Günümüze baktığımızda teknolojide ve özellikle iletişim teknolojilerinde meydana gelen gelişmeler, sürekli genişleyen haberleşme ağları, bir yandan bilgi alışverişi ve bilgilerin toplanması olanaklarını oldukça artırırken, diğer yandan da kişilerin hukuki güvenliği açısından bazı tehditlerin çıkmasına yol açmaktadır. Günlük yaşamın farklı alanlarında gerçek ve tüzel kişilerle ilişkiye giren bireyin kişisel verileri, veri sorumlusu dahi olmayan süjeler tarafından kayıt altına alınmakta, işlenmekte ve kullanılmaktadır. Gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Diğer yandan ticari hayatta da kişisel veriler önemli bir konuma gelmiştir. Bu değişimler bireyin özel hayat mahremiyetini savunmasız hale getirmiş ve beraberinde kişisel verilerin korunmasını zorunlu kılmıştır. Bunun sonucunda da kişisel verilerin korunmasının gerekliliği ortaya çıkmıştır.
Kişisel veri kavramı, İngilizce “personal data” kavramından gelmekte olup gerek ulusal gerekse uluslararası mevzuata baktığımızda birbirlerine benzeyen tanımlarla karşılaşsak da 6698 sayılı Kişisel Verileri Koruma Kanunu kişisel veriyi; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamaktadır.
Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır. Bu açıdan bakıldığında, kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır.Ayrıca, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararında da “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.
Geçmişten günümüze baktığımızda ise; ulusal ve uluslararası düzenlemelerle kişisel verilerin korunmasına yönelik çalışmalar devam etmekte olup ulusal anlamda ilk veri koruma kanunu 1970 tarihli Almanya’nın Hessen Eyalet Veri Koruma Kanunu’dur. Bu Kanun, bilişim sistemleri yardımıyla tapu kayıtlarına erişim sağlanabilmesi karşısında, verilerin elde edilmesi ve depolanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Benzer şekilde, 1973 tarihli İsveç ve 1978 tarihli Fransa veri koruması kanunları da, devlet elinde bulunan çok sayıdaki verinin kimlik numarası benzeri bir sistemle kayıt edilerek birbirine bağlanması sonucunda, etkin bir şekilde veri işlemenin mümkün hale gelmesi ve bu kapsamda oluşacak riskler karşısında hukuken korunmaya ihtiyaç bulunduğu düşüncesiyle hazırlanmıştır. Uluslararası düzenleme olarak Avrupa Konseyi’nin 1973 ve 1974 yıllarında, özel ve kamu kesimindeki elektronik veri bankalarında tutulan kişisel verilerin korunmasında gerekli standartları belirlemek için kabul ettiği iki karar, kişisel verilerin korunması ile ilgili sonradan çıkarılan düzenlemelere kaynaklık etmiştir. Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşme’nin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı çıkarmıştır. Bu gelişmelerin ardından, Avrupa ülkelerinde ve ABD’de ulusal düzlemde yasal mevzuat oluşturulurken Birleşmiş Milletler (BM), Avrupa Konseyi, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) ve Avrupa Birliği (AB) kapsamında da çeşitli yönerge, direktif ve uluslararası anlaşmalar hazırlanmıştır.
Kişisel Verilerin Korunması Kanunu (KVKK)
İç hukukumuzda yakın tarihe kadar kişisel verilerin korunması; mevcut Anayasamız, 4721 sayılı Türk Medeni Kanunu 5237 sayılı Türk Ceza Kanunu çerçevesinde yürütülmekteydi. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 07.04.2016 tarihinde Resmi Gazete’de yayımlanması ile bu konuda artık bir özel kanunumuz olmuştur. Kişisel verilerin korunmasına yönelik ayrıca, 4857 sayılı İş Kanunu, 5070 sayılı Elektronik İmza Kanunu, 1512 sayılı Noterlik Kanunu ile Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik gibi özel düzenlemeler de mevzuatımız içerisinde yer almaktadır. 2010 yılında yapılan Anayasa değişikliği ile Anayasamızın 20. maddesinde yer alan “Özel Hayatın Gizliliği” başlığı altında kişisel verilerle ilgili fıkra eklenmiş ve buna göre herkes; kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olmuştur. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsamaktadır. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”şeklindedir. Ayrıca Kişisel verilerin Korunması Kanunu’nun temel amacı kişinin hak ve özgürlerini korumaktır. Bu koruma, bireyin ayrımcılık tehlikesi ile karşı karşıya kalmaması içindir. Kanun ile sadece gerçek kişilerin verileri korunmaktadır ve kanun, kişisel veriye temas eden, işleyen, depolayan özel ve tüzel kişilerin uyması gereken kuralları, veri toplama ve işleme süreçlerinde yapmaları gerekenleri düzenlemektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, gerçek ve tüzel kişilere verilerin korunmasına yönelik bazı sorumluluklar yüklemiştir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler bu Kanun kapsamında “veri sorumlusu” olarak tanımlanmaktadır. Herkes, veri sorumlusuna başvuru yaparak kendisi ile ilgili veri kaydı olup olmadığını var ise neler olduğunu ve ne amaçla kullanıldıklarını öğrenme hakkına sahip olmakla birlikte ayrıca kendi sorumluluğu altındaki verilere hukuka aykırı olarak erişimi ve bu verilerin hukuka aykırı olarak işlenmesini önlemek, kendi kurum ve kuruluşunda, KVKK hükümlerini sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları, kişisel verilere yönelik gelen talepleri en geç otuz gün içerisinde yazılı ya da elektronik ortamda ilgili kişiye bildirir. Kişisel veriler sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi kişinin kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder.
KİŞİSEL VERİLERİN TÜRK CEZA KANUNU (TCK) KAPSAMI
Günümüzde kişilerle ilgili kayıtların bilgisayar ortamlarına geçirilip korunması uygulamasına bazı kurum ve kuruluşlar tarafından başvurulmakta ve özellikle de hastanelerde hastalara, sigorta şirketlerinde sigortalılara, bankaların ve kredili alış veriş yapılan mağazaların müşterilerine ilişkin kayıtlar, böylece tutulmaktadır. Bu bilgilerin amaçları dışında kullanılmasından veya herhangi bir şekilde diğer şahısların eline geçerek hukuka aykırı olarak yararlanılmasından dolayı hakkında bilgi sahibi olunan kişiler büyük zararlara uğrayabilmektedirler. Bu nedenle, bu kişilerle ilgili bilgilerin hukuka aykırı olarak kayda alınması suç olarak tanımlanmaktadır.Kişisel verilerin korunmasının temelinde de, kişinin özel hayatının gizliliğini güvence almak suretiyle kişiyi korumak amacı bulunmaktadır. Bu konudaveri koruma hukuku, hangi kişisel verilerin kim tarafından ve kimin için elde edildiğinin, kim tarafından hangi amaçla ve ne süreyle işleneceğinin, kim ya da kimlere aktarılacağının ve ne zaman yok edileceğinin öğrenilmesi hakkını içermektedir. Türk Hukuk düzeninde kişisel verilerin korunması konusu 6698 sayılı Yasa yürürlüğe girene, hatta Kişisel Verileri Koruma Kurulu üyeleri seçilmeye başlanıncaya kadar yeterli olmamıştır. Ülkemizde uzun bir süre boyunca kişisel verilerin korunması alanında yeterli yasal düzenlemelerin bulunmaması nedeniyle bu konu öncelikle kişilik haklarının korunması konusunun altında incelenmiştir.
Kişisel verilerin korunmasına ilişkin suç tipleri bulunmakta ve bu suç tipleri 5237 sayılı TCK’nın özel hükümlerin yani suç tiplerinin düzenlendiği ikinci kitabının “Kişilere Karşı Suçlar” başlıklı ikinci kısmının “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünde yer almaktadır. 6698 sayılı KVKK’nın beşinci bölümünde ise “Suçlar ve Kabahatler” hükme bağlanmış ve Türk Ceza Kanunu’na atıf yapılmıştır. Buna göre; kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135. ila 140. madde hükümleri uygulanmaktadır. KVKK’nın 7. maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138. maddesinde yer alan “Verileri Yok Etmeme” suçu ile cezalandırılacaktır.
KVKK’nın gönderme yaptığı TCK’da bu konuda yer alan madde kapsamına göre; TCK m. 135 hukuka aykırı olarak kişisel verileri kaydeden kimseye 6 aydan 3 yıla kadar hapis cezası verilir.Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olan kişisel verilerinin hukuka aykırı şekilde kayda alınması suçun oluşması için yeterlidir. Kişinin rızası ile kendisiyle ilgili verilerin kayda alınması suç teşkil etmemektedir. Kişisel verilerin kişilerin siyasi, felsefi, dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına sağlık durumlarına veya sendikal bağlantıları ile ilgili olması durumunda cezanın yarı oranında arttırılacağı öngörülmüştür.https://g
TCK m.136 kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır. Bu madde ile birlikte hukuka aykırı olarak kişisel verileri bir başkasına vermek, yaymak ve ele geçirmek fiilleri suç olarak nitelendirilmiştir. Yukarıdaki maddelerde tanımlanan suçlara ilişkin olarak aşağıdaki maddede bu suçların nitelikli halleri düzenlenmiştir.
TCKm.137 kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle, Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır. Doktorların KVKK’nin öngördüğü usullerin dışında veri işlenmesi halinde; kamu hastanesinde çalışan doktorlara intikal eden hastaların tahlil ve raporlarını yetkilerini kötüye kullanmak suretiyle depolaması a fıkrasına, serbest çalışan doktorların kendisine gelen hastaların tahlil ve raporlarını depolaması ise bu suçu işlemesi b fıkrasına örnek olarak gösterilebilir.
TCK m.138 kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat artırılır. Bu maddede şikâyet usulü düzenlenmiş olup kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme fiilleri hariç bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır. Mağdur olan kişiler suçun işlendiği tarihten itibaren 8 yıl içinde savcılığa suç duyurusunda bulunmalıdır. Aksi takdirde dava zamanaşımı süresi dolacağından suç ile ilgili soruşturma yapılamayacaktır.
Kabahatler kapsamında değerlendirilerek idari para cezasına tabi olan müeyyideler ise KVKK’nin18. maddesinde düzenlenmiş olup veri sorumluları; aydınlatma yükümlülüğünü yerine getirmezse; 5.000 TL den 100.000 TL ye kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmezse; 15.000-TL’den 1.000.000 TL’ye kadar, kurul tarafından verilen kararları yerine getirmezse; 25.000-TL’den 1.000.000 TL’ye kadar, veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmezse; 20.000 TL’den 1.000.000 TL’ye kadar Kurul, şirketteki veri ihlalinin boyutu doğrultusunda yukarıdaki belirlenen asgari azami sınırlar doğrultusunda idari para cezası verecektir.
Kurul, 5356 sayılı Kabahatler Kanunu’nun 17. maddesi uyarınca kabahati işleyenin ekonomik durumunu, kabahatin haksızlık içeriğini ve failin kusur derecesini dikkate alarak idari para cezasının miktarını belirleyecektir. İdari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen eylemler, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları tarafından işlenir ise Kurulun bildirimi üzerine disiplin hükümlerine göre işlem yapılacaktır.
Kişisel Verilerin Korunması konusu günümüzde gittikçe önem kazanmakta olup hem bireyler günlük yaşamlarında bu konuda pek çok yakınmada bulunmakta hem de konu yargı organlarının hukuksal önlem almalarına neden olmaktadır. Bunun en önemli örneklerinden birini sosyal paylaşım sitelerinde kişisel verilerin sürekli tutulması oluşturur. En çok kullanılan sosyal medya sitelerinde, kullanıcıların sildiği mesaj, fotoğraf ve videoları yine de kayıt altında tuttuğu öne sürülerek, yoğun biçimde eleştirilmekte ve tepki almaktadır. Bu görüş ve eleştiriler dikkate alınarak TCK’da, kişisel verilerin hukuka aykırı olarak kaydedilmesi, kullanılması veya açıklanması ve verilerin yok edilmemesi eylemleri ayrı maddeler halinde suç olarak düzenlenmiştir. Böylelikle ülkemizde ceza hukuku düzeni açısından önemli bir boşluk giderilmeye çalışılmıştır. Kısaca Türk Ceza Kanunu genel olarak kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi eylemlerini suç olarak sıralamakta ve söz konusu verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda koruma kapsamını genişletmektedir.
Sonuç olarak,teknoloji ağlarındaki verilerin çoğu kişisel yaşamımızı ilgilendirmektedir. Artan biçimde bireylerle ilgili dijital dosyalar oluşturulmakta, kamu organları ve işletmeler tarafından kişisel bilgiler toplanılarak veri bankalarında bu bilgiler tutulmaktadır. Söz konusu dosyalar, bireylerin yaşamında etkili rol oynamakta ve güvenirliğinin değerlendirilmesinde kullanılmaktadır. Gerek KVKK gerekse ikincil mevzuatın ortak amacı, kişilerin özel hayatlarını ve haklarını güvence altına alsa da başta yapılması gereken faaliyet ise, kişisel veri kavramının anlatılması ve gerekeli farkındalığın oluşturulmasıdır. Bu durumda, kanunun etkin şekilde uygulanması da önem göstermektedir. Her hâlükârda kişisel verileri toplanan, işlenen ve aktarılan bireylerin karşı karşıya oldukları tehdidin farkında olması ve verilerine, özel hayatlarına sahip çıkmaları, bu yönde bilinçli hareket etmeleri ve talepte bulunmaları en az yasal düzenlemelerin varlığı kadar önemlidir.
Unutmamalıyız ki, MAHREMİYET HERŞEYDİR…
Av. Begüm GÜREL (LL.M.)
İpek MENGİLLİ (Hukuk Fakültesi Öğrencisi)