Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Türk Ceza Hukukunda Kişisel Verilerin Kaydedilmesi Suçu

The Crime of Recording Personal Data in Turkish Criminal Law

Burcu GÖRKEMLİ

Kişisel verilerin kaydedilmesi suçundaki amaç, özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Teknolojik gelişmeler neticesinde, kişisel verilerin iletimi kolaylıkla sağlanabilmektedir. Kişisel veriler, bireylerin özel hayatlarına ait bilgiler içermektedir. Kişisel verilere rahat bir şekilde erişim sağlanması, özel hayatın gizliliği bağlamında toplumu tehdit eden bir süreci başlatmaktadır. Avrupa İnsan Hakları Sözleşmesi’nde kişisel verilerin kaydedilmesi suçu “özel ve aile hayatına saygı hakkı” olarak değerlendirilmektedir. Kişisel verilerin kaydedilmesi suçu, hem Türk Ceza Kanunu’nda hem de Kişisel Verilerin Korunması Kanunu’nda düzenlenmiş ve koruma altına alınmıştır.

Veri, Kişisel Veri, Kişisel Verilerin Kaydedilmesi, Özel Hayat.

The purpose of the crime of recording personal data is to protect confidentiality of private life especially fundamental rights and freedoms of individuals. As a result of technological advancements, the personal data can be easily transmitted. Personal data includes information about the private lives of individuals. To access to the personal data easily poses a threat to the society in the context of privacy. In the European Convention on Human Rights the crime of recording personal data is evaluated as “right to respect for private and family life”. The crime of recording personal data is arranged and taken under protection in both Turkish Criminal Code and Personal Data Protection Code.

Data, Personal Data, Recording of Personal Data, Privacy Life.

I. Giriş

Temel hak ve özgürlüklerden olan özel hayatın gizliliğinin korunması hakkının en hassas alanlarından birisi olan kişisel verilerin korunması anayasal bir haktır. Günümüzde yaşanan bilişim çağında, bireylerin iş hayatlarını, sosyal hayatlarını, aile hayatlarını ve özel hayatlarını çoğunlukla internet ortamında yaşamaları sebebiyle, kişilere ait kişisel verilere çok rahat bir şekilde erişim sağlanabilmektedir. Bu durum kişisel verilerin hukuka aykırı bir şekilde kaydedilmesi suçunun kolaylıkla işlenebilmesinin önünü açmaktadır.

AİHS’de kişisel verilerin kaydedilmesi suçu “özel ve aile hayatına saygı hakkı” bağlamında değerlendirilmekte olup, AİHM’in kişisel verilerin kaydedilmesi ve korunması ile ilgili olarak, kişisel sağlık verilerinin muhafaza edilmesi, kişisel verilerin erişimi, güvenlik soruşturmaları, arşiv ve fiş kayıtları, DNA, parmak izi ve fotoğraf kayıtları hususlarında vermiş olduğu kararlar, kişisel verilerin kaydedilmesi suçuna yönelik yapılacak olan düzenlemeler açısından önem arz etmektedir.

Ceza hukuku mevzuatı çerçevesinde; çalışmamızda kişisel verilerin kaydedilmesi suçuyla korunan hukuksal değer ile söz konusu suçun konusu, faili ve mağduru, maddi ve manevi unsurları, hukuka uygunluk nedenleri ve kusurluluğu kaldıran nedenler üzerinde durularak söz konusu suçun ne zaman tamamlanmış sayılacağı, özel görünüş biçimleri ve bu suça etki eden nitelikli haller ayrıntılı bir şekilde ele alınmıştır. Bu çalışmanın hareket noktası; ceza hukuku mevzuatının kişisel verilerin kaydedilmesi suçuna ilişkin hükümleri, yargı kararları ışığında incelenmek suretiyle, kişisel verileri hukuka aykırı bir şekilde kaydeden kimselerin cezai sorumluluğu üzerinde durulmuştur.

II. Korunan Hukuksal Değer

Hukuk kurallarının temelinde var olan “hukuksal değer”, insan davranışlarının ahlaken ve hukuken onaylanıp onaylanmayacağı hususunda nesnel olmayan, soyut ve manevi bir yargıyı ortaya koymaktadır.1“Hukuksal değerlerin korunması öğretisi” kapsamı içinde bireyin özgürlüğü, bağımsız bir varlık oluşu ve bireyin kişiliğini geliştirmesi yer almaktadır.2 Daha açık bir anlatımla hukuksal değer, “fiilin üzerinde icra edildiği ve suçun konusunu oluşturan insan veya şey gibi somut, gerçek, duyu organları aracılığıyla algılanabilir varlıklar değil, toplumsal düzenin devamı için korunması gereken soyut, manevi, ideal değerlerdir”.3

5237 Sayılı Türk Ceza Kanunu’nun 135’inci maddesinde düzenlenen “Kişisel verilerin kaydedilmesi suçu”nda korunan hukuksal değerin tespiti için, söz konusu suçun kanunda düzenlenmiş olduğu yere bakılması gerekir.4 Kişisel verilerin kaydedilmesi suçu, TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” bölümünde düzenlenmiştir. Bu kapsamda kişisel verilerin kaydedilmesi suçunda korunan hukuksal değer, özel hayatla birlikte hayatın gizli alanı ve özel olarak kişisel verilerdir.5,6 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanmış olan “6698 sayılı Kişisel Verilerin Korunması Kanunu”nda, kişisel verilerin kaydedilmesi suçundaki amaç, özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır.7

Ayrıca herkesin kendisine ait olan kişisel verilerinin sahibi olması ve bu sebeple de mülkiyetinde bulunan söz konusu verilerin nasıl kullanılması gerektiği konusunda kendisinin söz hakkına sahip olması sebebiyle kişisel verilerin kaydedilmesi suçuyla korunan hukuksal değerin mülkiyet hakkı olduğu görüşü de mevcuttur.8 Bunun yanında fikri mülkiyet hakkı görüşü çerçevesinde, kişisel verilerin korunması ile fikri mülkiyet hakkının amaçsal birlikteliği olan bilginin korunması ve dağılımının kontrolü hukuksal değerin tespitinde önemlidir.9

Anayasanın 20’nci maddesinin üçüncü fıkrasında10 bireylerin kişisel verilerinin kaydedilmesi neticesinde, kişisel verilerin korunmasını isteme haklarına sahip oldukları belirtilmiştir. Korunan hukuksal değer kapsamında, kişinin kendisiyle ilgili kayıt altına alınmış olan kişisel veriler hakkında bilgilendirilme, söz konusu verilere erişme, bu verilerin düzeltilmesini veya silinmesini talep etme, verilerin amacına uygun bir şekilde kullanılıp kullanılmadığını öğrenme hakkına sahip oldukları vurgulanmaktadır.

AİHS’de kişisel verilerin kaydedilmesi “özel ve aile hayatına saygı hakkı” bağlamında değerlendirilmekte olup; AİHS’in 8’inci maddesinde11 kişisel veri olarak bireylerin yazışmalarına saygı gösterilmesi gerektiği vurgulanmaktadır. Kişisel verilerin kaydedilmesi suçu ile korunan hukuksal değer son derece önemli olup, bu hakkın kullanılmasına bir kamu makamının müdahalesi, yalnızca müdahalenin kanunla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın yahut başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumlarında söz konusu olacaktır.

Ayrıca AİHM’in M.S./İsveç kararında, kişisel sağlık verilerinin korunmasıyla yalnızca özel hayatın gizliliği muhafaza edilmemekte, aynı zamanda hekimin sır saklama yükümlülüğü çerçevesinde hastanın tıbbi tedaviye ve alacağı sağlık hizmetine güvenmesi de sağlanmaktadır.12

24 Ekim 1995 tarihli Avrupa Birliği Konseyi ve Avrupa Parlamentosu Direktifi’nin 1’inci maddesinde belirtildiği üzere, kişisel verilerin kaydedilmesi suçu ile korunan hukuksal değer, kişisel mahremiyet hakkı olmak üzere bireylerin temel hakları ve özgürlükleridir. Zira, bu verilerin ilişkili olduğu kişilerin korunması amaçlandığından bu suçla korunan hukuki değer kişisel veriler olmayıp, kişisel verilerin ilişkili olduğu kişinin özel hayat hakkıdır.13

III. Suçun Konusu

Suçun maddi konusu, “tipik hareketin üzerinde icra edildiği kişi veya şey” şeklinde tanımlanmaktadır. Suçun maddi konusu, “hareketin konusu” veya “tipik fiilin konusu” şeklinde de adlandırılmaktadır.14 Kişisel verilerin kaydedilmesi suçunun oluşabilmesi için, kayıt yerinin sanal ortam olup olmaması fark etmeksizin, verilerin bir kağıda veya yere yazılması yahut bilişim sistemi veya cihaza kaydedilmesi, saklanması veya depolanması gerekmektedir.15 Anlaşıldığı üzere, kişisel verilerin kaydedilmesi suçunun maddi konusu, tipik hareket olan kaydetme fiilinin üzerinde icra edildiği kişisel verilerdir.

TCK’da kişisel veri kavramına yer verilmemiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda, suçun maddi konusunu oluşturan kişisel veri kavramı, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.16,17 Avrupa Birliği Konseyi ve Avrupa Parlamentosu Direktifi’nde ise, “Kişisel veri fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye ilişkin herhangi bir bilgidir.”

Veri, “hem elektronik hem de elektronik ortam dışında tutulan her tür bilgi”dir.18 Kişisel verilerin kaydedilmesi suçunun konusunu oluşturan verilerin, herkes tarafından bilinmeyen ve paylaşılmadığı sürece bilinmesi mümkün olmayan veriler olması gerekmektedir.19

Kişisel veri kavramı doktrinde, “belirli veya kimliği belirlenebilir olmak şartıyla bir kişiye ilişkin bütün bilgiler” şeklinde tanımlanmaktadır.20,21 Kişisel veri, “Bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgi”22 olarak ifade edilmektedir.

Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddesinin ikinci fıkrasında, kişisel veriler işlenirken uyulması gereken kurallar belirtilmiştir. Bu kapsamda, yapılacak olan kaydetme işleminin hukuka ve dürüstlük kurallarına uygun olması, doğru ve güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gereklidir.

Herhangi bir verinin kişisel veri olarak kabul edilebilmesi için,23 veri ile veri öznesinin adı, e-mail adresi, bir olay, ölçüm, ses veya görüntüsü arasında veri öznesiyle ilişkilendirilebilecek şekilde bir bağlılık bulunmalı ve söz konusu veri gerçek kişiye özgü olmalıdır.24 Ayrıca kişisel verilerin kaydedilmesi sırasında ölü veya hayatta olan gerçek kişi veri öznesi, doğrudan veya dolaylı olarak belirlenebilir olmalıdır.25 Bir bilgi, herhangi bir gerçek kişiyle ilgili26 ve o kişiyi tanımlayabiliyor ise kişisel veridir.27 Kişisel veri olarak isim, doğum tarihi, genetik bilgi, telefon numarası, resim, tercihler vb. de doğrudan belirlemeyi sağlayan kişisel verilere örnektir. Ayrıca kişiyi tanımlayabilir kılan takma ad ve lakaplar da kişisel veri olarak kabul edilmektedir.28

CMK’nın 75’inci ve 76’ncı maddeleri gereğince beden muayenesi neticesinde alınan kan ve benzeri biyolojik örneklerle, saç, tükürük ve tırnak örnekleri ile CMK’nın 78’inci maddesi gereğince moleküler genetik incelemeler sonucunda elde edilen sonuçlar, CMK’nın 80’inci maddesi gereğince kişisel veri olarak hüküm altına alınmış olup, dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemeyeceği belirtilmiştir.

Ayrıca CMK’nın 81’inci maddesinde belirtildiği üzere, Cumhuriyet savcısının emriyle alınan kişilere ait fotoğraf, beden ölçüleri, parmak ve avuç izi, bedeninde yer alan teşhisini kolaylaştıracak diğer özellikler ile ses ve görüntüler kayıt altına alınmaktadır. Kişilerden alınan bu kişisel veriler, kişi hakkında kovuşturmaya yer olmadığı kararına itiraz süresinin dolması, itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip kesinleştiği hallerde ise, Cumhuriyet savcısının huzurunda derhal yok edilip, bu husus tutanağa geçirilecektir.

Yine CMK’nın 135’inci maddesi gereğince, hakim veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının kararıyla şüpheli veya sanığın telekomünikasyon yoluyla iletişimi tespit edilerek kayıt altına alınacaktır. Cumhuriyet savcısı bu kararını derhal hakimin onayına sunacak ve hakim kararını en geç yirmidört saat içinde verecektir. Sürenin dolması veya hakim tarafından aksine karar verilmesi halinde ise kişisel verilerin kaydedilmesine ilişkin Cumhuriyet savcısının kararı derhal kaldırılacaktır.

TCK’nın 135’inci maddesinin ikinci fıkrasında sınırlı sayı ilkesi (numerus clausus) gereğince kişisel veriler belirtilmiş; bu kapsamda kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgiler kişisel veri olarak kabul edilmiştir. Bunun yanında, Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinin birinci fıkrasında, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri kişisel veri olarak kabul edilmekle, söz konusu kanunla kişisel veri çeşitleri artırılmış bulunmaktadır. Ancak özel niteliğe haiz bu verilerin (hassas verilerin) işlenebilmesi için ilgili kişinin açık rızasının alınması ve “Kişisel Verileri Koruma Kurulu” tarafından yeterli önlemlerin sağlanması gerekmektedir.

Hassas veri, kişisel verilere oranla daha fazla korumaya sahip olan küçük kişisel veri grubudur.29 Bu kapsamda, hassas verilerin koruyucu nitelikli özel kanuni düzenlemeler ışığında işlenebileceği açık olup, aksi durumda bu türden verilerin işlenebilmesi yasak olmalıdır.30 Kişisel Verilerin Korunmasına İlişkin Avrupa Birliği Yönergesi’nin 8’inci maddesinde, “ırksal ya da etnik kökeni, siyasi görüşleri, dini ya da felsefi inançları ve sendika üyeliğini açığa çıkaracak veriler ile sağlık ya da cinsel yaşamla ilgili olan veriler” hassas veri olarak nitelendirilmiş olup, bu verilerin işlenebilmesi ancak veri sahibinin açık rızasıyla mümkündür.31

Kamu sektöründe veya özel sektörde otomatik kişisel veri dosyaları tutulabilmekte veya kişisel verilerin otomatik işleme tabi tutulması söz konusu olabilmektedir. Ancak bütün bu işlemler yapılırken hukukun üstünlüğü göz önünde bulundurularak insan hakları ve temel özgürlükler çerçevesinde hareket edilmesi gerekir. Bu noktada, kişisel verilerin otomatik olarak kaydedilebilmesi için 28 Ocak 1981 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne taraf olan devletlerin uymaları gereken kurallar vardır. Söz konusu Sözleşme’ye göre otomatik işleme tabi olacak kişisel verilerin, adil bir biçimde ve kanuni yoldan elde edilmesi ve işlenmesi, belli ve meşru amaçlar için kaydedilmesi ve bu amaçlara aykırı bir şekilde kullanılmaması, kaydedilme amaçlarına göre uygun ve yerinde olması, aşırı olmaması, doğru bilgiyi yansıtması ve gerektiğinde güncellenmesi, kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde, ilgili kişilerin kimliklerini belirlemeye imkan veren bir biçimde saklanması gerekmektedir.

Ayrıca 28 Ocak 1981 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nde özel veri kategorilerinden olan ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel veriler, iç hukukta uygun güvenceler sağlanmadıkça otomatik işleme tabi tutulamayacaklardır.