2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) veri sorumlularına, veri koruma politikalarını kanun hükümlerine uygun hale getirmeleri için kanunun yayımı tarihinden itibaren iki yılık bir süre tanımış idi. Bu geçiş sürecinin 7 Nisan 2018 tarihinde sona ermesi ile, Avrupa’da GDPR’ın yürürlüğe girmesini takiben görülen etkiye benzer olarak Türkiye’de de kişisel verilerin korunması alanında bir hareketlilik yaşanmaya başlanmıştı.

Her ne kadar söz konusu hareketliliğin hâlihazırda daha çok uyumluluk süreçlerine odaklı olarak gerçekleştiği görülmekteyse de, konunun ceza hukuku boyutu da görmezlikten gelinemeyecek derecede önem arz etmektedir. Esasen, kişisel veri ihlallerine ilişkin cezai müeyyideler KVKK’dan önceye dayanmaktadır; nitekim kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, ele geçirilmesi, yayılması ve yok edilmemesi, Türk Ceza Kanunu kapsamında bu kanunun yürürlüğe girmesinden önce de suç olarak düzenlenmekte idi. Şimdi ise, KVKK ile uygulama 4 alanı bulan ve kişisel verilerin işlenmesine ilişkin kuralları ve ilkeleri belirlerken aynı zamanda kanunun ihlali halinde gündeme gelecek cezai sorumluluğa da atıfta bulunan yeni hükümlerin yürürlüğe girmesi ile, bu iki kanunun bir arada nasıl uygulanacağı da kaygı doğuran bir mesele haline gelmiştir.

TÜRK CEZA KANUNU’NUN YAKLAŞIMI

Türk Ceza Kanunu’nun doğrudan kişisel verilerin korunmasını ilgilendiren düzenlemeleri, madde 135 ila 140 hükümleri arasında yer almaktadır. Madde 135 hükmü, kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde kişiye, bir yıldan üç yıla kadar hapis cezası verileceğini düzenlemektedir. Söz konusu hükmün ikinci fıkrası ise, hukuka aykırı olarak kaydedilen kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunu, suçun nitelikli hali olarak kabul etmekte ve bu durumda verilecek hapis cezasının yarı oranında artırılacağını öngörmektedir. Takibinde madde 136 hükmü, kişisel verilerin hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesinin iki yıldan dört yıla kadar hapis cezası ile cezalandırmakta ve son olarak madde 138 hükmü, kişisel verilerin kanunların belirlediği sürelerin geçmiş olmasına karşın yok edilmemesini suç olarak düzenleyerek, bu suçun işlenmesi halinde bir yıldan iki yıla kadar hapis cezası öngörmektedir.

Kısaca özetlemek gerekirse, Türk Ceza Kanunu genel olarak kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi eylemlerini suç olarak sıralamakta ve söz konusu verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda koruma kapsamını genişletmektedir.

KVKK’NIN YAKLAŞIMI

KVKK’nın 17. maddesi, oldukça geniş bir ifade kullanarak kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. maddelerine atıfta bulunmaktadır. Bununla birlikte, ilgili hükmün ikinci fıkrası daha spesifik bir düzenleme ile, kişisel verilerin KVKK hükümlerine aykırı olarak silinmemesi veya anonim hale getirilmemesi halinde Türk Ceza Kanunu’nun 138. Maddesinin uygulama bulacağını ifade etmektedir.

KVKK’nın 18. Madde hükmü ise aydınlatma yükümlülüğünün, veri güvenliğine ilişkin yükümlülüklerin ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesini ve Kişisel Verileri Koruma Kurulu tarafından verilen kararlara uyulmamasını açıkça kabahat niteliği taşıyan eylemler olarak tanımlamış ve böylece söz konusu ihlalleri Türk Ceza Kanunu’nun kapsamı dışında tutmuştur.

KVKK, özel nitelikli kişisel verilere ilişkin olarak ise Türk Ceza Kanunu’nda belirtilen kişisel verilere, kişilerin ırkı ve etnik kökeni, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri eklemiştir. Bunun yanında, Türk Ceza Kanunu’nun aksine, kişilerin ahlaki eğilimleri KVKK’da özel nitelikli veri olarak düzenlenmemiştir.

İKI YAKLAŞIMIN DEĞERLENDIRILMESI

Tahmin edilebileceği üzere, KVKK yalnızca kişisel verilerin kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi durumlarını değil, kişisel veriler üzerinde yapılan her türlü işlemi kapsamı içerisine almakta; daha teknik bir ifade ile veri işlemenin söz konusu olduğu her halde uygulama bulmaktadır. Bu durumun doğal bir sonucu olarak KVKK, cezai sorumluluğa ilişkin olarak Türk Ceza Kanunu’na atıfta bulunduğu hallerde, Türk Ceza Kanunu’nun ilgili hükümlerinin kişisel verilerin herhangi bir şekilde işlenmesi durumunda uygulanmasını amaçladığı söylenebilecektir.

Bununla birlikte, Türk Ceza Kanunu’nun ilgili hükümleri kişisel verilerin yukarıda belirtilmiş olan durumlar dışında işlenmesi hallerini kapsamamaktadır. Bu durumda ise, suçların ve cezaların kanuniliği ilkesi uyarınca, kişisel verilerin hukuka aykırı olarak ve fakat Türk Ceza Kanunu’nun ilgili düzenlemelerinin kapsamına girmeyen fillerle işlenmesi ve bu fiillerin Türk Ceza Kanunu’nda sıralanan suç tipleri ile ilişkilendirilememesi durumunda Türk Ceza Kanunu uygulama alanı bulmayacaktır. Dolayısıyla, kişisel verilerin hukuka aykırı olarak işlendiği birtakım haller, herhangi bir cezai sorumluluk doğurmayacaktır.

Aslında arzu edilen düzeyde bir koruma sağlayabilmek adına her türlü veri güvenliği ihlali için cezai yaptırım öngörülmesinin gerekip gerekmediği ya da ceza sorumluluğunun bu anlamda efektif bir araç olup olmadığı ayrı bir tartışma konusudur. Ancak bu iki kanunda yer alan mevcut hükümlerin, halihazırda sağladıkları farklı kapsam ve seviyedeki korumalarla çelişkili uygulamalara yol açabilecek bir belirsizlik yarattığını ve sırf bu durumun dahi bir değişiklik ihtiyacı doğurduğunu söylemek yanlış olmayacaktır.

Burada şunu da eklemek de fayda olacaktır ki, Kabahatler Kanunu’nun 15/3. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlendiği ve Türk Ceza Kanunu’nun uygulamadığı bir halde, söz konusu fiil kabahat olarak değerlendirilerek bir yaptırıma tabi tutulabilecektir. Aynı hükmün, bir fiilin hem kabahat hem suç olarak tanımlanmış olması halinde, sadece suçtan dolayı yaptırım uygulanabileceği yönündeki düzenleme de dikkate alındığında, 4 hemen yukarıda izah edilen ceza sorumluluğu ile arzu edilen korumanın sağlanıp sağlanamayacağı yönündeki değerlendirmenin tekrarlanması gerektiği açıktır. Bu değerlendirme başlı başına ayrı bir makalenin konusu olacak olmakla birlikte, yapılması arzu edilen değişiklikler gündeme geldiğinde kanun koyucunun bir fiilin suç mu yoksa kabahat mi teşkil ettiği yönündeki iradesi bakımından oldukça önem arz etmektedir.

Yukarıdaki açıklamalarımız, yürürlükteki düzenlemelerin, kanunilik ilkesinin katı doğası ile şekillenen hukuki yorumlarını yansıtmaktadır. Bununla birlikte, Türk Ceza Kanunu’nun 135 ve 136. madde hükümlerinin, Yargıtay tarafından KVKK’nın ruhuna ve sağlamayı amaçladığı koruma kapsamına uygun şekilde ve daha geniş bir biçimde yorumlanması durumunda, daha farklı bir uygulamanın gelişmesi de mümkün olabilecektir. Ancak unutmamak gerekir ki, ceza hukukunun bakış açısı ve temel prensipleri esasen bu şekilde geniş yorumlamalara izin vermemektedir. Dolayısıyla kanunun amacına uygun bir yorumda bulunmak, ceza hâkimleri için zor bir görev teşkil etmektedir. Bu sebeple ideal olan, kanun koyucunun farklılıkları ve yanlış yorumlamaları bertaraf edecek bir aksiyon alması olacaktır.

Bu noktada bir parantez açılması gerekmektedir. Kanunilik ilkesine gerektiği gibi katı uygulandığı ilk senaryo ile karşılaşılması durumunda, Türk Ceza Kanunu’nun ilgili hükümlerinde yer almayan fiillerin işlenmesiyle ortaya çıkan kişisel veri ihlallerine ilişkin cezai soruşturmaların sonuçsuz kalacağı şüphesizdir. Bununla birlikte, Türk Ceza Kanunu’nda suç olarak sayılmayan bu fiiller KVKK uyarınca hukuka aykırı niteliğini kaybetmeyeceğinden, KVKK yine de ihlal edilmiş olacaktır. Bu durumda, KVKK’nın 12. maddesinin atfıyla, kabahatleri ve uygulanacak idari para cezalarını düzenleyen 18. madde hükmü devreye girecektir. KVKK 12. maddesi genel itibariyle veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenlemekte ve söz konusu yükümlülüklerin yerine getirilmemesini, kabahat olarak kabul edilmektedir. Bu durumda cezai sorumluluk kapsamında tutulmamanın etkisiyle rehavete kapılabilecek veri sorumluları için problem yaratabilecek olan husus ise, Kişisel Verileri Koruma Kurulu’nun madde 12 hükmünün uygulama alanını aşırı bir biçimde genişleterek, madde 12 kapsamına girmese dahi, neredeyse tüm veri ihlallerini veri güvenliğine ilişkin yükümlülüklerin ihlali olarak değerlendiriyor olmasıdır. Kurul’un eleştiri konusu olan bu yaklaşımının bir sonucu olarak, cezai sorumluluk yerini 1 milyon Türk Lirasını bulabilecek ciddi para cezalarına bırakmıştır.

Türk Ceza Kanunu ile KVKK arasındaki bir diğer farklılık ise, özel nitelikli veri kapsamlarının birbiri ile uyuşmamasından kaynaklanmaktadır. Yukarıda da açıklanmış olduğu gibi, KVKK’da özel nitelikli veri olarak düzenlenen birtakım kişisel veriler, daha eski tarihli Türk Ceza Kanunu tarafından aynı şekilde tanımlanmamıştır. Bunun sonucunda ise bu veriler (kişilerin ırkı ve etnik kökeni, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) KVKK uyarınca özel nitelikli kişisel veri olarak değerlendirilmiş olmalarına rağmen, Türk Ceza Kanunu tarafından tanınan nitelikli korumadan yararlanamayacaklar ve yalnızca madde 135/1 hükmü ile düzenlenen suçun yalın halinin konusunu oluşturacaklardır. Buna karşın, yalnızca Türk Ceza Kanunu tarafından özel nitelikli veri olarak kabul edilen kişilerin ahlaki eğilimlerine ilişkin kişisel veriler ise, KVKK’da özel nitelikli veri olarak kabul edilmemelerine rağmen suçun nitelikli halinin konusunu oluşturacak ve ilave bir korumadan yararlanacaktır. Kişilerin ahlaki eğilimlerine ilişkin kişisel verilerine tanınan bu geniş kapsamlı koruma, anlamı ve içeriği tam olarak belirli olmayan olan “ahlaki eğilim” kavramının yanlış yorumlamalara oldukça açık olması nedeniyle de eleştiri konusu olmuştur. Arzu edilen korumanın tam olarak sağlanabilmesi için, bu tür belirsizliklerin açıklığa kavuşturulması ve özellikle yasal tanımlar söz konusu olduğunda KVKK’nın bu amaca tek rehber olarak kabul edilmesi gerekmektedir.

Bu bölümü sona erdirmeden önce üzerinde durulması gereken son nokta olarak belirtilmelidir ki, Türk Ceza Kanunu’nda suç olarak sayılmayan fiiller ve bunların kanunilik ilkesi kapsamındaki yorumundan kaynaklanan karışıklık, kişisel verilerin silinmesi ve anonim hale getirilmesi üzerinde aynı etkiyi doğurmamaktadır. Açıklamak gerekirse, Türk Ceza Kanunu’nun138. maddesi kişisel verilerin yok edilmemesi halini düzenlemekteyken, KVKK’nın 17/2. maddesi kişisel verilerin silinmemesi veya anonim hale getirilmemesi halini kapsamına almaktadır. Dolayısıyla, ilk bakışta Türk Ceza Kanunu kapsamında olmayan “anonim hale getirmeme” fiilinin suç olarak kabul edilmesinin de kanunilik ilkesine aykırı olduğu düşünülebilecek ise de, 17/2. madde hükmünün söz konusu ihlallerin Türk Ceza Kanunu’nun 138. Maddesine göre cezalandırılacağı şeklindeki açık lafzı ve atfı, bu şekilde bir yorumun önüne geçmektedir.

SONUÇ

Şüphesiz ki, bu iki kanunun kapsamları ve yaklaşımları arasındaki farklılıklar sebebiyle uygulamada karşılaşılması muhtemel karışıklık ve çelişkilere karşı izlenebilecek en uygun çözüm yolu, öncelikle Türk Ceza Kanunu’nda ve gerekirse KVKK’da gerekli değişikliklere giderek farklılıkları tamamen ortadan kaldırmak olacaktır. Ancak, en azından odak noktasının KVKK’nın idari yükümlülükleri ile uyumluluk noktasında toplandığı şu dönemde bu husus ikincil planda kalmakta ve bu sebeple halihazırda böyle bir değişiklik gündemi bulunmamaktadır.

Bu sebepledir ki bugün için merak uyandıran husus, iki kanun arasındaki söz konusu farklılıkların uygulamayı nasıl etkileyeceği ve Yargıtay içtihatlarına nasıl yansıyacağıdır. KVKK’nın nispeten yeni bir kanun olduğu da düşünüldüğünde, uygulamaya yön verecek çok yönlü tartışmaların mahkemeler nezdinde henüz sağlanmadığını söylemek de yanlış olmayacaktır. Bunun bir diğer sonucu da, bugüne kadar konuya ilişkin olarak oluşturulmuş olan Yargıtay içtihatlarının yeterli bir rehber niteliği arz edememesidir. Nitekim söz konusu içtihatlar, genellikle KVKK öncesi döneme dayanmakta olup kapsam itibariyle oldukça sınırlıdır.

Bu durum karşısında ve arzu edilen değişikliklerin en azından kısa vadede yapılmayacağı öngörüsüyle, Yargıtay KVKK ve Türk Ceza Kanunu’nun ilgili hükümlerinin yorumlanması ve uygulanmasına yönelik birtakım standartlar belirleyene kadar, özellikle ilk derece mahkemelerince yürütülen yargılamalar sonucunda birbiriyle çelişen kararlar ile karşılaşmanın şaşırtıcı olmayacağını söylemek mümkündür.

Yazı: Gün+Partners Avukatlık Bürosu, Yönetici Avukat Av.Fliz Toprak Esin ve Kıdemli Avukat Asena Aytuğ Keser

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.

Günümüzde teknolojideki hızlı gelişmeler sonucunda veri, çağın yeni değeri haline gelmiş ve gerek büyük ölçekte ülkelerin gerekse de iş hayatındaki pek çok kurumun yıllardır süregelen politikalarında birtakım değişikliklere gitmelerini zorunlu hale getirmiştir.

Kolaylaşan veri akışı ile beraber gittikçe ticarileşen internet ise veri koruma hususunda ulusal ve uluslararası düzenlemeler yapılmasını mecburi kılmıştır. Bu bağlamda 7 Nisan 2016’da ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve 25 Mayıs 2018’de de Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation) yürürlüğe girmiştir. Söz konusu Tüzük ve Kanunun temelleri yıllar öncesine dayanmasına karşın yaptırım gücü olan düzenlemelere dönüşmeleri ancak son 2 yıl içerisinde mümkün olmuştur. Bu durumun temel nedeni, başlangıçta da açıklanmış olduğu üzere gerek internet gerekse gelişmeye hızla devam eden akıllı nesneler vasıtasıyla verilerin son yıllarda artan kullanımı sonucunda kişilerin mahremiyetinin korunması ihtiyacıdır.

Kişisel veri kavramı, hayatın çok içinde ve herkesin temas halinde olduğu bir konu olmakla birlikte özellikle işleri gereği kişisel verilere sürekli erişim sağlayan şirketler açısından önemli bir sorumluluk getirmiştir. Kanunun öngördüğü yükümlülüklerden birkaçını; veri envanterinin oluşturulması, veri güvenliğinin sağlanması için teknik ve idari tedbirlerin alınması ve veri kayıt sistemine (VERBİS) doğru ve güncel bilgiler ile kayıt olunması oluşturmaktadır.

Kişisel Verilerin Korunması mevzuatımız, AB sınırları içerisinde 1998 yılından bu yana yürürlükte bulunan 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif ”den esinlenilerek hazırlanmış olsa da 2018’de yürürlüğe giren GDPR bu iki düzenlemeden de ayrışan birtakım hususlar barındırmaktadır. Bunlardan ilki ve belki de en önemlisi veri ihlalleri karşısında öngörülen müeyyide miktarlarının büyüklüğüdür. KVKK ’ya aykırılık halinde idari yaptırımın üst sınırı 1 Milyon TL ve cezai yaptırım ise 1-4 yıl arasında öngörülmekte iken GDPR’da üst sınır 20 Milyon Euro veya bir önceki mali yıl küresel cirosunun %4’ü olabilmektedir. Bununla beraber GDPR, KVKK ’da yer verilmeyen Veri Koruma Görevlisi (Data Protection Officer) ve Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment) kavramlarına da yer vererek sistematik olarak büyük ölçekli veri işlemekte olan tüzel kişilerin bu hususları da uygulamalarına almalarını öngörmüştür.

Kişisel Verilerin Korunması Hukuku bağlamında son yıllarda oluşan bu hassasiyet neticesinde gerek dünyada gerekse de Türkiye’de pek çok yaptırıma şahitlik edilmektedir. Hızla sayıları artmakta olan idari para cezalarının miktarları ihlalin etkilediği kişi sayısı ve ihlal şekline göre değişiklik gösterebilmektedir. İngiltere Veri Koruma Komisyonu (ICO) tarafından hukuka aykırı veri işleme ve gerekli idari ve teknik tedbirlerin alınmamış olması nedeniyle Facebook’a verilen 500.000 Sterlin değerindeki ceza ile başlayan yaptırım süreci yakın tarihte Google’a verilen 50 Milyon Euro değerindeki ceza ile sürmektedir. Söz konusu yaptırım, ilgili kişilere şeffaf ve yeterli bir aydınlatma yapılmadığı gerekçesiyle Fransız Veri Koruma Otoritesi (CNIL) tarafından verilmiştir. Ülkemizde de KVK Kurumunun özellikle 6698 Sayılı Kanun ile GDPR uygulamasının birbirine yaklaşabilmesi açısından veri işlemede takip edilecek genel ilkeler konusu kapsamında ciddi bir hassasiyet gösterdiği ve bu pek çok cezayı bu ilkeler bağlamında verdiği görülmektedir. Buna ilaveten kurumun şimdiye kadar uygulamış olduğu yaptırımlardan bir diğeri ve şirketler için belki de bir maddi yaptırımdan çok daha etkili olacak uygulaması ise kurumun resmî web sitesinde kamuya yönelik veri ihlali bildiriminin yapılmasıdır. Buradan hareketle, kişisel verilerin korunmasının hem veri işleyen gerçek kişiler hem de kamu/özel tüzel kişilikleri için ivedilikle aksiyon alınması gereken bir konu haline geldiği aşikardır.

Tüm dünyada ortaklaşa kabul edilen, Veri Koruma Günü ise 28 Ocak 1981’de kişisel verilerin korunmasını öngören 108. Konvansiyonun Avrupa Konseyi üyesi 46 ülke tarafından imzalanmasıyla ilan edilmiştir. Türkiye’nin de 28 Ocak 1981’de Strazburg’da imzaladığı bu sözleşme ancak üzerinden 35 yıl geçmesi ile bir Kanun kapsamında düzenlenerek mevzuatımızda yerini alabilmiştir. Uzun yıllar önce imzalanmış bir uluslararası sözleşmenin Türk Hukukuna dâhil olabilmesi için bu denli fazla zamanın geçirilmiş olması, veri koruma hususunun bir Kanun ya da Tüzükten ibaret olmayıp Türk Kültürü içine yerleştirilmesi gereken bir olgu olduğunu ve bu farkındalığın yerleşmesinin biraz zaman alacağını göstermektedir.

Yazı: Fırat Barış Kavlak, Kavlak Avukatlık Bürosu Ortak Avukatı

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.