Kişisel Veri Suçları
TCK 135 ve 136’da düzenlenmiş suçlar konusunda Türkiye’de büyük bir yanlış anlama ve haliyle yıllardır süren yanlış bir uygulama var. Dolayısıyla yok yere bu suçlardan ceza alan onbinlerce kişi var. Bu büyük ve yaygın yanlış anlamayı izah etmek için önce “veri” ve “kişisel veri” kavramlarını açıklamak gerekiyor .
Veri, kişisel verileri de kapsayan daha geniş anlama sahip bir terimdir ve bireye ait olsun olmasın, kişisel olsun olmasın her türlü bilgi veri kavramına dahildir. Örneğin doğum tarihi de veridir, bir firmanın muhasebe kayıtları da veridir, bir şirketin sos yapmak için kullandığı formül de veridir. Bu anlamda verinin kimden veya nasıl toplandığının bir önemi yoktur.
Kişisel veri ise KVKK’ya mahsus özel bir terim olup şirketlerin/kurumların bireyler hakkında otomatik olarak topladığı veya veri kayıt sistemine kaydettiği özel bir veri türüdür. Kişisel veriyi genel veri kavramından ayıran ise verinin içeriği değil kimden nasıl toplanıp depolandığıdır. Eğer veri bir bireyden otomatik olarak toplanıyor veya veri kayıt sistemine işleniyorsa kişisel veridir. Kişisel veri tanımında “kimliği belirli veya belirlenebilir bir kişi hakkındaki her tür veri” denmektedir ama bu tanım verinin sadece içeriğine vurgu yapan bir tanımdır. Evet bireylere ait her türlü veri kişisel veri olabilir ama otomatik toplanması veya veri kayıt sistemine işlenmesi şartıyla! Zaten 6698 Sayılı Yasa’nın 3(1)(e) maddesi veri işlemeyi tanımlarken “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla . . . .” demektedir. Dolayısıyla bir bireyin bir başka bireyden elde ettiği veri KVKK anlamında “kişisel veri” değildir. Bireyin başka bireyden edindiği bir veri, örneğin doğum tarihi, kişisel nitelikli bir veri olabilir ama KVKK tanımı itibariyle “kişisel veri” değildir.
Uygulama Hataları
TCK 135 ve 136 işte KVKK anlamındaki verilere yönelik işlenen suçlardır ve dolayısıyla yalnızca şirketlerin/kurumların bireyler hakkında otomatik topladığı veya veri sistemine işlediği veriler bu suçların konusunu oluşturabilir. Zaten TCK 135, 136, 138 metinlerine bakılırsa bu maddelerde kastedilenin genel veri olmadığı ve KVKK anlamında kişisel veri olduğu açıkça anlaşılmaktadır.
TCK 135 “Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezasi verilir.” diyor. Kayıt işleminin hukuka aykırı olması ne demek? Mevzuatta belirlenen usule uygun veri kaydı yapılmaması demektir. Burada kastedilen bir kişiye ait verileri kaydetmek değildir. Eğer öyle olsaydı arkadaşınızın doğum tarihini ajandanıza kaydedince de bu suç işlenmiş sayılırdı. Bu maddede kastedilen “hukuka aykırı kayıt”, mevzuatta belirtilen kayıt usullerine uymadan kişisel veri kaydedilmesidir. Dolayısıyla bu suçu da ancak otomatik kayıt yapan veya veri kayıt sistemi kullanan kurum/şirket çalışanları işleyebilir.
TCK 136 “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.” diyor ama burada kastedilen de yine şirketlerin/kurumların veri kayıt sisteminde mevcut olan verilerdir. Dolayısıyla bu suç ancak veri kayıt sisteminde bulunan verilere yönelik işlenebilir. Örneğin bir şirket çalışanın veri kayıt sistemindeki verileri, mesela müşteri bilgilerini, internette yayınlanması veya başkasına vermesi ya da veri kayıt sistemindeki verilerin hacklenerek alınması ya da başka şekilde hukuksuz ele geçirilmesi bu suçu oluşturabilir.
TCK 135 ve 136’nın münhasıran KVKK anlamındaki kişisel verileri kapsadığı ve genel anlamdaki verileri kapsamadığı çok açık. Ayrıca TCK 137 “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla hapis cezası verilir.” diyerek yine KVKK’de madde 7’deki veri silmeden söz ediyor. Bu da TCK 135-140 arası maddelerin KVKK anlamında kişisel veriyi kastettiğini gösteriyor.
Ayrıca KVKK madde 17 açıkça “kişisel verilere ilişkin suçlar bakımından TCK 135-140 arası maddeler uygulanır” diyor. Yani KVKK açıkça KVKK kapsamına giren ve KVKK’ya muhalefet teşkil eden kişisel veri suçları için TCK’ya atıf yapılıyor. Dolayısıyla KVKK kanunu da TCK 135-140 arası suçların KVKK anlamında kişisel veri suçu olduğunu teyit ediyor.
Bunlara ek olarak, TCK madde 135’in aşağıdaki gerekçesine bakılırsa yine burada kastedilenin KVKK anlamında kişisel veri olduğu açıkça anlaşılmaktadır.
Çağımızda kişilerle ilgili kayıtların bilgisayar ortamlarına geçirilip muhafaza edilmesi uygulamasına bazı kurum ve kuruluşlar tarafından başvurulmaktadır; hastanelerde hastalara, sigorta şirketlerinde sigortalılara, bankaların ve kredili alış veriş yapılan mağazaların müşterilerine ilişkin kayıtlar, böylece tutulmaktadır. Bu bilgilerin amaçları dışında kullanılmasından veya herhangi bir şekilde üçüncü şahısların eline geçerek hukuka aykırı olarak yararlanılmasından dolayı hakkında bilgi toplanan kişiler büyük zararlara uğrayabilmektedirler. Bu bakımdan, kişilerle ilgili bilgilerin hukuka aykırı olarak kayda alınması suç olarak tanımlanmıştır.
Dolayısıyla bir gerçek kişinin başka bir gerçek kişiden elde ettiği kişisel nitelikli veriler otomatik elde edilmediği veya veri kayıt sistemine işlenmediği için bu maddeler kapsamına girmez. Bu itibarla KVKK anlamında veri kaydetme ve işleme imkanı bulunmayan sıradan bir gerçek kişinin başka bir gerçek kişiye karşı bu tür kişisel veri suçu işlemesi mümkün değildir. Zaten bunun aksine bir yorum kabul edilirse o zaman arkadaşınızın ismini cep telefonunuza kaydederseniz veya birinin doğum tarihini ajandanıza yazıp ardından başka biriyle paylaşırsanız TCK 135 ve 136’den mahkum olmanız gerekir.
Sonuç olarak komik ve trajik ama neredeyse 20 yıldır insalar KVKK anlamında kişisel veri kaydetmediği, paylaşmadığı, vermediği ve ele geçirmediği halde sırf kanunun yanlış anlaşılması yüzünden yok yere ceza aldılar. Savcılar kanunu yanlış yorumlayıp dava açtılar, hakimler kanunu yanlış yorumlayıp ceza verdiler. 20 yıla yakındır süregelen bu yanlış uygulama hala devam etmektedir.
Kişisel Veri Mevzuatındaki Hatalar
Kişisel veri hukuku yeni bir hukuk dalı olarak mevzuatımıza pek uygun olmayan bir şekilde girmiştir. TCK 2004 yılında hazırlandığında kişisel verileri tanımlayan ve düzenleyen KVKK gibi bir kanun yoktu. Henüz kişisel verileri düzenleyen bir kanun yokken TCK’ya kişisel verilerle ilgili suçlar eklemek başlı başına bir hataydı.
İkinci hata ise 2016 yılında KVKK hazırlandığında TCK’daki maddelerin güncellenmemesi olmuştur. TCK zaten kişisel verilere ilişkin suçları önceden düzenlendiği için aynı konuda cezai hükümler içeren maddeleri tekrar KVKK’ya konulmak istenmemiş ve TCK 135-140 arası maddelere atıf yapılması tercih edilmiştir. TCK’daki kişisel veri suçlarını kaldırıp bunları KVKK’ya eklemek uzun bir yol olduğu için TCK’ya atıf yapmak daha kısa ve hızlı bir yol olarak tercih edilmiştir. Ancak KVKK kapsamındaki suçların genel bir kanun olan TCK’da yer alması doğru değildir ve bunların KVKK’da yer alması gerekir. TCK’ya ise kimlik çalma, veri çalma, çalıntı veriyi kullanma, veri gizliliği ihlali gibi genel veri suçları eklenmelidir.
Üçüncüsü genel veri suçları ve veri gizliliği ihlaline yönelik bu tür suçlar yasada yer almadığı için yani TCK’da boşluk olduğu için genel verilere yönelik işlenen her suçta “kişisel veri suçu” işlendi algısı oluşuyor. Halbuki kişisel veri dediğimizde konu KVKK’dır. Konu kişisel veri olduğunda ise muhatap veri kaydeden ve işleyen firmalar ve kurumlardır. Gerçek kişiler tarafından işlenebilecek diğer veri suçlardında ve veri gizliliği ihlallerinde kullanılması gereken terim “veri”dir.
Öneriler
Kısa vadeli çözüm olarak öncelikle Adalet Bakanlığı bir genelge yayınlayarak TCK 135 ve 136’nın yalnızca KVKK kapsamına giren yani otomatik kaydedilen veya veri kayıt sisteminde bulunan verilere yönelik suçlarda uygulanması gerektiğini hatırlatmalıdır.
Uzun vadeli çözüm olarak ise TCK’dan içeriğinde “kişisel veri” geçen suçlar çıkartılmalı ve bu tür KVKK kapsamına giren suçlar özel kanun olarak KVKK’ya eklenmelidir. Ardından TCK’ya ise kimlik çalma, veri çalma, çalıntı veriyi kullanma, gizlilik ihlali gibi “kişisel veri” değil “veri” ve “veri gizliliği” suçları konulmalıdır. Böylece kanuna eklenecek bu genel veri suçları ile sadece bireylere ait özel bilgiler değil, ticari sır, müşteri bilgileri, ürün formülleri gibi genel olarak tüm veriler suç kapsamına alınmış olacaktır. Bu yapılamazsa savcılıklar ve ceza mahkemeleri KVKK anlamında kişisel veri ile genel veriyi birbirine karıştırıp vatandaşlara yok yere soruşturma ve kovuşturma açmaya devam edecektir.
Av. Dr. İlker Atamer