“Dünya artık silahlarla, enerji ile veya para ile yönetilmiyor. Birler ve sıfırlarla, minik veri parçalarıyla yönetiliyor. Yeni bir dünya savaşı patlak vereli çok oldu.Ancak bu sefer kimin daha çok mermiye sahip olduğu önemli değil. Kimin bilgiyi kontrol ettiği, ne gördüğümüz, ne duyduğumuz, nasıl çalıştığımız, ne düşündüğümüz önemli. Sadece bilgi önemli.” Cosmo, şifreciler filminin kötü adamı Ben Kingsley bu sözleri söylerken bugün çok uzak değildi. Dünya artık o kadar hızlı ilerliyor ki en hızlı uçan hayvan bile bu hıza erişemiyor. Siz uçakta bir ülkeden diğer ülkeye hızla ilerlediğinizi düşünürken Facebook saniyede bir milyon fotoğraf gösterebiliyor. Her yıl sizin verileriniz için veri merkezine 20 milyon dolardan fazla para harcıyor. Rakamlar korkunç ve bazen tahmin edilemeyecek seviyede. Dünyanın sizin verilerinizle çok yakından ilgilendiğini ve hatta artık verileriniz üzerinden milyar dolarlar kazandığını söylemek mümkünün ötesinde görünüyor. Yolda görseniz tanımayacağınız kişiler sizin verilerinizi oturduğu yerden yönetiyor, aktarıyor, seçimler yönetiyor, hükümetler devirebiliyor. Burası dikkat çekmek ve konuyu biraz ilgi çekici kılmak için kısa bir girişten ibaret. Konu çok daha teknik ve bireysel anlamda da sizleri çok ilgilendiriyor.

Konunun her boyutu ile ayrı ayrı ele alınması gerekir ancak burada temel bilgileri sizlerle paylaşmaya çalışacağım. 2013 yılında Bahçeşehir Üniversitesi’nde kamu hukuku yüksek lisans tezimi “Tıp Alanında Kişisel Verilerin Açıklanması Suçu” üzerine yazdım ve Seçkin Yayıncılık ailesi tez konumu kitaplaştırdı. Kitabımın üçüncü baskısı da kitapçılarda yerini alacak.

Konuyu ilk çalışanların arasında olmak ayrı bir keyif ancak konu başımızı ağrıtacak ve geleceğin suç kategorilerinde sık sık duyacağımız alanlardan olması nedeni ile belki sizlere anlatacaklarım bundan sonraki hayatınızı biraz daha tedirgin yaşamanıza neden olabilir.

Öncelikle nedir Kişisel Veri sorusu ile konuya giriş yapmak istiyorum. Kişisel veri, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme’nin 2. maddesinde “kimliği belirtilen veya belirtilebilen gerçek kişi ile ilgili tüm bilgiler” olarak tanımlanmıştır.

TBMM’de nerede ise 23 yıl bekleyen ve 24.03.2016 tarihinde kanunlaşarak 7.4.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3/d maddesinde, kişisel veri tanımı benzer olarak “belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi” olarak tanımlanmıştır.

Tam olarak neyi karşılar sorusuna verilecek yanıt şudur: Kişisel veri, kişinin özel hayat kapsamında nitelendirdiği her şeyi kapsayacağı gibi daha geniş kapsamda kişinin portföyünü, fiziksel özelliklerini, siyasal görüşünü, T.C kimlik numarasını, fotoğrafını, cinsel tercih ve yaşamını, alışveriş alışkanlıklarını, finansal bilgilerini kapsamaktadır. [1]

Örneğin, “bir bisküvi üretim makinesinin faaliyetine ilişkin olarak toplanan veri, o makinenin verimliliğini tespit amacıyla değil, makineyi kullanan işçinin verimliliğini belirlemek amacıyla kullanılıyorsa, sözkonusu bilgi o işçi bakımından kişisel veri kabul edilebilecektir.”[2]

Kişisel verilerin korunması, özel hayatın gizliliğini ihlal hakkının içerisinde yer almakta ve bağımsız bir hak olarak ilerlemektedir. Bugün AİHM ve AYM kararlarında çoğu kez özel hayatın gizliliğini ihlal çerçevesinde değerlendirildiğini görmekteyiz. Esasında kişisel veriler, daha özerk ve kendine göre disiplini olan bir haktır ve gelecek kuşak haklarındandır.

Neden gelecek kuşak hakkı diyoruz. Bugüne değin öğrendiğimiz temel haklar olan mülkiyet hakkı, eğitim hakkı, sağlık hakkı gibi hak kategorilerine baktığınızda daha somut ve başlı başına birincil öncelikli haklardan olarak görünse de Kişisel verilerinizin yayılması, ele geçirilmesi, genel olarak hak ihlali olması durumunda diğer haklarınızın var olmasının hiçbir anlamı kalmayacaktır. İnsan olmanın temelini oluşturan kişisel veriler, tamamen kişilik haklarınızdan ileri gelmektedir ki kişilik haklarınızın ihlal edilmesi bireyin kendini sağlıklı bir toplumda ifade edebilmesini ve kendi geleceğini tayin hakkını ortadan kaldırmaktadır.[3]

Kişisel veriler, Türk Ceza Kanunu’nda “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” bölümünde düzenlenmiştir. Kanunun 135. maddesi “Kişisel Verilerin Kaydedilmesi” suçunu düzenlemiştir.

“Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda ceza yarı oranında arttırılır.”

Düzenlemede dikkati çeken “hukuka aykırı olarak” “kişisel verileri kaydeden” tanımlamalarıdır. Kişisel verileri kaydetmenin suç olması için hukuka aykırı olarak kaydedilmesi gerekmektedir. Yani görevi gereği kişisel verileri kayıt altına alan bu suçun faili olarak nitelendirilemez. Hukuka aykırılıktan kastedilen, yetkisi dahilinde olmadan kişisel verileri kayıt altına almaktır. Örneğin; bankaların çağrı merkezi ile yaptığınız görüşmelerde sesiniz size daha iyi bir hizmet vermek için kaydedilmektedir denilmektedir. Burada telefonda sesinizin ve tüm konuşmalarınızın kayıt altına alındığı konusunda chatbot(sesli yanıt sistemi) sizi aydınlatmakta ve telefon görüşmesine devam ettiğiniz için sizden örtülü olarak rızanızı almaktadır. Bu rızanın geçerli olup olmadığı tartışılmaktadır. Çünkü sizin işleminizi çağrı merkezi ile gerçekleştirmek için farklı bir yöntem sunulmamış ve sesiniz kayıt altına alınıyor ise burada örtülü / zımni rızanızın geçerli olduğundan bahsedilemeyecektir.

Yargıtay 4. CD’nin 2018/7276 E. 2018/21206 K. sayılı dosyasında sair tehdit suçunun kanıtlanması amacıyla konuşmanın kayda alınması dolayısı ile Cumhuriyet Başsavcılığına suç duyurusunda bulunulmuş olması ve hukuka aykırı olarak veri kaydetme olup olmadığı tartışmasının C.savcılığı tarafından soruşturma konusu yapılması tartışılmıştır. Konuşma kaydının yer aldığı cd’nin hukuka aykırı delil olması nedeni ile hükme esas alınamayacağı sonucuna varılmıştır. Burada tehdit suçunun başka türlü kanıtlanması mümkün değil ise konuşmaların habersiz bir şekilde videoya alınması kişisel verilerin hukuka aykırı olarak kaydedilmesi suçunu doğurur mu? Kanaatimce bu delilin hukuka aykırı olarak kabul edilip mahkeme hükmüne esas alınmaması doğru yaklaşımdır ya da başka deliller ile desteklendiğinde ancak hükme esas alınabilir. Ancak bu durum kişisel verilerin hukuka aykırı olarak kaydedilmesi suçunun oluşmasını ortadan kaldırmayacaktır.

Yargıtay 8. CD’nin 2016/9037 E. 2017/696 K. sayılı kararında, Yargıtay, şikayetçiye ait kart bilgilerinin kullanılması, kişisel verileri hukuka aykırı yollardan kaydetmek suçunu oluşturur demiştir.

Yargıtay 12. CD’nin 2015/4349 E. sayılı dosyasında “ sanığın katılana ait facebook hesabından herkese açık fotoğrafları aldığı ve sahte facebook hesabında kullandığı iddiası üzerine” Yargıtay, “kişisel verileri hukuka aykırı olarak kaydetmek” suçundan anlaşılması gerekenin, kişinin herkes tarafından ulaşılamayan ve sınırlı kişilerle paylaştığı verilerinin ele geçirilmesi ve kaydedilmesi üzerinde vurgu yapmıştır. Facebook hesabınızda kamuya açık ve herkes tarafından kopyalanabilen fotoğraflarınızın başka alanlarda diğer kişiler tarafından paylaşılmasını Yargıtay “kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu” kapsamında değerlendirmemektedir. Yargıtayla aynı görüşü bu anlamda paylaşmak mümkün değildir. Facebook hesabınızda sadece kendi sayfanızda yaptığınız bir paylaşımın başka sosyal medya hesaplarında ya da sahte facebook hesaplarında paylaşılmasına rızanızın olduğu ispata tabi olmalıdır. Yargıtay zımni rıza kavramını kabul etmektedir. Kişisel veriler gibi önemli bir alanda zımni rıza değil açık ve aydınlatılmış rıza kavramını kabul etmek gerekir.

Verileri Hukuka Aykırı Olarak Verme, Yayma, Ele Geçirme, Türk Ceza Kanunu’nun m. 136 maddesinde düzenlenmiştir;

Kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan ve ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.”

Kanunun 137. maddesi nitelikli hali düzenlemiştir.

Yargıtay 12. C.D’nin 2017/12083 E. 2018/2539K. sayılı kararında, “şikayetçinin taraf olmadığı bir icra dosyasına taraf olarak eklenerek, malvarlığının UYAP portaldan sorgulanarak raporunun alındığı olayda, Yargıtay kişisel verilerin hukuka aykırı olarak verme veya ele geçirilmesi suçunun oluştuğuna karar vermiştir.”

Yargıtay 12. C.D’nin 2016/2472 E. 2016/4849 K. sayılı kararında “Hukuka aykırı bir amaç için kişilerin telefon, adres, banka kayıt bilgilerinin ele geçirilmesinin kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğunu karara bağlamıştır.”

Kişinin verilerinin hukuka aykırı yollardan ele geçirilmesi kıstası önemlidir. Bu husus suçun, özel kastla işlenen suçlar kapsamında olduğunu göstermektedir.

Kişisel verilerin hukuka aykırı yollardan işlenmesi, ele geçirilmesini önlemek ve aynı zamanda kişisel verileri işleyen gerçek ve tüzel kişilerin hangi kişisel verileri işlediğini izlemek adına 5 Ekim2016 tarihinde Kişisel Verilerin Korunması Kurumu kurulmuştur. Kurum içerisinde oluşturulan Kişisel Verilerin Korunması Kurulu, kişisel verileri hukuka aykırı olarak işleyen gerçek ve tüzel kişileri denetlemekte ve hukuka aykırı veri işleme faaliyetlerinde idari para cezasına hükmetmektedir. Kurul kararları bağlayıcıdır ve kanaatimce Anayasa mahkemesi tarafından da geçerli bir idari yol olarak iç hukuk yolu kıstasında kabul edilecektir.

Kişisel verileri işleyen şirketler ve gerçek kişiler için de Verbis sistemi kurulmuş ve bazı koşulları taşıyanlara kayıt zorunluluğu getirilmiştir. Noterler, yargı mercileri, avukatlar kayıt istisnası kısmındadır.

İleride Kurul kararlarından ve kimlerin Verbis sistemine kayıt olması gerektiğinden de bahsedeceğim.

SABİRE SANEM YILMAZ*

--------------------------------------------------

*Muğla Barosu Avukatı, Bahçeşehir Üniversitesi Kamu Hukuku Yüksek Lisans Mezunu, Arabulucu, Tıp Alanında Kişisel Verilerin Açıklanması Suçu kitabının yazarı.

[1] Yımaz, Sabire Sanem, Tıp Alanında Kişisel Verilerin Açıklanması Suçu, 2019, Seçkin Yayıncılık, Basım Aşamasında.

[2] Aksoy, H, 2010, Kişisel Verilerin Korunması, Ankara, Çakmak Yayınevi, s.2.

[3] Küzeci, Elif, Kişisel Verilerin Korunması, 2019, Turhan Kitabevi