Türk Ceza Kanunu’nun 136. maddesi, hukuka aykırı olarak başkasına ait kişisel verileri veren, yayan veya ele geçiren kişiye uygulanacak ceza yaptırımını düzenler. KVKK ile birlikte değerlendirildiğinde, TCK 136 kişisel veri ihlallerinin ceza hukuku boyutunu oluşturur. KVKK Kurulu kararlarına karşı idari yargı yolu için KVKK Kurulu kararlarına karşı Danıştay denetimi bölümüne bakılabilir. Yargıtay 9. ve 12. Ceza Daireleri, son dönemde TCK 136 ile özel hayatın gizliliğini ihlal suçu (TCK 134) arasındaki sınırı, rızanın hukuka uygunluk nedeni olarak değerlendirilmesini ve “belirli ya da belirlenebilir kişi” unsurunu sıklıkla karara bağlamıştır.
Kişisel Veri Kavramı
TCK 136 anlamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım KVKK ile paraleldir. Ad-soyad, T.C. kimlik numarası, fotoğraf, ses kaydı, IP adresi, telefon numarası, sağlık bilgileri ve banka hesap hareketleri tipik örneklerdir. Verinin korunan değer kazanması için “belirli ya da belirlenebilir kişiye” ait olması zorunludur; anonim veya bütünüyle kimliksiz veriler bu kapsamda değildir.
Güncel Yargıtay Kararları
1. Rızanın Hukuka Uygunluk Nedeni Olarak Değerlendirilmesi
Yargıtay 12. Ceza Dairesi, kişisel verileri hukuka aykırı olarak verme veya yayma fiilini değerlendirdiği kararında, TCK 136 kapsamında kişisel veri kavramı ile rızanın hukuka uygunluk nedeni olarak işlevini ele almıştır. Karar, ilgili kişinin verisinin paylaşılmasına rıza gösterip göstermediğinin, rızanın kapsamının ve geri alınıp alınmadığının somut olayda titizlikle aydınlatılması gerektiğini ortaya koyar.
Yargıtay 12. CD, E. 2024/2295, K. 2025/9085, 23.12.2025 — Karar metni
2. TCK 136 ile TCK 134 Arasındaki İçtima İlişkisi
12. Ceza Dairesi’nin diğer kararı, kişisel verilerin ele geçirilmesi ve yayılması fiillerinde TCK 136 ile özel hayatın gizliliğini ihlal suçu (TCK 134) arasındaki ayrım ile içtima ilişkisini ele almıştır. Aynı fiil her iki hükmün koruma alanına girdiğinde, korunan hukuki yararın özelliklerine göre değerlendirme yapılması gerektiği vurgulanır.
Yargıtay 12. CD, E. 2024/1729, K. 2025/8856, 15.12.2025 — Karar metni
3. “Belirli ya da Belirlenebilir Kişiye Ait Olma” Unsuru
Yargıtay 9. Ceza Dairesi, kişisel verilere yönelik suçlarda delil değerlendirmesini ve verinin “belirli ya da belirlenebilir kişiye ait olma” unsurunu değerlendirmiştir. Karar, dijital ortamda paylaşılan görsel veya bilginin somut bir kişiye atfedilip atfedilemeyeceğinin, suçun oluşması bakımından temel inceleme noktası olduğunu ortaya koymaktadır.
Yargıtay 9. CD, E. 2025/1232, K. 2025/8255, 23.10.2025 — Karar metni
Korunan Hukuki Yarar ve Suçun Maddi Unsuru
TCK m. 136 ile korunan hukuki yarar; kişinin özel hayatı, haberleşme özgürlüğü, kişisel verilerinin korunmasını isteme hakkı ve veri güvenliğine ilişkin temel hukuki menfaattir. Anayasa m. 20/3, kişisel verilerin korunmasını anayasal güvence altına almış; KVKK ile bu güvencenin idari hukuk ayağı tamamlanmıştır. TCK m. 136 ise bu korumanın cezai boyutunu oluşturmaktadır. Maddi unsur yönünden suç; hukuka aykırı olarak kişisel verileri başkasına verme, yayma veya ele geçirme fiilleridir. Eylemin tamamlanması için verinin başkasının bilgisine sunulması yeterli olup, ayrıca somut bir zararın doğması aranmaz. Bilişim hukuku uygulamasında suçun maddi unsurunun ortaya konulmasında, içeriğin “kişisel veri” niteliğinin somut biçimde değerlendirilmesi belirleyicidir.
KVKK ile İlişkisi: İdari Yaptırım ve Cezai Sorumluluk
6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlusu ve veri işleyenler bakımından idari para cezası rejimini düzenlemektedir. Aynı eylem; KVKK kapsamında Kişisel Verileri Koruma Kurulu tarafından idari yaptırıma, TCK m. 135-140 kapsamında ise cezai yaptırıma konu olabilir. İki rejim arasında kural olarak çelişme bulunmaz; idari para cezası, cezai sorumluluğu ortadan kaldırmaz. Ancak idari süreçte verilen bazı kararlar ceza yargılaması bakımından delil değeri taşıyabilmektedir. Veri sorumlusunun bildirilen veri ihlali uyarısı ile veri ihlalinin niteliği, suçun tipikliği bakımından değerlendirme konusudur.
Hukuka Uygunluk Sebepleri ve Açık Rıza
Kişisel verilerin işlenmesi, KVKK m. 5’te sayılan istisnalar dışında ilgili kişinin açık rızasına bağlıdır. Kanunlarda öngörülmesi, sözleşmenin kurulması veya ifası için zorunlu olması, veri sorumlusunun hukuki yükümlülüğü, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi-kullanılması-korunması için zorunlu olması ve meşru menfaat dengelemesi gibi sebepler hukuka uygunluk sebebi oluşturur. TCK m. 136 bakımından da hukuka uygunluk sebebinin bulunduğu hâllerde suçun unsurları oluşmaz. Yargıtay’ın yerleşik içtihadında, hukuka uygunluk değerlendirmesinin somut olayın özelliklerine göre yapılması ve ölçülülük ilkesinin gözetilmesi gerektiği vurgulanmaktadır.
İçtima: TCK m. 135, TCK m. 243 ve Diğer Bilişim Suçları
TCK m. 135 (kişisel verilerin kaydedilmesi) ile TCK m. 136 (verilerin verilmesi, yayılması, ele geçirilmesi) arasındaki ayrım, eylemin niteliğine göre yapılır. Aynı kişiye karşı, kişisel veri ilişkili birden fazla eylem işlendiğinde gerçek içtima değerlendirmesi gündeme gelmektedir. Bilişim sistemine girilerek elde edilen kişisel veriler bakımından TCK 243 ile gerçek içtima söz konusu olmaktadır. Sosyal medya hesabının ele geçirilerek kişisel verilerin yayılması hâlinde ise hesap çalma eylemiyle birlikte TCK m. 136’nın da uygulanma alanı doğmaktadır.
Görevli Mahkeme, Şikayet ve Mağdurun Hakları
TCK m. 136 kapsamındaki suçlarda görevli mahkeme Asliye Ceza Mahkemesi olup, yetki suçun işlendiği yer mahkemesindedir. İnternet üzerinden işlenen eylemlerde içeriğin yayıldığı yer, mağdurun bulunduğu yer ya da paylaşımın yapıldığı yer mahkemesinin yetkisi tartışılmaktadır. Suçun soruşturulması ve kovuşturulması şikayete tabi değildir; resen yapılır. Mağdurun başvurabileceği hızlı koruma yolları arasında 5651 sayılı Kanun kapsamında içeriğin çıkarılması ve erişimin engellenmesi talebi yer almaktadır. Bunun yanı sıra KVKK Kurulu nezdinde veri sorumlusuna yönelik şikayet de paralel olarak işletilebilmektedir.
Sonuç
TCK 136 uygulamasında Yargıtay’ın güncel yaklaşımı; rıza, hukuka aykırılık ve verinin belirli kişiye atfı üçgenine dayanmaktadır. Mağdurun şikayetçi olduğu olaylarda paylaşılan içeriğin dijital ortamdaki ekran görüntüleri, paylaşan hesabın kimlik bilgileri ve paylaşımın ulaştığı kitle çapı belge altına alınmalıdır. Paylaşımın hakaret içermesi durumunda ayrıca sosyal medyada hakaret hükümleri de tartışılır. KVKK kapsamında Veri Sorumlusu nezdinde başvuru yolu işletilirken, ceza sorumluluğu için Cumhuriyet Başsavcılığı’na şikayette bulunulması paralel yürütülebilecek iki ayrı süreçtir. Verinin bir bilişim sistemine girilerek elde edilmesi halinde TCK 243 ile içtima gündeme gelir.