Giriş
Günümüzde, kimlik bilgileri başta olmak üzere kişisel bilgilerimizin çoğu internet ortamında bulunmakta olup, gelişen bilgi teknolojileriyle birlikte sıkça karşılaşılan eylem türlerinden biri de kişilerin kişisel verilerinin rızaları olmaksızın hukuka aykırı olarak bilişim sistemlerine yerleştirilmesidir. Kişisel veri niteliğindeki bilgilerin bu şekilde hukuka aykırı olarak kaydedilmesi, 5237 sayılı Türk Ceza Kanunu (“TCK”) kapsamında suç tipi olarak düzenlenmiştir. Bu suç tipiyle kişisel veriler korunmakta, bununla birlikte hayatın gizli alanı ve kişilerin özel hayatı da koruma altına alınmaktadır.
Bu suç tipini incelemeden önce, ne tür bilgilerin “kişisel veri” kapsamına girdiğini belirlemek gerekecektir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) göre, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;
Gerçek Kişiye İlişkin Olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin tüzel kişiliğine ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
Kişiyi Belirli veya Belirlenebilir Kılma: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
Her Türlü Bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Önemle belirtmek gerekir ki, KVKK’da hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayma yoluna gidilmediğinden, bu verilerin kapsamının genişletilmesi mümkündür. Bir bilginin kişisel veri olup olmadığı değerlendirilirken, her somut olayın özelliğine göre “kişiyi tanımlayabilme” özelliğine sahip olup olmadığı dikkate alınmalıdır.
Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi
Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu, TCK’nın 135. maddesinde düzenlenmiştir. Buna göre, “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.” Maddenin devamında ise, “Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” ifadesi yer almaktadır.
Günümüzde kişilerle ilgili kayıtların bilgisayar ortamlarına geçirilip muhafaza edilmesi uygulamasına çoğu kurum ve kuruluş tarafından başvurulmaktadır. Örneğin; hastanelerde, sigorta şirketlerinde, bankalarda, kredi kartı ile alışveriş yapılan mağazalarda, ticari şirketlerde, sendikalarda, finans kurumlarında hastalar, sigortalılar, müşteriler gibi verileri toplanan kişilere ilişkin kayıtlar, bu şekilde tutulmaktadır. Bu bilgilerin amaçları dışında kullanılmasının veya herhangi bir şekilde üçüncü şahısların eline geçerek hukuka aykırı olarak kullanılıp faydalanılmasının önüne geçmek ve hakkında bilgi toplanan kişilerin zarara uğramasını önlemek maksadıyla, kişilere ilişkin bilgilerin hukuka aykırı olarak kayda alınması suç olarak tanımlanmıştır. Bunun yanında, kişisel verilerin en çok kullanıldığı ortamlardan olan sosyal medya platformlarına veya internet sitelerine üye olma aşamasında karşılaşılan “doldurulması zorunlu alanlar” kişilerin kişisel verilerinin çoğunu kapsamaktadır. Bu gibi durumlarda da, kişisel verilerin suç teşkil edecek biçimde hukuka aykırı olarak kaydedilmesi söz konusu olabilmektedir. Örneğin, kişinin bildirmiş olduğu e-posta adresinin veya paylaşmış olduğu fotoğrafının kendi rızası/izni olmaksızın kaydedilmesi de TCK m. 135 kapsamında suç teşkil edecektir.
Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu ile, her türlü kişisel verinin bilişim sistemlerine veya yazılı kayıtlara hukuka aykırı olarak yerleştirilerek kaydedilmesinin suç teşkil edeceği ortaya konmuştur. Zira, “kişisel verilerin bilgisayar ortamında veya kağıt üzerinde kayda alınması arasında bir ayırım gözetilmediği” hususu, maddenin gerekçesinde açıkça belirtilmiştir.
Bu suçun oluşabilmesi için, kişisel verilerin hukuka aykırı bir şekilde kayda alınması gerekmekte olup, kişinin rızası ile kendisiyle ilgili bilgilerin kayda alınmasının suç oluşturmayacağını belirtmek gerekir. Bunun yanında, belirli nitelikteki kişisel verilerin kayda alınması kanun hükmünün gereği olarak yapılmaktadır. Bu bakımdan, çeşitli kamu kurumlarında verilen kamu hizmetinin gereği olarak kişilerle ilgili bazı bilgiler ilgili kanun hükümlerine istinaden kayda alınmaktadır. Bu durumlarda, kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu oluşmayacaktır.
TCK m. 135’in ikinci fıkrasında ise, “kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine, ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kayda almak” suç olarak tanımlanmıştır. Belirtmek gerekir ki, günümüzde hastaneler başta olmak üzere pek çok kurum tarafından kişilerin cinsel yaşamlarına ve sağlık durumlarına ilişkin bilgiler veri olarak kaydedilmekte ve kayıtlarda bulundurulmaktadır. Bu gibi bilgilerin kişinin rızası veya kanundan kaynaklanan bir sebep bulunmaksızın hukuka aykırı olarak bilişim sistemine kaydedilmesi suç haline getirilmiştir.
Ancak, maddenin gerekçesinde de açık bir şekilde belirtildiği üzere, “...bunlardan kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebilir. Bu durumlarda söz konusu suç oluşmayacaktır.”
Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi Suçunun Cezası
TCK m. 135 kapsamında, kişisel verileri hukuka aykırı olarak kaydetme suçunun cezası 1 yıldan 3 yıla kadar hapis cezasıdır.
Bununla birlikte, kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılacaktır.
Suçun Nitelikli Halleri
Bu suçun;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
İşlenmesi halinde, verilecek ceza yarı oranında artırılacaktır.
Buna ek olarak, TCK’nın 140. maddesi uyarınca, bu suçun işlenmesi dolayısıyla tüzel kişiler hakkında TCK’nın 60. maddesinde belirtilen bunlara özgü güvenlik tedbirlerine hükmolunacağı ifade edilmiştir.
Sonuç
Yukarıda açıkça ifade edildiği üzere, hastaneler, sigorta şirketleri, bankalar gibi pek çok kurum tarafından kişiler hakkındaki veriler ve bilgiler çeşitli amaçlarla toplanıp kullanılmakta olup, bu tür bilgilerin kanundan ya da kişinin rızasından kaynaklanmayan bir şekilde hukuka aykırı olarak bilişim sistemlerine kaydedilmesi “Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi Suçu”nu oluşturmaktadır. Bu doğrultuda, söz konusu kişi, kurum ve kuruluşların kişisel verileri bilişim sistemlerine veya yazılı kayıtlara kaydederken azami dikkat ve özen göstermesi büyük önem arz etmekte olup, aksi takdirde Türk Ceza Kanunu’nun 135. maddesi vd. uyarınca cezalandırılmaları ve hatta kişilerin uğradığı zarar yönünden tazminat yükümlülükleri söz konusu olacaktır.
