Yasal Haklar ve Başvuru Yolları← İçindekiler

Yasal Haklar ve Başvuru Yolları

Vatandaş

Siber saldırıya uğradın. Telefonunda casus yazılım var, hesapların çalındı ya da şantaj yapılıyor. İlk içgüdün her şeyi silmek, telefonu fabrika ayarlarına döndürmek, her şeyden kurtulmak. Ama dur. Silmeden önce bir dakika düşün: o deliller, senin en büyük hukuki silahın. Onları silersen, saldırganın sana neler yaptığını kanıtlayamazsın. Dijital saldırıya uğradığında ilk yapman gereken şey teknik değil, hukukidir.

Özlü kural: Dijital saldırıya uğradığında yapman gereken ilk şey teknik değil hukukidir. Delili koru, savcılığa git, konuş.

Siber saldırıya uğradığında yasal haklarını bilmek, doğru kuruma başvurmak ve delilleri korumak en az teknik önlemler kadar önemli. Bu bölümde Türk Ceza Kanunu, KVKK ve başvuru yolları var.

Senaryo: Hesabım çalındı, savcılığa başvuruyorum

Sabah uyandığında Instagram hesabına giremiyorsun. Parolan değiştirilmiş, e-posta adresi başka bir adrese yönlendirilmiş. Takipçilerine sahte gönderiler yapılmış. Hemen ekran görüntülerini alıyorsun. Instagram destek formunu dolduruyorsun. Ardından en yakın savcılığa gidip suç duyurusunda bulunuyorsun. Dilekçene hesap çalınma tarihini, saldırganın kullandığı e-posta adresini ve ekran görüntülerini ekliyorsun. Savcılık soruşturma numarası veriyor. Bu numarayla siber suçlar birimine başvuruyorsun.

30.1 Temel Haklar ve İlgili Kanun Maddeleri

Türk hukukunda siber suçlar birden fazla kanun maddesiyle düzenlenir. Her maddenin kapsamı ve yaptırımı farklıdır. Hangi suçun işlendiğini bilmek, doğru başvuruyu yapmanı sağlar.

TCK 107: Şantaj ve Tehdit

Kişiyi bir şey yapmaya veya yapmamaya zorlamak için tehdit etmek suçtur. Şantaj, tehdit yoluyla menfaat sağlamaktır. Dijital ortamda “fotoğraflarını yayınlarım” veya “hesabını silerim” diyerek tehdit etmek bu maddeye girer. Şikayete tabi olmayan suçlardandır. Yani şikayet etmesen bile savcılık kendiliğinden soruşturabilir. Hapis cezası 6 aydan 2 yıla kadardır. Eğer kişi tehdidi silah veya başka bir suçla birleştirirse ceza artar.

TCK 136: Kişisel Verileri Ele Geçirme

Hukuka aykırı olarak kişisel verileri ele geçiren, bunları yayan veya ifşa eden kişi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır. Hesap çalma, veri sızıntısı veya kişisel bilgilerin izinsiz paylaşılması bu maddeye girer. Verileri ticari amaçla kullanan kişi için ceza yarı oranında artırılır. KVKK ile birlikte değerlendirilir.

TCK 243-244: Bilişim Sistemine Girme ve Engelleme

Bilişim sistemine hukuka aykırı olarak giren veya orada kalan kişi 1 yıldan 3 yıla kadar hapis cezası alır (TCK 243). Sistemi engelleyen, bozan veya verileri yok eden kişi 1 yıldan 5 yıla kadar cezalandırılır (TCK 244). Hesap çalma eylemi TCK 243 kapsamındadır. Hesaba girip veri silen veya bozan kişi TCK 244 kapsamında yargılanır. Bu suçlar şikayete tabi değildir.

TCK 246: Haberleşmenin Gizliliğini İhlal

Kişiler arası haberleşmenin gizliliğini ihlal eden, haberleşme içeriğini izinsiz dinleyen, kaydeden veya yayan kişi cezalandırılır. Başkasının mesajlarını okumak, telefon konuşmasını dinlemek, e-postaları izinsiz incelemek bu maddeye girer. Hapis cezası 1 yıldan 3 yıla kadardır. Kamu görevlisi tarafından işlenmesi halinde ceza yarı oranında artırılır.

KVKK 6698: Kişisel Verilerin Korunması Kanunu

Kişisel verilerin işlenmesinde kişinin temel hak ve özgürlüklerini korumak amacıyla çıkarılmıştır. Veri sorumlusu, kişisel verileri hukuka uygun, doğru ve gerektiğinde güncel olarak işlemek zorundadır. Kişisel verilerinin hukuka aykırı işlenmesine karşı başvuru hakkın vardır. Veri sorumlusuna başvurarak verilerini silmesini talep edebilirsin. kvkk.gov.tr üzerinden şikayette bulunabilirsin. İdari para cezası 5.000 TL ile 1.000.000 TL arasında değişir.

30.2 KVKK İdari Tedbirler

KVKK, veri sorumlularından hem idari hem teknik tedbirler almasını bekler. İdari tedbirler, organasyonel ve prosedürel önlemlerdir.

Risk ve tehditlerin belirlenmesi: Kurum, kişisel veriler için risk analizi yapmalıdır. Hangi veriler saklanıyor, hangi tehditler var, olası sonuçlar nelerdir. Bu analizi düzenli olarak güncelle.

Çalışanların eğitimi: Veriye erişimi olan her personel KVKK eğitimi almalıdır. Eğitimde veri güvenliği, siber tehditler ve ihlal prosedürleri yer almalıdır. Personel değişikliğinde eğitimi tekrarla.

Politika ve prosedürler: Kişisel verilerin işlenmesi, saklanması, silinmesi ve aktarılması için yazılı politikalar hazırla. Politikaları tüm çalışanlara bildir ve imzalat.

Kişisel verilerin mümkün olduğunca azaltılması: Gerekmediği sürece kişisel veri toplama. Toplanan verileri amaca uygun olarak sınırlandır. İşlem tamamlandığında verileri sil veya anonimleştir.

Veri işleyenler ile ilişkilerin yönetimi: Verilerini işleyen üçüncü taraflarla sözleşme yap. Sözleşmede KVKK uyumluluğunu, veri güvenliğini ve ihlal bildirim yükümlülüğünü açıkça belirt.

30.3 KVKK Teknik Tedbirler

Teknik tedbirler, bilgi sistemleri ve yazılım düzeyinde alınan güvenlik önlemleridir.

Siber güvenliğin sağlanması: Güvenlik duvarı (firewall), antivirüs ve izinsiz giriş tespit sistemi (intrusion detection) kullan. Sistemleri düzenli olarak güncelle. Güvenlik yamalarını zamanında uygula.

Kişisel veri güvenliğinin takibi: Veri erişim loglarını tut. Kim, ne zaman, hangi veriye erişti kayıt altında olsun. Düzenli olarak logları incele ve şüpheli aktiviteleri raporla.

Kişisel veri içeren ortamların güvenliği: Veritabanlarına erişimi sınırlandır. Her kullanıcıya en düşük gerekli yetkiyi ver. Fiziksel sunucu erişimini kontrol altında tut.

Bulutta depolama güvenliği: Bulut hizmet sağlayıcısının KVKK uyumluluğunu doğrula. Verileri şifreleyerek depola. Erişim anahtarlarını güvenli şekilde yönet. Yedekleme politikası uygula.

BT sistemleri tedarik, geliştirme ve bakım: Yazılım geliştirme sürecinde güvenlik testleri yap. Üçüncü parti kütüphanelerin güvenliğini denetle. Sistem bakımlarında veri güvenliğini gözet.

Kişisel verilerin yedeklenmesi: Verileri düzenli olarak yedekle. Yedekleri ayrı bir güvenli konumda sakla. Yedeklerin şifreli olduğundan emin ol. Yedekten geri yükleme prosedürünü test et.

30.4 Başvuru Kanalları

Her kurum farklı konularda yetkilidir. Doğru kuruma başvurmak süreci hızlandırır. Aşağıdaki tabloda hangi durumda hangi kuruma başvuracağını bulabilirsin.

Dijital güvenlik başvuru kanalları
KurumNe Zaman BaşvurulurNasıl BaşvurulurNe Beklenir
Siber Suçlarla Mücadele Daire BaşkanlığıHesap çalınması, şantaj, dijital dolandırıcılık, kimlik hırsızlığısiber.egm.gov.tr üzerinden veya en yakın karakola dilekçe ileSoruşturma numarası verilir. Deliller toplanır. Süreç 1-6 ay sürebilir.
KVKK Başvuru MerkeziKişisel verilerin hukuka aykırı paylaşımı, veri sızıntısıkvkk.gov.tr üzerinden online başvuruVeri sorumlusuna yazılı bildirim yapılır. İdari para cezası uygulanabilir.
BTK İnternet ŞikayetYasadışı içerik, hesap ele geçirme, internet suçlarıbtk.gov.tr üzerinden şikayet formuİnceleme başlatılır. İhlal durumunda erişim engeli veya idari yaptırım uygulanır.
E-Devlet GüvenlikE-Devlet hesabına izinsiz giriş, kimlik bilgilerinin kötüye kullanımıturkiye.gov.tr destek hattı veya online formHesap askıya alınır. Kimlik doğrulama yapılarak hesap iade edilir.
Operatör Müşteri HizmetleriSIM kart değiştirme (SIM swap) saldırısı, hattın kötüye kullanımıOperatör müşteri hattını ara, kimlik doğrulama yap, işlemi engelleSIM kart değişimi iptal edilir. Geçmiş işlemler incelenir.

Savcılığa başvurma adımları:

  1. En yakın cumhuriyet başsavcılığına git.
  2. Suç duyurusu dilekçesi hazırla (bkz. bölüm 30.5).
  3. Delilleri ekle: ekran görüntüleri, mesaj kayıtları, e-posta başlıkları.
  4. Kimlik fotokopini ve varsa diğer belgeleri ekle.
  5. Başvuru numarası al. Bu numarayı sakla.
  6. Siber suçlar bürosuna başvurarak süreci takip et.

30.5 Şikayet Dilekçe Şablonu

Siber suç şikayeti için dilekçe hazırlarken aşağıdaki yapıyı kullan. Her bölümü kendi durumuna göre doldur.

Dilekçe yapısı:

  1. Başlık: ”… Cumhuriyet Başsavcılığına” yaz.
  2. Şikayet eden: Adın, soyadın, T.C. kimlik numaran, adresin, telefonun.
  3. Şikayet edilen: Biliniyorsa adı, soyadı, adresi. Bilinmiyorsa “memur sıfatıyla” yazılarak ilgili platform bilgileri verilir.
  4. Suç türü: TCK 243 (bilişim sistemine girme), TCK 107 (şantaj), TCK 136 (veri ele geçirme) gibi ilgili maddeleri yaz.
  5. Olayın anlatımı: Ne olduğunu, ne zaman olduğunu, nasıl fark ettiğini, hangi delillerin olduğunu kronolojik olarak anlat. Tarih, saat ve platform bilgilerini kesin olarak belirt.
  6. Delil listesi: Ekran görüntüleri, mesaj kayıtları, IP adresleri, e-posta başlıkları, banka ekstreleri gibi tüm delilleri listele.
  7. Talep: Soruşturma açılmasını talep et.
  8. Ekler: Delillerin listesini numaralandırarak ekle.

KVKK başvurusu için örnek metin:

“6698 sayılı Kanun kapsamında, [veri sorumlusu adı] tarafından kişisel verilerimin hukuka aykırı olarak işlendiğini tespit ettim. [Tarih] tarihinde [platform adı] üzerinden [açıklama] yapılmıştır. Kişisel verilerimin silinmesini, işlenmesinin durdurulmasını ve gerekli idari tedbirlerin alınmasını talep ediyorum.”

Hangi ekler gerekli:

  • Kimlik fotokopisi
  • Ekran görüntüleri (tarih ve saat görünmelidir)
  • E-posta kaynak kodları veya iletilen mesajlar
  • Banka veya finansal işlem ekstreleri (varsa)
  • Platform destek talebi numaraları ve yazışmalar

30.6 Dijital Kanıt Toplama

Dijital deliller, savcılık sürecinin temelini oluşturur. Doğru toplanan deliller soruşturmayı hızlandırır. Yanlış toplanan veya silinen deliller süreci zora sokar.

Temel kurallar:

  • Silmeyin: Gelen mesajları, e-postaları veya bildirimleri silme. Her şeyi orijinal haliyle koru.
  • Değiştirmeyin: Dosyaların içeriklerini değiştirme. Orijinal halini koru.
  • Zaman damgasını koru: Ekran görüntülerinde tarih ve saat görünmelidir. Sistem saatini doğru ayarla.
  • Birden fazla kopya al: Delilleri farklı ortamlarda sakla. Bulut yedek, USB ve fiziksel kopya al.

Adım Adım Kanıt Toplama

  1. Ekran görüntüleri al: Gelen mesajların ekran görüntüsünü al. Tarih, saat, gönderen numara veya profil görünsün. Tam ekran görünümü tercih et. Görüntüleri orijinal formatında (PNG) sakla.

  2. E-posta başlıklarını koru: Şüpheli e-postaları silme. E-postanın kaynak kodunu göster seçeneğiyle orijinal başlıkları kaydet. Başlıklarda gönderen IP adresi ve sunucu bilgileri bulunur. Bu bilgiler savcılık için kritiktir.

  3. Bağlantı adreslerini kaydet: Şüpheli linklerin tam internet adresini kopyala ve bir metin dosyasına yapıştır. Linklere tıklama, sadece adresi not et. Linklerin ekran görüntüsünü de al.

  4. Finansal kayıtları indir: Banka veya finansal işlem söz konusuysa hesap ekstrelerini indir. İşlem tarihlerini, tutarları ve karşı taraf bilgilerini kaydet. Banka müşteri hizmetlerini arayarak durumu bildir.

  5. Log kayıtlarını iste: Platformların destek ekiplerinden hesap erişim loglarını talep et. IP adreslerini, giriş tarihlerini ve kullanılan cihaz bilgilerini iste. Bu talebi yazılı olarak yap ve kayıt altına al.

  6. Tüm delilleri güvenli bir yere teslim et: Parolalı bir USB belleğe kopyala. Güvenilir bir avukata ver. Birden fazla kopya bulundur. Orijinal delilleri saklamaya devam et.

Kanıt Toplama Araçları

  • Ekran görüntüsü: Telefonun yerleşik ekran görüntüsü özelliğini kullan. Üçüncü parti uygulama kullanma.
  • E-posta başlıkları: Gmail’de “Orijinali göster”, Outlook’ta “İleti kaynağını görüntüle” seçeneğini kullan.
  • Dosya bütünlüğü: Delil dosyalarını orijinal haliyle sakla, üzerinde hiçbir değişiklik yapma. Dosyayı düzenlemen gerekirse orijinalini ayrı bir yerde yedekle.
  • Sayfa arşivi: web.archive.org üzerinden şüpheli sayfaların arşiv kaydını oluştur.
Bunu Yap
  • Delilleri derhal kaydet: ekran görüntüsü, mesaj kayıtları, IP bilgileri
  • Savcılığa suç duyurusunda bulun, geciktirme
  • KVKK başvuru hakkını kullan: verilerini taşı, sil veya düzelt talep et
  • Dijital kanıtları yedekle: bulut ve fiziksel kopya
Bunu Yapma
  • Olayı görmezden gelip hiçbir adım atmama
  • Kanıt olan mesajları, e-postaları veya dosyaları silme
  • Sosyal medyadan açıkça suçlama yapma (hukuki süreç zarar görebilir)
  • Şüpheliyle doğrudan iletişime geçme veya tehdit etme
Şikayet Dosya Hazırlığı
  • Ekran görüntüleri alındı mı (tarih ve saat görünür)
  • Mesaj kayıtları yedeklendi mi (WhatsApp, SMS, e-posta)
  • IP adresi ve tarih/saat bilgileri not edildi mi
  • İlgili web sayfaları arşivlendi mi (Wayback Machine veya PDF kayıt)
  • Kimlik fotokopisi hazır mı
  • Olayın kronolojik özeti yazıldı mı
  • Tanık varsa iletişim bilgileri alındı mı

Gerçek olay: 2022’de Türkiye’de bir avukatın telefon hattı, kimliği kopyalanarak başka bir kişiye devredildi (SIM swap saldırısı). Saldırgan avukatın banka hesaplarına giren SMS doğrulama kodlarını ele geçirdi, hesapları boşalttı. Avukat bir gün telefonunun çekmediğini fark etti, operatörü aradı, hattının başkasına devredildiğini öğrendi. Hemen savcılığa suç duyurusunda bulundu (TCK 243 bilişim sistemine girme, TCK 244 sistemi engelleme). Operatör müşteri hizmetlerine başvurdu, eski SIM kartını iptal ettirdi, yeni SIM kart aldı. Bankalara durumu bildirdi, hesapları donduruldu. KVKK’ya kişisel verilerinin izinsiz kullanımı için başvurdu. Saldırgan, IP kayıtları ve banka işlemleri sayesinde tespit edildi. Avukatın parasının bir kısmı banka tarafından geri ödendi, saldırgan hakkında dava açıldı. Bu olay, yasal sürecin doğru işletilmesinin mağduru koruyabildiğini kanıtlıyor.

Saldırı zinciri: SIM swap saldırısı dört aşamalıdır:

  1. Birinci aşama: Saldırgan hedefin TC kimlik numarasını, ad-soyad bilgisini ve telefon numarasını toplar (sosyal medya veya veri sızıntılarından).
  2. İkinci aşama: Bu bilgilerle operatöre giderek “SIM kartımı kaybettim, yeni kart istiyorum” der, kimlik fotokopisiyle yeni SIM kart alır (SIM kartın fiziksel olarak ele geçirilmesi).
  3. Üçüncü aşama: Yeni SIM kart aktif olduğunda hedefin tüm SMS doğrulama kodları saldırgana gelir, banka hesaplarına ve e-postaya giriş yapılır (ele geçirilmiş kimlik doğrulama).
  4. Dördüncü aşama: Hesaplardan para çekilir veya hassas veriler sızdırılır (finansal varlıkların çalınması).

Bu zinciri kırmak için:

  • Operatöründe SIM kart değişikliği için ek güvenlik önlemi (ek parola veya yüz yüze başvuru) talep et.
  • Bankalarda SIM swap koruması aktif et.
  • Düzenli olarak hesap hareketlerini kontrol et.

Saldırıya uğrarsan bu bölümdeki başvuru kanallarını sırayla kullan.

Benzetme: Yasal haklar, bir yangın söndürme tüpü gibidir. Duvarda asılı durduğunu bilirsin ama nerede olduğunu önceden öğrenmezsen, yangın çıktığında bulamazsın.

30.7 Gazeteciler için Kaynak Gizliliği

Gazeteciler için en kritik yasal konulardan biri kaynaklarının gizliliğidir. Türkiye’de haber kaynağının gizliliği Anayasa ve basın kanunları kapsamında korunur ancak sınırları tartışmalıdır.

Yasal Dayanak

  • Anayasa Madde 28: Basın hürdür, sansür edilemez. Haber kaynaklarının açıklanmasının sınırları ayrıca düzenlenir.
  • Basın Kanunu (5187 sayılı) Madde 12: Süreli yayın sahibi, sorumlu müdür ve basın mesleğinde fiilen çalışanlar, haber kaynağını açıklamaya zorlanamaz.
  • Ceza Muhakemesi Kanunu (CMK) Madde 58/2: Gazeteciler, haber kaynağına ilişkin tanıklıktan çekilebilir.

Sınırlamalar ve Dikkat Edilmesi Gerekenler

  • Kaynak gizliliği mutlak değildir. Terör suçları, devlet güvenliği veya kamu düzeni gibi durumlarda mahkeme kararıyla kaynağın açıklanması istenebilir.
  • Dijital kaynak güvenliği için: kaynağın iletişim bilgilerini şifreli tut, Signal gibi uçtan uca şifreli uygulamalar kullan, kaynağın kimliğini mümkün olduğunca az kişiyle paylaş.
  • Dijital delil durumunda, kaynağın kimliğini açığa çıkaracak bilgileri savcılığa vermeden önce mutlaka bir avukata danış.

Önemli: Bu bölüm hukuki tavsiye niteliği taşımaz. Gazetecilik kaynak gizliliği konusunda mutlaka bir avukata danış.

İlgili Bölümler

← Yakın Çalışma Ekibi Güvenliği Dijital Miras →