BİRİNCİ BÖLÜM
KİŞİSEL VERİ KAVRAMI VE TANIMLAR
1. Kişisel Veri
Kişisel Veri kavramı, gelişen teknoloji ile birlikte hayatımıza girmiş ve özellikle ilk bilgisayarların ortaya çıkması ile birlikte kişilere ait veriler toplanmaya başlanmıştır. Dünyada meydana gelen bu gelişmeler kişisel verilerin tanımlanmasını ve nasıl korunacağı meselesini tartışılır hale getirmiştir. Amerika Birleşik Devletleri’nde vatandaşlara kredi veren bankaların kredi verecekleri kişileri belirlemek için vatandaşların kişisel verilerinin toplanacağı bir merkezi talep etmeleri, Avrupa’da II. Dünya savaşından sonra kişisel verilerin toplanmasına ilişkin öneriler büyük bir kamu oyu tepkisiyle karşılaşmıştır ve yeni hukuki düzenlemelere olan ihtiyaç böylece ortaya çıkmıştır. Kişisel verilerin korunması ve aktarımına ilişkin hukuki düzenlemeler ile uluslararası antlaşmalara sonraki bölümde değinilecek, bu bölümde yalnızca ortak tanımlar incelenecektir.
Kişisel veri kavramı, uluslararası belgelerde, incelenen ülkelerin ulusal mevzuatlarında ve Türk Ceza Kanunu’nun kişisel verileri koruyan hükümlerinden kişisel verilerin kaydedilmesi suçunu düzenleyen 135 inci maddenin ilk fıkrasının gerekçesinde, belirli veya belirlenebilir nitelikte olan bir kişiye ilişkin veri olarak tanımlanmıştır. Nitekim 108 Sayılı Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme’nin tanımlar başlıklı 2 nci maddesinde “belirli veya belirlenebilir bir kişiye ait her tür bilgi” ve 95/46 Sayılı Avrupa Topluluğu Kişisel Verilerin Korunması Yönergesi’nin tanımlar başlıklı 2 nci maddesinde kişisel veri “belirli veya belirlenebilir gerçek kişiye ait her tür bilgi” olarak tanımlanmıştır. Belirlenebilir kişi kavramı ise aynı maddede “doğrudan veya dolaylı olarak, özellikle bir kimlik numarası veya kişinin fiziksel, psikolojik, ruhsal, ekonomik, kültürel veya sosyal kimliğine bir ya da birden fazla spesifik faktör referans alınarak, kimliği belirlenebilen kişi” olarak tanımlanmıştır. Kişisel veri son olarak, uluslararası antlaşmalar doğrultusunda 2016 yılında yürürlüğe giren Kişisel Verilerin Koruması Kanununun tanımlar kısmında Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde ifade edilmiştir.
Anılan bilgiler, belirli bir kişinin kimliğini ortaya çıkartan ve uyruğuna, etnik kökenine, dini/ felsefî inançlarına, sosyal/ siyasî kanaatlerine, fotoğrafına, sesine, emniyet amacıyla alınan parmak izi, retina haritası, koku tanıması gibi biyometrik kayıtlarına, fiziksel özelliklerine, görüntüsüne, cinsel eğilimlerine, kan grubuna, tıbbî tahlil değerlerine, sağlığına, tıbbî ve adlî geçmişine, yerleşim yerine, banka hesap ve kredi kartı bilgilerine, elektronik şifrelerine, imzasına, alışveriş alışkanlıklarına, öğrenim ve çalışma durumuna, meslek sırlarına, emeklilik, kurum sicil yahut vergi numarasına, sosyal sigorta kayıtlarına, bireysel ve/ veya ailevî ilişkilerine, telefon mesajları, telefon defteri, telefon numarası, elektronik posta veya sosyal medya hesabı ve bunların içerikleri gibi haberleşme verilerine, kişisel bilgisayarının IP. adresine vs. ilişkin her türlü bilgiden ibaret olabilirler.
Bazı kişisel veriler ise, arz ettikleri önem sebebiyle hassas kişisel veri, özel nitelikli kişisel veri gibi kategorilerde değerlendirilmiş ve tüm hukuki metinlerde bu tür verilere özel koruma sağlanması gerekliliği belirtilmiştir. Nitekim 6698 Sayılı Kişisel Verilerin Korunması Kanununda, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır.
2. Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi ise, 95/46/AT Sayılı Avrupa Topluluğu Kişisel Verilerin Korunması Yönergesi’nde, kişisel verilerin tabi tutuldukları her tür işlem olarak tanımlanmıştır. Nitekim 6698 Sayılı Kişisel Verilerin Korunması Kanunu da bu düzenleme doğrultusunda bir tanım benimsemiş ve Kişisel Verilerin İşlenmesini, Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak açıklamıştır. Kısacası verilerin toplanmasından yok edilmesine kadar geçen her türlü işlem kişisel verilerin işlenmesi olarak tanımlanabilecektir.
3. Veri Öznesi/İlgili Kişi
Kişisel verilerin korunması ile ilgili olarak, önem arz eden iki kavram da “veri öznesi (data subject)” ve “ilgili kişi” dir. Veri öznesi, 95/46/AT Sayılı Avrupa Topluluğu Kişisel Verilerin Korunması Yönergesi’nin 2 nci maddesi ve 108 Sayılı Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme’nin 2 nci maddesinde kişisel verinin ilgili olduğu, yani belirli ya da belirlenebilir kıldığı kişi olarak tanımlanmıştır. Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu İlgili Kişiyi, Kişisel verisi işlenen gerçek kişi olarak tanımlamıştır. Dolayısıyla yalnızca gerçek kişilere ait veriler kişisel veri niteliğini haiz olabilecek, tüzel kişilere ait veriler için ise ticari sır kavramı kullanılacaktır.
4. Veri Denetçisi
Farklı ülkelerin veri koruma kanunlarında bahsi geçen bu ifade, verilerin işlenmesindeki amaç ve araçları belirleyen kişi veya örgütü ifade eder. Bazı uluslararası metinler ile Kişisel Verilerin Korunması Kanununda ise veri kütüğü sahibi ile veri sorumlusu terimlerinin de bu kavramı karşılamak için kullanıldığını görmekteyiz. 6698 sayılı Kişisel Verilerin Korunması Kanunu veri sorumlusunu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak belirlemiştir.
5. Veri İşleyen
Henüz o yıllarda Kişisel Verilerin Korunması Kanununun henüz taslak olarak yer alması sebebiyle Nil Melek Gültekin’in tezinde bulunmayan ancak Kişisel Verilerin Korunması Kanununda yer alan veri işleyen kavramının da tanımlanması gerekmektedir. Kanun bu kavramı, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımladığını görmekteyiz. Veri sorumlusu ile veri işleyen aynı kişi olabileceği gibi, veri sorumlusunun yetkisini başka bir gerçek veya tüzel kişi ile paylaşması halinde iki farklı kişi bünyesinde mevcut olacaktır.
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASININ TARİHÇESİ
Kişisel verilerin korunmasına ilişkin düzenlemeler, daha ziyade II. Dünya Savaşı’ndan sonra önem kazanmış olsa da, M.Ö. 5. yüzyılda ortaya çıkan hekimin sır saklama yükümlülüğü kişisel verilerin korunmasına ilişkin en eski örneklerden biridir. Hekimlerin, meslekleri kapsamında bireylerin sağlığıyla ilgili olarak öğrendikleri bilgileri başka kimselerle paylaşmamalarını öngören bu yükümlülük, kişisel verilerin dolaylı olarak korunmasının ilk adımlarından birisidir. Günümüzde anlaşıldığı haliyle kişisel veri kavramının gelişmesi ve korunmasının önem arz etmeye başlaması ise, 1950 ve 1960’lı yıllarda, bilgisayarların ilk ortaya çıkışı ve buna bağlı olarak ilerleyen dönemlerde teknolojinin hızla gelişerek bireylere ilişkin verilerin tutulmaya, yayılmaya ve transfer edilmeye başlamaları ile Amerika Birleşik Devletleri’nde (ABD) gündeme gelmiştir. Özellikle toplanan ve depolanan kişisel verilerin kötüye kullanılması endişesi, II. Dünya Savaşı’ndan sonra Avrupa ülkelerinde de etkisini yoğun bir şekilde hissettirerek bu savaşın yıkıcı etkilerinin psikolojik olarak devam etmesi sebebiyle kişisel verilerin korunmasına yönelik tartışmaları beraberinde getirmiştir. ABD’de o dönemde kişilerin kredi verilebilirliği sosyal açıdan büyük bir önem teşkil etmekte olup, kredi verilirken bilgisayarların hata yapmaması için vatandaşların verilerinin bir merkezde toplanması önerilince başlayan tartışmalar, ABD ordusunun pek çok kişinin kişisel verilerini topladığı ortaya çıkında iyice alevlenmiştir. Benzer olarak, İsveç’te de, 60 lı yıllarda büyük bir vergi sicili oluşturularak vatandaşların nüfus bilgilerinin burada toplanmasına ilişkin bir çalışma başlatılmış, sonunda ABD’de ve İsveç’te bu tartışmalar ortak bir elektronik veri bankası kurulması ile sonlanmıştır.[1]
Yaşanan gelişmeler ışığında, kişisel veri hukukuna ilişkin gelişmeler 70’li yıllara gelinmesiyle birlikte hız kazanmıştır. Aşağıda ulusal ve uluslararası mevzuatta kişisel verilerin korunmasına ilişkin çalışmalara kısaca değinilecektir.
1. Ekonomik İşbirliği ve Kalkınma Teşkilatı Sözleşmesi (OECD Convention)
Uluslararası anlamda kişisel verilere ilişkin olarak ülkeler arasında birlik sağlanmaya çalışılması için ilk adımı atan OECD, 23 Eylül 1980 tarihinde “Özel Yaşamın Gizliliğinin ve Sınıraşan Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeleri” (OECD Convention) kabul etmiştir19. Her ne kadar uluslararası anlamda kişisel verilerin bir bütünlük içerisinde korunması amaçlanmış olsa da, imzalanan bu metin, rehber ilkeler olarak üye Devletlere yalnızca tavsiye niteliğinde olmaktan ibarettir ve bu itibarla metnin üye devletler açısından herhangi bir bağlayıcılığı bulunmamaktadır.
OECD’nin kabul etmiş olduğu Rehber İlkeler, kişisel veriyi belirli veya belirlenebilir bir kişiye ait olan tüm bilgiler olarak tanımlamış; kişisel verilerin korunmasına yönelik olarak 8 temel ilke kabul etmiştir ve bu ilkeler ilgili maddelerde belirtilmiştir. Rehber İlkeler, pek çok ülkenin iç hukukunda kişisel veri hukukunun kaynağını oluşturmuş, hatta Türkiye’de Kişisel Verilerin Korunması Hakkında Kanununun da temelini oluşturduğu görülmektedir.
.OECD, kişisel verilerin işlenmesi açısından şu ilkeleri getirmektedir;
1. İlke, “Veri Toplamanın Sınırlı Olması İlkesi” dir (md. 7).
2. İlke, “Veri Kalitesi İlkesi”dir (md. 8).
3. İlke “Amacın Belirliliği İlkesi” dir (md. 9).
4. İlke olan “Kullanımın Sınırlı Olması İlkesi” ne göre ise (md. 10),
5. İlke “Veri Güvenliği İlkesi” olup (md. 11),
6. İlke “Açıklık İlkesi” dir (md. 12)
7. İlke “Bireyin Katılımı İlkesi” dir (md. 13)
8. İlke OECD Rehber İlkelerinde yer alan son ilke olup, “Hesap Verilebilirlik İlkesi” dir (md. 14).
OECD’nin getirmiş olduğu bu ilkeler pek çok ülkede kişisel verilerin korunması hukukuna dayanak teşkil etmiştir.
2. 108 Sayılı Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme (108 Sayılı Sözleşme)
1981 tarihli ve 108 Sayılı Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme, AİHS’te açıkça yer verilmemiş olan kişisel verilerin korunması hakkını düzenlemektedir. 108 Sayılı Sözleşme’nin 23 üncü maddesine göre Avrupa Konseyi’ne üye olmayan devletler de bu sözleşmeyi imzalayabilirler ancak Sözleşme’nin 4 üncü maddesine göre, Sözleşme’yi imzalayan devletlerin, Sözleşme’nin hükümlerini iç hukuklarına aktarmakla yükümlüdürler.
108 sayılı Sözleşmenin düzenlemeleri aktarım bakımından önem arz etmektedir. Kişisel verilerin aktarımı ile ilgili olarak, 108 Sayılı Sözleşme, serbest aktarımı genel kural olarak düzenlemiş, Sözleşme’ye taraf ülkelerden birinin, taraf olan diğer ülkelerden birine yapılacak aktarımı yalnızca özel hayatın gizliliğinin korunması sebebiyle yasaklayamayacağını veya özel bir izne tabi tutamayacağını öngörmüştür. Ancak bu kurala iki istisna getirilmiştir ve bunlar; kişisel verinin aktarılacağı diğer ülkede eşdeğer koruma bulunmaması veya belirli kategorilerdeki kişisel veriler için özel koruma getirilmiş olması ya da veri aktarımının Sözleşme’ye taraf olmayan bir ülkeye yapılacak olmasıdır.
108 Sayılı Sözleşme, kişisel verilerin korunmasına ilişkin önemli belgelerden biri olup, Sözleşme’yi imzalayan devletlere getirdiği yükümlülüklerle ve bunların iç hukuka aktarılmasına ilişkin bağlayıcı niteliği ile oldukça önemli bir konumdadır. 108 sayılı Sözleşme, kişisel verilerin korunması alanında uluslararası alanda bağlayıcı ilk ve tek sözleşmedir. Türkiye’nin de 2016 yılında Sözleşme’ye taraf olması ile Avrupa Konseyi üyeleri arasında bu metnin tarafı olmayan hiçbir devlet kalmamıştır.
3. Avrupa İnsan Hakları Sözleşmesi (AİHS)
İkinci Dünya Savaşı’nın yarattığı yıkımlardan sonra önem kazanan insan haklarının korunması hususunda, Birleşmiş Milletler Örgütü’nün kurulması ve ardından BM Genel Kurulu’nun 10.12.1948 tarihli kararıyla İnsan Hakları Evrensel Bildirgesi’nin kabul edilmesi ile ilk adımlar atılmıştır. Ardından, 4 Kasım 1950 tarihinde Roma’da Avrupa İnsan Hakları Sözleşmesi imzalanmış ve Sözleşme 1953 yılında yürürlüğe girmiştir. Ardından, bu Sözleşme’nin, Sözleşme’yi onaylayan ülkeler tarafından doğru bir şekilde uygulanmasını denetlemek amacıyla 1954 yılında Avrupa İnsan Hakları Komisyonu ve 1959 yılında Avrupa İnsan Hakları Mahkemesi (AİHM) kurulmuştur. Türkiye de, bu Sözleşmeyi 1954 yılında onaylamıştır. [2]
AİHS’de kişisel verilerin korunması hususu açıkça zikredilmemiş olsa da, bu konu Sözleşme’nin 8 inci maddesi kapsamında incelenmektedir, zira 8 inci madde “Özel Hayata ve Aile Hayatına Saygı Hakkını” korumakta, AİHM de kişisel verilerin korunmasını bu kapsamda değerlendirmektedir.
AİHS, özel yaşamın ve aile yaşamının korunmasına ilişkin maddeyi “1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin kanunla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir” şeklinde düzenlemiştir. Dolayısıyla, Sözleşme öncelikle, ilk fıkrada kişilerin özel hayatını, aile hayatını, konutunu ve yazışmalarını koruma altına almış, ardından ikinci fıkrada, kişilerin bu haklarının hangi gerekçelerle ve hangi koşullarda sınırlandırılabileceğini düzenlemiştir. Maddenin temel amacı, bireylerin özel ve aile hayatını keyfi müdahalelerden korumak olarak değerlendirilmektedir. Bu kapsamda, AİHS’nin devlete yüklediği pozitif ve negatif yükümlülükler önem kazanmaktadır. Buna göre, devletin ilk yükümlülüğü negatif yükümlülük olup, bireyin özel hayatına ve aile hayatına keyfi olarak müdahale etmemektir. İkinci yükümlülüğü ise pozitif yükümlülük olup, bu yükümlülük kapsamında devlet, bireylerin bu haklarını kullanabilmeleri için uygun koşulları sağlamalı, kamu görevlileri veya bireylerin, başka kişilerin özel hayatına ve aile hayatına keyfi olarak müdahale etmesini önlemelidir.
AİHM, verdiği kararlarda, Sözleşme’yi yorumlamakta ve içtihat yaratmaktadır. Nitekim Mahkeme’nin pek çok kararında, önceki kararlarına atıf yapmak suretiyle, bazı ölçütleri artık benzer kararlarında da uyguladığı görülmektedir. Kişisel verilerin korunmasına ilişkin AİHM’in verdiği ilk ve en önemli kararlardan biri, devletin negatif yükümlülüğünün incelendiği Leander v. İsveç davasıdır.[3] Bu davada, başvurucu, İsveç iç hukukunda personel kaydı tutulmasına izin veren bir kanuna göre kendisiyle ilgili olarak birtakım kişisel verilerin güvenlik amacıyla tutulduğunu, ancak kendisi hakkında toplanan bilgileri görme, yanlışsa düzeltme talebinin reddedildiğini, bu durumun da AİHS’nin 8 inci maddesini ihlal ettiğini ileri sürmüştür. Mahkeme ise, başvuruyu üç aşamada inceleyerek öncelikle müdahalenin meşru bir amaç için yapılıp yapılmadığını değerlendirmiş ve bunun sonucunda müdahale amacının 8 inci maddenin ikinci fıkrasında sayılan “ulusal güvenlik” olduğunu, bu itibarla meşru olduğuna kanaat getirmiştir. Mahkeme daha sonra, yapılan müdahalenin kanuna uygun olup olmadığını değerlendirmiş, bu aşamada, kanunun yeterince açık hükümler içerdiğini, bu kapsamda hükümlerin hangi kişisel verilerin hangi amaçla tutulduklarını açıkça düzenlediğini, bu itibarla kanuna uygunluk kriterinin sağlandığını ifade etmiştir. Mahkeme, yapılan müdahalenin ulusal güvenliğin korunması amacıyla demokratik bir toplumda gerekli olup olmadığını incelemiş ve müdahalenin orantılı olduğuna karar vererek demokratik bir toplumda gerekli olarak kabul etmiştir. Sonuç olarak, Mahkeme, bu davada 8 inci madde kapsamında bir ihlal olmadığına karar vermiştir, ancak doktrinde, Mahkeme’nin bugünkü anlayışı ve yapısı gereği, kararı vermiş olduğu döneme nazaran daha ileride olduğu ileri sürülmüştür.
AİHM verilen kararlarda, genel olarak, öncelikle kişisel verilerin tutulmalarının veya ifşa edilmelerinin AİHS m.8 kapsamında müdahale teşkil edip etmediği değerlendirilmiş, müdahale teşkil ettiğinin belirlendiği hallerde ise öncelikle yapılan müdahalenin hukuka uygun olup olmadığı incelenmiş, bu inceleme yapılırken ulusal mevzuatta müdahaleye kaynak teşkil eden bir düzenlemenin mevcut olup olmadığına, şayet varsa, düzenlemede bireylerin kişisel verilerinin yeterli düzeyde korunmasını sağlayacak açık hükümlerin yer alıp almadığına bakılmıştır. Ardından, Mahkeme, yapılan müdahalenin demokratik bir toplumda gerekli olup olmadığını, bu bağlamda orantılı olup olmadığını belirlemiştir.
AİHS’in mahiyeti gereği bireylere yalnızca devletler karşısında koruma sağladığı ancak bireyleri özel hukuk gerçek ve tüzel kişileri açısından ise korumasız bıraktığı görülmektedir. Günümüzde pek çok özel hukuk gerçek ve tüzel kişisinin, özellikle uluslararası şirketlerin veri işlediği şüphesizdir. Bu sebeple AİHS’in yanında özellikle 108 sayılı Sözleşme ile Avrupa Birliği düzenlemeleri kişisel verilerin korunması hususunda önem kazanmaktadır.
4. Birleşmiş Milletler
Birleşmiş Milletler, İnsan Haklarına ilişkin genel çalışmaları kapsamında, 10 Aralık 1948 tarihli BM Evrensel İnsan Hakları Bildirisi’nde ve BM Bireysel ve Siyasal Haklar Uluslararası Sözleşmesi’nde kişisel verileri de kapsamına alacak düzenlemelere gitmiştir. Bunların yanı sıra, çalışmalarında getirdiği ilkelerin uygulanması hususunu denetleyen denetçilerin kişisel veriler üzerindeki hakimiyeti ve Birleşmiş Milletler bünyesinde çalışan personelin sağlıkları ile ilgili kişisel verilerinin korunmasına ilişkin çeşitli düzenlemeler de getirmiştir. [4]
BM’nin doğrudan bu husustaki temel çalışması ise 1990 yılında kabul edilen ve tavsiye niteliğinde olan “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarının Düzenlenmesine İlişkin Rehber İlkeler” dir. İsminden de anlaşıldığı üzere, kişisel verilerin korunmasına ilişkin getirilen bu düzenleme Birleşmiş Milletlere dahil devletler için bağlayıcı olmayıp yalnızca yol gösterici niteliktedir ve kişisel verilerin korunması için yetkili ve bağımsız koruma organlarının kurulması gerekliliğini ifade eden uluslararası hukuk bağlamındaki ilk belgedir.
BM düzenlemesinin detaylarına OECD Rehber İlkelerinin neredeyse tekrarı olması sebebiyle bu çalışmada değinilmeyecektir.
5. Avrupa Birliği Düzenlemeleri
a) 95/46 sayılı Avrupa Topluluğu Kişisel Verilerin Korunması Yönergesi
Avrupa Birliği, 2002/58/AT Sayılı Özel Yaşamın ve Elektronik İletişimin Korunması ve Avrupa Birliği Temel Haklar Şartı gibi hukuki düzenlemelere yer vermekle birlikte, kişisel verilerin korunmasına ilişkin en önemli düzenlemesinin 95/46 sayılı direktif olduğu görülmektedir.
95/46/AT Sayılı Yönerge ile tek Pazar düşüncesi altında gelişmekte olan ve bu amaçla çeşitli ticari faaliyetler geliştiren Avrupa Birliği üyesi ülkeleri arasındaki kişisel verilerin korunmasına ilişkin mevzuatların birbirine uyumlu hale getirilmesi ve böylece bu ülkelerin her birindeki asgari koruma ölçütünün belirlenmesi hedeflenmiştir. Birinci maddede Yönergenin amacı belirlenmiş, ilk fıkrada üye devletlerin bireylerin temel hak ve özgürlüklerini, özellikle kişisel verilerin işlenmesine ilişkin alanda özel hayatın gizliliğinin korunmasını sağlamaları gerektiği belirtilmiş, ikinci paragrafta ise bu korunmanın sağlanması gerekçesiyle üye devletlerin verilerin özgür akışını engellememeleri gerektiği vurgulanmıştır. Üye devletler arasındaki ulusal mevzuat uyumunun önemine ise, Yönergenin 7 ve 8 Sayılı gerekçelerinde değinilmiş, kişisel verilerin korunması hususunda farklı düzenlemeler bulunmasının verinin bir üye devletten diğerine akışını engelleyebileceği ve bu tür durumların önlenmesi için sağlanan koruma düzeyinin tüm üye devletlerde eşdeğer olması gerektiği ifade edilmiştir.
b) Avrupa Birliği Veri Koruma Yönetmeliği (GDPR)
95/46 sayılı yönerge zaman içinde amacına ulaşmış, Avrupa Birliği’ne üye ülkelerin veri koruma hukukunun uyumlu olmasını sağlamış, uyumlu olmayan ülkelerle ise eş değer korumayı öngören çeşitli anlaşmalar imzalamıştır. Türkiye de Avrupa Birliği müzakere süreçlerinde 95/46 sayılı direktifi temel alan Kişisel Verilerin Korunması Kanununu 2016 yılında kabul etmiştir. Ancak Avrupa Parlamentosu yine aynı yıl General Data Protection Regulation’ı oylama ile kabul etmiştir. 95/46/EC yürürlük tarihi itibariyle tüm Avrupa Birliği üyesi ülkeler için geçerli olmakla beraber, her bir üye ülke bakımından kendi iç düzenlemelerini yapmalarına müsaade eden, belli ölçüde çerçeve bir düzenleme olarak düşünebilecek bir direktif iken GDPR regülasyon niteliği taşımaktadır. Dolayısıyla her ülke GDPR’da düzenlenen hükümleri usulüne uygun olarak yürürlüğe sokmak zorundadır.
ÜÇÜNCÜ BÖLÜM
TÜRK HUKUKUNDA KİŞİSEL VERİLERİN KORUNMASI
1. 1982 tarihli Türkiye Cumhuriyeti Anayasasında Kişisel Verilerin Korunması
2010 yılında yapılan referandumdan sonra, 5982 sayılı kanunla Anayasa’nın özel hayatın gizliliğini düzenleyen 20. Maddesine eklenen fıkra ile bireylerin kişisel verilerinin korunması Anayasal dayanak bulmuştur. Yirminci maddenin son fıkrasına göre, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Anayasanın ilgili maddesinde kişisel verilerin korunması hakkının hangi hallerle sınırlanabileceğine yer verilmemesi doktrinde bir takım tartışmalara sebep olmuştur. Gerçekten de, Anayasa’nın temel hak ve özgürlüklerin gerektiğinde sınırlandırılmasını öngören 13 üncü maddesine göre, “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” Bu itibarla, 20 nci maddenin son fıkrasında yer alan kişisel verilerin korunması hakkının aynı fıkrada her ne kadar kanunla sınırlandırılabileceği öngörülmüş olup bu husus 13 üncü maddeye uygun olsa da, aynı maddede kişisel verilerin korunması hakkı açısından “Anayasanın ilgili maddelerinde belirtilen sebepler” bulunmamaktadır. Mevcut bu eksiklik, sınırlama sebepleri her ne kadar kanunla belirtilmiş olsa dahi hakkın sınırsız olması gibi bir anlam kargaşasına yol açmaktadır.
Ayrıca Anayasa’nın “Devletin temel amaç ve ödevleri” başlığı altında düzenlenen 5. maddesinde “insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamaya çalışmak” ifadesi ile devlete pozitif bir yükümlülük yüklenmiştir. Bu yükümlülük bağlamında Anayasa’nın 17. maddesinde düzenlenen kişinin manevi bütünlüğü bağlamında şeref ve itibarının korunması hakkı da kişisel verilerin korunması hakkının dolaylı yoldan dayanağı olan Anayasal Maddeler olarak kabul edilmektedir.
2. 6698 Sayılı Kişisel Verilerin Korunması Kanunu
6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde TBMM Genel Kurulunda kabul edilmiş ve 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Avrupa Konseyi’nin 28 Ocak 1981 tarihli 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 2001 tarihli “Kişisel Verilerin Korunmasına İlişkin Ek Protokol” ve 95/46/EC sayılı “Kişisel Verilerin Korunması Direktifi” esas alınarak hazırlanmıştır.
Kişisel verilerin korunması, 12 Eylül 2010 tarihli ve 5982 sayılı T.C. Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanunun 2. maddesi ile Anayasa’nın 20. maddesine eklenen son fıkra kapsamında anayasal zeminde bir hak olarak tanınmıştır.
3. Diğer Kanun ve Yönetmelikler
Kişisel Verilerin Korunması Hakkı, Anayasa ve 6698 sayılı Yasa dışında çeşitli kanunlar ve yönetmeliklerle doğrudan veya dolaylı olarak koruma altına alınmıştır. Türk Ceza Kanunu ve Ceza Muhakemesi Kanunu, Medeni Kanun ve Borçlar Kanunu, İş Kanunu, Bankacılık Kanunu ve Banka Kartları ve Kredi Kartları Kanunu, Noterlik Kanunu, Adli Sicil Kanunu, Nüfus Hizmetleri Kanunu, Hasta Hakları Yönetmeliği gibi mevzuatlar örnek olarak sayılabilecektir. Ceza mevzuatlarına ilişkin düzenlemeler aşağıda detaylı olarak incelenecektir.
DÖRDÜNCÜ BÖLÜM
TÜRK CEZA HUKUKUNDA KİŞİSEL VERİLERİN KORUNMASI
1. Ceza Muhakemesi Kanunundaki Düzenlemeler
Anayasa’nın “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan “Kişinin Dokunulmazlığı, Maddî ve Manevî Varlığı” başlıklı 17 nci maddesinin ikinci ve üçüncü fıkralarına göre, “Tıbbî zorunluluklar ve kanunda yazılı haller dışında, kişinin vücut bütünlüğüne dokunulamaz; rızası olmadan bilimsel ve tıbbî deneylere tabi tutulamaz. Kimseye işkence ve eziyet yapılamaz; kimse insan haysiyetiyle bağdaşmayan bir cezaya veya muameleye tabi tutulamaz.” Dolayısıyla, vücuttan örnek alınması da kişinin vücut bütünlüğüne müdahale anlamına geldiğinden, Ceza Muhakemesi Kanunu kapsamında yapılacak müdahaleler, Anayasa’nın 13 üncü maddesi gereğince ancak kanunla düzenlenecek ve yapılan sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamayacaktır.
Türkiye’deki mevcut uygulamada DNA incelemesine ilişkin yapılan işlemler Ceza Muhakemesi Kanunu’nun ilgili hükümlerine göre yapılmaktadır. Kanunun 75 ve 76 ncı maddelerine göre, şüpheli veya sanığın ve mağdurun beden muayeneleri yapılabilmekte, bu muayene neticesinde vücuttan örnek alınabilmektedir316. Kanunda yapılan düzenlemeyle, bu husus, şüpheli veya sanığın muayenesi ve vücudundan örnek alınması ile diğer kişilerin beden muayenesi ve vücudundan örnek alınması olmak üzere ikiye ayrılmıştır317. Alınan bu örnekler üzerinde ise “Moleküler Genetik İncelemeler” başlığı ile düzenlenmiş olan 78 inci madde uyarınca DNA analizi yapılabilmektedir. Maddeye göre, “75 ve 76 ncı maddelerde öngörülen işlemlerle elde edilen örnekler üzerinde, soybağının veya elde edilen bulgunun şüpheli veya sanığa ya da mağdura ait olup olmadığının tespiti için zorunlu olması halinde moleküler genetik incelemeler yapılabilmektedir” ancak “alınan örnekler üzerinde bu amaçlar dışında tespitler yapılmasına yönelik incelemeler yasaktır.” 79 uncu maddede ise bu incelemenin yapılmasına karar verme yetkisinin münhasıran hakimde olduğu belirtilmiş olup, incelemelerin yapılması için atanacak olan bilirkişilerin “teknik ve teşkilat bakımından uygun tedbirlerle yasak moleküler genetik incelemelerin yapılmasını ve yetkisiz üçüncü kişilerin bilgi edinmesini önlemekle yükümlü” oldukları öngörülmüştür. Bu konu ile ilgili olarak CMK’da yer alan son madde ise 80. maddededir ve bu maddede “75, 76 ve 78 inci Madde hükümlerine göre alınan örnekler üzerinde yapılan inceleme sonuçlarının, kişisel veri niteliğinde olup, başka bir amaçla kullanılamayacakları; dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemeyecekleri” ve “bu bilgilerin, kovuşturmaya yer olmadığı kararına itiraz süresinin dolması, itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip kesinleşmesi hallerinde Cumhuriyet savcısının huzurunda derhal yok edilecekleri ve bu hususun dosyasında muhafaza edilmek üzere tutanağa geçirileceği” düzenlenmiştir.
2. 6698 sayılı Kişisel Verilerin Korunması Kanununda Yer Alan Cezai Düzenlemeler
Kişisel Verilerin Korunması Kanunu 17. Maddesinde suçlar düzenlenmiştir. Maddeye göre “Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” Kanun, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’na atıfta bulunmuştur.
3. 5237 sayılı Türk Ceza Kanunundaki Düzenlemeler
Kişisel verilerin kaydedilmesi devletin resmi kurumları tarafından yapılabildiği gibi, başkaca kurum ve kuruluşlar da bireylerin kişisel verilerini toplayabilmekte ve bunları saklayabilmektedir. Buna örnek olarak hastalarla ilgili gizli ve son derece önemli bilgileri kaydeden hastaneler, kişilerin DNA ve parmak izlerini toplayan, bunlarla ilgili incelemeler yapan, ancak daha sonra bu verileri yok etmeyen adli tıp kurumları ve cep telefonu işletmecisi olan şirketler verilebilir.
Kişisel verilerin işlenmesinin artması ile birlikte ortaya çıkabilecek hak ihlallerini azaltmak, bu tür eylemlerde bulunanları cezalandırmak ve yine bu tür eylemlerde bulunacakları caydırabilmek adına, 5237 Sayılı Türk Ceza Kanunu’nda kişisel verilerle ilgili düzenlemelere gidilmiş, bu alanda yeni suçlar ve cezalar ihdas edilmiştir. Kanun’un “Kişilere Karşı Suçlar” başlıklı İkinci Kısmının “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı Dokuzuncu Bölümünde, 135 inci maddede “Kişisel verilerin kaydedilmesi”, 136 ncı maddesinde “Verileri hukuka aykırı olarak verme veya ele geçirme” ve 138 inci maddede “Verileri yok etmeme” suçları düzenlenmiş, 137 nci maddede ise cezanın artırılmasını gerektiren nitelikli haller sayılmıştır.
A) TCK m.135: Kişisel Verilerin Kaydedilmesi
a. Genel Bilgiler
Kişisel verilerin kaydedilmesi suçu, TCK’nın 135 inci maddesinde “(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” Şeklinde düzenlenmiştir.
İncelememize konu tezin yazıldığı dönemde Kişisel Verilerin Korunması Kanununun henüz yürürlükte olmaması sebebiyle belirlilik ve kanunilik ilkelerinin ihlaline ilişkin tartışmalar mevcuttu. Tartışmalara göre, her ne kadar Türk Ceza Kanunu’nun niteliği itibariyle, kanunda kişisel verinin açık tanımının yapılması beklenemeyecek olsa da, kişisel verinin kaydedilmesini düzenleyen bir suçun ihdas edilmiş olması, kişisel veriden ne anlaşılması gerektiğini mümkün olduğunca açık bir şekilde belirleyen kanuni bir tanımın bulunmasını gerekli kılmaktadır. Aksi bir durum kişisel verinin tam olarak ne olduğunun kanunla belirtilmemiş olması sebebiyle, hangi verilerin bu suçun kapsamına dahil edileceği muğlak kalarak kanunilik ilkesi ihlal edilmiş olacağına ilişkin görüşler mevcuttu. 2016 yılında Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile birlikte işbu tartışmalar sona ermiştir.
b. Suçla Korunan Hukuki Değer
Kişisel Verilerin Kaydedilmesi Suçu, Türk Ceza Kanunu’nun “Kişilere Karşı Suçlar” başlıklı İkinci Kısmında ve “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı Dokuzuncu Bölümünde düzenlenmiştir. Bu sistematikten açıkça anlaşıldığı üzere, kişisel verilerin kaydedilmesi suçu, kişilere karşı suçlardandır ve suçla kişilerin özel hayatın gizliliği korunmaktadır. Özel hayatın gizliliği kavramı, 1987 tarihli Anayasa Mahkemesi kararında “Özel hayatın korunması her şeyden önce bu hayatın gizliliğinin korunması, başkalarının gözleri önüne serilmemesi demektir. Orada cereyan edenlerin yalnız kendisi veya kendisinin bilmesini istediği kimseler tarafından bilinmesini istemek hakkı, kişinin temel haklarından biridir.” şeklinde tanımlanmıştır. Mahkeme, kararında, özel hayatın korunmasının önemini de “Bu niteliği sebebiyledir ki, özel hayatın gizliliğine dokunulmaması, insan haklarına ilişkin beyanname ve sözleşmelerde korunması istenilmiş, ayrıca tüm demokratik ülke mevzuatında açıkça belirlenen istisnalar dışında bu hak devlet organlarına, topluma ve diğer kişilere karşı korunmuştur. insanın mutluluğu için büyük önemi olan özel hayata saygı gösterilmesi hakkı onun kişiliği için temel bir hak olup yeteri kadar korunmadığı takdirde kişilerin ve dolayısıyla toplumun kendini huzurlu hissedip güven içinde yaşaması mümkün değildir. Bu nedenlerle söz konusu gizliliği çeşitli biçimde ihlal eylemleri suç sayılarak ceza yaptırımlarına bağlanmıştır” ifadesiyle belirtmiştir.
c. Suçun Unsurları
(1) Maddi Unsurlar
(a) Fiil
Türk Ceza Hukukunda, suçlar hareketin sayısına göre tek hareketli veya birden fazla hareketli olmak üzere ikiye ayrılırlar. Suçun işlenmesi için kanun koyucunun tek bir hareketin yapılmasını yeterli gördüğü ve bu hareketin yapılmasıyla birlikte suçun tamamlandığı suçlara tek hareketli suçlar, tipiklikte birden fazla hareketin yapılması öngörülmüşse buna da birden fazla hareketli suçlar denir. Kişisel verilerin kaydedilmesi suçu ise, maddede yalnızca “kaydetme” fiilinin işlenmesiyle suçun oluşacağı öngörülmüş olduğundan, tek hareketli suçlardandır.
Suçlar hareketin şekline göre icrai ve ihmali suçlar olmak üzere ikiye ayrılırlar. İcrai suçlar, yapılmaması emredilmiş olan bir davranışın, yasaklanmış bir normun yapılması, dolayısıyla fiilin yapılmamasını emretmiş olan kuralın olumlu davranışla bozulmasıdır. İhmali suçlar ise, icrai suçların aksine, hukuk kurallarının belirli bir emredici davranış öngörmüş olması, ancak bu hareketin yapılmayarak olumsuz bir davranışla suçun işlenmesi şeklinde oluşurlar. Kişisel verilerin kaydedilmesi suçu, kişisel verilerin hukuka aykırı olarak kaydedilmesini yasaklamakta, bunun aksine bir fiil yapılarak hukuka aykırı kayıt yapıldığında bu eylemi cezalandırmaktadır. Bu itibarla, kişisel verilerin kaydedilmesi suçu icrai hareketle işlenen bir suçtur.[6] Yukarıda değinildiği üzere, kaydetmekten maksat yalnızca bilişim sisteminde yapılacak bir kayıt değil; her tür kayıttır. Dolayısıyla kişisel verilerin bir bilişim sistemine veya veri taşıma aracına girilmesi ile bu kayıt gerçekleştirilebileceği gibi, bir kağıda el yazısıyla veya herhangi bir şekilde yazmak suretiyle kaydedilmesiyle oluşabilir. Kişisel veriler ne şekilde kaydedilirlerse kaydedilsinler, kayıt yapıldığı an bu suç oluşmuş olur; yeter ki kayıt hukuka aykırı olarak yapılsın. Kişisel verinin hukuka aykırı olarak kaydedilmesi suçunun oluşması için mutlaka yeni bir verinin hukuka aykırı olarak kaydedilmesi şart olmayıp; daha önce hukuka uygun bir şekilde kaydedilmiş olan bir verinin, o kaynaktan alınarak hukuka aykırı olarak bir bilişim sistemine kaydedilmesi veya el yazısı ile kaydedilmesi durumunda da bu suç oluşacaktır.
Tipiklikte öngörülmüş hareketin devam edip etmemesine ilişkin yapılan değerlendirmede, suçlar ani hareketli ve mütemadi suçlar olmak üzere ikiye ayrılırlar. Hareket yapıldığı anda tamamlanan ve icrasının belirli bir süre devam etmesinin aranmadığı suçlara ani suç, tipiklikte belirtilen hareketin yapılmasıyla suçun tamamlandığı ancak icrasının devam etmesi nedeniyle bitmediği ve failde iradi olarak sürdürdüğü fiile son verme imkân ve iktidarının bulunduğu suçlara ise mütemadi suçlar denilmektedir. 135 inci maddede öngörülen kaydetme hareketinin belirli bir süre devam etmesi aranmadığından ve kişisel verilerin hukuka aykırı olarak kaydedilmesiyle suç oluşmuş olacağından, bu suç ani bir suçtur.
(b) Fail
Kişisel verilerin kaydedilmesi suçunu düzenleyen 135 inci maddede, suçun faili için “kimse” terimi kullanıldığından, kanun fail açısından herhangi bir özellik aramamış, dolayısıyla herkesin bu suçun faili olabileceğini düzenlemiştir. Ancak failin kamu görevlisi olması açısından özel bir düzenleme getirilmiş, bu husus bir nitelikli hal olarak düzenlenmiştir. Gerçekten de, TCK’nın 137 nci maddesinde, failin kamu görevlisi olması nitelikli bir hal olarak öngörülmüştür. Bu nitelikli hal 135 inci madde açısından da uygulanacak, bu husus 135 inci maddenin nitelikli halleri incelenirken ayrıntılı olarak açıklanacaktır. Bu durumda, bu suçun, fail açısından görünüşte özgü bir suç olduğu ortaya çıkmaktadır. Görünüşte özgü suçlarda, fiilin temel şekli herkes tarafından işlenebilirken, belirli özellikleri haiz kişiler tarafından işlenmesi o suçta cezanın artırılmasını veya azaltılmasını gerektiren bir nitelikli hal oluşturur. İşte bu suç açısından da, 135 inci maddede, fail açısından, fiilin kişisel verileri hukuka aykırı olarak kaydeden “kimse” tarafından işlenebileceği belirtilmiştir. Ancak 137 nci maddede yer alan nitelikli hal ile bu suçun “kamu görevlisi tarafından” veya “belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle” işlenmesi halinde cezanın artırılacağı öngörülmüştür. Dolayısıyla kişisel verileri kaydetme suçu, fail açısından, temel şekli herkes tarafından işlenebilen, ancak belli kişiler tarafından işlendiğinde suçun nitelikli halinin oluştuğu bir görünüşte özgü suçtur.
( c ) Mağdur
Mağdur, suçun maddi konusunun sahibidir. Bu suçun mağduru açısından maddede herhangi bir özellik gösterilmemiş olduğundan, mağdur herhangi bir birey olabilecektir. Her ne kadar doktrinde aksine görüş bulunsa da, kanaatimizce bu suçun mağduru yalnızca gerçek kişiler olabileceğinden, bu suç açısından mağdur, ancak konunun, yani kişisel verilerin sahibi olan gerçek kişi olabilecektir. Nitekim bu suçu düzenleyen kanun metninin ikinci fıkrasında, kişilerin “ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına ilişkin” bilgilerden bahsedilmekte olup, bu tür bilgiler yalnızca gerçek kişilere ait olabilecek bilgiler olduklarından bu suçun düzenlenmesiyle korunmak istenenin gerçek kişiler olduğu anlaşılmaktadır. Ayrıca, suçu düzenleyen 135 inci maddenin gerekçesinde kişisel verinin tanımı yapılırken “gerçek kişiyle ilgili her tür bilgi” den bahsedilmektedir. Tüzel kişiler ise ancak suçtan zarar gören olabileceklerdir. Bu noktada, suçtan zarar görenin, mağdur kavramına nazaran daha geniş olduğunun ve suçtan zarar görenden anlaşılması gerekenin, “bir suçun işlenmesiyle hukuken korunan menfaatleri doğrudan veya dolaylı olarak ihlal olan kimse” olduğunun altını çizmek gerekir.
(d) Konu
“Hareketin yöneldiği kişi ya da şey suçun konusunu oluşturmaktadır.” Kişisel verilerin kaydedilmesi suçunun konusu kişisel verilerdir. Türk Ceza Kanunu kapsamında, belli bir kişiye bağlanabilen veya o kişiye aidiyetini gösteren her tür bilgi kişisel veri kapsamındadır. Buna örnek olarak kişilerin ismi, telefon numarası, resmi, parmak izi, genetik bilgileri, adresi vb. bilgiler gösterilebilir. Bir kimsenin yapmakta olduğu iş gereği öğrendiği veya kaydettiği, kişilerin ekonomik harcamaları, telefon numaraları, iş faaliyetlerine ilişkin kişisel veriler de doğaldır ki bu kapsamda kalacaktır.
Suçlar, suçun işlenmesinin suçun konusuna zarar verip vermemesine göre ikiye ayrılırlar. Tipiklikte suçun işlenebilmesi için konu üzerinde zararın meydana gelmesi gerektiğinin belirtildiği hallerde zarar suçlarından, konuya bir zarar gelmesinin aranmadığı, hareketin yapılmasıyla konunun tehlike altına girmesinin yeterli sayıldığı hallerde ise tehlike suçlarından bahsedilir. Tehlike suçları da, yapılan hareketin suç konusu üzerinde gerçekten tehlike yaratıp yaratmadığına ilişkin hakim tarafından araştırma yapılmasının öngörülüp öngörülmediğine bağlı olarak ikiye ayrılırlar. Şayet kanun koyucu, işlenmiş olan fiilin suçun konusu üzerinde tehlike meydana getirip getirmediğinin hakim tarafından araştırılmasını öngörmüşse, buna somut tehlike suçu denilmektedir. Böyle bir araştırmanın yapılması öngörülmeyip, hareket yapıldığı an suç oluşuyorsa buna da soyut tehlike suçu adı verilmektedir.
Kişisel verilerin kaydedilmesi sebebiyle herhangi bir zararın ortaya çıkması aranmamaktadır. Dolayısıyla bu suç bir zarar suçu değil; bir tehlike suçudur. Zira kişisel verilerin kaydedilmesiyle suç oluşmakta, kişisel verileri kaydedilen kişinin bundan dolayı herhangi bir zarara uğraması aranmamaktadır. Madde metninde, kişisel verilerin hukuka aykırı olarak kaydedilmesi neticesinde, suçun konusunun zarara uğrama tehlikesinin doğup doğmadığının araştırılmasına ilişkin herhangi bir ibare olmadığından, bu suç soyut tehlike suçudur ve kayıt yapıldığı an suç gerçekleşir, ayrıca bir tehlikenin ortaya çıkıp çıkmadığı incelenmez.
( e ) Netice
Kişisel verilerin kaydedilmesi suçunun, sırf hareket suçu olduğunu söylemek mümkündür. Sırf hareket suçlarında hareketin yapılmasıyla suç gerçekleşir ve tamamlanır. Bu itibarla sırf hareket suçlarında suçun tamamlanması için neticenin ortaya çıkmasına gerek yoktur; hareketin yapılmasıyla tipiklikte belirtilmiş olan ihlal tamamlanır. Kişisel verilerin kaydedilmesi suçu açısından da, herhangi bir neticenin ortaya çıkmasına gerek olmayıp, kişisel verilerin hukuka aykırı olarak kaydı gerçekleştiği an suç oluşmuş olacaktır. Dolayısıyla, sadece kişisel verilerin kaydı suçun oluşması için yeterli olacak, ayrıca failin bu verileri kullanması veya bunlardan bir fayda sağlaması aranmayacaktır.
(f) Suçun Nitelikli Unsurları
Türk Ceza Kanunu’nun 137 nci maddesinde, “(1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenmesi halinde, verilecek ceza yarı oranında artırılır” denilmek suretiyle, m.132 ile m.136 arasında tanımlanmış olan suçlar açısından nitelikli haller düzenlenmiştir. Dolayısıyla nitelikli haller yalnızca 132-136. Madde arasında kalan suçlar bakımından uygulama alanı bulacak, ancak bölümün devamında yer alan m. 138-140 arasına uygulanamaycaktır.
(2) Manevi Unsur
Bu suçun genel kastla işlenebileceğini söylemek doğru olacaktır. Kanun koyucu bu suçun işlenmesi açısından özel bir kast aramamış, suçun unsuru haline gelecek bir saik belirtmemiştir. Buna ek olarak, kanunda suçun taksirle işlenebileceğine ilişkin herhangi bir düzenleme yapılmamıştır. Suçların taksirle işlenebilmeleri için, mutlaka kanunda taksirle işlenebileceklerine ilişkin özel bir düzenleme bulunmalıdır. Zira Türk Ceza Kanunu açısından suçların kastla işlenmesi genel kural olup; suçların taksirle işlenmeleri istisnai bir durumdur. Dolayısıyla, TCK m.22 gereği, bu suç açısından taksirle işlenmesi hususunda özel bir düzenleme yapılmadığından, suçun taksirle işlenemeyeceği açıktır.
Suçun düzenlemesi açısından, ilk fıkrada ve ikinci fıkrada belirli veriler açısından “hukuka aykırı” olarak kişisel verileri kaydetmeden bahsedilmektedir. Dolayısıyla kanun bu suç açısından özel bir hukuka aykırılık bilinci aramaktadır. Nitekim bu husus TCK’nın 22 nci maddesinde “Taksirle işlenen fiiller, kanunun açıkça belirttiği hallerde cezalandırılır” şeklinde belirtilmiştir. 137 kişisel verileri “hukuka aykırı olarak” kaydetme açısından ve 2. fıkradaki “hukuka aykırı olarak” “kişilerin ahlakî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veriler” açısından, bu suç ancak doğrudan kastla işlenebilecek; olası kastla işlenmesi söz konusu olamayacaktır. Ancak kanaatimizce, 2. fıkranın ilk kısmında yer alan “Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenleri” hakkındaki kişisel veriler açısından “hukuka aykırı olarak” kaydetme özel olarak aranmadığından, bu verileri kaydetme açısından suçu doğrudan kastla işlemek mümkün olacağı gibi olası kastla işlemek de mümkün olabilecektir.
(3) Hukuka Aykırılık
Bu suçtaki hukuka aykırılık unsuru, 135 inci maddenin 1. ve 2. fıkraları açısından, hatta 2. fıkrada özel olarak belirtilmiş olan kişisel veriler arasında da bir ayrıma tabi tutularak incelenmelidir. Maddenin ilk fıkrasında “Hukuka aykırı olarak kişisel verileri kaydeden kimse” den bahsedilirken, ikinci fıkrada “Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlakî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse” den bahsedilmektedir. Genel olarak “kişisel veriler” açısından ve “kişilerin ahlakî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel veriler” açısından kanun koyucu tarafından “hukuka aykırı olarak” denilmek suretiyle özel bir hukuka aykırılık bilinci aranmış olmasına rağmen, “siyasî, felsefî veya dinî görüşler, ırkî kökenler” açısından kanun koyucu “hukuka aykırı olarak” ifadesini kullanmamış, dolayısıyla bu kişisel veriler için özel hukuka aykırılık bilinci aranmamıştır.
Hukuka uygunluk sebepleri, fiili hukuken meşru hale getirirler ve bu madde açısından hem ilk fıkrada, hem de ikinci fıkradaki tüm kişisel veriler açısından hukuka uygunluk sebeplerinden birinin veya birkaçının bulunması durumunda, kişilerin fiili suç olmaktan çıkacaktır. Türk Ceza Kanunu’nda sayılmış olan hukuka uygunluk sebepleri, kanun hükmünü yerine getirme (TCK m.24/1), meşru savunma (TCK m.25), hakkın kullanılması (TCK m.26/1) ve ilgilinin rızası (TCK m.26/2)’dır.
d. Suçun Özel Görünüş Şekilleri
(1) Teşebbüs
Kişisel verilerin kaydedilmesi suçu sırf hareket suçu olduğundan; bu suçun teşebbüs aşamasında kalması ancak icra hareketlerinin bölünebilir olması durumunda söz konusudur. [7]Örneğin; (A), (B)’nin Facebook sayfasında yalnızca arkadaşlarıyla paylaşmış olduğu kişisel verileri, (B)’nin arkadaşı olmaması halinde göremez. Ancak (A), o verileri görmesini sağlayan bir program kullanarak verileri kaydetmek üzere kopyalar, fakat kaydedecek herhangi bir word sayfası açamadan bilgisayarı kapanırsa ve kaydetmek istediği verileri kaydedemezse, kişisel verilerin kaydedilmesi suçu teşebbüs aşamasında kalmış olacaktır. Zira bu durumda kişisel veriyi kopyalayarak icra hareketlerine başlamış olacak, ancak word dosyasına yapıştırıp dosyayı kaydetmediği için icra hareketleri (A)’nın iradesi dışındaki sebeplerden dolayı tamamlanamadığından suç oluşmuş olmayacaktır.
Yukarıda manevi unsurlar başlığı altında da değerlendirildiği gibi, kişilerin “siyasî, felsefî veya dinî görüşler, ırkî kökenlerine” ilişkin kişisel verilerin açısından hukuka özel aykırılık aranmadığı için bu veriler olası kastla da kaydedilebileceklerinden, böyle bir durumda suçun teşebbüs aşamasında kalması söz konusu olamayacaktır. Olası kastla işlenen suçlara teşebbüs mümkün olmadığından, bu verilerin olası kastla kaydedilmeleri açısından da teşebbüsten bahsedilemeyecektir.
Türk Ceza Kanunu’nun 36 ncı maddesinde gönüllü vazgeçme hususu düzenlenmiştir. Buna göre, “Fail, suçun icra hareketlerinden gönüllü vazgeçer veya kendi çabalarıyla suçun tamamlanmasını veya neticenin gerçekleşmesini önlerse, teşebbüsten dolayı cezalandırılmaz; fakat tamam olan kısım esasen bir suç oluşturduğu takdirde, sadece o suça ait ceza ile cezalandırılır.” Gönüllü vazgeçmeden bahsedebilmek için, failin vazgeçme aşamasında hür iradesinin bulunması gerekmekte430, harici maddi veya manevi sebeplerle iradesinin etkilenmemiş olması gönüllü vazgeçmeyi “Fail icra hareketlerini yarıda bıraktığı zaman bunları sonuna kadar götürebileceği kanaatinde ise ve bu kanaate rağmen icraya devam etmemişse, ihtiyariyle vazgeçme vardır” şeklinde tanımlamıştır. 149 aranmaktadır431. Buna ek olarak, gönüllü vazgeçme hükümlerinin uygulanabilmesi için, suçun teşebbüs aşamasına gelmiş olması, yani failin suçun icrasına doğrudan doğruya başlamış olması gereklidir432. Sırf hareket suçlarında, hareket yapıldığı anda netice de ortaya çıkmakta olup, kişisel verilerin kaydedilmesi suçunun sırf hareket suçlarından olduğundan, bu suç açısından gönüllü vazgeçmenin mümkün olabilmesi ancak icra hareketlerinin bölünebilir olmaları durumunda söz konusu olacaktır. Yukarıda verilen örneğe bakıldığında, (A)’nın kaydetme işleminden kendi hür iradesiyle vazgeçerek bilgisayarı kapatması veya kopyalama işlemini tamamlamaması halinde gönüllü vazgeçmeden bahsedilecek ve (A)’ya bu kişisel verilerin kaydedilmesi suçuna teşebbüsten ceza verilmeyecektir. Ancak bilgisayarın kapanması veya elektriklerin kesilmesi gibi kendi iradesi dışındaki etkenler sebebiyle (A)’nın eylemini tamamlayamaması halinde, (A) bu suça teşebbüsten cezalandırılacaktır.
(2) İştirak
Bu suç açısından iştirakin her halinden bahsetmek mümkün olacaktır.
Bu suçun nitelikli hali kapsamında, iştirak edenlerin kamu görevlisi olmaları veya belli bir sanat veya meslek sahibi olmaları halinde, bu kişilere verilecek ceza daha ağır olacaktır. Suçun nitelikli hallerinden biri suçu işleyenin kamu görevlisi olması olduğundan, çalışmamızın üst kısmında belirtildiği üzere, görünüşte özgü suçtan bahsedilecektir. Özgü suçlara iştirakte uygulanan kurala göre, suçun faili olabilmek için gerekli özelliği haiz olmayan kişi, müşterek fail olarak değil, azmettiren veya yardım eden olarak sorumlu tutulur434. Ancak, “şerikliğe nazaran failliğin asliliği” prensibi gereğince435, kamu görevlisi olmayan bir kişi ile kamu görevlisi olan bir kimsenin bu suçu birlikte işlemeleri halinde, kamu görevlisi olmayan fail 135 inci maddedeye göre, kamu görevlisi olan fail ise 137 nci maddedeki nitelikli hale göre cezalandırılacaktır. Bu itibarla, 137 nci maddede düzenlenen suçun nitelikli halinin işlenebilmesi için, failin kamu görevlisi olması şart olup, kamu görevlisi olmayan bir kişinin kamu görevlisini azmettirmesi veya yardım etmesi halinde, bu kişi azmettiren veya yardım eden olarak sorumlu tutulacak, ancak kamu görevlisi olmayan bir kişinin suçun işlenmesine bizzat katılması halinde, bu kişi azmettiren veya yardım eden olarak değil, şerikliğe nazaran failliğin asliliği prensibi uyarınca 135 inci maddeye göre fail olarak cezalandırılacaktır.
(3) İçtima
İçtima açısından ilk olarak 135 inci maddedeki suçu zincirleme suç hükümleri kapsamında değerlendirmek gerekir. Kişisel verilerin kaydedilmesi suçunun, aynı kişiye değişik zamanlarda birden fazla kez işlenmesi halinde TCK m.43’ün birinci fıkrasında düzenlenmiş olan zincirleme suç hükümleri bu noktada uygulama bulacaktır. Bu hükme göre “Bir suç işleme kararının icrası kapsamında, değişik zamanlarda bir kişiye karşı aynı suçun birden fazla işlenmesi durumunda, bir cezaya hükmedilir. Ancak bu ceza, dörtte birinden dörtte üçüne kadar artırılır.
Tek bir hareketle birden fazla kişinin kişisel verilerinin kaydedilmesi durumu için ise, doktrinde iki farklı görüş vardır. Bunlardan birine göre, bu durumda da zincirleme suç hükümleri uygulanacak; ancak diğer görüşe göre438 verilerin ait olduğu kişi sayısınca suç oluşacaktır. Tek bir fiille birden fazla kişiye karşı suç işlenmesi hali, TCK’nın 43 üncü maddesinin ikinci fıkrasında düzenlenmiştir ve doktrinde buna bazı yazarlarca aynı neviden fikri içtima denilmektedir439. Buna göre, “Aynı suçun birden fazla kişiye karşı tek bir fiille işlenmesi durumunda da, birinci fıkra hükmü uygulanır”, yani bir cezaya hükmedilir ancak bu ceza dörtte birinden dörtte üçüne kadar artırılır. Maddenin üçüncü fıkrasında ise, kasten öldürme, kasten yaralama, yağma ve işkence suçları açısından bu hükmün uygulanmayacağı ve her bir suç için ayrı ceza verileceği belirtilmiştir. Bu itibarla, bizim düşüncemize göre, kişisel verilerin kaydedilmesi suçu TCK’nın 43 üncü maddesinin üçüncü fıkrasında yer alan suçlardan olmadığından, doktrindeki ilk görüş isabetli olup, tek bir hareketle birden fazla kişinin kişisel verileri hukuka aykırı olarak kaydedilirse aynı neviden fikri içtima hükümleri uygulanarak bir cezaya hükmedilecek, ancak failin cezası artırılacaktır.
132 inci maddenin birinci fıkrasının ilk cümlesinde, kişiler arasındaki haberleşmenin gizliliğinin ihlal edilmesi suç olarak düzenlenmiş, ikinci cümlede ise bu gizlilik ihlalinin haberleşme içeriklerinin kaydı suretiyle gerçekleşmesi halinde cezanın artırılacağı öngörülmüştür. İçeriklerin kaydedilmesi sırasında kişisel verilerin de kaydedilmesi durumunda iki madde arasında farklı neviden fikri içtima hükümleri uygulanacaktır.
TCK’nın 133 üncü maddesinin birinci fıkrasında, kişiler arasında aleni olmayan konuşmaların bir aletle dinlenmesi veya bunların bir ses cihazı ile kaydedilmesi suç olarak düzenlenmiştir. Maddede suç olarak düzenlenmiş olan kişiler arasındaki aleni olmayan konuşmaları bir ses cihazı ile kaydeden kişinin, aynı zamanda birtakım kişisel veriler de kaydetmiş olması durumunda kişisel verilerin kaydedilmesi suçu da oluşmuş olacaktır ve iki madde arasında fikri içtima hükümleri uygulanacaktır. Yapılan kayıt esnasında birden fazla kişinin kişisel verileri kaydedilmişse zincirleme suç hükümleri de uygulanarak, tek fiille birden fazla kişiye karşı kişisel verilerin işlenmesi suçu işlendiğinden, aynı neviden fikri içtima hükümleri gereği failin cezası arttırılacaktır.
33 üncü maddenin ikinci fıkrasında, aleni olmayan bir söyleşinin ses alma cihazı ile diğer konuşanların rızası olmadan kaydedilmesi suç olarak düzenlenmiştir. 133 üncü maddenin ilk fıkrası ile ilgili olarak yukarıdaki paragrafta yaptığımız açıklamaya benzer olarak, bir kişinin söyleyişinin kaydedilmesi esnasında sesini kaydettiği kişilere veya başkalarına ait kişisel verileri de kaydetmesi durumunda, 135 inci madde düzenlenen kişisel verilerin kaydedilmesi suçu da oluşmuş olacaktır.
134 üncü maddenin ilk fıkrasında “Kişilerin özel hayatının gizliliğini ihlal eden kimse, altı aydan(bir yıldan olarak değiştirildi) iki yıla (üç yıla olarak değiştirildi) kadar hapis veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır. Doktrindeki bir görüşe göre, kişisel verilerin özel hayatın gizliliğinin ihlal edilerek kaydedilmesi durumunda 134 üncü maddenin ilk fıkrasında tanımlanmış olan suç oluşacaktır. Kanaatimizce bu görüş kısmen doğrudur; zira 134 üncü maddenin ilk fıkrasının ikinci cümlesinde gizliliğin “görüntü veya seslerin” kayda alınması suretiyle ihlalinden bahsedilmektedir . Bu koşullarda, kişilerle ilgili görüntü veya seslerin dışındaki kişisel verilerin kaydedilmesi açısından, bir anlamda özel hayatın gizliliği ihlal edilmiş olsa da, 134 üncü maddede tanımlanmış olan suçun değil, 135 inci maddedeki kişisel verilerin kaydedilmesi suçunun oluşacağı kabul edilmelidir. Şayet kişisel veri olan “görüntü veya seslerin” kaydedilmesi söz konusu ise, bu durumda 134 üncü madde ile 135 inci madde arasında farklı neviden fikri içtima hükümleri uygulanacaktır. Yargıtay’ın görüşleri de görüntü olduğu takdirde m.134’de yer alan suçun oluşacağı şeklindedir. Kamusal alanda bulunulması halinde ise m. 135 uygulama alanı bulacaktır.
TCK’nın ‘Bilişim Sistemine Girme’ başlıklı 243 üncü maddesinde düzenlenen suç ile 135 inci maddedeki suçların bir arada işlenmeleri de mümkündür. Bu durumda, kişisel verileri kaydedecek olan kimselerin, bu suçu bilişim sistemlerine girme suretiyle işleyebilecekleri de malumdur. TCK’nın 243 üncü maddesinde, “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimsenin” cezalandırılacağı öngörülmüştür. Dolayısıyla başkasının kişisel verilerini kaydetmek isteyen bir kimse, bu kişisel verilerin bir bilişim sisteminde kayıtlı olması durumunda, önce bu bilişim sistemine girecek, ardından oradaki verileri alıp kendi istediği bir yere kaydedecektir. Failin kişisel verilere ulaşmak ve onları kaydetmek için bir bilişim sistemine girmesi gereken durumlar açısından, doktrinde bizim de katıldığımız bir görüşe göre, 243 üncü maddedeki bilişim sistemine girme suçu, 135 inci maddedeki kişisel verilerin kaydedilmesi suçu açısından geçitli bir suç olacaktır. Böylece tek suç oluşacak, fail yalnızca kişisel verilerin kaydedilmesi suçu bakımından öngörülmüş olan cezaya çarptırılacaktır. Ancak fail bir bilişim sistemine girmiş ve orada belli bir süre kalmış, sistemde tesadüfen gördüğü kişisel verileri de kaydetmişse, artık bu iki suç arasında gerçek içtima hükümlerinin uygulanarak faile her iki suçtan da ceza verilmesi gerektiğini kabul etmek gerekecektir.
e. Yaptırım
Kişisel verilerin kaydedilmesi suçunu işleyen kimseye 1 yıldan 3 yıla kadar hapis cezası verilir. Ancak kanunda bu suçun nitelikli hali olarak düzenlenmiş olan 137 nci madde uyarınca, bu suçun kamu görevlisi tarafından veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır.
Ayrıca, Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Ceza Muhakemesi Kanunu’nun 231 inci maddesinin beşinci fıkrasına göre, “sanığa yüklenen suçtan dolayı yapılan yargılama sonunda hükmolunan ceza, iki yıl veya daha az süreli hapis veya adlî para cezası ise; mahkemece, hükmün açıklanmasının geri bırakılmasına karar verilebilir.” Aynı maddenin altıncı fıkrasında ise bunun koşulları sayılmış, bu kararın verilebilmesi için, “sanığın daha önce kasıtlı bir suçtan mahkum olmamış bulunması, Mahkemece, sanığın kişilik özellikleri ile duruşmadaki tutum ve davranışları göz önünde bulundurularak yeniden suç işlemeyeceği hususunda kanaate varılması, Suçun işlenmesiyle mağdurun veya kamunun uğradığı zararın, aynen iade, suçtan önceki hale getirme veya tazmin suretiyle tamamen giderilmesi” gerektiği belirtilmiştir. Kişisel verilerin kaydedilmesi suçu için öngörülen cezanın 2 yıl veya daha az olması halinde HAGB’ye karar verilebilecektir.
TCK m.140 gereğince Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
f. Soruşturma Usulü, Görevli ve Yetkili Mahkeme, Dava Zamanaşımı
139 uncu maddede, soruşturulması ve kovuşturulması için şikayet şartı aranan maddeler “(1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır” şeklinde düzenlenmiştir. Bu maddeye göre, TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünde yer alan haberleşmenin gizliliğini ihlal (m.132), kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması (m.133) ve özel hayatın gizliliğini ihlal (m.134) suçlarının soruşturulması ve kovuşturulması şikayet şartına bağlanmıştır. Şikayet, bir ceza muhakemesi şartı olması sebebiyle, bu şartın bulunmaması suçun oluşmasında değil, soruşturulup kovuşturulmasında önem arz etmektedir. Bu itibarla TCK m.139’da düzenlenmiş şikayete bağlı suçlar arasında 135 inci maddedeki kişisel verilerin kaydedilmesi suçu bulunmadığından, bu suçun soruşturulması ve kovuşturulması şikayete bağlı olmayıp, Cumhuriyet Savcılığınca resen yapılacaktır. Bu suçun kamu görevlisi tarafından görevi sebebiyle işlenmesi halinde, 4483 Sayılı kanuna göre, soruşturma ancak yetkili merciden soruşturma izni alındıktan sonra yapılabilecektir.
135 inci maddedeki suçu işleyen kişiler, 5235 Sayılı kanunun 11 inci maddesi uyarınca Asliye Ceza Mahkemesi’nde yargılanacaklardır. Madde 137’de öngörülmüş olan nitelikli hallerin oluşması durumunda dahi görevli mahkeme yine Asliye Ceza Mahkemesi olacaktır.
CMK m. 12 hükümleri gereğince, genel yetki kuralları uygulama alanı bulacaktır.
Ceza Muhakemesi Kanunu’nun 253 üncü maddesinde uzlaşma kurumu düzenlenmiş olup bu maddeye göre, soruşturulması veya kovuşturulması şikayete bağlı olan suçlar ile, şikayete bağlı olup olmadığına bakılmaksızın Türk Ceza Kanununda yer alan Kasten yaralama (üçüncü fıkra hariç, madde 86; madde 88), Taksirle yaralama (madde 89), Konut dokunulmazlığının ihlali (madde 116), Çocuğun kaçırılması ve alıkonulması (madde 234), Ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması (dördüncü fıkra hariç, madde 239) suçları uzlaşmaya tabidir. Uzlaşma kurumu, temel olarak, ceza muhakemesinin ilerlemesini durdurup faille mağdurun uzlaştırılmasını ve üçüncü bir kişi önünde iradeleri çerçevesinde bir anlaşma yaparak ceza uyuşmazlığına son vermeleridir. Bu itibarla, kişisel verilerin kaydedilmesi suçu, TCK’nın 139 uncu maddesi gereği şikayete tabi olmaması ve CMK’nın 253 üncü maddesinde sayılan suçlar arasında yer almaması itibariyle uzlaşmaya tabi suçlardan değildir.
TCK m.66/1’e göre ise, bu suçun dava zamanaşımı süresi sekiz senedir ve nitelikli haller uygulansa dahi cezanın üst sınırı beş senenin altında kalacağından, dava zamanaşımı süresi değişmeyecektir.
B) TCK m. 136 : Verileri Hukuka Aykırı Olarak Verme, Yayma veya Ele Geçirme
a. Genel Bilgiler
Verileri hukuka aykırı olarak verme veya ele geçirme suçu, TCK’nın 136 ncı maddesinde” Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” Şeklinde düzenlenmiştir.
b. Suçla Korunan Hukuki Değer
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, kişisel verilerin kaydedilmesi suçunda olduğu gibi, özel hayatın gizliliğini korumaktadır.
c. Suçun Unsurları
(1) Maddi Unsurlar
(a) Fiil
Verileri hukuka aykırı olarak verme veya ele geçirme suçu, seçimlik hareketli bir suçtur. Seçimlik hareketli suçlarda, suç tipinde birden fazla bağımsız hareket öngörülmüştür ve failin bunlardan herhangi birini işlemesi suçun tamamlanması için yeterlidir. Verme, yayma veya ele geçirme fiillerinden birinin gerçekleşmesi ile bu suç oluşacaktır.
Verileri hukuka aykırı olarak verme veya ele geçirme suçu, seçimlik hareketli bir suçtur. Seçimlik hareketli suçlarda, suç tipinde birden fazla bağımsız hareket öngörülmüştür ve failin bunlardan herhangi birini işlemesi suçun tamamlanması için yeterlidir. Verme, yayma veya ele geçirme fiillerinden birinin gerçekleşmesi ile bu suç oluşacaktır.
Verme, yayma ve ele geçirme için doktrinde birden fazla tanım bulunmaktadır ve bunların birkaçına değinmek gerekmektedir. Yaşar-Gökcan-Artuç’a göre, verme, “bir kimsenin elindeki bir şeyi bir diğerine sunması”; yayma, “bir kimsenin elindeki bir şeyi birden fazla kimsenin bilgisine sunması, birden fazla kimseye vermesi, ulaştırması”; ele geçirme ise “bir kimsenin bir başkasının elinde olan bir materyali onun rızası dışında veya rızasıyla elde etmesi” dir. [8]Ele geçirme fiilinin kaydetme şeklinde gerçekleşmesi mümkün olsa dahi kaydetme madde 135 kapsamında açıkça düzenlendiği için, geride kalan eylemlerin kastedildiği düşünülmektedir.
Maddede öngörülmüş olan seçimlik hareketlere bakıldığında, suçun icrai suçlardan olduğu görülmektedir. Zira, kanun koyucu kişisel verilerin hukuka aykırı olarak verilmesini, ele geçirilmesini veya yayılmasını yasaklamış, bu yasağa uymayarak icrai bir hareketle bu fiilleri gerçekleştirenlerin cezalandırılmalarını öngörmüştür. Bu noktada, yayma fiili açısından, rızanın baştan verilip sonradan geri alınması durumunda, başlangıçta hukuka uygun olan fiilin yaymanın sona erdirilmemesi halinde hukuka aykırılık teşkil edeceğini ve suçun ihmali hareketle oluşacağını belirtmek gerekir. Gerçekten de, örneğin bir kişinin resminin bir sosyal paylaşım sitesinde paylaşılmasına rıza göstermesi halinde resim paylaşılabilecek ve bu fiil suç oluşturmayacaktır. Ancak kişinin rızasının kalktığı andan itibaren, resmin paylaşıldığı siteden geri çekilmemesi, yani hareketsiz kalınması, suç teşkil edecektir. Bu itibarla yayma fiili açısından, suçun konusunu teşkil eden verinin hukuka aykırı olarak yayılması halinde suç icrai hareketle, ancak başlangıçta hukuka uygun olarak yayılmış olan bir kişisel verinin, hukuka uygunluk ortadan kalktıktan sonra, hukuka aykırı olarak yayılmaya devam edilmesi halinde suç ihmali hareketle gerçekleşmiş olacaktır.
136 ncı maddede düzenlenen suçun, verme veya ele geçirme seçimlik hareketleri açısından, hareketin yapılmasıyla suç oluşacağından ani suç söz konusudur. Ancak “yayma” hareketi açısından değerlendirildiğinde, suçun hem ani suç hem de mütemadi suç olarak değerlendirilebileceği kanaatindeyiz. Örneğin, bir kimsenin kişisel verilerinin hukuka aykırı olarak bir internet sitesinde yayımlanması durumunda, suç tamamlanmış olacak, ancak bu veriler o sitede kaldıkları müddetçe farklı zamanlarda farklı kişilerin bilgisine sunulmaya devam edeceklerinden suç bitmemiş olacaktır. Ancak kişisel verilerin posta yoluyla birden fazla kimseye gönderilmeleri durumunda, posta bu kişilere ulaştığı anda yayma fiili işlenerek suç oluşmuş olacağından, ani suç olarak değerlendirilecektir.
(b) Fail
Kişisel verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi suçunu düzenleyen 136 ncı maddede, suçu işleyebilecek kişi için “kişi” sözü kullanılmıştır. Kanun fail açısından herhangi bir özellik aramamış, herkesin bu suçu işleyebileceğini, dolayısıyla herkesin bu suçun faili olabileceğini düzenlemiştir. Ancak TCK’nın 137 nci maddesi ile özel bir düzenleme getirilerek, failin kamu görevlisi olması nitelikli bir hal olarak düzenlenmiştir. Bu itibarla 135 inci maddede olduğu gibi, kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, temel şekli herkes tarafından işlenebilen, ancak belli kişiler tarafından işlendiğinde suçun nitelikli halinin oluştuğu, fail açısından bir görünüşte özgü suçtur.
(c) Mağdur
Suçun mağduru açısından maddede herhangi bir özellik gösterilmemiş olduğundan, her gerçek kişi bu suçun mağduru olabilecektir.
(d) Konu
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçunun konusu “kişisel verilerdir.
Soyut tehlike suçudur.
(e) Netice
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu sırf hareket suçudur. Sırf hareket suçlarında hareketin yapılmasıyla suç gerçekleşir ve tamamlanır. Dolayısıyla bu tür suçlarda suçun tamamlanması için neticenin ortaya çıkmasına gerek yoktur; hareketin yapılmasıyla tipiklikte belirtilmiş olan ihlal tamamlanır.
(f) Suçun Nitelikli Unsurları
TCK’nın 137 nci maddesine göre, suçun kamu görevlisi tarafından ve görevinin verdiği yetkinin kötüye kullanılması suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılacaktır. TCK m.135 için yapılan açıklamalar, bu suç açısından da geçerlidir.
(2) Manevi Unsur
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçunun genel kastla işlenebileceğini söylemek doğru olacaktır. Kanun koyucu bu suçun işlenmesi açısından özel bir kast aramamış, suçun unsuru haline gelecek bir saik belirtmemiştir. Buna ek olarak, kanunda suçun taksirle işlenebileceğine ilişkin herhangi bir düzenleme yapılmamıştır.
Suçun düzenlemesi açısından, kişisel verileri “hukuka aykırı” olarak verme veya ele geçirmeden bahsedilmektedir. Dolayısıyla kanun bu suç açısından özel bir 167 hukuka aykırılık bilinci aramaktadır. Kişisel verileri “hukuka aykırı olarak” verme veya ele geçirme açısından bu suç ancak doğrudan kastla işlenebilecek; olası kastla işlenmesi söz konusu olamayacaktır.
(3) Hukuka Aykırılık
135 inci maddenin ilk fıkrasında ve ikinci fıkrasının bir kısmında olduğu gibi, 136. maddede de, hükümde tanımlanmış olan suçun oluşması için, verme, yayma veya ele geçirme fiilleri “hukuka aykırı olarak” işleneceklerdir. Dolayısıyla başkasının kişisel verilerini hukuka uygun olarak vermek, yaymak veya ele geçirmek artık 136 ncı maddedeki suçu oluşturmayacaktır. Suçun oluşması için fiilin hukuka aykırı olarak işlenmesi gerektiğine göre, hukuka uygun olarak işlendiğinde suçun oluşmayacağı açıktır. Hukuka uygunluk sebepleri, fiili hukuken meşru hale getirirler ve bu madde açısından hem ilk fıkrada, hem de ikinci fıkradaki tüm kişisel veriler açısından hukuka uygunluk sebeplerinden birinin veya birkaçının bulunması durumunda, kişilerin fiili suç olmaktan çıkacaktır. Bu madde açısından ilgilinin rızası ile kanun hükmünü yerine getirme hukuka uygunluk sebepleridir.
d. Suçun Özel Görünüş Şekilleri
(1) Teşebbüs
136 ncı maddede düzenlenmiş olan kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu sırf hareket suçu olduğundan; bu suçun teşebbüs aşamasında kalması ancak icra hareketlerinin bölünebilir olması durumunda söz konusudur ki suçun niteliği göz önüne alındığından bu suç bakımından teşebbüsün gerçekleşmesi mümkün görünmektedir .
İcra hareketlerinin bölünebilir olması halinde, bu suç açısından gönüllü vazgeçemeden de bahsedilebilecektir. Failin kendi hür iradesiyle, icra hareketleri tamamlanmadan, kişisel verileri vermekten, yaymaktan veya ele geçirmekten vazgeçmesi halinde, fail bu suça teşebbüsten cezalandırılmayacak, ancak o ana kadarki fiilleri başka bir suç oluşturuyorsa o suçtan cezalandırılacaktır. Örneğin, (A), elinde (B)’nin kişisel verilerini hukuka uygun olarak bulundurur ancak bunları hukuka aykırı olarak gazeteci arkadaşı (G)’ye göndermeye karar verir. (A), bu verileri internetten mail yoluyla gönderirken, maile (B)’nin kişisel verilerini yazar, adres kısmına da (G)’nin mail adresini ekler, ancak sonra yaptığının yanlış olabileceğini düşünerek bu maili taslak olarak kendi mailleri arasında saklayarak (G)’ye göndermez. Yapılan hukuka uygun bir arama neticesinde de, (A)’nın bilgisayarındaki bu taslak mail ortaya çıkar. İşte bu durumda, (A)’nın, (B)’nin kişisel verilerini hukuka aykırı olarak vermeye karar vererek suçun icra hareketlerine başladığı, ancak kendi iradesiyle suçu işlemekten vazgeçerek suçtan gönüllü olarak vazgeçtiği söylenecek ve ceza almayacaktır. Buna karşın (A), kişisel verileri kendi mail adresinden değil de, şifresini kırmak suretiyle girdiği kardeşi (K)’nın mail adresinden göndermeye karar vererek, vazgeçmiş ve söz konusu maili taslak halinde bırakmış olsaydı, gönüllü vazgeçme bulunduğundan, 136 ncı maddede düzenlenen suça teşebbüsten cezalandırılmayacak, ancak kardeşinin şifresini kırmak suretiyle mail adresine girmiş olması, TCK m. 243’te düzenlenen bilişim sistemine girme suçunu oluşturduğundan ve bu suç kişisel verileri verme suçundan vazgeçme anına kadar oluşmuş başka bir suç olduğundan, (A), 243 üncü maddedeki suçtan cezalandırılacaktır.
(2) İştirak
Bu suç açısından iştirakin her halinden bahsetmek mümkün olacaktır.
(3) İçtima
Zincirleme suç ile suçun birden fazla kişiye karşı işlenmesi halinde uygulanacak aynı neviden fikri içtima hükümleri önceki açıklamalarımızla aynıdır.
132 inci maddenin ikinci fıkrasında, kişilerin arasındaki haberleşme içeriklerinin hukuka aykırı olarak ifşa edilmesi, üçüncü fıkrasında ise kişinin kendisiyle yapılan haberleşmelerin içeriğinin diğer tarafın rızası olmaksızın alenen ifşa edilmesi suç olarak düzenlenmiştir. Buna göre bir kişinin bu fiillerden birini gerçekleştirerek 132 nci maddenin ikinci ya da üçüncü fıkrasında düzenlenen suçu işlemesi halinde, ifşa edilen haberleşme içeriklerinin içerisinde, başkalarının veya haberleşmenin taraflarının kişisel verilerinin de bulunması halinde, 132 nci maddenin yanı sıra, 136 ncı madde de ihlal edilmiş olacaktır. Böyle bir durumda, suçlar arasında farklı neviden fikri içtima hükümleri uygulanacak ve fail en ağır cezayı gerektiren suçtan ceza alacaktır.
133 üncü maddenin üçüncü fıkrasında ise, maddenin ilk iki fıkrasına göre “kişiler arasındaki alenî olmayan konuşmaları, taraflardan herhangi birinin rızası olmaksızın bir … ses alma cihazı ile kaydeden” veya “katıldığı aleni olmayan bir söyleşiyi, diğer konuşanların rızası olmadan ses alma cihazı ile kayda alan” kişinin bunları başkalarına vermesi veya diğer kişilerin bilgi edinmeleri suç olarak düzenlenmiştir. 133 üncü maddenin ilk iki fıkrasına göre kaydedilmiş olan haberleşme içeriklerinin, aleni olmayan söyleşinin veya aleni olmayan konuşmanın taraflarının veya başkalarının kişisel verilerini de ihtiva etmesi durumunda, failin bu haberleşme içeriklerini başkasına vermesi veya diğer kişilerin bilgi edinmelerini sağlaması halinde, hem 133 üncü maddenin üçüncü fıkrasında düzenlenmiş olan, hem de 136 ncı maddede düzenlenmiş olan suç oluşmuş olacaktır. Düşüncemize göre, böyle bir durumda da, fail tek bir hareketiyle birden fazla suçun oluşmasına sebebiyet vermiş olacağından, fail hakkında fikri içtima hükümleri uygulanacak, fail en ağır cezayı gerektiren suçun cezası ile cezalandırılacaktır.
Özel hayatın gizliliğini ihlal suçunu düzenleyen 134 üncü maddenin ikinci fıkrasında, kişilerin özel hayatına ilişkin görüntü veya sesleri ifşa eden kimsenin, bir yıldan üç yıla kadar (İki yıldan beş yıla kadar olarak değiştirilmiştir) hapis cezası ile cezalandırılacağı belirtilmiştir. Failin, kişilerin özel hayatına ilişkin görüntü veya sesleri ifşa etmesi halinde, bu ses veya görüntülerin ait oldukları kişilerin veya başkalarının kişisel verilerini ihtiva etmeleri halinde, aynı zamanda kişisel verileri hukuka aykırı olarak yayma fiili oluşarak 136 ncı maddede düzenlenen suç meydana gelecektir. Bu durumda, fail tek bir fiili ile birden fazla suçun ihlal edilmesine sebebiyet vermiş olacak, ancak her iki suçtan ayrı ayrı cezalandırılmayıp fikri içtima kuralları gereğince cezası en ağır olan suçun cezasıyla cezalandırılacaktır.
135 inci maddedeki kişisel verilerin kaydedilmesi suçu ile 136 ncı maddede tanımlanmış olan kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçlarının bir arada bulunması durumundaki içtima kuralları açısından doktrinde farklı görüşler mevcuttur. Bize göre, şayet 136 ncı maddede düzenlenen suçu işleme kastıyla hareket eden bir kimse için, ele geçirme, yayma veya verme fiillerini işleyebilmesi için, kişisel veriyi kaydetmesinin zorunlu olması halinde artık burada geçitli suçtan bahsedilebilecektir.[9] Zira failin kastı 136 ncı maddedeki suçu işlemeye yönelmişse ve bu esnada yapılan “kayıt” 136 ncı maddede yer alan fiilleri işleyebilmek için gerçekleştiriliyorsa, tek suç oluştuğu kabul edilerek faile 136 ncı maddede düzenlenen suçtan ceza verilecektir. Ancak, failin farklı zamanlarda ve birbirinden bağımsız olarak önce bir kayıt işlemi gerçekleştirmesi, ardından kaydettiği kişisel veriyi hukuka aykırı olarak vermesi, ele geçirmesi veya yayması halinde artık iki ayrı suçun oluştuğu kabul edilmeli, fail hem 135 inci maddedeki hem de 136 ncı maddedeki suçtan ayrı ayrı cezalandırılmalıdır. Kişinin tek hareketle bir kişisel veriyi hem kaydetmesi hem de ele geçirmesi veya yayması veya vermesi durumlarında artık fikri içtimadan bahsetmek gerekecektir.
TCK’nın 243 üncü maddesinde düzenlenen bilişim sistemine girme suçu ile 136 ncı maddede düzenlenen suçun bir arada bulunması da olasıdır. Bu durumda, failin kişisel verileri verme, yayma veya ele geçirme fiillerini, bilişim sistemlerine girme suretiyle çok daha kolay işleyebileceği bilinmektedir. TCK’nın 243 üncü maddesinde, “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimsenin” cezalandırılacağı öngörülmüştür. Dolayısıyla başkasının kişisel verilerini vermek, yaymak veya ele geçirmek isteyen bir kimse, bu kişisel verilerin bir bilişim sisteminde kayıtlı olmaları durumunda, önce bu bilişim sistemine girecek, ardından oradaki verileri hukuka aykırı olarak ele geçirebilecektir. Benzer şekilde, kişisel verileri başkasına vermek isteyen failin elektronik posta yöntemi ile bu fiili çok daha kolaylıkla işleyebileceği, yayma açısından ise aynı anda birden fazla e-posta göndermek suretiyle veya birden fazla kişinin erişim sağlayabildiği forum ortamlarda bu verileri paylaşmak suretiyle bu fiili işleyebileceği açıktır. Failin kişisel verilere ulaşmak ve onları ele geçirmek, vermek veya yaymak için bir bilişim sistemine girmesi gereken durumlar açısından, doktrinde491 bizim de katıldığımız bir görüşe göre, 243 üncü maddedeki bilişim sistemine girme suçu, 136 ncı maddede tanımlanmış olan suç açısından geçitli bir suç olacaktır. Böylece fail yalnızca kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu bakımından öngörülmüş olan cezaya çarptırılacaktır. Ancak failin 136 ncı maddedeki suçu işlemesi için mutlaka bir bilişim sistemine girmesini gerektiren bir durum söz konusu olmadığında, örneğin fail bir kişinin şifresini kırarak mail adresine girdikten sonra orada gördüğü kişisel verileri almaya karar verip ele geçirdiyse bu durumda iki suç arasında gerçek içtima hükümleri uygulanacak, fail iki ayrı suçtan cezalandırılacaktır.
136 ncı maddenin uygulanması açısından, bu başlık altında üzerinde durulacak bir diğer husus, TCK’nın 244 üncü maddesi ile oluşabilecek hukuki tartışmadır. 244 üncü maddenin 2 nci fıkrasında “Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, cezalandırılır” denmek suretiyle, 136 ncı maddeye benzer bir hüküm sevk edilmiştir. Ancak 244 üncü maddede bahsedilen verilerin başka yere gönderilmesi her ne kadar 136 ncı maddedeki suça benzer görünse de, 136 ncı maddede düzenlenen suç yalnızca kişisel verileri kapsarken, 244 üncü maddedeki suç genel olarak tüm veriler içindir. Buna ek olarak 136 ncı maddede kişisel verilerin verilmesi, yayılması veya ele geçirilmesi bilişim sistemiyle olabileceği gibi, başka yollardan da olabilir. Halbuki 244 üncü maddede var olan verilerin başka bir yere gönderilmesi veya sisteme veri yerleştirilmesi ancak bilişim sistemi içerisinde yapılabilecektir. Düşüncemize göre, kişisel verilerin bilişim sistemleri kullanılarak oldukları yerden başka bir yere gönderilmeleri veya sisteme veri yerleştirilmesi durumunda, bu verilerin kişisel veri olmaları ve bu fiille aynı anda hukuka aykırı olarak verme veya yayma da söz konusu ise, hem 136 ncı maddede tanımlanmış olan suç, hem de 244 üncü maddede düzenlenmiş olan suç oluşacaktır. Tek bir fille birden fazla suç işleyen fail ise, bu durumda farklı neviden fikri içtima hükümleri uyarınca, en ağır olan suçun cezasıyla cezalandırılacaktır. Ancak, kişisel verilerin, hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi söz konusu olmaksızın, bu nitelikteki verilerin 244 üncü maddede sayılmış olan fiillerle bozulmaları, yok edilmeleri, değiştirilmeleri veya erişilmez kılınmaları halinde 244 üncü madde tek başına uygulama alanı bulacaktır.
e. Yaptırım
TCK madde 136’da tanımlanmış olan suçu işleyen kimseye, 2 yıldan 4 yıla kadar hapis cezası verilir. Ancak kanunda bu suçun nitelikli hali olarak düzenlenmiş olan 137 nci madde uyarınca, bu suçun kamu görevlisi tarafından veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır.
TCK m. 136 için öngörülen cezanın alt sınırının 2 yıl olması sebebiyle, alt sınırdan ceza verilmemesi halinde HAGB’ye hükmedilemeyecektir.
Bu suçu işleyen fail hapis cezasına çarptırıldığı takdirde, TCK m.53/1 uyarınca bu maddede yer alan hak yoksunlukları fail hakkında uygulanacaktır. Suçun nitelikli hallerinden biri olan kamu görevlisinin bu suçu işlemesi durumunda ise, verilmiş olan cezanın hapis cezası olup olmadığına ve ertelenmiş olup olmadığına bakılmaksızın TCK m.53/5 uyarınca fail hakkında verilen cezanın yarısından bir katına kadar failin kamu görevinden yoksun bırakılmasına da karar verilir.
TCK’nın 140 ıncı maddesi gereği, tüzel kişilerin bu suçun işlenmesinden kaynaklı olarak hukuka aykırı yarar sağlamaları halinde, bunlara TCK’nın 60 ıncı maddesinde öngörülmüş olan güvenlik tedbirleri uygulanacaktır.
f. Soruşturma Usulü, Görevli ve Yetkili Mahkeme, Dava Zamanaşımı
TCK m.139’un ihtiva ettiği şikayete bağlı suçlar arasında 136 ncı maddedeki kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu bulunmadığından, bu suçun soruşturulması ve kovuşturulması şikayete bağlı olmayıp, Cumhuriyet Savcılığınca resen yapılacaktır.
136 ncı maddedeki suçu işleyen kişiler, 5235 Sayılı kanunun 11 inci maddesi uyarınca Asliye Ceza Mahkemesi’nde yargılanacaklardır. Aynı kanunun 14 üncü maddesi gereğince ağırlaştırıcı ve hafifleştirici nedenler görevli mahkemenin belirlenmesine etki etmediğinden, madde 137’de öngörülmüş olan nitelikli hallerin oluşması durumunda dahi görevli mahkeme yine Asliye Ceza Mahkemesi olacaktır.
Yetkili mahkemenin tespiti için, ceza ve ceza muhakemesi hukukunun temel esasları uygulanacaktır.
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, TCK’nın 139 uncu maddesi gereği şikayete tabi olmaması ve CMK’nın 253 üncü maddesinde sayılan suçlar arasında yer almaması itibariyle, bu suç uzlaşmaya tabi suçlardan değildir. TCK m.66/1’e göre ise, bu suçun dava zamanaşımı süresi sekiz senedir ve nitelikli hallerin (TCK m.137) uygulanacağı durumlarda ise m.66/3’te “Dava zamanaşımı süresinin belirlenmesinde … suçun daha ağır cezayı gerektiren nitelikli halleri de göz önünde bulundurulur” şeklinde bir hüküm bulunduğundan, m.66/1-d bendi uyarınca bu süre 15 senedir.
C) TCK m. 138: Verileri Yok Etmeme
a. Genel Bilgiler
Verileri yok etmeme suçu, TCK’nın 138 inci maddesinde “Kanunların belirlediği süreler geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla (Bir yıldan iki yıla olarak değiştirilmiştir.) kadar hapis cezası verilir” şeklinde düzenlenmiştir. Temelde kişisel verilerin keyfiliğe bağlı olarak tutulmalarının önüne geçilmek istenmiştir ve bu kişisel verilerin, onları yok etmekle yükümlü olanlar tarafından kanun tarafından öngörülen hukuki sürelerde yok edilmemesi hali yaptırıma bağlanmıştır
b. Suçla Korunan Hukuki Değer
Suçun Kişilere Karşı Suçlar kısmında ve Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar bölümünde düzenlendiği dikkate alındığında, suçun ihdas edilmesiyle korunmaya çalışılan temel değerin kişisel verileri yok edilmeyen veri öznelerinin özel hayatlarının gizliliği olduğu anlaşılmaktadır.
c. Suçun Unsurları
(1) Maddi Unsurlar
(a) Fiil
Suçu oluşturan hareket kanuni dayanaklarla hukuka uygun olarak kaydedilmiş kişisel verilerin, kanunun yükümlü kıldığı kişilerce, kanunun öngördüğü süreler içerisinde yok edilmemesidir.
Kaydedilen kişisel veriler bir bilişim sistemine kaydedilmişse buradan silinmeleri, belli bir belge üzerine kaydedilmemişlerse belgenin imha edilmesi şeklinde gerçekleşebilir. Yalnız burada dikkat edilmesi gereken husus, suçun oluşmaması için, kaydedilmiş olan kişisel verinin yeniden elde edilemeyecek şekilde yok edilmesi gerektiğidir. Bilgisayarlarda tutulan kayıtlarda bir bilgiyi yalnızca silmek onu yok etmek anlamına gelmemektedir, zira birtakım yöntemlerle bu bilgiler yeniden ortaya çıkarılabilmektedir. Bu nedenle kanaatimizce, kaydedilmiş olan kişisel verinin yeniden ortaya çıkarılmasını imkansız kılacak şekilde yok edilmesi gerekmektedir.
Kanunlar genel olarak Ceza Muhakemesi Kanunu’nda olduğu gibi, kaydedilmiş olan kişisel verilerin hangi sürede yok edilmesi gerektiğini belirtmektedirler ve bu sürenin açıkça gösterildiği durumlarda verileri yok etmekle yükümlü kişi bu süre dolmadan verileri yok etmek zorundadır. Ancak verilerin kaydedilmesini öngörmüş olan kanun yok edilmeleri ile ilgili olarak net bir süre belirlemek yerine “hemen silinir”, “derhal yok edilir” gibi kavramlara yer vermiş olabilir. Doktrinde bizim de katıldığımız bir görüşe göre, kanunda kesin sürelerin olmadığı ifadeler de emredici niteliktedir ve somut olaya göre makul sürede yok etme işleminin yapılması gerekmektedir.[10] Verileri yok etmeme suçu yapılması gereken icrai bir davranışın yapılmaması anlamına geldiğinden, bu suç ihmali hareketlerle işlenebilen suçlardandır.
(b) Fail
Verileri yok etmeme suçunu, ancak verileri yok etmekle yükümlü olan kişi işleyebilecektir. Bu açıdan bu suçun bir özgü suç olduğu ve herkes tarafından işlenebilecek bir suç olmadığı kabul edilmelidir.
( c ) Mağdur
Korunan temel hukuki değerin özel hayatın gizliliği olduğu düşüncesine iştirak ettiğimizden, bu suçun mağdurunun kişisel verileri silinmeyen kişiler olduğunu kabul etmek gerektiği düşüncesindeyiz.
(d) Konu
Suçun konusu hukuka uygun olarak kaydedilmiş olan kişisel verilerdir. Bu maddedeki suçun oluşabilmesi için, kişisel verilerin hukuka uygun olarak kaydedilmiş olmaları gerekmektedir ki; kanun tarafından belirli sürelerde silinmeleri gereksin. Bu nedenle ancak hukuka uygun olarak kaydedilmiş olan kişisel verilerin kanuni süreler dolduğu zaman silinmeleri gerektiğinden bahsedilebilir.
Kişisel veriler hukuka aykırı olarak kaydedilmişlerse zaten yukarıda incelenmiş olan ve TCK’nın 135 inci maddesinde düzenlenmiş olan kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu oluşacaktır.
Verileri yok etmeme suçunun oluşması için herhangi bir zararın meydana gelmiş olması aranmamakta olup, verilerin kanuni süreler geçmiş olmasına rağmen yok edilmemeleri ile suç tamamlanmış olacaktır. Soyut tehlike suçu statüsündedir.
(e) Netice
Verileri yok etmeme suçu açısından, suçun sırf hareket suçu olduğunu söylemek mümkün olup, sırf hareket suçlarında hareketin yapılmasıyla suç gerçekleşip tamamlandığından, suçun tamamlanması için neticenin ortaya çıkmasına gerek bulunmamaktadır.
(f) Suçun Nitelikli Unsurları
138 inci maddenin madde metninde suç için herhangi bir nitelikli hal öngörülmediği gibi, TCK’nın 137 nci maddesinde “Yukarıdaki maddelerde tanımlanan suçların” ifadesinin yer alması sebebiyle, bu maddede öngörülmüş olan nitelikli haller verileri yok etmeme suçunu kapsamamaktır. Bu nedenle TCK’nın 138 inci maddesinde düzenlenmiş olan bu suç açısından cezanın ağırlaştırılmasını ya da hafifletilmesini gerektiren bir nitelikli hal öngörülmemiştir.
(2) Manevi Unsur
TCK’nın 138 inci maddesinde düzenlenmiş olan kişisel verileri yok etmeme suçu genel kastla işlenebilir. Suçun işlenebilmesi için herhangi bir saik aranmıştır. Bu sebeple, failin, kanuni süreler geçmiş olmasına ve kaydedilmiş olan kişisel verileri yok etmekle yükümlü olmasına rağmen bu görevini kasten yerine getirmemesi yeterlidir. TCK’da bu suçun taksirli haline ilişkin herhangi bir düzenleme bulunmadığından, suçun taksirle işlenmesi mümkün olmayacak, failin mutlaka kasten hareket etmesi gerekecektir.
(3) Hukuka Aykırılık
Verileri yok etmeme suçu açısından öngörülmüş olan özel bir hukuka uygunluk nedeni düzenlememiş olduğundan, hukuka uygunluk nedenleri Türk Ceza Kanunu’nun genel hükümlerine göre belirlenecektir. Hukuka uygunluk nedenlerinden biri olan kanun hükmünün yerine getirilmesinin (görevin ifası) bu suç açısından bir hukuka uygunluk sebebi oluşturabileceği düşünülebilir. Her ne kadar doktrinde aksi görüşler bulunsa da , ilgilinin rızasının bulunması durumunda, kanaatimizce suç oluşmaz .
d. Suçun Özel Görünüş Şekilleri
(1) Teşebbüs
Verileri yok etmeme suçu ihmali suçlardan olduğundan, kanunda belirtilen sürenin dolduğu an, kişisel veri silinmemişse suç meydana gelmiş olacaktır. Bu suçun ihmali bir suç olması sebebiyle ve verilerin süre dolmasına rağmen silinmemeleri halinde suç meydana gelmiş olacağından, suçun teşebbüse elverişli olmadığını kabul etmek yerinde olacaktır.
(2) İştirak
Kanaatimizce bu suç özgü suç olduğundan ve yalnızca kişisel verileri belirli sürelerde yok etmekle görevlendirilmiş kişiler bu suçu işleyebileceklerinden, verileri yok etmeme suçunda özgü suçlara iştirak kuralları uygulanacaktır. Buna göre, kişisel verileri yok etmeme suçu açısından ancak bu verileri yok etmekle kanun tarafından yükümlü kılınmış olan kişi suçun faili olabileceğinden, bu suçu o kişi ile birlikte işleyenler ancak TCK’nın 40 ıncı maddesinin 2. fıkrası uyarınca azmettiren ya da yardım eden olarak sorumlu olabileceklerdir.
(3) İçtima
Hukuka uygun olarak kaydedilmiş olan kişisel verilerin kanunların belirlediği sürelerde silinmemeleri durumunda, bu suç aynı kişiye karşı birden fazla defa değişik zamanlarda işlenirse zincirleme hükümleri uygulanacak, ancak aynı kişinin aynı kişisel verilerinin çok uzun bir süre silinmemesi durumunda bu artık tek suç sayılacak ve zincirleme suç hükümleri uygulanmayacaktır. Benzer şekilde, yapılan kişisel veri kaydındaki kişisel veriler birden fazla kimseye aitse ve bunların kanuni süreler geçmiş olmasına rağmen silinmemesi durumunda birden fazla kimsenin kişisel verisi silinmemiş olacak, suç aynı hareketle birden fazla kişiye karşı işlenmiş olacaktır. Bu durumda da aynı neviden fikri içtima hükümleri uygulanacak cezası artırılacaktır.
Öte yandan, TCK’nın 136 ncı maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunun bu madde ile olabilecek içtima ilişkisi üzerinde durmak gerekir. Hukuka uygun olarak kaydedilmiş olan kişisel verileri kanuni süreler dolmuş olmasına rağmen, bunları silmekle yükümlü olan kişinin verileri silmemesi durumunda, fail aynı zamanda bu verileri hukuka aykırı olarak başkalarına verebilir. Kanaatimizce bu durumda, failin, TCK’nın 136 ncı maddesi ile 138 inci maddesi arasında gerçek içtima hükümlerine göre cezalandırılması gerekecektir.
e. Yaptırım
Kişisel verileri yok etmeme suçunun yaptırımı olarak kanunda yalnızca hürriyeti bağlayıcı ceza öngörülmüş olup, ceza altı aydan bir yıla (bir yıldan iki yıla) kadar hapis cezası olarak belirlenmiştir.
Verileri yok etmeme suçu açısından öngörülen hapis cezası 1 yıldan 2 yıla kadar olarak belirlendiği ve 137 nci maddede belirlenen nitelikli haller bu maddede düzenlenen suça uygulanmadığı için, hakimin takdir edeceği ceza iki yıl veya daha az süreli hapis cezası olacaktır. Bu itibarla CMK’nın 231 inci maddesinde sayılan koşulların gerçekleşmesi halinde hükmün açıklanmasının geri bırakılması uygulanabilecektir.
Tüzel kişilerin bu suçun işlenmesinden kaynaklı olarak hukuka aykırı yarar sağlamaları halinde ise, TCK’nın 140 ıncı maddesinde öngörüldüğü üzere, bunlara TCK’nın 60 ıncı maddesinde öngörülmüş olan güvenlik tedbirleri uygulanacaktır.
f. Soruşturma Usulü, Görevli ve Yetkili Mahkeme, Dava Zamanaşımı
138 inci maddede düzenlenmiş olan suçun soruşturulması ve kovuşturulması şikayete bağlı değildir, zira 139 uncu maddede hangi suçların şikayete bağlı olduğu düzenlenirken, 138 inci maddedeki verileri yok etmeme suçu buraya dahil edilmemiştir ve bu itibarla suçun soruşturulması ve kovuşturulması Cumhuriyet Başsavcılığınca re’sen yapılacaktır.
5235 Sayılı kanunun onuncu maddesi uyarınca, bu suç için öngörülmüş olan hapis cezasının üst sınırı iki yıldan az olduğundan, açılan davaya bakmakla görevli mahkeme sulh ceza mahkemesidir. (Yeni düzenlemelere göre Asliye Ceza Mahkemeleri)
Yetkili mahkemenin tespiti için, ceza ve ceza muhakemesi hukukunun temel esasları uygulanacak olup, bu hususta ayrıntılı açıklamalar 135 inci madde incelenirken yapıldığından, bu konu üzerinde tekrar durulmayacaktır.
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, TCK’nın 139 uncu maddesi gereği şikayete tabi olmaması ve CMK’nın 253 üncü maddesinde sayılan suçlar arasında yer almaması itibariyle, bu suç uzlaşmaya tabi suçlardan değildir.
Suçun zamanaşımı süresi ise, TCK’nın 66/1-e maddesi gereğince sekiz yıldır.
[1] Şimşek, s. 7, Küzeci, s. 108.
[2] Türkiye, Sözleşmeyi 18 Mayıs 1954 tarihinde onaylamıştır. R.G.t., 19 Mart 1954, S. 8662, http://www.inhak-bb.adalet.gov.tr/aihs/aihs.htm, 07.05.2012.
[3] Atak, Avrupa Konseyinin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, s. 104, Bygrave, s. 10, Ketizmen, Muammer, Türk Ceza Hukukunda Bilişim Suçları, 1. Baskı, Ankara 2008, s. 200, Akyürek, Güçlü, “Kişisel Veriler ve Özel Hayatın Gizliliği Hakkı”, Suç ve Ceza Dergisi, Sayı 3 Temmuz-Ağustos-Eylül 2001, s. 47.
[4] Ayrıntılı bilgi için bkz. Vicien-Milburn, Maria, “The United Nations And Personal Data Protection”, Oktober 2005, s. 1, http://www.adatum.ru/downloads/conferences/27th/The%20united%20nations%20and%20personal%20data%20pr otection.pdf, 28.02.2012, Birleşmiş Milletler tarafından 15 Ağustos 2000’de kabul edilen tıbbi standartlara ve yetkilere ilişkin düzenleme: “Medical standards and clearances”, http://www.fsu.unlb.org/docs/related_documents/AI-2000-7.pdf, 28.02.2012.
[5] Keser Berber, Leyla, “Uluslararası Standartlar ve İyi Uygulama Kodları Işığında Kişisel Verilerin Korunması ve Kişisel Bilgi Yönetimi Sistemleri Oluşturulması”, s. 2, http://www.docstoc.com/docs/91480740/ULUSLARARASI-STANDARTLAR-ISIGINDA-KISISELVERILERIN-KORUNMASI, 13.05.2012.
[6] Dülger s. 271
[7] Toroslu, s.294
[8] Yaşar-Gökcan-Artuç, s. 4126.
[9] Bkz. Soyaslan, s.348
[10] Yaşar-Gökcan-Artuç, s. 4134-4135.
Begüm BÖREKCİ