BİLİŞİM HUKUKU Dersi Türkiye’de Kişisel Verilerin Korunması soru detayı:
SORU:
Kişisel verilerin korunmasının Türk Ceza Kanunu'nda düzenlenişi genel olarak nasıldır?
CEVAP: Özellikle son yıllarda kabul edilen yasal düzenlemelerde kişisel verilerin korunmasına yönelik hüküm- lere yer verildiği görülmektedir. Bunlar içerisinde şüphesiz en dikkat çekici olan, 1 Haziran 2005 tarihinde yürürlüğe giren yeni Türk Ceza Kanunu uyarınca kişisel verilerin hukuka aykırı kayıt edilmesi, verileri hu- kuka aykırı verme, yayma veya ele geçirme ile gereken sürelerin geçmesine karşın verileri yok etmemenin suç olarak düzenlenmesidir. Bu açıdan Türk hukuk sisteminde yasal düzeyde konuya ilişkin en kapsamlı korumanın Türk Ceza Kanunu’nda (TCK) yer aldığı söylenebilir.
Öncelikle TCK’nin 135. maddesi uyarınca kişisel verilerin hukuka aykırı olarak kaydedilmesi suçtur. Buna göre kişisel verileri hukuka aykırı olarak kayıt eden kimseye bir yıldan üç yıla kadar hapis cezasının verilmesi öngörülmüştür. Kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına ve sendikal bağlantılarına ilişkin bilgileri hukuka aykırı olarak kaydeden kimse de aynı yaptırım ile cezalandırılacaktır.
Şuna işaret etmek gerekir: TCK’nin 135. maddesinde yalnızca verilerin işlenmesinin bir türü olan kayıt etmenin suç olarak belirlenmiştir. Oysa bir önceki bölümde açıklandığı üzere kişisel verilerin işlenmesi yalnızca kayıt etmeyi değil, toplanma, kullanma, aktarma gibi çeşitli eylemleri içeren bir süreçtir. TCK’nin aşağıda incelenecek izleyen hükümlerinde bu eylemlerin bir kısmına ilişkin düzenlemeler bulunmaktadır. Ancak özellikle kişisel verilerin hukuka aykırı olarak kullanılmasına ilişkin düzenlemeye yasada yer veril- mediği görülmektedir. Bu durumda hukuka uygun şekilde toplanan ve kayıt altına alınan kişisel verilerin sonraki kullanımlarında oluşabilecek aykırılıklar yaptırımsız kalabilir.
TCK’nin 136. maddesinde ise ki- şisel verileri hukuka aykırı olarak baş- kasına vermek, yaymak ve ele geçirmek suçu düzenlenmiştir. Buna göre;
“Kişisel verileri, hukuka aykırı olarak bir başka- sına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır”.
Belirtilen eylemlerin yaptırıma bağlanmasın- daki amaç kişisel verilerin yetkisiz üçüncü kişilere aktarılmasını ve ele geçirilmesini önlemektir. Bu bakımdan verinin kaydedilmesinin hukuka uygun olup olmadığı, suçun oluşması açısından önemli değildir. 136. maddede verme, yayma ve ele geçir- me seçimlik hareketler olarak belirlenmiştir. Kişisel verilerin hukuka aykırı olarak verme ve yayma ha- reketlerinin yaptırıma bağlanmasındaki amaç yet- kisiz üçüncü kişilere aktarılmasını önlemektir. Ay- rıca kişisel verileri daha önceden kaydedilmiş olsun ya da olmasın hukuka aykırı olarak ele geçiren kişi 136. madde hükmünce cezalandırılacaktır.
Daha önceden verinin kaydedilmesinin hukuka uygun olup olmamasının suçun oluşması açısından bir önemi bulunmamaktadır. Nitekim 136. mad- denin gerekçesinde şu ifade yer almaktadır:
“Bu madde hükmü ile, hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yay- mak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır”.
136. maddede yer alan düzenleme kişisel verile- rin korunmasını sağlayıcı bir niteliktedir. Bu nok- tada önlenmek istenen eylemler arasında kimlik hırsızlığı örnek olarak gösterilebilir.
Konuya ilişkin bir diğer önemli düzenleme- nin TCK’nin 138. maddesinde yer aldığı görülür.
Buna göre:
“Kanunların belirlediği sürenin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıl- dan iki yıla kadar hapis cezası verilir”. Hükme 2014 yılında eklenen fıkra uyarınca ise “Suçun konusu- nun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”
TCK’nin 138.maddesi ile, kişisel verilerin ko- runması alanında temel ilkelerden biri olan verile- rin süresiz olarak tutulmaması gerekliliğinin karşı- landığı söylenebilir. O hâlde bilgileri hukuka aykırı olarak elde eden, kaydeden ve kullanan kişilerin de ilgili mevzuatta belirtilen sürelerin geçmesinin ar- dından bunları yok etmesi bir zorunluluktur.
Belirtmek gerekir ki bu suçların hiç birinin takibi şikayete bağlı değildir. Ayrıca Türk Ceza Kanunun 135. ve 136. maddesinde düzenlenen suçların kamu görevlisi tarafından ve görevinin verdiği yetki kö- tüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi hâli ağırlaştırıcı sebep olarak belirlenmiş ve cezanın yarı oranında arttırılacağı hüküm altına alınmıştır. Bunun yanında bu üç maddede yer alan suçların tüzel kişiler tarafından işlenmesi hâlinde bunlara özgü güvenlik tedbirleri uygulanacaktır.
TCK’de konuya ilişkin olarak belirtilen suçlara ve yaptırımlara yer verilmiş olmasına karşın, bu eylem- lerin tanımlandığı ve kişisel verilerin korunmasında temel ilkelerin belirlendiği bir düzenlemenin bulun- maması önemli bir eksiklik olarak hissedilmektedir. Bu kapsamda özellikle “kişisel veri”nin tanımı konu- sunda mevzuatımızda açıklayıcı hükümlerin son de- rece sınırlı olması ve temel ilkelerin düzenlememesi nedeniyle “hukuka aykırılık”ın belirlenmesinde yaşa- nan güçlükler özellikle dikkat çekicidir.
Özellikle son yıllarda kabul edilen yasal düzenlemelerde kişisel verilerin korunmasına yönelik hüküm- lere yer verildiği görülmektedir. Bunlar içerisinde şüphesiz en dikkat çekici olan, 1 Haziran 2005 tarihinde yürürlüğe giren yeni Türk Ceza Kanunu uyarınca kişisel verilerin hukuka aykırı kayıt edilmesi, verileri hu- kuka aykırı verme, yayma veya ele geçirme ile gereken sürelerin geçmesine karşın verileri yok etmemenin suç olarak düzenlenmesidir. Bu açıdan Türk hukuk sisteminde yasal düzeyde konuya ilişkin en kapsamlı korumanın Türk Ceza Kanunu’nda (TCK) yer aldığı söylenebilir.
Öncelikle TCK’nin 135. maddesi uyarınca kişisel verilerin hukuka aykırı olarak kaydedilmesi suçtur. Buna göre kişisel verileri hukuka aykırı olarak kayıt eden kimseye bir yıldan üç yıla kadar hapis cezasının verilmesi öngörülmüştür. Kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına ve sendikal bağlantılarına ilişkin bilgileri hukuka aykırı olarak kaydeden kimse de aynı yaptırım ile cezalandırılacaktır.
Şuna işaret etmek gerekir: TCK’nin 135. maddesinde yalnızca verilerin işlenmesinin bir türü olan kayıt etmenin suç olarak belirlenmiştir. Oysa bir önceki bölümde açıklandığı üzere kişisel verilerin işlenmesi yalnızca kayıt etmeyi değil, toplanma, kullanma, aktarma gibi çeşitli eylemleri içeren bir süreçtir. TCK’nin aşağıda incelenecek izleyen hükümlerinde bu eylemlerin bir kısmına ilişkin düzenlemeler bulunmaktadır. Ancak özellikle kişisel verilerin hukuka aykırı olarak kullanılmasına ilişkin düzenlemeye yasada yer veril- mediği görülmektedir. Bu durumda hukuka uygun şekilde toplanan ve kayıt altına alınan kişisel verilerin sonraki kullanımlarında oluşabilecek aykırılıklar yaptırımsız kalabilir.
TCK’nin 136. maddesinde ise ki- şisel verileri hukuka aykırı olarak baş- kasına vermek, yaymak ve ele geçirmek suçu düzenlenmiştir. Buna göre;
“Kişisel verileri, hukuka aykırı olarak bir başka- sına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır”.
Belirtilen eylemlerin yaptırıma bağlanmasın- daki amaç kişisel verilerin yetkisiz üçüncü kişilere aktarılmasını ve ele geçirilmesini önlemektir. Bu bakımdan verinin kaydedilmesinin hukuka uygun olup olmadığı, suçun oluşması açısından önemli değildir. 136. maddede verme, yayma ve ele geçir- me seçimlik hareketler olarak belirlenmiştir. Kişisel verilerin hukuka aykırı olarak verme ve yayma ha- reketlerinin yaptırıma bağlanmasındaki amaç yet- kisiz üçüncü kişilere aktarılmasını önlemektir. Ay- rıca kişisel verileri daha önceden kaydedilmiş olsun ya da olmasın hukuka aykırı olarak ele geçiren kişi 136. madde hükmünce cezalandırılacaktır.
Daha önceden verinin kaydedilmesinin hukuka uygun olup olmamasının suçun oluşması açısından bir önemi bulunmamaktadır. Nitekim 136. mad- denin gerekçesinde şu ifade yer almaktadır:
“Bu madde hükmü ile, hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yay- mak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır”.
136. maddede yer alan düzenleme kişisel verile- rin korunmasını sağlayıcı bir niteliktedir. Bu nok- tada önlenmek istenen eylemler arasında kimlik hırsızlığı örnek olarak gösterilebilir.
Konuya ilişkin bir diğer önemli düzenleme- nin TCK’nin 138. maddesinde yer aldığı görülür.
Buna göre:
“Kanunların belirlediği sürenin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıl- dan iki yıla kadar hapis cezası verilir”. Hükme 2014 yılında eklenen fıkra uyarınca ise “Suçun konusu- nun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”
TCK’nin 138.maddesi ile, kişisel verilerin ko- runması alanında temel ilkelerden biri olan verile- rin süresiz olarak tutulmaması gerekliliğinin karşı- landığı söylenebilir. O hâlde bilgileri hukuka aykırı olarak elde eden, kaydeden ve kullanan kişilerin de ilgili mevzuatta belirtilen sürelerin geçmesinin ar- dından bunları yok etmesi bir zorunluluktur.
Belirtmek gerekir ki bu suçların hiç birinin takibi şikayete bağlı değildir. Ayrıca Türk Ceza Kanunun 135. ve 136. maddesinde düzenlenen suçların kamu görevlisi tarafından ve görevinin verdiği yetki kö- tüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi hâli ağırlaştırıcı sebep olarak belirlenmiş ve cezanın yarı oranında arttırılacağı hüküm altına alınmıştır. Bunun yanında bu üç maddede yer alan suçların tüzel kişiler tarafından işlenmesi hâlinde bunlara özgü güvenlik tedbirleri uygulanacaktır.
TCK’de konuya ilişkin olarak belirtilen suçlara ve yaptırımlara yer verilmiş olmasına karşın, bu eylem- lerin tanımlandığı ve kişisel verilerin korunmasında temel ilkelerin belirlendiği bir düzenlemenin bulun- maması önemli bir eksiklik olarak hissedilmektedir. Bu kapsamda özellikle “kişisel veri”nin tanımı konu- sunda mevzuatımızda açıklayıcı hükümlerin son de- rece sınırlı olması ve temel ilkelerin düzenlememesi nedeniyle “hukuka aykırılık”ın belirlenmesinde yaşa- nan güçlükler özellikle dikkat çekicidir.