2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) veri sorumlularına, veri koruma politikalarını kanun hükümlerine uygun hale getirmeleri için kanunun yayımı tarihinden itibaren iki yılık bir süre tanımış idi. Bu geçiş sürecinin 7 Nisan 2018 tarihinde sona ermesi ile, Avrupa’da GDPR’ın yürürlüğe girmesini takiben görülen etkiye benzer olarak Türkiye’de de kişisel verilerin korunması alanında bir hareketlilik yaşanmaya başlanmıştı.
Her ne kadar söz konusu hareketliliğin hâlihazırda daha çok uyumluluk süreçlerine odaklı olarak gerçekleştiği görülmekteyse de, konunun ceza hukuku boyutu da görmezlikten gelinemeyecek derecede önem arz etmektedir. Esasen, kişisel veri ihlallerine ilişkin cezai müeyyideler KVKK’dan önceye dayanmaktadır; nitekim kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, ele geçirilmesi, yayılması ve yok edilmemesi, Türk Ceza Kanunu kapsamında bu kanunun yürürlüğe girmesinden önce de suç olarak düzenlenmekte idi. Şimdi ise, KVKK ile uygulama 4 alanı bulan ve kişisel verilerin işlenmesine ilişkin kuralları ve ilkeleri belirlerken aynı zamanda kanunun ihlali halinde gündeme gelecek cezai sorumluluğa da atıfta bulunan yeni hükümlerin yürürlüğe girmesi ile, bu iki kanunun bir arada nasıl uygulanacağı da kaygı doğuran bir mesele haline gelmiştir.
TÜRK CEZA KANUNU’NUN YAKLAŞIMI
Türk Ceza Kanunu’nun doğrudan kişisel verilerin korunmasını ilgilendiren düzenlemeleri, madde 135 ila 140 hükümleri arasında yer almaktadır. Madde 135 hükmü, kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde kişiye, bir yıldan üç yıla kadar hapis cezası verileceğini düzenlemektedir. Söz konusu hükmün ikinci fıkrası ise, hukuka aykırı olarak kaydedilen kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunu, suçun nitelikli hali olarak kabul etmekte ve bu durumda verilecek hapis cezasının yarı oranında artırılacağını öngörmektedir. Takibinde madde 136 hükmü, kişisel verilerin hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesinin iki yıldan dört yıla kadar hapis cezası ile cezalandırmakta ve son olarak madde 138 hükmü, kişisel verilerin kanunların belirlediği sürelerin geçmiş olmasına karşın yok edilmemesini suç olarak düzenleyerek, bu suçun işlenmesi halinde bir yıldan iki yıla kadar hapis cezası öngörmektedir.
Kısaca özetlemek gerekirse, Türk Ceza Kanunu genel olarak kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi eylemlerini suç olarak sıralamakta ve söz konusu verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda koruma kapsamını genişletmektedir.
KVKK’NIN YAKLAŞIMI
KVKK’nın 17. maddesi, oldukça geniş bir ifade kullanarak kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. maddelerine atıfta bulunmaktadır. Bununla birlikte, ilgili hükmün ikinci fıkrası daha spesifik bir düzenleme ile, kişisel verilerin KVKK hükümlerine aykırı olarak silinmemesi veya anonim hale getirilmemesi halinde Türk Ceza Kanunu’nun 138. Maddesinin uygulama bulacağını ifade etmektedir.
KVKK’nın 18. Madde hükmü ise aydınlatma yükümlülüğünün, veri güvenliğine ilişkin yükümlülüklerin ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesini ve Kişisel Verileri Koruma Kurulu tarafından verilen kararlara uyulmamasını açıkça kabahat niteliği taşıyan eylemler olarak tanımlamış ve böylece söz konusu ihlalleri Türk Ceza Kanunu’nun kapsamı dışında tutmuştur.
KVKK, özel nitelikli kişisel verilere ilişkin olarak ise Türk Ceza Kanunu’nda belirtilen kişisel verilere, kişilerin ırkı ve etnik kökeni, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri eklemiştir. Bunun yanında, Türk Ceza Kanunu’nun aksine, kişilerin ahlaki eğilimleri KVKK’da özel nitelikli veri olarak düzenlenmemiştir.
İKI YAKLAŞIMIN DEĞERLENDIRILMESI
Tahmin edilebileceği üzere, KVKK yalnızca kişisel verilerin kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi durumlarını değil, kişisel veriler üzerinde yapılan her türlü işlemi kapsamı içerisine almakta; daha teknik bir ifade ile veri işlemenin söz konusu olduğu her halde uygulama bulmaktadır. Bu durumun doğal bir sonucu olarak KVKK, cezai sorumluluğa ilişkin olarak Türk Ceza Kanunu’na atıfta bulunduğu hallerde, Türk Ceza Kanunu’nun ilgili hükümlerinin kişisel verilerin herhangi bir şekilde işlenmesi durumunda uygulanmasını amaçladığı söylenebilecektir.
Bununla birlikte, Türk Ceza Kanunu’nun ilgili hükümleri kişisel verilerin yukarıda belirtilmiş olan durumlar dışında işlenmesi hallerini kapsamamaktadır. Bu durumda ise, suçların ve cezaların kanuniliği ilkesi uyarınca, kişisel verilerin hukuka aykırı olarak ve fakat Türk Ceza Kanunu’nun ilgili düzenlemelerinin kapsamına girmeyen fillerle işlenmesi ve bu fiillerin Türk Ceza Kanunu’nda sıralanan suç tipleri ile ilişkilendirilememesi durumunda Türk Ceza Kanunu uygulama alanı bulmayacaktır. Dolayısıyla, kişisel verilerin hukuka aykırı olarak işlendiği birtakım haller, herhangi bir cezai sorumluluk doğurmayacaktır.
Aslında arzu edilen düzeyde bir koruma sağlayabilmek adına her türlü veri güvenliği ihlali için cezai yaptırım öngörülmesinin gerekip gerekmediği ya da ceza sorumluluğunun bu anlamda efektif bir araç olup olmadığı ayrı bir tartışma konusudur. Ancak bu iki kanunda yer alan mevcut hükümlerin, halihazırda sağladıkları farklı kapsam ve seviyedeki korumalarla çelişkili uygulamalara yol açabilecek bir belirsizlik yarattığını ve sırf bu durumun dahi bir değişiklik ihtiyacı doğurduğunu söylemek yanlış olmayacaktır.
Burada şunu da eklemek de fayda olacaktır ki, Kabahatler Kanunu’nun 15/3. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlendiği ve Türk Ceza Kanunu’nun uygulamadığı bir halde, söz konusu fiil kabahat olarak değerlendirilerek bir yaptırıma tabi tutulabilecektir. Aynı hükmün, bir fiilin hem kabahat hem suç olarak tanımlanmış olması halinde, sadece suçtan dolayı yaptırım uygulanabileceği yönündeki düzenleme de dikkate alındığında, 4 hemen yukarıda izah edilen ceza sorumluluğu ile arzu edilen korumanın sağlanıp sağlanamayacağı yönündeki değerlendirmenin tekrarlanması gerektiği açıktır. Bu değerlendirme başlı başına ayrı bir makalenin konusu olacak olmakla birlikte, yapılması arzu edilen değişiklikler gündeme geldiğinde kanun koyucunun bir fiilin suç mu yoksa kabahat mi teşkil ettiği yönündeki iradesi bakımından oldukça önem arz etmektedir.
Yukarıdaki açıklamalarımız, yürürlükteki düzenlemelerin, kanunilik ilkesinin katı doğası ile şekillenen hukuki yorumlarını yansıtmaktadır. Bununla birlikte, Türk Ceza Kanunu’nun 135 ve 136. madde hükümlerinin, Yargıtay tarafından KVKK’nın ruhuna ve sağlamayı amaçladığı koruma kapsamına uygun şekilde ve daha geniş bir biçimde yorumlanması durumunda, daha farklı bir uygulamanın gelişmesi de mümkün olabilecektir. Ancak unutmamak gerekir ki, ceza hukukunun bakış açısı ve temel prensipleri esasen bu şekilde geniş yorumlamalara izin vermemektedir. Dolayısıyla kanunun amacına uygun bir yorumda bulunmak, ceza hâkimleri için zor bir görev teşkil etmektedir. Bu sebeple ideal olan, kanun koyucunun farklılıkları ve yanlış yorumlamaları bertaraf edecek bir aksiyon alması olacaktır.
Bu noktada bir parantez açılması gerekmektedir. Kanunilik ilkesine gerektiği gibi katı uygulandığı ilk senaryo ile karşılaşılması durumunda, Türk Ceza Kanunu’nun ilgili hükümlerinde yer almayan fiillerin işlenmesiyle ortaya çıkan kişisel veri ihlallerine ilişkin cezai soruşturmaların sonuçsuz kalacağı şüphesizdir. Bununla birlikte, Türk Ceza Kanunu’nda suç olarak sayılmayan bu fiiller KVKK uyarınca hukuka aykırı niteliğini kaybetmeyeceğinden, KVKK yine de ihlal edilmiş olacaktır. Bu durumda, KVKK’nın 12. maddesinin atfıyla, kabahatleri ve uygulanacak idari para cezalarını düzenleyen 18. madde hükmü devreye girecektir. KVKK 12. maddesi genel itibariyle veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenlemekte ve söz konusu yükümlülüklerin yerine getirilmemesini, kabahat olarak kabul edilmektedir. Bu durumda cezai sorumluluk kapsamında tutulmamanın etkisiyle rehavete kapılabilecek veri sorumluları için problem yaratabilecek olan husus ise, Kişisel Verileri Koruma Kurulu’nun madde 12 hükmünün uygulama alanını aşırı bir biçimde genişleterek, madde 12 kapsamına girmese dahi, neredeyse tüm veri ihlallerini veri güvenliğine ilişkin yükümlülüklerin ihlali olarak değerlendiriyor olmasıdır. Kurul’un eleştiri konusu olan bu yaklaşımının bir sonucu olarak, cezai sorumluluk yerini 1 milyon Türk Lirasını bulabilecek ciddi para cezalarına bırakmıştır.
Türk Ceza Kanunu ile KVKK arasındaki bir diğer farklılık ise, özel nitelikli veri kapsamlarının birbiri ile uyuşmamasından kaynaklanmaktadır. Yukarıda da açıklanmış olduğu gibi, KVKK’da özel nitelikli veri olarak düzenlenen birtakım kişisel veriler, daha eski tarihli Türk Ceza Kanunu tarafından aynı şekilde tanımlanmamıştır. Bunun sonucunda ise bu veriler (kişilerin ırkı ve etnik kökeni, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) KVKK uyarınca özel nitelikli kişisel veri olarak değerlendirilmiş olmalarına rağmen, Türk Ceza Kanunu tarafından tanınan nitelikli korumadan yararlanamayacaklar ve yalnızca madde 135/1 hükmü ile düzenlenen suçun yalın halinin konusunu oluşturacaklardır. Buna karşın, yalnızca Türk Ceza Kanunu tarafından özel nitelikli veri olarak kabul edilen kişilerin ahlaki eğilimlerine ilişkin kişisel veriler ise, KVKK’da özel nitelikli veri olarak kabul edilmemelerine rağmen suçun nitelikli halinin konusunu oluşturacak ve ilave bir korumadan yararlanacaktır. Kişilerin ahlaki eğilimlerine ilişkin kişisel verilerine tanınan bu geniş kapsamlı koruma, anlamı ve içeriği tam olarak belirli olmayan olan “ahlaki eğilim” kavramının yanlış yorumlamalara oldukça açık olması nedeniyle de eleştiri konusu olmuştur. Arzu edilen korumanın tam olarak sağlanabilmesi için, bu tür belirsizliklerin açıklığa kavuşturulması ve özellikle yasal tanımlar söz konusu olduğunda KVKK’nın bu amaca tek rehber olarak kabul edilmesi gerekmektedir.
Bu bölümü sona erdirmeden önce üzerinde durulması gereken son nokta olarak belirtilmelidir ki, Türk Ceza Kanunu’nda suç olarak sayılmayan fiiller ve bunların kanunilik ilkesi kapsamındaki yorumundan kaynaklanan karışıklık, kişisel verilerin silinmesi ve anonim hale getirilmesi üzerinde aynı etkiyi doğurmamaktadır. Açıklamak gerekirse, Türk Ceza Kanunu’nun138. maddesi kişisel verilerin yok edilmemesi halini düzenlemekteyken, KVKK’nın 17/2. maddesi kişisel verilerin silinmemesi veya anonim hale getirilmemesi halini kapsamına almaktadır. Dolayısıyla, ilk bakışta Türk Ceza Kanunu kapsamında olmayan “anonim hale getirmeme” fiilinin suç olarak kabul edilmesinin de kanunilik ilkesine aykırı olduğu düşünülebilecek ise de, 17/2. madde hükmünün söz konusu ihlallerin Türk Ceza Kanunu’nun 138. Maddesine göre cezalandırılacağı şeklindeki açık lafzı ve atfı, bu şekilde bir yorumun önüne geçmektedir.
SONUÇ
Şüphesiz ki, bu iki kanunun kapsamları ve yaklaşımları arasındaki farklılıklar sebebiyle uygulamada karşılaşılması muhtemel karışıklık ve çelişkilere karşı izlenebilecek en uygun çözüm yolu, öncelikle Türk Ceza Kanunu’nda ve gerekirse KVKK’da gerekli değişikliklere giderek farklılıkları tamamen ortadan kaldırmak olacaktır. Ancak, en azından odak noktasının KVKK’nın idari yükümlülükleri ile uyumluluk noktasında toplandığı şu dönemde bu husus ikincil planda kalmakta ve bu sebeple halihazırda böyle bir değişiklik gündemi bulunmamaktadır.
Bu sebepledir ki bugün için merak uyandıran husus, iki kanun arasındaki söz konusu farklılıkların uygulamayı nasıl etkileyeceği ve Yargıtay içtihatlarına nasıl yansıyacağıdır. KVKK’nın nispeten yeni bir kanun olduğu da düşünüldüğünde, uygulamaya yön verecek çok yönlü tartışmaların mahkemeler nezdinde henüz sağlanmadığını söylemek de yanlış olmayacaktır. Bunun bir diğer sonucu da, bugüne kadar konuya ilişkin olarak oluşturulmuş olan Yargıtay içtihatlarının yeterli bir rehber niteliği arz edememesidir. Nitekim söz konusu içtihatlar, genellikle KVKK öncesi döneme dayanmakta olup kapsam itibariyle oldukça sınırlıdır.
Bu durum karşısında ve arzu edilen değişikliklerin en azından kısa vadede yapılmayacağı öngörüsüyle, Yargıtay KVKK ve Türk Ceza Kanunu’nun ilgili hükümlerinin yorumlanması ve uygulanmasına yönelik birtakım standartlar belirleyene kadar, özellikle ilk derece mahkemelerince yürütülen yargılamalar sonucunda birbiriyle çelişen kararlar ile karşılaşmanın şaşırtıcı olmayacağını söylemek mümkündür.
Yazı: Gün+Partners Avukatlık Bürosu, Yönetici Avukat Av.Fliz Toprak Esin ve Kıdemli Avukat Asena Aytuğ Keser
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
Etik ve Uyum Programı Nasıl Hazırlanır?
Kurumsal Etik ve Uyum Programı Geliştirme Gereğinin Ardındaki İtici Güçler
Sorumlu İş Modelinin Şirkete Yararları
Sorumlu İş Modeli
Abdi İpekçi ve Etik
Şeffaf Bir Dünya İçin: 9 Aralık Dünya Yolsuzlukla Mücadele Günü
Yolsuzlukla Mücadelede İletişim Stratejileri: Etkiyi Arttırmanın Yolları
G20 Zirvesi Sona Erdi, Etkileri Devam Ediyor: B20 Brasil Responsiveness Report