1. Kişisel Verilerin Korunmasındaki Genel Tutum
a. Uluslararası düzeyde
Veri koruması, hangi kişisel verinin, kim tarafından ve kim için elde edildiğinin öğrenilmesini konu eder. Yapılacak tanımlar ve getirilecek düzenlemelerde, kişisel verilerin özel hayat kapsamında olduğu göz önünde bulundurulmalıdır. Uluslararası düzeyde bu konuya duyulan ilgi ve getirilen düzenlemelere bakarsak, 1970’li yıllardan itibaren yoğun olarak tartışılmaya başlanmıştır. 1971 tarihinde Almanya Kişisel Verileri Koruma Kanununu, 1973 yılında ise İsveç Veri Koruma Kanununu çıkarmıştır. Avrupa Konseyi Bakanlık Komitesi 1974 ve 1975 yıllarında, özel ve kamu sektöründeki elektronik bilgi bankalarında uygulanacak ilkeleri gösteren iki tavsiye kararı çıkarmıştır[1].
Daha sonra 1980’de OECD[2] kişisel verilerin işlenmesine ilişkin bağlayıcı olmayan ilkeler yayınlamıştır[3]. Kişilik haklarının korunmasında üye devletlerin milli mevzuatının yetersiz kalması sebebiyle Avrupa Konseyi, 1981 yılında “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşmeyi[4]” imzaya açmış, 108 sayılı sözleşme aynı yıl Türkiye ve diğer konsey üyeleri tarafından imzalanmıştır. Ancak Türkiye sözleşmeyi henüz onaylamadığı gibi, iç hukukunda bu konuyu Avrupa Birliği (AB) sürecine uyumlu hale getirecek kesin düzenlemeler yapmamıştır. 1990 yılında Birleşmiş Milletler (BM) kişisel verilerin işlenmesine ilişkin tavsiye kararı yayınlamıştır[5].
Avrupa Birliği 1995 yılında, “Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması ve Bu Tür Verilerin Serbest Dolaşımı Yönergesini” kabul etmiştir. Böylece, birliğe üye ülkelerdeki kişilerin kişisel verilerinin korunması ve Avrupa Birliği sınırları içerisinde serbest dolaşımı sağlayacak bir düzenleme amaçlanmıştır.
Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) 8. maddesi, özel hayatın ve aile hayatının korunmasını düzenlemiştir. 1- Herkes; özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. 2- Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak; ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir. Avrupa İnsan Hakları Mahkemesi (AİHM) P.G. ve J.H.–Birleşik Krallık davası kararında, başvurucunun dairesinde kalan çeşitli kişilerin konuşmalarını kaydetme amacıyla yapılan bir soruşturmada kanepeye gizli dinleme cihazı yerleştirilmesinin, özel hayata saygı gösterilmesi hakkına bir müdahale olduğu ve müdahalenin 8. maddenin 2. fıkrasındaki (f) şartlara uymadığı belirtilmiştir[6].
Dinleme ile ilgili sorunlara, en çok telefon dinleme vakalarında rastlanmaktadır. Telefon dinlemeye imkan veren bir kanunun varlığı bile, bu imkanı kullanan kişilerin denetimi ile ilgili bir hüküm içermediğinde ihlal anlamına gelebilir. AİHM, Halford-Birleşik Krallık davası kararında, söz konusu kanunun sadece varlığı ile bu kanunun uygulanabileceği kişiler için posta ve iletişim hizmetleri kullanıcıları arasında haberleşme özgürlüğüne kaçınılmaz olarak zarar verecek bir izlenme tehdidi içerdiği ve böylelikle başvurucuların aile ve özel hayatına ve haberleşmesine saygı gösterilmesi haklarına karşı ‘kamu otoritesinin bir müdahalesi’ anlamına geldiğine hükmetmiştir[7].
b. İç Hukukta
Ülkemizde her ne kadar temel hak ve hürriyetlerin korunması bağlamında Anayasal güvenceler bulunsa da, kişisel verilerin korunmasına ilişkin özel bir yasa bulunmamaktadır. Adalet Bakanlığı tarafından “Kişisel Verilerin Korunması Kanunu Tasarısı” hazırlatılmış olsa da, henüz yasalaşmamıştır. Böyle bir yasanın olmaması, bu alanda boşluk olmasını ve kanun olmadığı içinde herkesin her türlü veriyi kaydetmesini kolaylaştırmıştır. Söz konusu kanunun yasalaşması, Avrupa Birliği standartlarına ulaşabilmek açısından da önemlidir.
5237 sayılı Yeni Türk Ceza Kanunu, bu konudaki açığı bir nebze gidermiştir. Madde 135 kişisel verilerin kaydedilmesini, m. 136 verileri hukuka aykırı olarak verme veya ele geçirmeyi, m. 138 verileri yok etmemeyi sistemli bir şekilde düzenlemiştir. Kişisel verilere ilişkin bu suç tipleri, bilişim alanındaki suçlar altında değil, benzer hukuksal değerin korunduğu özel hayat ve özel hayatın gizliliğine karşı suçlar bölümünde düzenlenmiştir. Söz konusu suç tanımında kişisel verilerin bilgisayar ortamında veya kağıt üzerinde kayda alınması arasında bir ayırım gözetilmemiştir. Bu bakımdan, söz konusu suç tanımı ile Avrupa Konseyi bünyesinde hazırlanan Türkiye’nin de 28 Ocak 1981 tarihinde imzalamakla taraf olduğu “Kişisel Nitelikteki Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”nin ilgili hükümlerine geçerlilik tanınmıştır[8]. Gerekçe her ne kadar bu görüşte olsa da, ülkemizde söz konusu uluslar arası sözleşmeyi destekleyen yeterli yasal düzenleme ve kesin adımlar yoktur.
5271 sayılı Ceza Muhakemeleri Kanunu[9] (CMK) ilgili bazı maddelerinde, kişisel verilerin neler olduğunu belirleyip, bunlara ilişkin düzenlemeler getirmiştir. Gözlem altına alınma, muayene, keşif ve otopsiyi inceleyen üçüncü bölümün 80. maddesinde, genetik inceleme sonuçlarının, kişisel veri niteliğinde olduğunu, başka bir amaçla kullanılamayacağını; dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemeyeceğini belirtmiştir. CMK’nın dördüncü bölümünde ise, delillerin ortaya konulması ve tartışılmasını düzenleyen 209. maddede, sanığa veya mağdura ait kişisel verilerin yer aldığı belgelerin, açıkça istemeleri halinde, kapalı oturumda okunmasına mahkemece karar verilebileceği düzenlenmiştir.
2. Kişisel Verilerin Kaydedilmesi Suçu
TCK’nın 135.maddesi kişisel verilerin kaydedilmesi suçunu düzenlemiştir:
“(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.
(2) Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.”
Her geçen gün gelişen bilişim teknolojisi, kişilerin rızası olmaksızın verilerin bilişim sistemlerine aktarılmasını sağlamaktadır. Suçun konusu, kişisel verilerdir. Gerçek kişiyle ilgili her türlü bilgi, kişisel veri olarak kabul edilmektedir. Kişisel verilerin korunmasının özel hayatın gizliliği kapsamında değerlendirilmesi, bu verilerin işlenmesine ilişkin usul ve esaslarında özel hayatın gizliliğinin sınırlandırılması kapsamında değerlendirilmesine sebep olmaktadır. Kişisel verilerin işlenmesine izin veren normlar, özel hayatın gizliliğinin meşru olarak sınırlandırılması sonucunu doğurmaktadır. Bu sebeple, sınırlamayı getiren usul ve esasların, Anayasa’da öngörülen normlara uygun olması gerekmektedir. Anayasa’nın temel hak ve hürriyetlere ilişkin maddeleri, kişisel verilerin işlenmesine ilişkin düzenlemelerde dikkat edilmesi gereken önemli bir husus olmaktadır. Anayasa Mahkemesi bir kararında, kişisel verilerin Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği ile doğrudan ilişkili olduğunu belirtmiştir[10]. TCK 135. maddede sayılan, kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebilir. Bu durumlarda söz konusu suç oluşmayacaktır.
Çağımızda kişilerle ilgili kayıtların bilgisayar ortamlarına geçirilip muhafaza edilmesi uygulamasına bazı kurum ve kuruluşlar tarafından başvurulmaktadır. Hastanelerde hastalara, sigorta şirketlerinde sigortalılara, bankaların ve kredili alış veriş yapılan mağazaların müşterilerine ilişkin kayıtlar, böyle tutulmaktadır. Bu bilgilerin amaçları dışında kullanılmasından veya herhangi bir şekilde üçüncü şahısların eline geçerek hukuka aykırı olarak yararlanılmasından dolayı hakkında bilgi toplanan kişiler büyük zararlara uğrayabilmektedirler. Bu bakımdan, kişilerle ilgili bilgilerin hukuka aykırı olarak kayda alınması suç olarak tanımlanmıştır[11]. Bu bilgilerin amacına uygun şekilde kullanılması gerekir. Kişisel bilgilerin amaç dışı kullanılması, üçüncü kişilere yararlanmaları için verilmesi durumunda, veri sahibinin zarara uğraması mümkündür.
Kişisel verilerin kaydedilmesi suçunun işlenmesi halinde yasa, ceza olarak altı aydan üç yıla kadar hapis cezası öngörmüştür. Bu yaptırım gerçek kişiler içindir. Tüzel kişilerin bu suçtan yarar sağlamaları halinde kendilerine özgü güvenlik tedbirleri uygulanacaktır[12].
a. Suçun Faili Ve Mağduru
TCK m. 135 faili belirlerken “Hukuka aykırı olarak kişisel verileri kaydeden -kimseye- …” diyerek failin herhangi bir özelliğini belirtmemiştir. Dolayısıyla bu suçun faili herkes olabilir. Belli sıfattaki kişilerin suçun faili olabildiği özgü suç, burada söz konusu değildir. Ancak TCK 137. madde “Suçun -kamu görevlisi- tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi hâlinde, verilecek ceza yarı oranında artırılır” şeklinde bir düzenleme getirmiştir. Suçun kamu görevlisi tarafından işlenmesi cezayı ağırlatıcı neden olarak gösterilmiştir.
Fail tarafından icra hareketlerine başlanıp, bu hareketlerin yarıda kalması sonucu suç teşebbüs aşamasında kalabilir. Kişisel verilerin kaydedilmesi suçunda zaten suçun oluşması için bir zararın varlığı aranmadığından, suç ancak maddi unsurun gerçekleşmesiyle oluşacak ve eylem tamamlanmazsa, suç teşebbüs aşamasında kalacaktır.
Suçun mağdurunun kim olacağı incelendiğinde, suç tipi bu açıdan da bir özellik göstermemektedir. Suçun mağduru herkes olabileceği gibi, hem gerçek, hem de tüzel kişi olabilir. Kaldı ki, mağdur olmak için bilişim sistemine kaydedilen verilerin maliki ya da zilyedi olmak gerekmemektedir. Verinin o kişiyle ilgili olması suçun mağduru olabilmek için yeterlidir.
Suça iştirak konusunda özel bir düzenleme bulunmayıp TCK’nın suça iştirake ilişkin genel hükümleri uygulanacaktır.
b. Suçla Korunan Hukuki Yarar
Suçun konusu kişisel veridir ve kişisel veri, gerçek kişiyle ilgili her türlü bilgiyi kapsamaktadır. Avrupa Birliği tarafından çıkarılan Avrupa Topluluğu Veri Toplama Yönergesi’nin 2. maddesi kişisel veriyi, bir gerçek kişi hakkında olabilecek ve onu belirlenebilir kılacak her türlü bilgi olarak tanımlanmaktadır[13]. 135. maddenin 2. fıkrasında kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin de suçun konusu olduğu açıkça sayılmıştır. Yasada kişisel veri tanımının yapılmayıp, çerçevesinin çok geniş tutulması, ceza hukukundaki belirlilik ilkesine ters düşmektedir.
135. maddenin yer aldığı, özel hayata ve hayatın gizli alanına ilişkin suçlar başlıklı dokuzuncu bölüm, Anayasa’nın özel hayatın gizliliği ve korunması başlıklı 20. maddesindeki, “herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz” hükmüne dayanmaktadır.
c. Suçun Maddi Unsuru
Suçun maddi unsuru, kişisel verilerin kaydedilmesidir. Kişisel veri, Kişisel Verilerin Korunması Kanunu Tasarısı’nda, belirli ya da kimliği belirlenebilir bir kişiye ilişkin bütün bilgileri ifade eder, şeklinde geniş kapsamda tanımlanmıştır. Verinin nasıl kaydedildiğine dair kapsam da geniştir. Kişisel verilerin kaydedilmesi suçu en çok bilişim alanında gerçekleşse de, bu bir sınır oluşturmamaktadır. Verinin bilişim sisteminde ya da somut kağıt üzerine kayda alınması yaptırım uygulanması için yeterlidir. Suç serbest hareketli bir suç tipi olduğundan, verilerin kaydedilmesi işleminin nasıl yapıldığı önem taşımaksızın suç gerçekleşmiş olacaktır. Kaydedilen verinin başkalarına gösterilmesi, aleniyet kazanması gerekmediği gibi, kişisel verisi kaydedilen kişi açısından bir zararın meydana gelmesi de aranmamaktadır. Kayıt etme anında, suçun maddi unsuru oluşmaktadır.
Kaydetme fiili birkaç şekilde gerçekleştirilebilir. Bilişim sisteminde varolan bir verinin kaydedilmesiyle ya da yazılı olmayan bir bilginin bilişim sistemine aktarılması yahut yazılı hale getirilmesiyle gerçekleşebilir. Önemli olan husus, kişiye ait kişisel bir verinin bulunması, bu kişisel verinin kaydedilmiş olması ve bu kaydın hukuka aykırı şekilde gerçekleşmiş olmasıdır.
d. Suçun Manevi Unsuru
Kişisel verilerin kaydedilmesi suçu, kasten işlenebilir bir suçtur. Kasten işleme, suçu bilerek ve isteyerek işleme iradesini içerir. Fail kişisel verinin kaydedilmesi eylemini gerçekleştirirken hukuka aykırı hareket ettiğinin bilincinde olup, bu eylemi ve sonuçlarını istemektedir.
TCK 135/1. maddesi, “Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir” diyerek failin fiilinin hukuka aykırı olduğunun bilincinde olmasını aramaktadır. Oysaki aynı maddenin 2. fıkrasında “Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine…” ait bilgilerin kaydedilmesinde hukuka aykırılık unsurunu belirtilmediğinden, failin kastının hukuka aykırılığı aranmayacaktır.
e. Hukuka Aykırılık Unsuru
Kişisel verilerin kaydedilmesi suçunda, hukuka özel aykırılık durumu söz konusudur. Madde metninde suçun hukuka aykırı olarak işlenmesi gerektiği belirtildiği için, failin kastında hukuka aykırılık unsurunun bulunup bulunmadığının özel olarak araştırılması gerekmektedir. Maddenin 2. fıkrasında belirtilen “kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine” ait bilgilerde hukuka özel aykırılık unsuru araştırılmayıp, kasten suç işleme iradesi yeterli olacaktır. Böylece failin eylemini sonuçlandırmasıyla suç gerçekleşmiş olacak ve hukuka aykırı eylem bilincinin varlığı irdelenmeyecektir. Kişisel verilerin kaydedilmesi suçunun mütemadi şekilde işlenmesi de mümkündür. Suç devam eden eylem bittiği zaman gerçekleşmiş olacak ve böylece zaman aşımı bu andan itibaren işlemeye başlayacaktır.
Fiilin hukuka uygun olarak gerçekleştirilmesi, mağdurun rızası veya yasayla verilen yetki ile mümkündür. Veri sahibi ya da ilgilisi tarafından verilen rıza, suçun işlendiği anda mevcut olmalıdır. Rızanın açık ya da zımni olması önemli değildir. Günümüzde internette çokça kullanılan ve ilgi çeken arkadaşlık sitelerine, aleni şekilde koyulan kişisel verilerin kopyalanması halinde, baştan zımni bir rıza söz konusu olduğundan suç oluşmayacaktır.
Çeşitli kamu kurumlarında verilen kamu hizmetinin gereği olarak kişilerle ilgili bilgilerin kanun gereğince alınması gerektiğinde, bu bilgilerin alınması suç oluşturmaz. Bu veriler ancak hukuka aykırı olarak kaydedilirse suçtur. Kamu hizmetinin bir gereği olarak, kişinin bilgilerinin ilgili kanun hükümlerine istinaden kayda alınması suç oluşturmayacaktır. Özellikle suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla, yasa 135/2. fıkrasında belirtilen durumlara ilişkin bilgilerin kayda alınmasına belli ölçülerde izin vermekte ve suç saymamaktadır[14].
3. Kişisel Verileri Hukuka Aykırı Olarak Verme Veya Ele Geçirme Suçu
TCK 136. maddesi “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır” şeklinde düzenlenmiştir. Bu suçun konusunu, kişisel verilerin kaydedilmesi suçunda olduğu gibi, kişisel veriler oluşturmaktadır. Kişisel verileri hukuka aykırı olarak verme ve ele geçirme suçu, bilişim alanında en fazla işlenen suç olma özelliğini taşımaktadır. Günümüzde birçok kişisel bilginin ve kimlik bilgilerinin internet ortamında bulunmasından ötürü, internetteki kişisel veriler ele geçirilmekte ve bu veriler üzerinden haksız kazanç elde ederek birçok suç işlenmektedir. Kimlik hırsızlığı olarak da adlandırılan bu suç sayesinde kişilerin adı, soyadı, doğum tarihi, anne kızlık soyadı, T.C. kimlik numaraları, sosyal güvenlik numaraları, kredi kartı bilgileri gibi birçok kişisel verisi haberi olmaksızın ele geçirilmektedir. Hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır[15].
Bu suç ile korunmak istenen hukuki yarar kişisel veriler olup bu veriler kişilerin özel hayatına, özel hayatın gizliliğine ilişkindir. Anayasal bir güvence olduğundan, herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir.
Kişisel verileri hukuka aykırı olarak verme ve ele geçirme suçunu işleyenler için bir ila dört yıl arası hürriyeti bağlayıcı ceza öngörülmüştür. Bu suçun işlenmesinden tüzel kişilerin hukuka aykırı yarar sağlaması halinde TCK 60. maddede gösterilen güvenlik tedbirleri uygulanacaktır.
Kişisel verileri hukuka aykırı olarak verme ve ele geçirme suçu, teşebbüse elverişli bir suçtur. Fail icra hareketlerine başlamış ancak bir sebepten bu hareketler yarıda kalmış olacaktır. Suç maddi unsurun tamamlanmasıyla oluşabileceği için, tamamlanmayan icra hareketleri neticesinde teşebbüs aşamasında kalacaktır.
a. Suçun Faili Ve Mağduru
Kişisel verileri hukuka aykırı olarak verme ve ele geçirme suçunun mağduru herkes olabilir. Kanunda bu konuda herhangi bir sınırlama getirilmemiştir. Suçun mağduru olabilmek için illa kaydedilen verinin maliki yada zilyedi olmaya gerek yoktur. Ele geçirilen verinin mağdur olan bireyle ilgili olması yeterlidir.
Kanunda suç tipi açısından bir özellik belirtilmediğinden, bu suçun faili herkes olabilir. Ancak suçu işleyenin kamu görevlisi olması TCK 137. madde gereği cezayı ağırlaştırıcı sebep olarak düzenlenmiştir.
Kişisel verileri hukuka aykırı olarak verme ve ele geçirme suçunun iştirak halinde işlenmesi mümkündür. Madde metninde iştirak açısından bir özellik belirtilmediğinden TCK 37,38,39 ve 40. maddelerinde düzenlenen iştirake ilişkin genel hükümler çerçevesinde değerlendirilecektir.
b. Suçun Maddi Unsuru
Kişisel verileri hukuka aykırı olarak verme ve ele geçirme suçu bir tehlike suçu olduğundan, fiil sonucunda herhangi bir zararın meydana gelmesine gerek olmaksızın maddi unsurun gerçekleştirilmesiyle suç oluşmaktadır. Buradaki maddi unsur kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme fiilleridir. Bu seçimlik hareketli suçlardan birinin tamamlanması ile suç gerçekleşmiş olacaktır.
Kişisel verilerin başkasına verilmesi fiilinin ne şekilde yapılacağı belirtilmemiştir. Bir kişisel veri başkasına yazılı olarak elden yada postalanarak verilebileceği gibi, sanal ortamdaki bir veri, elektronik posta yoluyla da gönderilebilir. Madde metninde bir sınırlama olmadığı için yollanan kişinin gerçek ya da tüzel kişi olması mümkündür.
Kişisel verinin yayılması eylemi, verinin verilmesinden üst seviyededir. Yayma ile birden fazla kişinin bu veriden haberdar olduğu anlaşılmaktadır. Kişisel veriler günümüzde en çok sanal yolla yayılmaktadır. Veri yazılı olarak çoğaltılıp mektupla birden çok kişiye yollanabileceği gibi, web sitelerinde rahatlıkla binlerce insana yayılabilmektedir. Bilinmeyen e-posta adreslerinden gelen iletiler sayesinde sisteme virüs taşınabilirken, reklam amacıyla girilmesi istenen bir web sitesi de karşımıza çıkabilmektedir.
Kişisel verilerin ele geçirilmesi, en yaygın şekilde yetkisiz erişim ile gerçekleştirilmektedir. Somut olarak yazılı bir belgenin olduğu yerden alınması suretiyle olabileceği gibi, bilişim sistemi üzerindeki bir veri sisteme girilip kaydedilerek ele geçirilebilir.
TCK 136. maddenin gerekçesinde belirtildiği üzere, hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır. Dolayısıyla veri hukuka uygun olarak kaydedilmiş olsa bile, diğer unsurlar mevcutsa suç gerçekleşmiş sayılacaktır. Kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu, seçimlik hareketli bir suç olduğundan bunlardan bir yada birkaçı aynı anda gerçekleşmiş olsa bile, faile tek bir suçtan ceza verilecektir.
c. Suçun Manevi Unsuru
TCK m. 136 kasten işlenebilir bir suçtur. Failin suçu bilerek ve isteyerek işlemesi istendiğinden, taksirle işlenmesi mümkün değildir. Madde metninde hukuka özel aykırılık hali bulunduğundan, failin kastında eyleminin hukuka aykırı olduğu bilinci de aranmaktadır. Sadece suç işlediğini bilmesi yetmeyip, gerçekleştirdiği eylemi ve sonuçlarını istemesi kastın varlığı için aranmaktadır.
d. Hukuka Aykırılık Unsuru
Madde metninde “kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi…” şeklindeki düzenlemeden anlaşılacağı üzere hukuka özel aykırılık hali aranmaktadır. Yani failin yargılaması esnasında, yaptığı eylemin hukuka aykırı olduğunu bilerek hareket edip etmediği araştırılmaktadır.
Hukuka aykırılığı ortadan kaldıran bazı durumlar vardır. Mağdurun, yani verinin sahibi ya da ilgilisinin rızası söz konusuysa, verinin ele geçirilmesi, yayılması, başkasına verilmesi suç oluşturmayacaktır. Aynı şekilde yasanın verdiği yetkiye dayanarak, görevli bir kişinin bu eylemi gerçekleştirmesi yasaya aykırı olmayacaktır.
4. Kişisel Verilerin Yok Edilmemesi Suçu
TCK 138. maddesi verilerin yok edilmemesi suçuna “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir” şeklinde yer vermiştir. Yeni Türk Ceza Kanunu ile getirilen bu düzenleme sayesinde hukuka uygun olarak kaydedilen ve bu aşamada bir sorun teşkil etmeyen kişisel verilerin, kanunların belirlediği süreler içinde yok edilmesi gerekebilir. Bu durumda verilerin yok edilmemesi suç teşkil edecektir. Bu madde ile amaçlanan kişisel verilerin her an ulaşılabilirliğinin önünü kesmektir. Verileri yok etmesi gerekirken görevi ihmal edenler TCK 138. madde müeyyidesiyle karşılaşacaktır.
Kişiler zaman içinde, toplum içerisinde yaşarken bir takım sebeplerden ötürü kişisel bilgilerini vermek zorunda kalabilir. Bu bilgilerin hukuka aykırı olarak elde edilmesi suçtur. Ancak veri hukuka uygun şekilde elde edilse bile bu onun sonsuza kadar saklanabileceği anlamına gelmemektedir. Kanunla belirtilen süreler içinde verilerin yok edilmesi gerekir. Aksi halde kişi kendisine ait bu bilgilerin, başkalarının bilgisinde olmasından ötürü güvensizlik duyabilecektir. Bu güvensizlik diğer bireylere, siyasal sisteme ve devlete karşı oluşabilir. Demokratik bir toplum, bireylerin kişisel bilgilerini kaydeden, saklayan, hiçbir şekilde yok etmeyen bir yapı içerisinde olamayacağından, bu suç tipiyle bu sorunun önüne geçilmek istenilmektedir.
Bu suçun oluşabilmesi için iki koşul gerekmektedir. Birincisi, kanunda kişisel verinin yok edilmesine ilişkin bir sürenin belirtilmiş olmasıdır. Ancak 138. maddedeki kanun terimini geniş yorumlayıp, tüzük, yönetmelik, genelge gibi düzenlemeleri de bu kavram içine sokmak gerekmektedir. Verilerin belli bir süre içinde yok edilmesi gerektiği kanunda anlaşılır bir şekilde belirtilmiş olmalıdır. Dolayısıyla fail yasal süre geçmesine rağmen verileri yok etme fiilini gerçekleştirmemiş olmalıdır. İkinci koşul ise, verilerin sistem içinde yok edilmemesidir. Sistem ile ifade edilen bilişim sistemidir. Bilişim sistemi içinde, süresi geldiği halde yok edilmeyen veri kastedilmektedir.
TCK 138. maddenin mağduru kişisel verileri yok edilmeyen kişidir. Verilerin yok edilmemesi suçu işlendiğinde kamu idaresine duyulan güven kırılacağından bu suçun mağduru aynı zamanda kamu olacaktır. Suçun faili ise sistem içindeki verileri yok etmekle görevli olan kişidir. Bu kişinin kamu görevlisi olması zorunlu değildir. Her ne kadar verileri yok etme işi kamu adına yapılsa ve kamu yararı amaçlansa da, failin bu sıfatı taşıması gerekmemektedir. Failin yerine getirmesi gereken bu görev, somut olayın özelliklerine göre ilgili özel yasalarla belirlenmiştir. Fail aynı suç işleme kastıyla zincirleme şekilde kişisel verileri yok etmez ise, suçların içtimaı gereği tek bir uç işlemiş kabul edilecek ancak cezası artırılacaktır. Bu suçun işlenmesinde tüzel kişi kendi lehine hukuka aykırı bir yarar sağlarsa TCK 60. maddede belirtilen güvenlik tedbirleri uygulanacaktır.
Verilerin yok edilmemesi suçu ihmali bir hareketle işlenir. Yok etme ile görevli kişinin yasal süre içinde bu görevini yerine getirmemesi ihmali davranışına dayanmaktadır. Dolayısıyla suçun teşebbüs aşamasında kalması mümkün değildir.
Suçun birden fazla kişi tarafından işlenmesi mümkündür. Madde metninde suça iştirake ilişkin özel bir düzenleme getirilmediğinden TCK’nın iştirake ilişkin genel hükümleri uygulanacaktır. (m. 37, 38, 39, 40)
a. Suçla Korunan Hukuki Yarar
Bu suç ile korunmak istenen öncelikli hukuki yarar kişisel verilerin güvenliğidir. Dolayısıyla özel hayatın gizliliği esas alınmaktadır. Bunu aynı zamanda, yasanın suç tipini özel hayata ve hayatın gizli alanına karşı suçlar bölümünde düzenlemiş olmasından anlamaktayız. Hukuka uygun şekilde elde edilen verilerin sürekli olarak sistemde tutulmaması ile kişinin özel hayatı ve kişisel verileri korunmaktadır.
Bu suç ile korunan diğer bir hukuki yarar, kamu görevinin yerine getirilmesiyle bundan sağlanacak kamu yararının elde edilmesidir. Verileri yok etmekle görevli kişinin bunu yapmaması kamu görevinin yerine getirilmesinde gereken disiplini bozmaktadır. Bu koruma sayesinde kamuya olan güven duygusu ve kamu yönetimin güvenilirliği güçlendirilmeye çalışılmaktadır. Verileri yok etmekle yükümlü olan sadece kamu kurumları değil aynı zamanda özel kurum ve kuruluşlardır.
b. Suçun Maddi Unsuru
Bu suç görevini gereği gibi yerine getirmeyen failin verileri sistemden yok etmemesi ile işlenir. Yani hareket, verileri yok etmemektir. Verinin ne süre içinde ve nasıl yok edilmesi gerektiği ilgili yasada belirtilmektedir. Verileri yok etmekle görevli kişi bu görevi yerine getirmeyeceğini açık bir şekilde beyan ederse, yasada belirtilen sürenin sonu beklenmeye gerek kalmaksızın suç oluşmuş sayılacaktır.
Verilerin yok edilmemesi ihmali bir hareket ile gerçekleşir. Yasada belirtilen sürenin sonunda veri hala sistemden silinmemişse suç gerçekleşmiş olacaktır. Verilerin kısmen ya da tamamen yok edilmesi somut duruma göre değerlendirilmelidir. Eğer kısmen yok edilen bir veri varsa ve kalan kısım hala veri niteliği taşıyorsa, suç gerçekleşmiş olacaktır.
c. Suçun Manevi Unsuru
Verilerin yok edilmemesi suçu genel kast ile işlenir. Failin yaptığı eylemin hukuka aykırı olduğunu bilmesi aranmaktadır. Suçun bilerek ve istenerek işlenmesi gerektiğinden, taksirle işlenmesi mümkün değildir.
d. Hukuka Aykırılık Unsuru
Bu suç tipi, kişisel verilerin kaydedilmesi ve kişisel verileri hukuka aykırı olarak verme ele geçirme suçlarından farklı olarak mağdurun rızasını hukuka uygunluk sebebi olarak görmemektedir. Mağdur aynı zamanda kamu düzeni olduğundan, suçtan zarar gören ilgilinin rızası fiili hukuka uygun hale getirememektedir.
Getirilebilecek Çözüm Yolları
Biyometrik Yöntemler
Biyometrik yöntemler kişiye ait unutulmaz, çalınmaz, eşsiz fiziksel özelliklerin kullanılarak kişinin kimliğinin tanınması veya doğrulanması işlemidir. Bilişim sistemlerinin hızlı ilerleyişi karşısında suçlarla mücadele etmek ve önüne geçmek için biyometrik yöntemlere başvurulmaktadır. Bilgisayar ve bilgisayar ağlarına erişim ile bankaların ATM[16] servislerinin güvenliğini artırmak, biyometrik yöntemlerin kullanıldığı başlıca kullanım alanlarıdır. Silivri Cezaevi gibi, ceza infaz kurumlarının birçoğunda artık retina tanıma yöntemiyle kimlik belirleyen sistemler kullanılmaktadır. Biyometrik yöntemler, el yazısı, parmak izi tanıma, iris yapısı, yüz tanıma, damar yapısı, el şekline, ses karakteristiğine göre biyometrik tanımlama yöntemleri gibi çok çeşitli sayıdadır. Biyometrik yöntemler, kamu makamlarınca ve özel kişilerce kullanılabilmektedir.
Teknolojinin ilerlemesinin kötüye kullanılmasını önleyebilecek bu sistemlerinde kötüye kullanılmaması ve özel hayatın gizliliğini ihlal etmemesi açısından bazı sınırlamalar getirilmiştir. Biyometrik yöntemlerin, Anayasa’nın 20., AİHS’nin 8. maddelerinde düzenlenen özel hayatın gizliliği hakkını ihlal etmeden uygulanabilmesi için, bu temel hak ve özgürlüğe getirilecek sınırlamanın kanunla gerçekleştirilmesi gerekir. Biyometrik yöntemin hukuki durumu, her bir somut olayda yöntemin uygulama alanı ve özellikleri incelenerek ele alınmalıdır. Bu yöntemin uygulanması gerekip gerekmediği ilk sorudur. Eğer biyometrik yöntemlerin uygulanmasına gerek olmadan başka tedbirlerin alınması mümkünse bu yola girilmemelidir. Kullanılan biyometrik yöntem özel hayatın gizliliğini ihlal edici bir nitelik taşıyorsa, bunu meşru kılan bir kanuni sebep aranmalıdır. Temel hak ve hürriyetlerin sınırlandırılmasını düzenleyen AY.’nın 13. maddesinde[17] sayılan ve sınırlamayı hukuka uygun hale getiren sebeplerden biri gerekli olmalıdır. ATM cihazlarından kaynaklanan güvenlik problemlerinde önemli bir artış gözlenmesi ve ölçülülük unsurunun bu konuda yeterli oranda varlığı da, gerek bankaların, gerek mudilerin menfaati uyarınca, parmak izi veya iris gibi kimlik denetimlerinin uygulanmasına zemin oluşturabilecektir. Bu örnek, bireyin kendi güvenliğinin yanı sıra, özel hayatın gizliliği ilkesinin sınırlanabileceği sebepler olan kamu düzeni ve suç işlenmesinin önlenmesi kavramları bakımından meşruiyet kazanmaktadır[18]. Biyometrik yöntemler kanuna uygun şekilde, hak ihlal etmeden kullanıldıkları takdirde, suçla savaşmak adına önemli birer adımdır.
AV. NİL SAYMAN GÜLER
[1] (Resolution on the protection of individuals vis-a-vis electronic data banks in the public sector) (Resolution on the protection of privacy of individuals vis-a-vis electronic data banks in the private sector)
[2] Organisation for Economic Co-operation and Development - Ekonomik Kalkınma ve İşbirliği Örgütü
[3] OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
[4] Convention for the protection of İndividuals with regard to Automatic Processing of Personal Data
[5] United Nations, Guidelines Concerning Computerized Personal Data Files
[6] 25 Eylül 2001, Başvuru No.44787/98, paragraf 9-14 ve 35-38
[7] 25 Haziran 1997, Başvuru No.20605/92, Reports 1997-III, paragraf 56
[8] TCK m.135 Kanuni Gerekçesi
[9]Ceza Muhakemesi Kanunu, Kanun Numarası: 5271, Kanun Kabul Tarihi: 04/12/2004, Yayımlandığı Resmi Gazete Tarihi: 17/12/2004, Yayımlandığı Resmi Gazete Sayısı:25673.
[10] Anayasa Mahkemesi 1996/68 E., 1991/1 K., 06.01.1999 T. nolu kararı.
[11] TCK 135. madde kanuni gerekçesi.
[12] TCK m. 60- 1.Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı suçlardan mahkûmiyet hâlinde, iznin iptaline karar verilir. 2. Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri hakkında da uygulanır. 3. Yukarıdaki fıkralar hükümlerinin uygulanmasının işlenen fiile nazaran daha ağır sonuçlar ortaya çıkarabileceği durumlarda, hâkim bu tedbirlere hükmetmeyebilir. 4. Bu madde hükümleri kanunun ayrıca belirttiği hâllerde uygulanır.
[13] Directive 95/46/EC of Europian Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
[14] TCK 135. madde gerekçesi: Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine, ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kayda almak, suç olarak tanımlanmıştır. Ancak, bunlardan kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebilir. Bu durumlarda söz konusu suç oluşmayacaktır.
[15] TCK 136. madde gerekçesi
[16] Automated Teller Machine (Otomatik Vezne Makinesi)
[17] Temel hak ve hürriyetlerin sınırlanması: Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.
[18] Er, Cüneyd, Biyometrik Yöntemler ve Özel Hayatın Gizliliği Hakkı, Yetkin Yayınları, Ankara, 2007, s. 151