Giriş
Bilişim teknolojilerinin akıl almaz gelişimiyle ortaya çıkan bilgi toplumu olgusuyla birlikte insan ilişkileri de sanal ortama evrilmiş; böylelikle hem uyuşmazlıklar hem de suç oluşturan fiiller bilişim mecrasına taşınmıştır. Bu değişimle, bir yandan siber suç kavramı doğmuş; diğer taraftan klasik olarak adlandırılabilecek suçların delillerinin de sayısal ortamdan elde edilmesi ihtiyacı ortaya çıkmıştır. Söz edilen gerçeklik karşısında bilişim ortamında delil toplanması ve bazı muhakeme işlemlerinin teknolojiye başvurularak yürütülmesi gereklidir. Bu anlamda, ceza muhakemesi hukuku normlarımızın suçlulukla mücadele konusunda ihtiyacı karşılama kapasitesinin ve temel insan haklarına uygunluğunun değerlendirilmesi önem taşımaktadır.[ii]
1. Genel Olarak Adli Bilişim ve Bu Alana İlişkin Normların Niteliği
Bilişim teknolojilerinden yararlanılarak ceza muhakemesinin yürütülmesine ilişkin faaliyetler bütünü olan adli bilişim, hukuk ile bilişimin kesiştiği çok disiplinli bir alan olarak karşımıza çıkmaktadır. Bilgisayar sistemlerinde yürütülen süreçler, faaliyetler dolayısıyla her aşamada gerek bilgisayarlar, gerekse servis sağlayıcıların sistemlerinde izler kalmaktadır. Bu bağlamda, bilişim aygıtlarından suç ile ilgili verilerin hukuka uygun olarak ortaya çıkartılıp muhakeme süjelerinin müşterek değerlendirilmesine sunulması, adli bilişimin temel konusunu oluşturmaktadır.
Adli bilişim prosedürü, ceza muhakemesinin ayrılmaz bir parçası olduğuna göre; bu alandaki normların da demokratik hukuk devletini ve insan haklarını güvence altına almaya elverişli ve ceza muhakemesi hukukunun temel ilkelerine uygun nitelikte olması gereklidir. Bu itibarla, adli bilişim alanındaki normların bir yandan suçlulukla mücadele amacını gerçekleştirmeye elverişliliği öte yandan demokratik hukuk devletinin temel gereksinimlerine uygunluğu yönünden irdelenmesi gereklidir.
2. Adli Bilişim Normunda Yapılan Değişiklikler
Ülkemizde adli bilişim alanındaki temel kural, 5271 sayılı Ceza Muhakemesi Kanunu (CMK) ‘nun “Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma” başlıklı 134. maddesi olup; bu norm klasik anlamdaki arama ve elkoyma tedbirinin bilgisayar ortamına uyarlanmış halinden başka bir şey değildir. Anılan düzenleme, 2014 yılında 6526 sayılı Kanunla ve 2018 yılında ise 7145 sayılı Kanunla iki temel değişikliğe tabi tutulmuştur.
CMK’nin “Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma” başlıklı 134. maddesi bir koruma tedbiri niteliğindedir. Bu itibarla, koruma tedbirlerinde bulunması gerekli olan temel nitelikleri taşımalı ve nihayet temel hak ve özgürlükleri güvence altına almalıdır. Bu bağlamda, söz edilen norma yönelik olarak doktrinde yapılan haklı eleştiriler[iii] dikkate alınarak bazı değişiklikler gerçekleştirilmiştir. Bunları şöyle özetleyebiliriz:
1) “…Somut delillere dayanan kuvvetli şüphe sebeplerinin varlığı” ifadesi maddenin ilk fıkrasına eklenerek koruma tedbirine başvurulacak şüphe derecesi somut olarak belirlenmiştir.
2) Maddenin ilk fıkrası “hâkim veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısı tarafından” şeklinde değiştirilmiştir. Böylelikle, gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısı tarafından da -yirmi dört saat içinde hakim onayına sunulmak kaydıyla- karar verilebilmesinin yolu açılmıştır.
3) Maddenin dördüncü fıkrasında yer verilen “istemesi halinde” yedekten bir kopya çıkarılarak şüpheliye veya vekiline[iv] verileceğine dair hüküm değiştirilerek; talebi olmasa da şüpheliye veya müdafiine arama sırasında çıkarılacak kopyadan bir örnek verilmesi zorunlu hale getirilmiştir.
4) Maddenin ikinci fıkrasında yapılan değişiklik ile bilgisayarlarda arama işleminin uzun sürebilecek olması halinde de bu araç ve gereçlere el konulabilmesine imkan tanınmıştır.
Bilindiği üzere, 2001 yılında imzaya açılan ve 2004 yılında yürürlüğe giren Avrupa Konseyi Siber Suç Sözleşmesi (Siber Suç Sözleşmesi/ Sözleşme) Türkiye Cumhuriyeti Devleti tarafından 2010 yılında imzalanmıştır. 2014 yılında ise, “6533 sayılı Sanal Ortamda İ̇şlenen Suçlar Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun” ile usulüne göre onaylanması uygun bulunarak bir iç hukuk metni haline getirilmiştir. Siber Suç Sözleşmesi’nin maddi ceza hukuku, ceza muhakemesi hukuku ve uluslararası işbirliğine ilişkin normlar getirdiği gözetildiğinde; Anayasamızın 90. maddesinin son fıkrası anlamında “usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası andlaşma” niteliğindedir. Bu bağlamda, adli bilişim alanına ilişkin tek normumuz olan CMK’nin 134. maddesindeki kuralların suçlulukla mücadele anlamında etkinliği yanında temel hakları güvence işlevinin ve “rehber” niteliğindeki Sözleşme’ye uygunluğunun irdelenmesi önemlidir.[v]
3. Adli Bilişim Normunun Değerlendirilmesi
İncelememizin konusu olan normda yapılan değişiklikleri temel hak ve özgürlüklerin güvence altına alınması bağlamında değerlendirdiğimizde “olumlu” olarak nitelendirmekteyiz. Bununla birlikte bazı değişikliklere daha ihtiyaç bulunduğu düşüncesindeyiz.
3.1.Terminoloji yönünden
CMK’nin 134. maddesinde; “bilgisayarlarda, bilgisayar programlarında ve kütüklerinde” terimine yer verilmiştir. Siber Suç Sözleşmesine uygun şekilde “bilgisayar sistemi (computer system)” ve bilgisayar programlarını da kapsayan “bilgisayar verisi (computer data)” terimlerinin tercih edilmesinin yerinde olacağı kanaatindeyiz.[vi]
Anılan normda yer verilen “bilgisayar kütüğü” teriminin bir yandan sabit ya da taşınabilir her türlü veri depolama aracını ifade ettiği belirtilmektedir.[vii] Bir başka düşünceye göre ise, “log” karşılığı kullanıldığı ve daha çok servis sağlayıcıların erişim sağlayan kullanıcılarına ait IP numaralarını ve diğer erişim bilgilerini depoladıkları veri tabanlarının anlaşılması gerektiği ifade edilmektedir.[viii] TDK Sözlüğünde “kütük” sözcüğü, “bir arada işlenen ve birbirleriyle ilgili olan kayıtların tümü” olarak tanımlanmaktadır. Bu anlamda nüfus sicili, tapu sicili, trafik sicili gibi kayıtların tutulduğu fiziki ortamlar için “kütük” teriminin kullanıldığı akla gelebilecektir. Bu itibarla, bilgisayar kütüğü teriminin anlamı normun kapsamını tereddüde yer bırakmayacak şekilde şekilde ortaya konulmalıdır. Sözleşme’de yer verilen bilgisayar sistemi ve bilgisayar verisi terimlerinin tercih edilmesi durumunda bu tartışmaların ortadan kalkacağını ve koruma tedbirinin kapsamını belirleme anlamında tereddütlerin de giderilmiş olacağı inancındayız.
Anılan maddenin birinci fıkrasının ilk cümlesindeki “…bu kayıtların çözülerek metin hâline getirilmesine..” ifadesi fiziki ortama ait bir terminolojiyi yansıtmaktadır. Öte yandan, verilerin çözülerek metin haline getirilmek istenmesi durumunda binlerce sayfalarla ifade edilebilecek fiziki nüshanın (sayfanın) ortaya çıkabileceği gözetilmelidir. Bilgisayarlarda depolanmış tüm verilerin metin haline dönüştürülmesi gibi bir uygulama günümüz teknolojisi ile uyumlu gözükmemektedir. Kaldı ki, CMK’nin 134. maddesinde anılan ifadeye yer verilmemiş olsa dahi verilerin muhakemede gerek duyulan kısımlarının fiziki çıktısının alınmasına engel bir durumun olmadığı göz önünde bulundurulduğunda belirtilen ifadenin gerekli olmadığı dikkat çekmektedir.
3.2. Tedbire başvurulabilecek suçlar yönünden
Bilgisayarlarda arama, kopyalama ve elkoyma tedbirine belirli ağırlıktaki suçlar için yer verilmesi gerektiği düşünülebilir. Gerçekten, Türk Ceza Kanunu (TCK) ‘nda ve ceza normu içeren kanunlarda sadece adli para cezasını gerektiren ve “hafif” nitelikte olarak adlandırabilecek bir çok fiil “suç” olarak tanımlanmıştır. Bu itibarla, hafif nitelikteki bir suç için dahi bilişim sistemlerinde arama yapılmasının “sistemde kayıtlı tüm verilere erişme suretiyle” gerçekleştirilmesinin özel hayatın gizliliği başta olmak üzere, ticari sırlar, bilimsel sırlar, mülkiyet hakkı gibi farklı ancak bir o kadar da önemli hukuki değeri ihlal edebileceği gözetilmelidir. Bu bağlamda, bir taraftan suçlulukla mücadele anlamında her suç tipi için bilgisayarlarda arama yapılmasına izin verilirken; öte yandan temel hakların korunmasına özen gösterilmelidir. Ancak, böylelikle söz edilen her iki amaca da ulaşılması mümkün olabilecektir. Bunun için, bilgisayarın içerdiği tüm verilerin değil; sadece anahtar sözcüklere başvurarak ölçülülük ilkesine uygun bir arama gerçekleştirilmesidir.
Anılan koruma tedbirinin ölçülülük ilkesine uygun şekilde icra edilmesinin hayati önemi haiz olduğu hatırdan çıkarılmamalıdır. Bunun yolu ise, Alman hukukundakine benzer şekilde somut soruşturmada faile ilişkin muhtemel özelliklerin belirlenmesi ve anahtar sözcükler saptanmak suretiyle; bilgisayar verilerinin bu anahtar bilgilerle taranarak uygun bilgilerin diğerlerinden ayırt edilmesi suretiyle arama tedbirinin gerçekleştirilmesidir.[ix] Gerçekten, suç şüphesi altındaki kişinin bilgisayarında sadece suç soruşturmasına konu oluşturan fiile ilişkin bir veriyi bulmak amacıyla belirli anahtar sözcüklere başvurularak arama yapılması ölçülülük ilkesine uygun olacaktır.
Kişinin bilgisayarındaki tüm verilere hiçbir sınır gözetmeksizin arama yapmak için başvurulması, yani bilgisayardaki tüm verilerin genel olarak kopyasının çıkarılarak delil elde etmeye çalışmak şeklinde uygulanacak olan arama tedbiri -fiziki ortamda yapılan arama tedbiriyle kıyaslar isek- adeta “genel arama” niteliğinde bir aramaya eş değer kapsamda olup; bunun da “ölçüsüz” olacağı akla gelmektedir.[x] Söz edilen, “anahtar sözcükler kullanılarak arama yapılması” şeklindeki uygulamaya izin verilmesinin ölçülülük ve amaca elverişlilik anlamında gerekli olduğu ortaya çıkmaktadır. Böylelikle, hafif nitelikteki suçlar yönünden dahi bu tedbire başvurulabilecek olmasından doğabilecek sakıncaların ortadan kaldırılabileceği düşüncesindeyiz.
3.3.Tedbire başvurma şartları yönünden
CMK’nin 134/1. maddesinin ilk cümlesi, anılan koruma tedbirine başvurulması için “…başka surette delil elde etme imkânının bulunmaması” unsuruna yer vermiştir. Bununla birlikte, suç şüphesi altında bulunan kişinin bilgisayar sistemlerinde soruşturma konusu suçun işlediğine veya aranan bilgileri kendi bilgisayarında sakladığına dair somut veri (delil) bulunması şartının aranmamış olması önemli bir ihtiyaç olarak dikkat çekmektedir.[xi]
4. Verilerin erişilemez, kullanılamaz hale getirilmesi ya da silinmesi yönünden
Bilgisayar sistemlerinde elkonulan bazı verilerin özellikleri gereği muhafaza edilmeleri halinde tehlike doğurma olasılığı bulunabileceği gibi bu veriler başlı başına suç da oluşturabilir (örneğin, çocuk pornografisine ilişkin veriler gibi). Benzer şekilde bazı verilerin bulundurulmaları tehlike doğurabilir (örneğin, virüs programları ya da uyuşturucu imalatı ile ilgili bilgiler gibi). Bu tür, muhafaza edilmesi ciddi sakıncalar doğurabilecek olan veriler hakkında soruşturma veya kovuşturma sonunda ne yapılacağı konusunda CMK’nin 134. maddesi hiçbir düzenleme getirmemiştir.[xii] Halbuki, Sözleşme, 19/3-d maddesi ile “verilerin erişilemez, kullanılamaz hale getirilmesi ya da silinmesi” tedbirini yerinde olarak benimsemiştir.[xiii] Bu itibarla, Sözleşme’de öngörülen şekilde, verilerin erişilemez, kullanılamaz hale getirilmesi ya da silinmesi tedbirine CMK’de ve/veya mevzuatımızda yer verilmesi yerinde olacaktır.
5. Kişisel Verilerin Korunması Yönünden
CMK’de telekomünikasyon yoluyla yapılan iletişimin denetlenmesi esnasında elde edilen verilerin yok edilmesi gereği (md.137/3); genetik inceleme sonuçlarının gizliliği (md. 80); sanığa veya mağdura ait kişisel verilerin yer aldığı belgelerin açıkça istemeleri halinde kapalı oturumda okunmasına mahkemece karar verilebilmesi (md. 209/2) konularına dair normlarla kişisel verilerin korunmasının amaçlandığı kuşkusuzdur.
Adli bilişim alanında ise, kişisel verilerin korunmasına dair bazı temel güvencelerin ihmal edildiğini üzülerek ifade etmek durumundayız. Öncelikle, şüpheliden elde edilen verilerin imha edilmesi konusunda CMK’de hiçbir bir kurala yer verilmemiş oluşu dikkat çekicidir. Şöyle ki, şüpheli hakkında kovuşturmaya yer olmadığına karar verilmesi veya davanın beraat hükmüyle sonuçlanması hâlinde, elde edilen verilerin imha edilmesi gereği konusunda CMK’de bir kural bulunmamaktadır. Bu itibarla, kişisel verilerin korunmasına ilişkin güvencelere adli bilişime dair norm yönünden Türk Ceza Adalet Sisteminde ivedilikle ihtiyaç duyulduğunu belirtmeliyiz.[xiv]
Sonuç Yerine
Bilişim teknolojilerinin gelişimiyle ortaya çıkan bilgi toplumu olgusuyla birlikte insan ilişkileri de sanal ortama evrilmiş; hem uyuşmazlıklar hem de suç oluşturan fiiller bilişim mecrasına taşınmıştır. Bu anlamda, adli bilişim alanındaki temel norm niteliğindeki CMK’nin 134. maddesinin ihtiyaçları karşılama kapasitesi suçlulukla mücadelede hayati önem arz etmektedir. Anılan normda, 2014 ve 2018 yılında hak ve özgürlüklerin güvenceye alınması bağlamında olumlu değişiklikler gerçekleştirildiği görülmekle birlikte şu yönlerden bazı değişikliklere daha ihtiyaç bulunduğu düşüncesindeyiz:
1. Normun öncelikle terminolojik bakımdan gözden geçirilmeye ve Ceza Adalet Sistemiyle “uyumlu” hale getirilmeye ve bazı yönleriyle teknolojiye uyumunun sağlanmasına ihtiyacı bulunmaktadır.
2. Tedbire başvurulacak suçlar yönünden bir sınıflandırma yapmak güç gözükmektedir. Bu anlamda, Alman hukukundakine benzer şekilde “anahtar sözcükler kullanılarak arama yapılması” şeklindeki uygulamaya izin verilmesinin ölçülülük ve amaca elverişlilik anlamında gerekli olan bir düzenleme olup; her suç yönünden bu tedbire başvurulmasından doğabilecek sakıncaları gidereceği düşüncesindeyiz.
3. Suç şüphesi altında bulunan kişinin bilgisayar sistemlerinde soruşturma konusu suçun işlediğine veya aranan bilgileri kendi bilgisayarında sakladığına dair somut veri (delil) bulunması şartının aranmamış olması CMK’nin 134/1. maddesi yönünden önemli bir eksiklik olarak görülmektedir.
4. Sözleşme’nin, 19/3-d maddesi ile “verilerin erişilemez, kullanılamaz hale getirilmesi ya da silinmesi” tedbirine CMK’de ve/veya mevzuatımızda yer verilmesi önemli bir ihtiyaç olarak ortaya çıkmaktadır.
5. Elde edilen verilerin imha edilmesi gerektiği durumlarda CMK’de bir hüküm bulunmaması sebebiyle kişisel verilerin korunmasına ilişkin güvencelere ivedilikle ihtiyaç duyulduğunu vurgulamalıyız.
Son söz olarak, adli bilişim alanına ilişkin tek normumuz olan CMK’nin 134. maddesindeki ilkelerin suçlulukla mücadele anlamında etkinliği yanında özel hayatın gizliliği başta olmak üzere temel hakları güvence işlevinin yerine getirilmesi hayati önemdedir. Bu bağlamda, Avrupa Konseyi Siber Suç Sözleşmesi’nin bir iç hukuk metni haline geldiği gözetildiğinde adli bilişim normlarının da Sözleşme ile uyumlu olması gerekmektedir. Ceza muhakemesi hukuku normlarının ülkelerin demokratik düzeylerini doğrudan yansıtması gerçeği karşısında adli bilişim normumuzun yeniden gözden geçirilmesi gerekliliği ortaya çıkmaktadır.
Dr. İhsan Baştürk
Yargıtay 19. Ceza Dairesi Üyesi
--------------------------------------------------
* Bu makale, 2 Aralık 2019 tarihinde Ankara’da gerçekleştirilen I. Uluslararası Adli Bilimler Kongresinde sunulan tebliğ metni esas alınarak hazırlanmıştır.
[ii] Ayrıca bkz. BAŞTÜRK, İhsan: “Bilgisayar Sistemleri ile Verilerinde Arama, Kopyalama ve Elkoyma” Fasikül, Aylık Hukuk Dergisi, İstanbul Kültür Üniversitesi CEHAMER yayını, Sayı: 9, Ağustos 2010, s. 23-32.
[iii] Bu konuda ayrıca bkz. ÖZEN, Muharrem/ BAŞTÜRK, İhsan: Temel Hak ve Özgürlükler Bağlamında Bilişim-İnternet ve Ceza Hukuku, Adalet Yayınevi, Ankara 2012, s. 162-166.
[iv] CMK’nin 134/3. maddesinde şüphelinin müdafiine örnek verilmesinden söz edildiğinden “vekiline” değil;
“müdafiine” ifadesi kullanılmalıydı.
[v] Bu konuda ayrıca bkz. ÖNOK, Murat R. : “Avrupa Konseyi Siber Suç Sözleşmesi Işığında Siber Suçlarla Mücadelede Uluslararası İşbirliği”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, Prof. Dr. Nur Centel’e Armağan, C. 19, S. 2, İstanbul 2013 (Özel Sayı), s. 1229-1269.
[vi] BAŞTÜRK, s. 26.
[vii] DÜLGER, Murat Volkan: Bilişim Suçları ve İnternet İletişim Hukuku, 2. Baskı, Seçkin Yayınevi, Ankara 2012, s. 658.
[viii] ÖZBEK, Veli Özer/ KANBUR, M. Nihat/ DOĞAN, Koray/ BACAKSIZ, Pınar/ TEPE, İlker: Ceza Muhakemesi Hukuku, Güncellenmiş 2. Baskı, Seçkin Yayınevi, Ankara 2011, s. 308.
[ix] CENTEL, Nur/ ZAFER, Hamide: Ceza Muhakemesi Hukuku, Yenilenmiş ve Gözden Geçirilmiş 14. Bası, Beta Basım Yayım Dağıtım A.Ş., İstanbul 2017, s. 449.
[x] Bu surette uygulanacak arama tedbirinin özel hayatın gizliliğini ihlal edeceğine dair bkz. CENTEL/ ZAFER, s. 449.
[xi] CENTEL/ ZAFER, s. 450.
[xii] Aynı yönde bkz. ÖZOCAK, Gürkan/ ÖZEN, Muharrem: “Adli Bilişim, Elektronik Deliller ve Bilgisayarlarda Arama ve El Koyma Tedbirinin Hukuki Rejimi (CMK M. 134)” Ankara Barosu Dergisi, S. 2015/1, s. 70.
[xiii] Sözleşme’nin Gerekçesi olarak nitelendirilebilecek olan Açıklayıcı Rapora (Explanatory Report) göre; “Verileri erişilmez kılmak verileri şifrelemeyi ya da başka bir biçimde teknolojik olarak kimsenin verilere erişememesini sağlamayı içerebilir. Bu önlemin virüs programları ya da virüs ya da bomba imalatıyla ilgili bilgiler gibi tehlike ya da toplumsal zararın söz konusu olduğu ya da çocuk pornografisi gibi verilerin ya da içeriklerinin yasadışı olduğu durumlara uygulanması yararlı olabilir. "Taşımak" terimi, verilerin taşınmak ya da erişilmez kılınmakla birlikte yok edilmediği, var olmaya devam ettiği fikrini ifade etmek için kullanılmıştır. Şüpheli geçici olarak verilerden mahrum bırakılmaktadır, ama cezai soruşturma ya da takibatın sonucuna bağlı olarak verilerin geri verilmesi mümkündür.” Bkz. Gerekçe No. 198.
[xiv] Aynı yönde bkz. ÖZEN/ BAŞTÜRK, s. 161-162.
