BİLİŞİM SİSTEMİNDE VERİ DEĞİŞTİRME VE E-OKUL
Günümüzde devletin neredeyse tüm kurumları fiziki evrak (kağıt-kalem) sistemini terk ederek UYAP, e-Devlet, e-Okul, SGK, TAKBİS gibi devasa dijital bilişim sistemlerine entegre olmuştur. Bu dijitalleşme hızı ve pratikliği beraberinde getirse de, elektronik ortamdaki verilerin (bilgilerin) güvenliğinin sağlanması modern ceza hukukunun en büyük sınavlarından biri haline gelmiştir. Türk Ceza Kanunu'nun (TCK) "Bilişim Alanında Suçlar" bölümü, dijital sistemlere hukuka aykırı olarak girilmesini, içerisindeki verilerin bozulmasını veya yetkisiz şekilde değiştirilmesini ağır yaptırımlara bağlamıştır. Ancak kamuoyunda "hacker" olarak bilinen dışarıdan sisteme sızan kişilerin eylemleri kadar, kurum içerisinde zaten sisteme yasal (şifreli) giriş yetkisi olan yöneticilerin veya memurların, bu yetkilerini aşarak veriler üzerinde oynama yapması da bilişim suçu kapsamına girer. Yargıtay 5. Ceza Dairesi'nin uyuşmazlığa konu olan emsal kararı, tam da bu "içeriden yetki aşımı" senaryosuna dair kusursuz bir içtihattır. Karar; e-Okul sistemine idareci şifresiyle yasal olarak giriş yapma yetkisi bulunan bir okul müdürünün (veya vekilinin), sırf yetkisi var diye, yasal olarak sadece ders öğretmeninin belirleme hakkına sahip olduğu öğrenci notlarını kendi şifresiyle girip (45'ten 30'a) değiştirmesinin, basit bir idari disiplin suçu değil; doğrudan doğruya TCK 244/2 kapsamında "Bilişim sistemindeki verileri hukuka aykırı olarak değiştirme" gibi çok ağır hapis cezası öngören asliye cezalık bir suç olduğunu tescillemiştir.
BİLİŞİM SUÇLARI VE VERİ GÜVENLİĞİ
5237 sayılı Türk Ceza Kanunu (TCK), teknolojik gelişmelere ayak uydurabilmek adına bilişim suçlarını 243, 244 ve 245. maddelerinde sistematik olarak düzenlemiştir. Bilişim sistemi; verileri toplayan, yerleştiren, otomatik olarak işleyen ve saklayan her türlü manyetik veya elektronik cihazlar bütünüdür (Bilgisayar ağları, sunucular, bulut sistemleri). TCK m. 243 sadece sisteme hukuka aykırı "girmeyi" cezalandırırken, TCK m. 244 (Sistemi engelleme, bozma, verileri yok etme veya değiştirme), sisteme girdikten sonra o sistemin işleyişine veya içerisindeki dijital dosyalara (verilere) zarar vermeyi cezalandırır. Bir devlet kurumunun ana sunucusunda tutulan öğrenci notları, vatandaşın SGK prim günleri, hastane kayıtları veya mahkeme kararları hukuken koruma altındaki "elektronik verilerdir." Bu verilerin bütünlüğüne, doğruluğuna ve erişilebilirliğine yönelik her türlü yetkisiz dijital müdahale (silme, ekleme, değiştirme), hukuk düzeninin kamusal güvene vurduğu en büyük darbelerden biri olarak kabul edilir ve cezası oldukça ağırdır.
SİSTEME GİRİŞ YETKİSİ VE YETKİ AŞIMI
Bilişim suçları dendiğinde akla genellikle maskeli bir bilgisayar korsanının (hacker), başkalarının şifrelerini çalarak veya yazılım boşluklarını kullanarak dışarıdan bir sisteme izinsiz sızması (hacklemesi) gelir. Ancak uygulamada en sık karşılaşılan bilişim suçları, sisteme girmeye zaten resmi olarak "yetkili" olan (kurumun kendisine kullanıcı adı ve şifre tahsis ettiği) idarecilerin, memurların veya şirket çalışanlarının işlediği suçlardır. Emsal olayda sanık, bir lisenin "müdür vekili"dir. Okul idarecisi olması sıfatıyla, Milli Eğitim Bakanlığı'nın (MEB) e-Okul sistemine kendi adına tanımlanmış şifresiyle girme yetkisi zaten mevcuttur. TCK m. 243 anlamında "sisteme girme" eyleminde bir hukuka aykırılık yoktur. Ancak hukuk, "Madem sistemin kapısını açma anahtarın var, içerideki her odaya girip her dosyayı karıştırabilirsin" demez. Bir memura verilen şifre, sadece onun kanuni görev alanıyla sınırlı işlemleri yapması içindir. Görev alanını ve kanuni yetkisini aşarak sistemdeki verilere (örneğin başkasının uhdesinde olan öğrenci notlarına) müdahale etmek, bilişim sistemindeki verileri "hukuka aykırı olarak" değiştirmek anlamına gelir.
E OKUL SİSTEMİNDE NOT DEĞİŞTİRME EYLEMİ
Milli Eğitim Bakanlığı Ortaöğretim Kurumları Yönetmeliği (ve Sınıf Geçme Sınav Yönetmeliği) çok kesin bir kural koyar: Bir öğrencinin yazılı, sözlü veya performans notunu belirlemek ve e-Okul sistemine işlemek "münhasıran" (sadece ve yalnızca) o dersin öğretmenine ait bir yetki ve sorumluluktur. Okul müdürü, müdür yardımcısı veya Milli Eğitim Müdürü dahi, öğretmenin takdir ettiği bir notu (öğretmenin açık rızası, maddi bir hata veya idari bir mahkeme kararı olmadıkça) keyfi olarak değiştiremez, düşüremez veya yükseltemez. Emsal davada, Türk Dili ve Edebiyatı öğretmeni üç öğrencisine sözlü notu olarak "45" vermiş ve bunu kendi şifresiyle sisteme kaydetmiştir. Okul müdürü, öğrencilerin notunu düşürmek (30 yapmak) amacıyla idareci yetkisini kullanarak sisteme girmiş ve elektronik ortamda 45 rakamını silip yerine 30 yazmıştır. Bu eylem, öğretmenin akademik takdir hakkını gasp etmekle kalmamış, aynı zamanda devletin resmi elektronik sunucusundaki (e-Okul) gerçeği yansıtan resmi bir "veriyi" hukuka aykırı biçimde tahrip etmiş (değiştirmiş) ve suçu kusursuz biçimde oluşturmuştur.
TCK 244 KAPSAMINDA VERİLERİN DEĞİŞTİRİLMESİ
Türk Ceza Kanunu'nun 244. maddesinin 2. fıkrası şöyledir: "Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır." Dahası, bu suçun bir "kamu kurumu"na ait bilişim sistemi (MEB e-Okul) üzerinde işlenmesi halinde, 244. maddenin 3. fıkrası gereği verilecek ceza yarı oranında artırılır. Okul müdürü, öğretmenin girdiği notu değiştirdiğinde, elektronik bir sinyali, bir algoritmayı veya bir veri satırını tahrip etmiştir. Bu suç, fiziki ortamdaki (kağıt üzerindeki) "resmi belgede sahtecilik" suçunun dijital ikizidir. Hatta Yargıtay uygulamalarında, bazen aynı eylemin hem bilişim suçunu hem de resmi belgede sahteciliği oluşturduğu durumlarda, daha ağır cezayı gerektiren maddeden hüküm kurulduğu görülmektedir. E-okul sisteminde notu 45'ten 30'a çekmek, MEB veri tabanındaki dijital gerçeği (veriyi) değiştirmek olup TCK 244/2'nin klasik ve tipik bir ihlalidir.
ESKİ HALE GETİRME VE SUÇUN TAMAMLANMASI
Emsal ceza dosyasındaki en ilginç savunma mekanizmalarından biri muhtemelen "Suç tamamlanmadı ki, notu sonradan eski haline getirdim" şeklindeki yaklaşımdır. Olayın gelişimine göre; e-Okul sistemine girilen sözlü notlarının resmiyet kazanıp karneye yansıyabilmesi için, sistemden "not çizelgesi çıktısı" alınarak ilgili öğretmenin buna fiziki bir imza atması (ıslak imza) gerekmektedir. Okul müdürü notu 30 olarak değiştirmiş, çıktıyı almış ve öğretmene imzalaması için vermiştir. Ancak ilgili edebiyat öğretmeni bu değişikliği fark edip (veya kabul etmeyip) haksızlığa ortak olmamak adına evrakı imzalamayı reddetmiştir. Bunun üzerine köşeye sıkışan müdür, sisteme tekrar idareci şifresiyle girerek notları (eski hali olan) 45'e çevirmiştir. Ceza hukuku açısından suç, müdürün "kaydet" veya "değiştir" tuşuna basıp veriyi 30 yaptığı o ilk saniyede tamamlanmıştır (kesintisiz bir fiil). Öğretmen imzalamadığı için zorunlu olarak notları eski haline getirmek, suçu "teşebbüs" (yarım kalmış) aşamasında bırakmaz veya faili sorumluluktan kurtarmaz. Bir hırsızın çaldığı malı yakalanacağını anlayınca geri bırakması hırsızlık suçunu nasıl ortadan kaldırmıyorsa, değiştirilen dijital verinin sonradan eski haline getirilmesi de bilişim sisteminde veri değiştirme suçunu ortadan kaldırmaz.
GÖREVLİ MAHKEME VE USUL KURALLARI
Ceza Yargılaması Hukukunda "Görev" (hangi suçun hangi mahkemede yargılanacağı) meselesi, kamu düzenine ilişkin mutlak bir usul kuralıdır. Mahkeme, görevli olup olmadığını (veya daha üst bir mahkemenin görev alanına girip girmediğini) davanın her aşamasında resen (kendiliğinden) gözetmek zorundadır. Yargıtay 5. Ceza Dairesi'nin yerel mahkeme kararını bozma sebebi, bu usul kuralının açıkça ihlal edilmesidir. Yerel düzeydeki yargılamanın, suçun işlendiği dönemki yasal düzenlemeler uyarınca (kapanmadan önceki) Sulh Ceza Mahkemesinde yapıldığı ve hüküm kurulduğu anlaşılmaktadır. Oysa sanığa isnat edilen TCK 244/2 (ve kuruma karşı işlendiği için 244/3) kapsamındaki bilişim sisteminde verileri değiştirme suçu, içerdiği hapis cezasının üst sınırı itibarıyla (daha ağır bir suç olduğu için) Sulh Ceza Mahkemesinin değil, üst dereceli olan "Asliye Ceza Mahkemesi"nin yargılama ve delilleri takdir etme görev alanına girmektedir. Alt dereceli bir mahkemenin, yetkisini (görevini) aşarak üst mahkemenin dosyasına bakıp ceza veya beraat vermesi mutlak bir bozma sebebidir ("Görevsizlik kararı verilmesi yerine yargılamaya devamla yazılı şekilde hüküm kurulması yasaya aykırıdır").
YARGITAY 5 CEZA DAİRESİ İÇTİHADI
Yargıtay 5. Ceza Dairesi (özellikle memur suçları, sahtecilik ve bilişim suçlarında uzman daire), 2019/771 Esas ve 2019/7782 Karar sayılı bu içtihadıyla, dijital devlet sistemlerine sahip olan kurum yöneticilerine çok sert bir hukuki mesaj vermiştir. Karar; "Bende şifre var, okulun/kurumun müdürü benim, istediğim veriyi girer, istediğimi silerim" şeklindeki keyfi idareci zihniyetinin Türk Ceza Kanunu nezdinde ağır bir suç teşkil ettiğini kanıtlamaktadır. Yargıtay; öğretmenin münhasır (şahsi) yetkisinde olan bir notun idareci tarafından sisteme girilerek değiştirilmesinin TCK m. 244/2 anlamında dijital bir sabotaj/veri tahrifatı olduğunu tereddütsüz kabul etmiştir. Ayrıca, notun fiziki çıktısının imzalanmaması üzerine sistemden "eski hale getirilmiş olmasının", suçun tamamlanmasına engel teşkil etmediği vurgulanmış, sadece yargılama yapacak mahkemenin (görevli mahkemenin) yanlış seçilmiş olması nedeniyle usulden bir bozma gerçekleştirilmiştir.
SONUÇ VE KURUMSAL BİLİŞİM GÜVENLİĞİ
Sonuç olarak; Türkiye'deki devlet kurumlarının ve idarecilerin, e-Okul, UYAP, e-Devlet gibi dijital sistemlere erişim şifrelerini (admin/yönetici yetkilerini) kullanırken, ceza hukukunun "bilişim suçları" normlarına tabi olduklarını unutmamaları gerekir. Kendisine kurumsal bir giriş yetkisi verilmiş olan memurun veya idarecinin, bu yetkiyi aşarak mevzuat gereği (yönetmelikle) başkasına (örneğin öğretmene) ait olan bir veriye müdahale etmesi, o veriyi değiştirmesi veya silmesi, TCK'nın 244/2. maddesinde düzenlenen "Bilişim Sistemindeki Verileri Yok Etme veya Değiştirme" suçunu vücuda getirir. Yargıtay 5. Ceza Dairesi'nin emsal kararına konu olaydaki gibi, okul müdürünün öğretmenin verdiği 45 notunu e-okul sisteminde 30 olarak değiştirmesi, sonrasında ıslak imza alınamadığı için tekrar 45'e çevirmesi, suçun işlenmiş (ve tamamlanmış) olduğu gerçeğini ortadan kaldırmaz. Bu tür suçlamaların, kamu kurumu aleyhine işlendiği (nitelikli hal) göz önüne alındığında, görevli mahkemenin mutlak surette Asliye Ceza (veya Ağır Ceza) Mahkemesi olduğu ve usul kurallarının katı bir şekilde uygulanacağı bilinmelidir. Tüm kamu çalışanları ve idarecileri, kendilerine tahsis edilen dijital şifrelerin, sadece görev sınırları içinde kullanılabilecek bir emanet olduğunu, dijital ortamdaki her tıklamanın hukuki bir sonucu ve ayak izi (log kaydı) bulunduğunu idrak etmelidir.
SORU – CEVAP BÖLÜMÜ
Sisteme girmesi suç değildir, çünkü müdürün yasal bir şifresi ve giriş yetkisi vardır. Ancak içeride, yetkisi olmayan (sadece öğretmenin yetkisinde olan) öğrenci notlarını değiştirmesi "Bilişim sistemindeki verileri değiştirme" (TCK 244/2) suçunu oluşturur.
Milli Eğitim mevzuatına göre hayır. Sınav veya sözlü notu takdiri, bizzat o dersin öğretmenine aittir. Öğretmenin maddi bir hatası (toplama hatası vb.) yoksa veya idari/yargısal bir denetim kararı bulunmuyorsa, idarecinin öğretmenin notuna doğrudan müdahale etmesi yasa dışıdır.
Yargıtay emsal kararına göre evet, alırsınız. TCK 244'teki suç, siz veriyi (notu) değiştirdiğiniz ve "kaydet" dediğiniz an itibarıyla elektronik ortamda tamamlanmış bir suçtur. Sonradan pişman olup (veya evrak imzalanmadığı için) eski haline getirmeniz suçu ortadan kaldırmaz.
Fiziki (kağıt) bir belgeyi silip değiştirirseniz resmi belgede sahtecilik olur. Aynı işlemi bir devlet bilgisayarı (sunucusu) içindeki elektronik bir kodda veya veri tabanında (e-Okul'da) yaparsanız, bu özel bir hüküm olan "Bilişim sistemindeki verileri değiştirme" suçudur.
Her mahkemenin yargılayabileceği suçların (cezaların üst sınırına göre) bir sınırı vardır. Bir davanın görevsiz bir mahkemede (örneğin alt derece Sulh Ceza'da) görülüp ceza verilmesi Yargıtay için "usulden bozma" sebebidir; dava doğru mahkemede (Asliye Ceza'da) baştan görülmek zorundadır.
Bu makalede yer verilen değerlendirmeler, Yargıtay’ın emsal nitelikteki kararları esas alınarak ve resmi internet sitesinde yayımlanan metinler üzerinden hazırlanmıştır. Ancak olası güncellemeler ve hata ihtimallerine karşı, ilgili kararların kullanılmadan önce mutlaka Yargıtay’ın resmi kaynaklarından teyit edilmesi gerekmektedir