. Kanunun gerekçesinde bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi kişinin kesin teşhisini sağlayan verilerin yanı sıra, kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiştir.

​

Kişisel veriler, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyabileceği gibi, kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm verileri kapsamaktadır. Nitekim Kanunun gerekçesinde
de telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir.

​

KİŞİSEL VERİLERİN ELDE EDİLMESİ YÖNTEMİ

 

İnsanlar elektronik ortamlara dâhil oldukları anda birtakım kişisel verilerini de kullanıma açmış olurlar. Bu gün veri toplayabilen birçok elektronik sistem, kullanıcı ile etkileşime geçtiği ilk anda, hiçbir bilgi kaydedemese dahi kullanıcının benzersiz numarasını ve sisteme bağlandığı zamanı, sistem günlüğüne kaydeder. Her ne kadar, yazılım uzmanları kişisel verileri kaydetmeyi, güvenlik gerekçesi ile ortaya çıkan bir ihtiyaç olarak açıklamaya çalışsalar bile, insanoğlunun kişisel verileri kaydetmede temel saiki, içinden gelen başkası hakkında bilgi ve onun zaaflarını bilme dürtüsünden kaynaklandığını düşünmekteyiz. Zira hangi türden bir elektronik ortam olursa olsun, çoğu zaman ihtiyaç duyulandan çok daha fazla kişisel veriye erişme eğilimindedir. Bunun en güzel örneği, bugün çok popüler olan Android uygulamalarıdır. Bir Android uygulamayı mobil cihazlarınıza yüklemek istediğiniz zaman telefon rehberi, görüşme detayları, mesajlar dâhil, olabildiğince çok veriye erişim için izin istemekte, kullanıcılar ise uygulamayı yükleyebilmek ve kullanabilmek için istemeseler de erişim isteğini kabul etmektedirler. Böylelikle de kişisel verilerin üçüncü kişilerin eline geçmesi gibi birtakım bilişim suçlarının, bilgisayar kullanıcıları tarafından bilinçsiz taksirle işlenebileceğini ortaya koymaktadır.

​

Zaman içerisinde kişisel verilerin elde edilme yöntem ve yoğunluğu farklılık gösterse de bugün devletlerin kendi mevzuatında kişisel verileri koruma gayretleri ile paralel olarak ilgilinin rızası doğrultusunda kişisel verilerin elde edilme yöntemi yaygındır.

​

Kişi, bir programı, bir siteyi kullanabilmek ya da sunulan bir hizmetten yararlanabilmek için istemese de birtakım kişisel verilerinin elde edilmesine rıza göstermekte ya da bizzat bilgi girişi yapmak suretiyle kişisel verilerini karşı tarafa iletmektedir. Elektronik ortamda yapılan ticaretin çok yaygın olduğu günümüzde, kullanıcı hangi türden bir alışveriş sitesine girerse girsin, alışveriş yapmak istediği zaman adı, soyadı, eposta adresi, T.C. Kimlik Numarası, kredi kartı bilgileri gibi bilgileri istenmekte, bu bilgiler verilmediği zaman işlem gerçekleşmemektedir.

​

İstenen bu bilgiler arasında T.C. Kimlik Numarasının önemi üzerinde durmak gerekir. VUK’un 230. maddesi, 157 numaralı VUK Tebliği ve 3 numaralı Vergi Kimlik Numarası Genel Tebliği göz önüne alındığında nihai tüketicilere yapılan satışlar için düzenlenecek faturalarda nihai tüketicinin T.C. Kimlik Numarasının belirtilme zorunluluğu bulunmamaktadır. Buna rağmen bütün alışveriş sitelerinde, fatura düzenlenirken ihtiyaç olduğu gerekçesiyle kullanıcıların T.C. Kimlik Numaraları istenmekte, verilmediği zaman ya da yanlış verildiği zaman alışveriş süreci devam ettirilemediğinden işlem gerçekleştirilememektedir.

​

“Kişisel veri zinciri kurma” olarak tabir edebileceğimiz bu yöntemde, kişinin bilinebilir adı ve soyadının yanına önce T.C. kimlik numarası eklenir, sonra çalışmış olduğu kurum sicil numarası, anne baba adı derken, e-devlet sisteminden elde edilen fazladan bir bilgi ile sonuçta kişinin hiç de istemeyeceği şekilde A’dan Z’ye tüm bilgisine ulaşılabilir.

Kişisel verilerin elde edilmesine ilişkin diğer yöntemler ise çerezlerdir. Çerezler (cookiees), web sunucuları tarafından tarayıcı marifetiyle kullanıcıların bilgisayarlarına sonraki kullanımlar için yerleştirilen bilgi parçacıklarıdır. Kullanıcı siteyi her ziyaret ettiğinde, site kullanıcının bilgisayarına istemi dışında bırakılan çerezi kontrol eder. Böylece kullanıcının daha önceki işlemleri hakkında bilgi sahibi olur. Bu yöntem kullanıcıların internet ortamındaki eğilimlerini analiz için en garanti sonuç veren yöntemlerden bir tanesidir.

​

Çerezlerin bu kadar popüler hâle gelmesinin nedenlerin bir tanesi ise, kuşkusuz, kullanıcıların çerezlerin bilgisayarında saklanmasından rahatsız olmuyor olmalarıdır. Çerezler virüs de taşıyamazlar herhangi bir kod da çalıştıramazlar. Çerezler bir nevi vücutta yaşayan asalaklar gibidir. Vücuda bir zararı olmamakla beraber vücutta tutunmaya devam ederler.

​

Genel olarak sonraki ziyaretler, kullanıcıyı çabuk tanıma ve kullanıcı tercihleri hakkında bilgi almak için gönderilirler. Silinmeleri ve engellenmeleri mümkündür. Kişisel verileri ele geçirmenin sayısız yolu olmasına rağmen, son günlerde ülkemizde yaşanan gelişmelere bağlı olarak kullanıcılara zarar vermesi muhtemel bir yöntemden bahsedilmesi gerekmektedir. 

Özellikle sitelere erişim yasağı uygulanmaya başladıktan sonra internet kullanıcılarının DNS değiştirerek sitelere girmeye devam ettikleri 5651 sayılı Kanun’un yürürlüğü süresince biliniyordu. Ancak IP bazlı, site engelleme yöntemi uygulanmaya başladıktan sonra DNS adreslerini değiştirerek sitelere bağlanmak mümkün olmadığında kullanıcılar, VPN servislerini veya programlarını kullanmaya başladılar.

​

VPN servisleri temelde ücretlidir. Ancak ücretsiz olduğu bildirilen birçok VPN servis veya programı, sitelere erişim engellendikçe, binlerce Türk internet kullanıcısı tarafından bilgisayarlarına, mobil telefonlarına indirilmiş ve kullanılmıştır. Bu programlara eklenebilecek çok küçük yazılımlarla kullanıcıların kişisel verilerinin ele geçirilmesi mümkün olduğu gibi kullanıcıların bilgisayar ve mobil cihazları DOS saldırılarında birer araç olarak da kullanılabilir. Bu sebeple kullanılması düşünülen bu tür program ve servislerin kullanımına başlanmadan önce mutlaka güvenirliğine dikkat
edilmeli, program ve servisler hakkında detaylı bilgilere ulaştıktan sonra ilgili program veya servis kullanılmalıdır.

​

KİŞİSEL VERİLERİN HUKUKA AYKIRI ŞEKİLDE EN YAYGIN ELE GEÇİRME YÖNTEMLERİ

​

1.SIM Kart Yenileme ve Operatör Değişikliği: Mevduat sahibi adına sahte bir kimlik düzenledikten sonra GSM şirketinin bayisine giden kötü niyetli üçüncü kişilerin, telefonlarının çalındığı ya da kaybolduğu bahanesiyle yeni bir sim kart çıkartıp, SMS yoluyla mevduat sahibine ait internet şifresini ele geçirme yöntemidir.

​

2.Olta (Phishing) Yöntemi: Olta atıldığında en azından bir balık yakalanır düşüncesinden esinlenerek türetilmiş bir çevrimiçi kişisel veri elde etme yöntemdir. Yemleme (oltalama) olarak da Türkçe’ye çevrilen bir saldırı türüdür. Bu yöntemde müşteri, bir banka ya da resmi bir kurum tarafından gönderilmiş gibi hazırlanan e-posta yardımıyla sahte sitelere yönlendirilmektedir. Böylece kişilere ait şifre ya da kredi kartı ayrıntıları öğrenilmektedir. Bu nedenle oltalama yöntemi, e-posta ile dolandırıcılık yöntemi olarak da adlandırılmaktadır. Yani, “online dolandırıcılığı (şifre avcılığı)” anlamında kullanılmaktadır. Bilgisayar kullanıcısına, banka tarafından gönderilmiş izlenimi verilen cazip teklifler niteliğinde e-postalar gönderilmekte, kullanıcının elektronik posta bilgilerini güncellemesi ya da gönderilen birtakım soruları cevaplandırması istenmektedir. Bu amaçla, kullanıcının karşısına posta içinde hazırlanmış kutucuklar veya tıklama sonucunda açılan gerçek görünümlü sahte siteler ya da doğru banka adresini yazdığı halde kullanıcı sahte bir sayfaya yönlendirilen hesap sahibinin kullanıcı adı ve şifresinin elde edilmesi sağlanmaktadır.

​

3.Klavye Hareketleri (Key Logger) Yöntemi (Tuş Vuruşu Kaydetme): Bir bilgisayarda yapılan her tuş vuruşunu izleme eylemidir. Kötü amaçlı casus bir yazılım olup, bununla parola veya mali bilgiler gibi hassas veriler VPN programlarına eklenebilecek çok küçük yazılımlarla kullanıcıların kişisel verilerinin ele geçirilmesi mümkün elde edilmekte, üçüncü kişilerin bunlardan suç amaçlı yararlanması sağlanmaktadır. Bu yöntemde, kısmen “pishing yöntemi” ile müşterinin bilgisayarına “truva atı (trojan horse)” yerleştirilmektedir. Yerleştirilen truva atı, kullanıcının klavye hareketlerini kaydedip karşı tarafa göndermektedir. Böylece, kullanıcının şifre gibi gizli bilgileri elde edilebilmektedir.

​

4.Ekran Kayıtları (Screen Logger) Yöntemi (Ekran Kaydediciler): Bu yöntemin işleyişi, klavye hareketleri (key logger) yöntemiyle örtüşmektedir. Ancak kullanıcı bilgilerinin elde edilmesi klavye hareketleri ile sınırlı değildir. Bu yöntemde sistem, bilgisayar faresiyle ekrandaki bir yerin tıklanmasıyla devreye girmektedir. Bu şekilde ekranının tamamının ya da bir kısmının resmi çekilerek karşı tarafa gönderilmektedir. Bu yöntem sayesinde sanal klavye ile girilen bilgilerin ele geçirilmesi mümkün hale gelmektedir.

​

5.İstenmeyen Elektronik Posta (Spam): Alıcıya, iradesi dışında gönderilen genellikle zararlı, istenmeyen e-postalardır. Özellikle kötü niyetli yazılım ya da programlar vasıtasıyla (malware) bilgi hırsızlığı ve oltalama faaliyetlerinde sıkça kullanılan bir yöntemdir.

6.“Man in the Middle” Yöntemi (Aradaki Adam Saldırısı): Bu tür saldırılar yukarıda ifade edilenlerden farklılık göstermektedir. Çünkü banka ile müşteri iletişim halindeyken kötü niyetli kişi araya girerek müşteriye ait kişisel verileri elde etmektedir. Bu tür saldırılar genellikle SSL protokolü (Secure Sockets Layer) şifrelemesi yapılmayan durumlarda gerçekleşmektedir. Bu yöntem ile elde edilen müşteri verileri ya daha sonra kullanılmaktadır ya da müşterinin verdiği bilgilere anında müdahale edilerek bunların manipüle edilmiş bir şekilde diğer tarafa iletilmesi sağlanmaktadır.

7.Sosyal Mühendislik (Social Engeneering): Sosyal mühendislik, çeşitli ikna ve kandırma yöntemleriyle kişilerin internetteki zafiyetlerinden faydalanılarak istenilen bilgilerin elde edilmeye çalışılmasıdır. Bunun için insanların karar verme süreçlerini değiştirmeye yönelik teknikler kullanılmaktadır. Sosyal mühendisler, sosyal ilişkiler kurarak sistemin açıklarının zayıf yönünü keşfetmek amacıyla bilgi toplarlar. Söz konusu açıklar, yazılım ve sistemlerdeki açıklardan ziyade ilgili kişilerin açıklarını bulup sistem hakkında bilgi alma ve sis-temin zayıf noktalarını anlamaya çalışma üzerine yoğunlaşmaktadır. Böylece kişilere sezdirilmeden şifre ve güvenlik tedbirleriyle ilgili bilgi almaya çalışılmaktadır. Bunun en tipik örneği ise bilgi edinecekleri kişiye şirketin personeliymiş gibi kendilerini tanıtarak, bazı acil bilgilere ihtiyaç duyulduğunu ifade edip şifre gibi önemli bilgilerin sızdırılmasının sağlanmasıdır. 

 

8.Kötü Niyetli Yazılım veya Programlar (Malware): Kötü niyetli yazılım veya programlar en yaygın şekilde virüs, bukalemun, çerezler ve truva atı şeklinde cep veya sabit telefona ya da bilgisayara yüklenmekte, bunlar aracılığıyla hukuka aykırı bir şekilde kişisel veriler elde edilmektedir. Virüsler, bilgisayarın belleğine yerleştirilen bir yazılım programı olup, çalıştırılabilen bir programa kendisini ekleyerek ya da bir kopyasını oluşturarak çoğalmaktadır. Bukalemun, kullanıcı adı ve şifrelerini taklit sayesinde çok kullanıcılı sistemlerde kendisini gizli bir dosyaya kaydedebilmekte ya da normal bir program gibi çalışabilmektedir. Sistem, bakım amacıyla kısa bir süre için kapatılacağına dair uyarı verdiği sırada bukalemun programını yöneten kişi kullanıcı adı ve şifrelerini elde etmek amacıyla gizli dosyaya bu sırada erişmektedir. Çerezler (cookies) ise internet kullanıcısının sabit diskinde bulunur ve kullanıcı her internete bağlandığında, dolaşılan siteleri kayıt altına alıp kullanıcının sabit diskine metin olarak yerleştirmektedir. Bu araç, iyi niyetle kullanılabileceği
gibi hukuka aykırı bir şekilde yayın yapan internet siteleri tarafından özellikle şantaj ve baskı aracı olarak da bireylere karşı kullanılabilmektedir. Ancak çerezlerde tutulan bilgiler, çoğu zaman kişisel verilerin korunmasına zarar vermektedir. Truva atı ise yararlı ve yasal gibi görünmekle birlikte bilgisayarları uzaktan yönetmek amacıyla arka kapı açan programlardır. Bilgisayar korsanları bu programları kullanarak sistemin yapılanmasını değiştirebilmekte, kullanıcının şifre gibi hassas verilerine de erişebilmektedir.

9.Casus Yazılım (Spyware): Spyware, kötümcül bir yazılım türüdür. Kişinin bilgisi olmadan kendisi ya da bir kuruluş hakkında bilgi toplamaya yardımcı olur. Toplanan bilgileri üçüncü kişilere gönderebileceği gibi bu kişilere bilgisayar üzerinde yönetim hakkı da sağlayabilir. Söz konusu yazılım türü, her zaman izleme ve kullanıcı bilgilerini raporlama bileşenlerini içerir. Bilgisayarlara yeni bir yazılım programının yüklenmesi sonucu veya biri sürücü yükleme sonrası ya da aldatıcı pop-up penceresinin bazı seçeneklerinin tıklanmasıyla bulaşabilmektedir. Bu yazılımın amacı, bulaştığı sisteme gizlenmek suretiyle kullanıcı hakkında veriler toplayıp bunları yazılım sahibine iletmektir.

10.Pharming/DNS-Spoofing: İnternet üzerinden iletişim kurabilmek için kişi ya da kurumların her birinin 0 ile 255 arasında dört haneli bir IP adresi (İnternet-Protokolü) alması gerekmektedir. Çünkü internet üzerinden iletişim, IP adresleri üzerinden gerçekleşmektedir. IP adresini oluşturan numaraları akılda tutmak zor olduğu için internet üzerinden iletişime geçilecek bu numaralara bir isim (domain-name) verilmektedir. Bu saldırı türünde kötü niyetli kişiler, alan adı sunucusundaki (DNS-Domain Name Service) dosyada ilgili ismin (domain-name) temsil ettiği numarayı değiştirmektedir. Müşteri, alan adını (domain-name) girdiği zaman başka bir numaraya bağlanmaktadır. Bu müdahale ise genellikle dolandırıcıların daha önce müşterinin bilgisayarına gönderdikleri bir e-postaya yerleştirdikleri virüs ya da truva atı (trojan horse) aracılığıyla gerçekleştirilmektedir. Dolayısıyla müşterinin herhangi bir aktif davranışı söz konusu değildir. Müşteri, mevduatının bulunduğu bankanın web adresini doğru yazmasına rağmen otomatik olarak sahte bir web sitesine yönlendirilmektedir. Müşteri yönlendirildiği bu sitede kişisel verilerini kullandığı zaman söz konusu veriler dolandırıcıların eline geçmektedir.

11.Sistem veya Yazılım Açıklarından Faydalanma (Hacking ve Cracking): Türkçeye, “saldırı” olarak çevrilebilecek hacking yöntemi, elektronik sistem ya da bilgisayar açıklarından yararlanmak için kullanılan en elverişli yöntemlerden birisidir. Bir diğer yöntem ise “kırma” anlamına gelen “cracking”dir. Her iki yöntem-den yararlanılarak kişisel veriler çalınmaktadır. Bu yöntemler aracılığıyla kişisel veriler hukuka aykırı şekilde elde edilebilmektedir.

​

TCK'DA KİŞİSEL VERİLER

​

TCK m.135 ve 138 arasında kişisel verilere özel olarak düzenlenmiştir. 135. Madde “Kişisel Verilerin Kaydedilmesi” başlığıyla iki fıkra halinde düzenlenmiş olup, kişisel verileri hukuka aykırı olarak kaydeden kimseye bir yıldan üç yıla kadar hapis cezası belirtilmiştir. Cezayı arttıran hususlar ise, ceza yarı oranda arttırılacağı belirtilmiştir. Cezayı arttıran hususlar ise şunlardır: Kişisel verilerin; kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olmasıdır.

136. maddede “Verileri Hukuka Aykırı Olarak Verme ve Ele Geçirme” başlığıyla iki fıkra halinde düzenlenmiş olup, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezasıyla cezalandırılacağı belirtilmiştir. Cezayı arttıran hususlarda ise verilecek cezanın bir kat olarak arttırılacağı belirtilmiştir.

137. maddede nitelikli haller düzenlenmiştir. Bu düzenlemeler, Kamu görevlisi tarafından ve görevin verdiği yetkiyi kötüye kullanmak ve belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle nitelikli hal kabul edileceği belirtilmiştir. Nitelikli hal kapsamında verilecek ceza yarı oranında arttırılacağı belirtilmiştir. 

 

138. maddede ise “Verileri Yok Etmeme” başlığı altında iki fıkra halinde düzenlenmiştir. Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevini yerine getirmemesi halinde bir yıldan iki yıla kadar hapis cezası verileceği belirtilmiştir.

​

Kişisel verilerin korunması kapsamında TCK’de düzenlenen suçlar şikayete bağlı olmaksızın düzenlenmiş olup, savcılık resen soruşturma başlatabilir.

Bilişim suçlarıyla karşılaştırıldığında, kişisel verilerle ilgili maddelerin pratikte daha sık çözüme kavuşturulduğunu söyleyebilir. Bilişim suçları bağlamında hacker yani failin bulunamamasından kaynaklı olarak soruşturma dosyaları uzamakta ve takipsizlik kararı verilmesi kuvvetle muhtemeldir.

Ancak son zamanlarda kişisel veriler konusunda toplum olarak bilinçlenildiği ve korunması için çalışıldığı gerek kamu kurumları gerek de toplum nezdinde herkesin malumudur.

​

SONUÇ

​

Çağımızda, internetin öncülük ettiği bilgi ve iletişim teknolojilerinde meydana gelen baş döndürücü gelişmeler siyasal, sosyal, ekonomik ve kültürel alanda birçok değişikliğe neden olmaktadır. Günümüz dünyasını pek çok yönüyle etkileyen bu olgu, “küreselleşme” kavramıyla ifade edilmektedir. Küreselleşmeyle farklı kazanımlar elde edildiği gibi çok sayıda hukuki sorunla da karşılaşılmaktadır. Bunların başında ise internet aracılığıyla gerçekleştirilen haksız fiilleri ile hukuka aykırı şekilde kişisel verilere erişim ya da müdahale gelmektedir. Bu nedenle kişisel veriler, elektronik ortamda suç işlemenin önemli araçlarından biri konumuna gelmiştir.

​

Kişisel verilerin, hukuka aykırı çeşitli yöntemlerle elde edilerek internet bankacılığında kullanılması sonucu gerçekleştirilen dolandırıcılık fiillerinin tümünde bankaya karşı haksız bir fiil işlenmekte ve bankanın malvarlığı ilk etapta zarara uğratılmaktadır. Ancak bu durum, bankanın farklı kişilere karşı daha sonra tazminat talebi ileri sürmesine engel değildir. Banka, haksız çıkar elde eden üçüncü kişilere karşı haksız fiil temeline dayanan tazminat talebinde bulunabileceği gibi kişisel verileri gereği gibi muhafaza etmeyerek aralarındaki sözleşmeyi ihlal eden mevduat sahibine karşı da tazminat talebinde bulunabilecektir. 

​

İşbu makalede her ne kadar kişisel verileri alsak da, siber suçlara değinilmesi gerektiği elzemdir. Siber suçlarla ilgili olarak devletin bu konuda uğraşan, çalışan ve failleri bulunmasını sağlayan birimlere çok iş düşmektedir. Örneğin, bazı hacking faaliyetlerinde hack kim tarafından gerçekleştiğine dair herhangi bir kişiye yani faile ulaşılamadığı için savcılık takipsizlik kararı vermekte ve dava açılamadan düşmektedir. Veya dava açıldığında bilirkişiye ya da siber suçlarla ilgilenen devlet birimine giden dosyaların dönüş süresi uzun sürmektedir. Bu sürecin uzunluğu ayrı bir sorun olarak ele alınması gerekse de; yine failin tespit edilememesi gibi bir durum söz konusu. Hack dünyası birbiri ardında gizli bir dünya olmasının da yanında bilgisayar kullanıcıların bilgisayarlarını hackten ve virüsten uzak tutmamaları gibi ihmalkâr davranışları da bu duruma açık hale getirmektedir.
 

Bu hususta bilişim suçlarının aslında taksirle de işlenebileceğinin tartışması olması gerekmektedir. Ancak ne yazık ki mevzuatımızda yer alan bu suçlar için pratikte çoğu zaman sonuç alınamamaktadır.

​

KAYNAKÇA

​

• Atamer, Y. M. (2007) “İnternet Bankacılığının Üçüncü Kişiler Tarafından Hukuka Aykırı Kullanımı Nedeniyle Doğan Zararı Kim Taşır?”, Banka Hukuku ve Yargıtay Kararları Sempozyumu Bildiriler- Tartışmalar, Banka ve Ticaret Hukuku Araştırma Enstitüsü (T. İş Bankası A.Ş. Vakfı), s. 15-41.

• Atak, S. (2010), “Avrupa Konseyi’nin Kişisel Veriler Açısından Sağladığı Temel Güvenceler”, TBB Dergisi, S. 87, s.90-120.

• Avşar, B. Z./Öngören, G. (2010) “Bilişim Hukuku”, Türkiye Bankalar Birliği Yayın No: 270, İstanbul.

• Başalp, N. (2004). “Kişisel Verilen Korunması ve Saklanması”, Ankara 2004.

• Civelek, Y. D. (2011). “Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Örneği”, Başbakanlık Uzmanlık Tezi, Ankara

• Kılınç, D. (2012), “Anayasal Bir Hak Olarak Kişisel Verilerin Korunması”, AÜHFD, 61 (3), s. 1089-1169.

• Oğuşgil, V. A. (2014) “AB’ye Üye Devletlerde Veri Koruma ve Denetleme Kurumlarının Bağımsızlığı ve Olası Türkiye Örneği”, AİBÜ Sosyal Bilimler Enstitüsü Dergisi, C. 14, Y. 14, S. 2, s. 203-232.

• Oğuz, H. “Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamaları ve Ülkemizdeki Durum”, http://dergipark.ulakbim.gov.tr/mdergi/article/view/5000145743, (Erişim Tarihi, 05.10.2020), s. 1-38.

• Özmen, Ş. (2012) “Ağ Ekonomisinde Yeni Ticaret Yolu, e-Ticaret”, İstanbul Bilgi Üniversitesi Yayınları, Genişletilmiş 4. Baskı, İstanbul.

• Yasaman, H. (2013), “Banka Hukuku ile ilgili Makaleler Mütalâalar Bilirkişi Raporları”, C. II, İstanbul.

• https://www.bilgiguvenligi.gov.tr/son-kullanici-kategorisi/phishing-saldirilari-ve-sahte-sistemler.html

• http://www.dergice.com/bilim-teknik/olta-ayni-olta-da-yemi-farkli.html