Bilişim, İnternet ve Kişisel Veriler Hukuku

Dijital Hukukun Kesişen Alanları

Bu makalede dijital hukukun kesişen alanları, ilgili içtihat ve uygulamada önem taşıyan değerlendirme ölçütleri çerçevesinde incelenmektedir. Ayrıca yeterlilik kararı, uygun güvence (standart sözleşme, bağlayıcı şirket kuralları, taahhütname) ve arızi hâller güncel yönetmelikle uygulanır.

Olay Müdahale Sırası

  1. Erişimi ve devam eden zararı sınırla.
  2. Delili değiştirmeden koru.
  3. İlgili hesap, cihaz ve veri sorumlusunu belirle.
  4. Platform/idari/adli başvuru yollarını ayır.
  5. Bildirim ve dava sürelerini takvime bağla.
  6. Kişisel veri ve gizlilik ihlalini büyütmeden incele.

İnternet İçeriği, Kişilik Hakları Ve Başvuru Yolları

Kişinin şeref, itibar, özel hayat, ad, görüntü ve ses üzerindeki değerleri hukuken korunur. İnternet yayını gerçek dışı, güncelliğini yitirmiş, aşağılayıcı veya ölçüsüzse korunma talebi doğabilir. Buna karşılık ifade ve basın özgürlüğü; kamu yararı, güncellik, olgusal temel ve kullanılan dil gözetilerek dengelenir.

5651 sayılı Kanun kapsamında içerik sağlayıcıya ve yer sağlayıcıya başvuru, içeriğin çıkarılması ve belirli şartlarda erişimin engellenmesi yolları bulunur. Özel hayatın gizliliği, kişilik hakkı ve suç şüphesi için farklı usuller uygulanabilir. Kanunun bazı hükümleri Anayasa Mahkemesi kararlarıyla değiştiğinden başvuru tarihinde yürürlükteki metin kontrol edilmelidir.

Tedbir hedefli olmalıdır. Belirli URL'deki hukuka aykırı içerik için tüm siteye erişimin engellenmesi ifade özgürlüğü bakımından ölçüsüz olabilir. Arama motorundan sonuç çıkarma, kaynaktaki içeriğin silinmesinden farklıdır. Unutulma hakkı; bilginin doğruluğu, güncelliği, kişinin kamusal rolü, geçen süre ve toplumun erişim yararıyla dengelenir.

Manevi tazminat ve cevap-düzeltme yolları ayrıca değerlendirilir. Aynı içerik farklı hesaplarda yayılmışsa her URL ve paylaşım zinciri belgelenmelidir.

Sosyal Medya, Çevrim İçi İtibar Ve Platform Süreçleri

Sosyal medya hesabının kime ait olduğu kullanıcı adıyla kesinleşmez. Telefon/e-posta, IP kayıtları, cihaz, ödeme, içerik dili, takip ilişkisi ve platform cevabı birlikte değerlendirilir. Sahte hesapta hızlı veri koruma talebi önemlidir; trafik verilerinin saklama süresi sınırlı olabilir.

Eleştiri, rahatsız edici veya sert olsa bile ifade özgürlüğü kapsamında kalabilir. Olgu isnadı yeterli olgusal temele dayanmalı; değer yargısında kullanılan dil ve bağlam değerlendirilmelidir. Kamu görevlisi ve siyasetçi daha geniş eleştiri sınırına katlanır; nefret söylemi, tehdit ve hedef gösterme korunmaz.

Şirket itibarı bakımından haksız rekabet, marka, ticaret unvanı ve kişilik hakkı yolları kesişir. Sahte yorum, rakip tarafından organize karalama, taklit hesap ve müşteri verisi ifşasında ticari zarar ve bağlantı ispatlanmalıdır. Platformun topluluk kuralları hukuki başvurunun yerine geçmez fakat hızlı kaldırma sağlayabilir.

Çalışanın sosyal medya paylaşımına disiplin yaptırımı uygulanırken hesabın erişimi, işyeri bağlantısı, ifade içeriği, sadakat borcu, işveren itibarı ve daha hafif önlemler değerlendirilir. İşverenin çalışan hesabını izleme yetkisi sınırsız değildir.

Dijital Delilin Elde Edilmesi Ve Bütünlüğü

Dijital delil değiştirilebilir ve bağlamdan koparılabilir. Kaynağın kimliği, verinin oluşturulma zamanı, bütünlük, elde etme hukuku ve yorum yöntemi ayrı ayrı gösterilmelidir. Hash değeri, adli kopyanın sonradan değişmediğini doğrulayan sayısal özettir.

Telefon veya bilgisayara el koymada kararın kapsamı, kopya alma, arama terimleri, mühür, teslim zinciri ve ilgisiz kişisel verilerin ayrıştırılması önemlidir. Şirket iç soruşturmasında cihazın işverene ait olması, çalışanın özel yazışmalarının sınırsız incelenmesine izin vermez; ön bilgilendirme, amaç ve ölçülülük aranır.

Delil Güvenilirlik Tablosu

DelilDoğrulama
Ekran görüntüsüURL, tarih, tam konuşma, cihaz ve hesap bağlantısı
E-postaHeader, sunucu, alan adı ve gönderim kaydı
LogSaat senkronu, sistem, saklama ve yetkili erişim
KameraHam kayıt, kesinti, çözünürlük ve saat farkı
Mesaj yedeğiKaynak cihaz, veri tabanı, hash ve bağlam
Bulut dosyasıHesap, sürüm geçmişi ve erişim logu

Hukuka aykırı delil ceza ve hukuk yargılamasında farklı normlarla denetlenir. Başkasının hesabına izinsiz girme, yazılım kurma veya sistematik kayıt suç ve tazminat riski doğurur. Ani gelişen saldırıyı başka türlü ispatlama olanağı bulunmaması istisnası dar yorumlanır.

Bilişim Suçları Ve Ceza Soruşturması

TCK; bilişim sistemine girme, sistemi engelleme-bozma, veriyi yok etme/değiştirme, banka veya kredi kartının kötüye kullanılması ve bilişim aracılığıyla dolandırıcılık gibi suçları düzenler. Dijital araç, hakaret, tehdit, şantaj, özel hayatın gizliliği ve kişisel veri suçlarının da işlenme vasıtası olabilir.

Yetkisiz erişim ile yetkili kullanıcının yetkisini aşması ayrılır. Şifre paylaşılmış olması her kullanım için sınırsız rıza anlamına gelmez. Sistemde kalmaya devam etme de suçun seçimlik hareketi olabilir. Verinin kopyalanması, değiştirilmesi ve erişilemez kılınması farklı suç tiplerini gündeme getirir.

Oltalama, sahte ödeme sayfası, hesap ele geçirme ve SIM değişiminde para akışı, IP, cihaz, GSM, banka kimlik doğrulama ve kamera kayıtları hızla istenmelidir. Hesabına para gelen kişi ile organizasyonu yöneten fail aynı olmayabilir; kast ve iştirak delilleri gerekir.

Şirket siber olayında suç duyurusu öncesi logların üzerine yazılmaması, imaj alma ve erişim yetkilerinin dondurulması gerekir. İç soruşturma, şüpheliyi haberdar edip delil yok etmesine fırsat vermeden hukuka uygun yürütülmelidir. Fidye ödemesi yaptırım, kara para ve veri sorumluluğu riskleri doğurabilir.

KVKK Temel Kavramları Ve Hukuki Sebepler

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her bilgidir. Özel nitelikli veriler sağlık, biyometrik-genetik, ceza mahkûmiyeti, siyasi düşünce, din ve benzeri hassas alanları kapsar. Veri sorumlusu amaç ve vasıtaları belirler; veri işleyen onun yetkisiyle işlem yapar.

İşleme; hukuka ve dürüstlük kurallarına uygun, doğru ve güncel, belirli-açık-meşru amaçlı, amaçla bağlantılı-sınırlı-ölçülü ve gerekli süre kadar muhafaza ilkelerine uymalıdır. Açık rıza her işlemin varsayılan dayanağı değildir. Kanunda açıkça öngörülme, sözleşmenin kurulması/ifası, hukuki yükümlülük, hakkın tesisi-kullanılması-korunması ve meşru menfaat gibi sebepler varsa rıza alınması yanıltıcı olabilir.

Açık rıza belirli konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmelidir. Hizmetin rıza şartına bağlanması, işlem için zorunlu olmayan pazarlama verisinde özgürlüğü zedeleyebilir. Aydınlatma yükümlülüğü rızadan ayrıdır ve her hukuki sebepte yerine getirilir.

Özel nitelikli verilerin işlenme şartları 2024 değişiklikleriyle yeniden düzenlenmiştir. Sağlık ve cinsel hayat verileri dahil güncel KVKK m.6 ve Kurul düzenlemeleri işlem tarihinde kontrol edilmelidir. Ek teknik-idari tedbirler alınır.

KVKK Uyum Programı Ve Veri Yaşam Döngüsü

Uyum, internet sitesine aydınlatma metni koymaktan ibaret değildir. Veri envanteri; hangi verinin kimden, hangi amaç ve hukuki sebeple, kimlerle, ne kadar süre ve hangi sistemde işlendiğini gösterir. Gereksiz veri toplanması durdurulmalı; saklama sonunda silme, yok etme veya anonimleştirme işletilmelidir.

Uyum Bileşenleri

  • Veri işleme envanteri ve VERBİS yükümlülüğü,
  • Çalışan, müşteri, kamera ve çerez aydınlatmaları,
  • Açık rıza gereken işlemler için ayrı metin,
  • Saklama-imha ve erişim yetkisi politikası,
  • Tedarikçi/veri işleyen sözleşmeleri,
  • Yurt dışı aktarım mekanizması,
  • İlgili kişi başvuru prosedürü,
  • İhlal müdahale ve bildirim planı,
  • Eğitim, loglama, yedek ve sızma testi.

Veri minimizasyonu tasarım aşamasında uygulanmalıdır. Kimlik fotokopisi, tam kredi kartı, sağlık raporu veya biyometrik veri gerçekten zorunlu değilse alınmamalıdır. Yetki, çalışanın rolüne göre verilmeli; işten ayrılmada erişim derhâl kapatılmalıdır.

Tedarikçi bulut, çağrı merkezi, bordro veya yazılım hizmeti veriyorsa veri işleyen rolü, güvenlik, alt işleyen, ihlal bildirimi, silme ve denetim sözleşmede yazılır. Veri sorumlusu hizmeti dışarı vermekle yükümlülüğünü tamamen devredemez.

İlgili Kişi Başvurusu, Kurul Şikâyeti Ve Veri İhlali

İlgili kişi, veri sorumlusuna başvurarak işlenip işlenmediğini öğrenme, bilgi, amaç ve aktarılan kişileri sorma, düzeltme, silme/yok etme, otomatik işleme itiraz ve zarar giderimi talep edebilir. Veri sorumlusu en geç otuz gün içinde cevap verir; işlem ayrıca maliyet gerektiriyorsa Kurul tarifesi uygulanabilir.

Cevap yetersizse öğrenmeden itibaren otuz ve her hâlde başvurudan itibaren altmış gün içinde Kişisel Verileri Koruma Kuruluna şikâyet edilebilir. Kurula gitmeden önce veri sorumlusuna başvuru kural olarak zorunludur. Tazminat için genel mahkemeler ve kamu kurumu bakımından idari yargı görev ayrımı somut olaya göre incelenir.

Veri ihlali, kişisel verinin hukuka aykırı erişim, ifşa, kayıp veya değiştirilmesidir. Veri sorumlusu ihlali öğrendiğinde Kurula ve etkilenen kişilere en kısa sürede bildirmelidir. Kurul uygulamasında 72 saat ölçütü esas alınır; gecikme gerekçelendirilir. Bildirimden önce olay tamamen çözülene kadar beklenmez; mevcut bilgiyle bildirim güncellenebilir.

İhlal müdahalesinde kapsam, veri türü, kişi sayısı, risk, alınan önlem ve temas noktası belgelenir. Etkilenen kişiye açık ve sade bilgi verilir; şifre sıfırlama, kart iptali veya dolandırıcılık uyarısı gibi zarar azaltıcı adımlar sunulur.

Yurt Dışı Aktarım, Çerez, Elektronik Ticaret Ve Yapay Zekâ

Kişisel verilerin yurt dışına aktarım rejimi 2024'te değişmiştir. Yeterlilik kararı, uygun güvence (standart sözleşme, bağlayıcı şirket kuralları, taahhütname) ve arızi hâller güncel yönetmelikle uygulanır. Bulut sunucusu, yabancı e-posta, destek erişimi ve analitik aracı aktarım oluşturabilir.

Standart sözleşme kullanıldığında Kuruma bildirim süresi ve imza yetkisi izlenmelidir. Aktarılan ülkedeki mevzuat ve ek güvenlik önlemleri risk değerlendirmesine dahil edilir. Açık rıza sürdürülebilir ve özgür değilse sistematik aktarımın tek dayanağı yapılmamalıdır.

Çerezlerde zorunlu olanlarla analitik/reklam çerezleri ayrılır. Zorunlu olmayan çerezler için önceden ve özgür tercih alınmalı; “kabul et” kadar kolay ret seçeneği sunulmalıdır. Aydınlatma çerezin amacı, sağlayıcısı ve süresini açıklamalıdır.

Ticari elektronik ileti için onay, İYS kaydı, ret imkânı ve hizmet mesajı ayrımı gözetilir. Satın alma onayını pazarlama rızasına bağlamak uygun değildir.

Yapay zekâ sistemlerinde eğitim verisinin kaynağı, hukuki sebep, özel nitelikli veri, otomatik karar, doğruluk, ayrımcılık ve açıklanabilirlik değerlendirilir. Model çıktısının insan denetimi olmadan işe alım, kredi veya sağlık kararına dönüşmesi yüksek risk yaratır. Kişisel veri içeren belgeler herkese açık yapay zekâ aracına aktarılmamalıdır.

Strateji, Sık Sorular Ve Sonuç

Ekran görüntüsü mahkemede delil olur mu? Olabilir; ancak hesap, tarih, bütünlük ve hukuka uygun elde etme doğrulanmalıdır. Tek başına her zaman yeterli değildir.

Olumsuz haber doğruysa kaldırılamaz mı? Doğruluk önemli fakat tek ölçüt değildir. Güncellik, kişinin kamusal rolü, ifade özgürlüğü ve ölçülülük dengelenir.

Her kişisel veri için açık rıza gerekli mi? Hayır. Kanuni başka işleme şartı varsa ona dayanılır; aydınlatma yine yapılır.

İhlali Kurula bildirmek otomatik ceza mıdır? Bildirim yükümlülüktür; Kurul güvenlik önlemleri, ihlalin niteliği ve müdahaleyi değerlendirir. Bildirmemek ayrı ihlal oluşturabilir.

Dijital hukukta en iyi savunma, olaydan sonra ekran görüntüsü toplamak değil; baştan erişim, saklama, log, rıza ve müdahale düzenini kurmaktır.

Resmî Kaynakça

Kaynak: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kaynak: Kişisel Verileri Koruma Kurumu

Kaynak: 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun

Kaynak: 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

Kaynak: Ulusal Siber Olaylara Müdahale Merkezi

Kaynak: Anayasa Mahkemesi Kararlar Bilgi Bankası

Bu metin genel bilgilendirme amacı taşır. İçerik, veri akışı, cihaz, platform, delilin elde edilişi ve olay tarihi görülmeden somut hukuki görüş sayılamaz.

Yazar: Av. Ali Armağan KILIÇBilişim, İnternet ve Kişisel Veriler Hukuku
Nacioğlu Kılıç Hukuk ve Danışmanlık
AYNI ALANDA
Anayasa, İnsan Hakları ve Bireysel BaşvuruBireysel Başvurunun Niteliği Ve Sınırları

Bu makalede bireysel başvurunun niteliği ve sınırları, ilgili içtihat ve uygulamada önem taşıyan değerlendirme ölçütleri çerçevesinde incelenmektedir. Ayrıca yabancılar, yalnız Türk vatandaşlarına tanınan haklar dışında ortak koruma alanındaki haklar için başvurabilir.

İncele →
İş ve Sosyal Güvenlik Hukukuİş Hukukunun Koruyucu Yapısı Ve İlişkinin Doğru Nitelendirilmesi

Bu makalede iş hukukunun koruyucu yapısı ve ilişkinin doğru nitelendirilmesi, ilgili içtihat ve uygulamada önem taşıyan değerlendirme ölçütleri çerçevesinde incelenmektedir. Ayrıca işçi veya işveren alacağı, tazminatı ve işe iade taleplerinde dava açmadan önce arabulucuya başvuru kural olarak dava şartıdır.

İncele →
Ceza HukukuCeza Hukukunun İşlevi Ve Ceza Dosyasına Bütüncül Bakış

Bu makalede ceza hukukunun işlevi ve ceza dosyasına bütüncül bakış, ilgili içtihat ve uygulamada önem taşıyan değerlendirme ölçütleri çerçevesinde incelenmektedir. Ayrıca fiilin işlendiği tarihten sonra yürürlüğe giren düzenleme failin lehine ise, kural olarak lehe kanun değerlendirmesi yapılır.

İncele →