KVKK’nın CEZA HUKUKU BAKIMINDAN İNCELENMESİ
Avrupa Konseyi bünyesinde hazırlanan, 108 sayılı Kişisel Veriler sözleşmesine kişisel
verilerin korunması kapsamının hem kamusal hem özel sektör verileri bakımından ele
almaktadır. Bu sözleşme; her ülkede gerçek kişilerin temel hak ve özellikleri ve kendilerini
ilgilendiren özel nitelikli verileri güvence altına alan sözleşmedir ve Türkiye tarafından 28
Ocak 1981’de imzalanmıştır.
108 sayılı Kişisel Veriler Sözleşmesinden sonra Uluslararası 2. Metin olarak sayılan ve
Türk hukukunda referans kaynağı olan, Kişisel Verilerin Korunması Yönergesi ve Kişisel
Verilerin Korunması Tüzüğüdür.
1982 Anayasası özel hayatın gizliliği başlıklı 20. Madde’ye 2010’da 3. Fıkra eklenmiş ve
kişisel verilerin korunma hakkı anayasal bir hak olarak herkese tanınmıştır.
AY 20/3: Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak;
kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların
düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp
kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla
düzenlenir.
Anayasa’ya göre; kişisel verilerin işlenmesi için ya kişinin açık rızası gereklidir ile ya da
kanunda öngörülen durumlarda kişisel veriler işlenebilmektedir. Görüldüğü üzere; kişisel
verilerin korunması devletin pozitif yükümlülüğü olarak ortaya çıkmaktadır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu madde 4 ile kişisel verilerin ancak bu kanunda
veya diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği öngörülerek
kanunilik ilkesinden bahsedilmiştir.
Kişisel verilerin işlenmesinde uyulması gereken ilkeler;
1)Hukuka ve dürüstlük kurallarına uygun olmalı,
2)İşlenen veriler doğru ve güncel bilgiler olmalı,
3)Belirli açık ve meşru amaçlar için işlenmeli,
4)İşlendikleri amaç ile bağlantılı sınırlı ve ölçülü olması gerekir ve
5)İlgili mevzuatta öngörülen ve gerekli olan süre kadar muhafaza edilmesi gerekir.
TCK’da Kişisel Verilerin Korunması:
Türkiye’de Kişisel Verilerin Korunmasına yönelik ilk düzenleme, 1 Haziran 2005 tarihli 5237
sayılı TCK ile yapılmıştır. Ceza Kanunu’nun 135-136 ve 138. Maddelerinde kişisel verilerin
korunmasına yönelik suç tipleri ihdas edilmiştir.Suçların Ortak Özellikleri:
TCK’da kişisel veriler hakkında düzenlenen suçların hepsi sırf hareket suçudur ve belli bir
zarar ve neticenin meydana gelmesi aranmaz. Bu suçlar soyut tehlike suçlarıdır, fail ve
mağdur ancak gerçek kişiler oluşabilir ve konusunu da gerçek kişilere ilişkin verilerin
oluşturması gerekir. Yine bu suçlar kasten işlenebilirken, taksirli hali düzenlenmiş değildir.
Ceza Kanunu’nun 135-136 ve 138. Maddelerindeki bu suçların işlenmesi ile tüzel kişilere
yarar sağlanmışsa bunlara özgü güvenlik tedbirlerine hükmolunabilecektir ve suçların
soruşturulması ve kovuşturulması şikayete tabi olmadığından resen soruşturulup
kovuşturulacaktır.
Kişisel Verilerin Kaydedilmesi Suçu
TCK Madde 135
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla
kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine;
hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına
veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca
verilecek ceza yarı oranında artırılır.
Bu suçun mağduru ancak gerçek kişi olabilir ve tüzel kişilere ait veriler bu suçun konusunu
oluşturmaz. Tüzel kişiler bu suçun mağduru olamaz, sınai uygulamaya ilişkin bilgilerin ele
geçirmesi halinde TCK 239. Madde oluşabilir.
Suçun konusunu oluşturan bilgilerin kişilerin kendi rızası ile verdiği bilgiler dahil tüm kişisel
verilerdir. Bu suçun oluşabilmesi için bu verilerin kaydedilmesi gerekir. Nereye
kaydedildiğinin bir önemi olmamakla beraber; elektronik, manyetik, video, defter, kütük
ortamlarına kayıt şeklinde de olabilir. Ancak otomatik olmayan yollarla kayıt halinde 6698
sayılı kanun hükümlerine göre; kaydetmek kişisel verilerin işlenmesi kavramı olarak
tanımlanmamaktadır. Bu yüzden herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan veya otomatik olan yollarla kayıt aranmaktadır.
Görüldüğü üzere kayıt yerinin 6698 sayılı kanununa göre herhangi bir veri kayıt sisteminin bir
parçası olması gerekmektedir. Bu nitelik gerçekleşmez ise suçun oluşmayacağı ifade
edilebilir.
Anayasa 20/3’te kişisel verirlerin ancak kanunda öngörülen hallerde veya kişinin açık rızası ile
işlenebileceği belirtilmektedir. İşlenme kavramı kaydetmeyi de kapsadığından, kaydetme
bakımından da iki hukuka uygunluk sebebi kabul edilecektir: Ya kanunun izin verdiği haller ya
da ilgili kişinin açık rızasının bulunması gerekir. Açık Rızanın Aranmadığı Haller;
İlgili kişinin açık rızası; TCK için ve 6698 sayılı kanuna göre de ilgilinin rızası hukuka uygunluk
sebebidir. Açık rızanın 6698 sayılı kanunda belirli bir konuya ilişkin bilgilendirmeye dayanan
ve özgür iradeye dayanan rıza olarak tanımlanmıştır.
6698 sayılı kanun madde 5: Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası
aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması..
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu
TCK Madde 136
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele
geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi
Kanununun 236 ncı maddesinin beşinci ve
altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda
verilecek ceza bir kat artırılır.
Bu suç tipi seçimlik hareketli bir suçtur. Yapılan hareketlerin bir konu üzerinde işlenmesi
halinde tek bir suçun işlendiği kabul edilir ve bu durumda fiilin haksızlık içeriğini dikkate
alarak alt sınırdan uzaklaşarak ceza belirlenmektedir.
Rıza üzerine verilerin kaydedilmesi ve başkalarına yayılması halinde de bu suç tipi
oluşmaktadır. Verilerin kaydedilmesini hukuka uygun hale getiren sebepler yayılmasını
hukuka uygun hale getirmemektedir. Veri hukuka aykırı olarak kaydedilmiş ise yayılması hali
ile beraber 135 ve 136. Maddenin ikisi de aynı anda işlenmiş olacaktır. Nitelikli Haller
TCK Madde 137
(1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak
suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
“Verileri yok etmeme
TCK MADDE 138
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem
içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir
yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan
kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir
kat artırılır.
Kişisel Verilerin meşru amaç kalktıktan sonra silinmesi gerekir ve süresiz bir şekilde sistemde
kalması kabul edilmemektedir. AYM; tutulan kayıtların makul bir amacının gösterilmesini,
saklama konusunda güvence verilmesini, silinmesine yönelik programın olmasını
aramaktadır. Kişisel verilerin imha edilmesi yükümlülüğüne aykırılık halinde TCK Madde 138
açısından kişiler cezalandırılacaktır