Kişisel verilerin korunması, günümüz hukuk sistemlerinin öncelikli konularından biridir. Anayasa’nın 20. maddesi ve Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) 8. maddesi özel yaşamın ve kişisel verilerin korunmasını güvence altına alır[1][2]. 5237 sayılı Türk Ceza Kanunu (TCK) bu amaçla 2005’te yürürlüğe girmiş, 136/1. maddesinde “kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme” suçunu düzenlemiştir. 2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile ise bu alanda yeni bir döneme girilmiş, kişisel verilerin geniş bir kapsamda korunması öngörülmüştür[3]. Bu çalışmada TCK md.136’daki suç tipi ile ilgili olarak; suçun korunan değeri, unsurları ve özel halleri incelenecektir.
Korumaya Değer ve Hukuki Çerçeve
Kişisel verileri koruma suçlarıyla korunan hukuki değer, temel olarak özel hayatın gizliliği ve bireyin kişisel verilerini kontrol etme hakkıdır[1]. ECHR içtihatlarına göre kişisel verilerin kaydedilmesi ve işlenmesi, özel yaşam kapsamında değerlendirilir[4]. Örneğin AİHM, bir kişinin bilgilerinin toplanmasının veya saklanmasının özel hayat kapsamında olduğunu belirtmiş; hatta bunlar kullanılmasa bile madde 8’in koruması altında olduğunu vurgulamıştır (örneğin Amann v. Switzerland vb.)[4]. Anayasa Mahkemesi de, TCK md.136’da “kişisel veri” teriminin kanuni tanımının eksik olduğuna ilişkin itirazı reddetmiş, dinamik bir kavram olduğu gerekçesiyle belirlilik ilkesi ihlali görmemiştir[5]. Böylece hukuki çerçevede, sayılan suçlarla kişisel verinin gizliliği, onur ve haysiyet gibi değerlerin korunması amaçlanmaktadır.
Kişisel veri kavramı, 108 sayılı Avrupa Konseyi Sözleşmesi’nde “kimliği belirli veya belirlenebilir gerçek kişi hakkındaki her türlü bilgi” şeklinde tanımlanmıştır[2]. KVKK da aynı tanımı benimser: “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”[6]. Bu kapsamda bir kişinin adı-soyadı, T.C. kimlik numarası, adresi gibi doğrudan kimlik bilgileri kadar; fizikî, ailevi, sosyal ve ekonomik özellikleri belirleyebilecek tüm veriler kişisel veri olarak kabul edilir[6][7]. Örneğin isim, telefon numarası, pasaport ya da resim ve parmak izleri gibi örnekler kişisel veriye dahildir[7]. Bilgiler herkese açık olarak erişilebilir veya kolaylıkla elde edilebilir ise (örneğin bir web sitesinde yayımlı bir fotoğraf) yine kişisel veri sayılır; önceden paylaşılmış olması, bu niteliği ortadan kaldırmaz[8]. Öte yandan, anonimleştirilmiş veya toplu halde verilen bilgiler (örneğin herkesçe bilinen nüfus istatistikleri) kişisel veri sayılmaz. Özetle suçun konusunu sadece kişisel veri niteliğindeki bilgiler oluşturur; bu koşul gerçekleşmediğinde suç oluşmaz[9][10].
TCK’da Suç Düzenlemesi ve Yaptırım
Türk Ceza Kanunu’nun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı bölümünde kişisel verilere ilişkin üç suç düzenlenmiştir. 136. madde (ve devamı) kişisel verilerin verilmesi, yayılması veya ele geçirilmesini suç sayar: “kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapisle cezalandırılır.”[3]. 137. maddede bu suçun nitelikli halleri (kamu görevlisi vs.) cezanın yarı oranında artırılarak öngörülmüştür (1/a: kamu görevlisi veya yetki kötüye kullanarak, 1/b: belirli meslek ya da zanaatın sağladığı kolaylıktan yararlanarak). 138. madde ise kişisel verileri kaydeden veya ele geçiren kişiye, bunları yok etmediği takdirde 1-2 yıl hapis cezası öngörmektedir[11]. Kişisel veri suçları, TCK md.139 gereğince şikâyete bağlı olmayıp resen soruşturulur.
Maddi Unsurlar
Fail. TCK md.136’da fail, “kişisel verileri hukuka aykırı olarak veren, yayan veya ele geçiren kişi”dir[12]. Bu suç herkes tarafından işlenebilir; özel bir sıfat veya nitelik aranmaz (genel fail). Kamu görevlileri veya belirli meslek mensupları (doktor, avukat, memur vb.) de bu suçu işleyebileceğinden, fail bakımından sınırlama yoktur[12]. Ancak, suçun bir kamu görevlisi tarafından görevinin sağladığı yetkiyi kötüye kullanarak işlenmesi ve/veya belirli meslek ya da zanaat sahibinin yetkisini kullanması hâlinde ceza artırılır[13][14] (bk. Nitelikli Haller). TCK md.20 gereğince tüzel kişiler fail olamaz; buna karşılık, tüzel kişinin yararına işlenen bu suçlarda şirkete özgü güvenlik tedbirleri uygulanabilir[15].
Mağdur. Kişisel verinin kişisi (veri sahibi) suçun mağdurudur. Mağdurun bu suçta özel bir niteliği yoktur; Türk Ceza Hukuku’nda mağdur yalnızca gerçek kişi olabilir[16][17]. Şirket, kurum vb. tüzel kişiler mağdur sayılmaz; ancak suça konu verilerin işlendiği surette dolaylı olarak etkilenen kamu hukuku organları “suçtan zarar gören” statüsünde değerlendirilebilir. Örneğin bir vatandaşa ait bilgiler kamuda izinsiz sunulmuşsa suçun mağduru o bireydir; devlete yönelik bir suiistimal söz konusu değildir.
Suçun Konusu (Objetum Materiale). Suçun maddi konusu kişisel verilerdir. TCK 136’da bu açıkça belirtilmiştir[9]. Kişisel veri kavramını uluslararası ve ulusal düzenlemeler belirler (bk. yukarıda). Kişisel verilerin hukuka aykırı olarak üçüncü kişilerin eline geçmesi veya yayılması esastır. Örneğin birisinin kimlik, sağlık, iletişim bilgileri gibi verileri başkalarına ifşa edilmişse bu suç oluşabilir. Nitekim Yargıtay da resimli sosyal medya paylaşımlarının, sahibinin rızası dışında başkalarına yayınlanmasının “kişisel veri verme veya ele geçirme suçu” olduğunu kabul etmiştir[8]. Ancak anonim veya kimliği belirlenemez veriler suç konusu değildir. Örneğin dosya kapak bilgileri gibi kişinin adı soyadı dışında numara/ tarih bilgisi taşıyan, kimlik belirlemeyen evraklar kişisel veri içermez ve bu suçun konusu olmaz.
Suçun Fiili (Actus Reus). Kanun uyarınca suçun fiili üç alt hareketten oluşur: (1) kişisel verileri bir başkasına verme, (2) üçüncü kişilere yayma, veya (3) kişisel verileri ele geçirme. Verme ve ele geçirme, veri akışının iki yönünü; yayma ise verinin birden çok kişiye ulaşmasını ifade eder. Örneğin bir doktorun hastasının bilgilerini başka bir hekime göndermesi “verme” iken, sosyal medyada bir başkasının fotoğrafını paylaşması “yayma”dır. Fail birden fazla hareketi bir arada yapmışsa, hepsi aynı suç kapsamında değerlendirilir (veri öncelikle ele geçirilip sonradan yayılmış olabilir). TCK’da “yayma” sözcüğü madde metninde başlıkta yer almamış olsa da bu eylem tipinin madde kapsamına girdiği kabul edilmektedir[18].
Maddi Unsurların Özellikleri: Bu suçun oluşması için mağdura ait kişisel verinin fail tarafından hukuka aykırı şekilde (izinsiz olarak) bir başka kişiye aktarılması veya başkalarının erişimine açılması yeterlidir. Verinin belirli bir kayıt sisteminde olması şartı yoktur; yazılı, dijital ya da sözlü her türlü veri kişisel veri olabilir. Fail, veriyi sadece başkasına vermek ya da yaymakla yetinmişse dahi (orijinalden kopya çıkarmış olsun ya da olmasın), kişisel verinin başkalarına ulaşması suretiyle suç gerçekleşir. Ayrıca, faili ve mağduru aynı kişi olan eylemler (örneğin kendi verisini kendi adına açıklama) suç oluşturmaz.
Manevi Unsurlar
Bu suç kasıtlı olarak işlenebilir; taksirle (ihmalle) işlenmesi mümkün değildir[19]. Failin, eyleminin kişisel veri içerdiğini bilerek gerçekleştirmesi ve bu eylemi isteyerek yapması gerekir[19]. Kanunda suç herhangi bir amaç veya sonucu aramaz; failin sadece eyleminin sonuçlarını öngörmesi yeterlidir. Doğrudan kast şarttır; olası kast ise tartışmalıdır. Bir görüşe göre, fail mağdurun verilerini elde ederken bunların kişisel veri olduğunu öngörmüş ama takdir etmişse suç oluşabilir (dolus eventualis kabulü)[20]. Diğer görüşe göre ise, tanımda “hukuka aykırı” ifadesinin bulunması nedeniyle failin özel olarak hukuka aykırılığı da bilmesi gerekir; bu görüşe göre suç sadece doğrudan kastla işlenebilir[21]. Yargıtay kararı da bilerek ve isteyerek hareket edilmesini öngörür (kendisinin eşi olduğunu gizleyen sanığın nüfus örneğini temin etmesi davasında failin hukuka aykırılığı bilerek hareket etmesi gerektiği vurgulanmıştır)[21].
Kısacası, fail suça konu kişisel verileri yanlışlıkla paylaşmış veya başkasına iletmiş olamaz. Ayrıca soruşturma dosyasında yer alan yanlış bir beklenti (“dosyayı adliyeden alınca suç işlemediğini düşündüm” vb.) hata hükümlerine girmez. Ancak, fail eyleminin hukuka aykırı olduğunu bilmeden hareket etmişse TCK md.30’da düzenlenen “haksızlık yanılgısı” kapsamında durum değerlendirilir[22]. Örneğin eylemin suç teşkil ettiğini düşünmemişse, bu hata her somut olayda incelenerek ceza cezalılığının kaldırılması veya hafifletilmesi gerekebilir[22]. Bu tür yorumlayıcı hatada faile yazılı bir ceza verilmemesi Yargıtay içtihatlarında benimsenmiştir.
Hukuka Uygunluk Nedenleri
Suçun hukuka aykırı sayılabilmesi için toplum düzeni tarafından tanınan herhangi bir hukuka uygunluk nedeninin bulunmaması gerekir. Buna göre aşağıdaki hallerde kişisel veri paylaşımı hukuka uygun sayılabilir:
- Savunma, şikâyet ve şikâyet hakkı kapsamında bildirim: Kişisel veri içeren belgelerin yetkili adli veya idari mercilere sunulması dilekçe hakkı kapsamında hukuka uygundur[23][24]. Örneğin bir polis ihbarı, mağdur şikâyeti veya avukat savunması sırasında müvekkilinin kişisel bilgilerini dosyaya eklemesi, suç oluşturmaz. Bu hallerde eylem “hakkın kullanılması” kapsamında değerlendirilir[23][24]. Aynı şekilde mülkiyet hakkı veya kamu zararı amacıyla kişi hakkında bilgi toplanması iddiası veya şikâyet konuyu oluşturuyorsa, bu da suç teşkil etmez.
- Basın ve ifade özgürlüğü kapsamındaki yayınlar: Basın yayın organlarının haber verme hakkı çerçevesinde gerçekleştirdikleri kişisel veri ifşaları, ancak belirli koşulları sağlaması durumunda hukuka uygundur[25]. Örneğin basının kamu yararı bulunan olayları, doğru ve güncel bilgilerle sosyal inceleme kriterlerine uygun şekilde vermesi halinde, kişisel verilerin yayımlanması suç oluşturmaz. Magazinsel veya özel hayatı ilgilendiren yayınlarda ise gerçeklik, güncellik ve kamu yararı gibi ölçütlerin varlığı aranır[25]. Bu bağlamda, kişisel veriler içerse bile ifade ve basın özgürlüğü kapsamındaki faaliyetler suç olmaktan çıkabilir.
- KVKK’da düzenlenen hukuka uygunluk halleri: Kişisel verilerin alenileştirilmesi (kişi verilerini kendisi açıkça kamuya sunması) KVKK’da hukuka uygunluk nedeni sayılmıştır[26]. Bir veri, ilgili kişinin iradesiyle bilinçli şekilde aleni hale gelmişse korunacak menfaat ortadan kalkar[26]. Öte yandan kişisel veri işleme faaliyeti, ilgili kişinin temel haklarına zarar vermeyecek biçimde veri sorumlusunun meşru menfaatine uygun düşüyorsa “meşru menfaat” ilkesi uygulanabilir (KVKK md.5/2-f). Bu durumlarda, Kişisel Verileri Verme/Yayma suçu ancak sayılan nedenler dâhilinde söz konusu olur; aksi halde hukuka aykırılık unsurunu gerektirir.
- Diğer istisnai haller: Adli yardım veya uluslararası hukuk kapsamında değişik istisnalar da düşünülebilir; ancak TCK md.136’da sayılmamıştır. Örneğin uluslararası mahkeme celbi gibi durumlar, özel hukuka uygunluk gerekçeleriyle izah edilebilir. Sonuç olarak, fail suçun maddi unsurlarını bilse bile bunların söz konusu özel bağlamlar altında gerçekleştiğine inanıyorsa ceza verilmez.
Özel Görünüş Biçimleri
Nitelikli Haller: TCK 137/1-a ve 1-b’ye göre ceza; kamu görevlisi tarafından ve görevinin yetkisini kullanarak işlenirse, veya belirli bir meslek veya zanaatın sağladığı kolaylıktan faydalanarak işlenirse, yarı oranında artırılır. Örneğin kamu kurumundan elde edilen verilerin görevi kötüye kullanarak paylaşılması bu kapsamda değerlendirilir[13]. Benzer şekilde bir doktorun hastane kayıtlarına erişip verileri usulsüzce paylaşması ya da bir BT uzmanının mesleki konumunu suiistimal etmesi cezayı artırır (137/1-b)[14]. Bu hallerin varlığı tespit edilirse, 2-4 yıl arası hapis cezası 3-6 yıla yükseltilir.
Verileri Yok Etmeme (TCK 138): Kişisel verileri hukuka uygun olarak elde edenlerin, bu verileri yok etmeme suçunu düzenleyen 138. maddeye göre 1-2 yıl hapis cezasına çarptırılabilmesi mümkündür. 5237 sayılı TCK 138’le ilk defa öngörülen bu suç; kişisel verilerin hukuka aykırı şekilde kaydedilmesi veya ele geçirilmesi durumlarında, elde tutan kişinin yok etmeme durumunda da sorumluluğunu öngörür[11].
Şikâyet Şartı ve Diğer Hususlar: Kişisel verilerin verilmesi, yayılması veya ele geçirilmesi suçları müşteki şikâyetine bağlı değildir; soruşturma ve kovuşturma resen yapılır. Suça iştirak eden kişiler de fail gibi cezalandırılabilir. Birden fazla failin (ortak işleyenlerin) bulunması halinde, fail ile iştirak arasında kusur ve etki bakımından orantılılık gözetilerek cezalandırma yapılır. Suçun icrası için özel vasıflı araç kullanımı veya planlama gerekmez; sırf eylem tamamlandığı anda suç vuku bulur.
Sonuç
Kişisel verilerin hukuka aykırı paylaşımı suçları, özel hayatın gizliliğinin korunması ilkesine dayanan önemli bir toplumsal yararı korur. TCK md.136-138 kapsamındaki düzenlemeler, kişisel verilerin içsel değerine uygun biçimde tanımlanmış, detaylı unsurlar içermektedir. Suçun maddi ve manevi unsurlarının belirgin olması; failin özel kastla hareket etmesi, hukuka aykırılık bilinciyle hareket etmesi ve belirlenmiş hallerin varlığının aranması gereklidir[19][21]. Öte yandan, hakkın kullanılması çerçevesinde yapılan bildirimler veya basın özgürlüğü gibi istisnai durumlarda eylemler suç oluşturmaz[24][26].
Sonuç olarak, kişisel verilerin korunması suçları uygulamasında bilgi sahibi olarak hareket eden fail ile hakkını kullanan birey arasında net bir ayrım yapılmalıdır. Mahkemeler, somut olayın tarafsızlık ve kamu yararı ilkeleri ışığında değerlendirip; usule uygun elde edilmiş belgelerin sunulmasını suç saymamalıdır[24]. Bilimsel çalışmalarda ve içtihatlarda bu suçun sınırlarının netleştirilmesi, kişisel verilerin korunmasını güçlendirecek, hem bireylerin haklarını hem de adli mekanizmanın işleyişini dengede tutacaktır.
Kaynakça: Türk Ceza Kanunu (md.136-139) ve ilgili literatür[1][2][6][12][19][24].
S1: TCK 136 neyi suç sayar?
Kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme fiillerini. Yaptırım 2–4 yıl hapis.
S2: “Yayma” ile “verme” arasındaki fark nedir?
“Verme”, verinin belirli kişiye aktarılması; “yayma”, belirsiz veya çok sayıda kişiye ulaştırılmasıdır. İkisi de suç tipine dahildir.
S3: Bu suçlar şikâyete bağlı mı?
Hayır. TCK 136-137 resen soruşturulur.
S4: Suçun faili kim olabilir?
Herkes. Ancak kamu görevlisi veya belli bir meslek/zanatın sağladığı kolaylıktan yararlanılarak işlenirse TCK 137 uyarınca ceza yarı oranında artırılır.
S5: “Kişisel veri” nedir?
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad, iletişim, görsel, sağlık, biyometrik vs.). Verinin herkese açık olması, “kişisel” niteliğini tek başına ortadan kaldırmaz.
S6: “Özel nitelikli kişisel veri” TCK 136 açısından farklı mıdır?
TCK 136 tipi tüm kişisel verilere yöneliktir; özel nitelikli veriler (sağlık, biyometrik, din vb.) KVKK’da ayrıca sıkı rejime tabidir. Suçun ağırlığı değerlendirilirken bu nitelik önem kazanabilir.
S7: “Kapak bilgisi” kişisel veri midir?
Somut olaya göre değişir. Kişiyi belirlenebilir kılmıyorsa kişisel veri sayılmayabilir; ancak ad-soyad, TCKN, dosya ilişkilendirmesi gibi unsurlarla kişi belirlenebiliyorsa kişisel veridir.
S8: “Hukuka aykırılık” ne demektir?
Verinin aktarımı/ele geçirilmesi için hukuki dayanak yoksa (rıza, kanuni yetki, meşru menfaat vb. bulunmuyorsa) hukuka aykırılık vardır. Hukuka uygunluk nedenleri varsa suç oluşmaz.
S9: Hangi haller hukuka uygunluk nedeni oluşturabilir?
Savunma/şikâyet hakkı kapsamında yetkili mercilere belge sunma,
Basın özgürlüğü (kamu yararı, gerçeklik, ölçülülük şartlarıyla),
Alenileştirme (ilgili kişinin veriyi kendisinin kamuya açması),
Kanuni yükümlülük veya meşru menfaat (KVKK’da öngörülen sınırlar dâhilinde).
S10: Manevi unsur nasıl aranır?
Genel kabul, suçun kasten işlendiğidir. Fail verinin kişisel veri olduğunu bilerek ve isteyerek hareket etmelidir. Taksirle işlenemez.
S11: Hata (TCK 30) nasıl etkiler?
Fail, fiilin hukuka uygun olduğu kanaatiyle haksızlık hatasına düşmüşse, somut olaya göre kusur azalabilir veya kalkabilir.
S12: Ele geçirilen verileri silmemek ayrı suç mu?
Evet. TCK 138 “verileri yok etmeme” suçunu düzenler (1–2 yıl hapis). Özellikle hukuka aykırı elde edilen verilerin imha edilmemesi bu kapsamda değerlendirilir.
S13: Dijital/sözlü veriler arasında fark var mı?
Hayır. Yazılı, görsel, dijital ya da sözlü her biçim kişisel veri olabilir. Önemli olan verinin kişiyi belirlenebilir kılmasıdır.
S14: Mağdur kimdir?
Verisi hukuka aykırı şekilde verilen/yayılan/ele geçirilen gerçek kişi mağdurdur.
S15: Delil olarak mahkemeye sunmak “yayma” sayılır mı?
Genellikle hakkın kullanılması (savunma/şikâyet) kapsamında değerlendirilir; usule uygun ve ölçülü sunum suç oluşturmaz.
S16: Sosyal medyadan alınan herkesçe görülebilir bilgiler kişisel veri midir?
Evet, çoğu durumda öyledir. Alenilik, kişisel veri niteliğini otomatik olarak kaldırmaz; ancak hukuka uygunluk değerlendirmesinde etkili olabilir.
S17: Zamanaşımı nedir?
Temel ceza aralığı dikkate alındığında dava zamanaşımı TCK genel hükümlerine göre belirlenir (ör. 8–15 yıl aralığına göre değişebilir). Somut suç vasfına göre hesap yapılır.
S18: Şirketler fail/mağdur olabilir mi?
Tüzel kişiler fail/mağdur olamaz; ancak tüzel kişi lehine işlenmişse güvenlik tedbirleri uygulanabilir (ör. lisans iptali niteliğinde değil; TCK 60 çerçevesinde).
S19: Aynı anda hem ele geçirme hem yayma olursa kaç suç sayılır?
Genellikle tek suç kapsamında değerlendirilir; hareketlerin toplamı tipikliğin gerçekleşmesine hizmet eder (içtihat durumuna göre değişebilir).
S20: Uygulamada en kritik ispat unsurları nelerdir?
Verinin kişisel niteliği, hukuka aykırılık (dayanak yokluğu), failin kastı, nitelikli hâl şartları (kamu görevlisi/meslek kolaylığı) ve zincirleme/mükerrer değerlendirmeleri.
[1] dergipark.org.tr
[2] [3] [4] [5] [6] [7] [8] [9] [10] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] dergipark.org.tr
[11] Ankara Üniversitesi Hukuk Fakültesi Dergisi » Makale » 5237 Sayılı Türk Ceza Kanunu’nda Verileri Yok Etmeme Suçu