Kişisel Verilerin Kaydedilmesi Suçu ve Cezası

Kişisel verileri ele geçirme veya yayma suçu; kişinin hayatının gizli alanında kalması gereken veya herkes tarafından bilinmeyen kişisel bilgilerinin yanı sıra başkaları tarafından bilinmesi mümkün olan kişinin kimliğini belirleyen veya belirlenebilir kılan bilgilerin hukuka aykırı bir şekilde ele geçirilmesi, başkasına verilmesi veya yayılması şeklinde oluşan suç tipine denir. Örneğin, kişiye ait cep telefonunu umumi tuvalete yazarak yayılmasını sağlayan kişi “kişisel verileri yayma” suçu işlemiş olur. Bir kimsenin ad, soyad ve adres bilgilerini aralarında husumet bulunan insanlara veren kişi “kişisel verileri başkasına verme” suçunu işlemiş olur. Halk arasında bu suça, “kişisel bilgilerin ele geçirilmesi suçu” da denilmektedir.

Kişisel Veri Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nda kişisel veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder” şeklinde tanımlanmıştır. Buna göre, kişinin adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası kişisel verilere örnek olarak verilebilir. Keza özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, tercihler, etkileşimde bulunulan kişiler de bu kapsamda değerlendirilir. Öyle ki, kamuya açık alandaki kameraların görüntüleri, dini ve ailevi bilgiler, polis tarafından tutulan kayıtlar hatta mahkemede delil olarak sunulan belgeler de kişisel veri niteliğindedir.

Bu konu hakkında daha detaylı bilgi edinmek için “Kişisel Verilerin Korunması Kanunu” başlıklı yazımızı inceleyebilirsiniz.

Hangi Bilgiler Kişisel Veri Olarak Kabul Edilir?

Kural olarak, gerçek bir kişinin kimliğini belirleyen her türlü veri kişisel veri sayılır. Kişisel verilere örnekler şunlardır:

• Ad, soyad, kimlik numarası, doğum tarihi, doğum yeri gibi her türlü kimlik bilgisi,
• Çalışma durumu yahut ekonomik durum ve faaliyetlere ilişkin bilgiler, 
• Kişinin sosyal yaşantısına ve sosyal çevresine ilişkin bilgiler, 
• Ailevi bilgiler, 
• Saç rengi, göz rengi, boy uzunluğu, kilo ve fiziki görünüşe ilişkin diğer bilgiler,
• Siyasi, dini, felsefi düşüncelere ilişkin bilgiler,
• Kişiler tarafından yapılan çizimler, yazılan yazılar,
• Parti, sendika, kulüp, grup üyeliklerine ilişkin veriler

ve diğer her türlü bilgi kişisel veri olarak kabul edilir.

Belirlenebilirlik ilkesi, kişisel veri sahibinin niteliği, öğrenen kişinin niteliği yahut somut olayı niteliğine göre ayrı ayrı değerlendirilmektedir. Bu noktada, veriyi elinde bulunduran kişi tüm imkan ve nüfuzunu kullandığında veri sahibinin kim olduğuna ulaşabiliyorsa veri, kişisel veri sayılır. 

Dolayısıyla, üst düzey bir basın mensubunun yahut yetkili bir kamu çalışanının elindeki bir veri kişisel veri olarak değerlendirilebilecekken aynı verinin herhangi bir kişinin eline geçmesi halinde kişisel veri olarak değerlendirilmemesi söz konusu olmaktadır.

Bazı durumlarda yalnızca maddi olgular değil ahlak gibi manevi olgular dahi kişisel veri kabul edilir. Kişisel veri sahibinin bulunduğu çevre, kişisel veri elinde bulunduran kişi, verinin niteliği gibi hususlar ele aldığında ahlaklı olma ifadesi tek bir kişiyi işaret ediyorsa, o bilgi kişisel veri kabul edilir. 

Avrupa Birliği çalışmalarına ve kararlarına bakıldığında, herhangi bir resmin kimlik bilgisi olmasa dahi bir kişinin online gezintileri saptanabildiği için IP adreslerinin kişiyi belirlenebilir kıldığı kabul edilmektedir. Bu noktada, IP adresi üzerinden edinilebilen bilgiler de kişisel veri sayılmaktadır.

Hangi Bilgiler Kişisel Veri Sayılmaz?

Öğrenildiğinde yahut açıklandığında kime ait olduğu belirlenemeyen veriler kişisel veri sayılamaz.

Örneğin A şirketinde çalışan kadılar dediğimizde o şirkette birden fazla kadın varsa bu kişisel veri olmaz ancak A şirketinde çalışan mavi saçlı kadın dediğimizde bu özellikleri taşıyan yalnızca bir kişi olması durumunda kişinin kimliğini belirlenebilir kıldığı için kişisel veri sayılır. Aynı şekilde tam olarak anonimleştirilmiş veriler de sahibi belirlenemediği için kişisel veri olarak kabul edilmemektedir.

Konunun Türk Ceza Kanunu Bakımından Ele Alınması

Kişisel verilerin korunması anayasal bir hak olarak kabul edilmiştir. Bu nedenle korumanın daha etkin sağlanmasında ceza hukukunun müdahalesi kaçınılmazdır. Kişisel verilerin kaydedilmesi, hukuka aykırı olarak paylaşılması ve ele geçirilmesi suçları, Türk Ceza Kanunu’nun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı bölümünde düzenlenmiştir.

5237 sayılı Türk Ceza Kanunu

Kişisel Verilerin Kaydedilmesi

“Madde 135 –

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”

Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme

“Madde 136 –

(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.”

Nitelikli Haller

“Madde 137-

(1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,

b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.”

Kişisel Veri İhlali Halinde Cezalar Nelerdir?

Kişisel veriler işlenirken kişi hak ve hürriyetlerinin korunmasıyla ilgili ihlalleri önleme amaçlı 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. Bu Kanun ile hem verisi işlenen kişi ve kurumun hem de veri işleyenin haklarının korunması amaçlanmıştır.

Kişisel verilerin amaçları dışında, gelişigüzel toplanmasının önüne geçebilmek için  Kişisel Verilerin Korunması Kanunu (KVKK)’nun 17. ve 18. maddelerine göre bu suçu işleyenlerin idari ve cezai sorumlulukları olacağı hükmü yer almaktadır. Bu yaptırımlarla veri sorumlularının sorumlulukları artırılırken; kişisel verilerin korunmasının önemi bir kez daha vurgulanmıştır.

Kişisel Verilerin Korunması Kanunu (KVKK)’nun 17. maddesinde kişisel verilere ilişkin suçlar bakımından TCK’nın 5237 Sayılı 135 ila 140. maddelerinin uygulanacağı hükmü yer almıştır. Bu cezalar 2021 Yılında güncellenmiştir.

Bu suçlar ve cezaları;

• Verileri hukuka aykırı olarak kaydetmek- Bir yıldan üç yıla kadar hapis cezası.
• Siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek -Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır.
• Verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek -İki yıldan dört yıla kadar hapis cezası.
• Suçlar kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenirse -Yukarıda verilecek cezalar yarı oranında artırılır.
• Belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi- Bir yıldan iki yıla kadar hapis cezası.
• Konusunun ceza muhakemesi kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması -Verilecek ceza bir kat artırılır.

Kişisel Verilerin Korunması Kanunu (KVKK)’nun 18. maddesinde yükümlülüklerine uymayarak veri ihlali yapan veri sorumlularına verilecek idari para cezaları düzenlenmiştir. Bu cezalar gerçek veya özel hukuk tüzel kişilerine uygulanmaktadır. İdari para cezaları her yıl yeniden değerleme oranına göre artırılmaktadır. 2021 yılı güncellenmiş idari para cezaları şu şekildedir.

• Kişisel Verilerin Korunması Kanunu (KVKK)’nun 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.012-180.263 Türk Lirasına kadar.
• Kişisel Verilerin Korunması Kanunu (KVKK)’nun 12. maddesinde düzenlenen veri güvenliğine karşı yükümlülüklerini yerine getirmeyenler hakkında 27.037-1.802,640 Türk Lirasına kadar.
• Kişisel Verilerin Korunması Kanunu (KVKK)’nun 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.062- 1.802,640 Türk lirasına kadar.
• Kişisel Verilerin Korunması Kanunu (KVKK)’nun 16. maddesinde düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.050-1.802,640 Türk Lirasına kadar idari para cezası verilir.

Görevli ve Yetkili Mahkeme

Kişisel verilerin kaydedilmesi suçunun yargılamasında görevli mahkeme Asliye Ceza Mahkemeleridir. Yetkili mahkeme ise suçun işlendiği yer mahkemesidir.

Suçun Şikayet Süresi ve Zamanaşımı

Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, şikayete tabi suçlar kategorisinde değildir. Bu nedenle, suçun soruşturulması için müşteki tarafından şikayet başvurusu yapılması da gerekmez. Herhangi bir şekilde suçun işlendiği öğrenildiğinde, savcılık tarafından kendiliğinden soruşturma başlatılmalıdır.

Suçun dava zamanaşımı süresi 8 yıl olup, suça dair soruşturma yapılabilmesi için suçun işlendiği tarihten itibaren 8 yıl geçmeden işlenen suç savcılığa bildirilmelidir. Aksi takdirde, dava zamanaşımı süresi dolacağından suç ile ilgili soruşturma yapılamayacaktır.

Sonuç

Kişisel verilerin korunması, bireylerin özel hayatının gizliliğini güvence altına almayı amaçlayan önemli bir hukuk alanıdır. Kişisel veri ihlalleri durumunda karşılaşılan yasal süreçler ve ceza kanunu kapsamında düzenlenen yaptırımlar, uzman desteği gerektiren karmaşık adımları içerir. Kişisel veri ihlalleriyle ilgili davalarda haklarınızı en iyi şekilde korumanız ve yasal süreci etkin bir şekilde yürütmeniz için bizimle İLETİŞİM geçiniz.