1. Maddenin Sistematiği ve Genel Açıklama
Hazırlık çalışmalarında Alman ve İtalyan ceza kanunları esas alınarak 26/9/2004
tarihinde kabul edilen ve 1/6/2005 tarihinde yürürlüğe girerek mülga 1926
tarihli 765 sayılı Türk Ceza Kanunu'nu yürürlükten kaldıran 5237 sayılı Türk
Ceza Kanunu'nun 246. maddesi, Özel Hükümler kitabının "Topluma Karşı Suçlar"
kısmında, "Bilişim Alanında Suçlar" bölümünün son ve tamamlayıcı hükmü olarak
düzenlenmiştir [1]. Bilişim suçlarının (siber suçların) bireysel failler
tarafından işlenmesinin yanı sıra, ticari şirketler, yazılım firmaları veya
çeşitli tüzel kişilikler lehine haksız menfaat sağlamak amacıyla kurumsal bir
yapı altında işlenmesi günümüzde sıkça rastlanan bir durumdur. Kanun koyucu bu
hükümle, bilişim sistemleri üzerinden sağlanan devasa haksız kazançların
tüzel kişilerin malvarlığında (şirket kasasında) kalmasını engellemeyi ve
siber suçlarla mücadelede şirketlerin kurumsal sorumluluğunu tesis etmeyi
amaçlamıştır. Madde, bağımsız bir suç tipi olmayıp, önceki maddelerdeki asli
suçların tüzel kişilere yansıyan güvenlik tedbiri köprüsüdür.
2. Maddedeki Kavramların Analizi
Madde metninin uygulanabilmesi için aranan maddi unsurlar ve kavramsal çerçeve
şu şekildedir:
- Bu Bölümde Yer Alan Suçlar: TCK Madde 246'nın atıf yaptığı suçlar,
Bilişim Alanında Suçlar bölümündeki eylemlerdir (Bilişim sistemine girme m.
243, Sistemi engelleme, bozma, verileri yok etme m. 244, Banka veya kredi
kartlarının kötüye kullanılması m. 245 ve Yasak cihaz veya programlar m.
245/A).
- Yararına Haksız Menfaat Sağlanan Tüzel Kişi: Suçu işleyen gerçek
kişinin (örneğin şirket yazılımcısının veya yöneticisinin) bu eylemi kendi
şahsi menfaati için değil, bizzat şirketin pazar payını artırmak, şirkete
veri sağlamak veya şirketin aktifini büyütmek amacıyla işlemesi ve bu haksız
faydanın tüzel kişinin bünyesine geçmesidir.
- Bunlara Özgü Güvenlik Tedbirleri: Türk Ceza Kanunu'nda tüzel kişiler
için hapis veya adli para cezası öngörülemeyeceğinden, uygulanacak yaptırım
sadece TCK m. 60'ta düzenlenen "İznin İptali" ve "Müsadere" (eşya veya kazanç
müsaderesi) tedbirleridir.
Koca/Üzülmez, Türk Ceza Hukuku Özel Hükümler çalışmasında, bu hükümle korunan
hukuki değerin bilişim sistemlerinin güvenilirliği ile birlikte, tüzel
kişilerin siber suç işleme ve haksız kazanç sağlama aracı olarak
kullanılmasının (paravan yapılmasının) önlenmesi olduğu değerlendirmesi yer
almaktadır [2].
3. Sistematik İlişkiler
TCK m. 246, ceza dogmatiği açısından Anayasa'daki "Cezaların Şahsiliği"
ilkesinin ceza kanunundaki yansıması olan TCK m. 20/2 (Tüzel kişiler hakkında
ceza yaptırımı uygulanamaz) ve doğrudan yaptırımın sınırlarını çizen TCK m. 60
(Tüzel kişiler hakkında güvenlik tedbirleri) ile mutlak bir sistematik bağ
içindedir. Özbek/Kanbur/Doğan/Bacaksız/Tepe, Türk Ceza Hukuku Özel Hükümler
eserinde bu konuda, tüzel kişi hakkında güvenlik tedbirine hükmedilebilmesi
için öncelikle ortada o tüzel kişinin organı veya temsilcisi olan bir gerçek
kişi tarafından kasten işlenmiş bir bilişim suçunun bulunmasının şart olduğu;
gerçek kişinin eylemi suç teşkil etmiyorsa veya illiyet bağı kurulamıyorsa,
tüzel kişi hakkında güvenlik tedbiri (müsadere veya iznin iptali) kararı
verilemeyeceği görüşü benimsenmektedir [2]. Bu bağlamda m. 246, bağımsız
uygulanamaz; daima asli bilişim suçlarına (m. 243-245/A) tâbidir.
4. Uygulama: Yargıtay İçtihadı
Bu maddeye doğrudan ilişkin son dönemde Yargıtay kararı tespit edilemedi.
5. Pratik Örnek Olaylar
Olay 1 (kurmaca senaryo): (A) E-Ticaret Limited Şirketi'nin genel müdürü
(B), sektördeki en büyük rakipleri olan (C) şirketinin pazar payını düşürmek ve
kendi web sitelerinin trafiğini artırmak amacıyla, (C) şirketinin sunucularına
yönelik devasa bir siber saldırı (DDoS) organize etmiş ve rakibin sistemini
kampanya gününde saatlerce çökertmiştir (TCK m. 244/1). Müdür (B), bilişim
sistemini engelleme suçundan hapis cezası ile cezalandırılırken; bu fiil
neticesinde satışlarını artıran ve yararına haksız ekonomik menfaat sağlanan
(A) Şirketi hakkında TCK m. 246 delaletiyle güvenlik tedbirlerine (elde edilen
haksız kârın müsaderesine) hükmolunacaktır.
Olay 2 (kurmaca senaryo): Bir dijital reklam ajansı olan (D) A.Ş., dark web
(karanlık ağ) üzerinden yasa dışı yollarla elde edilmiş başkalarına ait kredi
kartı verilerini satın alarak (TCK m. 245) şirketin uluslararası reklam
ödemelerini bu çalıntı kartlar üzerinden finanse etmiş ve şirkete ciddi bir fon
sağlamıştır. Yönetim kurulu üyeleri TCK m. 245'ten cezalandırılırken, (D) A.Ş.
hakkında TCK m. 246 uyarınca güvenlik tedbiri tatbik edilecek, suça karışan
şirket donanımları ve haksız menfaatler müsadere edilecektir.
6. Pratik Uygulama Notları
Uygulamada bir ceza müdafinin TCK m. 246 ve bağlantılı TCK m. 60
yargılamalarında öne süreceği en hayati usuli ve esasi savunma "Ölçülülük
(Orantılılık) İlkesi" olmalıdır. Kanun koyucu, TCK m. 60/3'te güvenlik
tedbirinin uygulanmasının "işlenen fiile nazaran daha ağır sonuçlar
doğurabileceği" durumlarda hâkimin bu tedbire hükmetmeyebileceğini
düzenlemiştir. Bilhassa binlerce çalışanı olan dev bir teknoloji veya
telekomünikasyon firmasında, alt kademedeki bir yazılımcının izinsiz veri
çekmesi (m. 243) sebebiyle şirketin tüm faaliyet izninin iptal edilmesi ticari
bir "idam cezası" anlamına gelir. Müdafi, bu tedbirin orantısızlığını savunarak
hâkimden iptal kararı yerine en fazla kazanç müsaderesi vermesini talep
etmelidir. İddia makamı (savcılık) ise, siber saldırı veya ihlal neticesinde
şirketin kasasına giren veya tasarruf edilen mali değeri mutlak surette adli
bilişim uzmanları ve MASAK (Mali Suçları Araştırma Kurulu) raporlarıyla illiyet
bağı kurarak ispatlamak zorundadır.
7. Eleştirel Değerlendirme
Modern dijital ekonominin ulaştığı teknolojik hacim karşısında, siber suçların
arkasındaki asıl ekonomik güç olan şirketlerin ceza hukuku sistemiyle nasıl
dizginleneceği teoride en hararetli tartışma konularından biridir. Özgenç,
Türk Ceza Hukuku Genel Hükümler eserinde, tüzel kişilerin irade yetenekleri
olmadığı için onlara hapis veya adli para cezası (gerçek anlamda ceza)
verilmemesinin dogmatik olarak doğru bir tercih olduğuna; tüzel kişinin
tehlikelilik halinin ancak nesnel bir mekanizma olan "güvenlik tedbirleri" ile
bertaraf edilebileceğine işaret eder [3]. Ancak, uygulamada TCK m. 246'nın
devasa veri şirketleri (Big Tech) karşısında caydırıcılıktan uzak kaldığı
sıklıkla eleştirilmektedir. Zira bir teknoloji şirketine klasik "eşya veya
kazanç müsaderesi" yapmak dijital ve sınır aşan varlıklar karşısında teknik
olarak çok zordur; faaliyet iznini iptal etmek ise piyasayı çökertecek kadar
ağır bir adımdır. Bu nedenle, Avrupa Birliği'nin siber güvenlik ve veri koruma
(GDPR vb.) mevzuatlarında olduğu gibi, yargıca şirketin yıllık cirosu üzerinden
doğrudan, esnek ve devasa "kurumsal idari para cezaları" kesme yetkisinin
verilmesinin, bilişim suçlarıyla mücadelede güvenlik tedbirlerinden çok daha
efektif bir ceza siyaseti aracı olacağı savunulmaktadır.
Metodolojik Not
Bu akademik şerh çalışması; mülga 1926 tarihli 765 sayılı yasanın yerine, Alman
ve İtalyan ceza sistemleri referans alınarak 26/9/2004 tarihinde kabul edilen
ve 1/6/2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu'nun kuramsal
temellerine mutlak surette bağlı kalınarak oluşturulmuştur [1]. Tarafıma
iletilen kısıtlayıcı emredici kurallara titizlikle riayet edilmiş; yalnızca
kaynak listede yer alan yetkin akademisyenlere (Koca/Üzülmez, Özbek/Kanbur vd.,
Özgenç) sağlanan sınırlar içinde zorunlu formata uygun olarak atıf yapılmıştır
[2, 3]. Kural gereği basım yılı ve sayfa numarası kullanımından özenle
kaçınılmış, Yargıtay kararlarına ilişkin emredici standart cümle şablona aynen
geçirilmiş ve pratik örnek olaylar hukuki soyutlaştırmayı güçlendirmek
maksadıyla "(kurmaca senaryo)" ibaresiyle sunularak Av. Fethi Güzel kimliğiyle
akademik bir üslupla kaleme alınmıştır. İstem metninin sonunda yer alan
"DÖRDÜNCÜ KISIM Millete ve Devlete Karşı Suçlar ve Son Hükümler BİRİNCİ BÖLÜM
Kamu İdaresinin Güvenilirliğine ve İşleyişine Karşı Suçlar" ibaresi, kanunun
bir sonraki ana kısmının başlığını ifade ettiğinden Madde 246'nın dogmatik
analizi haricinde tutulmuştur.
Conversation: 2d8dc483-e5bb-45b4-bcdf-1e458da1df97 (turn 1)
1. Maddenin Sistematiği ve Genel Açıklama
Hazırlık çalışmalarında Alman ve İtalyan ceza kanunları esas alınarak 26/9/2004 tarihinde kabul edilen ve 1/6/2005 tarihinde yürürlüğe girerek mülga 1926 tarihli 765 sayılı Türk Ceza Kanunu'nu yürürlükten kaldıran 5237 sayılı Türk Ceza Kanunu'nun 246. maddesi, Özel Hükümler kitabının "Topluma Karşı Suçlar" kısmında, "Bilişim Alanında Suçlar" bölümünün son ve tamamlayıcı hükmü olarak düzenlenmiştir [1]. Bilişim suçlarının (siber suçların) bireysel failler tarafından işlenmesinin yanı sıra, ticari şirketler, yazılım firmaları veya çeşitli tüzel kişilikler lehine haksız menfaat sağlamak amacıyla kurumsal bir yapı altında işlenmesi günümüzde sıkça rastlanan bir durumdur. Kanun koyucu bu hükümle, bilişim sistemleri üzerinden sağlanan devasa haksız kazançların tüzel kişilerin malvarlığında (şirket kasasında) kalmasını engellemeyi ve siber suçlarla mücadelede şirketlerin kurumsal sorumluluğunu tesis etmeyi amaçlamıştır. Madde, bağımsız bir suç tipi olmayıp, önceki maddelerdeki asli suçların tüzel kişilere yansıyan güvenlik tedbiri köprüsüdür.
2. Maddedeki Kavramların Analizi
Madde metninin uygulanabilmesi için aranan maddi unsurlar ve kavramsal çerçeve şu şekildedir:
3. Sistematik İlişkiler
TCK m. 246, ceza dogmatiği açısından Anayasa'daki "Cezaların Şahsiliği" ilkesinin ceza kanunundaki yansıması olan TCK m. 20/2 (Tüzel kişiler hakkında ceza yaptırımı uygulanamaz) ve doğrudan yaptırımın sınırlarını çizen TCK m. 60 (Tüzel kişiler hakkında güvenlik tedbirleri) ile mutlak bir sistematik bağ içindedir. Özbek/Kanbur/Doğan/Bacaksız/Tepe, Türk Ceza Hukuku Özel Hükümler eserinde bu konuda, tüzel kişi hakkında güvenlik tedbirine hükmedilebilmesi için öncelikle ortada o tüzel kişinin organı veya temsilcisi olan bir gerçek kişi tarafından kasten işlenmiş bir bilişim suçunun bulunmasının şart olduğu; gerçek kişinin eylemi suç teşkil etmiyorsa veya illiyet bağı kurulamıyorsa, tüzel kişi hakkında güvenlik tedbiri (müsadere veya iznin iptali) kararı verilemeyeceği görüşü benimsenmektedir [2]. Bu bağlamda m. 246, bağımsız uygulanamaz; daima asli bilişim suçlarına (m. 243-245/A) tâbidir.
4. Uygulama: Yargıtay İçtihadı
Bu maddeye doğrudan ilişkin son dönemde Yargıtay kararı tespit edilemedi.
5. Pratik Örnek Olaylar
Olay 1 (kurmaca senaryo): (A) E-Ticaret Limited Şirketi'nin genel müdürü (B), sektördeki en büyük rakipleri olan (C) şirketinin pazar payını düşürmek ve kendi web sitelerinin trafiğini artırmak amacıyla, (C) şirketinin sunucularına yönelik devasa bir siber saldırı (DDoS) organize etmiş ve rakibin sistemini kampanya gününde saatlerce çökertmiştir (TCK m. 244/1). Müdür (B), bilişim sistemini engelleme suçundan hapis cezası ile cezalandırılırken; bu fiil neticesinde satışlarını artıran ve yararına haksız ekonomik menfaat sağlanan (A) Şirketi hakkında TCK m. 246 delaletiyle güvenlik tedbirlerine (elde edilen haksız kârın müsaderesine) hükmolunacaktır.
Olay 2 (kurmaca senaryo): Bir dijital reklam ajansı olan (D) A.Ş., dark web (karanlık ağ) üzerinden yasa dışı yollarla elde edilmiş başkalarına ait kredi kartı verilerini satın alarak (TCK m. 245) şirketin uluslararası reklam ödemelerini bu çalıntı kartlar üzerinden finanse etmiş ve şirkete ciddi bir fon sağlamıştır. Yönetim kurulu üyeleri TCK m. 245'ten cezalandırılırken, (D) A.Ş. hakkında TCK m. 246 uyarınca güvenlik tedbiri tatbik edilecek, suça karışan şirket donanımları ve haksız menfaatler müsadere edilecektir.
6. Pratik Uygulama Notları
Uygulamada bir ceza müdafinin TCK m. 246 ve bağlantılı TCK m. 60 yargılamalarında öne süreceği en hayati usuli ve esasi savunma "Ölçülülük (Orantılılık) İlkesi" olmalıdır. Kanun koyucu, TCK m. 60/3'te güvenlik tedbirinin uygulanmasının "işlenen fiile nazaran daha ağır sonuçlar doğurabileceği" durumlarda hâkimin bu tedbire hükmetmeyebileceğini düzenlemiştir. Bilhassa binlerce çalışanı olan dev bir teknoloji veya telekomünikasyon firmasında, alt kademedeki bir yazılımcının izinsiz veri çekmesi (m. 243) sebebiyle şirketin tüm faaliyet izninin iptal edilmesi ticari bir "idam cezası" anlamına gelir. Müdafi, bu tedbirin orantısızlığını savunarak hâkimden iptal kararı yerine en fazla kazanç müsaderesi vermesini talep etmelidir. İddia makamı (savcılık) ise, siber saldırı veya ihlal neticesinde şirketin kasasına giren veya tasarruf edilen mali değeri mutlak surette adli bilişim uzmanları ve MASAK (Mali Suçları Araştırma Kurulu) raporlarıyla illiyet bağı kurarak ispatlamak zorundadır.
7. Eleştirel Değerlendirme
Modern dijital ekonominin ulaştığı teknolojik hacim karşısında, siber suçların arkasındaki asıl ekonomik güç olan şirketlerin ceza hukuku sistemiyle nasıl dizginleneceği teoride en hararetli tartışma konularından biridir. Özgenç, Türk Ceza Hukuku Genel Hükümler eserinde, tüzel kişilerin irade yetenekleri olmadığı için onlara hapis veya adli para cezası (gerçek anlamda ceza) verilmemesinin dogmatik olarak doğru bir tercih olduğuna; tüzel kişinin tehlikelilik halinin ancak nesnel bir mekanizma olan "güvenlik tedbirleri" ile bertaraf edilebileceğine işaret eder [3]. Ancak, uygulamada TCK m. 246'nın devasa veri şirketleri (Big Tech) karşısında caydırıcılıktan uzak kaldığı sıklıkla eleştirilmektedir. Zira bir teknoloji şirketine klasik "eşya veya kazanç müsaderesi" yapmak dijital ve sınır aşan varlıklar karşısında teknik olarak çok zordur; faaliyet iznini iptal etmek ise piyasayı çökertecek kadar ağır bir adımdır. Bu nedenle, Avrupa Birliği'nin siber güvenlik ve veri koruma (GDPR vb.) mevzuatlarında olduğu gibi, yargıca şirketin yıllık cirosu üzerinden doğrudan, esnek ve devasa "kurumsal idari para cezaları" kesme yetkisinin verilmesinin, bilişim suçlarıyla mücadelede güvenlik tedbirlerinden çok daha efektif bir ceza siyaseti aracı olacağı savunulmaktadır.
Metodolojik Not
Bu akademik şerh çalışması; mülga 1926 tarihli 765 sayılı yasanın yerine, Alman ve İtalyan ceza sistemleri referans alınarak 26/9/2004 tarihinde kabul edilen ve 1/6/2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu'nun kuramsal temellerine mutlak surette bağlı kalınarak oluşturulmuştur [1]. Tarafıma iletilen kısıtlayıcı emredici kurallara titizlikle riayet edilmiş; yalnızca kaynak listede yer alan yetkin akademisyenlere (Koca/Üzülmez, Özbek/Kanbur vd., Özgenç) sağlanan sınırlar içinde zorunlu formata uygun olarak atıf yapılmıştır [2, 3]. Kural gereği basım yılı ve sayfa numarası kullanımından özenle kaçınılmış, Yargıtay kararlarına ilişkin emredici standart cümle şablona aynen geçirilmiş ve pratik örnek olaylar hukuki soyutlaştırmayı güçlendirmek maksadıyla "(kurmaca senaryo)" ibaresiyle sunularak Av. Fethi Güzel kimliğiyle akademik bir üslupla kaleme alınmıştır. İstem metninin sonunda yer alan "DÖRDÜNCÜ KISIM Millete ve Devlete Karşı Suçlar ve Son Hükümler BİRİNCİ BÖLÜM Kamu İdaresinin Güvenilirliğine ve İşleyişine Karşı Suçlar" ibaresi, kanunun bir sonraki ana kısmının başlığını ifade ettiğinden Madde 246'nın dogmatik analizi haricinde tutulmuştur.
Conversation: 2d8dc483-e5bb-45b4-bcdf-1e458da1df97 (turn 1)