Modern teknolojinin hayatımıza sunduğu imkanlar, bilgiye erişimi ve veri işleme kapasitesini önemli ölçüde artırmıştır. Ancak bu gelişmeler, bireylerin özel hayatına yönelik tehditleri de beraberinde getirmiştir. Bu kapsamda, kişisel verilerin izinsiz kaydedilmesi suçu hem bireyin mahremiyet hakkını hem de anayasal güvence altındaki özel hayatın gizliliğini tehdit eden önemli bir ceza hukuku meselesidir.
1. Kişisel Verilerin Tanımı ve Kapsamı
Kişisel veri, belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu bilgiler bireyin kimliğini doğrudan ya da dolaylı olarak ortaya koyabilir. Ad, soyad, TC kimlik numarası, IP adresi, genetik veriler, biyometrik veriler gibi birçok unsur kişisel veri sayılmaktadır.
2. Kişisel Verilerin İzinsiz Kaydedilmesi Suçunun Dayanağı: TCK m. 135
TCK m. 135/1: Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel hayatlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri kaydeden kimseye, bir yıldan üç yıla kadar hapis cezası verilir.
2. fıkra: Kişisel verilerin, hukuka aykırı olarak kaydedilmesi hâlinde, birinci fıkra hükmü uygulanır.
3. Suçun Unsurları
- Fail: Herkes bu suçun faili olabilir.
- Mağdur: Belirlenebilir gerçek kişi olmalıdır.
- Hareket: Verilerin kaydedilmesi, yani belirli bir düzene sokulup muhafaza altına alınmasıdır.
- Hukuka Aykırılık: Rıza dışı kayıt, kanunî dayanak olmaksızın işlem yapılması gibi durumlarda ortaya çıkar.
4. Korunan Hukuksal Değer
Bu suçla korunan değer, bireylerin özel hayatının gizliliği ve kişilik haklarıdır. 2010 yılında Anayasa’nın 20. maddesine eklenen kişisel verilerin korunması hakkı ile bu hak anayasal düzeye taşınmıştır.
5. Kişisel Verilerin İzinsiz Kaydedilmesi Suçunun Cezası
| Suç Türü | Hapis Cezası |
|---|---|
| TCK m. 135/1 | 1 yıldan 3 yıla kadar |
6. Kişisel Verilerin İzinsiz Kaydedilmesi Suçunun Nitelikli Halleri
TCK m. 137’de, kişisel verilerle ilgili suçların daha ağır cezalandırılmasını gerektiren haller düzenlenmiştir:
- Suçun kamu görevlisi tarafından ve görevinin verdiği yetkiyle işlenmesi
- Suçun belli bir meslek ya da sanatı icra eden kişi tarafından, bu meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi
Bu hallerde ceza bir kat artırılır.
7. Benzer Suçlarla Karşılaştırma
TCK m. 136 kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesini suç sayar. TCK m. 138 ise kişisel verilerin kanuni süresi dolmasına rağmen yok edilmemesini düzenler. Bu suçlar birbirini tamamlayan bir yapıya sahiptir ve TCK m. 135’teki kayıt aşamasını takip ederler.
8. Suçun Soruşturulması ve Görevli Mahkeme
TCK m. 135 suçu re’sen soruşturulur. Görevli mahkeme, Asliye Ceza Mahkemesi’dir. Bu yetki 5271 sayılı Ceza Muhakemesi Kanunu m. 12 kapsamında belirlenir.
9. Kişisel Verilerin İzinsiz Kaydedilmesi Suçuna İlişkin Yargıtay ve İstinaf Kararları
Yargıtay 12. CD, 2019/4356 E., 2020/7341 K.: Sanığın, eşinin telefonuna yüklediği yazılım sayesinde konum verilerini takip ettiği, bunu boşanma davasında delil olarak sunduğu olayda, hukuka aykırı veri kaydı nedeniyle TCK m. 135’in unsurlarının oluştuğuna hükmedilmiştir.
İstanbul BAM 8. CD., 2021/678 E., 2021/1091 K.: Katılanın açık rızası dışında özel sağlık bilgilerinin not alınarak iş yerine sunulması, kişisel verilerin kaydedilmesi suçu kapsamına alınmış ve ceza verilmiştir.
Yargıtay 12. CD, 2016/8570 E., 2017/12534 K.: İşverenin, çalışanların siyasi görüşlerini içeren özel bilgileri izinsiz şekilde kaydetmesi durumunda, fiilin TCK m. 135 kapsamında suç oluşturduğuna hükmedildi. Mahkeme, iş yerinde form doldurtulması veya gizli kamera kullanılması gibi yöntemlerin açık rıza doğurmayacağını vurgulamıştır.
Yargıtay 12. CD, 2017/2458 E., 2018/6361 K.: Özel bir klinikte görevli hemşirenin, hastanın HIV pozitif bilgilerini içeren verileri izinsiz olarak kayda geçirdiği ve bir başka çalışanla paylaştığı olayda, verinin işlenme biçimi ve hassas niteliği dikkate alınarak Kişisel Verilerin İzinsiz Kaydedilmesi suçunun unsurlarının oluştuğuna karar verilmiştir.
Yargıtay 12. CD, 2015/2463 E., 2016/6821 K.: Sanığın, okulda görevli öğretmen arkadaşlarının dinî inançlarına ilişkin bilgileri kendi ajandasında kaydettiği olayda, kişisel verinin kaydı suçunu oluşturduğu, bu kayıtların paylaşılmamış olmasının suçu ortadan kaldırmayacağı ifade edilmiştir.
İzmir BAM 9. CD, 2020/921 E., 2020/1462 K.: İşverenin, çalışanlara dair kişisel verileri (çocuk sayısı, engellilik durumu, ev adresi) içeren bir formu rızasız olarak doldurtması ve bu formları kurum içinde dosyalaması, izinsiz veri kaydı olarak kabul edildi. Mahkeme, açık rıza bulunmadığından cezalandırmaya gidilmesini hukuka uygun buldu.
İstanbul. BAM 15. CD, 2021/1362 E., 2022/450 K.: Düğün fotoğrafçısı olan sanığın, müşterilerin fotoğraflarını saklaması ve üçüncü kişilerle paylaşmak üzere liste oluşturması, veri kaydını oluşturduğu ve bu kayıtların hukuka aykırı şekilde tutulduğu gerekçesiyle mahkumiyetle sonuçlandı. Sanığa Kişisel Verilerin İzinsiz Kaydedilmesi suçundan ceza verildi.
Yargıtay 12. CD, 2014/1298 E., 2015/2304 K.: Sanığın, eski eşinin sosyal medya hesaplarını izleyip ekran görüntüsü alarak bunları arşivlemesi ve ileride dava dosyasına delil olarak sunmak istemesi halinde bile, kişisel veri kaydı suçunun oluşabileceği değerlendirilmiştir.
İst. BAM 7. CD, 2022/765 E., 2022/1150 K.: Sanığın müştekiye ait telefon konuşmalarını ve mesajlarını habersiz şekilde not aldığı ve arşivlediği olayda, özel hayatın gizliliğini ihlal edecek şekilde veri toplama amacıyla hareket edildiği gerekçesiyle TCK m. 135 hükmünün uygulanmasına karar verilmiştir.
10. Kişisel verilerin kaydı için rıza gerekli midir?
Kişisel verilerin hukuka uygun şekilde işlenebilmesi için açık rıza çoğu zaman zorunludur. Ancak rızanın geçerli olabilmesi için bilgilendirmeye dayalı, belirli, açık ve özgür iradeye dayanması gerekir. Uygulamada “rıza vardı” iddiasıyla savunma yapan faillerin, bu rızanın koşullarını ispat edememesi durumunda mahkûmiyetle karşılaştığı sıklıkla görülmektedir. Rızanın varlığı, yalnızca sözlü beyanla değil; yazılı belge, dijital kayıt ya da delille desteklenmelidir. Özellikle işyerlerinde alınan imzalı formlar, KVKK uyum belgeleri gibi evraklar delil niteliği taşır. Buna karşılık, zımni rıza iddiaları veya genel onay kutuları çoğu durumda ceza yargılamasında geçerli kabul edilmez.
11. Hukuka aykırılığın kapsamı nasıl belirlenir?
Veri kaydı fiilinin suç teşkil etmesi için yalnızca kaydın gerçekleşmesi yetmez; bu kaydın aynı zamanda hukuka aykırı olması gerekir. Hukuka aykırılık, hem ceza hukuku hem de özel hukuk açısından değerlendirildiğinde, kişisel verinin kanuni bir zorunluluk olmaksızın ve ilgili kişinin açık rızası bulunmaksızın kaydedilmesi anlamına gelir. Ancak burada önemli olan husus, fiilin görünürde meşru bir amaçla yapılmış olsa dahi, verinin işlenme biçiminin kanunla uyumlu olup olmadığının değerlendirilmesidir. Örneğin işverenin, işçinin kan grubu bilgilerini acil durum amacıyla kayıt altına alması, açık rıza olmaksızın yapılmışsa suç oluşturabilir. Zira bu tür veriler “özel nitelikli kişisel veri” kategorisindedir ve işlenmeleri ayrıca hassas kurallara tabidir.
12. Suçun manevi unsuru nasıl değerlendirilmelidir?
TCK m. 135 kapsamında suçun oluşması için kast yeterlidir. Failin, kişisel veriyi bilerek ve isteyerek kaydetmesi yeterli olup özel saikin varlığı aranmaz. Ancak uygulamada, faillerin çoğu zaman “suç kastıyla hareket etmediği” yönündeki savunmalarıyla karşılaşılmaktadır. Bu noktada ceza yargılamasında kastın, olayın somut koşulları çerçevesinde değerlendirilmesi gerekir. Failin mesleği, veriye erişim şekli, veri kaydının kapsamı ve amacına göre kast unsuru takdir edilir. Özellikle kamu görevlileri açısından bu değerlendirme daha sıkı yapılmaktadır. Çünkü görevle bağlantılı olarak elde edilen bilgilerin kayıt altına alınması, ağır sorumluluk doğurur. Ayrıca, bilinçli taksir bu suçta uygulanmaz; yani fail veriyi dikkatsizlikle kaydetmişse, suç oluşmaz. Kast şarttır.
13. Kişisel Verilerin İzinsiz Kaydedilmesi Suçu zamanaşımı ve şikayet koşulu
Kişisel verilerin kaydedilmesi suçu şikayete tabi değildir, savcılık tarafından resen soruşturulur. Bu durum, kamu düzenine ilişkin nitelikte görüldüğü için benimsenmiştir. Suçun basit şekli için zamanaşımı süresi 8 yıldır. Nitelikli hallerde verilecek ceza arttığından, zamanaşımı süresi de buna göre uzayabilir. Zamanaşımı süresi, suçun işlendiği tarihten itibaren başlar. Ancak uygulamada bu tür suçlar çoğu zaman mağdurun sonradan öğrenmesiyle gündeme geldiğinden, TCK m. 66 kapsamında zamanaşımı başlangıcının tespiti önem arz eder.
Kişisel verilerin izinsiz kaydedilmesi suçu, özel hayatın gizliliği ilkesiyle doğrudan ilişkilidir ve hukuka aykırı şekilde yapılan veri işlemleri, kişilik haklarını derinden zedeleyebilir. TCK m. 135, bireylerin mahremiyetini ceza normlarıyla koruma altına alarak, teknoloji karşısında bireyi güçlendiren bir normatif kalkan işlevi görmektedir. Uygulamada her olay kendi şartlarıyla değerlendirilmelidir. Ancak genel eğilim, kişisel verinin rıza dışında kayıt altına alınması halinde cezanın kaçınılmaz olduğudur.
Bu makale yalnızca bilgilendirme amacı taşımakta olup, somut davalar için bir ceza avukatından profesyonel destek alınmalıdır.
