Türk Ceza Kanunu’nun (“TCK”) 135 ila 138. maddeleri arasında kişisel verilerle ilgili suçlar düzenlenmiştir. Bunlar kişisel verilerin kaydedilmesi (TCK m. 135), verileri hukuka aykırı olarak verme veya ele geçirme (TCK m. 136) ile verileri yok etmeme (TCK m. 138) suçlarıdır.
Kişisel veri suçları ile kişilerin kişisel verilerinin korunması hakkı ve bu bağlamda özel hayat alanı korunurken bu verilerin ve verilerin saklandığı sistemlerin güvenliği de koruma altına alınmaktadır.
TCK m. 139 ile açıkça düzenlendiği üzere kişisel veri suçları şikayete bağlı değildir. Diğer bir deyişle, mağdurun şikayeti olmasa dahi bu suç adli makamlarca re’sen soruşturulacak ve kovuşturulacaktır.
Kişisel verilere dair temel mevzuat olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 17/1 ile kişisel verilere ilişkin suçlar bakımından TCK m. 135 ve devamındaki hükümlerin uygulanacağı düzenlenmiştir. Buna göre TCK’da düzenlenen kişisel veri suçlarının unsurlarının belirlenmesinde KVKK’da yer alan düzenlemeler önem taşımaktadır. Bu unsurların başında suçların konusu olan kişisel veriler gelmektedir.
KVKK m. 3/1-d ile kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Madde gerekçesinde ise kişisel verilerin kapsamı “(…) Sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.” şeklinde açıklamıştır.
KVKK uyarınca kişisel veri kavramının kapsamı oldukça geniştir. Kişisel veri suçlarına ilişkin değerlendirmelerinde Yargıtay ceza daireleri de bu geniş kapsamı benimsemektedir. Yargıtay’a göre T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, anne ve baba adı, adli sicil kaydı, yerleşim yeri, eğitim durumu, meslek, banka hesap bilgileri, telefon numarası, e-posta adresi, kan grubu, medeni hal, parmak izi gibi biyolojik örnekler, cinsel ve ahlaki eğilim gibi pek çok veri kişisel veri olarak değerlendirilmelidir. Yine Yargıtay’a göre kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi kişisel veridir (Yargıtay 12. CD. 2018/8295 E., 2019/6858 K. sayılı ve 29.05.2019 tarihli kararı).
Günümüzde kişisel veriler hassasiyet arz eden bir konu haline gelmiştir. Nitekim faaliyetlerinde kişisel verilerin işlenmesi zorunluluğu bulunan kurum ve kuruluşların bu verileri nasıl işleyeceği ve saklayacağı hususları sıklıkla tartışma konusu olmaktadır. KVKK kapsamında 2017 ila 2019 yılları arasında yayınlanan uygulama yönetmelikleri bu tartışmaları yoğunlaştırmıştır. Zira 2019 yılı itibariyle Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kullanıma açılmış, belirli işletmelere bu sisteme kayıt olma ve işledikleri kişisel verilerle ilgili güncel bilgilendirme sağlama yükümlülüğü getirilmiştir. Kişisel verileri elinde bulunduran üçüncü kişilerin bu verileri işleme ve saklama süreçleri, Kişisel Verileri Koruma Kurumu tarafından titizlikle denetlenmektedir.
Kişisel verileri işleyen kamu ve özel hukuk tüzel kişilerinin faaliyetlerinde gerçekleşen hukuka aykırılıklar, kimi zaman TCK ile düzenlenen kişisel veri suçlarının uygulama alanını oluşturmaktadır. Bununla birlikte kişisel veri suçları, herhangi bir işletmenin faaliyeti bulunmayan durumlarda da sıklıkla işlenmektedir.
Kişiyi belirlenebilir kılan her türden bilgisi kişisel veri niteliğindedir. Bu doğrultuda, kişinin kimliğinin belli olduğu veya içerikteki herhangi bir unsurdan kimliğin belirlenebilir olduğu görüntülerin de kişisel veri teşkil ettiğini kabul etmek gerekir.
Yargıtay kişisel veri suçlarına ilişkin kararlarında mahrem görüntülerin kişisel veri teşkil etmediğinden bahisle özel hayatın gizliliğini ihlal (TCK m. 134) suçu kapsamında değerlendirme yapma eğilimindedir. Nitekim yerleşik içtihadı ile kişilerin fiziksel veya cinsel mahremiyetine ilişkin görüntülerin kişisel veri suçlarının konusu olmayacağını belirtmektedir (Yargıtay 4. CD. 2014/50490 E., 2019/5541 K. sayılı ve 28.03.2019 tarihli kararı; 18. CD. 2015/29778 E., 2017/6148 K. sayılı ve 22.05.2017 tarihli kararı).
TCK m. 135 ile kişisel verileri hukuka aykırı olarak kaydeden kişilere bir yıldan üç yıla kadar hapis cezası verileceği düzenlenmiştir.
Kişisel verilerin kaydedilmesi suçunun faili herkes olabileceği gibi mağduru da kişisel verisi kaydedilen herhangi bir gerçek kişi olabilir.
Suçun oluşması için gereken kaydetme eylemi pek çok şekilde gerçekleştirilebilir. Kişisel verilerin bir bilişim sistemine kaydedilmesi, bir kağıda yazılması, fotoğrafının çekilmesi gibi pek çok durumda kişisel verilerin kaydedilmesinden bahsedilebilir.
Kişisel verilerin kaydedilmesi suçunun oluşması için verinin herhangi bir ortama kaydedilmesi yeterlidir. Diğer bir deyişle kaydedilen verinin sonradan herhangi bir amaçla kullanılıp kullanılmadığı, ortaya bir zarar çıkıp çıkmadığı hususları önem taşımaz. Yargıtay katılanın özel fotoğraflarını bilgisayarına kaydeden failin salt bu eyleminin suçu oluşturacağını değerlendirmiştir (Yargıtay 12. CD. 2014/23302 E., 2015/5841 K. sayılı ve 06.04.2015 tarihli kararı).
TCK m. 135/2 ile kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması, suçun nitelikli hali olarak düzenlenmiştir. KVKK m. 6 ile gösterilen özel nitelikli kişisel verilerle büyük oranda örtüşen bu düzenleme ile birtakım kişisel verilerin daha hassas veriler olduğu kabul edilmiştir. Bu verilerin kaydedilmesi halinde TCK m. 135/1 uyarınca verilecek ceza yarı oranında artırılacaktır.
TCK m. 136 ile kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir. Herkes bu suçun faili olabileceği gibi, kişisel verileri hukuka aykırı biçimde başkasına verilen, yayılan veya ele geçirilen her gerçek kişi suçun mağduru olabilir.
Anılan suç kapsamında verme, mağdura ait kişisel verinin fail tarafından üçüncü bir kişiye ulaştırılmasını, aktarılmasını ifade eder. Aynı doğrultuda yayma unsurundan da kişisel verinin tek bir eylemle birden fazla kişiye ulaştırılmasını anlamak yerinde olacaktır. Örneğin kişisel verinin bir sosyal medya hesabından gönderi olarak paylaşılması bu kapsamda düşünülebilir.
Ele geçirme eyleminden ise bir ortamda kaydedilmiş kişisel verilerin hukuka aykırı yöntemlerle elde edilmesi anlaşılmalıdır. Örneğin bir bankanın müşterilerine ait kişisel verileri sakladığı bilişim sistemine girilmesi ile bu kişisel verilerin fail tarafından elde edilmesi halinde ele geçirmeden söz edilebilir.
Kişisel veriyi vermek, yaymak veya ele geçirmekten söz edebilmek için öncelikle verinin hukuka aykırı biçimde kaydedilmesi gerekir. Diğer bir deyişle TCK m. 136’nın oluşması için kişisel verilerin “kaydedilmiş halde” bulunması, bu haliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi lazımdır (Yargıtay 12. CD. 2018/8152 E., 2019/4886 K. sayılı ve 10.04.2019 tarihli kararı). Bu durumlarda eylemler bir bütün olarak TCK m. 136 kapsamında değerlendirilmelidir (Yargıtay 12. CD. 2017/5654 E., 2018/2911 K. sayılı ve 14.03.2018 tarihli kararı).
Yargıtay mağdurun Facebook hesabındaki profil resminin fail tarafından bir Facebook grubunda yayınlanmasını (Yargıtay 12. CD. 2019/532 E., 2019/10827 K. sayılı ve 13.11.2019 tarihli kararı), mağdura ait cep telefonu numarasının rızası dışında üçüncü kişiye verilmesini (Yargıtay 12. CD. 2018/8466 E., 2019/9054 K. sayılı ve 18.09.2019 tarihli kararı), avukat olan mağdurun baroya göndermiş olduğu fotoğraf ile avukatlık bilgilerinin “avukatlar.xyz” isimli bir internet sitesinde paylaşılmasını (Yargıtay 12. CD. 2019/3534 E., 2019/5452 K. sayılı ve 24.04.2019 tarihli kararı) TCK m. 136 kapsamında değerlendirmiştir.
TCK m. 136’ya 7188 s. Kanun ile 2019 tarihinde eklenen 2. fıkraya göre, suçun soruşturma ve kovuşturmada nitelikli cinsel istismar suçunun (TCK m. 103/2) mağduru olan çocuk ile nitelikli cinsel saldırı suçunun (TCK m. 102/2) mağduruna ait kaydedilmiş beyanlarla ilgili işlenmesi halinde verilecek ceza bir kat artırılır.
TCK m. 137/1 ile TCK’nın kişisel veri suçlarının da yer aldığı Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar başlıklı bölümünde yer alan suçlar (TCK m. 132 ila 136) için birtakım nitelikli haller gösterilmiştir. Kişisel veri suçları kapsamında da TCK m. 135 ile m. 136 ile düzenlenen suçlar için bu nitelikli haller uygulama alanı bulacaktır.
TCK m. 137’ye göre suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi ile belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi hallerinde verilecek ceza yarı oranında artırılır.
TCK m. 138/1 ile kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara, bu görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
Verileri yok etmeme, ihmali hareketle işlenen bir suçtur. Ancak kişisel verileri yok etmekle yükümlü kişiler tarafından işlenebilecek bir suç olduğundan özgü suç niteliği vardır. Suçun mağduru ise herkes olabilir.
TCK m. 138 kapsamında “yok etme” kavramından ne anlaşılması gerektiği de maddede açıkça belirtilmemiştir. Burada KVKK anlamında bir imha yöntemi olarak yok etmeden bahsedildiği kabul edilebilir. Bununla birlikte KVKK’da kişisel veriler bakımından iki temel imha yöntemi daha benimsenmiş olup bunlar silme ve anonim hale getirmedir. Ayrı bir suç tipinin düzenlendiği KVKK m. 17/2 ile kişisel verileri silmeyen veya anonim hale getirmeyenlerin de TCK m. 138’e göre cezalandırılacağı açıkça düzenlenmiştir. Öyleyse kanuni süresi geldiği halde bu üç yöntem uyarınca imha edilmeyen kişisel veriler bakımından fail, TCK m. 138 uyarınca cezalandırılacaktır.
Kanuni düzenlemede yer verilen kişisel verilerin yok edilmesi gereken “sistem” kavramından ne anlaşılması gerektiği açık değildir. Bu sistem bir bilişim sistemi olabileceği gibi fiziki ortamda elle tutulan bir kayıt sistemi de olabilir.
Suçun oluşması için kişisel verinin yok edilmesiyle ilgili yasal düzenlemeyle gösterilmiş açık, öngörülebilir, belirli bir süreden bahsedilebiliyor olmalıdır. Buna örnek olarak iletişim içerikleri için CMK m. 137/3 ile gösterilen on günlük yok etme süresi gösterilebilir.
Kişisel verilerin saklanması için farklı hukuki düzenlemelerde farklı süreler öngörülmüştür. KVKK m. 7/3 ile kişisel verilerin imhasına ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Atıfta bulunulan yönetmelik (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik) 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayınlanmış, yönetmelikte bu yasal sürelerin ne şekilde belirleneceği de gösterilmiştir. Yönetmeliklerle veya veri imha politikaları ile gösterilen imha sürelerine uymamanın TCK m. 138 kapsamında cezalandırılıp cezalandırılmayacağı hususu da tartışmaya açıktır. Bununla birlikte KVKK m. 17/2 göndermesiyle KVKK m. 7 uyarınca “kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde” imha edilmeyen veriler hakkında da TCK m. 138’in uygulanıp uygulanmayacağı tartışılmaktadır. Bu bağlamda veri işleme sebebinin ne zaman ortadan kalkacağı veya kişisel verilerin saklanmasındaki makul sürelerin nasıl belirleneceği hususunda genel geçer bir belirleme yapmak güçtür. Kanımızca suçta ve cezada kanunilik ilkesi gereğince TCK m. 138 uyarınca cezalandırılabilmesi için kişisel verilerin imha edilme şartları ve saklanma sürelerinin kanunla açıkça gösterilmesi gerekmektedir.
TCK m. 138/2’ye göre verileri yok etmeme suçuna konu olan kişisel veri, CMK hükümlerince ortadan kaldırılması veya yok edilmesi gereken bir veri ise verilecek ceza bir kat artırılır.
Yargıtay, kişisel veri suçlarına ilişkin içtihadında sıklıkla “hukuka aykırı hareket etme bilinci” kavramına değinmektedir. Yargıtay pek çok kararında, kişisel veri suçlarının yasal unsurları oluşmasına rağmen failin hukuka aykırı hareket etme bilinciyle hareket etmediğinden bahisle beraatına karar verilmesi gerektiğine hükmetmiştir.
Yargıtay “Verileri hukuka aykırı olarak verme veya ele geçirme suçunun uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir.” şeklindeki yerleşik içtihadı ile kişisel veri suçlarında gözetilmesi gereken hukuka aykırılık bilinci değerlendirmesine sıklıkla değinmektedir (Yargıtay 12. CD. 2018/8144 E., 2019/8317 K. sayılı ve 10.07.2019 tarihli kararı).
Sözü edilen kavram, kişisel verilerin delil elde etme amacıyla kaydedilmesi ve verilmesi hallerinde sıklıkla karşımıza çıkmaktadır. Yargıtay, bir suç soruşturmasına veya özel hukuk davasına delil teşkil etmesi amacıyla mağdurun kişisel verilerini kaydeden ve başkasına veren faillerin hukuka aykırı hareket etme bilinci taşımadığına işaret etmektedir. Örneğin miras meseleleri ve davalarıyla ilgili gizli bilgilerin sızdırılması hususlarında aile üyelerinden şüphelenen sanığın eve yerleştirdiği dinleme cihazlarından elde ettiği delili eşiyle boşanma davasında kullanması olayında Yargıtay bu kavrama değinmiştir (Yargıtay 12. CD. 2018/8078 E., 2019/4873 K. sayılı ve 10.04.2019 tarihli kararı). Yine benzer şekilde Yargıtay, açmış olduğu davada delil elde etmek amacıyla katılanla yaptığı yüz yüze görüşmeleri kaydeden sanığın eyleminin hukuka aykırı hareket etme bilinci taşımadığını belirlemiştir (Yargıtay 12. CD. 2018/8597 E., 2019/5459 K. sayılı ve 24.04.2019 tarihli kararı). Yargıtay bu yöndeki yerleşik içtihadında suça konu edilen kişisel verilerin özel hayat alanıyla ilgisini, üçüncü kişilerle paylaşılıp paylaşılmadığını, çoğaltılarak dağıtılıp dağıtılmadığını değerlendirerek failin delil elde etme amacını tartışmaktadır.
Bir kararında Yargıtay, kendisine ücreti alınmadan haksız olarak daire verildiği yönündeki ithamlardan kurtulmak amacıyla katılanın kişisel verisi niteliğindeki ödeme belgesini Facebook üzerinden yayınlayan failin bu hareketinde hukuka aykırı hareket etme bilinci bulunmadığına hükmetmiştir (Yargıtay 12. CD. 2018/4615 E., 2018/9486 K. sayılı ve 10.10.2018 tarihli kararı). Yargıtay bu kararı ile adli bir makama sunulacak delillerin ötesinde, salt üzerindeki sosyal baskıdan kurtulmak isteyen failin hakkındaki herhangi bir şüpheyi dağıtmak amacıyla başkasına ait kişisel veriyi yayınlamasını da hukuka uygun bulmuştur.
Yargıtay tarafından geliştirilen bu yerleşik içtihat, tartışmaya açıktır. Zira kural olarak suçun işlenmesinde failin kastı suçun unsurlarına yöneliktir. Diğer bir deyişle mahkemelerce failin hukuka aykırı davranma bilincinde olup olmaması değil, kanunda suç olarak tanımlanan eylemi bilerek ve isteyerek gerçekleştirilmesi incelenmelidir. Failin gerçekleştirdiği eylemin hukuka aykırı olmadığı, haksızlık oluşturmadığı inancıyla hareket etmesi hali ceza hukukumuzda yalnızca TCK m. 30/4 ile koruma altına alınmıştır. Failin düştüğü bu hukuki hatadan yararlanabilmesi için hatanın “kaçınılmaz” olması zorunludur. Diğer bir deyişle fail sosyal konumu, kişisel yetenekleri, sahip olduğu değer yargıları doğrultusunda eylemin haksızlık içeriğini algılayamayacak istisnai bir durumda olmalıdır. Oysa sözü edilen içtihadında Yargıtay, kaçınılmazlık denetimine işaret etmemektedir.
Öte yandan TCK m. 135 ve 136’da “hukuka aykırı” davranmak suç unsuru olarak ayrıca düzenleme altına alınmıştır. Hukuka özel aykırılık olarak da anılan bu durum söz konusu olduğunda failin hukuka aykırılık bilinci taşıyıp taşımadığının ayrıca değerlendirilmesi gerektiği savunulmaktadır. Buna karşılık Yargıtay’ın kişisel veri suçlarında sıklıkla vurguladığı “hukuka aykırı hareket etme bilinci” kavramının hangi kurum çerçevesinde ele alındığı açık değildir. Kanımızca suç tipine dair yargı kararlarındaki bu yerleşik istisnanın kanunda açıkça düzenlenmesi gerekir.
TCK’da kanun hükmünü ve amirin emrini yerine getirme, meşru savunma, hakkın kullanılması ve ilgilinin rızası hukuka uygunluk sebepleri olarak düzenlenmiştir. Kişisel veri suçlarında ilgilinin rızası ile kanun hükmünün yerine getirilmesi, hukuka uygunluk sebepleri olarak özellik arz etmektedir.
KVKK m. 5/1’e göre kişisel verilerin işlenmesi için kişinin açık rızasının alınması gerekir. KVKK m. 3/1-a’ya göre ise açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” anlamına gelmektedir. Bu rızayı “aydınlatılmış onam” olarak anmak da mümkündür. Kişisel verisinin herhangi bir işleme tabi tutulabilmesi, kişinin tüm süreçle ilgili aydınlatılmasına bağlıdır. Kişi hangi verisinin, ne amaçla, ne kadar süreyle, hangi yöntemle işleneceğini bilmeli ve buna serbest iradesiyle rıza göstermelidir. Aksi halde kişisel verilerin işlenmesi yasaktır. Bu açık rıza kavramını TCK ile düzenlenen kişisel veri suçları bakımından da esas almak yerinde olacaktır. Zira kişinin KVKK anlamında açık rızası yoksa kaydetme, verme, ele geçirme eylemlerinde rıza bir hukuka uygunluk sebebi olarak değerlendirilmemelidir.
Kanun hükmünün yerine getirilmesi bakımından da KVKK yol göstericidir. Zira KVKK m. 5/2 ile kişinin açık rızası bulunmayan hangi hallerde kişisel verilerin işlenebileceği sayılmıştır. Bu hususlar, TCK ile düzenlenen kişisel veri suçları bakımından hukuka uygunluk sebebi teşkil edecektir. Özel nitelikli kişisel verilerin düzenlendiği KVKK m. 6 ile hukuka uygunluk sebebi teşkil edecek durumlar daha sınırlı şekilde gösterilmiştir.
Kişisel veri suçlarında hukuka uygunluk sebepleri belirlenirken KVKK ve ilgili sair kişisel veri mevzuatının dikkatle incelenerek göz önünde bulundurulması gerekir. Bu doğrultuda kişisel veriyi elinde bulunduran kişilerin yasal yetki ve sorumluluklarının titizlikle belirlenmesi zorunludur.
Anayasa m. 38/7 ve TCK m. 20/1 ile ceza sorumluluğunun şahsiliği prensibi güvence altına alınmıştır. Buna göre hiç kimse, bir başkasının eyleminden cezai anlamda sorumlu tutulamaz. Bu kapsamda, tüzel kişilerin faaliyeti çerçevesinde işlenen suçlar ancak suç teşkil eden eylemi gerçekleştiren gerçek kişi özelinde cezalandırılabilir. Bununla birlikte kişisel veri suçları, tüzel kişi faaliyeti çerçevesinde işlenmişse tüzel kişilere özgü güvenlik tedbirlerine hükmedilmesi mümkündür (TCK m. 140). TCK m. 60 ile düzenlenen tüzel kişiler hakkındaki güvenlik tedbirlerine ise müsadere örnek gösterilebilir.
Tüzel kişinin faaliyeti çerçevesinde işlenen suçlarda, failin belirlenmesi uygulamada sıklıkla sorun oluşturmaktadır. Örneğin bazı durumlarda bir şirketin tüm yönetim kurulu üyeleri ceza soruşturmasında şüpheli konumuna getirilmektedir. Oysa ancak kasten işlenebilen kişisel veri suçlarında suç kastını taşıyarak eylemi gerçekleştiren gerçek kişi failin tespit edilmesi gerekir. Örneğin işi gereği elde ettiği müşteri bilgilerini çıkar amaçlı üçüncü kişiye veren bir banka çalışanının eyleminden bankanın üst düzey yetkilileri sorumlu tutulamayacaktır. Benzer şekilde müşterilerine ait kişisel verileri yanında getirdiği harici belleğe kötü niyetli şekilde kaydeden sigorta şirketi çalışanının bu eyleminden yalnızca kendisi ve onunla işbirliği halinde hareket edenler sorumlu olacaktır.
Verileri yok etmeme suçunda ise fail, kişisel verilerin tutulduğu sistemden verileri kanuni süresi uyarınca yok etmekle yükümlü olan gerçek kişidir. KVKK m. 7/1 ile kişisel verilerin imhası görevi veri sorumlusuna verilmiştir. Aynı kanunun m. 3/1-ı hükmüne göre veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade eder. İlgili mevzuata göre kişisel veri işleyen pek çok kurum, kuruluş ve işletme bir veri sorumlusu belirlemekle yükümlü kılınmıştır. Sorumluluğun belirlenmesinde sorun yaşanmaması adına iş tanımı belirlenmiş bir veri sorumlusu belirlenmesi ve verilerin işlenmesiyle ilgili tüm süreçlerin organizasyon şemasında açıkça gösterilmesi faydalı olacaktır.
Kişisel veri suçları çerçevesinde tüzel kişilerle ilgili açıklanması gereken bir diğer husus da tüzel kişilerin suçtan zarar görme ihtimalleridir. Yargıtay’a göre şirketlere ait ticari faaliyetlere ilişkin veriler tek başına kişisel veri teşkil etmez (Yargıtay 12. CD. 2015/10456 E., 2016/12769 K. sayılı ve 16.11.2016 tarihli kararı). Bununla birlikte Yargıtay, kişisel veri suçunda doğrudan zarar görmediğinden tüzel kişinin katılan sıfatı kazanamayacağını belirtmiştir (Yargıtay 12. CD. 2018/8219 E., 2019/6191 K. sayılı ve 15.05.2019 tarihli kararı). Yargıtay’ın bu içtihadına göre, örneğin müşterilerinin kişisel verileri hakkında bir suç işlenen şirket, yargılamada katılan sıfatı kazanamayacaktır.
Kişisel veri suçlarında dava zamanaşımı kural olarak 8 yıldır. Ancak TCK m. 136/2 ile m. 137’de gösterilen nitelikli hallerde dava zamanaşımı 15 yıl olacaktır. Bu sürelerin geçmesiyle birlikte fail hakkında ceza muhakemesine devam edilemeyecek, yaptırıma hükmedilemeyecektir. Fakat zamanaşımı süresinin durduğu ve kesildiği haller saklıdır. Zamanaşımının hesaplanmasında somut olayın özellikleri önem teşkil etmekte olduğundan bu hesapta uzman bir hukukçudan yardım alınmasında fayda vardır.
Kişisel veri suçlarında görevli mahkeme Asliye Ceza Mahkemeleridir. Bununla birlikte TCK m. 138/1 ile düzenlenen verileri yok etmeme suçunun basit halinin uygulanacağı durumlarda CMK m. 251 uyarınca basit yargılama usulünün izlenmesi mümkündür.
Türk Ceza Kanunu’nun (“TCK”) 135 ila 138. maddeleri arasında kişisel verilerle ilgili suçlar düzenlenmiştir. Bunlar kişisel verilerin kaydedilmesi (TCK m. 135), verileri hukuka aykırı olarak verme veya ele geçirme (TCK m. 136) ile verileri yok etmeme (TCK m. 138) suçlarıdır.
Kişisel veri suçları ile kişilerin kişisel verilerinin korunması hakkı ve bu bağlamda özel hayat alanı korunurken bu verilerin ve verilerin saklandığı sistemlerin güvenliği de koruma altına alınmaktadır.
TCK m. 139 ile açıkça düzenlendiği üzere kişisel veri suçları şikayete bağlı değildir. Diğer bir deyişle, mağdurun şikayeti olmasa dahi bu suç adli makamlarca re’sen soruşturulacak ve kovuşturulacaktır.
Kişisel verilere dair temel mevzuat olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 17/1 ile kişisel verilere ilişkin suçlar bakımından TCK m. 135 ve devamındaki hükümlerin uygulanacağı düzenlenmiştir. Buna göre TCK’da düzenlenen kişisel veri suçlarının unsurlarının belirlenmesinde KVKK’da yer alan düzenlemeler önem taşımaktadır. Bu unsurların başında suçların konusu olan kişisel veriler gelmektedir.
KVKK m. 3/1-d ile kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Madde gerekçesinde ise kişisel verilerin kapsamı “(…) Sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.” şeklinde açıklamıştır.
KVKK uyarınca kişisel veri kavramının kapsamı oldukça geniştir. Kişisel veri suçlarına ilişkin değerlendirmelerinde Yargıtay ceza daireleri de bu geniş kapsamı benimsemektedir. Yargıtay’a göre T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, anne ve baba adı, adli sicil kaydı, yerleşim yeri, eğitim durumu, meslek, banka hesap bilgileri, telefon numarası, e-posta adresi, kan grubu, medeni hal, parmak izi gibi biyolojik örnekler, cinsel ve ahlaki eğilim gibi pek çok veri kişisel veri olarak değerlendirilmelidir. Yine Yargıtay’a göre kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi kişisel veridir (Yargıtay 12. CD. 2018/8295 E., 2019/6858 K. sayılı ve 29.05.2019 tarihli kararı).
Günümüzde kişisel veriler hassasiyet arz eden bir konu haline gelmiştir. Nitekim faaliyetlerinde kişisel verilerin işlenmesi zorunluluğu bulunan kurum ve kuruluşların bu verileri nasıl işleyeceği ve saklayacağı hususları sıklıkla tartışma konusu olmaktadır. KVKK kapsamında 2017 ila 2019 yılları arasında yayınlanan uygulama yönetmelikleri bu tartışmaları yoğunlaştırmıştır. Zira 2019 yılı itibariyle Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kullanıma açılmış, belirli işletmelere bu sisteme kayıt olma ve işledikleri kişisel verilerle ilgili güncel bilgilendirme sağlama yükümlülüğü getirilmiştir. Kişisel verileri elinde bulunduran üçüncü kişilerin bu verileri işleme ve saklama süreçleri, Kişisel Verileri Koruma Kurumu tarafından titizlikle denetlenmektedir.
Kişisel verileri işleyen kamu ve özel hukuk tüzel kişilerinin faaliyetlerinde gerçekleşen hukuka aykırılıklar, kimi zaman TCK ile düzenlenen kişisel veri suçlarının uygulama alanını oluşturmaktadır. Bununla birlikte kişisel veri suçları, herhangi bir işletmenin faaliyeti bulunmayan durumlarda da sıklıkla işlenmektedir.
Kişiyi belirlenebilir kılan her türden bilgisi kişisel veri niteliğindedir. Bu doğrultuda, kişinin kimliğinin belli olduğu veya içerikteki herhangi bir unsurdan kimliğin belirlenebilir olduğu görüntülerin de kişisel veri teşkil ettiğini kabul etmek gerekir.
Yargıtay kişisel veri suçlarına ilişkin kararlarında mahrem görüntülerin kişisel veri teşkil etmediğinden bahisle özel hayatın gizliliğini ihlal (TCK m. 134) suçu kapsamında değerlendirme yapma eğilimindedir. Nitekim yerleşik içtihadı ile kişilerin fiziksel veya cinsel mahremiyetine ilişkin görüntülerin kişisel veri suçlarının konusu olmayacağını belirtmektedir (Yargıtay 4. CD. 2014/50490 E., 2019/5541 K. sayılı ve 28.03.2019 tarihli kararı; 18. CD. 2015/29778 E., 2017/6148 K. sayılı ve 22.05.2017 tarihli kararı).
TCK m. 135 ile kişisel verileri hukuka aykırı olarak kaydeden kişilere bir yıldan üç yıla kadar hapis cezası verileceği düzenlenmiştir.
Kişisel verilerin kaydedilmesi suçunun faili herkes olabileceği gibi mağduru da kişisel verisi kaydedilen herhangi bir gerçek kişi olabilir.
Suçun oluşması için gereken kaydetme eylemi pek çok şekilde gerçekleştirilebilir. Kişisel verilerin bir bilişim sistemine kaydedilmesi, bir kağıda yazılması, fotoğrafının çekilmesi gibi pek çok durumda kişisel verilerin kaydedilmesinden bahsedilebilir.
Kişisel verilerin kaydedilmesi suçunun oluşması için verinin herhangi bir ortama kaydedilmesi yeterlidir. Diğer bir deyişle kaydedilen verinin sonradan herhangi bir amaçla kullanılıp kullanılmadığı, ortaya bir zarar çıkıp çıkmadığı hususları önem taşımaz. Yargıtay katılanın özel fotoğraflarını bilgisayarına kaydeden failin salt bu eyleminin suçu oluşturacağını değerlendirmiştir (Yargıtay 12. CD. 2014/23302 E., 2015/5841 K. sayılı ve 06.04.2015 tarihli kararı).
TCK m. 135/2 ile kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması, suçun nitelikli hali olarak düzenlenmiştir. KVKK m. 6 ile gösterilen özel nitelikli kişisel verilerle büyük oranda örtüşen bu düzenleme ile birtakım kişisel verilerin daha hassas veriler olduğu kabul edilmiştir. Bu verilerin kaydedilmesi halinde TCK m. 135/1 uyarınca verilecek ceza yarı oranında artırılacaktır.
TCK m. 136 ile kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir. Herkes bu suçun faili olabileceği gibi, kişisel verileri hukuka aykırı biçimde başkasına verilen, yayılan veya ele geçirilen her gerçek kişi suçun mağduru olabilir.
Anılan suç kapsamında verme, mağdura ait kişisel verinin fail tarafından üçüncü bir kişiye ulaştırılmasını, aktarılmasını ifade eder. Aynı doğrultuda yayma unsurundan da kişisel verinin tek bir eylemle birden fazla kişiye ulaştırılmasını anlamak yerinde olacaktır. Örneğin kişisel verinin bir sosyal medya hesabından gönderi olarak paylaşılması bu kapsamda düşünülebilir.
Ele geçirme eyleminden ise bir ortamda kaydedilmiş kişisel verilerin hukuka aykırı yöntemlerle elde edilmesi anlaşılmalıdır. Örneğin bir bankanın müşterilerine ait kişisel verileri sakladığı bilişim sistemine girilmesi ile bu kişisel verilerin fail tarafından elde edilmesi halinde ele geçirmeden söz edilebilir.
Kişisel veriyi vermek, yaymak veya ele geçirmekten söz edebilmek için öncelikle verinin hukuka aykırı biçimde kaydedilmesi gerekir. Diğer bir deyişle TCK m. 136’nın oluşması için kişisel verilerin “kaydedilmiş halde” bulunması, bu haliyle başkalarına verilmesi, yayılması ya da ele geçirilmesi lazımdır (Yargıtay 12. CD. 2018/8152 E., 2019/4886 K. sayılı ve 10.04.2019 tarihli kararı). Bu durumlarda eylemler bir bütün olarak TCK m. 136 kapsamında değerlendirilmelidir (Yargıtay 12. CD. 2017/5654 E., 2018/2911 K. sayılı ve 14.03.2018 tarihli kararı).
Yargıtay mağdurun Facebook hesabındaki profil resminin fail tarafından bir Facebook grubunda yayınlanmasını (Yargıtay 12. CD. 2019/532 E., 2019/10827 K. sayılı ve 13.11.2019 tarihli kararı), mağdura ait cep telefonu numarasının rızası dışında üçüncü kişiye verilmesini (Yargıtay 12. CD. 2018/8466 E., 2019/9054 K. sayılı ve 18.09.2019 tarihli kararı), avukat olan mağdurun baroya göndermiş olduğu fotoğraf ile avukatlık bilgilerinin “avukatlar.xyz” isimli bir internet sitesinde paylaşılmasını (Yargıtay 12. CD. 2019/3534 E., 2019/5452 K. sayılı ve 24.04.2019 tarihli kararı) TCK m. 136 kapsamında değerlendirmiştir.
TCK m. 136’ya 7188 s. Kanun ile 2019 tarihinde eklenen 2. fıkraya göre, suçun soruşturma ve kovuşturmada nitelikli cinsel istismar suçunun (TCK m. 103/2) mağduru olan çocuk ile nitelikli cinsel saldırı suçunun (TCK m. 102/2) mağduruna ait kaydedilmiş beyanlarla ilgili işlenmesi halinde verilecek ceza bir kat artırılır.
TCK m. 137/1 ile TCK’nın kişisel veri suçlarının da yer aldığı Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar başlıklı bölümünde yer alan suçlar (TCK m. 132 ila 136) için birtakım nitelikli haller gösterilmiştir. Kişisel veri suçları kapsamında da TCK m. 135 ile m. 136 ile düzenlenen suçlar için bu nitelikli haller uygulama alanı bulacaktır.
TCK m. 137’ye göre suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi ile belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi hallerinde verilecek ceza yarı oranında artırılır.
TCK m. 138/1 ile kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara, bu görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
Verileri yok etmeme, ihmali hareketle işlenen bir suçtur. Ancak kişisel verileri yok etmekle yükümlü kişiler tarafından işlenebilecek bir suç olduğundan özgü suç niteliği vardır. Suçun mağduru ise herkes olabilir.
TCK m. 138 kapsamında “yok etme” kavramından ne anlaşılması gerektiği de maddede açıkça belirtilmemiştir. Burada KVKK anlamında bir imha yöntemi olarak yok etmeden bahsedildiği kabul edilebilir. Bununla birlikte KVKK’da kişisel veriler bakımından iki temel imha yöntemi daha benimsenmiş olup bunlar silme ve anonim hale getirmedir. Ayrı bir suç tipinin düzenlendiği KVKK m. 17/2 ile kişisel verileri silmeyen veya anonim hale getirmeyenlerin de TCK m. 138’e göre cezalandırılacağı açıkça düzenlenmiştir. Öyleyse kanuni süresi geldiği halde bu üç yöntem uyarınca imha edilmeyen kişisel veriler bakımından fail, TCK m. 138 uyarınca cezalandırılacaktır.
Kanuni düzenlemede yer verilen kişisel verilerin yok edilmesi gereken “sistem” kavramından ne anlaşılması gerektiği açık değildir. Bu sistem bir bilişim sistemi olabileceği gibi fiziki ortamda elle tutulan bir kayıt sistemi de olabilir.
Suçun oluşması için kişisel verinin yok edilmesiyle ilgili yasal düzenlemeyle gösterilmiş açık, öngörülebilir, belirli bir süreden bahsedilebiliyor olmalıdır. Buna örnek olarak iletişim içerikleri için CMK m. 137/3 ile gösterilen on günlük yok etme süresi gösterilebilir.
Kişisel verilerin saklanması için farklı hukuki düzenlemelerde farklı süreler öngörülmüştür. KVKK m. 7/3 ile kişisel verilerin imhasına ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Atıfta bulunulan yönetmelik (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik) 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayınlanmış, yönetmelikte bu yasal sürelerin ne şekilde belirleneceği de gösterilmiştir. Yönetmeliklerle veya veri imha politikaları ile gösterilen imha sürelerine uymamanın TCK m. 138 kapsamında cezalandırılıp cezalandırılmayacağı hususu da tartışmaya açıktır. Bununla birlikte KVKK m. 17/2 göndermesiyle KVKK m. 7 uyarınca “kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde” imha edilmeyen veriler hakkında da TCK m. 138’in uygulanıp uygulanmayacağı tartışılmaktadır. Bu bağlamda veri işleme sebebinin ne zaman ortadan kalkacağı veya kişisel verilerin saklanmasındaki makul sürelerin nasıl belirleneceği hususunda genel geçer bir belirleme yapmak güçtür. Kanımızca suçta ve cezada kanunilik ilkesi gereğince TCK m. 138 uyarınca cezalandırılabilmesi için kişisel verilerin imha edilme şartları ve saklanma sürelerinin kanunla açıkça gösterilmesi gerekmektedir.
TCK m. 138/2’ye göre verileri yok etmeme suçuna konu olan kişisel veri, CMK hükümlerince ortadan kaldırılması veya yok edilmesi gereken bir veri ise verilecek ceza bir kat artırılır.
Yargıtay, kişisel veri suçlarına ilişkin içtihadında sıklıkla “hukuka aykırı hareket etme bilinci” kavramına değinmektedir. Yargıtay pek çok kararında, kişisel veri suçlarının yasal unsurları oluşmasına rağmen failin hukuka aykırı hareket etme bilinciyle hareket etmediğinden bahisle beraatına karar verilmesi gerektiğine hükmetmiştir.
Yargıtay “Verileri hukuka aykırı olarak verme veya ele geçirme suçunun uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir.” şeklindeki yerleşik içtihadı ile kişisel veri suçlarında gözetilmesi gereken hukuka aykırılık bilinci değerlendirmesine sıklıkla değinmektedir (Yargıtay 12. CD. 2018/8144 E., 2019/8317 K. sayılı ve 10.07.2019 tarihli kararı).
Sözü edilen kavram, kişisel verilerin delil elde etme amacıyla kaydedilmesi ve verilmesi hallerinde sıklıkla karşımıza çıkmaktadır. Yargıtay, bir suç soruşturmasına veya özel hukuk davasına delil teşkil etmesi amacıyla mağdurun kişisel verilerini kaydeden ve başkasına veren faillerin hukuka aykırı hareket etme bilinci taşımadığına işaret etmektedir. Örneğin miras meseleleri ve davalarıyla ilgili gizli bilgilerin sızdırılması hususlarında aile üyelerinden şüphelenen sanığın eve yerleştirdiği dinleme cihazlarından elde ettiği delili eşiyle boşanma davasında kullanması olayında Yargıtay bu kavrama değinmiştir (Yargıtay 12. CD. 2018/8078 E., 2019/4873 K. sayılı ve 10.04.2019 tarihli kararı). Yine benzer şekilde Yargıtay, açmış olduğu davada delil elde etmek amacıyla katılanla yaptığı yüz yüze görüşmeleri kaydeden sanığın eyleminin hukuka aykırı hareket etme bilinci taşımadığını belirlemiştir (Yargıtay 12. CD. 2018/8597 E., 2019/5459 K. sayılı ve 24.04.2019 tarihli kararı). Yargıtay bu yöndeki yerleşik içtihadında suça konu edilen kişisel verilerin özel hayat alanıyla ilgisini, üçüncü kişilerle paylaşılıp paylaşılmadığını, çoğaltılarak dağıtılıp dağıtılmadığını değerlendirerek failin delil elde etme amacını tartışmaktadır.
Bir kararında Yargıtay, kendisine ücreti alınmadan haksız olarak daire verildiği yönündeki ithamlardan kurtulmak amacıyla katılanın kişisel verisi niteliğindeki ödeme belgesini Facebook üzerinden yayınlayan failin bu hareketinde hukuka aykırı hareket etme bilinci bulunmadığına hükmetmiştir (Yargıtay 12. CD. 2018/4615 E., 2018/9486 K. sayılı ve 10.10.2018 tarihli kararı). Yargıtay bu kararı ile adli bir makama sunulacak delillerin ötesinde, salt üzerindeki sosyal baskıdan kurtulmak isteyen failin hakkındaki herhangi bir şüpheyi dağıtmak amacıyla başkasına ait kişisel veriyi yayınlamasını da hukuka uygun bulmuştur.
Yargıtay tarafından geliştirilen bu yerleşik içtihat, tartışmaya açıktır. Zira kural olarak suçun işlenmesinde failin kastı suçun unsurlarına yöneliktir. Diğer bir deyişle mahkemelerce failin hukuka aykırı davranma bilincinde olup olmaması değil, kanunda suç olarak tanımlanan eylemi bilerek ve isteyerek gerçekleştirilmesi incelenmelidir. Failin gerçekleştirdiği eylemin hukuka aykırı olmadığı, haksızlık oluşturmadığı inancıyla hareket etmesi hali ceza hukukumuzda yalnızca TCK m. 30/4 ile koruma altına alınmıştır. Failin düştüğü bu hukuki hatadan yararlanabilmesi için hatanın “kaçınılmaz” olması zorunludur. Diğer bir deyişle fail sosyal konumu, kişisel yetenekleri, sahip olduğu değer yargıları doğrultusunda eylemin haksızlık içeriğini algılayamayacak istisnai bir durumda olmalıdır. Oysa sözü edilen içtihadında Yargıtay, kaçınılmazlık denetimine işaret etmemektedir.
Öte yandan TCK m. 135 ve 136’da “hukuka aykırı” davranmak suç unsuru olarak ayrıca düzenleme altına alınmıştır. Hukuka özel aykırılık olarak da anılan bu durum söz konusu olduğunda failin hukuka aykırılık bilinci taşıyıp taşımadığının ayrıca değerlendirilmesi gerektiği savunulmaktadır. Buna karşılık Yargıtay’ın kişisel veri suçlarında sıklıkla vurguladığı “hukuka aykırı hareket etme bilinci” kavramının hangi kurum çerçevesinde ele alındığı açık değildir. Kanımızca suç tipine dair yargı kararlarındaki bu yerleşik istisnanın kanunda açıkça düzenlenmesi gerekir.
TCK’da kanun hükmünü ve amirin emrini yerine getirme, meşru savunma, hakkın kullanılması ve ilgilinin rızası hukuka uygunluk sebepleri olarak düzenlenmiştir. Kişisel veri suçlarında ilgilinin rızası ile kanun hükmünün yerine getirilmesi, hukuka uygunluk sebepleri olarak özellik arz etmektedir.
KVKK m. 5/1’e göre kişisel verilerin işlenmesi için kişinin açık rızasının alınması gerekir. KVKK m. 3/1-a’ya göre ise açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” anlamına gelmektedir. Bu rızayı “aydınlatılmış onam” olarak anmak da mümkündür. Kişisel verisinin herhangi bir işleme tabi tutulabilmesi, kişinin tüm süreçle ilgili aydınlatılmasına bağlıdır. Kişi hangi verisinin, ne amaçla, ne kadar süreyle, hangi yöntemle işleneceğini bilmeli ve buna serbest iradesiyle rıza göstermelidir. Aksi halde kişisel verilerin işlenmesi yasaktır. Bu açık rıza kavramını TCK ile düzenlenen kişisel veri suçları bakımından da esas almak yerinde olacaktır. Zira kişinin KVKK anlamında açık rızası yoksa kaydetme, verme, ele geçirme eylemlerinde rıza bir hukuka uygunluk sebebi olarak değerlendirilmemelidir.
Kanun hükmünün yerine getirilmesi bakımından da KVKK yol göstericidir. Zira KVKK m. 5/2 ile kişinin açık rızası bulunmayan hangi hallerde kişisel verilerin işlenebileceği sayılmıştır. Bu hususlar, TCK ile düzenlenen kişisel veri suçları bakımından hukuka uygunluk sebebi teşkil edecektir. Özel nitelikli kişisel verilerin düzenlendiği KVKK m. 6 ile hukuka uygunluk sebebi teşkil edecek durumlar daha sınırlı şekilde gösterilmiştir.
Kişisel veri suçlarında hukuka uygunluk sebepleri belirlenirken KVKK ve ilgili sair kişisel veri mevzuatının dikkatle incelenerek göz önünde bulundurulması gerekir. Bu doğrultuda kişisel veriyi elinde bulunduran kişilerin yasal yetki ve sorumluluklarının titizlikle belirlenmesi zorunludur.
Anayasa m. 38/7 ve TCK m. 20/1 ile ceza sorumluluğunun şahsiliği prensibi güvence altına alınmıştır. Buna göre hiç kimse, bir başkasının eyleminden cezai anlamda sorumlu tutulamaz. Bu kapsamda, tüzel kişilerin faaliyeti çerçevesinde işlenen suçlar ancak suç teşkil eden eylemi gerçekleştiren gerçek kişi özelinde cezalandırılabilir. Bununla birlikte kişisel veri suçları, tüzel kişi faaliyeti çerçevesinde işlenmişse tüzel kişilere özgü güvenlik tedbirlerine hükmedilmesi mümkündür (TCK m. 140). TCK m. 60 ile düzenlenen tüzel kişiler hakkındaki güvenlik tedbirlerine ise müsadere örnek gösterilebilir.
Tüzel kişinin faaliyeti çerçevesinde işlenen suçlarda, failin belirlenmesi uygulamada sıklıkla sorun oluşturmaktadır. Örneğin bazı durumlarda bir şirketin tüm yönetim kurulu üyeleri ceza soruşturmasında şüpheli konumuna getirilmektedir. Oysa ancak kasten işlenebilen kişisel veri suçlarında suç kastını taşıyarak eylemi gerçekleştiren gerçek kişi failin tespit edilmesi gerekir. Örneğin işi gereği elde ettiği müşteri bilgilerini çıkar amaçlı üçüncü kişiye veren bir banka çalışanının eyleminden bankanın üst düzey yetkilileri sorumlu tutulamayacaktır. Benzer şekilde müşterilerine ait kişisel verileri yanında getirdiği harici belleğe kötü niyetli şekilde kaydeden sigorta şirketi çalışanının bu eyleminden yalnızca kendisi ve onunla işbirliği halinde hareket edenler sorumlu olacaktır.
Verileri yok etmeme suçunda ise fail, kişisel verilerin tutulduğu sistemden verileri kanuni süresi uyarınca yok etmekle yükümlü olan gerçek kişidir. KVKK m. 7/1 ile kişisel verilerin imhası görevi veri sorumlusuna verilmiştir. Aynı kanunun m. 3/1-ı hükmüne göre veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade eder. İlgili mevzuata göre kişisel veri işleyen pek çok kurum, kuruluş ve işletme bir veri sorumlusu belirlemekle yükümlü kılınmıştır. Sorumluluğun belirlenmesinde sorun yaşanmaması adına iş tanımı belirlenmiş bir veri sorumlusu belirlenmesi ve verilerin işlenmesiyle ilgili tüm süreçlerin organizasyon şemasında açıkça gösterilmesi faydalı olacaktır.
Kişisel veri suçları çerçevesinde tüzel kişilerle ilgili açıklanması gereken bir diğer husus da tüzel kişilerin suçtan zarar görme ihtimalleridir. Yargıtay’a göre şirketlere ait ticari faaliyetlere ilişkin veriler tek başına kişisel veri teşkil etmez (Yargıtay 12. CD. 2015/10456 E., 2016/12769 K. sayılı ve 16.11.2016 tarihli kararı). Bununla birlikte Yargıtay, kişisel veri suçunda doğrudan zarar görmediğinden tüzel kişinin katılan sıfatı kazanamayacağını belirtmiştir (Yargıtay 12. CD. 2018/8219 E., 2019/6191 K. sayılı ve 15.05.2019 tarihli kararı). Yargıtay’ın bu içtihadına göre, örneğin müşterilerinin kişisel verileri hakkında bir suç işlenen şirket, yargılamada katılan sıfatı kazanamayacaktır.
Kişisel veri suçlarında dava zamanaşımı kural olarak 8 yıldır. Ancak TCK m. 136/2 ile m. 137’de gösterilen nitelikli hallerde dava zamanaşımı 15 yıl olacaktır. Bu sürelerin geçmesiyle birlikte fail hakkında ceza muhakemesine devam edilemeyecek, yaptırıma hükmedilemeyecektir. Fakat zamanaşımı süresinin durduğu ve kesildiği haller saklıdır. Zamanaşımının hesaplanmasında somut olayın özellikleri önem teşkil etmekte olduğundan bu hesapta uzman bir hukukçudan yardım alınmasında fayda vardır.
Kişisel veri suçlarında görevli mahkeme Asliye Ceza Mahkemeleridir. Bununla birlikte TCK m. 138/1 ile düzenlenen verileri yok etmeme suçunun basit halinin uygulanacağı durumlarda CMK m. 251 uyarınca basit yargılama usulünün izlenmesi mümkündür.