Open menu

11 Mart 2024

Kişisel Veri İhlallerinin Türk Ceza Kanunu Kapsamında Değerlendirilmesi

Yazar Gökşen Bakay, Kategori KVKK - GDPR

Kişisel Veri İhlallerinin Türk Ceza Kanunu Kapsamında Değerlendirilmesi

Günden güne gelişen teknoloji insanların günlük yaşamını farklı bir boyuta taşımıştır. Daha önce var olmayan kolaylıklar ortaya çıkmıştır. İnsanlar pek çok işlerini çevrim içi yollarla yürütmeye başlamıştır. Özel sektör ve hatta kamu kurumları pek çok işlemi bu şekilde yürütmektedir. Bu sebeple hemen hemen herkesin birden çok internet sitesinde, veri tabanlarında kayıtlı bilgileri bulunmaktadır. T.C. kimlik numaraları, ev adresleri, kişinin boyu gibi pek çok bilgi sistemlerde yer almakta ve saklanmaktadır. Yani veriler elde edilmekte, saklanmakta, daha doğru bir ifade ile işlenmektedir. Birçok işini internet aracılığıyla devam ettiren insanoğlu bu kolaylık karşısında elbette daha önce karşı karşıya olmadığı bazı tehlikelerle de tanışmıştır. Bunlardan biri kişisel veri ihlalleridir.

Veri ihlali, işlenen kişisel verilerin kanuna aykırı şekilde başkaları tarafından elde edilmesi olarak açıklanabilir. Ancak öncelikle "kişisel veri" kavramından bahsedilmesi gerekir. Kişisel veri, Kişisel Verilerin Korunması Kanunu'nda tanımlanmıştır. Bu tanım "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklindedir. Kanun ise 2016 yılında yürürlüğe girmiş oldukça genç bir kanundur. Bu kanunun düzenlenmesi kişisel verilerin kullanımının yaygınlaşması sebebiyle çok önemlidir.

Bu aşamada kişisel verilerin ülkemizdeki tarihinden bahsetmek yerinde olacaktır. Aslında bu konunun bizler için yeni sayılmayacak bir geçmişi vardır. Avrupa Konseyi tarafından 1981 tarihinde imzaya açılan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'ni ilk imzalayan ülkelerden biri Türkiye'dir. Bu Sözleşme, 108 Sayılı Sözleşme olarak da anılmaktadır. İmza tarihi eski olsa da 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazete'de yayımlanarak iç hukuka dâhil edilmiştir. Temel amacı; her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. 181 No'lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol ise 2001 yılında Türkiye tarafından imzalanmış, 2016'da ise Resmî Gazete'de yayımlanarak iç hukuka dâhil edilmiştir. Bu protokolde taraf devletler, ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmiştir.

Ayrıca bu konuda ulusal düzenlemelerden de söz etmek gerekir. 2004 yılında 5237 sayılı Türk Ceza Kanunu ile yazımızın devamında bahsedeceğimiz kanun maddeleri yürürlüğe girmiştir. 2010'da ise kişisel verilerin korunması ile ilgili hüküm Anayasa'ya dâhil edilmiştir. Anayasa'nın özel hayatın gizliliğini düzenleyen 20. Maddesine getirilen 3. Fıkra kişisel veriler ile alakalıdır. Bu madde "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmünü havidir. 2016 yılında ise daha önce andığımız uluslararası düzenlemeler iç hukuka dâhil edilmiş ve en önemlisi de 6698 sayılı Kişisel Verilerin Korunması Kanunu Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Ancak bu yazımızda kişisel veri ihlalleri Türk Ceza Kanunu kapsamında ele alınacaktır.

5237 sayılı Türk Ceza Kanunu; kişisel verileri ile ilgili suçlara "Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar" başlıklı 9. bölümünde yer verir. 135. Maddesinde kişisel verilerin kaydedilmesi, 136. Maddesinde verileri hukuka aykırı olarak verme veya ele geçirme, 138. Maddesinde verileri yok etmeme fiillerini hüküm altına almıştır. 140. Maddesinde ise tüzel kişiler hakkında güvenlik tedbiri uygulanmasından bahsedilmiştir.

Kişisel Verilerin Kaydedilmesi

TCK'nın 135. Maddesinin ilk fıkrası "Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir." hükmünü havidir. İkinci fıkrada ise "Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır." ifadeleri yer almaktadır.

Kişisel verilerin hukuka uygun şekilde kaydedilmesi için KVKK esas alınmalıdır. Kişisel verilerin kaydedilmesi de işlenmesi demektir. Zira KVKK tarafından kişisel verilerin işlenmesi için yapılmış olan tanımda kaydedilmesinden de bahsedilmiştir. Kişisel verilerin işlenme şartları KVKK'nın 5. Maddesinde sıralanmaktadır. Buna göre öncelikle kişisel verilerin işlenmesi için ilgili kişinin açık rızası gerekmektedir. Maddede kişisel verilerin açık rıza aranmadan işlenebileceği hâller de sayılır. Eğer açık rıza olmadan veri kaydedilmiş ve bu hâller ilgili olayda mevcut ise kaydedilme hukuka aykırı bir sonuç doğurmayacaktır. Bu hâller şöyledir;

  • "Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması."
    •

Açık rızanın ve bu hâllerin mevcut olmaması ise kanuna aykırılık doğuracaktır. Bunun sonucunda kişinin bir yıldan üç yıla kadar hapis cezası alacağı TCK ile düzenlenmiştir.

Yargıtay 12. Ceza Dairesi'nin 2019/14037E., 2022/2232K. Sayılı kararında "Kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan "kişisel veri" kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hâli, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir." ifadelerine yer verilerek "kişisel veri" kavramından ne anlaşılacağına işaret edilmiştir.

Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme

TCK'nın 136. maddesi "Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır." hükmünü havidir.

Burada kişisel verilerin bir başkasına verilmesi ve yayılmasında aktarımın söz konusu olduğu söylenebilecektir. Kişisel verilerin aktarılması yine KVKK'nın kişisel verilerin işlenmesi tanımı içindedir. Aynı şekilde kişisel verileri ele geçirmek de bu tanıma dâhildir. Kişisel verilerin işlenme şartları daha önce bahsettiğimiz üzre KVKK'nın 5. Maddesinde hüküm altına alınmıştır. Burada şartlara uymayan bir başkasına verme, yayma veya ele geçirme 136. Madde hükmüne göre suç sayılacaktır.

TCK'nın 137. Maddesinde bu suçların nitelikli hâlleri sıralanmaktadır. Bu madde "Yukarıdaki maddelerde tanımlanan suçların;

  • Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
  • Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
    •

işlenmesi hâlinde, verilecek ceza yarı oranında artırılır." hükmünü havidir.

Yargıtay 12. Ceza Dairesi'nin 2015/4349E. ve 2016/5349K. Sayı kararında "TCK'nın 135 ve 136. maddelerinde düzenlenen "Kişisel Verilerin Kaydedilmesi" ve "Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme" suçlarının konusunu oluşturan kişisel veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerektiği, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, hukuka aykırı olarak kaydedilmesi, TCK'nın 135. maddesinde "Kişisel verilerin kaydedilmesi" başlığı altında, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi, aynı Kanunun 136/1. maddesinde "Verileri hukuka aykırı olarak verme veya ele geçirme başlığı altında birbirinden bağımsız iki ayrı suç olarak tanımlanmıştır." ifadelerine yer verilerek incelediğimiz iki ayrı suç arasındaki farka dikkat çekilmiştir.

Ayrıca Yargıtay kararları ile ulaşılması kolay olan, sır niteliğinde olmayan kişisel verilerin de bu hükümler ile korunuyor olduğuna dikkat çekilmiştir. Yargıtay 12. Ceza Dairesi'nin 2019/14037E. ve 2022/2232K. Sayılı kararında "Ayrıntıları Yargıtay Ceza Genel Kurulunun 17.06.2014 tarihli, 2012/1510 Esas - 2014/331 sayılı Kararında da vurgulandığı üzere; TCK'nın 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak kaydedilmesi, başkasına verilmesi, yayılması ve ele geçirilmesi fiilleri TCK'nın 135. maddesindeki kişisel verilerin kaydedilmesi ve aynı Kanunun 136. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçlarını oluşturur. Bu nedenle herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda "kişisel veri" olarak kabul edilmektedir. Ancak, kişisel verilerin kaydedilmesi ve verileri hukuka aykırı olarak verme veya ele geçirme suçlarının uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir." ifadelerine yer verilerek bu konuya önemli bir emsal oluşturulmuştur.

Aynı karar hükmünde "Ayrıca, bir özel hayat görüntüsünün ya da sesinin, "kişisel veri" olduğunda kuşku bulunmamakta ise de, kişinin özel hayatına ilişkin görüntüsünün ya da sesinin, bilgisi dışında, resim çekme veya kaydetme özelliğine sahip aletle belli bir elektronik, dijital, manyetik yere sabitlenmesi TCK'nın 134/1. madde ve fıkrasının 2. cümlesinde; rızası dışında ifşa edilmesi, yani; yayılması, açığa vurulması, afişe edilmesi, ilan edilmesi, kamuoyuna duyurulması, aleniyet kazandırılması, özetle; içeriğini öğrenme yetkisi bulunmayan kişi veya kişilerin bilgisine sunulması TCK'nın 134/2. madde ve fıkrasında özel hayatın gizliliğini ihlal suçu kapsamında düzenlendiğinden, kişinin özel hayatına ilişkin görüntüsü ya da sesi, yasal anlamda, TCK'nın 135/1 ve aynı Kanunun 136/1. madde ve fıkraları kapsamında kişisel veri olarak değerlendirilemez." ifadelerine yer verilerek kişinin görüntüsü ve sesi konusuna da açıklık getirilmiştir.

Verileri Yok Etmeme

TCK'nın 138. Maddesi "Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir." hükmünü havidir.

Maddenin ikinci fıkrası ise "Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır." ifadesini içermektedir.

Şikâyet

Bahsedilmesi gereken bir başka husus ise 139. Madde ile TCK'nın 9. Bölümünde düzenlenen suçlara ilişkin hüküm altına alınan şikâyet konusudur. Bu madde "Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır." hükmünü havidir.

Takibi şikâyete bağlı suçlar, suçun mağdurunun veya suçtan zarar gören kişilerin şikayetçi olması ile hakkında soruşturma veya kovuşturma yapılan suçlardır. 139. madde ile bizim incelediğimiz suçların şikâyete tabi olmadığı anlaşılmaktadır. Buna göre suçu oluşturacak fiiller öğrenildiğinde suçların soruşturulması başlayacaktır. Kişilerin şikayetlerinden vazgeçmesi soruşturma veya kovuşturma aşamalarının duracağı anlamına gelmez. Savcılık tarafından devam ettirilecektir.

Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması

TCK'nın 140. Maddesi "Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur." hükmünü havidir. Bu güvenlik tedbirleri ise TCK'nın 60. Maddesinde şöyle belirlenmiştir;

  1. "Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı suçlardan mahkûmiyet hâlinde, iznin iptaline karar verilir.
  2. Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri hakkında da uygulanır."

İncelediğimiz suçlardan birini işleyen özel hukuk tüzel kişisinin faaliyet izni iptal edilebilecektir. Bunun için bu özel hukuk tüzel kişisine verilmiş bir izin olmalıdır.

Müsadere ise işlenen bir suç ile ilgili belirli bazı eşya veya kazançların mülkiyetinin devlete aktarılması demektir. Suçla alakalı eşyalar ve maddi kazançlar müsadere edilebilir.

SONUÇ

Görüldüğü üzere kişisel veriler gitgide önem kazanmış ve bununla beraber korunması hususu da büyük bir önem arz etmeye başlamıştır. Buna istinaden Türk Ceza Kanunu da hükümler koymuştur. Bu hükümlere istinaden farklı yargı kararları ortaya çıkmıştır. Zaman ilerledikçe yeni kararların da ortaya çıkacağı muhakkaktır. Bu sebeple TCK kapsamında kişisel verilerin korunması hususunun gelişeceği ve güçleneceği kaçınılmaz bir sonuç olacaktır.

Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.

Bilgilendirme Metni!

Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimizseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Yazar

/en/blog/kvkk-gdpr/item/evaluation-of-personal-data-breaches-within-the-scope-of-turkish-penal-code

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?

Bu web sitesi çerez kullanıyor.

Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.

Çerez Tercihleri Cookie Preferences

Çerezleri Ayarla

Çerezler, web sitelerinin kullanıcı deneyimini daha verimli hale getirmek için kullanabileceği küçük metinlerdir. Kanun, bu sitenin işleyişi için kesinlikle gerekli olan çerezlerin cihazınıza saklanabileceğini belirtir. Diğer tüm çerez türleri için izninize ihtiyacımız var. Bu site, çeşitli türde çerezler kullanmaktadır. Bazı çerezler, sayfalarımızda görünen üçüncü taraf hizmetler tarafından yerleştirilir.

Verdiğiniz izinler aşağıda yer alan web siteleri için geçerlidir:

  • www.cottgroup.com

    • Web sitemizin temel fonksiyonları için kesinlikle gerekli olan çerezlerdir ve bu çerezler olmadan site düzgün bir şekilde çalışmaz.

    Web sitemizin nasıl kullanıldığını anlamamıza ve ziyaretçi etkileşimlerini analiz ederek hizmetlerimizi geliştirmemize yardımcı olan çerezlerdir.

    Kullanıcı tercihlerinizi hatırlayarak, daha kişiselleştirilmiş bir deneyim sunmamızı sağlayan çerezlerdir.

    İlgi alanlarınıza göre kişiselleştirilmiş reklamlar sunmak ve pazarlama kampanyalarımızın etkinliğini ölçmek için kullanılan çerezlerdir.