TÜRK CEZA HUKUKUNDA KİŞİSEL VERİLERİN KORUNMASI

Av. Sibel ÖZTÜRK

30.03.2020 - 17:50 Yayınlanma

27.12.2022 - 12:16 Güncelleme

Özet

Günümüzde bilgi ve iletişim teknolojilerinde yaşanan hızlı gelişmeler, kamu ve özel sektör faaliyetleri ile ilgili olarak; kişilere ilişkin bilgilerin toplanmasını, bu bilgilerden sonuçlar elde edilmesini, bu bilgilerin saklanmasını ve aktarılmasını kolay hale getirdiği gibi, kişilerin özel hayat alanlarına müdahaleyi de kolaylaştırmış ve bu bilgilerin hukuka aykırı olarak kullanılmasına olanak sağlayan bir zemin hazırlamıştır. Bu durum, kişisel bilgileri toplanan, kullanılan ve aktarılan savunmasız bireyin, korunması zorunluluğunu ortaya çıkarmıştır. Bu bağlamda, konuya ilişkin olarak 1970’li yıllardan bu zamana, uluslararası ve ulusal düzenlemeler yoluyla kişisel verilerin etkin şekilde korunmasını temin etmeye yönelik çalışmalar yürütülmektedir.

Ülkemiz, hem uluslararası sözleşmelere taraf olmak suretiyle hem de iç hukukta yaptığı düzenlemelerle kişisel verilerin hukuka aykırı amaçlarla kullanılmasına karşı etkin bir koruma mekanizması oluşturmayı amaçlamıştır. Bu kapsamda 2010 yılında yapılan Anayasa değişikliği neticesinde Anayasa’nın 20. maddesine eklenen fıkra ile kişisel verilerin korunması hakkı, anayasal bir hak olarak kabul edilmiş ve 2016 yılında konuya ilişkin temel kanun niteliğini haiz 6698 sayılı Kişisel Verilerin Korunması Kanunu çıkarılarak kişisel verilerin işlenmesi ve korunmasına yönelik bütüncül bir yapı oluşturulmaya çalışılmıştır.

Kişisel verilerin etkin şekilde korunabilmesinin en önemli vasıtalarından biri ise kişisel verilere yönelik saldırı ve ihlallerin suç kapsamına alınması ve bu suçlara karşılık olarak cezai yaptırım uygulanmasıdır. Bu bağlamda, 5237 sayılı ve 01.06.2005 yürürlük tarihli Türk Ceza Kanunu’nun 135. maddesinde kişisel verilerin kaydedilmesi, 136. maddesinde verileri hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde verileri yok etmeme filleri suç olarak düzenlenmiş ve Türk Ceza Kanunu’nun 140. maddesinde, bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbirlerinin uygulanabileceği hükmüne yer verilmiştir. Burada önemle belirtilmesi gereken husus, 5237 sayılı Türk Ceza Kanunu’nda düzenlenen kişisel verilere ilişkin suçların, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden önceki bir tarihte suç olarak düzenlenmiş bulunmasıdır.

Bu çalışmada, Türk Ceza Kanunu’nda düzenlenen kişisel verilere karşı işlenen suçlar, Kişisel Verilerin Korunması Kanunu’nun yürürlük tarihinden önceki ve sonraki dönemler dikkate alınmak suretiyle ve her iki kanunun da paralellik arz eden ve ayrılan yönleri ele alınarak incelenmiştir.

Abstract

Today, the rapid developments in information and communication technologies, public and private sector activities related to; it has made it easy to collect information about individuals, to obtain results from this information, to store and transfer such information, and also facilitated the intervention in private spaces of individuals and provided a basis for unlawful use of such information. This situation revealed the necessity to protect the unprotected individual whose personal information is collected, used and transmitted. In this context, since the 1970s, studies have been carried out to ensure the effective protection of personal data through international and national regulations.

Our country aims to establish an effective protection mechanism against the use of personal data for unlawful purposes, both as a party to international conventions and with the regulations it has made in domestic law. In this context, as a result of the constitutional amendment made in 2010, the right to protection of personal data has been accepted as a constitutional right with the clause added to article 20 of the Constitution. In 2016, the Law on the Protection of Personal Data No. 6698, which is the basic law on the subject, was enacted to create a holistic structure for the processing and protection of personal data.

One of the most important ways of effective protection of personal data is the recognition of attacks and violations of personal data as a crime. and criminal sanctions in return for these offenses. In this context, the registration of personal data in Article 135 of the Turkish Penal Code numbered 5237 and dated 01.06.2005, the unlawful elimination or seizure of data in Article 136, and the failure to destroy data in Article 138 are regulated as criminal offenses. Article 140 provides that security measures may be applied to legal persons in relation to these offenses. It is important to note that the offenses relating to personal data regulated in the Turkish Penal Code no. 5237 were criminalized on the date before the entry into force of the Law on the Protection of Personal Data No. 6698.

In this study, the crimes committed against personal data regulated in the Turkish Penal Code were examined by considering the periods before and after the date of the Personal Data Protection Law and by considering similar and reserved aspects of both laws.

1. Genel Olarak Kişisel Verilerin Korunması

Bilgi, insanlık tarihi boyunca her zaman önemli olmuş;[1] modern hayatın ise her geçen gün daha da önem kazanan vazgeçilmez değerlerinden birini teşkil etmektedir. Günümüzde teknolojinin hızla gelişmesi ile bireylerin bilgiye erişme imkanlarında büyük ölçüde artış olmuş ve bunun neticesinde bilginin üretimi, kullanımı, küresel akışı kolay bir hal almış ve pek çok bilgiye dünyanın her noktasından saniyeler içerisinde erişmek mümkün hale gelmiştir.[2] Teknolojinin, internetin ve bilişim sistemlerinin bu denli gelişmesiyle birlikte “insana ait olan ve bireyi tanımlayabilecek nitelikteki her türlü bilgi”[3] şeklinde tanımlanabilecek olan kişisel verilerin, kişi, kurum ve kuruluşlar ve devlet tarafından çeşitli amaçlarla toplanması, kaydedilmesi, saklanması ve aktarılması da önemli ölçüde artış göstermiştir.[4]

Bilişim teknolojilerinde yaşanan hızlı gelişimle birlikte bilgisayar, cep telefonları ve internet kullanımının yaygınlaşması, toplanan bilgilerin kolaylıkla elde edilmesinin yanı sıra hukuka aykırı amaçlarla kullanılmasına uygun bir zemin oluşturmuş ve bireylerin özel hayat alanlarına daha kolay müdahale edilebilmesinin yolunu açmıştır. Ayrıca kişilere ait bilgilerin internet ortamında paylaşılması ile dar ve sınırlı bir çevre değil, milyarlarca insan, bireylerin özel hayatına müdahale teşkil eden bilgilerden haberdar olabilmekte ve bu durum, kişiye yönelik zararın artmasına sebebiyet vermektedir. Bütün bu gelişmeler, bilişim teknolojilerinin sunduğu imkanlarla kişisel bilgileri sınırsız bir şekilde toplanan, kaydedilen, kullanılan ve aktarılan bireyin korunmasına duyulan gereksinimi artırmış ve kişisel verilerin etkin şekilde korunmasına yönelik hem uluslararası hem de ulusal alanda hukuki düzenlemeler yapılmasını zorunlu kılmıştır.[5]

Bu bağlamda, kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme olan, Avrupa Konseyi bünyesinde kabul edilen, 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” zikredilmelidir. Türkiye, 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuştur. Bu sözleşme, 17 Mart 2016 tarihli ve 29656 sayılı Resmî Gazete’ de yayımlanarak iç hukukumuza dâhil edilmiştir. Sözleşmenin temel amacı, gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır.[6]

Kişisel verilerin korunmasına ilişkin bir diğer önemli uluslararası düzenleme, Avrupa Birliği üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması ve bu sayede üye ülkelerin farklı yasalarının, tek iç pazar oluşmasına engel teşkil etmemesini sağlamayı amaçlayan ve Avrupa Birliği bünyesinde hazırlanarak 24 Ekim 1995 tarihinde kabul edilen 95/46/AT sayılı Kişisel Verilerin Korunması Yönergesi’dir.[7] Bu Yönerge, 20 yıl yürürlükte kaldıktan sonra, Yönerge’nin yerini almak üzere 2016 yılında kabul edilen Genel Veri Koruma Tüzüğü (GDPR), 25 Mayıs 2018 tarihinden itibaren uygulanmaya başlanmıştır. [8]

Bunun yanında kişisel verilerin korunmasına ilişkin diğer uluslararası düzenlemeler, OECD’nin “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeler”i (23 Eylül 1980) ve BM’nin “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeler”i (14 Aralık 1990) dir.[9]

Ülkemizde kişisel verilerin korunmasına yönelik olarak yapılan ilk özel ve doğrudan düzenleme 01 Haziran 2005 yürürlük tarihli 5237 sayılı Türk Ceza Kanunu’nda (TCK) yer alan, kişisel verilere karşı işlenen suçlara ilişkin hükümlerdir.[10] Burada belirtmek gerekir ki 5237 sayılı Kanun’un yürürlük tarihi olan 2005 yılı itibariyle, henüz kişisel verilerin korunmasına ilişkin temel esas ve usulleri düzenleyen ulusal bir kanun mevcut değildi. TCK’da da kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, yayılması, ele geçirilmesi ve yok edilmemesi suçları düzenlendiği halde; kişisel veri kavramına ilişkin bir tanımlama yapılmamış olduğundan, kişisel veri kavramından ne anlaşılması gerektiğine ilişkin bir açıklık bulunmamaktaydı. Bu sebeple, ceza mevzuatında kişisel verilerle ilgili bir tanım ve sınırlandırma bulunmadığı için TCK’nın bu hükümlerinin, suçlarda ve cezalarda kanunilik[11] ve belirlilik ilkelerine aykırı olduğuna ilişkin yoğun eleştiriler yapılmış ve bunun üzerine konu, Anayasa Mahkemesi’ne taşınmış[12] ancak Mahkeme, 12.11.2015 tarih ve 2015/32 E., 2015/102 K. sayılı kararı ile

“Kuralda yer alan "kişisel veri" kavramı teknolojik gelişmelere bağlı olarak çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi mümkün değildir. Bununla birlikte gerek ulusal ve uluslararası mevzuat gerekse yargı içtihatları çerçevesinde "kişisel veri" kavramının, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği kabul edilmektedir.

"Kişisel veri" kavramının bu çerçevede doktrin, uygulama ve yargı kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku yoktur. Dolayısıyla başvuru kararında her ne kadar ceza mevzuatında "kişisel veri" ile ilgili bir tanım ve sınırlandırmanın yapılmadığı, bu nedenle itiraz konusu kuralın belirsiz olduğu ileri sürülmüş ise de ulusal ve uluslararası mevzuat ile yargı içtihatları dikkate alındığında kuralın belirsiz olduğundan söz edilemeyeceği açıktır.”[13] şeklinde açıkladığı gerekçelere binaen, kuralın Anayasa’ya aykırı olmadığı sonucuna ulaşmıştır.

Anayasa Mahkemesi bu kararında, 5237 sayılı TCK’nın 135. maddesinin gerekçesinde, gerçek kişiyle ilgili her türlü bilginin kişisel veri olduğunun belirtildiğini, bununla birlikte; Kanun’un 134. ve 139. maddeleri arasında kişisel verilere ilişkin “kişilerin özel hayatına ilişkin görüntü ve sesler, siyasi, felsefi veya dini görüş, ırki köken, ahlaki eğilim, cinsel yaşam, sağlık durumu” kavramlarına yer verilerek kişisel verilere yönelik düzenleme yapıldığını belirtmiştir.

Ayrıca Mahkeme, 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 2. maddesinde "kişisel verinin", "kimliği belirli veya belirlenebilecek verinin öznesi olan gerçek kişiyle ilgili tüm bilgiler" şeklinde tanımlandığını, Ekonomik Kalkınma ve İşbirliği Örgütü'nün (OECD) yayınladığı Kişisel Verilerin Korunması Rehber İlkeleri'nde "kişisel verinin", "belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler" şeklinde tanımlandığını ve Avrupa Birliği'nin 95/46/EC sayılı Veri Koruma Direktifi' nin 2. maddesinde de "kişisel verinin", "belirli ya da kimliği belirlenebilir gerçek kişi ile ilişkilendirilebilen her türlü bilgi" şeklinde tanımlandıktan sonra "bir kişinin doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin kimlik numarası, fiziksel, psikolojik, duygusal, ekonomik ve kültürel kimliği veya sosyal kimliği" nin bu kapsamda değerlendirildiğini ifade ederek; Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi içtihatları da dikkate alındığında kişisel veri kavramının belirsizliğinden söz edilemeyeceğini, anılan kararında belirtmiştir.

Ulusal hukuklarında kişisel verilerin korunmasına ilişkin suçlara yer veren ülkelerdeki düzenlemeler dikkate alındığında bu hususta temel olarak iki yaklaşımın varlığından söz edilebilir.[14] Bunlardan ilki, kişisel verilerin korunmasına ilişkin kanunlarda, aynı zamanda kişisel verilerin korunmasına ilişkin suçlara da yer verilmesidir ki Almanya ve İtalya’da benimsenen yöntem budur. Kişisel verilerin korunmasına ilişkin suçlar bakımından ikinci yöntem ise Fransa’da olduğu gibi, bu suçların ceza kanunu kapsamında düzenlenmesidir. Ülkemizde kişisel verilerin korunmasına ilişkin suçların düzenlenmesinde ikinci yaklaşım benimsenerek, Fransız Ceza Kanunu’nda yer alan suçlardan esinlenilmiştir.[15]

2. 765 Sayılı Türk Ceza Kanunu Dönemi’nde Kişisel Verilerin Korunması

Kişilerle ilgili bilgilerin bilgisayar ortamında kayda alınması ve sayısal ortamda kullanılması beraberinde bu bilgilerin suiistimali açısından sayısız kötüye kullanma olanak ve ortamını getirmiştir. Bilgilerin hukuka aykırı kullanımı, ele geçirilmesi, başkalarına nakli, yetkisiz kimselerce öğrenilmesini temin, kayıtlardaki verileri değiştirme, silme, kullanımını engelleme, bilgilere eklemeler yapma kolay hale gelmiştir. Diğer hukuk dallarında bu eylemleri karşılayacak yaptırımlara gidilmeli ise de bu alandaki ihlaller çok ağır, önemli ve ciddi olduğu, ayrıca bu hukuki değerlerin korunması bakımından diğer hukuk dalları yetersiz kalabileceği için bu korumada ceza hukukundan yararlanılması kaçınılmaz bir zorunluluktur.[16]

765 sayılı Türk Ceza Kanunu’nda, doğrudan kişisel verilere karşı işlenen suçları cezalandıran bir hüküm bulunmamakta; bununla birlikte, 765 sayılı TCK’da kişisel verilerin korunması amacına dolaylı olarak hizmet eden hükümlere yer verilmiş olduğu görülmektedir. Ancak bu hükümler, her türlü kişisel veri ve verilerin tüm işlenme şekil ve araçlarını içeren bir kapsama sahip değildir.[17]

“Sırrın masuniyeti aleyhine cürümler” başlığını taşıyan mülga TCK’nın 195, 196, 197, 198 ve 200. maddelerinin konusunu, kişisel verilere ilişkin doğrudan bir nitelendirme yapılmış olmamakla birlikte, kişiler arasındaki mektup, posta, telgraf veya kapalı zarf içeriğinde yer alan sır niteliğindeki bilgiler oluşturmaktadır. Sır niteliğini taşıyan bu bilgilerin aynı zamanda kişisel veri niteliğinde olması da ihtimal dahilindedir.[18] Bu anlamda 765 sayılı Kanun döneminde kişisel verilerin tamamen korumasız bırakıldığını söylemek mümkün değildir.[19]

765 sayılı TCK’nın 195. maddesi hükmüne göre

“Bir kimse kendisine gönderilmiş olmıyan bir mektup veya telgrafı veya kapalı bir zarfı kasten açar veya başka bir şahsın, posta ve telgrafla vaki açık muhabere varakası münderecatını anlamak için usul ve nizam hilafında eline geçirecek olursa kendisinden otuz liradan yüz liraya kadar ağır cezayi nakti alınır. Eğer fail bu evrak muhteviyatını ifşa ve telgraf ve telsiz muhaberat ve telefon mükalematı mahremiyetini ihlal ederek bir zarar husulüne sebep olursa bir aydan üç seneye kadar hapis olunur.”

765 sayılı TCK’nın 200. maddesine göre ise

“Posta ve telgraf memurlarından bir kimse memuriyet sıfatını suistimal suretiyle bir mektup, bir zarf, bir telgraf veya sair açık bir muhabere evrakını zapt eder veya kapalı evrakı açar veya telefon, telgraf mükalemat ve muhaberatı mahremiyetini ihlal ederse üç aydan üç seneye kadar hapis olunur.”

Yine 765 sayılı Mülga TCK’nın “Bilişim Alanında Suçlar” başlıklı on birinci babında yer alan 525/A maddesi uyarınca

“Bilgileri otomatik olarak işleme tabi tutmuş bir sistemden, programları, verileri veya diğer herhangi bir unsuru hukuka aykırı olarak ele geçiren kimseye bir yıldan üç yıla kadar hapis ve bir milyon liradan on beş milyon liraya kadar ağır para cezası verilir.

Bilgileri otomatik işleme tabi tutmuş bir sistemde yer alan bir programı, verileri veya diğer herhangi bir unsuru başkasına zarar vermek üzere kullanan, nakleden veya çoğaltan kimseye de yukarıdaki fıkrada yazılı ceza verilir.”

Her ne kadar yeterli ve gerekli düzeyde koruma sağlamadığı ifade edilse de 765 sayılı TCK’nın 525/A bendinde düzenlenen “verilerin ele geçirilmesi suçu” ülkemizde, bilişim suçları alanında gerçekleştirilen ilk düzenleme olma niteliğini haiz olup, bu bakımdan önem taşımaktadır.[20]

Toplumsal yaşamda meydana gelen teknolojik değişiklikler beraberinde kişisel verilerin hukuka aykırı olarak işlenmesi karşısında bireylerin özel hayatlarının özel olarak korunması gereksinimini ortaya çıkarmıştır. Bu ihtiyaca bağlı olarak hukuki konusu “özel hayatın gizliliği” ve “kişisel verilerin korunması hakkı” olan kişisel verilere karşı işlenen suç tipleri, 5237 sayılı Türk Ceza Kanunu’ nda düzenlenmiştir.[21]

3. 5237 Sayılı Türk Ceza Kanunu’nun Yürürlük Tarihi ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun Yürürlüğe Girdiği Tarih Arasındaki Dönemde Kişisel Verilere İlişkin Suçlar

Türk Ceza Kanunu, özel hayatı ve hayatın gizli alanını koruma altına almaktadır. Kişinin kendisine ait bilgilerin özel hayata ve hayatın gizli alanına dahil olduğu konusunda şüphe bulunmamaktadır.[22] Kişinin kendisine ait bulunan ve özel hayatına ve hayatın gizli alanına dahil olan bu bilgilere karşı eylemlerde bulunanları, ceza hukuku aracılığıyla cezalandırmak maksadıyla 5237 sayılı Türk Ceza Kanunu kapsamında kişisel verilere karşı suçlar düzenlenmiş olup,[23] bu suçlara ilişkin hükümler, 1 Haziran 2005 tarihi itibarıyla yürürlüğe girmiştir. Anılan dönem itibarıyla, kişisel verilerin korunmasına ilişkin esas, usul, ilke ve temel kavramları düzenleyen ulusal bir mevzuat yahut iç hukukumuza dahil edilmiş uluslararası bir sözleşme, henüz mevcut değildir.[24]

Kişisel verilere ilişkin suçlar, 5237 sayılı TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” bölümü içerisinde düzenlenmiş olup, TCK’nın 135. ve 136. maddelerinde kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması ve ele geçirilmesi fiilleri ile 137. maddede bu suçlara ilişkin nitelikli haller ve TCK’nın 138. maddesi hükmünde kişisel verilerin yok edilmemesi fiili suç olarak düzenlenmiştir.[25] Kanun’un 140. maddesinde ise bu bölümde yer alan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlere hükmolunacağı öngörülmüştür.

5237 sayılı TCK’nın yürürlüğe girdiği dönemde, kişisel verilere ilişkin temel bir kanun bulunmadığı gibi TCK kapsamında da “kişisel veri” kavramına ilişkin olarak herhangi bir tanımlama yapılmış değildir. Kişilerle ilgili bilgilerin hukuka aykırı olarak kayda alınmasının suç olarak tanımlandığı TCK m. 135 hükmünün gerekçesinde şu açıklamalara yer verilmiştir[26]:

- Çağımızda kişilerle ilgili kayıtlar bazı kurum ve kuruluşlarca, bilgisayar ortamlarına geçirilerek muhafaza altına alınmakta; hastanelerde, bankalarda, sigorta şirketlerinde ve kredili alışveriş yapılan mağazalarda kayıtlar bu yol ile tutulmaktadır.

- Bu bilgilerin amaç dışı kullanılmaları halinde ya da herhangi bir yolla üçüncü şahısların ellerine geçerek hukuka aykırı olarak bunlardan yararlanılmasından ötürü, haklarında bilgi toplanan kimseler zarara uğrama riski ile karşı karşıya bulunmaktadır.

Bu sebeplerle, kişisel verilerin hukuka aykırı olarak kaydedilmesi suç olarak düzenlenmiştir.

Yine gerekçeye göre,

- Suçun konusu kişisel veriler olup, kişisel veriden anlaşılması gereken, gerçek kişiyle ilgili her türlü bilgidir.

- Suç tanımında kişisel verilerin bilgisayar ortamında yahut kâğıt üzerinde kayda alınmasına ilişkin olarak herhangi bir ayrım bulunmamaktadır.

- Suç tanımı ile Avrupa Konseyi bünyesinde hazırlanan ve ülkemizin de 28 Ocak 1981 tarihinde imzalamakla tarafı olduğu “Kişisel Nitelikteki Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” nin ilgili hükümlerine geçerlilik tanınmış bulunmaktadır.

- Suçun oluşabilmesi için, kişisel verilerin hukuka aykırı şekilde kayda alınmaları gerekmektedir. Kişisinin rızası ile yahut kanun hükmünün gereği olarak kişilerle ilgili bilgilerin kayda alınmaları halinde suçun oluşmayacağı muhakkaktır.

- Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine, ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınması suç olarak tanımlanmış ancak suç ve suçluların ortaya çıkarılması amacıyla kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına belli ölçüde izin verilebileceği ve bu takdirde suçun oluşmayacağı ifade edilmiştir.

Madde gerekçesinde her ne kadar Avrupa Konseyi bünyesinde hazırlanan ve ülkemizin de 28 Ocak 1981 tarihinde imzalamakla taraf olduğu “Kişisel Nitelikteki Verilerin Otomatik İsleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” hükümlerine geçerlilik tanınmasının amaçlandığı belirtilmiş olsa da; bu Sözleşme, TCK’nın yürürlüğe girdiği tarihte henüz onaylanmamış ve bu sebeple suç tanımında geçen kavramlar ve hukuka aykırılık unsurunun kapsamını belirlemede tereddütler yaşanmıştır.[27]

Burada 2010 yılı, “kişisel verilerin korunmasını isteme hakkı” nın anayasal bir hak olarak tanındığı yıl olması bakımından önem taşımaktadır.

3.1. Anayasal Hak Olarak “Kişisel Verilerin Korunmasını İsteme Hakkı”

Anayasa’nın ikinci kısmında, kişinin temel hak ve ödevleri düzenlenmekte olup, bu kapsamda “özel hayatın gizliliği” kişinin temel haklarından birini teşkil etmektedir. Bu hak, Anayasa’nın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere daha kolay müdahale edilebilmesine zemin oluşturması ise kişisel veriler konusunda kanuni düzenlemeler yapılmasını zorunlu kılmıştır.[28] 7.5.2010 tarihinde 5982 sayılı Kanun’la yapılan Anayasa değişikliği neticesinde Anayasa’nın 20. maddesine bir üçüncü fıkra eklenerek; Anayasa m. 20/3 şu şekilde düzenlenmiştir:

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Anayasada yer verilen bu düzenleme ile herkese, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı tanınmış olup, bu hakkın, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsayacağı hüküm altına alınmıştır. Yine madde hükmüne göre, kişisel veriler yalnızca kanunda öngörülen hallerde ya da kişinin açık rızasıyla işlenebilir. Anayasada, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörüldüğünden, bu suretle, kişisel verilerin korunması hususunda devlete pozitif bir yükümlülük yüklenmiştir.[29]

Bu yükümlülüğün yerine getirilmesinin gereği olarak 24.3.2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7.4.2016 tarih ve 29677 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe girmiştir. Bu Kanun ile ülkemizde kişisel verilerin işlenmesi ve korunmasına yönelik bütüncül bir yapı oluşturulmaya çalışılmıştır. Bununla birlikte 6698 sayılı Kanun, kişisel verilerin korunması hususunda temel kanun niteliğinde olduğundan, ceza hukuku ve diğer hukuk dallarında yer alan konuya ilişkin düzenlemelerin açıklanması ve yorumlanmasında dikkate alınmalıdır. Bu bakımdan gerek Anayasa’daki düzenleme gerekse 6698 sayılı Kanun hükümleri, TCK’da tanımlanan kişisel verilere karşı suçlarda yer alan kavramların kapsamının belirlenmesinde ve yorumlanmasında; ayrıca bu suçlar açısından ortaya çıkabilecek hukuka uygunluk sebeplerinin tespitinde, büyük öneme sahiptir. [30]

4. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun Yürürlük Tarihi Olan 2016 Tarihinden Sonraki Dönemde Kişisel Verilere İlişkin Suçlar

4.1. Genel Olarak

TCK’nın yürürlüğe girdiği 2005 yılı ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girdiği 2016 yılı arasındaki dönemde temel kavramlar ile ilkeleri tanımlayan bir düzenleme mevcut olmadığından, TCK’da yaptırıma bağlanmış veri işleme eyleminin niteliği, olayda kişisel veri kavramına ilişkin bir durum olup olmadığı, veri işlemenin hangi durumlarda hukuka aykırı olacağı hususlarında pek çok soru gündeme gelmiş ise de bu zaman diliminde kişisel veri kavramının uluslararası sözleşmelerde kabul gören “belirli ya da belirlenebilir bir kişiye ilişkin her türlü bilgi” şeklindeki tanımı, gerek doktrin gerekse yargı kararlarında benimsenmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel veri de dahil olmak üzere temel kavramların tanımlarına ilişkin düzenleme yapılmış ve ayrıca veri işleme ilkelerine yer verilmiştir. Bununla birlikte, Kanun’un 17. maddesi hükmü ile TCK’nın ilgili hükümlerine atıfta bulunulmak suretiyle her iki kanun arasında doğrudan bir ilişki tesis edilmiştir.[31]

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesi “Tanımlar” başlığını taşımakta olup, maddenin d bendinde “kişisel veri” kavramı tanımlanmıştır. Buna göre bu Kanun’un uygulamasında kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi ifade eder.

6698 sayılı Kanun’un “Suçlar ve Kabahatler” başlıklı beşinci bölümünde yer alan “Suçlar” başlığını taşıyan 17. maddesi hükmüne göre ise,

“(1) Kişisel verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümleri uygulanır.

(2) Bu Kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler Türk Ceza Kanunu’nun 138’inci maddesine göre cezalandırılır.”

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 17. maddesinin gerekçesinde, maddeyle kişisel verilere ilişkin suçlar ve cezai yaptırımların, 5237 sayılı Türk Ceza Kanunu’nun konuya ilişkin hükümlerine atıf yapılmak suretiyle düzenlendiği ve kişisel verileri silmeyen veya anonim hale getirmeyenlerin ise Türk Ceza Kanunu’nun 138. maddesi hükmü uyarınca cezalandırılmalarının öngörüldüğü belirtilmektedir.[32]

TCK’nın “Kişilere Karşı Suçlar” başlığını taşıyan ikinci kısmının “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünde,

- 135. maddede “Kişisel verilerin kaydedilmesi”

- 136. maddede “Verileri hukuka aykırı olarak verme veya ele geçirme”

- 138. maddede “Verileri yok etmeme”

suçları düzenlenmiş olup,

- 137. maddede “Nitelikli haller” ve

- 140. maddede ise “Tüzel kişiler hakkında güvenlik tedbiri uygulanması” hükümlerine yer verilmiştir.

TCK’nın 139. maddesinde, dokuzuncu bölümde yer alan suçlara ilişkin olarak şikâyet hususunda bir düzenleme yapılmış ise de “kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme” suçları, takibi şikâyete bağlı olmayan suçlar olarak düzenlenmiştir.

Bununla birlikte belirtmek gerekir ki TCK’da, kişisel verilerin korunmasına ilişkin olarak, 135 ila 140. maddeler arasında yer alan düzenlemelerin dışında da çeşitli suçlar ile kişisel verilere dolaylı koruma sağlanmaktadır. TCK’nın 132. maddesinde düzenlenen “haberleşmenin gizliliğini ihlal”, 133. maddesinde hükme bağlanan “kişiler arası konuşmaların dinlenmesi ve kayda alınması” ile 134. maddede düzenlenen “özel hayatın gizliliğini ihlal” suçları, 239. maddede yer alan “ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması”, 258. maddede hükme bağlanan “göreve ilişkin sırrın açıklanması”; ayrıca TCK’nın “Bilişim Suçları” başlıklı üçüncü kısmının onuncu bölümünde düzenlenen 243. maddedeki “bilişim sistemine girme, 244. maddedeki “sistemi engelleme, bozma, verileri yok etme veya değiştirme” suçları bu niteliktedir.[33]

Türk Ceza Kanunu’nda düzenlenen ve kişisel verilere dolaylı olarak koruma sağlayan suçları bu şekilde belirttikten sonra, çalışmamız kapsamında Türk Ceza Kanunu’nun suç tiplerinin düzenlendiği ikinci kitabının, “kişilere karşı suçlar” başlıklı ikinci kısmının, “özel hayata ve hayatın gizli alanına karşı suçlar” başlıklı dokuzuncu bölümünde yer alan ve 135. maddede düzenlenen “Kişisel verilerin kaydedilmesi” suçu, 136. maddede yer alan “Verileri hukuka aykırı olarak verme veya ele geçirme” ile 138. maddede düzenlenen “Verileri yok etmeme” suçları aşağıda ayrıntılı olarak ele alınmıştır.

4.2. Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)

4.2.1. Genel Olarak

Türk Ceza Kanunu’nun 135. maddesi hükmünde, kişisel verilerin hukuka aykırı olarak kaydedilmesi eylemi suç olarak düzenlenmiş bulunmaktadır.

Buna göre, TCK m. 135 hükmü:

“(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” şeklindedir.

Maddenin ikinci fıkrasında, suçun konusunu oluşturan kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumları ya da sendikal bağlantılarına ilişkin bulunması halinde suçun daha ağır cezayı gerektiren nitelikli halinin gerçekleştiği kanun koyucu tarafından kabul edilmiştir. Belirtmek gerekir ki maddenin 6698 sayılı Kanun’un 30. maddesi ile değişiklik yapılmadan önceki halinde, bu nitelikli hal bulunmamaktaydı. Maddenin önceki hali, ikinci fıkrada sayılan bilgilerin, kişisel veri olarak kaydedilmesi halinde birinci fıkra hükmünün uygulanacağını öngörmekteydi; değişiklikle beraber “kişisel veri olarak kaydedilmesi” ibaresi kaldırılarak, “kişisel verinin, kişilerin bu fıkrada sayılan bilgilerine ilişkin olması halinde, ilk fıkra uyarınca verilecek cezanın yarı oranında artırılacağı hükme bağlanmıştır.[34]

4.2.2. Suçla Korunan Hukuki Değer

Türk Ceza Kanunu’nda hükme bağlanan kişisel verilere ilişkin suçlar, Anayasa’da yer alan düzenlemeye paralel şekilde, Kanun’un ‘Kişilere Karşı Suçlar” kısmında ve “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı bölümünde düzenlenmiş olup, bu düzenlemeler, temel olarak verileri değil, bu verilerin ilişkili olduğu kişileri korumayı amaçlamaktadır.[35] Bu bağlamda, suçla korunan hukuki değerin, kişisel verilerin ilişkili olduğu kişinin özel hayatının gizliliği ve bununla birlikte; Anayasa kapsamında kişisel verilerin korunması hakkı, özel hayatın gizliliği içerisinde ve fakat ayrı bir hak olarak kabul edildiğinden, aynı zamanda suçla korunan hukuki değerin, kişisel verilerin korunması hakkı olduğu kabul edilmelidir.[36]

4.2.3. Suçun Faili, Mağduru ve Konusu

TCK’nın 135. maddesinde, suçun faili için “kişisel verileri kaydeden kimse” ibaresi kullanıldığı için kişisel verilerin kaydedilmesi suçunun faili herhangi bir kimse olabilir. Bu yönüyle suç, fail açısından bir özellik arz etmez.[37] TCK’nın 137. maddesinde kişisel verilerin kaydedilmesi suçunun,

*Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,

*Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek cezanın yarı oranında artırılacağı hükme bağlanmıştır.

Bununla birlikte tüzel kişiler suçun faili olamazlar, ancak TCK’nın 140. maddesi hükmüne göre, bu suçun bir özel hukuk tüzel kişisinin faaliyeti çerçevesinde işlenmesi halinde ilgili tüzel kişi hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”[38]

Kişisel verilerin kaydedilmesi suçunun mağduru bakımından da maddede ayrıca bir özellik belirtilmemiş olduğundan herhangi bir gerçek kişi suçun mağduru olabilir. [39] Doktrinde tüzel kişilerin ya da tüzel kişiliği olmayan kişi topluluklarının bu suçun mağduru olup olamayacakları hususunda farklı görüşler bulunmakta ise de hem 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan, kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklindeki tanımı hem de TCK’nın 135. maddesinin gerekçesinde kişisel verinin “gerçek kişiyle ilgili her türlü bilgi” tanımı karşısında suçun mağdurunun, ancak kişisel verinin ilgili olduğu gerçek kişi veya kişiler olabileceği[40] kanaatindeyiz.

Kişisel verilerin kaydedilmesi suçunun konusunu, kişisel veriler [41]oluşturmaktadır. Kişisel veri, ulusal ve uluslararası pek çok hukuki düzenlemede belirtildiği üzere, belirli ya da belirlenebilir nitelikteki kişiye ilişkin bulunan her türlü bilgidir. Buna göre kişisel veriden söz edilebilmesi için veri bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.[42] Burada belirtmek gerekir ki suçun konusunu oluşturan bilgilerin, mutlaka sır niteliğinde olması gerekmez.[43]

Anayasa Mahkemesi’nin kararlarında belirtildiği üzere, bireyin adı, soyadı, doğum tarihi ve doğum yeri, bununla birlikte; telefon numarası, motorlu taşıtının plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler “kişisel veri” olarak kabul edilmektedir.[44] AİHM kararlarında da kişilere ait görüntü, GPS verileri, fotoğraf, parmak izi, DNA profili tıbbi veriler, hücre örnekleri, ev adresi ve yaş, doğum tarihi ve fiziksel özellikler, "kişisel veri" kapsamında değerlendirilmektedir.[45]

TCK m. 135/2’de özel nitelikli kişisel veriler sayılmış ve suçun konusunu bu fıkrada sayılan bilgilerin oluşturması halinde failin daha ağır ceza ile cezalandırılacağı hüküm altına alınmıştır. Burada belirtmek gerekir ki TCK m. 135/2’de yer alan özel nitelikli kişisel veriler ile TCK hükümlerinden sonraki bir tarihte yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde sayılan özel nitelikteki kişisel veriler arasında farklılık bulunmaktadır.[46]

TCK m. 135/2. fıkrası hükmüne göre “Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”

6698 sayılı Kanun m. 6 hükmüne göre ise “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veridir.”

Dolayısıyla, 6698 sayılı Kanun kapsamında özel nitelikli kişisel veri olarak sayılan ve nitelikli işleme koşullarına tabi tutulan kişinin etnik kökeni, mezhebi, din ve mezhebi dışındaki diğer inançları, kılık kıyafeti, dernek ve vakıf üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili mahkumiyeti, biyometrik ve genetik verileri, TCK m. 135/2’de düzenlenmediğinden; bu bilgilerin hukuka aykırı olarak kaydedilmesi halinde, fiilin TCK m. 135 f. 1 kapsamında cezalandırılması mümkün olabilecektir.[47] Bu durumda ağırlaştırıcı nedenin uygulanması söz konusu olmayacaktır.

4.2.4. Fiil

TCK’nın 135. maddesinde düzenlenen suçun oluşabilmesi için kişisel verilerin hukuka aykırı olarak kaydedilmesi gerekmektedir. Kaydetme fiili, kişiye ait bilgilerin kâğıt üzerine yazılması şeklinde olabileceği gibi, dijital ortama kaydedilmesi şeklinde de olabilir.[48] Bu itibarla, kişisel verinin kaydedildiği yerin, suçun oluşması bakımından bir önemi bulunmamaktadır. Ancak kaydetme fiilinin otomatik olmayan yollarla gerçekleşmesi halinde 6698 sayılı Kişisel Verilerin Korunması Kanun’un kaydetme fiilini de kapsamına alan “kişisel verilerin işlenmesi” kavramı dikkate alınmalıdır. 6698 sayılı Kanun’un 3/1-e bendi uyarınca kişisel verilerin işlenmesi,

“kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Bu çerçevede, kişisel verilerin otomatik olmayan yollarla kaydedilmesinin suç teşkil edebilmesi için, kaydedilen yer bir veri kayıt sisteminin parçası olmalıdır. Bununla birlikte, belirtmek gerekir ki; salt kişisel bilgilerin görülmesinin, bulunduğu yerden okunmasının, kişinin zihninde tutulmasının, kaydetme fiili olarak kabul edilmesi mümkün değildir.[49]

Kişisel verilerin kaydedilmesi fiili, kişisel verilerin işlenmesi kavramına dahil olduğundan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan, kişisel verilerin işlenmesine ilişkin bütün düzenlemeler, kişisel verilerin kaydedilmesi bakımından da geçerlidir. Bu kapsamda kişisel veriler kaydedilirken, 6698 sayılı Kanun’un 4. maddesinde düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulması, yine Kanun’un 5. maddesi kapsamında kişisel verilerin kaydedilebilmesi için Kanun’da yer alan istisnalar dışında ilgili kişinin açık rızasının bulunması gerektiğine ilişkin düzenleme, 6. maddede düzenlenen özel nitelikli kişisel verilere ilişkin işleme şartları, 6698 sayılı Kanun’un istisnaları düzenleyen 28. maddesi hükmü dikkate alınmalıdır.[50]

Kaydetme fiili bir icrai hareket olduğundan, kişisel verilerin kaydedilmesi suçu ihmali hareketle işlenemeyen bir suçtur. [51] Aynı zamanda suçun oluşması için yalnızca verilerin hukuka aykırı olarak kaydedilmesi yeterlidir. Dolayısıyla suçun oluşumu için söz konusu kişisel verilerin yayımlanması yahut başkasının kullanımına sunulması gerekmez. Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu, soyut tehlike suçu olduğundan; suçun gerçekleşmesi bakımından ayrıca bir zararın meydana gelmiş olması da aranmaz.[52]

4.2.5. Manevi Unsur

Kişisel verilerin kaydedilmesi suçu, yalnızca kasten işlenebilen bir suçtur. Suçun taksirle işlenebileceğine ilişkin kanunda özel bir düzenlenme bulunmadığından bu suçun taksirle işlenmesi mümkün değildir.[53]

Kast, suçun kanuni tanımındaki unsurların bilerek ve istenerek gerçekleştirilmesini ifade eder. Bu suç bakımından değerlendirildiğinde, suçun oluşabilmesi için fail, kişisel verileri bilerek ve isteyerek kaydetmelidir. Bununla birlikte TCK m. 135’in metninde ilk fıkrada ve ikinci fıkrada, verilerin “hukuka aykırı olarak kaydedilmesi” ifadesi yer almakta; bundan anlaşılması gerekenin ne olduğu konusunda doktrinde fikir birliği bulunmamaktadır. Bir görüşe göre, bu ifade, suçun tipikliğine ilişkin bir unsur olmayıp; kişisel verilerin kaydedilmesine ilişkin olarak bir hukuka uygunluk sebebinin bulunabileceği konusunda hâkimi uyarma işlevi gören bir ifadedir.[54] Kanımızca isabetli olan diğer görüşe göre ise kanun koyucu “hukuka aykırı olarak” demek suretiyle, burada suç bakımından özel bir hukuka aykırılık saiki aramaktadır. Dolayısıyla failin, suçu işleyebilmek için verileri kaydetmesinin hukuka aykırı olduğunu bilmesine rağmen, verileri kaydetmesi gerekmektedir.[55]

4.2.6. Hukuka Aykırılık

TCK’nın 135. maddesinin ilk fıkrasında, “hukuka aykırı olarak kişisel verilerin kaydedilmesi”, ikinci fırkasında ise kişilerin “hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verilerinin kaydedilmesi”, şeklinde düzenleme yapılmak suretiyle; kanun koyucu tarafından, failde özel bir hukuka aykırılık bilinci aranmıştır. Bu bağlamda, fail, suçu işlerken suçun kanuna aykırı olduğunu da bilmelidir. Dolayısıyla bu durumda, suçun ancak doğrudan kastla işlenmesi mümkün olabilir.[56]

Kişisel verileri kaydetme suçunun oluşabilmesi için, kaydetme fiilinin hukuka aykırı olması gerekmektedir. Hukuka uygunluk sebeplerinin bulunması halinde, kişisel verilerin kaydedilmesi fiili hukuken meşru hale gelir ve kaydetme fiili suç teşkil etmez. Türk Ceza Kanunu’nda yer alan hukuka uygunluk sebepleri, TCK m. 24’te düzenlenen Kanun’un hükmü[57] ve amirin emri, TCK m. 25’te düzenlenen meşru savunma ve zorunluluk hali ile m. 26’da yer verilen hakkın kullanılması ve ilgilinin rızasıdır. Bununla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin hukuka uygun olarak işlenebileceği durumlar düzenlenmiş bulunmaktadır.[58]

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin ilk fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmış; devamla maddenin ikinci fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hallere yer verilmiştir. Buna göre:

- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde,

- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde,

- Kanunlarda açıkça öngörülmesi halinde,

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda,

- İlgili kişi, kişisel verilerini kendisi alenileştirmiş ise

- Bir hakkın tesisi, kullanılması veya korunması için veri işleme zorunlu ise

- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde, ilgili kişinin açık rızası aranmaksızın, kişisel verileri işlenebilir.

Yine 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Özel nitelikli verilerin işlenme şartları” başlığını taşıyan 6. maddesinin ilk fıkrasında, özel nitelikli kişisel veriler sayıldıktan sonra; ikinci fıkrada bu verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu hükme bağlanmıştır. Aynı maddenin 3. fıkrasında ise ilk fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, düzenlenmiştir.

Bununla birlikte, 6698 sayılı Kanun’un 6. maddesinin son fıkrasında, özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının zorunlu olduğuna yer verilmiştir. Dolayısıyla 6698 sayılı Kanun kapsamında kişisel verilerin işlenmesine izin verilen hallerde gerçekleştirilen kaydetme fiili, hukuka uygun olacak ve TCK m. 135’te tanımlanan kişisel verilerin kaydedilmesi suçu oluşmayacaktır.

Burada zikredilmesi gereken bir diğer madde 6698 sayılı Kanun’un 28. maddesinde düzenlenen ve Kişisel Verilerin Korunması Kanunu’nun kapsamı dışında tutulan hallerdir. Bu hallerde kişisel verilerin işlenmesi ve işlenmesi kavramına dahil olan kaydedilmesi fiilleri hukuka aykırılık teşkil etmeyecektir. Buna göre;

- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi halinde,

- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi halinde,

- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi halinde,

- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde,

- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi halinde,

6698 sayılı Kişisel Verilerin Korunması Kanunu uygulanmaz.

Dolayısıyla bu hallerde, yetkili kişilerce kişisel verilerin kaydedilmesi, TCK m. 135’te düzenlenen kişisel verilerin kaydedilmesi suçunu oluşturmaz.

Yine 6698 sayılı Kanun’un m. 28 f. 2 hükmüne göre de Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10., zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. maddelerinin uygulanmayacağı haller sayılmıştır. Buna göre:

*Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

*İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

*Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

*Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde de kişisel verilerin kaydedilmesi, hukuka uygun olduğundan; kişisel verilerin kaydedilmesi suçunu oluşturmayacaktır.[59]

6698 sayılı Kanun’un haricinde başka kanunlarda da kişisel verilerin toplanmasına, elde edilmesine ve kaydedilmesine ilişkin hükümler bulunmaktadır. Bu hallerin gerçekleşmesi halinde de suç oluşmayacaktır. 5271 sayılı Ceza Muhakemesi Kanunu’nun çeşitli hükümlerinde düzenlenen ve suça ilişkin delil elde etmek maksadıyla gerçekleştirilen işlemler bu niteliktedir. Bu kapsamda şüpheli veya sanığın fotoğrafı, parmak ve avuç içi izi, ses ve görüntülerinin kayda alınması (CMK m. 81), şüpheli veya sanığın iletişiminin tespiti (CMK m. 135) kanunun izin verdiği haller arasında olduğundan; bu kişisel verilerin kaydedilmesi halinde, suç oluşmaz. Keza Adli Sicil Kanunu’nun 2. maddesine uyarınca adli sicil memurunun, adli sicil kayıtlarını Merkezi Adli Sicil Sistemi’ne kaydetmesi halinde, bu eylemi suç oluşturmayacaktır. [60]

4.2.7. Suçun Özel Görünüş Şekilleri

4.2.7.1. Teşebbüs

Kişisel verilerin kaydedilmesi suçunun teşebbüse elverişli olup olmadığı konusu doktrinde tartışmalı[61] olmakla beraber, kanımızca suçun teşebbüs aşamasında kalması, ancak icra hareketlerinin bölünebilir nitelikte olması halinde söz konusu olabilir. Bu bağlamda, örneğin ulaşılan kişisel verileri kopyalayarak kendi bilgisayarına kaydederken herhangi bir sebeple bu kayıt işlemini kaydedemeyen kişinin fiili, teşebbüs aşamasında kalmış olacaktır. Zira bu takdirde kişi, kişisel verileri kopyalamak suretiyle icra hareketine başlamış olacak, ancak verilerin bilgisayara kaydedilmesi esnasında, iradesi dışında kayıt işlemini gerçekleştiremediğinden icra hareketleri tamamlanamamış ve suç oluşmamış olacaktır.[62]

4.2.7.2. İştirak

Kişisel verilerin kaydedilmesi suçu, iştirak bakımından bir özellik arz etmemekte ve iştirakin her şekliyle bu suça katılma mümkün bulunmaktadır. TCK m. 137 gereğince, suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle müşterek fail olarak işlenmesi halinde ise nitelikli hal, sadece kamu görevlisi bakımından gerçekleşir; kamu görevlisi olmayan kişi, TCK’nın 135. maddesinin faili olarak cezalandırılır.[63] Aynı şekilde TCK m. 137 kapsamında suçun, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi haline iştirak edilmesi durumunda da bir meslek ve sanat sahibi olmayan kişi veya kişiler, TCK’nın 135. maddesine göre cezalandırılırlar.[64]

4.2.7.3. İçtima

Kişisel verilerin kaydedilmesi suçu, aynı kişiye karşı değişik zamanlarda birden fazla defa işlenir ise TCK’nın 43. maddesi hükmünde düzenlenen zincirleme suç hükümleri uygulanacak; tek cezaya hükmedilerek bu ceza artırılacaktır. Tek bir fiille, birden çok kişiye ait kişisel bilgilerin kaydedilmesi halinde de TCK m. 43 f. 2 gereğince, faile yine tek ceza verilecek ve bu ceza artırılacaktır.[65]

Burada değinilmesi gereken bir diğer konu ise kişisel veri niteliğinde olduğunda tartışma bulunmayan, kişiye ait görüntü ve seslerin kaydedilmesi halinde hangi suçun oluşacağıdır. Zira TCK’nın Dokuzuncu Bölümünde yer alan suçlar arasındaki ayrımı belirlemek, kimi durumlarda güçlük arz edebilir.[66] TCK’nın 134. maddesinde, özel hayatın gizliliğini ihlal suçu, özel olarak düzenlenmiş bulunmaktadır. Madde hükmüne göre gizliliğin, görüntü veya seslerin kayda alınması suretiyle ihlali halinde verilecek ceza bir kat artırılır.

Bu düzenlemelerden hareketle, şayet kaydedilen görüntü ve sesler kişinin özel hayat alanına ilişkin değilse; bu verilerin hukuka aykırı olarak kaydı TCK m. 135’te tanımlanan suçu oluşturacaktır. Ancak görüntü ve sesler, kişinin özel hayat alanına ilişkin ise özel hayatın gizliliğini ihlal eden görüntü ve seslere ilişkin verilerin kaydedilmesini özel olarak yaptırıma bağlayan TCK m.134/1’de tanımlanan suç oluşacaktır.[67]

Yargıtay 12. Ceza Dairesi’nin 11.09.2012 tarihli, 2012/17703 E. ve 2012/18222 K. sayılı kararına konu olan olayda sanık, mağdurenin bilgisi dahilinde çıplak vaziyette görüntü ve fotoğraflarını kaydedip, elde ettiği kayıtlarla oluşturduğu CD'leri, mağdurenin rızası olmaksızın, değişik zamanlarda farklı kurumlara göndermiştir. Yargıtay 12. Ceza Dairesi bahse konu olaya ilişkin kararında şu belirlemelere yer vermiştir:

“5237 sayılı TCK'nın 135. maddesinde düzenlenen Kişisel verilerin kaydedilmesi suçunun oluşabilmesi için belirli veya belirlenebilir bir kişiye ait her türlü bilginin, hukuka aykırı olarak kaydedilmesi gerekmekte olup, suçun maddi konusunu oluşturan kişisel veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerektiği; bir özel hayat görüntüsü ya da sesinin, kişisel veri olduğunda kuşku bulunmamakta ise de, kişinin özel hayatına ilişkin görüntüsü ya da sesinin, bilgisi dışında, resim çekme veya kaydetme özelliğine sahip aletle belli bir elektronik, dijital, manyetik yere sabitlenmesi eyleminin, 5237 sayılı TCK'nın 134/1. maddesinin 2. cümlesinde tanımlanan özel hayatın gizliliğini ihlal suçu kapsamında değerlendirilmesi gerektiği, kişinin özel hayatına ilişkin görüntü, fotoğraf ya da sesin, 5237 sayılı TCK'nın 135. maddesi kapsamında kişisel veri olarak kabul edilemeyeceği, iddiaya konu olayda, mağdurenin çıplak vaziyetteki görüntü ve fotoğraflarının kaydedilmesinden ibaret eylemin, Kişisel verilerin kaydedilmesi suçunu oluşturmayacağı, çekimin, mağdurenin bilgisi ve rızası kapsamında gerçekleşmesi nedeniyle, özel hayatın gizliliğini ihlal suçunun da oluşmadığı anlaşıldığından …”[68] kişisel verilerin kaydedilmesi suçundan verilen beraat hükmünün onanmasına karar verilmiştir.

4.3. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK m. 136)

4.3.1. Genel Olarak

Verileri hukuka aykırı olarak verme veya ele geçirme suçu, 5237 sayılı Türk Ceza Kanunu’nun “Özel Hükümler” başlıklı ikinci kitabının, “Kişilere Karşı Suçlar” başlıklı ikinci kısmının, ‘Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar’ başlığını taşıyan dokuzuncu bölümünde, 136. maddede düzenlenmiştir. Maddenin başlığı “Verileri hukuka aykırı olarak verme veya ele geçirme” olup, hüküm:

Madde 136 – “(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” şeklindedir.

Belirtmek gerekir ki madde kenar başlığında “verileri” ibaresi yer almakta, madde metninde ise “kişisel verileri” hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme fiileri suç olarak düzenlenmektedir. Bununla birlikte, “yayma” fiili, madde metni içerisinde düzenlenmiş olmasına rağmen, madde başlığında yer almamaktadır.[69]

Madde gerekçesine göre, bu madde hükmü ile hukuka uygun olarak kaydedilmiş olsun ya da olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek fiilleri, bağımsız bir suç olarak tanımlanmıştır. Dolayısıyla madde gerekçesinden hareketle verme, yayma ya da ele geçirme eylemleri bakımından söz konusu olan verilerin, hukuka uygun veya hukuka aykırı olarak kaydedilmiş ya da ele geçirilmiş olmasının, suçun oluşması açısından bir önemi bulunmamaktadır.[70]

TCK m. 136’da düzenlenen suç ile amaçlanan, kişisel verilerin hukuka aykırı olarak yetkisiz üçüncü kişilere aktarılmasını veya yetkisiz üçüncü kişilerce ele geçirilmesini önlemektir. Zira kişisel verilerin yalnızca ilk aşamada korunması değil, bu korumanın sonraki aşamalarda da devam etmesi önem taşımaktadır. [71]

4.3.2. Suçla Korunan Hukuki Değer

Kanun koyucunun, somut norm ile korumak istediği değerin belirlenebilmesi bakımından, suçun kanunda düzenlendiği yer önem taşımaktadır. TCK m. 136’da düzenlenen bu suç, Kanun’da “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlığı altında düzenlenmiştir. Bu bağlamda, suç ile korunan hukuki değerin, kaynağını Anayasa’nın 20. maddesinde bulan özel hayatın gizliliği ve bununla birlikte kişisel verilerin korunması hakkı olduğu belirtilebilir. Zira 2010 yılındaki Anayasa değişikliği ile beraber kişisel verilerin korunmasını isteme hakkı Anayasa’da özel bir hak olarak koruma altına alınmıştır. Bu kapsamda, TCK m. 136 bakımından korunan iki hukuki değer mevcut olup, bunlar; kişisel verilerin korunması hakkı ve özel hayatın gizliliğidir.[72]

4.3.3. Suçun Faili, Mağduru ve Konusu

TCK m. 136’da düzenlenen suçun faili, herkes olabilir.[73] TCK’nın 136. maddesinde, suçun faili için “kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi” ifadesi kullanıldığından, suçun failinin herhangi bir kimse olması mümkündür. Bu yönüyle suç, fail açısından bir özellik arz etmez.[74] TCK’nın 137. maddesi hükmünde ise suçun nitelikli hali düzenlenmiş olup buna göre, suçun

*Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle ve

*Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek cezanın yarı oranında artırılacağı hükme bağlanmıştır.

Burada “kamu görevlisi” ifadesinden anlaşılması gereken, TCK m. 6/1- c bendi uyarınca, “kamusal faaliyetin yürütülmesine atama veya seçilme yoluyla ya da herhangi bir surette sürekli, süreli veya geçici olarak katılan kişi”dir.

TCK m. 137 f. 2’de ise her ne kadar “belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak” ibaresi kullanılmışsa da buradan, failin hem mesleğinden hem de sanatından yararlanmış olmasının aranacağı şeklinde bir anlam çıkarılmamalıdır. Aradaki “ve” bağlacını veya bağlacı olarak anlamak ve bunlardan yalnızca birinin sağladığı kolaylığın kullanılmış olmasının nitelikli hali oluşturacağını kabul etmek gerekir.[75]

Bununla birlikte tüzel kişiler, suçun faili olamazlar; ancak TCK’nın 140. maddesi hükmüne göre, bu suçun bir özel hukuk tüzel kişisinin faaliyeti çerçevesinde işlenmesi halinde ilgili tüzel kişi hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

TCK m. 136’da düzenlenen suçun mağduru bakımından da maddede ayrıca bir özellik belirtilmemiş olduğundan, suçtan doğrudan zarar gören, kişisel verinin ilgili olduğu herhangi bir gerçek kişi, suçun mağduru olabilir. Tüzel kişiler ise suçun mağduru olamazlar, ancak suçtan zarar gören olabilirler.[76]

Kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçunun maddi konusunu, kişisel veriler oluşturmaktadır.[77] Kişisel veri, ulusal ve uluslararası pek çok hukuki düzenlemede tanımlandığı üzere ve 6698 sayılı Kanun’daki ifadesiyle kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

4.3.4. Fiil

TCK’nın 136. maddesinde düzenlenen suç, seçimlik hareketli bir suç olup,[78] seçimlik hareketler, kişisel verilerin başkasına verilmesi, kişisel verilerin yayılması ve kişisel verilerin ele geçirilmesi olarak belirlenmiştir. Fail tarafından TCK m. 136’da yer verilen seçimlik hareketlerden yalnızca birinin gerçekleştirilmesi, suçun oluşması bakımından yeterli olup, madde hükmünde belirtilen hareketlerin tamamının gerçekleştirilmesine gerek bulunmamaktadır. Şayet belirtilen hareketlerin birden fazlası, birlikte yapılmış ise bu takdirde failin tek bir suç işlediği kabul edilecek ancak bu durum, TCK’nın 61. maddesi gereğince cezanın tayininde dikkate alınacaktır.[79]

TCK m. 136’da öngörülen seçimlik hareketlerden verileri hukuka aykırı olarak bir başkasını verme fiili, veriyi bir kimseye ulaştırmak, iletmek anlamına gelip, yayma düzeyine varmayan, etki alanı daha sınırlı bir fiildir.[80] Kişisel verilerin başkasına verilmesi, yazılı verilerin elden veya posta yoluyla verilmesi ya da internet üzerinden elektronik posta ile gönderilerek verilmesi şeklinde çeşitli yöntemlerle gerçekleştirilebilir. TCK m. 136’da kişisel verilerin “bir başkasına verilmesi” fiili düzenlenmektedir. Bu ifadeden hareketle, failin, kişisel verileri suçun mağduru dışında bir gerçek veya tüzel kişiye vermesi halinde suç oluşmuş olacaktır. Bu anlamda kanunda geçen “bir başkasına” ifadesi, gerçek kişilerle birlikte tüzel kişileri de kapsamına almaktadır. [81] Konuya ilişkin olarak Yargıtay 12. Ceza Dairesi’nin 29.03.2017 tarihli, 2015/13758 E. ve 2017/2514 K. sayılı kararında[82] yer alan karşı oy gerekçesinde şu ifadeler bulunmaktadır:

“TCK'nın 136. maddesindeki “verileri hukuka aykırı olarak verme veya ele geçirme” suçu, seçimlik hareketli bir suç olarak nitelenmiştir. Hukuka aykırı olarak kişisel verilerin başkasına verilmesi, kişisel verilerin yayılması ve kişisel verilerin ele geçirilmesi şeklindeki seçimlik hareketlerinden birinin gerçekleştirilmesi ile suç işlenmiş olacaktır. “Kişisel verileri bir başkasına verme” seçimlik hareketinde, maddede geçen “başkası” gerçek bir kişi olabileceği gibi tüzel kişi de olabilecek, veriler bu kişilere elden, posta ya da internet üzerinden elektronik posta ile vb. şekillerde verilebilecektir. Türk Dil Kurumu Büyük Türkçe Sözlüğünde “vermek”; “üzerinde, elinde veya yakınında olan bir şeyi birisine eriştirmek, iletmek, düşünce veya bilgi anlatan şeyleri başkalarına iletmek, bildirmek” şeklinde açıklanmıştır. Bu seçimlik harekette verilerin hukuka uygun ya da aykırı yöntemle elde edilmiş olmasının önemi bulunmamakta olup, önemli olan husus verme eyleminin hukuka aykırı olmasıdır.

Bu açıklamalar ışığında uyuşmazlık konusu değerlendirildiğinde; Türkiye Görme Engelliler Derneği Mersin Şubesi üyesi olan katılanın, kişisel veri niteliğinde bulunan kimlik bilgilerinin, katılan rızası dışında başkalarınca öğrenilmesine neden olacak şekilde bir siyasal partiye verilerek bilgisi dışında üye yapılması hususları birlikte değerlendirildiğinde, sanıkların eylemi TCK'nın 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak yayma suçunu oluşturduğunun gözetilmemesi ...”

TCK m. 136’da düzenlenen ve suç oluşturan bir diğer fiil ise kişisel verilerin hukuka aykırı olarak yayılmasıdır. Kişisel verileri yaymak, kişisel verilerin birden çok kişi tarafından öğrenilmesini sağlamaktır.[83] Ancak burada önemle vurgulamak gerekir ki yayma halinde dahi, söz konusu kişisel verilerin fiilen herkes tarafından öğrenilmesi suçun oluşması bakımından gerekli olmayıp; kişisel verilerin yalnızca bir kişiye bile ulaştırılması, suçun oluşması için yeterlidir.[84] Yayma fiili, kişisel verileri bir web sitesinde yayımlamak, akıllı telefonlardaki mesajlaşma uygulamalarının gruplarına göndermek, sosyal medya üzerinden durum güncellemesi olarak paylaşmak, birden çok kişiye e-posta göndermek şeklinde gerçekleştirilebilir.[85]

TCK m. 136’da düzenlenen suç tipinin üçüncü seçimlik hareketi, kişisel verilerin ele geçirilmesi fiilidir. Ele geçirme fiilinin, kişisel verilerin üzerinde yazılı olduğu belgelerin ya da kayıtlı olduğu CD ve DVD’nin alınması suretiyle yahut kişisel verilerin kayıtlı olduğu bilişim sistemine girilerek, buradaki verilerin bir depolama cihazına kaydedilmesi ve bu cihazın alınması suretiyle gerçekleştirilmesi mümkündür.[86]

Yargıtay 12. Ceza Dairesi’nin 30.10.2013 tarih, 2013/32137 E. ve 23865 K. sayılı kararında

“Sanığın olay tarihinde, S. İlçe Jandarma Komutanlığı bünyesinde uzman jandarma çavuş olarak görev yaptığı, aralarındaki anlaşmazlıklar nedeniyle ayrı yaşadığı eşi ile ilişkisi olduğunu düşündüğü katılanlar K. ve C. ile bu konuda görüşmek istediği, bu kişilerin adreslerini bilmediği, ancak nüfus müdürlüğünden temin edebileceğini düşündüğü, katılanlara ait adresleri tespit etmek amacıyla İlçe nüfus müdürü olarak görev yapan tanık M.’yi telefonla arayarak bu iki şahsın nüfus kayıt örneklerini istediği, nüfus müdürünün de, S. İlçe Jandarma Komutanlığı’nın resmi faksına yolladığı, üzerine de “A. Uz. Çv. Dikkatine” ibaresini yazdığı, sanığın katılanların adreslerini temin ettikten sonra, katılanlara ulaşarak onları tenha bir yere götürdüğü, burada aralarında başka bir soruşturma ve kamu davasına konu olan şantaj ve silahlı tehdit olaylarının yaşandığı, sanığın bu şekilde görevinin verdiği yetkiyi kötüye kullanarak, katılanlara ait kişisel veri niteliğindeki nüfus kayıtlarını ele geçirdiğinin anlaşılması karşısında atılı suçun yasal unsurlarının oluştuğunun kabulünde bir isabetsizlik görülmediği”[87]

TCK’nın 136. maddesi hükmünde düzenlenen kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu, icrai hareketle işlenebilen bir suçtur.[88] Ancak belirtmek gerekir ki yayma fiilinin bazı durumlarda ihmali hareketle işlenmesi de mümkün olabilir. Örneğin, bir kişi önce fotoğrafının web sitesinde yayımlanmasına rıza gösterir; daha sonra bu fotoğrafının kaldırılmasını isterse fotoğrafın yayımlanmasının sonlandırılmaması halinde, yayma suçun ihmali hareketle işlenmesi mümkün olabilir.[89]

TCK m.136’da düzenlenen suç, kişisel verileri bir başka kişiye vermekle, yaymakla veya ele geçirmekle tamamlanmış olur.[90] Fiilin gerçekleştirilmesinden sonra belli bir sürenin geçmesi yahut verilerin belli bir süre saklanması şart değildir. Bu bakımdan ani suç söz konusudur. Ancak yayma fiiline ilişkin olarak yukarıdaki örnek kapsamında ilgili kişinin sonradan rızasını kaldırması halinde suç, mütemadi olarak işlenebilir hale gelebilir.[91]

Bu suçun oluşabilmesi için failin gerçekleştirdiği hareketin neticesinde bir zararın ortaya çıkması aranmamaktadır. Dolayısıyla suç, bir soyut tehlike suçudur.[92]

4.3.5. Manevi Unsur

TCK m. 136’da düzenlenen verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu, kasten işlenebilen bir suçtur.[93] Kanun metninde özel bir kast aranmadığı ve suçun unsuru teşkil edecek bir saik belirtilmediğinden, suç genel kastla işlenebilir. Kanun’ da suçun taksirle işlenebileceğine ilişkin bir düzenleme yapılmadığından suçun taksirle işlenmesi mümkün değildir. Bu suç bakımından failin kastından söz edilebilmesi için, failin, bir kimsenin kişisel verilerini, hukuka aykırı olarak bir başkasına verdiğini, yaydığını veya ele geçirdiğini bilmesi ve istemesi gerekmektedir. Kanaatimizce, madde metninde “hukuka aykırı olarak” ifadesi ayrıca ve açıkça belirtildiğinden; suçun oluşması için, failde özel bir hukuka aykırılık bilinci aranmaktadır.[94]

Yargıtay 12. Ceza Dairesi’nin, 11.09.2012 tarih, 2012/16909 E. ve 2012/18226 K. sayılı kararında,

“Hemşire olarak çalışan sanığın, vekili marifetiyle, aleyhine açılan davaya sunduğu 06.06.2006 tarihli cevap dilekçesinde, davacı eşinin iddialarının soyut olduğunu, eşiyle olan geçimsizliklerinin asıl sebebinin, oğluna aşırı düşkün olan kayınvalidesinin, oğlunun kendisiyle evli kalmasını kabullenemeyişi olup, bu nedenle intihara teşebbüs ettiğini belirterek, daha önce bir örneğini temin etmiş olduğu, katılan hakkında düzenlenen konsültasyon kağıdı ve epikriz raporu fotokopilerini iddialarına ispat olarak cevap dilekçesine ekli olarak vermesi şeklinde gelişen eyleminde, kişisel veri niteliğindeki katılanın intihar teşebbüsüyle ilgili belge örneklerinin, sanık tarafından hukuka aykırı olarak ele geçirilmediği ve sanığın suç işleme kastının bulunmadığı anlaşılmakla, yapılan yargılama sonucunda, sanığa yüklenen suçun yasal unsurlarının oluşmadığı gerekçeleri gösterilerek mahkemece kabul ve takdir kılınmış olduğundan, katılan vekilinin atılı suçtan sanığın mahkumiyetine karar verilmesi gerektiğine ilişkin ve yerinde görülmeyen tüm temyiz itirazlarının reddiyle, beraate ilişkin hükmün isteme uygun olarak ONANMASINA…” karar verilmiştir.[95]

Yargıtay 12. Ceza Dairesi’nin 23.06.2014 tarihli, 2013/27699 E. ve 2014/15376 K. sayılı kararında,

“…Oluşa ve dosya kapsamına göre; katılan tarafından işletilen iş yerinin sahibi olup, kira alacağından kaynaklanan uyuşmazlıktan dolayı katılanla aralarında dava bulunan sanığa, muhasebecisi tarafından, kira geliri beyannamesi düzenlenebilmesi için, katılanın vergi numarasının da bilinmesi gerektiğinin ve katılanın muhasebecisinin bu bilgiyi kendisine vermediğinin ifade edilmesi üzerine, sanığın, katılanın iş yerine giderek, katılanın bulunmadığı esnada, içeride olan katılanın işyeri çalışanına geliş amacını açıkladıktan sonra, katılanın iş yerinin duvarında asılı olan vergi levhasındaki numarayı kağıda yazarak, muhasebecisine götürdüğü olayda, Sanığın, hukuka aykırı hareket ettiği bilinciyle hareket ederek, katılana ait kişisel veriyi ele geçirdiği kabul edilemeyeceğinden …” beraate ilişkin yerel mahkeme hükmünün onanmasına karar verilmiştir. [96]

4.3.6. Hukuka Aykırılık

TCK’nın 136. maddesi hükmünde düzenlenen “Verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi” suçunda, kanun metninde hukuka aykırılık, özel olarak belirtilmiş olduğundan; suçun oluşabilmesi için failde özel olarak hukuka aykırılık bilincinin bulunması gerekmektedir. Bu bakımdan, kişisel verilerin verilmesi, yayılması veya ele geçirilmesi, hukuka uygun olarak gerçekleştirildiyse bu takdirde suç oluşmayacaktır. [97]

5237 sayılı Türk Ceza Kanunu’nun 24, 25 ve 26. maddelerinde düzenlenen hukuka uygunluk sebepleri sırasıyla; “Kanun’un hükmü ve amirin emri,” “meşru savunma ve zorunluluk hali” ile “hakkın kullanılması ve ilgilinin rızası” şeklindedir. Bununla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda da kişisel verilerin hukuka uygun olarak işlenebileceği haller düzenlenmiş bulunmaktadır.

- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde,

- Kanunlarda açıkça öngörülmesi halinde,

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda,

- İlgili kişi, kişisel verilerini kendisi alenileştirmiş ise

- Bir hakkın tesisi, kullanılması veya korunması için veri işleme zorunlu ise

- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde,

ilgili kişinin açık rızası aranmaksızın, kişisel verileri işlenebilir.

TCK m. 136’da düzenlenen suç bakımından söz konusu olan hukuka uygunluk sebeplerine ilişkin olarak, Türk Ceza Kanunu ile Kişisel Verilerin Korunması Kanunu birlikte değerlendirildiğinde şu sonuçlara ulaşmak mümkündür:

*Rıza bakımından: TCK m. 26 f. 2’de yer alan ilgili kişinin rızası kavramı, Anayasa’nın m. 20 f. 3 hükmü ve 6698 sayılı Kişisel Verilerin Korunması Kanunu m. 3/ 1-b bendi gereğince “açık” olmalıdır. 6698 sayılı Kanun’da açık rıza ifadesi, “Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır.

*Kanunun hükmünü yerine getirme bakımından: Verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu bağlamında, hukuka uygunluk sebeplerinden birini teşkil eden kanunun hükmünü yerine getirmekten bahsedilebilmesi için, kanunla verilen yetki açık ve sınırları çizilmiş olmalı ve buna dayalı olarak yapılan veri işleme faaliyeti, kişi veya kurumun görevi, kapsamı ve sınırları dahilinde yapılmalıdır. Nitekim bu husus, Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde düzenlenen ilkelerde ifadesini bulmuştur. Bu düzenleme uyarınca, kişisel veriler hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar için ve işlendikleri amaçla bağlantılı sınırlı ve ölçülü olarak işlenebilir. Kanunla verilen görev ve yetkinin sınırları aşılmak suretiyle kişisel verilerin işlenmesi söz konusu olursa, bu durumda kanunun hükmünü yerine getirmekten söz etmek mümkün olmayacak ve fiili gerçekleştiren, fiilinden sorumlu tutulacaktır.[98]

Özel nitelikli kişisel veriler bakımından: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Özel nitelikli verilerin işlenme şartları başlığını taşıyan 6. maddesinin ilk fıkrasında, özel nitelikli kişisel veriler sayıldıktan sonra; ikinci fıkrada bu verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu hükme bağlanmıştır. Aynı maddenin 3. fıkrasında ise ilk fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. 6698 sayılı Kanun’un 6. maddesinin son fıkrası gereğince özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının zorunlu olduğuna yer verilmiştir. Dolayısıyla 6698 sayılı Kanun kapsamında kişisel verilerin işlenmesine izin verilen hallerde gerçekleştirilen kaydetme fiili, hukuka uygun olacak ve TCK m. 136’da tanımlanan suç oluşmayacaktır.

Değinilmesi gereken bir diğer husus, 6698 sayılı Kanun’un 28. maddesinde düzenlenen ve Kişisel Verilerin Korunması Kanunu’nun kapsamı dışında tutulan hallerdir. Bu hallerde kişisel verilerin işlenmesi ve işlenmesi kavramına dahil olan kaydedilmesi fiilleri hukuka aykırılık teşkil etmeyecektir. Buna göre;

- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi halinde,

- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi halinde,

6698 sayılı Kişisel Verilerin Korunması Kanunu uygulanmaz. Dolayısıyla bu hallerde, yetkili kişilerce gerçekleştirilen kişisel verilerin verilmesi, yayılması, ele geçirilmesi fiilleri, TCK m. 136’da düzenlenen suçu oluşturmaz.

4.3.7. Suçun Özel Görünüş Şekilleri

4.3.7.1. Teşebbüs

TCK m. 136’da düzenlenen “verileri hukuka aykırı olarak verme, yayma veya ele geçirme” suçunun teşebbüs aşamasında kalması mümkündür. Söz gelimi failin bir kimseye ilişkin kişisel verileri başka bir kimseye vermek için harekete geçtiği, ancak elinde olmayan sebeplerle verinin bu kişiye ulaşmadığı durumda kişisel verileri vermek suçuna teşebbüsten söz edilebilir. Yine, failin kişisel verilerin tutulduğu odaya girmesi ya da kilitli dolabı açmaya çalışması failin sisteme girmiş ama henüz veriye ulaşamamış olması[99], kişisel verileri ele geçirme suçuna teşebbüs niteliği taşıyacaktır.[100]

Bu suç tipinde teşebbüs aşamasında kalma, fail tarafından icra hareketlerine başlandıktan sonra, söz konusu hareketlerin yarıda kalması şeklinde gerçekleşebilir. Zira suçun oluşması için ayrıca bir netice aranmamakta, hareketlerin tamamlanmasıyla fiil, suç teşkil etmektedir.[101]

Bu hususta Yargıtay 8. Ceza Dairesi, 31.10.2013 tarih, 2013/10737 E. ve 2013/25854 K. sayılı kararı ile sanıkların ATM cihazlarına yerleştirdikleri düzeneklerle işlem yapmaya gelen kişilere ait kartların manyetik şerit bilgilerini kopyalamaktan ibaret eylemlerinin TCK m. 136’da düzenlenen kişisel verileri hukuka aykırı olarak ele geçirmeye teşebbüs suçunu oluşturduğuna hükmetmiştir.[102] Karara göre:

“Sanığın diğer suç ortakları ile birlikte değişik zamanlarda bir bankanın Gaziemir ve Narlıdere'deki ATM cihazlarına yerleştirdikleri düzeneklerle işlem yapmaya gelen kişilere ait kartların manyetik şerit bilgilerini kopyalamak ve şiflerini elde etmeye çalışmaktan ibaret eylemlerinin zincirleme şekilde TCK’nın 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak ele geçirmeye teşebbüs suçunu oluşturduğu gözetilmeden suç vasfında yanılgıya düşülerek hüküm kurulması yasaya aykırıdır.”[103]

4.3.7.2. İştirak

TCK m. 136’da tanımlanan suçun, iştirak halinde işlenmesi mümkün olup, suç iştirak açısından bir özellik arz etmemektedir. Suça iştirak edenler, kamu görevlisi sıfatını haiz yahut meslek veya sanatlarının sağladığı kolaylıktan yararlanmak suretiyle bu suçu işlemiş kimseler iseler, bu takdirde, verilecek ceza bu kişiler bakımından TCK m.137 gereğince yarı oranında artırılacaktır.[104]

Burada, değinilmesi gereken bir diğer husus, seçimlik hareketlerin farklı kişilerce farklı zamanlarda gerçekleştirilmesi halidir. Bir kimsenin kişisel veriyi ele geçirmesi ve onu başkasına vermesi, bu kişinin de söz konusu kişisel veriyi yayması durumunda, faillerin sorumluluğunu belirlemek için, iradelerinin ve olayda tek suç olduğunun kabul edilip edilemeyeceğinin değerlendirilmesi gerekmektedir. Faillerin 136. madde kapsamında iştirak hükümleri çerçevesinde sorumlu tutulabilmeleri için, hareketlerin hepsini birlikte gerçekleştirmek hususunda önceden anlaşmış olmaları gerekmektedir.[105]

4.3.7.3. İçtima

TCK m. 136’da düzenlenen suç tipinin, bir suç işleme kararının icrası kapsamında, farklı zamanlarda aynı kişiye karşı birden fazla işlenmesi veya aynı suçun tek bir fiille birden fazla kişiye karşı işlenmesi mümkün olup, bu takdirde TCK m. 43 bağlamında bileşik suç hükümleri uygulanacak ve cezada dörtte birinden dörtte üçüne kadar artırıma gidilecektir. [106]

TCK’nın çeşitli hükümlerinde kişisel verilerin verilmesi, yayılması yahut ele geçirilmesi eylemlerine suç tanımı içerisinde yer verilmiştir. TCK m. 132/2’de yer alan kişiler arasındaki haberleşmenin hukuka aykırı ifşası, TCK m. 134/2’de düzenlenen kişilerin özel hayatlarına ilişkin görüntü veya seslerin ifşası yine TCK m. 239/1’de hükme bağlanan müşteri sırrı niteliğindeki bilgi ve belgeleri vermek veya ifşa etmek bu nitelikte düzenlemelerdir. Söz konusu bu düzenlemeler, özel norm niteliğini taşıdıklarından TCK’nın 136. maddesine göre öncelikle uygulanmalıdırlar.[107]

Değinilmesi gereken bir diğer husus, TCK m. 44’te düzenlenen fikri içtima konusudur. Buna göre işlediği bir fiille birden çok farklı suçun oluşmasına sebebiyet veren kimse, bunlardan en ağır cezayı gerektiren suçtan dolayı sorumlu tutularak cezalandırılır.[108]

Bu hususta Yargıtay 12. Ceza Dairesi’nin 08.09.2014 tarihli, 2014/1463 E. ve 2014/17262 K. sayılı kararında şu belirlemelere yer verilmektedir:

“Dosya kapsamına göre; sanığın, kız arkadaşının husumetli olduğu mağdurlar adına, internette bir arkadaşlık sitesinde “Atesli_Dizdar” ve “Afet-i Derya” kullanıcı isimleri ile üyelik işlemleri yapıp, oluşturduğu profil sayfalarında, mağdurların şeref, onur ve saygınlığını rencide edecek nitelikte ibareler ile birlikte kişisel veri niteliğindeki fotoğraflarını ve telefon numaralarını ilgili siteye kaydedip, yayımlaması biçimindeki eyleminin, TCK'nın 135/1, 136/1 ve 125/2-1-4 maddelerine uyan, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve hakaret suçlarını oluşturduğu, sanığın tek eyleminin kanundaki birden fazla suçları oluşturması nedeniyle TCK'nın 44. maddesinde düzenlenen fikri içtima kuralı uyarınca en ağır cezayı gerektiren TCK'nın 136/1. madde ve fıkrasında tanımlanan verileri hukuka aykırı olarak verme veya ele geçirme suçundan cezalandırılması gerektiği ve fikri içtima kuralı nazara alınmadan, daha hafif cezayı gerektiren TCK'nın 135/1. maddesi uyarınca hüküm kurulması…”[109]

Kanun’a aykırı olup, bozmayı gerektirmiştir.

Yargıtay 12. Ceza Dairesi’nin “gerçek içtima” kurallarının uygulanması gerektiğine hükmettiği 07.04.2014 tarihli, 2013/15899 E. ve 2014 / 8411 K. sayılı kararına konu olan olayda ise

“ … Sanığın, tamir için katılanın kendisine bıraktığı dizüstü bilgisayarında bulunan fotoğrafları ile messenger programında oturum açmak için kullandığı elektronik posta adres ve şifrelerini mesleğinin sağladığı kolaylıktan yararlanarak ele geçirip veri taşımakta kullanılan flash diske aktararak, elektronik posta adres ve şifre bilgilerini kullanarak açtığı katılana ait messenger oturumunda, kendisine ait başka bir hesabı, katılanın hesabına arkadaş olarak eklemesi, bilahare katılanın elektronik posta adresinin şifresini değiştirerek messenger programına girişini engellemesi şeklindeki eyleminin, TCK'nın 136/1. maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçu ile TCK'nın 244. maddesinin 2. fıkrasında düzenlenen sistemi engelleme, bozma, verileri yok etme veya değiştirme suçunu oluşturduğu ve gerçek içtima kuralları uyarınca bu suçlardan ayrı ayrı sorumlu tutularak cezalandırılması gerektiği gözetilmeden, suçun nitelendirilmesinde yanılgıya düşülerek kişisel verilerin kaydedilmesi suçundan yazılı şekilde hüküm kurulması Kanun’a aykırı olup …” bozmayı gerektirmiştir. [110]

4.4. Verileri Yok Etmeme Suçu (TCK m. 138)

4.4.1. Genel Olarak

Kişinin özel hayatının bir parçasını teşkil eden kişisel veriler, nerede bulundukları ve hangi amaçla bulunduruldukları fark etmeksizin cezai himayenin konusunu oluştururlar.[111] Kişisel verilerin, günlük hayat içerisinde çeşitli kişi, kurum ve kuruluşlara, farklı sebeplerden ötürü verilmeleri söz konusu olabilir. Burada önem taşıyan husus şudur ki bu verilerin hukuka uygun şekilde toplanmaları, onların süresiz olarak muhafaza edilebilecekleri anlamına gelmez.[112] Zira insanlar güven içerisinde ve özgür olarak yaşamak arzusundadırlar.[113]Bu bağlamda, Türk Ceza Kanunu’nun 138. maddesinde kanuni sürenin dolmasına rağmen, kişisel verileri sistem içerinde yok etmekle yükümlü olan kişilerin bu yükümlülüklerini yerine getirmemeleri hali suç olarak düzenlenmiştir. Hükme göre:

Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

TCK m. 138’in gerekçesinde, bu madde hükmü ile hukuka uygun olarak kaydedilmiş kişisel verilerin, kanunların belirlediği sürelerin geçmiş olmasına rağmen yok edilmemesinin bağımsız bir suç olarak tanımlandığı açıklamasına yer verilmiştir.

TCK m. 138’e, 21.2.2014 tarihli ve 6526 sayılı Kanun ile ikinci fıkra eklenmiş olup, buna göre Ceza Muhakemesi Kanunu (CMK) hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken kişisel verilerin, suça konu teşkil ettiği hallerde verilecek cezanın bir kat artırılacağı öngörülmüştür. Hükmün gerekçesinde, maddenin düzenlenme amacı şöyle açıklanmıştır: “Değişiklikle, kişisel verilerin ve özel hayatın daha etkin korunması amaçlanmaktadır.” CMK hükümleri uyarınca ortadan kaldırılması ve yok edilmesi gereken veriler; moleküler genetik incelemeler sonucu elde edilen kişisel veriler, fizik kimliği teşhisi için elde edilen kişisel veriler, telekomünikasyon yoluyla gerçekleştirilen iletişimin denetlenmesi sonucu elde edilen kişisel veriler, gizli soruşturmacı görevlendirilmesi sonucu elde edilen kişisel veriler, teknik araçlarla izleme sonucu elde edilen kişisel veriler olarak, CMK’nın değişik hükümlerinde düzenlenmiş bulunmaktadır.[114]

Kişisel verilerin süresiz olarak tutulmamasında önem arz eden, esasen; kişisel verilerin korunmasında temel ilkelerden birini teşkil eden “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”[115]ilkesi ile amaçla bağlantılık ilkelerini karşılamak ve saklanmasına gerek bulunmayan verilerin silinmesi ya da anonimleştirilmesi suretiyle keyfi uygulamaların önüne geçmektir.[116] Ancak TCK’nın 138. maddesinde, yalnızca kanunların belirlediği sürenin geçmiş olmasına rağmen verinin yok edilmemesi esas alınarak; amaçla bağlantılık ilkesine yer verilmemiştir.[117] Bu yönüyle düzenleme, amaca bağlılık ilkesi ile uyum göstermemektedir.

Ayrıca belirtilmelidir ki TCK m. 135 ve m. 136’da düzenlenen suçlarda, madde metinlerinde verilerin işlenmesinde otomatik ya da otomatik olmayan yollar şeklinde bir ayrım yapılmamışken; verileri yok etmeme suçuna ilişkin TCK’nın 138. maddesinde, verileri “sistem” içerisinde yok etmek ibaresi kullanılmıştır. Bu ibare, suçun otomatik yollarla işlenen verilere ilişkin olduğu şeklinde bir izlenim yarattığından; söz konusu ibarenin madde metninden çıkartılması ve TCK m. 138’de düzenlenen suçun, bu yönüyle TCK’nın 135. ve 136. maddelerinde düzenlenen suçlarla uyumlu hale getirilmesi[118] kanaatimizce yerinde olur.

Konuya ilişkin önem taşıyan bir diğer hususa da değinmek gerekir ki Kişisel Verilerin Korunması Kanunu’nun 7. maddesi hükmü, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenlemektedir. Aynı Kanun’un m. 17/2 hükmü ise:

“Bu Kanunun 7nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” şeklindedir. Atıf yapılan fiiller içerisinde “yok edilme” fiili bulunmamaktadır.

Diğer taraftan TCK m. 138’de “verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmediklerinde” ibaresi yer almaktadır. Dolayısıyla yok edilme kavramına ilişkin olarak ortaya çıkan bu durumun, suçun kanuniliği ve belirliliği ilkelerine aykırılık teşkil ettiği ve Kanun yapma tekniğine uygun olmadığı belirtilebilir. Bu sebeple, “kişisel verileri yok etmeyenler” ibaresinin Kişisel Verilerin Korunması Kanunu’nun 17. maddesine eklenmesi kanaatimizce yerinde olur.[119]

4.4.2. Suçla Korunan Hukuki Değer

TCK m. 138’de düzenlenen suç, esasen kişilerin özel hayatlarını korumaktadır.[120] Bu bağlamda, söz konusu suç tipiyle korunan hukuki değer, kişisel verilerin ilişkili olduğu kişinin özel hayatının gizliliği ile kişisel verilerinin korunması hakkıdır.[121] Doktrinde bu suç tipiyle “kamu idaresinin güvenilirliği ve işleyişi” hukuki değerinin de korunduğunu savunan yazarlar bulunmaktadır.[122] Ancak kanımızca, suçun Kanun’da “özel hayata ve hayatın gizli alanına karşı suçlar” bölümü içerisinde düzenlenmiş olması ve esasen TCK’da düzenlenen suçların tamamının belli düzeyde kamu düzeninin işleyişi ve güvenilirliğini korumaya çalıştığı düşünüldüğünde[123] bu görüşe katılmak güçtür.

4.4.3. Suçun Faili, Mağduru ve Konusu

TCK’nın 138. maddesinde tanımlanan kişisel verilerin yok edilmemesi suçunda fail, verileri sistem içerisinde yok etmekle görevli bulunan kimsedir. Bu görevlinin TCK’nın 6. maddesinde tanımlanan “kamu görevlisi” sıfatını taşıması zorunlu değildir. Görevli kişi, konuya ilişkin düzenleme getiren özel kanununda belirtilen kişi olup, her somut olay bakımından bu kanun belirlenerek, kimlere görev verildiği tespit edilmelidir.[124] Dolayısıyla bu suç bakımından herkes fail olamaz. Kamu görevlisi olsun ya da olmasın ancak verileri sistem içinde yok etmekle yükümlü olanlar, bu suçun faili olabileceğinden suç, özgü (mahsus) suç niteliğindedir.[125]

Suçun mağduru, kişisel verileri yok edilmeyen gerçek kişidir. Ancak verileri yok etmeme suçunun koruduğu hukuki değerin “kamu idaresinin güvenilirliği ve işleyişi” olduğunu savunan yazarlara göre ise suçun mağduru kamu idaresi, suçtan zarar gören ise kişisel verileri silinmeyerek özel hayatının gizliliği ihlal edilen kimsedir. Belirtmek gerekir ki bu suç bakımından tüzel kişilerin suçtan zarar gören olmaları mümkündür.[126]

Suçun hukuki konusu, hukuka uygun olarak kaydedilen ve belli bir süre sonra silinmesi kanunlarca belirlenmiş olan kişisel verilerdir. 6698 sayılı Kanun’un 17/2. maddesinde düzenlenen suçun konusu ise bu Kanun ve ilgili kanun hükümleri çerçevesinde işlenmiş olmasına rağmen, işlenmesini gerekli kılan sebeplerin ortadan kalkması sebebiyle veri sorumlusu tarafından resen yahut ilgili kişinin talebiyle silinmesi gereken kişisel verilerdir.[127]

Önemle belirtmek gerekir ki ancak hukuka uygun olarak kaydedilen verilerin kanunda belirlenen süre içerisinde yok edilmemesi, TCK m. 138’de hükme bağlanan suçu teşkil edebilir. Kişisel verilerin hukuka aykırı olarak kaydedilmiş olmaları halinde bunların görevliler tarafından yok edilmemesi bu kapsamda mütalaa edilemez.[128]

TCK’nın 138. maddesinin ikinci fıkrasında yer alan suçun konusunu ise, CMK hükümleri gereğince ortadan kaldırılması veya yok edilmesi gereken kişisel veriler oluşturmaktadır ki bu takdirde verilecek cezanın artırılacağı öngörülmüştür.

4.4.4. Fiil

TCK m. 138’de düzenlenen verileri yok etmeme suçunda fiil, hukuka uygun olarak kaydedilmiş kişisel verileri, kanunlar tarafından belirlenen süreler içerisinde yok etmekle görevli bulunan kişilerin, ihmalen bu yükümlülüklerini yerine getirmemeleridir.[129] Bu bağlamda, söz konusu suçun yalnızca ihmal yoluyla işlenebileceği belirtilmelidir.[130]

Kanunda belirtilen süre dolduğu halde veya kanunda böyle bir süre belirtilmemişse işin niteliğine göre makul bir süre içerisinde, yok edilmesi gereken verinin, bununla görevli kişi tarafından yok edilmemesi halinde suç tamamlanır.[131] Ayrıca bir neticenin ortaya çıkması aranmamaktadır. Dolayısıyla süre aşıldıktan sonra verilerin yok edilmesi durumunda, eylem suç olmaktan çıkmayacağı için; failin ceza hukuku kapsamında sorumluluktan kurtulması mümkün değildir.[132]

Burada madde metninde “verilerin sistem içinde yok edilmesi” ibaresi kullanıldığı için, bu suç yalnızca bir veri kayıt sistemi içindeki kişisel verilerin yok edilmemesine ilişkindir.[133] Ayrıca, madde metninde yer alan kanun deyiminden anlaşılması gereken, suç tipinin uygulama alanını oldukça daraltmamak bakımından, tüzük, yönetmelik, yönergeyi de kapsayan genel düzenleyici işlem niteliğini haiz yazılı hukuk normları olmalıdır.[134]

Kişisel Verilerin Korunması Kanunu m. 17/2’de [135] yer alan düzenleme bakımından ise fiil, hukuka uygun olarak işlenmiş ve fakat işlenmesini gerektiren sebepler ortadan kalkmış olan kişisel verilerin, veri sorumlularınca resen yahut ilgili kişinin talebi üzerine silinmemesi, yok edilmemesi veya anonim hale getirilmemesidir.[136] Bu takdirde fail, TCK’nın 138. maddesi uyarınca cezalandırılacaktır.

Konuya ilişkin usul ve esasları düzenlemek amacıyla, 28 Ekim 2017 tarih ve 30224 sayılı Resmi Gazete’ de yayımlanan ve 1 Ocak 2018’de yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in 8., 9. ve 10. maddelerinde sırasıyla; kişisel verilerin silinmesi, kişisel verilerin yok edilmesi ve kişisel verilerin anonim hale getirilmesi kavramları tanımlanmış bulunmaktadır. Bu düzenlemeler uyarınca;

*Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

*Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini ifade eder.

4.4.5. Manevi Unsur

TCK m. 138’de düzenlenen suç bakımından, Kanun’da herhangi bir özel saik aranacağı belirtilmediği için, suçun genel kastla işlenebileceği söylenebilir. Suçun taksirle işlenebileceğine ilişkin ise Kanun’da bir düzenleme bulunmadığından, suçun taksirle işlenebilmesi mümkün değildir. Kasttan söz edilebilmesi için, fail, kanunun kendisine yüklemiş olduğu, öngörülen süreler içerisinde veriyi yok etme hususundaki yükümlülüğünü bilerek ve isteyerek ihmal etmiş olmalıdır. Bu bağlamda, belirtmek gerekir ki fiili hata, kastı kaldıracağından; kanunun öngördüğü sürelerin hesabında hataya düşülmüş olması yahut yükümlülüğün unutularak ihmali halinde, kastın ortadan kalkacağı kabul edilmelidir.[137]

4.4.6. Hukuka Aykırılık

TCK m. 138 düzenlenen suç tipinde, madde metninde hukuka aykırılık ifadesi özel olarak zikredilmemiş ise de diğer bütün suçlar gibi bu suç bakımından da fiil, hukuka aykırı olmalıdır.[138] Anılan suç bağlamında, kanunda belirtilen süreler içerisinde kişisel verilerin yükümlü kişilerce yok edilmemesi halinde fiil hukuka aykırı olacağından mağdurun rızası bu fiili uygun hale getirmeyecektir.[139]

TCK m.138’de hükme bağlanan bu suç tipinde Kanun hükmünde belirtilen sürelerin geçmesi ile suç oluşmuş olacağından, bu suç bakımından özel bir hukuka uygunluk sebebinin bulunmadığı belirtilebilir.[140]

4.4.7. Suçun Özel Görünüş Şekilleri

4.4.7.1. Teşebbüs

Verileri yok etmeme suçu, yalnızca ihmal yoluyla işlenebilen bir suç olup,[141] kanun tarafından belirlenen süre dolduğunda, görevli kişilerce verilerin yok edilmemesiyle suç oluşmaktadır. Bu bakımdan doğasının gereği olarak bu suça teşebbüs mümkün bulunmamaktadır.[142]

4.4.7.2. İştirak

Verileri yok etmeme suçu, yalnızca kişisel verileri yok etmekle görevli kişiler tarafından işlenebilir bir suç olup, bu suça ilişkin olarak, “özgü suçlara iştirak” kuralları uygulanabilir.[143] Kanun tarafından kendisine böyle bir görev yüklenmemiş kişiler, suçun faili olmayacağından; suçtan ancak TCK m. 40 f. 2 gereğince azmettiren veya yardım eden olarak [144] sorumlu olabilirler.

4.4.7.3. İçtima

TCK m. 138’de düzenlenen verileri yok etmeme suçu, aynı kişiye karşı farklı zamanlarda birden fazla işlenirse; bu takdirde, TCK m. 43 f. 1’de hükme bağlanan zincirleme suç hükümleri uygulanır ve buna göre tek cezaya hükmedilir ancak bu ceza, dörtte birinden dörtte üçüne kadar artırılır. Verileri yok etmeme suçunun aynı hareketle birden fazla kişiye karşı işlenmesi de mümkün olabilir. Şöyle ki, Kanun’un yok edilmesi görevini yüklediği veri kaydında, birden çok kişiye ilişkin kişisel veri bulunabilir. Bu durumda TCK’nın m. 43 f. 2 hükmü uygulama alanı bulacak ve failin cezasında artırıma gidilecektir.[145]

Kişisel verilerin yok edilmesiyle görevli fail, bu görevini yerine getirmeyip; söz konusu verileri bir başkasına verir veya yayarsa, bu halde gerçek içtima hükümleri gereğince hem TCK m. 138 hükmü, hem de TCK m. 136 hükmü uygulanmalıdır.[146]

Sonuç

Kişisel verilerin etkin şekilde korunabilmesinin en önemli yollarından biri, hiç şüphesiz, kişisel verilere yönelik saldırı ve ihlallerin suç kapsamına alınması ve bu suçlara karşılık cezai yaptırım öngörülmesidir. Ülkemizde 5237 sayılı ve 01.06.2005 yürürlük tarihli Türk Ceza Kanunu’nun 135. maddesinde kişisel verilerin kaydedilmesi, 136. maddesinde verileri hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde verileri yok etmeme filleri suç olarak düzenlenmiş ve Türk Ceza Kanunu’nun 140. maddesinde, bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbirlerinin uygulanabileceği hükmüne yer verilmiştir.

Ancak 5237 sayılı Kanun’un yürürlük tarihi olan 2005 yılı itibariyle, henüz kişisel verilerin korunmasına ilişkin temel esas ve usulleri düzenleyen ulusal bir kanun mevcut olmadığından ve TCK’da da kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, yayılması, ele geçirilmesi ve yok edilmemesi suçları düzenlendiği halde; kişisel veri kavramına ilişkin bir tanımlama yapılmamış olduğundan, kişisel veri kavramından ne anlaşılması gerektiğine ilişkin bir açıklık bulunmamaktaydı. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun, 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe girmesiyle, kanunilik ve belirlilik ilkeleri bakımından önemli bir adım atılmıştır. 6698 sayılı Kanun’un 17. maddesi ile TCK’nın ilgili hükümlerine atıfta bulunulmak suretiyle her iki kanun arasında doğrudan bir ilişki tesis edilmiştir. Bu bağlamda, kişisel verilere ilişkin suçlar ve cezai yaptırımlar, TCK’nın konuya ilişkin hükümlerine atıf yapılmak suretiyle düzenlenmiş ve kişisel verileri silmeyen veya anonim hale getirmeyenlerin ise Türk Ceza Kanunu’nun 138. maddesi hükmü uyarınca cezalandırılmaları öngörülmüştür.

Ancak çalışmamız kapsamında da değindiğimiz üzere, her iki kanun bakımından birtakım uyumsuzluklar mevcuttur. TCK m. 135’te düzenlenen özel nitelikli kişisel veriler ile Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde zikredilen özel nitelikli veriler arasındaki farklılık ve Kişisel Verilerin Korunması Kanunu’nun 17. maddesinde TCK’ya atıf yapılmayan “yok etmeme” fiili açısından durum böyledir. Keza Kişisel Verilerin Korunması Kanunu bakımından “kişisel verilerin işlenmesi” kavramı, içerisine TCK’da düzenlenen “kaydetme, verme, yayma, ele geçirme, yok etmeme” fiillerini almakta, ancak bundan daha geniş bir kavramı ifade etmekte olup, veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır. Bu sebeple, kanunilik ilkesi dolayısıyla, bazı veri işleme etkinliklerinin cezai yaptırımın dışında kalması olasılığı söz konusu olabileceğinden, madde metinlerinde bu bağlamda düzenleme yapılması yerinde olur kanaatindeyiz.

-------------------

Anahtar Kelimeler: Kişisel Veri, Kişisel Verilerin Korunması, Türk Ceza Kanunu, Kişisel Verilerin Korunması Kanunu.

Keywords: Personal Data, Protection of Personal Data, Turkish Penal Code, Law on Protection of Personal Data.

KAYNAKÇA

AKDAĞ, Hale; “Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması”, Ankara Üniversitesi Sosyal Bilimler Enstitüsü, Kamu Hukuku Anabilim Dalı, Yüksek Lisans Tezi, Ankara, 2010.

ALBAYRAK, Mustafa; “Suçta ve Cezada Kanunilik İlkesi Karşısında Kişisel Verilerle İlgili Suçların Değerlendirilmesi” Terazi Hukuk Dergisi, Cilt: 9, Sayı: 98, Ekim, 2014.

DURSUN, İsmail; “Türk Ceza Kanunu’nda Verileri Yok Etmeme Suçu” Kocaeli Üniversitesi Hukuk Fakültesi Dergisi, Sayı:10, Temmuz 2014.

DÜLGER, Murat Volkan; “Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması”, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi, 3 (2), 2016.

EPÖZDEMİR, Rezan; “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK m. 136)” Terazi Hukuk Dergisi, Cilt: 14, Sayı: 151, Mart 2019.

HAFIZOĞULLARI, Zeki/ ÖZEN, Muharrem; “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” Ankara Barosu Dergisi, Yıl: 67, Sayı: 4, Güz 2009.

KETİZMEN, Muammer; “Türk Ceza Hukuku’nda Bilişim Suçları”, Ankara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, Doktora Tezi, Ankara, 2006.

Kişisel Verileri Koruma Kurumu (KVKK); Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, KVKK Yayınları, Mart 2018, Ankara.

KOCA, Mahmut/ ÜZÜLMEZ, İlhan; “Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)”, D.E.Ü. Hukuk Fakültesi Dergisi, Prof. Dr. Durmuş TEZCAN’ a Armağan, C.21, Özel S., 2019.

KORKMAZ, İbrahim; “Kişisel Verilerin Ceza Hukuku Kapsamında Korunması”, Seçkin Yayıncılık, Birinci Baskı, Nisan 2017, Ankara.

KÜZECİ, Elif; “Kişisel Verilerin Korunması”, 2. Baskı, Şubat 2018, Ankara.

ÖNCÜ, Gülay Arslan “Özel Yaşama ve Aile Yaşamına Saygı Hakkı” Anayasa Mahkemesine Bireysel Başvuru El Kitapları Serisi-8, Ocak 2019.

SARIUSTA, Kader; “Kişisel Verilerin Ceza Hukuku Yoluyla Korunması” Gaziantep Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Ana Bilim Dalı Yüksek Lisans Tezi, Gaziantep 2018.

SOYSAL, Tamer; “Unutulma Hakkının Avrupa Birliği’nin Genel Veri Koruma Tüzüğü Çerçevesinde İncelenmesi” Uyuşmazlık Mahkemesi Dergisi, Yıl 7, Sayı 13, Haziran 2019.

ŞAHBAZ, İbrahim; “Açıklamalı ve İçtihatlı Türk Ceza Kanunu”, 1. Cilt, Ankara 2016.

TEZCAN, Durmuş; “Özel Hayatın Gizliliğini İhlal ve Kişisel Verilerin Kaydedilmesi Suçu ile İlgili Bazı Gözlemler” İÜHFM C. LLXXI, S. 1, 2013.

ÜNVER, Yener; “TCK ve CK Tasarısının İnternet Açısından Değerlendirilmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, Cilt 59, Sayı: 1-2, 2001.

YAYLA, Mehmet; “Kişisel Verilerin Kaydedilmesi Suçu”, Terazi Hukuk Dergisi, Cilt: 14, Sayı: 151, Mart 2019.

-----------------------------------------

[1] KÜZECİ, Elif; “Kişisel Verilerin Korunması”, 2. Baskı, Şubat 2018, Ankara, s.19.

[2] KORKMAZ, İbrahim; “Kişisel Verilerin Ceza Hukuku Kapsamında Korunması”, Seçkin Yayıncılık, Birinci Baskı, Nisan 2017, Ankara, s. 19.

[3] DÜLGER, Murat Volkan; “Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması”, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi,3 (2), 2016; 101-167, s. 101.

[4] KORKMAZ, s. 314.

[5] KOCA, Mahmut/ ÜZÜLMEZ, İlhan; “Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)”, D.E.Ü. Hukuk Fakültesi Dergisi, Prof. Dr. Durmuş TEZCAN’ a Armağan, C.21, Özel S., 2019, s. 69-93, s. 71.

[6] Kişisel Verileri Koruma Kurumu (KVKK); Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, KVKK Yayınları, Mart 2018, Ankara, s. 19.

[7] KOCA/ÜZÜLMEZ, s. 72.

[8] SOYSAL, Tamer; “Unutulma Hakkının Avrupa Birliği’nin Genel Veri Koruma Tüzüğü Çerçevesinde İncelenmesi” Uyuşmazlık Mahkemesi Dergisi, Yıl 7, Sayı 13, Haziran 2019; 339-422, s. 358.

[9] KVKK, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, s. 20.

[10] KOCA/ÜZÜLMEZ, s. 72.

[11] TEZCAN, Durmuş; “Özel Hayatın Gizliliğini İhlal ve Kişisel Verilerin Kaydedilmesi Suçu ile İlgili Bazı Gözlemler” İÜHFM C. LLXXI, S. 1; 1159-1164, 2013. s. 1162. Yazara göre suçta ve cezada kanunilik ilkesi gereğince kişisel verinin yasada açıkça düzenlenmesi gerekir.

[12] SARIUSTA, Kader; “Kişisel Verilerin Ceza Hukuku Yoluyla Korunması” Gaziantep Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Ana Bilim Dalı Yüksek Lisans Tezi, Gaziantep 2018, s. 79.

[13] Anayasa Mahkemesi, E: 2015/32, K: 2015/102, T: 12.11.2015.

[14] KÜZECİ, s. 401.

[15] KETİZMEN, Muammer; “Türk Ceza Hukuku’nda Bilişim Suçları”, Ankara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, Doktora Tezi, Ankara, 2006, s. 271.

[16] ÜNVER, Yener; “TCK ve CK Tasarısının İnternet Açısından Değerlendirilmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, Cilt 59, Sayı: 1-2; 51-153, 2001, s. 94.

[17] ÜNVER, s. 93.

[18] DÜLGER, s. 122.

[19] ÜNVER, s. 92.

[20] ÜNVER, s. 93-94.

[21] AKDAĞ, Hale; “Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması”, Ankara Üniversitesi Sosyal Bilimler Enstitüsü, Kamu Hukuku Anabilim Dalı, Yüksek Lisans Tezi, Ankara, 2010, s. 33.

[22] HAFIZOĞULLARI, Zeki/ ÖZEN, Muharrem; “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” Ankara Barosu Dergisi, Yıl: 67, Sayı: 4, Güz 2009, s. 19.

[23] KORKMAZ, s. 315.

[24] SARIUSTA, s. 113.

[25] KOCA/ÜZÜLMEZ, s. 72.

[26] TBMM Adalet Komisyonunca kabul edilen Türk Ceza Kanunu Madde Gerekçeleri

[27] KOCA/ÜZÜLMEZ, s. 72.

[28] KVVK, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, s. 21.

[29] KOCA/ÜZÜLMEZ, s. 72.

[30] KOCA/ÜZÜLMEZ, s. 73.

[31] KÜZECİ, s. 402.

[32] TBMM; “Kişisel Verilerin Korunması Kanunu Madde Gerekçeleri”, 26. Yasama Dönemi, 1. Yasama Yılı, Sıra Sayısı: 117.

[33] KORKMAZ, s. 316.

[34] KORKMAZ, s. 324.

[35] KÜZECİ, s. 13.

[36] KOCA/ÜZÜLMEZ, s. 74-75.

[37] KORKMAZ, s. 337.

[38] HAFIZOĞULLARI/ÖZEN, s. 20.

[39] KÜZECİ, s. 324-326. Yazara göre kişisel veriler, temel insan hakları ve özgürlükleri ile ilişkilidir. Tüzel kişilerin verilerinin korunması, ticari sır kapsamında değerlendirilmeli, şayet tüzel kişilere ilişkin veriler içerisinde gerçek kişilere ait bilgiler de söz konusuysa o takdirde bunlar, kişisel verilerin korunması kapsamında değerlendirilmelidir.

[40] KOCA/ÜZÜLMEZ, s. 75.

[41] YAYLA, Mehmet; “Kişisel Verilerin Kaydedilmesi Suçu”, Terazi Hukuk Dergisi, Cilt: 14, Sayı: 151, Mart 2019, s. 593. Yazara göre “Kişisel veri” bir sıfat tamlaması olup; dilbilimsel açıdan asıl ifade edilmek istenen ikinci sözcükte yer almaktadır. Birinci sözcük ise ikinci sözcüğü anlamsal olarak sınırlandırmaktadır. Dolayısıyla burada, kişisel veri kavramındaki veri, bir veri çeşidi olup belirli bir kişiyle ilişkili veriyi ifade etmektedir.

[42] KÜZECİ, s. 9.

[43] KOCA/ÜZÜLMEZ, s. 77.

[44] Anayasa Mahkemesi, E: 2015/32, K: 2015/102, T: 12.11.2015.

[45] ÖNCÜ, Gülay Arslan; “Özel Yaşama ve Aile Yaşamına Saygı Hakkı” Anayasa Mahkemesine Bireysel Başvuru El Kitapları Serisi-8, Ocak 2019, s. 82.

[46] KÜZECİ, s. 405.

[47] KOCA/ÜZÜLMEZ, s. 88.

[48] HAFIZOĞULLARI/ÖZEN, s. 20.

[49] KOCA/ÜZÜLMEZ, s. 79.

[50] KORKMAZ, s. 330-331.

[51] HAFIZOĞULLARI/ÖZEN, s. 20.

[52] DÜLGER, s. 129.

[53] KOCA/ÜZÜLMEZ, s. 81.

[54] KOCA/ÜZÜLMEZ, s. 81. Aynı yönde DÜLGER, s.140. Yazara göre suç tanımında yer alan bu ifadenin özel bir anlamı yoktur ve bu ifade, suç tipine dahil değildir.

[55] KORKMAZ, s. 346.

[56] KORKMAZ, s. 346-347. Aksi görüşte KOCA/ÜZÜLMEZ’ e göre, hukuka aykırı olarak ifadesi suçun tipikliğine ilişkin bir unsur değildir. Hâkimi uyarı fonksiyonu görmektedir. s. 81. DÜLGER’ e göre ise bu kavram gereksizdir. Zira böyle bir ifadenin yer aldığı suçlara ilişkin yargılamada hiçbir zaman failin özellikle hukuka aykırı hareket ettiğinin ispatlanmasına ilişkin çalışma yapılmamakta, bu ifadeyi içermeyen diğer suçlarda olduğu gibi hukuka aykırılık bir karine olarak kabul edilmektedir. s. 140.

[57] Buradaki kanun hükmü terimi KORKMAZ’ a göre KHK, tüzük, yönetmelik düzenlemelerini de kapsar. s. 82. KOCA/ÜZÜLMEZ’ e göre Anayasadaki kanun ifadesi dolayısıyla, kişisel verilerin kaydedilmesine kanunun izin verdiği haller söz konusu olduğunda buradan anlaşılması gereken, TBMM tarafından kanun şeklinde çıkarılan yasama tasarrufudur; herhangi bir yazılı hukuk kuralı değildir. s. 82.

[58] KORKMAZ, s. 349.

[59] KORKMAZ, s. 361.

[60] KOCA/ÜZÜLMEZ, s. 83-85.

[61] YAYLA, s. 605. Yazara göre suç, neticesi harekete bitişik bir suç olduğundan, kişisel verilerin hukuka aykırı olarak kaydedilmesiyle tamamlanmaktadır ve teşebbüse elverişli değildir. Zira kişisel verilerin hukuka aykırı olarak ele geçirilmesi de ayrı bir suç olarak düzenlenmiş durumdadır.

[62] KORKMAZ, s. 362.

[63] KOCA/ÜZÜLMEZ, s. 90.

[64] KORKMAZ, s. 363.

[65] KORKMAZ, s. 363-365.

[66] KÜZECİ, s. 414.

[67] KOCA/ÜZÜLMEZ, s. 91.

[68] Yargıtay 12. Ceza Dairesi 11.09.2012 tarih, 2012/17703 E. ve 2012/18222 K.

[69] HAFIZOĞULLARI/ÖZEN, s.21. Yazarlara göre madde başlığının isabetli olduğu söylenemez. KORKMAZ’ a göre, suçun düzenleniş şekli ile madde başlığı, kanun yapma tekniği bakımından birbiriyle uyumsuzdur. s. 380.

[70] KORKMAZ, s. 381-382.

[71] KÜZECİ, s. 407.

[72] EPÖZDEMİR, Rezan; “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK m. 136)” Terazi Hukuk Dergisi, Cilt: 14, Sayı: 151, s. 528-544, Mart 2019, s. 530.

[73] HAFIZOĞULLARI/ÖZEN, s. 21.

[74] EPÖZDEMİR, s. 532.

[75] EPÖZDEMİR, s. 538.

[76] KORKMAZ, s. 395.

[77] DÜLGER, s. 125.

[78] HAFIZOĞULLARI/ÖZEN, s. 21.

[79] KORKMAZ, s. 385. TCK m. 61 “Cezanın Belirlenmesi” hükmü gereğince, hâkim somut olayda, suçun işleniş biçimini, suçun işlenmesinde kullanılan araçları, failin kast veya taksire dayalı kusurunun ağırlığını, failin güttüğü amaç ve saiki dikkate alır.

[80] KORKMAZ, s. 387.

[81] DÜLGER, s. 129-130.

[82] Yargıtay 12. Ceza Dairesi, 29.03.2017 tarih 2015/13758 E. ve 2017/2514 K.

[83] KORKMAZ, s. 389.

[84] DÜLGER, s. 131.

[85] EPÖZDEMİR, s. 532.

[86] DÜLGER, s. 132.

[87] Yargıtay 12. Ceza Dairesi 30.10.2013 tarih, 2013/32137 E. ve 23865 K., ALBAYRAK, Mustafa; “Suçta ve Cezada Kanunilik İlkesi Karşısında Kişisel Verilerle İlgili Suçların Değerlendirilmesi” Terazi Hukuk Dergisi, Cilt: 9, Sayı: 98, Ekim, 2014, s. 65.

[88] HAFIZOĞULLARI/ÖZEN, s. 21.

[89] KORKMAZ, s. 392.

[90] HAFIZOĞULLARI/ÖZEN, s. 21.

[91] KORKMAZ, s. 394.

[92] DÜLGER, s. 132.

[93] HAFIZOĞULLARI/ÖZEN, s. 21.

[94] KORKMAZ, s. 397.

[95] Yargıtay 12. Ceza Dairesi, 11.09.2012 tarih, 2012/16909 E. ve 2012/18226 K. (www.sinerjimevzuat.com.tr)

[96] Yargıtay 12. Ceza Dairesi 23.06.2014 tarih, 2013/27699 E. ve 2014/15376 K., EPÖZDEMİR, s. 534.

[97] KORKMAZ, s. 398.

[98] KORKMAZ, s. 404.

[99] AKDAĞ, s. 128. Bilişim sistemine girmek TCK'nın 243. maddesinde ayrı bir suç olarak düzenlenmiştir. Ancak failin sisteme giriş amacı kişisel verileri ele geçirmekse ve fail elinde olmayan sebeplerle amacına ulaşamamışsa bu takdirde tamamlanmış bir sisteme girme suçu değil, teşebbüs aşamasında kalmış bir kişisel verileri ele geçirme suçu söz konusu olur. Failin sisteme girdikten sonra kişisel verileri ele geçirmekten tamamen kendi iradesi ile vazgeçmesi halinde ise TCK m. 36’da hükme bağlanan gönüllü vazgeçme söz konusu olacaktır.

[100] AKDAĞ, s. 128.

[101] DÜLGER, s. 156-157. “Doktrinde Özbek, teşebbüse ilişkin olarak; suçun neticesinin harekete bitişik olması sebebiyle, suçun teşebbüse elverişli olmadığı görüşünü paylaşmaktadır.”

[102] EPÖZDEMİR, s. 538.

[103] Yargıtay 8. Ceza Dairesi, 31.10.2013 tarih, 2013/10737 E. ve 2013/25854 K.

[104] DÜLGER, s. 157.

[105] AKDAĞ, s. 131.

[106] KORKMAZ, s. 411. Örneğin bir sosyal paylaşım sitesinde farklı günlerde aynı kişinin kişisel verilerinin paylaşılması durumunda zincirleme suç söz konudur.

[107] AKDAĞ, s. 132.

[108] DÜLGER, s. 161.

[109] Yargıtay 12. Ceza Dairesi 08.09.2014 tarih, 2014/1463 E. ve 2014/17262 K.

[110] Yargıtay 12. Ceza Dairesi 07.04.2014 tarih, 2013/15899 E. ve 2014 / 8411 K.

[111] HAFIZOĞULLARI/ÖZEN, s. 22.

[112] KORKMAZ, s. 421.

[113] DÜLGER, s. 122.

[114] DURSUN, İsmail; “Türk Ceza Kanunu’nda Verileri Yok Etmeme Suçu” Kocaeli Üniversitesi Hukuk Fakültesi Dergisi, Sayı:10, Temmuz 2014. s. 24.

[115] 6698 sayılı Kişisel Verilerin Korunması Kanunu m. 4, f. 2-d

[116] KÜZECİ, s. 408.

[117] KETİZMEN, s. 301.

[118] KETİZMEN, s. 302.

[119] KORKMAZ, s. 424.

[120] ŞAHBAZ, İbrahim; “Açıklamalı ve İçtihatlı Türk Ceza Kanunu”, 1. Cilt, Ankara 2016, s. 1612.

[121] HAFIZOĞULLARI/ÖZEN, s. 22. Aynı yönde bkz. DURSUN, s. 14.

[122] DÜLGER, s. 123.

[123] KORKMAZ, s. 427.

[124] DÜLGER, s. 125.

[125] HAFIZOĞULLARI/ÖZEN, s. 22.

[126] KORKMAZ, s. 432.

[127] KORKMAZ. S. 432.

[128] ŞAHBAZ, s. 1613.

[129] HAFIZOĞULLARI/ÖZEN, s. 22.

[130] KÜZECİ, s. 408.

[131] DÜLGER, s. 134.

[132] KÜZECİ, s. 408, KORKMAZ, s. 430-431.

[133] KORKMAZ, s. 428.

[134] DÜLGER, s. 133.

[135] 6698 sayılı Kanun’un m. 17/2’ye göre “Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.”

[136] KORKMAZ, s. 428.

[137] HAFIZOĞULLARI/ÖZEN, s. 22.

[138] KORKMAZ, s. 434.

[139] HAFIZOĞULLARI/ÖZEN, s. 22.

[140] KORKMAZ, s. 434.

[141] KÜZECİ, s. 408.

[142] HAFIZOĞULLARI/ÖZEN, s. 22. DÜLGER, s. 157.

[143] KORKMAZ, s. 425.

[144] ŞAHBAZ, s. 1615, KORKMAZ, S. 435.

[145] KORKMAZ, s. 436.

[146] ŞAHBAZ, s. 1615.

Önceki Sonraki