Bilişim Hukuku, KVKK ve Dijital Haklar: Yargıtay Kararlarıyla 2025 Rehberi

Sabah telefonunuza baktığınızda banka hesabınızın boşaltıldığını veya şirket verilerinizin çalındığını gördüğünüzde hissettiğiniz paniği hayal edebiliyorum. 2025 dünyasında hukuk; sadece duruşma salonlarında değil, server loglarında, şifreli veritabanlarında ve blokzincir ağlarında icra edilen teknik bir savaşa dönüşmüştür.

Artık bir davanın kaderini tanıklar değil; IP HGS kayıtları, metadata analizleri (verinin verisi) ve hash değerleri (dijital parmak izleri) belirlemektedir.

Bilişim Hukuku, konvansiyonel avukatlık pratiğiyle yönetilemez. Bir Ransomware saldırısında şirketin verilerini kurtarmak, MASAK blokeli bir hesabı hukuka uygun şekilde açmak veya siber zorbalık failinin dijital izini sürmek; Ceza Hukuku bilgisi kadar Adli Bilişim (Computer Forensics) uzmanlığı da gerektirir.

Bu rehber; teorik kanun maddelerinin tekrarı değil; binlerce sayfalık siber suç dosyaları, KVKK Kurul Kararları ve Yargıtay İçtihatları ile sahada bizzat tecrübe edilmiş bir savunma doktrinidir.

Burada okuyacaklarınız; şirketinizin dijital varlığını, kişisel itibarınızı ve mali güvenliğinizi korumak için uygulanan "Sıfır Hata" stratejileridir.

1. KVKK Uyumluluğu: Risk Yönetimi ve Cezalar

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) artık bir tercih değil, şirketlerin varlığını sürdürmesi için zorunluluktur. Kurul, sadece "veri sızıntısı" olduğunda değil, "risk analizi eksikliği" durumunda da milyonluk idari para cezaları kesmektedir.

Her şirket yöneticisinin kendine sorması gereken 2 soru vardır:

1. Envanteriniz Gerçekçi mi? Hangi verinin hangi departmanda olduğunu bilmiyorsanız, onu koruyamazsınız.
2. Açık Rıza Tuzağı: "Hizmet almak için rıza vermek zorundasınız" yaklaşımı hukuken intihardır. Rıza özgür iradeyle olmalıdır, hizmet şartına bağlanamaz.

Emsal Karar: Telefon Numarası Paylaşmak Suçtur Yargıtay 12. Ceza Dairesi, bir kişinin telefon numarasını rızası dışında paylaşmayı TCK 136 kapsamında "Verileri Hukuka Aykırı Olarak Verme" suçu saymıştır (2-4 yıl hapis). İş arkadaşınızın numarasını bir başkasına verirken iki kere düşünün. (Atıf: Yargıtay 12. Ceza Dairesi, 2022/5072 E.)

2. Türk Ceza Kanunu’nda Siber Suçlar ve Savunma

Siber suçlarda en büyük yanılgı "iz bırakmadım" düşüncesidir. Oysa dijital ayak izi silinemez, sadece saklanmaya çalışılır. Adli bilişim uzmanlığı tam da burada devreye girer.

A. Şifre Kırmak ve Sisteme Girmek (TCK 243)

Birinin Instagram, Facebook veya kurumsal mailine izinsiz girmek, hiçbir şey yapmasanız bile suçtur.

Yargıtay'ın Bakışı: Yargıtay 8. Ceza Dairesi, şifreyi tahmin ederek hesaba giren ancak hiçbir paylaşım yapmayan sanığın bile TCK 243'ten cezalandırılması gerektiğine hükmetmiştir. "Sadece baktım çıktım" savunması geçersizdir. (Atıf: Yargıtay 8. Ceza Dairesi, 2024/8613 K.)

B. Veri Silme ve Sistemi Engelleme (TCK 244)

Bu madde, şirketlerin yumuşak karnıdır. İşten ayrılan bir çalışanın öfkeyle şirket verilerini silmesi, TCK 244 kapsamında ağır suçtur. Yargıtay 12. Ceza Dairesi, bu eylemi gerçekleştirenlerin "haksız tahrik" indiriminden yararlanamayacağına dair emsal kararlar vermiştir.

3. Banka Dolandırıcılığı: Parayı Kim Öder?

Müvekkillerimizin en sık karşılaştığı kabus: "Hesabımdan gece yarısı kredi çekilmiş, banka sorumluluk kabul etmiyor."

Hukuki gerçek şudur: Banka, paranın bekçisidir. Güvenlik zafiyetinden kaynaklanan her kuruş zararı ödemek zorundadır.

Kritik Yargıtay Kararı (Kusursuz Sorumluluk): Yargıtay 11. Hukuk Dairesi çok nettir: 3D Secure şifresi gönderilmeden veya şüpheli işlem limitleri aşılarak yapılan işlemlerde banka tam kusurludur. Müşterinin "şifresini kaptırması" dahi (müterafik kusur hariç) bankanın sorumluluğunu tamamen ortadan kaldırmaz. (Atıf: Yargıtay 11. Hukuk Dairesi, 2017/4721 K.)

Eylem Planı: Banka reddederse, Tüketici Mahkemesi veya Ticaret Mahkemesi yoluyla dava açılır ve para faiziyle geri alınır.

Adım Adım: Hesabınızdan Para Çekildiyse Ne Yapmalısınız?

1. Bankayı Arayıp Hesabı Dondurun: İlk 15 dakika kritiktir. Müşteri hizmetlerini arayıp "Hesabıma izinsiz erişim var" diyerek tüm kart ve hesapları dondurun.
2. Harcama İtirazı Yapın (Chargeback): Bankaya yazılı olarak (e-posta veya şube dilekçesi ile) harcama itirazında bulunun. "Ben yapmadım" beyanı yeterlidir.
3. Cumhuriyet Başsavcılığına Suç Duyurusu: En yakın adliyeye giderek "Bilişim Sistemleri Aracılığıyla Dolandırıcılık" suçundan şikayetçi olun. Savcılık soruşturma numarası bankayı sıkıştırmak için şarttır.
4. Noter İhtarnamesi Gönderin: Banka "iade etmiyoruz" derse, noterden ihtarname çekerek "Yargıtay kararları gereği kusursuz sorumlusunuz" uyarısını yapın.
5. Tüketici Mahkemesinde Dava Açın: Paranız 30 gün içinde iade edilmezse, dekontlar ve savcılık evrakıyla dava açarak paranızı ticari faiziyle geri isteyin.

4. Dijital Delil: IP Adresi Yeterli mi?

Mahkemelerde sıkça duyduğumuz "IP adresi bu eve ait, o halde suçu ev sahibi işledi" mantığı hukuken çürüktür.

Yargıtay 8. Ceza Dairesi (Wi-Fi Uyarısı): "Sadece IP adresinin tespiti mahkumiyet için yetersizdir. Wi-Fi şifresinin kırılmış olma ihtimali, ortak ağ kullanımı (CGNAT - Aynı IP'nin yüzlerce kişiye verilmesi) veya zombi bilgisayar (botnet) riski değerlendirilmelidir. Bilgisayar imajı alınmadan ceza verilemez." (Atıf: Yargıtay 8. Ceza Dairesi, 2022/1959 K.)

Bu karar, masumiyet karinesinin dijital dünyadaki teminatıdır.

5. E-Ticaret ve Cayma Hakkı Gerçekleri

E-ticaret sitelerindeki "İndirimli üründe iade yoktur" yazısı koca bir yalandır. 6502 sayılı Kanun'a göre, internetten alınan (neredeyse) her ürün, 14 gün içinde gerekçesiz iade edilebilir. Satıcı kargo ücretini de ödemek zorundadır. Tüketici Hakem Heyetleri bu konuda tüketici lehine karar vermektedir.