1. Hukukumuzda Kişisel Verilen
Korunması
Kişisel veri kavramı kimliği belirli ya
da belirlenebilir bir kişiyle ilgili herhangi bir bilgi olarak tanımlanabilir.
Tanım uyarınca toplumdaki herkesin kişisel verilere haiz olduğu sabittir.
Örneğin kişilerin adları, soyadları, adresleri gibi bilgiler kişisel veri
örneklerindendir. Bu verilerin veri sahibinin rızası olmadan toplanılması,
işlenilmesi ve saklanılması halleri veri sahibi bakımından sakınca teşkil
edebilecektir. Bu doğrultuda kanun koyucu kişisel veri konusunda düzenleme
yapma ihtiyacı hissetmiş ve kişisel verilere ilişkin sınırlar yasalar
çerçevesinde çizilmiştir.
İlk olarak belirtmek gerekir ki,
hukukumuzda kişisel veriler hakkında anayasal güvence mevcuttur. Anayasa madde
20/2 uyarınca “Herkes, kendisiyle ilgili kişisel verilerin korunmasını
isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler
hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya
silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas
ve usuller kanunla düzenlenir” denilerek, kişilerin verilerinin korunması
anayasal güvence altına alınmıştır. Kişisel verilerin işlenilmesinin ise ancak
veri sahibinin rızası veya kanundaki hallerde mümkün olabileceği saptanmıştır.
Anayasa’nın 20/2. maddesi uyarınca
düzenlenen hak uyarınca konuyla ilgili daha özel bir düzenleme ihtiyacı oluşmuş
ve 6698 no’lu Kişisel Verilerin Korunması Hakkında Kanun düzenlenilmiştir.
KVKK, 2016 yılından beri yürürlüktedir. İşbu kanun ile kişisel verilerin
işlenilmesi sırasında uyulacak usul ve esaslar ile düzenlemelere uyulmaması
halinde tabi olunacak bazı yaptırımlar düzenlenilmiştir.
KVKK’da kişisel veriler işlenirken
uyulması gerekilen usul ve esaslara uyulmaması halinde uygulanacak yaptırımlar
iki ayrı başlık ile, “suçlar” ve “kabahatler” olarak belirlenmiştir. Beşinci
bölüm altında, 17. Ve 18. Maddelerde suçlar ve kabahatler düzenlenilmiştir.
Madde 17 uyarınca kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk
Ceza Kanunu’nun uygulanacağı hükme bağlanılmıştır. Dolayısıyla kişisel verilere
ilişkin suçlar, Türk Ceza Kanunu madde 135. ila 140. maddeleri arasında
hükmedilmiş cezalar ile cezalandırılacaktır. Kabahatler bakımından ise madde
18’de çeşitli idari para cezası yaptırımları öngörülmüştür.
2. Türk Ceza Kanunundaki Düzenlemeler
Türk Ceza Kanunu’nun dokuzuncu bölümü
“Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” olarak düzenlenilmiştir. Bu
bölüm madde 132 ila 140 arasını kapsamaktadır. Makalemiz bakımından önem teşkil
eden suçlar ise madde 135 ila 140 arasında yer alan suçlardır.
a.
Kişisel Verilerin Kaydedilmesi (TCK md. 135)
“Kişisel
verilerin kaydedilmesi
Madde
135-
(1)
Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar
hapis cezası verilir.
(2)
Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki
kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına,
sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda
birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”
şeklinde
düzenlenmiştir.
İlk fıkradaki suç tanımında fiil unsuru
kişisel verilerin kaydedilmesidir. Dolayısıyla hukuka aykırı şekilde bir
kişisel verinin kaydedilmesi ile suç tamamlanmış olacaktır. Bu verinin daha
sonra paylaşılmış olunup olunmaması ise bu suç bakımından önem teşkil
etmemektedir. Kaydetmek eylemi bilgisayar ortamında olabileceği gibi yazı yolu
ile de gerçekleştirilmiş olunabilir. Kişisel nitelikteki verilerin kağıt
üzerine yazılması, çizilmesi, işaretlenmesi ses ya da görüntü araçlarına veya
dijital ortama aktarılması ve tekrar kullanılmaya elverişli olacak şekilde
saklanması halleri bu suçun konusunu oluşturabilecektir. [1]
Öğretide bir görüşe göre ise, kağıt
üzerine yazmanın kaydetmek eylemini oluşturmayacağını savunmaktadır. Kanun
gerekçesinde ise kişisel verilerin kaydedileceği yer bakımından kanunda
bilinçli olarak bir ayrım yapılmadığı söylenmiştir.
Suç tanımında bahsi geçen hukuka
aykırılık unsuru bakımından da öğretide farklı görüşler vardır. Kanunun
lafzında özellikle hukuka aykırı olarak ibaresi kullanılmıştır. Bu sebeple
ilgili suç bakımından hukuka aykırılık unsuru tipikliğe ait bir unsur haline
gelmiştir. Dolayısıyla TCK 135’in oluşması için failin fiilinin hukuka
aykırılığını bildiğinin ispat olunması gerekir. Yargıtay da bu doğrultuda karar
vermektedir. Örneğin resmi belgede sahtecilik suçunun ispati için kişisel veri
kaydeden bir sanığın hukuka aykırılık bilinciyle hareket etmemesi sebebiyle
Yargıtayca bu suçtan beraatine karar verilmiştir.
Suçun ikinci fıkrasında ise nitelikli
haller düzenlenilmiştir. Bu fıkrada, hukuka aykırı olarak kaydedilen verilerin
çeşitli türlerde olması halinde ceza arttırımı öngörülmüştür. Bu doğrultuda
daha hassas olarak nitelendirilebilecek kişisel verilerin hukuka aykırı olarak
kaydedilmesi eyleminin ilk fıkradaki halden daha ağır bir cezaya çarptırılması
hedeflenilmiştir. Belirtmek gerekir ki, madde 135’te düzenlenen kişisel
verilerin kaydedilmesi suçu bakımından madde 137’de de nitelikli haller
düzenlenilmiştir. Madde 137’deki nitelikli hallere makalemizin ileri
aşamalarında değineceğiz. 137. Maddede düzenlenen nitelikli haller hem madde
135 hem de madde 136 için geçerli olan nitelikli haller düzenlemektedir. Madde
137, madde 135’ten farklı olarak verilerin özellikli olmasına değil, failin
şahsının özellikli olmasına bağlanmış nitelikli halleri düzenlemektedir.
TCK 135 bakımından önem taşıyabilecek
bir husus veri sahibinin rızasıdır. Verilerin kaydedilmesi bakımından hukuka
aykırılık unsuru tipikliğin bir parçası olarak düzenlendiğinden, veri sahibinin
rızası ile hukuka aykırılık ortadan kalkacağından tipiklik de ortadan
kalkacaktır. Dolayısıyla suç oluşmayacaktır.
Aynı doğrultuda, veri sahibinin kendisi
tarafından alenileştirilmiş bilgi bakımından da bu suç vuku bulamayacaktır.
Yargıtay da bir kararında veri sahibinin sosyal medya hesabından paylaştığı
fotoğrafın kaydedilerek başka bir hesapta paylaşılmasının suç oluşturmayacağını
tespit etmiştir. [2]
b.
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK md. 136)
Madde 136 aynen;
“Verileri hukuka aykırı olarak verme
veya ele geçirme
Madde 136-
(1) Kişisel verileri, hukuka aykırı
olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla
kadar hapis cezası ile cezalandırılır.
(2) Suçun konusunun, Ceza Muhakemesi
Kanununun 236’ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan
beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.”
şeklinde düzenlenmiştir.
Suçun fiil unsurunu üç ayrı seçimlik
hareket oluşturmaktadır. Dolayısıyla hukuka aykırı olarak kişisel verilerin
“bir başkasına verilmesi”, “yayılması”, “ele geçirilmesi” hallerinden birinde
bu suç oluşabilecektir.
Verme eylemi ile suçun oluşması için
kişisel verinin bir başkasına ulaştırılması gerekli değildir. Ulaştırılan kişi
tarafından kişisel verinin öğrenilebilir hale gelmesi ile suç tamamlanır.
Yaymak eylemi ile suçun oluşması için kişisel verilerin içeriğinin başkaları
tarafından fiilen öğrenilmesi aranmaz [3]. İçeriğin öğrenilebilir hale gelmesi
ile suç tamamlanır. Ele geçirme eylemi ile suçun oluşması için verilerin temin
edilmesi gerekir.
Dikkat edilmelidir ki, üç seçimlik
eylemden birine konu olan kişisel verinin hukuka aykırı veya hukuka uygun
olarak kaydedilmiş olmasının önemi yoktur. [4]
Bu suça konu verilerin hukuka aykırı
olarak elde edilmiş olması ancak TCK 135’te düzenlenen suçun oluşup oluşmaması
bakımından önem teşkil eder. Ayrıca TCK 136 bir soyut tehlike suçu olduğundan
seçimlik hareketlerden birinin gerçekleşmesi ile suç tamamlanır, mağdurun zarara
uğraması aranmaz.
c.
Nitelikli Haller (TCK md. 137)
İlgili
hükümde aynen;
“(1)
Yukarıdaki maddelerde tanımlanan suçların;
a)
Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak
suretiyle,
b)
Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
İşlenmesi
halinde, verilecek ceza yarı oranında artırılır.”
denilmiştir.
Bu nitelikli haller failin şahsı ile
ilgili olup, madde 135 ve 136’daki iki suç bakımından da geçerlidir. Bu
düzenleme ile kişisel verilere erişimi sık ve kolay olan kişilerin bu
hallerinin sağladığı kolaylıkları kullanarak ilgili suçları işlemeleri halinde
daha ağır yaptırımlara tabi olmaları istenilmiştir.
İlk nitelikli hal için, faili kamu
görevlisi olması ve bu görevin verdiği yetkiyi kötüye kullanarak suçu işlemiş
olması gerekir. Dolayısıyla kamu görevlisi failin görevinden bağımsız şekilde
ilgili suçları işlemesi halinde bu nitelikli hal uygulama alanı bulmaz.
d.
Verileri Yok Etmeme (TCK md. 138)
İlgili hükümde aynen;
“Madde 138-
(1) Kanunların belirlediği sürelerin
geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara
görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası
verilir.
(2) Suçun konusunun Ceza Muhakemesi
Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri
olması hâlinde verilecek ceza bir kat artırılır.”
denilmiştir.
Meşru şekilde, geçerli bir ihtiyaç için
işlenen verilerin ihtiyacın oradan kalkması ile işlenmesinin bir yararı
kalmayacaktır. Bu sebeple bu verilerin yok edilerek veri sahibinin zarar
görmesi engellenmek istenilmiştir. Bu hususa uymayanlar bakımından ise TCK
138’deki yaptırım düzenlenilmiştir.
Suçun oluşması için öncelikle kişisel
verinin yok edilmesi için belirlenilmiş olan süre sona ermiş olmalıdır [3].
İkinci olarak veriyi yok etmekle yükümlü kişiyi veriyi yok etmemiş olmalıdır.
Verilerin ne zaman yok edilmesi gerekeceği kanunlarda belirlenilmiş olabilir.
Kanunda belirli bir süre öngörülmemiş olunsa da örneğin “makul bir süre sonra
silineceği” kararlaştırılmış olunabilir.
İlgili suç ihmali bir suç olup, yok
etme eyleminin ihmali ile vuku bulur. İlgili suçta fail, yok etme yükümlülüğüne
haiz bir kişi olmalıdır. Dolayısıyla özgü bir suç söz konusudur. TCK 135 ve
136’dan farklı olarak hukuka aykırılık unsuru suç tanımında yer almamıştır.
Dolayısıyla failin hukuka aykırılık bilinci ile hareket etmesi aranmaz.
e. Diğer Hükümler (TCK md. 139 ve md. 140)
TCK madde 139’da şikayet unsuru
düzenlenilmiştir. İlgili hükümde aynen;
“(1) Kişisel verilerin kaydedilmesi,
verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme
hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete
bağlıdır.”
denilmiştir.
Dolayısıyla TCK 135 ve 136’da
düzenlenen suçlar bakımından soruşturma ve kovuşturma yapılması şikayete bağlı
değildir. İşlemler re ’sen gerçekleştirilir. TCK madde 138’de düzenlenen
verileri yok etmeme suçu bakımından ise şikayet şartı aranacaktır. TCK madde
140’ta ise ilgili suçları işleyen tüzel kişiler bakımından güvenlik tedbiri
uygulanabileceği hükme bağlanılmıştır.
3. Sonuç
Kişisel veri kavramı her kişinin haiz
olduğu, her türlü kişisel bilgiyi ifade eder. Bu bilgilerin işlenmesi,
tutulması ve aktarılması hususları veri sahipleri bakımından önem taşımaktadır.
Kanun koyucu da bu doğrultuda kişisel veriler hususu üzerine düzenlemeler
yaparak, sınırları yasalar ile çizmiştir. Kişisel veriler bakımından en temel
sınır, anayasal güvencedir. Bu güvence kapsamında özel kanunlar düzenlenilmiş,
yasalarla çizilen sınırlara uyulmaması hallerine ilişkin olarak çeşitli
yaptırımlar öngörülmüştür. Bunlardan bazıları ise Türk Ceza Kanunu’nda
mevcuttur. Makalemizde bu düzenlemelere ışık tutulmuş olunup, son derece önem
taşıyan kişisel veri ihlallerine ilişkin Türk Ceza Kanunu’nda bulunan ceza hükümleri
irdelenmiştir.
Stj Av. Halit Ata Yıldırım
Kaynakça:
1.
Malkoç, İsmail, “Açıklamalı-İçtihatlı 5237 sayılı Yeni TCK”, İkinci Cilt,
Malkoç Kitabevi, Ankara 2007.
2.
Yargıtay 12. Ceza Dairesi 2015/4349 E. 2016/5349 K. sayılı ilamı.
3.
Sert, Şeyma, “Kişisel Verilerin TCK Kapsamında Korunması”, Seçkin Kitabevi,
2018.
4.
Donay, Süheyl, “TCK Şerhi”, Beta Yayıncılık, İstanbul 2007.