Türk Hukukunda Kişisel Verilerin Korunması

Türkiye, Avrupa Konseyi’nin 28 Ocak 1981 tarihli 108 Numaralı Sözleşmesini aynı tarihte imzalamış ve Sözleşme’nin 4. maddesinde yer alan “Her akit Taraf, kendi iç hukukunda bu bölümde yer alan verilerin korunmasına ilişkin ilkelere işlerlik kazandırıcı önlemleri alır. Bu önlemlerin taraflarca en geç, Sözleşmenin kendileri bakımından yürürlüğe girdiği tarihte alınması zorunludur.” hükmü gereğince Kişisel Verilerin Korunması Kanunu oluşturmak için 1995 yılında çalışmalara başlamıştır. Bu çalışmaların sonucu olarak, 108 sayılı Direktif, 30.1.2016 tarihli 6669 sayılı kanunla onaylanmış ve 24.3.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiştir. Kanunun 4. Maddesinde kişisel verilerin işlenmesinde uyulacak ilkeler belirlenmiştir. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek şeklinde belirlenmiştir.

5.11.2008 tarihli 5809 sayılı Elektronik Haberleşme Kanununun 4. maddesinde, elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi gerektiği belirtilmiştir. 51. maddede ise “Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur.” Hükmüne yer verilmiştir. Bu kanuna bağlı olarak “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” 24.07.2012 tarihli ve 28363 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Kişisel verilerin korunmasına yönelik hükümler başta Anayasa olmak üzere birçok kanun ve Yönetmelik’te yer almaktadır. Elektronik ortamda işlenen suçlar ve hak ihlallerine karşı bireylerin ve toplumun korunmasına yönelik tedbirleri içeren hükümler Anayasa (m.20-25), 5237 sayılı Türk Ceza Kanunu (m.132-140), 4721 sayılı Türk Medeni Kanunu (m. 23-25), 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanununda yer almaktadır. Bunların haricinde, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanunu, 5809 Sayılı Elektronik Haberleşme Kanunu, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 5070 Sayılı Elektronik İmza Kanunu, 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu (m.23) kişisel verilern korunmasına yönelik hükümler ihtiva etmektedir.[1]

Bu kapsamdaki mevzuat çalışmalarında biri olarak “Kişisel Sağlık Verilerinin İşlenmesi e Mahremiyetinin Sağlanması Hakkında Yönetmelik” 20.10.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Diğer yandan, suçların önlenmesi, soruşturulması veya kovuşturulmasında kanuna uygun olarak kişisel verilerin tespit edilebileceği, dinlenebileceği, işlenebileceği veya kayıt altına alınabileceği Ceza Muhakemesi Kanununda (m.134-140) düzenlenmiştir.[2]

A. Anayasa

Anayasanın 20. maddesinde, “Herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” hükmü ile kişilerin mahrem hayatları güvence altına alınmıştır.

B. 5237 sayılı Türk Ceza Kanunu

Türk Ceza Kanunu’nda “Bilişim Alanında Suçlar” başlığı altında ele alınmıştır. Madde 243’de “Bilişim sistemine girme (yetkisiz erişim, sisteme müdahale), madde 244’de “Sistemi engelleme, bozma, verileri yok etme veya değiştirme (veriye müdahale); bilişim sistemleri aracılığıyla yarar sağlama”, madde 245’de “Banka ve kredi kartlarının kötüye kullanılması” olarak düzenlenmiş olup söz konusu suçlar: Bilgisayar korsanlığı, hizmeti engelleme (denial of service), zararlı yazılımlar gibi yöntemlerle işlenmektedir.[3]

Kişisel verilerin korunmasına ilişkin düzenlemeler ise çeşitli maddelerde ele alınmıştır. Türk Ceza Kanununda haberleşmenin ihlallerinde (m.132), kişiler arasında geçen konuşmaların dinlenmesi ve kayda alınmasındaki suçlarda (m.133), kişisel verilerin kanuna aykırı olarak kaydedilmesinde (m.135) kişilerin cezalandırılacağı belirtilmiştir. Ayrıca bu suçların nitelikli halleri (kamu görevlisi tarafından işlenmesi (m.137) ve tüzel kişiler hakkında yaptırım uygulanması esasları (m.140) Türk Ceza Kanununda düzenlenmiştir.[4]

Kişiler arasındaki konuşmaların taraflardan herhangi birinin rızası dışında dinlenerek kayda alınması sonrasında bu verilerin hukuka aykırı olarak YouTube gibi sosyal medya platformlarında ifşa edilmesi, kişiler arası konuşmaların dinlenmesi ve kayda alınması suçunun nitelikli hali olarak TCK. 133/3. maddesinde düzenlenmiştir.[5]

TCK’ m.135 hükmüne göre; “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.”

Sosyal medya platformlarındaki kişisel verilerin başkasına verilmesi, sosyal medya platformlarında yayılması, casus yazılımlarla ele geçirilmesi ise TCK. 136. maddesindeki kişisel verileri verme ve ele geçirme suçunu oluşturmaktadır.[6]

Verileri hukuka aykırı olarak verme veya ele geçirme başlıklı TCK m. 136 hükmüne göre; Kişisel verilerin hukuka aykırı olarak başkasına verilmesi, verinin yayılması anlamına da gelmektedir. Verinin yayılması birçok yöntem ile gerçekleşebilir. Bu yöntemlerden biri de hiç kuşkusuz Facebook ya da Twitter gibi sosyal medya araçlarında veriyi paylaşmaktır. Suçun oluşumunda verinin yayıldığı kişi sayısının önemi olmamakla birlikte verinin, tek bir kişiye iletilmesi yeterlidir.[7]

C. 4721 sayılı Türk Medeni Kanunu

Kişisel verilerin korunmasında korunan hukuki değer, verinin ait olduğu kişinin kişilik haklarıdır. Gerek kişisel verilerin ve özel hayatın gizliliğini ihlal yoluyla gerekse diğer kişilik hakkı kategorilerine saldırı yoluyla meydana gelebilecek ihlaller hakkında Türk Medeni Kanunu m.24 hükmüne başvurulması mümkündür. Buna göre, “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” Bu maddede belirtilen hukuka uygunluk sebeplerinin bulunmaması halinde açılacak davada, davacının TMK m.25 kapsamında saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. [8]

D. 6698 sayılı Kişisel Verilerin Korunması Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruyan ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. Kanunun 3. maddesinde, “kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” ise kişisel verilerin işlenmesi olarak tanımlanmıştır.

Kanunun 5. Maddesinde sayılan durumlar haricinde, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiş olup, verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde ilgilinin rızasının aranmayacağı istisnai bir durum olarak kabul edilmiştir.

Kanunun 6. maddesinde, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak belirlenerek özel nitelikli kişisel verilerin, kanunlarda belirtilen istisnai haller dışında ilgilinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmıştır.[9]

Kişisel Verilerin Korunması Kanunu kişisel verilerin korunmasına yönelik idareye de bazı sorumluluklar yüklemiştir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler bu Kanun kapsamında “veri sorumlusu” olarak tanımlanmaktadır. Bireyler, veri sorumlusuna başvuru yaparak kendisi ile ilgili veri kaydı olup olmadığını var ise neler olduğunu ve ne amaçla kullanıldıklarını öğrenme hakkına sahiptir. Bir başka ifade ile idarenin veri sorumlusu, ilgili kişileri aydınlatma yükümlülüğü altındadır. Veri sorumlusu ayrıca kendi sorumluluğu altındaki verilere hukuka aykırı olarak erişimi ve bu verilerin hukuka aykırı olarak işlenmesini önlemek zorundadır. Veri sorumlusu, kendi kurum ve kuruluşunda, kanun hükümlerini sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları, kişisel verilere yönelik gelen talepleri en geç otuz gün içerisinde yazılı ya da elektronik ortamda ilgili kişiye bildirmek zorundadır.[10]

E. Bankacılık Faaliyetlerinde Kişisel Verilerin Korunması

Kişilerin nüfus bilgilerinin yanı sıra, adresleri, meslekleri, ekonomik durumları, birikimleri hatta alışveriş alışkanlıkları hakkında en detaylı bilgileri depolayıp, işleyen ve güncelliği konusunda geniş olanaklara sahip olan bankalar tarafından tutulan kayıtlar hiç şüphesiz koruma altına alınması gereken kişisel verilerin en başında yer almaktadır. Bu bilgilere yetkisiz kişilerin erişim sağlaması halinde telafisi çok zor maddi ve manevi kayıplar söz konusu olabilecektir. Bu nedenlerle bankaların kişisel verileri koruma yükümlülüğü çeşitli kanun, yönetmelik ve tebliğlerle düzenlenmiştir.

5411 Sayılı Bankacılık Kanunu’nun 73. maddesinde banka ve fonların başkanları ve kurum personelinin sır saklama yükümlülüğü düzenlenmiştir. Banka ve fon personelinin sır saklama yükümlülükleri görevden ayrılmalarından sonra da devam edecek olup, müşterilerine ait sırların yetkili olmayan kişilerle paylaşılması suç olarak tanımlanmıştır. Kanunun 159. maddesi gereğince sır saklama yükümlülüğünü yerine getirmeyenler hakkında bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunacaktır.

Banka ve fon personelinin sır saklama sorumluluğu, Kanunun Ek 1. Maddesi kapsamında kurulan Risk Merkezi açısından da geçerli olup, benzer şekilde cezai yaptırım öngörülmüştür.

5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 8. ve 23. maddelerinde ise banka kartı ve kredi kartı çıkaran kuruluşların müşterilerin kişisel verilerini korumak için gerekli tedbirleri alması gerektiği belirtilerek, söz konusu kurumların yükümlülüğü düzenlenmiştir. Kart çıkaran kuruluşlar, edindikleri kişisel bilgileri gizli tutmak, kendi hizmetlerinin pazarlanması dışında başka amaçlarla kullanmamak ve kanunla yetkili kılınan kişi, kurum ve kuruluşlar dışında kalanların bu bilgilere ulaşmasını engellemek amacıyla gereken önlemleri almakla yükümlüdür. Kanunun 31. maddesinde ise kurum çalışanlarının sır saklama yükümlülüğü düzenlenmiştir. Buna göre; kurum personeli, görevleri sırasında öğrendikleri bu Kanun kapsamındaki kuruluşlara, kart hamillerine ve kefillere ait sırları kanunen açıkça yetkili olanlardan başkasına açıklayamaz ve kendi yararlarına kullanamazlar. Kanunun 39. maddesinde ise bilgi güvenliği yükümlülüğüne aykırı davranılması halinde uygulanacak cezai yaptırım düzenlenmiştir. Buna göre sır saklama yükümlülüğüne kasten ihlal eden kuruluşlar, görevliler ve işlemi yapan kişiler hakkında bir yıldan üç yıla kadar hapis ve bin güne kadar adlî para cezası uygulanacaktır.

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından çıkarılan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” de bankaların kişisel verileri koruma yükümlülüğüne ilişkin hususları içermektedir. Tebliğin “müşteri bilgilerinin mahremiyeti” başlığını taşıyan 17. maddesi gereği, bankalar, faaliyetlerinin ifası sırasında bilgi sistemleri aracılığıyla edindiği veya sakladığı müşteri bilgilerinin mahremiyetini sağlamaya yönelik politika ve prosedürleri oluşturmakla yükümlüdür.


[1] GÖNEN, ULUS, YILMAZ, 2016, s.232.

[2] GÖNEN, ULUS, YILMAZ, 2016, s.233.

[3] ULUÇ, SÜSLÜ, 2016, s.342.

[4] GÖNEN, ULUS, YILMAZ, 2016, s.233.

[5] KAYA, 2015, s.301.

[6] KAYA, 2015, s.302.

[7] DOĞU, Ali Haydar, “İnternet Ortamında Kişisel Verilerin Hukuka Aykırı Olarak İfşası,” 21.Türkiye’de İnternet Konferansı, TED Üniversitesi, Ankara, 3-5 Kasım 2016, s.3.

[8] ULUÇ, SÜSLÜ, 2016, s.350.

[9] ULUÇ, SÜSLÜ, 2016, s.349.

[10] DOĞU, 2016, s.5.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir