KİŞİSEL VERİLERİN KORUNMASI KANUNU VE TÜRK CEZA KANUNU KAPSAMINDA VERİLERİ YOK ETMEME SUÇU

KİŞİSEL VERİLERİN KORUNMASI KANUNU VE TÜRK CEZA KANUNU KAPSAMINDA VERİLERİ YOK ETMEME SUÇU

Bilgi edinmek ve bilgiyi paylaşmak, bilginin güç ve meta haline geldiği güncel hayatın bir parçası olabilmek adına her modern bireyin en önemli faaliyeti olmak yolunda ilerlemektedir. Teknolojik imkânların gelişmesiyle birlikte, sosyal, profesyonel ve resmi platformların tüm faaliyetleri, bu baş döndürücü hıza uygun şekilde bilgi edinmek, bu bilgileri işlemek, kaydetmek ve paylaşmak esasları çerçevesinde şekillenmeye başlamıştır. Her gün, devlet kurumları ve özel kuruluşlar, bireyler hakkında önemli miktarda veriyi toplamakta, saklamakta, işlemekte ve nakletmektedirler. Bütün bunlar, kişilerin bilgilerinin kontrolünü kaybederek, kendilerine karşı kullanılması gibi birçok tehlikeli durumun oluşmasına sebep olmaktadır.[1] Hal böyle olunca çağımız insanı için korunması oldukça elzem bir hak, hukuk sahnesinde belirginleşmiştir: kişisel verilerin korunması hakkı. Bu hak, gerek uygulamada gerekse doktrinde genel itibarıyla özel hayatın bir alt unsuru olarak kabul edildiğinden, başta özel hayatının gizliliği (Anayasa m. 20) olmak üzere birçok temel hak ve özgürlüğün hayata geçirilebilmesinin de bir ön şartını oluşturmaktadır.[2]

Kanuni Düzenlemeler

Birçok Avrupa devletinin mevzuatında kişisel verilerin korunmasına ilişkin düzenlemeler yaklaşık elli yıldır yer almaktadır. Türkiye’de kişisel verilerin korunmasıyla ilgili özel bir yasa bulunmasının, her şeyden önce bunun temel bir insan hakkı olması nedeninden dolayı bir gereklilik olduğu, Adalet Komisyonu’nun Kişisel Verilerin Korunması Kanunu Tasarısı Raporu’nda isabetle belirtilmiştir.[3] 2010 yılında yapılan referandumdan sonra 5982 sayılı Kanun ile Anayasa’nın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenerek insan hakları hususunda önemli bir adım atılmış; kişilerin kişisel verilerinin korunması açıkça anayasal güvence altına alınmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde nihayet TBMM’nde kabul edilerek kanunlaşmıştır. Kanunumuz henüz yeni olsa da Anayasa’nın Özel Hayatın Gizliliği başlıklı 20. maddesinden temelini alan, Türk Ceza Kanunu’nun Özel Hayata ve Hayatın Gizli Alanına Karşı suçlar başlıklı bölümünde yer alan 135 vd. maddeler ile şekillenen dağınık düzenlemeler mevcut idi. Ayrıca bazı kurumların organik kanunlarında bu konuya ilişkin düzenlemeler yer almaktadır.[4] Ancak TCK, CMK gibi temel yasalarda ve özel kanunlarda kişisel verilerin korunmasına yönelik ilkeler bulunsa da, bunlar sınırlı bir koruma sağlamakta ve bütüncül bir koruma sağlamada yetersiz kalmaktaydılar. Ayrıca bu düzenlemelerin çoğunluğunun bir zararın ortaya çıkmasından sonra uygulanabilir olması nedeniyle, herhangi bir zarar ortaya çıkmadan bireylerin bu alandaki hak ve özgürlüklerini koruma altına alabilecek önleyici bir düzenlemenin bulunması bir gereklilik idi.[5] Bu nedenle Kişisel Verilerin Korunması Kanunu, yerel hukukumuzda evrensel hukuk ile yeknesaklık sağlayabilmek ve güncel insan hakları doktrinine ve uygulamasına ayak uydurabilmek adına son derece önemli bir boşluğu doldurmuş oldu.

Kanuna Göre Veri Sorumlusu Tanımı ve Görevleri

Kanun’da yapılan tanıma göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu, kanunun genel ilkelerine ve işleme şartlarına uyum sağlamak, kişisel verilerin elde edilmesi sırasında kanunda belirtilen çerçevede aydınlatma yükümlülüğünü yerine getirmek, kişisel verileri kanuna aykırı olarak başkasına açıklamamak ve işleme amacı dışında kullanmamak, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen ya da ilgili kişinin talebi üzerine silmek, yok etmek veya anonimleştirmek, erişim, işlenme ve muhafaza hususlarında her türlü teknik ve idari tedbirleri almak yükümlülüğü altındadır. Biz bu yazı kapsamında yalnızca kişisel verilerin yok edilmesi yükümlüğünün ihlalini inceleyeceğiz.

Kişisel Verilerin Yok Edilmemesi Suçu

Kişisel verilerin yok edilmemesi suçu, 5237 Sayılı Türk Ceza Kanunu’nun (“TCK”) 138. maddesi uyarınca ‘Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar’ arasında düzenlenmiş olup, kanunların belirlediği sürelerin geçmiş olmasına karşın kişisel verileri yok etmek ile görevli olanların bu görevlerini kasten yerine getirmemeleri durumunda meydana gelir.[6] Veri sorumlusunun, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur.

“Kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir.[7] Burada ayırt edici olan nokta, söz konusu verilerin hukuka uygun olarak elde edilmiş olmasıdır. Kişisel verileri hukuka uygun yollarla elde etmiş olan kurum ve kuruluşların, ilgili verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde özel kanunlarda belirtilen süreler içerisinde yok etmeleri gerekmektedir. Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde, İlgili Kişinin Hakları kapsamında “yedinci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme” de sayılmıştır. Öyleyse her birey, kendisiyle ilgili veriyi işlemenin ve kaydetmenin hukuka uygunluğunu temin eden sebep ortadan kalktıktan sonra, veri sorumlusuna başvurarak ilgili verinin silinmesini, yok edilmesini ya da anonim hale getirilmesini talep edebilir.

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.[8] Kişisel verilerin silinmesi, yok edilmesi ve imha edilmesi ile ilgili süreler ve bu işlemlerine şekilde meydana getirileceği Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te düzenlenmiştir. Her veri sorumlusu bu yönetmeliğe göre kişisel veri saklama ve imha politikası hazırlamakla ve söz konusu yönetmelikteki esaslara uyarak bu politikayı yürütmekle yükümlüdür. Kanunun 7. maddesinde ‘kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu’ ifade edilmektedir. Örneğin, Adli Sicil Kanunu’nun Adli Sicil Bilgilerinin Silinmesi başlıklı 9. maddesinde, ‘cezanın veya güvenlik tedbirinin infazının tamamlanması durumunda adli sicildeki bilgilerin silinip, arşiv kaydına alınacağı, ilgilinin ölümü durumunda ise tamamen silineceği’ hüküm altına alınmıştır. Bu noktada veri sorumlusu olarak Adli Sicil ve İstatistik Genel Müdürlüğü, bu olguların gerçekleşmesi durumunda derhal verileri silmekle mükelleftir. 5271 Sayılı Ceza Muhakemesi Kanunu (“CMK”) m.135/2’de ise, “Şüpheli veya sanığın tanıklıktan çekinebilecek kişilerle arasındaki iletişimi kayda alınamaz. Kayda alma gerçekleştikten sonra bu durumun anlaşılması halinde, alınan kayıtlar derhal yok edilir.” hükmüne yer verilmiştir. Öyleyse tanıklıktan çekinebilecek kişiler arasındaki konuşmaların derhal yok edilmemesi kişisel verilerin yok edilmemesi suçunu oluşturacaktır.

Kişisel verilerin yok edilmemesi suçunun cezası, bir yıldan iki yıla kadar hapistir. Suçun konusunun CMK hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır. (TCK 138. Md) Kişisel verileri yok etmeme suçunda, etkin pişmanlık hükümleri uyarınca cezanın indirilmesi mümkün değildir. Ancak cezanın ertelenmesi, hükmün açıklanmasının geri bırakılması ve cezanın adli para cezasına çevrilmesi mümkündür. Kişisel verileri yok etmeme suçu, şikâyeti takibe bağlı suçlardan olmayıp, işlendiğinin savcılıkça öğrenilmesi durumunda re’sen soruşturulacaktır. Bu suçla ilgili dava zamanaşımı süresi ise sekiz yıldır.

Kişisel verilerin yok edilmesi gerekirken yok edilmemesi durumunda bu verilerin kaydedilmesi, verinin hukuka aykırı şekilde kaydedilmesi olacağından, TCK 135 uyarınca düzenlenen ‘kişisel verilerin kaydedilmesi’ suçuna vücut verecektir. Yok edilmeyen bu verilerin ilgilinin açık rızası dışında herhangi bir şekilde işlenmesi durumunda, TCK 134’te düzenlenen ‘özel hayatın gizliliğinin ihlali’ suçu oluşacaktır. Elde tutulan verilerin internet üzerinden ya da şahıslar aracılığıyla herhangi bir şekilde yayılması veya ifşa edilmesi, TCK 136’da düzenlenen ‘verileri hukuka aykırı olarak verme veya ele geçirme’ suçunun işlenmesi anlamına gelecektir. Bu nedenle böylesine yeni, insan haklarının korunması hususunda hassas ve birçok başka suçla bağlantısı ortaya konulabilecek suçları kapsayan bir alan olarak kişisel verilerin korunması hukukunda, hukuki danışmanlık hizmetinden yararlanılması, iddia ve savunmanın avukat yardımıyla gerçekleştirilmesi oldukça faydalı olacaktır.

[1] KORKMAZ, İbrahim; Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, sf 1

[2] Adalet Komisyonu’nun 117 Sıra Sayılı Kişisel Verilerin Korunması Kanunu Tasarısı Raporunun metni için bakınız. https:// www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf (Erişim Tarihi: 07 Mart 2016)

[3] Tasarı, sf 7

[4] Tasarı, sf. 22

[5] Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara 2010, s.266; Sultan Tahmazoğlu Uzeltürk, “Kişisel Verilerin Korunması Hakkında Anayasa Değişikliği”, Legal Hukuk Dergisi, Sayı 93, Eylül 2010, s. 357

[6] TCK 138: (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde (Değişik ibare: 6526 – 21.2.2014 / m.5) “bir yıldan iki yıla kadar hapis” cezası verilir.
(2) (Ek: 6526 – 21.2.2014 / m.5) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

[7] T.C. Yargıtay 12. Ceza Dairesi, Esas No:2015/4319, Karar No: 2016/5349, Karar Tarihi: 30.03.2016

[8] Tasarı, sf. 8

Stj. Av. Esma Nur DEMİRTAŞ

Alanında Uzman Avukatmı arıyorsunuz?