Makale
Türk Ceza Kanunu kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, yayılması veya yok edilmemesi suçları detaylıca incelenmektedir. Bilişim hukuku perspektifiyle hazırlanan bu rehber, veri ihlallerinin cezai yaptırımlarını, nitelikli hallerini ve Yargıtay uygulamalarını SEO uyumlu olarak açıklamaktadır.
Türk Ceza Hukukunda Kişisel Veri İhlali Suçları ve Cezaları
Bilişim teknolojilerinin hızla gelişmesi ve dijitalleşmenin hayatımızın merkezine yerleşmesiyle birlikte, kişisel verilerin korunması son derece kritik bir hukuki mesele haline gelmiştir. Türk Ceza Hukukunda veri ihlali suçları, özellikle 5237 sayılı Türk Ceza Kanunu'nun "Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar" bölümünde güvence altına alınmıştır. Kanun koyucu, kişisel verilerin ceza hukuku bağlamında korunması amacıyla TCK madde 135 ile 140 arasındaki hükümleri ihdas ederek veri güvenliğini zedeleyen eylemleri ağır yaptırımlara bağlamıştır. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, yalnızca verilerin izinsiz kaydedilmesi değil, aynı zamanda başkalarına aktarılması, yayılması ve süresi dolduğu halde yok edilmemesi de bağımsız suç tipleri olarak karşımıza çıkmaktadır. Suçların işlenme biçimlerinin internet ve bilişim sistemleri üzerinden giderek daha karmaşık bir hal alması, bu alandaki cezai yaptırımların ve hukuki süreçlerin titizlikle incelenmesini zorunlu kılmaktadır.
Hukuka Aykırı Olarak Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)
Türk Ceza Kanunu'nun 135. maddesi, kişisel verilerin hukuka aykırı olarak kaydedilmesi eylemini açıkça suç olarak tanımlamaktadır. Serbest hareketli bir suç tipi olan bu ihlal, bilişim sistemleri üzerinden yapılabileceği gibi, fiziksel evraklara elle yazılması suretiyle de gerçekleştirilebilir. Suçun oluşması için failin, verileri hukuka aykırı bir biçimde, kasten sisteme veya dosyaya işlemesi yeterlidir. İlgili kişinin geçerli bir rızasının bulunması veya kanunun açıkça izin verdiği hallerde kayıt yapılması ise bu suçun oluşumunu engellemektedir. Bilişim sistemine yetkisiz erişim sağlayarak veya yetkisini aşarak kullanıcıların bilgilerini depolayan şahıslar, doğrudan bu suç kapsamında yargılanmaktadır. Ayrıca, eylemin mağduru herkes olabileceği gibi, bu suçu işleyen şahıs da herhangi bir gerçek kişi olabilir.
Maddenin ikinci fıkrası, özel nitelikli kişisel veriler (hassas veriler) söz konusu olduğunda eylemin vahametini dikkate alarak cezai sorumluluğu farklı bir boyuta taşımaktadır. Kişilerin siyasi, felsefi veya dini görüşleri, ırki kökenleri, ahlaki eğilimleri, cinsel yaşamları, sağlık durumları veya sendikal bağlantılarına ilişkin bilgilerin izinsiz olarak kaydedilmesi, yasa koyucu tarafından çok daha ağır bir ihlal olarak görülmüştür. Uygulamada, failin eyleminin hukuka aykırı olduğunu ayrıca bilmesi şartı dahi aranmaksızın, bu nitelikteki bilgilerin kayıt altına alınması eylemiyle suç kastının gerçekleştiği kabul edilir. Uzman bir bilişim hukuku avukatı olarak vurgulamak gerekir ki, hiçbir özel kurumun veya şahsın yetkisi olmaksızın bu tarz hassas profilleme yapma veya kişisel fişleme gerçekleştirme hakkı bulunmamaktadır.
Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136)
İnternet kullanımının yaygınlaşmasıyla en sık karşılaşılan veri ihlallerinden biri, kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi suçudur. TCK madde 136'da düzenlenen bu suç tipi, özellikle siber alemde "kimlik hırsızlığı" olarak bilinen eylemlerin de temel yaptırım dayanağıdır. Bireylerin isimleri, sosyal güvenlik numaraları, kredi kartı ve iletişim bilgileri gibi şahsi verilerinin dijital yollarla çalınarak üçüncü şahıslarla paylaşılması, ciddi dolandırıcılık vakalarına zemin hazırlamaktadır. Veriyi verme eylemi elden, elektronik postayla veya fiziksel yollarla olabileceği gibi; yayma eylemi internet üzerinde açık bir web sitesinde verilerin erişime sunulması şeklinde de tezahür edebilmektedir. Bu nedenle dijital platformlardaki veri güvenliği ihlalleri doğrudan savcılık soruşturmalarının merkezinde yer almaktadır.
Bu suç tipinin uygulamadaki görünümünü Yargıtay içtihatları da net bir şekilde şekillendirmektedir. Söz gelimi, şirketlerde meydana gelen kurumsal veri sızıntıları, eski çalışanların yetkisiz kopyalama işlemleri sıklıkla bu madde kapsamında cezalandırılmaktadır. Yargıtay 11. Ceza Dairesi'nin 2005/5430 Esas, 2006/6541 Karar sayılı ilamında açıkça belirtildiği üzere; bir şirkette yönetici olarak görev yapan bir şahsın, işten ayrılmadan hemen önce şirketin müşteri portföyüne ait tüm verileri kendi kuracağı şirket bünyesinde kullanmak amacıyla aktarması, TCK kapsamında suç teşkil etmektedir. Ortak e-posta adreslerinin ilişkilerin bitiminden sonra izinsiz kullanılması veya ticari sır niteliği de taşıyabilen şahsi müşteri verilerinin rakip kurumlara aktarılması hallerinde hapis cezaları gündeme gelmektedir.
Verileri Yok Etmeme Suçu ve Nitelikli Haller (TCK m. 138 - 140)
Türk Ceza Kanunu'nun 138. maddesi, verilerin yok edilmemesi suçunu bir ihmali suç tipi olarak hukukumuza kazandırmıştır. Yasal düzenlemeler çerçevesinde, başlangıçta hukuka uygun olarak elde edilmiş ve sistemde kayıtlı olan kişisel verilerin, kanunun öngördüğü saklama süresi veya işleme amacı dolduğunda sistemden tamamen silinmesi gerekmektedir. Verileri silmekle veya anonim hale getirmekle görevli personelin, tüzük, yönetmelik veya kanunlarla belirlenen süreler aşıldığı halde bu görevini ihmal etmesi, doğrudan cezai sorumluluk doğurmaktadır. Kamunun ve sistemlerin güvenilirliğini sarsan bu eylemsizlik hali, sürekli erişilebilir kalan verilerin kötüye kullanılma riskini engellemek maksadıyla özel bir yaptırıma bağlanmıştır.
Kanun koyucu, veri ihlali suçlarının işleniş biçimine göre bazı ortak hükümler ve cezayı ağırlaştıran nitelikli haller de öngörmüştür. TCK 137, 139 ve 140. maddeleri uyarınca, veri suçlarının tamamı şikayete tabi olmaksızın re'sen kovuşturulur. Eğer bu suçlar bir kamu görevlisi tarafından görevinin verdiği yetki kötüye kullanılarak veya belirli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenirse, verilecek ceza yarı oranında artırılmaktadır. Ayrıca bir tüzel kişinin faaliyetleri çerçevesinde veri ihlali gerçekleşirse, söz konusu tüzel şirketler hakkında özel güvenlik tedbirleri uygulanabilmektedir.
Türk Ceza Hukukunda Veri Suçlarının Tasnifi
Hukuk büromuzun pratiğinde sıklıkla karşılaşılan durumlar göz önüne alındığında, Türk Ceza Kanunu kapsamındaki kişisel veri suçlarını ana hatlarıyla sınıflandırmak mümkündür. Bilişim ve iletişim teknolojilerinin getirdiği riskler karşısında Anayasal hakların korunması maksadıyla belirlenen bu temel suç tipleri şunlardır:
- TCK Madde 135: Hukuka aykırı olarak kişisel verilerin kaydedilmesi veya depolanması.
- TCK Madde 136: Kişisel verilerin yetkisiz kişilere verilmesi, hukuka aykırı olarak yayılması veya ele geçirilmesi.
- TCK Madde 138: Kanun veya yönetmeliklerin belirlediği süreler sona erdiği halde verilerin sistemden silinmeyerek yok edilmemesi eylemi.
Bu eylemlerin her biri, savcılık makamlarınca re'sen araştırılan ve uzlaşma kapsamı dışında kalan, hürriyeti bağlayıcı ağır yaptırımları olan suçlar kategorisindedir.