Makale
Türk Ceza Kanunu kapsamında kişisel verilerin hukuka aykırı kaydedilmesi, aktarılması ve yok edilmemesi eylemleri ile bu ihlallere bağlanan cezai ve idari yaptırımları inceliyoruz. İşletmeler ve bireyler için hukuki sorumluluklar ile yargı kararları ışığında güncel ceza hukuku rejimini ele alıyoruz.
Kişisel Verilerin İhlalinde Ceza Hukuku ve Yaptırım Rejimi
Günümüz modern hukuk sisteminde, bireylerin temel hak ve özgürlüklerinin korunması amacıyla ceza hukuku son çare (ultima ratio) olarak devreye girmektedir. Kişisel verilerin korunması hukukunda temel yaklaşım ihlalleri önleyici tedbirler almak ve idari yaptırımlarla caydırıcılık sağlamak olsa da, ihlalin ağırlığına göre 5237 sayılı Türk Ceza Kanunu (TCK) hükümleri uygulama alanı bulmaktadır. Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 17. maddesi, kişisel verilere ilişkin suçlar bakımından TCK'nın 135 ila 140. maddelerine açık bir atıf yapmaktadır. Bu bağlamda, kişisel verilerin hukuka aykırı olarak kaydedilmesi, yetkisiz kişilere verilmesi, ele geçirilmesi veya kanuni sürelerin dolmasına rağmen yok edilmemesi eylemleri doğrudan hürriyeti bağlayıcı ceza yaptırımları ile karşılanmaktadır. Bir KVKK uzmanı avukat olarak belirtmek gerekir ki; idari para cezalarının ötesinde, şirket yöneticileri ve gerçek kişi veri sorumlularını doğrudan hapis cezası riskiyle karşı karşıya bırakan bu yaptırım rejimi, veri güvenliği süreçlerinin ciddiyetle yönetilmesini zorunlu kılmaktadır.
Türk Ceza Kanunu Kapsamında Kişisel Verilere Karşı İşlenen Suçlar
Türk Ceza Kanunu sistematiğinde kişisel verilerin korunmasına yönelik suçlar, özel hayata ve hayatın gizli alanına karşı suçlar bölümünde düzenlenmiştir. TCK madde 135 uyarınca kişisel verilerin kaydedilmesi, hukuka uygunluk sebepleri bulunmaksızın gerçekleştirildiğinde hapis cezasını gerektiren bir suç teşkil etmektedir. Suçun oluşumu için kaydetme eyleminin kâğıt üzerinde veya dijital bir kayıt sisteminde yapılması arasında hukuken bir fark gözetilmemiştir. Öte yandan, TCK madde 136'da düzenlenen kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu, verilerin yetkisiz üçüncü kişilerin fiili hâkimiyetine sokulmasını cezalandırmaktadır. Yargıtay kararlarında da istikrarla vurgulandığı üzere, bu ihlaller soyut tehlike suçu niteliğinde olup, eylemin icra edilmesiyle birlikte somut bir zarar doğup doğmadığına bakılmaksızın suç tamamlanmış sayılmaktadır. Dolayısıyla, kişisel verilerin izinsiz olarak anlık mesajlaşma uygulamalarından başkasına iletilmesi dahi bu suçun oluşması için yeterli kabul edilmektedir.
Suçun Nitelikli Halleri ve Özgü Suç Kavramı
İlgili suçların temel halinin yanı sıra, yaptırımın ağırlaştırılmasını gerektiren nitelikli haller TCK madde 137'de açıkça belirtilmiştir. Kişisel verilere karşı işlenen suçların kamu görevlisi tarafından görevinin verdiği yetkinin kötüye kullanılması veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde faile verilecek ceza yarı oranında artırılmaktadır. Ayrıca, TCK 135/2 kapsamında kişilerin siyasi, felsefi veya dini görüşlerine, ırk kökenlerine, sağlık durumlarına ve cinsel yaşamlarına ilişkin özel nitelikli kişisel verilerin kaydedilmesi daha ağır bir cezai yaptırıma tabi tutulmuştur. Suçların faili bakımından önemli bir diğer pratik husus ise, tüzel kişilerin ceza hukuku anlamında suçun faili olamamasıdır. Veri işleyen bir şirket dahi olsa, hapis cezasını gerektiren cezai sorumluluk, o işletmede haksız eylemi gerçekleştiren tüzel kişi yöneticisi veya yetkilisi olan gerçek kişilere aittir.
Verileri Yok Etmeme Suçu ve İhmali Davranış
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya kanunların belirlediği saklama sürelerinin dolması halinde verilerin imha edilmesi kesin bir yasal yükümlülüktür. TCK madde 138'de düzenlenen verileri yok etmeme suçu, bu yasal yükümlülüğün kasten ihlali anlamına gelen bir ihmali suç tipidir. KVKK madde 7 uyarınca, verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekirken, veri sorumlusunun bu imha işlemini yapmaması doğrudan cezai yaptırım doğurmaktadır. Kanun koyucu burada, bireylerin dijital dünyadaki izlerinin kalıcı olmasını engellemeyi ve yasal unutulma hakkını güvence altına almayı amaçlamıştır. Bu ihmali suçun oluşması için de başkaca bir zararın doğması aranmaz; sadece kanuni sürenin geçmesine rağmen silme veya anonimleştirme yükümlülüğünün yerine getirilmemesi, ihmali hareketle işlenen suçun hukuken tamamlanması için yeterli görülmektedir.
İdari Para Cezaları ve Ceza Yargılamasının Kesişimi
Hukuka aykırı veri işleme faaliyetleri yalnızca hapis cezası ile değil, aynı zamanda KVKK'nın 18. maddesinde düzenlenen idari para cezaları ile de idari bir yaptırıma bağlanmıştır. Veri güvenliğine ilişkin teknik tedbirlerin alınmaması veya Kurul kararlarına uyulmaması gibi durumlarda milyonlarca liraya ulaşan idari yaptırımlar söz konusu olmaktadır. Ancak uygulamada sıklıkla karşılaşılan temel problem, aynı haksız eylemin hem idari yaptırıma hem de TCK kapsamında hapis cezasına vücut vermesi halidir. Doktrinde ve Anayasa Mahkemesi içtihatlarında tartışıldığı üzere, aynı fiilden dolayı iki kez yargılama olmaz (non bis in idem) evrensel ilkesi gereği, somut olayın özelliklerine göre ceza normu ile idari yaptırım arasında titiz ve hukuki bir değerlendirme yapılmalıdır. Kişisel Verileri Koruma Kurulu, bir eylemin aynı zamanda TCK kapsamında hürriyeti bağlayıcı bir suç teşkil ettiğini tespit ettiğinde, genellikle yargı makamlarına ihbarda bulunarak ceza yargılaması süreçlerinin öncelikle işletilmesini sağlamaktadır.
Ceza Hukuku Kapsamındaki Yaptırımların Temel Dağılımı
Kişisel verilerin ceza hukuku bağlamında etkin bir şekilde korunması, bireyleri ve şirket yetkililerini bağlayan çeşitli cezai yaptırımlarla kurgulanmıştır. Türk Ceza Kanunu sistematiğinde yer alan ve veri güvenliği süreçlerini doğrudan etkileyen suç tiplerini şu şekilde özetlemek mümkündür:
- TCK Madde 135: Hukuka uygunluk nedeni bulunmaksızın kişisel verilerin kaydedilmesi fiilini cezalandırmaktadır.
- TCK Madde 136: Verilerin yetkisiz kişilere verilmesi, yayılması veya ele geçirilmesi eylemlerine yönelik yaptırımları içerir.
- TCK Madde 138: Saklama süresi dolan veya işleme amacı tamamen ortadan kalkan verileri yok etmeme eylemini bir ihmali suç saymaktadır.
- TCK Madde 140: Kişisel verilere karşı işlenen suçların tüzel kişiler (şirketler) bünyesinde işlenmesi durumunda uygulanan tüzel kişiler hakkında güvenlik tedbirleri (faaliyet izninin iptali veya müsadere) düzenlemesidir.