Türk Ceza Hukukunda Kişisel Veri Suçları ve Yaptırımları

Günümüzde dijitalleşmenin hız kazanmasıyla birlikte, kişisel verilerin korunması sadece bir özel hayat hassasiyeti olmaktan çıkmış, ceza hukuku boyutuyla da güçlü bir şekilde koruma altına alınmıştır. 5237 sayılı Türk Ceza Kanunu, kişisel verilere yönelik hukuka aykırı eylemleri özel bir bölüm altında sistematik olarak düzenleyerek failler hakkında hürriyeti bağlayıcı cezalar öngörmüştür. Veri işleme süreçlerinde karşılaşılan yetkisiz eylemler, sadece idari uyuşmazlıkların ötesine geçerek doğrudan cezai sorumluluk doğurmaktadır. Kanun koyucu, ceza hukukunun son çare olma niteliği bağlamında, diğer yaptırımların yetersiz kalacağı ağırlıktaki ihlalleri hapis cezası ile güvence altına almayı hedeflemiştir. Bu bağlamda, kişisel verilerin hukuka aykırı olarak kaydedilmesi, başkalarına verilmesi, yayılması, ele geçirilmesi ve yasal sürelerin dolmasına rağmen yok edilmemesi eylemleri, faili doğrudan cezai müeyyide ile karşı karşıya bırakmaktadır. Veri sorumlularının ve bireylerin, maruz kalacakları bu ağır yaptırımları doğru analiz etmesi büyük önem taşımaktadır.

Kişisel Verilerin Hukuka Aykırı Kaydedilmesi Suçu

TCK’nın 135. maddesinde düzenlenen kişisel verilerin kaydedilmesi suçu, yetkisiz veya hukuka aykırı bir şekilde gerçek kişilere ait verilerin bilişim sistemlerine veya fiziki dosyalara işlenmesini cezalandırmaktadır. Kanun maddesine göre, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Bu suçun oluşabilmesi için failin, kaydettiği bilginin bir kişisel veri olduğunu ve eyleminin hukuka aykırı olduğunu bilerek, yani kasten hareket etmesi gerekmektedir. Kaydedilen verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin, yani özel nitelikli kişisel veri olması durumunda ise verilecek ceza yarı oranında artırılmaktadır. Suç, verinin yetkisiz olarak bir kayıt sistemine dahil edilmesiyle anında oluştuğundan tehlike suçu niteliği taşımakta ve doğrudan tamamlanmaktadır.

Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu

TCK’nın 136. maddesinde yer alan verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu, kişisel verilerin yetkisiz üçüncü kişilerin eline geçmesini engellemeyi amaçlar. Düzenlemeye göre, bu eylemleri gerçekleştiren failler iki yıldan dört yıla kadar hapis cezası ile cezalandırılmaktadır. Bu suç, failin elden, e-posta veya farklı bir yolla veriyi başkasına iletmesi, internet ortamı gibi mecralarda yayması veya yetkisiz şekilde kendi hakimiyetine alması olmak üzere seçimlik hareketli bir suç olarak karşımıza çıkmaktadır. Yargıtay uygulamalarında da sıkça vurgulandığı üzere, örneğin mağdurun rızası olmadan fotoğrafının veya kimlik bilgilerinin internet sitelerinde paylaşılarak kullanılması bu suça vücut vermektedir. Suçun mağduru yalnızca gerçek kişiler olabilmekte, tüzel kişiler ise ancak suçtan zarar gören sıfatını taşıyabilmektedir. Bu fiillerin gerçekleştirilmesiyle ihlal meydana geldiğinden, ayrıca somut bir zararın doğması aranmamaktadır.

Kişisel Verilere Yönelik Suçlarda Nitelikli Haller

Yukarıda belirtilen suçların daha ağır cezayı gerektiren nitelikli halleri, TCK'nın 137. maddesinde tahdidi olarak sayılmıştır. İşlenen veri ihlalinin, bir kamu görevlisi tarafından görevinin verdiği yetkinin kötüye kullanılması suretiyle gerçekleştirilmesi durumunda fail hakkında hükmolunacak ceza yarı oranında artırılmaktadır. Benzer şekilde, suçun belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenmesi de cezayı artıran diğer bir nedendir. Örneğin, sağlık personelinin, avukatların veya bankacıların sırf mesleki konumları gereği erişim sağladıkları müşteri veya hasta bilgilerini hukuka aykırı şekilde ele geçirmesi veya sızdırması bu kapsamda daha ağır cezalandırılmaktadır. Suçun bu nitelikli hallerinin varlığı, failin pozisyonundan kaynaklı güven ilişkisinin ihlalini temsil etmekte olup mahkemelerce ciddi bir yaptırım ile karşılanmaktadır.

Kişisel Verileri Yok Etmeme Suçu

TCK’nın 138. maddesi ile düzenlenen kişisel verileri yok etmeme suçu, hukuka uygun olarak elde edilmiş olsa dahi, yasal saklama süreleri dolan verilerin imha edilmemesini cezai yaptırıma bağlamıştır. İlgili madde uyarınca, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Bu suç, yalnızca sistemi yöneten ve verileri imha etme yetkisine sahip veri sorumluları tarafından işlenebilen, yani özgü suç yapısına sahip ihmali bir eylemdir. Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesi, yok edilmesi veya anonim hale getirilmesi şarttır. Bireylerin geçmişteki verilerinin idare veya şirketler nezdinde sınırsız bir şekilde tutulmasını engelleyen bu yaptırım, özel hayatın gizliliğini etkin bir biçimde teminat altına almaktadır.

Soruşturma Usulü ve Zamanaşımı Süreleri

Türk Ceza Kanunu kapsamında düzenlenen kişisel veri suçlarının muhakeme usulü incelendiğinde, bu eylemlerin takibinin kural olarak şikayete tabi olmadığı görülmektedir. Cumhuriyet savcılıkları, bir ihlal şüphesini öğrendiklerinde re’sen soruşturma başlatmakla görevlidir. Uzlaşma kurumunun da kapsamı dışında bırakılan bu suçlar bakımından yargılama süreci oldukça katı kurallara bağlanmıştır. Bu suçlara ilişkin bilinmesi gereken en önemli muhakeme kuralları ve zamanaşımı süreleri şunlardır:

• TCK madde 135 (kaydetme) ve madde 138 (yok etmeme) kapsamındaki temel suçlar için kanunda öngörülen dava zamanaşımı süresi sekiz yıl, ceza zamanaşımı süresi ise on yıldır.
• TCK madde 136 kapsamındaki verileri verme veya ele geçirme suçunda yaptırımın üst sınırı dikkate alınarak dava zamanaşımı sekiz yıl olarak uygulanmakla birlikte, nitelikli hallerde ceza üst sınırı arttığından bu süre on beş yıla çıkabilmektedir.
• Söz konusu ihlallerden doğan ceza davalarında kural olarak görevli ve yetkili yargı mercii Asliye Ceza Mahkemesi olmaktadır.