TCK'da Kişisel Verilerin Korunması

Dünyada kişisel verilerin korunmasına ilişkin ulusal anlamda yapılan ilk kanun İsveç’te “Veri Koruma Kanunu” adıyla 1973 yılında yürürlüğe konulmuştur. Ancak ulusal boyuta ulaşmayan ilk düzenleme, 1971 yılında “Kişisel Veri Koruma Kanunu” adı altında Almanya’nın Hessen Eyaletinde yapılmıştır. Bu kapsamda, aradan geçen zaman da dikkate alınarak, ülkemize baktığımızda (makalenin kaleme alındığı tarihte) herhangi bir özel düzenlemenin bulunmaması eleştirilmesi gereken bir husus olarak değerlendirilmiştir.

Ayrıca internet teknolojisindeki gelişim ve iletişimin hızlılığı dikkate alındığında, kişisel verilerin korunması sorununun artık ulusal bir sorun olmaktan çıkıp uluslararası boyut kazandığı, ayrıca kişisel verilerin ele geçirilmesi hususunun kişiye birey olarak zarar vermenin (özel hayatın gizliliğini ihlal vb.) ötesinde siyasi ve ekonomik sonuçlar da doğurduğu değerlendirildiğinden, kişisel verilerin korunmasına ilişkin ceza hukuku kurumlarının bir bütün olarak değerlendirilmesi gerektiği düşünülmüş ve bu amaçla inceleme konusu makale kaleme alınmıştır.

Makale kapsamında TCK’nın 135 ve devamı maddeleri inceleme konusu yapılmıştır.

TCK’nın 135’inci maddesi iki fıkradan oluşmaktadır. Birinci fıkrada hukuka aykırı olarak kişisel verilerin kaydedilmesi suç kılınırken; ikinci fıkrada kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kişisel veri olarak kaydedilmesi suç kılınmıştır. Birinci fıkrada genel olarak kişisel verilerin kaydı suç kılındıktan sonra ikinci fıkradaki özel düzenlemeye niçin ihtiyaç duyulduğu konusu makale içerisinde tartışılmıştır.

Kişisel verilerin korunmasına ilişkin olarak TCK'nın 136’ncı maddesinde yer alan düzenlemeyle de, kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi yaptırım altına alınmıştır. TCK’nın 137’nci maddesinde ise, özel hayata ve hayatın gizli alanına karşı işlenip TCK’nın 132-136’ncı maddeleri arasında düzenlenen suçlar bakımından suçların nitelikli halleri kaleme alınmıştır. Bu noktada suçun örgütlü şekilde işlenmesi halinin nitelikli unsur yapılmaması hali eleştiri konusu yapılmıştır.

TCK’nın 136’ncı maddesi kaleme alınırken metin içeriğinde kişisel verilerden söz edilirken madde başlığında sadece veri kavramının kullanılmasının hatalı olduğu açıklanmıştır. Zira “veri” kavramı ile “kişisel veri” kavramı farklı anlamları ifade etmektedir. Bu nedenle TCK’nın 136’ncı maddesinin başlığının da metinle uyum haline getirilmesi gerektiği belirtilmiştir.

Kişisel verilerin korunmasına ilişkin olarak TCK'da yer alan üçüncü suç kişisel verilerin yok edilmemesidir. TCK’nın 138’inci maddesiyle, yasal süresi dolmasına rağmen kişisel verileri sistem içinden yok etmekle görevli olan kişilerin bu görevlerini yerine getirmemeleri durumu suç haline getirilmiştir. Bu suç kaleme alınırken madde başlığı olarak “Verileri Yok Etmeme” kullanıldığı gibi, metinde de “kişisel veriler” kavramı yerine “veri” kavramının kullanılması makale içerisinde eleştiri konusu yapılmıştır. Bu noktada makale içerisinde bireysel ve toplumsal olarak belli ihtiyaçlara hizmet etmesi nedeniyle kişisel verilerin kaydedilmesinin, kullanılmasının belli şartlarla meşru kabul edilebileceği, ancak bu kayıtların sınırsız olamayacağı ve süresiz olarak da tutulamayacağı önemle vurgulanmıştır. Bu madde metninde “kanunların…” şeklindeki ifade de eleştiri konusu yapılmıştır. Zira silinmesi gereken sürenin pekâlâ bir kanunda değil de, kanuna dayanarak çıkarılan bir yönetmelik ya da benzeri bir mevzuat hükmünde bulunabileceği belirtilmiştir.

Yürürlükte olan mevzuat itibarıyla hukuka uygun olarak kaydedilen verilerin, daha sonra amacı dışında kullanılması halinde uygulanabilecek bir yaptırımın bulunmaması da eleştiri konusu yapılmış ve bu konuda yasal düzenleme yapılmasının gerektiği vurgulanmıştır.

TCK’da failin kişisel veriyi elde etmeksizin ve başkalarına da vermeksizin yok etmesi hali bakımından düzenlenmiş bir özel hükmün bulunmaması da makalede eleştirilmiş ve TCK’nın 244’ncü maddesinden bağımsız olarak bu hususunda kaleme alınması gerektiği belirtilmiştir.

Makale içerisinde TCK’nın 135, 136 ve 138’nci maddelerinin tek bir maddede birleştirilmesinin gerektiği, bu noktada yaptırımın da eylemin derecesine göre belirlenmesinin gerektiği açıklanmıştır. Zira TCK’daki mevcut düzenlemede ele geçirmeden daha vahim olan ve ele geçirmeden sonraki safha olan kaydetmenin cezasının daha ağır olması gerekirken daha hafif olduğu görülmektedir. Diğer bir deyişle, makalede kaydetmenin cezasının ele geçirmeden hafif olması eleştiri konusu yapılmıştır. Bu noktada TCK’nın 135 (2) maddesinde belirtilen kişisel verilerin de suçun nitelikli hali olarak ve cezada artırımı gerektirecek şekilde tekrar kaleme alınması gerektiği belirtilmiştir. Ayrıca düzenlenecek bu tek maddenin de mevcut bölümde değil, “bilişim alanında suçlar” bölümünde yer alması gerektiği belirtilmiştir.

Ulusal ve uluslararası düzenlemeleri birlikte değerlendirdiğimizde herkesin kişisel verileri konusunda manevi varlığını koruyacak tedbirlerin alınmasını talep etme hakkının bulunduğu, ayrıca kişisel verilerinin kimlerde hangi amaçlarla bulundurulabileceği ve kimlere açıklanabileceği konusunda tercih hakkının bulunduğu sonucuna ulaşılmıştır. Ayrıca makalede özel kanunun gerekliliği vurgulanırken, Anayasa dâhil genel hükümlerin sorunu çözmekte yeterli olmadığı da belirtilmiştir.

Makale içerisinde değerlendirmeler yapılırken doktrindeki görüşlere yer verildiği gibi, Avrupa İnsan Hakları Mahkemesi ve Yargıtay uygulamalarından da örnekler verilmiştir.