Makale

Bilişim teknolojilerinin hızla gelişmesiyle birlikte kişisel verilerin korunması, modern hukuk sistemlerinin en temel odak noktalarından biri haline gelmiştir. Hem Türk Ceza Hukuku hem de Kuzey Kıbrıs Türk Cumhuriyeti (KKTC) Ceza Hukuku, bireylerin özel hayatın gizliliği hakkını güvence altına almak amacıyla çeşitli yaptırımlar öngörmektedir. Ceza hukukunun son çare prensibi gereği, diğer hukuk disiplinlerinin yetersiz kaldığı durumlarda veri ihlalleri suç sayılarak ağır yaptırımlara tabi tutulmaktadır. 5237 sayılı Türk Ceza Kanunu (TCK) ve KKTC'deki 32/2014 sayılı Özel Hayatın ve Hayatın Gizli Alanının Korunması Yasası kapsamında kişisel verilere yönelik haksız eylemler, suç tipleri olarak düzenlenmiştir. Bu eylemler genel olarak soyut tehlike suçları niteliğindedir; yani fiilin işlenmesiyle birlikte suç tamamlanmakta ve ayrıca somut bir zararın doğması aranmamaktadır. Sadece gerçek kişilerin doğrudan fail olabildiği bu suçlarda kast unsuru aranırken, eylemlerin odağındaki temel hukuki değer doğrudan kişinin özel hayatı ve bu alandaki gizlilik olmaktadır.

Kişisel Verilerin Kaydedilmesi Suçu

Kişisel verilerin kaydedilmesi suçu, yetkisi veya geçerli bir rızası bulunmayan kişilerin başkalarına ait verileri kayıt altına alması eylemini cezalandırmaktadır. Türk Ceza Kanunu madde 135 uyarınca, hukuka aykırı olarak kişisel verileri kaydeden kişi bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Bu suçun konusu her türlü kişisel veri olmakla birlikte, verilerin siyasi, felsefi veya dini görüşlere, ırki kökenlere, ahlaki eğilimlere, cinsel yaşama veya sağlık durumuna ilişkin olması kanun koyucu tarafından daha ağır cezayı gerektiren nitelikli hal kabul edilerek cezanın yarı oranında artırılmasına hükmedilmiştir. KKTC Hukukunda ise bu eylem 32/2014 sayılı Yasa’nın 8. maddesinde düzenlenmiş olup, kişinin rızası olmaksızın veya yasadan yetki almaksızın kayıt yapılması hafif bir suç sayılarak iki yıla kadar hapis veya para cezasına tabi tutulmuştur. Her iki düzenlemede de failin eylemi gerçekleştirirken hukuka aykırı davrandığını bilmesi ve kasten hareket etmesi eylemin suç teşkil etmesi için yeterli sayılmaktadır.

Verileri Hukuka Aykırı Olarak Verme, Yayma veya Ele Geçirme

Kaydedilen verilerin izinsiz şekilde üçüncü kişilerle paylaşılması veya elde edilmesi de her iki hukuk sisteminde bağımsız suç tipleri olarak düzenlenmiştir. TCK madde 136 bağlamında, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar hapis cezası almaktadır. Verinin elden veya bilişim sistemleri üzerinden verilmesi, eylemin hukuki niteliğini değiştirmemektedir. KKTC mevzuatında ise durum daha spesifik bir ayrıma tabi tutulmuştur. 32/2014 sayılı Yasa’nın 8. maddesinde verilerin basın-yayın yoluyla veya sosyal medya aracılığıyla yayılması üç yıla kadar hapis öngörülen ayrı bir suç olarak sınıflandırılmıştır. Ayrıca aynı Yasa'nın 9. ve 10. maddeleri kapsamında, verilerin ele geçirilmesi, başkasına verilmesi veya satılması fiilleri, verinin ilk başta hukuka uygun veya aykırı kaydedilmiş olmasına göre farklı cezai ağırlıklara sahip ağır suçlar olarak tanımlanmıştır. Özünde bu suçlar, verilerin kontrolsüz dolaşımını engelleyerek özel hayatın yetkisiz ifşasını durdurmayı hedeflemektedir.

Kişisel Verileri Yok Etmeme Suçu

Yasal olarak muhafaza edilen verilerin, kanunlarda veya mevzuatta öngörülen süresi dolmasına rağmen veya işlenme amacı ortadan kalktığında ilgili sistemden çıkarılmaması eylemi verileri yok etmeme suçunu oluşturur. TCK madde 138 uyarınca, verileri sistem içinde yok etmekle yükümlü olan kişilerin bu görevlerini yerine getirmemeleri, ihmali bir suç olarak kabul edilir ve bir yıldan iki yıla kadar hapisle cezalandırılır. Bu fiil gerçek özgü suç niteliğindedir; dolayısıyla sadece verileri silmek, yok etmek veya anonim hale getirmekle kanunen görevli olan veri sorumluları tarafından işlenebilmektedir. Benzer bir hukuki koruma mekanizması KKTC ceza uygulamasında da yer bulmuş olup, Yasa’nın 11. maddesinde yasaların belirlediği sürelerin geçmesine rağmen verileri yok etme yetkisine sahip kişinin bu eylemi yapmaması hafif suç olarak düzenlenip bir yıla kadar hapis cezasıyla veya para cezasıyla yaptırıma bağlanmıştır.

Nitelikli Haller ve Yaptırımların Kapsamı

TCK ve KKTC mevzuatlarında, suçun işleniş biçimine ve failin sahip olduğu sıfatlara göre uygulanan daha ağır cezai yaptırımlar özenle belirlenmiştir. Özellikle kamu görevlilerinin yetkilerini kötüye kullanması, belirli bir mesleğin sağladığı profesyonel kolaylıktan faydalanılması veya sağlık, siyasi görüş gibi özel nitelikli kişisel verilerin suçun konusu olması cezaları doğrudan artıran başlıca sebeplerdir. Türk ceza hukukunda tüzel kişiler veri suçlarının doğrudan faili olamamakla birlikte, bu suçların işlenmesi halinde ilgili özel hukuk tüzel kişisi hakkında güvenlik tedbirleri uygulanabilmektedir. KKTC'de ise tüzel kişilerin fail olarak para cezası ile sınırlandırılarak sorumlu tutulabileceği yargısal içtihatlarda tartışılmaktadır. Aşağıdaki tabloda her iki hukuki düzenlemenin veri suçlarına ilişkin temel yaptırım özellikleri özetlenmiştir: