Kişisel Verilerin Korunmasına Genel Bir Bakış Ali Haydar Doğu Karadeniz Teknik Üniversitesi ahdogu@ktu.edu.tr ÖZET Kanunu (m.6, m.10) gibi örnek kanunlarımız ile Bilgi ve iletişim teknolojilerindeki hızlı gelişim, veri kişisel verilerin korunmaya çalışıldığı görülse de toplama ve bunları otomatik işleme tabi tutma kişisel verinin ne olduğunun tanımlanmamış olması kapasitesini artırmıştır. Öte yandan ticari hayatta da uygulamada bazı sorunlara yol açmakta idi. 6698 kişisel veriler önemli bir konuma gelmiştir. Bu sayılı KVKK’nın yürürlüğe girmesi ile bu belirsizlik değişimler bireyin özel hayat mahremiyetini ortadan kaldırılmıştır [1:141]. savunmasız hale getirmiş ve beraberinde kişisel verilerin korunmasını zorunlu kılmıştır. Kişisel 1. KİŞİSEL VERİ KAVRAMI verilere koruma sağlayan 5237 sayılı Türk Ceza Kanunu, 5651 sayılı İnternet Kanunu ve diğer Gerek ulusal gerekse uluslararası mevzuata kanunların yanı sıra Nisan 2016 tarihinde yasalaşan baktığımızda kişisel verilerle ilgili birbirlerine 6698 sayılı Kişisel Verilerin Korunması Kanunu da bu benzeyen tanımlar ile karşılaşmaktayız. 6698 sayılı konudaki özel bir kanun olarak hukuk sistemimiz Kişisel Verileri Koruma Kanunu kişisel veriyi; “kimliği içerisinde yerini almıştır. Kanun uygulayıcılarının belirli veya belirlenebilir gerçek kişiye ilişkin her türlü kişisel verilerin işlenmesi ile oluşan ve karar bilgi” olarak tanımlamıştır. KVKK, özel nitelikli kişisel vericilerin karar verme anlarını olumlu yönde veri ayrımı da yaparak “kişilerin ırkı, etnik kökeni, etkileyen bilginin değeri ile kişisel mahremiyet siyasi düşüncesi, felsefi inancı, dini, mezhebi veya arasında bir denge kurmaları büyük önem arz diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da edecektir. Bu çalışmada, kişisel verilerin korunması sendika üyeliği, sağlığı, cinsel hayatı, ceza hem kendi Kanunu hem de Türk Ceza Kanunu mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile açısından incelenmiş, bireysel ve kurumsal biyometrik ve genetik verileri” özel nitelikli kişisel sorumluluklar ortaya konmuştur. Konu, özellikle veri olarak saymıştır. Özel nitelikli kişisel verilerin, internet ortamındaki uyuşmazlıklara emsal teşkil ilgilinin açık rızası olmaksızın işlenmesi yasaktır eden yargı kararları ile de desteklenmiştir. (KVKK m. 6). Anahtar Kelimeler Kişisel Veri; Kişisel Verilerin Korunması Kanunu; TC numarası, en sevdiği yemeğin adı, kredi kartının Sosyal Medya; İnternet Ortamı. asgari ödeme tutarı, transkript not ortalaması, ırkı, kullandığı ilacın adı, babasının geçirdiği ameliyat, GİRİŞ elektrik faturasının miktarı, IP numarası, biyometrik Kişisel verilerin korunmasına yönelik 1981 yılında özellikleri, kanındaki şeker miktarı, aldığı disiplin Avrupa Konseyi’nin çıkardığı 108 sayılı Sözleşme ve cezası, saçının rengi gibi kişiye ait her tür bilgi o ardından Avrupa Birliği’nin 1995 yılındaki 95/46 EC kişinin kişisel verisidir. Kişi; adı ya da TC numarası ile sayılı Direktifi’nin ardından konunun Türkiye’nin iç doğrudan belirli olsa da bu bilgileri olmadan da diğer hukukunda aktif edilmesi gerektiğinden 6698 sayılı yardımcı araçlarla belirlenebiliyor ise o kişiye ait her Kişisel Verileri Koruma Kanunu (KVKK) 7 Nisan 2016 tür bilgi kişisel verisidir. Örneğin bir işyerinde tarihinde yayımlanarak yasalaşmıştır. “sarışın ve Trabzonsporlu” ifadesi kullanıldığında kişinin kim olduğu belirlenebiliyor ise doğrudan isim Avrupa Birliği her ne kadar Direktifin ardından 2017 belirtilmesine gerek yoktur. yılında Avrupa Birliği Veri Koruma Yönergesi’ne (EU General Data Protection Regulation – KVKK’nın kişisel veri tanımını üç unsur GDPR) geçmişse de geride bıraktığı tecrübe, KVKK’yı oluşturmaktadır. Bunlar; belli ya da birkaç yardımcı yeni çıkaran ülke olarak tarafımızdan bir avantaj araç yardımcıyla kolayca belirlenebilen bir kişinin olarak kullanılacaktır. varlığı, bu kişiye ait bilginin belirtilmiş olması ve bu bilgilerin o kişiyle irtibatlı olmasıdır [2:28]. Örneğin Hukuk sistemimiz içerisinde her ne kadar Türk Ceza kişiye ait e-posta adresi, onun kişisel verilerinden Kanunu, Türk Medeni Kanunu (m.24-25), Türk biridir ve haberleşme özgürlüğü kapsamında özel Borçlar Kanunu (m.419), Elektronik Haberleşme hayatının bir parçasıdır [3:24]. Kanunu (m.51), Elektronik Ticaretin Düzenlenmesi Verilerin, kişinin ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik Kanun ile sadece gerçek kişilerin verileri taşıması veya kimlik, vergi, sigorta numarası gibi korunmaktadır. Kanun, kişisel veriye temas eden, herhangi bir kayıtla ilişkilendirilmesi sonucunda işleyen, depolayan özel ve tüzel kişilerin uyması kişinin belirlenmesini sağlayan tüm halleri kapsar. gereken kuralları, veri toplama ve işleme İsim, telefon numarası, motorlu taşıt plakası, sosyal süreçlerinde yapmaları gerekenleri düzenlemektedir. güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik 6698 sayılı Kişisel Verilerin Korunması Kanunu, bilgiler, e-posta ve bilgisayarının IP adresi, facebook gerçek ve tüzel kişilere verilerin korunmasına yönelik veya twitter ortamında yazdıkları gibi veriler dolaylı bazı sorumluluklar yüklemiştir. Kişisel verilerin da olsa kişiyi belirlenebilir kılabilme özellikleri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt nedeniyle kişisel verilerdir[4:9]. sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler bu Kanun 2. KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) kapsamında “veri sorumlusu” olarak tanımlanmaktadır (KVKK m. 3). Herkes, veri İç hukukumuzda yakın tarihe kadar kişisel verilerin sorumlusuna başvuru yaparak kendisi ile ilgili veri korunması; mevcut Anayasamız, 4721 sayılı Türk kaydı olup olmadığını var ise neler olduğunu ve ne Medeni Kanunu 5237 sayılı Türk Ceza Kanunu amaçla kullanıldıklarını öğrenme hakkına sahiptir. Bir çerçevesinde yürütülmekte idi [8:277]. 6698 sayılı başka ifade ile gerçek ya da tüzel kişiler, ilgili kişileri Kişisel Verilerin Korunması Kanunu’nun (KVKK) aydınlatma yükümlülüğü altındadır. Veri sorumlusu 07.04.2016 tarihinde Resmi Gazete ’de ayrıca kendi sorumluluğu altındaki verilere hukuka yayımlanması ile bu konuda artık bir özel aykırı olarak erişimi ve bu verilerin hukuka aykırı kanunumuz oldu. Kişisel verilerin korunmasına olarak işlenmesini önlemek zorundadır. Veri yönelik ayrıca, 4857 sayılı İş Kanunu, 5070 sayılı sorumlusu, kendi kurum ve kuruluşunda, KVKK Elektronik İmza Kanunu, 1512 sayılı Noterlik Kanunu hükümlerini sağlamak amacıyla gerekli denetimleri ile Elektronik Haberleşme Sektöründe Kişisel yapmak veya yaptırmak zorundadır. Veri Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında sorumluları, kişisel verilere yönelik gelen talepleri en Yönetmelik gibi özel düzenlemeler de mevzuatımız geç otuz gün içerisinde yazılı ya da elektronik içerisinde yer almaktadır. ortamda ilgili kişiye bildirir (KVKK m. 13). 2010 yılında yapılan Anayasa değişikliği referandumu KVKK’ya uyum sürecinde ister kamu kurum ve ile Anayasamızın 20. maddesinde yer alan “Özel kuruluşları olsun isterse özel sektör kuruluşları olsun Hayatın Gizliliği” başlığı altında kişisel verilerle ilgili kişisel verilerin korunması kapsamında ilk yapılması fıkra eklenmiştir. Buna göre herkes; kendisiyle ilgili gereken tutulmakta olan kişisel verilere ait bir "veri kişisel verilerin korunmasını isteme hakkına sahiptir. envanteri” hazırlamak olmalıdır. Bu envanter Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında içerisinde; bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve  Kişisel verilerin işlenme amacı, amaçları doğrultusunda kullanılıp kullanılmadığını  Verilerin kategorisi, öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda  Verilerin aktarıldığı gerçek ya da tüzel kişi öngörülen hallerde veya kişinin açık rızasıyla kategorisi, işlenebilir. Kişisel verilerin korunmasına ilişkin esas  Kişisel verinin an fazla ne kadar süre ve usuller kanunla düzenlenir” [5:86]. saklanacağı,  Hangi verilerin yurtdışına aktarıldığı, Bilgi ve iletişim teknolojilerindeki hızlı gelişim veri  Veri güvenliği için hangi yöntem ve toplama ve bunları otomatik işleme tabi tutma tedbirlerin alındığı, kapasitesini olukça artırmış ve bunun sonucunda da açıklanmalıdır[18]. bireylerin özel hayat mahremiyetleri savunmasız hale gelmiştir. Ticari hayatta da kişisel verilerin önemli bir konuma gelmesiyle kişisel verileri KVKK ile kişisel verilerin işlenmesinde başta özel koruyabilme adına 6698 sayılı Kişisel Verileri Koruma hayatın gizliliği olmak üzere kişilerin temel hak ve Kanunu Nisan 2016 tarihinde yasalaşmıştır. özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları Kişisel verilerin Korunması Kanunu’nun temel amacı usul ve esasları düzenlemektir. Kanunun kapsamının kişinin hak ve özgürlerini korumaktır. Bu koruma, anlatıldığı 2. Maddesinden sözü edilen kişisel bireyin ayrımcılık tehlikesi ile karşı karşıya kalmaması verilerin, gerçek kişilere ait olan veriler olduğu içindir. anlaşılmaktadır. Bir başka deyişle Kanun ile sadece gerçek kişilerin verilerinin koruma altına alınacağı dışında kullanılmasından veya herhangi bir şekilde görülmektedir. Ancak TMK’nın, başlı başına bir üçüncü şahısların eline geçerek hukuka aykırı olarak varlığı olmak üzere örgütlenmiş kişi topluluğu olarak yararlanılmasından dolayı hakkında bilgi toplanan tanımladığı tüzel kişilere ait verilerde bir gerçek kişiyi kişiler büyük zararlara uğrayabilmektedirler. Bu ifade edebilir ve bu durumda KVKK kapsamında bakımdan, kişilerle ilgili bilgilerin hukuka aykırı değerlendirilebilir [6:91]. olarak kayda alınması suç olarak tanımlanmıştır. Kişisel verilerin korunmasının temel amacı, kişinin Kişisel veriler sadece bireyin adı, soyadı, doğum özel hayatının gizliliğini güvence almak suretiyle tarihi ve doğum yeri gibi kişinin kesin teşhisini kişiyi korumaktır [Yargıtay HGK, 16.06.2015, 2014/4- sağlayan bilgiler değil, aynı zamanda kişinin akli, 56 E., 2015/1679 K.579.]. psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Kişinin belirli veya 6698 sayılı KVKK’nın beşinci bölümünde “Suçlar ve belirlenebilir olması, mevcut verilerin herhangi bir Kabahatler” hükme bağlanarak Türk Ceza Kanunu’na şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o gönderme yapılmıştır. Buna göre; Kişisel verilere kişinin tanımlanabilir hale getirilmesini ifade eder. ilişkin suçlar bakımından 5237 sayılı Türk Ceza Bir başka deyişle eldeki bilgi kişiyi belirlemede yeterli Kanununun 135 ila 140. madde hükümleri oluyor ise bu bilgiler kişisel veridir [7:1095]. uygulanacaktır. KVKK’nın 7. maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu getirmeyenler 5237 sayılı Kanunun 138. maddesinde korumaya yönelik kişilere bazı başvuru yollarını yer alan “Verileri Yok Etmeme” suçu ile açmıştır. Şöyle ki; herkes, veri sorumlusuna cezalandırılacaktır. başvurarak kendisiyle ilgili; KVKK’nın gönderme yaptığı TCK ‘da bu konuda yer  Kişisel veri işlenip işlenmediğini öğrenme, alan madde kapsamına (m. 135) göre;  Kişisel verileri işlenmişse buna ilişkin bilgi (1) Hukuka aykırı olarak kişisel verileri kaydeden talep etme, kimseye bir yıldan üç yıla kadar hapis cezası verilir.  Kişisel verilerin işlenme amacını ve bunların (2) Kişisel verilerin, kişilerin siyasi, felsefi veya dini amacına uygun kullanılıp kullanılmadığını görüşlerine, ırki kökenlerine; hukuka aykırı olarak öğrenme, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık  Yurt içinde veya yurt dışında kişisel verilerin durumlarına veya sendikal bağlantılarına ilişkin aktarıldığı üçüncü kişileri bilme, olması durumunda birinci fıkra uyarınca verilecek  Kişisel verilerin eksik veya yanlış işlenmiş ceza yarı oranında artırılır. olması hâlinde bunların düzeltilmesini isteme, Yukarıdaki madde kapsamından görüleceği gibi,  Kişisel verilerin silinmesini veya yok “kişilerin siyasi, felsefi veya dini görüşlerine, ırki edilmesini isteme, kökenlerine” ait bilgilerin kayıt altına alınması  Kişisel verilerin aktarıldığı üçüncü kişilere hukuka uygunluk sebeplerinden bildirilmesini isteme, faydalanamamaktadır. Yani bu tür bilgilerin kaydı  İşlenen verilerin münhasıran otomatik her durumda hukuka aykırı olacağı yorumu sistemler vasıtasıyla analiz edilmesi yapılabilir [8:288]. suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Öte yandan kişisel verilerin bilişim ortamlarına ya da  Kişisel verilerin kanuna aykırı olarak kâğıt üzerine kayıt edilmeleri arasında fark işlenmesi sebebiyle zarara uğraması hâlinde bulunmamaktadır[8:289]. zararın giderilmesini talep etme, haklarına sahiptir. Kişisel verilerin kaydedilmesi suçunun işlenebilmesi için fail tarafından yapılan bir eylemin olması ve bu eylem sonucunda da bir kişisel verinin kaydı gerekir. 3. KİŞİSEL VERİLERİN TÜRK CEZA KANUNU (TCK) KAPSAMINDA KORUNMASI Kayıt altına alınan verilerin sonradan hiç kullanılmadan yok edilmesi ya da işe yaramaz olarak Çağımızda kişilerle ilgili kayıtların bilgisayar nitelendirilmesi suçun işlenmiş olduğu gerçeğini ortamlarına geçirilip muhafaza edilmesi ortadan kaldırmaz [9:96]. uygulamasına bazı kurum ve kuruluşlar tarafından başvurulmaktadır; hastanelerde hastalara, sigorta TCK m. 135’de bahsi geçen kişisel verinin kaydı, sabit şirketlerinde sigortalılara, bankaların ve kredili alış disk, flash bellek ve benzeri donanımlar içerisine veriş yapılan mağazaların müşterilerine ilişkin yapılabileceği gibi bir kağıt deftere de yapılabilir. Öte kayıtlar, böylece tutulmaktadır. Bu bilgilerin amaçları yandan kişisel verinin öğrenilmesi ancak kaydının yapılmadan hafızada tutulması, başka bir üçüncü [14:135] yok edilir [4:228]. Kayıtların silinmemesi kişiye anlatılması bir kaydetme işlemi değildir durumunda ise “verileri yok etmeme suçu” [10:132]. Bu eylem TCK m.135 yerine özel hayatın oluşacaktır [13:182]. gizliliğini ihlal suçu kapsamında değerlendirilecektir [11:136]. Sosyal medya hesabından kişisel verilerini paylaşan kişi verisini artık aleni hale getirmiştir. Başkası Kişisel verilerin kayıt edilmesi suçunun oluşması için tarafından bu verinin kayıt edilmesine artık rıza herhangi bir süre söz konusu değildir. Verinin ne göstermiş sayılır. Böylece kişisel verilerin kadar kayıt altında tutulacağı ya da kaydın devam kaydedilmesi suçu bir hukuka uygunluk sebebinden edip etmeyeceği gibi süreler suçun oluşması için yararlanır ve suç oluşmaz [10:147]. Sosyal medya aranan bir unsur değildir. Öte yandan kayıt edilen hesabında kendi grubu içerisinde kişisel verisini veri nedeniyle mağdurun bir zarara uğrayıp paylaşan kişinin bu eylemi karşısında verinin aleniyet uğramayacağı önemli değildir [10:133]. özelliği kazanmadığı, belli bir kişi topluluğu ile paylaşıldığı düşüncesinde olan görüşlerde Kişiye ait verilerin, “ileride bir gün işimize yarar” bulunmaktadır. Ancak biz bu görüşe mantığı ile kayıt altına alınması [8:198] ve katılmamaktayız. İnternet ortamı, 5651 sayılı arşivlenmesi o kişinin hem maddi hem de manevi Kanunda belirsiz sayıda kişinin yer aldığı bir ortam bütünlüğünün ihlali anlamını taşır [4:132]. Bu ihlalin, olarak tanımlandığı gibi emsal Yargıtay kararlarında KVKK m.7’ye göre çözüme kavuşabileceğini da bu tanım desteklenmektedir. Emsal kararda düşünmekteyiz. Şöyle ki; gerek KVKK gerekse Yargıtay; “Müştekilerin sanığın takipçisi olmadıkları diğer kanun hükümlerine uygun olarak işlenmiş halde sanık tarafından yazılan yazıları öğrenip olmasına rağmen, işlenmesini gerektiren sebeplerin şikayette bulunmalarını, twitter üzerinden yapılan ortadan kalkması hâlinde kişisel veriler resen veya yayınların aleni olmasından kaynaklandığına vurgu ilgili kişinin talebi üzerine veri sorumlusu tarafından yaparak hüküm kurmuştur” [Yargıtay 8. CD, silinecek, yok edilecek veya anonim hâle 12.10.2015 tarih, 2014/35434 E., 2015/22535 K.]. O getirilecektir. halde Facebook ve Twitter gibi sosyal medya hesabından kişisel verisini paylaşan kişi bu verisini Öte yandan kişisel veri kayıtlarının bir amaç için kamuoyuna açıklamıştır. Bu verinin mülkiyet hakları yapılacağı tartışmasız olup bu amaca paralel olarak saklı kalmak kaydıyla işlenmesine rıza göstermiş kaydın sınırlarının ne olacağı, herhangi bir ihlalin sayılmalıdır. doğmaması için önemlidir. Örneğin, bir otobüs firmasına ait ofisin güvenliği için konulan güvenlik Özel hayatın gizliliği noktasında kamusal alan kameralarının ofis dışına taşarak karşı kaldırımdan kavramı önemli bir yere sahiptir. Kamusal alanda da görüntü alması başlangıçta belirlenen amacın bulunan bir kişi, bu alana gitmekle zaten dışına çıkılması yani fazla veri kaydı yapması etrafındakiler tarafından görülür olacağını önceden anlamındadır [4:133]. kabullenmiştir. Ancak bu kabullenme bir başka deyişle rıza, kendisinin bir kayıt aracı ile izlenmesi, İstatistik amacı ile bir ürünün kaş kişi tarafından görüntülerinin ya da sesinin kayıt altına alınarak her kullanıldığı konulu bir araştırmada ürünü zaman için kullanılabilir konuma getirilmesine kullananların kim olduğu ve hangi işlerle meşgul göstereceği bir rıza değildir. Kişi kamusal alanda oldukları gibi verileri de toplamaya çalışmak veri sadece o anda orada bulunanlar tarafından toplama amacının dışına çıkılması anlamındadır görülebilecekken yapılan bu kayıt ile olayın boyutları [12:112]. genişleyecektir. O halde kamusal alan dahi olsa herhangi bir hukuka uygunluk nedeni yok iken Kişisel verinin kayıt altına alınmasının hukuka kişinin kayıt altına alınması TCK m. 135'te belirtilen uygunluk sebeplerinden biri de bir başka kanun kişisel verilerin kayıt edilmesi suçunun oluşmasına hükmünün yerine getiriliyor olmasıdır. Örneğin, neden olacaktır [9:103]. CMK’ ya göre hakim, mahkeme veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının TCK m.136’ya göre ise; Kişisel verileri, hukuka aykırı kararı ile şüpheli ya da sanığa ait fotoğraf, parmak ve olarak bir başkasına veren, yayan veya ele geçiren avuç içi izi, beden ölçüleri, sesi ve görüntüsü kayda kişi, iki yıldan dört yıla kadar hapis cezası ile alınarak soruşturma ve kovuşturmasına ait olan cezalandırılır. dosyasına konulabilir. Öte yandan sanık ya da şüpheli hakkında beraat ya da ceza verilmesine yer Kişisel verilerin hukuka aykırı olarak açıklanması ile olmadığına dair kararlar verilmesi ve bu kararların bireyin özel hayatına müdahale olduğundan korunan kesinleşmesinin ardından yukarıda belirtmiş hukuki yarar özel hayat ve kişilik haklarıdır. Suçun olduğumuz kayıtlar Cumhuriyet savcısının huzurunda faili herkes olabilir. Örneğin Tıp Ceza Hukuku açısından bakıldığında fail hekim, hemşire, hasta bitiminden itibaren yok edilmesini talep etme hakkı bakacı, eczacı ve benzeri sağlık çalışanlarıdır [15:15]. vardır [4:132]. İşinden ayrılarak yeni bir iş başvurusu Yukarıda yer alan suçların; bir kamu görevlisi yapan işçinin eski işyerinde tutulan kişisel verileri, tarafından ve görevinin kendisine tanıdığı yetkiyi işçinin rızası olmadan yani eski işyerini referans kötüye kullanarak işlenmesi, belli bir meslek ve olarak belirtmeden yeni başvurduğu işyeri ile sanatın sağladığı kolaylıktan yararlanarak işlenmesi paylaşılamaz [8:285]. halinde suç nitelikli hal kazanacağından dolayı verilecek cezalar yarı oranında artırılır. Kişilerin Eser niteliği olmasa bile mektup, hatıra ve günlük sosyal medya paylaşımlarından ya da web gibi özel yazılar ancak sahibinin izni ile sitelerinde kendileri ile ilgili yayınladıkları verilerin yayımlanabilir. Aksi durumda kişilik haklarının ihlali başka kişiler tarafından oradan alınması durumu, ve kişisel verilerin ifşası sebep olarak gösterilerek veriler üzerindeki tasarruf hakları saklı kalmak TCK m. 132 ve m. 133 hükümleri uygulanacaktır kaydıyla veriyi ele geçirme eylemine bir suç niteliği [16:127]. kazandırmaz [9:135]. Yargıtay bir kararında, mağdur tarafından daha önce Yargıtay, telefon arama kaydı dökümlerinin ele internette yayımlanan ve mağdurun günlük geçirilerek diğer şahıslara gönderilmesi olayında, kıyafetleriyle poz vermiş şekilde çektirdiği resmi, dökümlerde konuşma ve mesaj içeriklerinin yer mağdurun başkalarının görmesini ve bilmesini almaması nedeniyle işlenen suçun özel hayatın istemeyeceği özel yaşam alanına dair bir görüntü gizliliğini ihlal değil kişisel verileri verme veya ele olarak kabul edilemeyeceğinden, mağdurun kişisel geçirme suçu olduğuna hükmetmiştir. Kararda veri niteliğindeki resmini, hukuka uygunluk özetle; “Katılan ve tanık beyanları dikkate nedenlerinin bulunmaması sebebiyle hukuka aykırı alındığında, mahkemece sanığın eyleminin sabit olduğunda tereddüt bulunmayan bir yöntemle sahte görülmesinde bir isabetsizlik görülmemiş ancak; Facebook hesabı üzerinden yayımlayan sanığın sanığın, katılan ve dava dışı eski eşi Ş. arasında eylemini, TCK'nın 136/1. madde ve fıkrasında gerçekleşen arama kaydı dökümlerini katılanın tanımlanan verileri hukuka aykırı olarak verme veya akrabalarına göndermesi eyleminde, arama kaydı ele geçirme suçu olarak değerlendirmiştir (Yargıtay dökümlerini, katılanın ve dava dışı Ş’nin yaptıkları 12. CD, 1.2.2017 tarih, 2015/11112 E., 2017/637 K. – aramalarla kendilerini arayan numaralara ilişkin Kazancı İçtihat Bilgi Bankası). tarih, saat ve süre bilgilerini içermesi ve bu iki kişi arasında gerçekleşen konuşma veya mesajlaşma Kişisel verilerin korunması zamanla bireyin içeriklerine ilişkin bilgi bulunmaması karşısında, unutulmayı isteme talebini de sağlayacaktır. Bilgi ve sanığın eyleminin haberleşmenin gizliliğini ihlal iletişim teknolojisindeki gelişmeler karşısında kişinin suçunu değil, verileri hukuka aykırı olarak verme yıllar önce yaşadığı bir olay internet arşivlerinde veya ele geçirme suçunu oluşturduğu gözetilmeden durmaya devam edebilmektedir. İnternet ortamı ile suçun vasfında yanılgıya düşülerek karar verilmesi kişinin unutulmayı isteme hakkı ortadan isabetsizdir” ifadelerine yer verilmiştir [Yargıtay 12. kalkmaktadır [17:162]. Unutulma hakkı ile kişi; CD, 16.02.2015, 2014/22994 E., 2015/2630 K.]. hukuka aykırılığı ortadan kaldıran bir sebep bulunmadığı sürece internet ya da diğer ortamlarda Kişinin resmini kişisel veri olarak kabul eden yer alan geçmişte yaşamış olduğu olumsuz olayların Yargıtay, bu resmi herhangi bir hukuka uygunluk zamanla unutulmasını, kişisel verilerinin başkaları sebebi olmadan N. E. Adlı Facebook hesabından tarafından bilinmemesi için kayıtlardan silinmesini başkalarının görgüsüne sunan sanığın bu eyleminin ve artık kitle iletişim araçları ile yayılmasının genel kastla işlenen verileri hukuka aykırı olarak engellenmesini isteyebilir [Yargıtay HGK, 17.06.2015, verme veya ele geçirme suçu olduğuna hükmetmiştir 2014/4-56 E., 2015/1679 K.] [Yargıtay 12. CD, 12.4.2017 tarih, 2015/13248 E., 2017/3108 K.]. Gerek unutulma hakkı gerekse kişisel verilerin korunması hakkının temelinde kişinin kişisel verileri Polis Vazife ve Salahiyetleri Kanunu’nun 5. üzerinde serbestçe tasarruf edebilmesi, geçmişe maddesine göre sisteme kayıt edilmiş olan parmak takılıp kalmadan ileriye yönelik plan yapabilmesi, izi ve fotoğraf, kişinin ölümünden itibaren 10 yıl ve kişisel verilerin kendisi aleyhine kullanılmasının her halde kayıt tarihinden itibaren 80 yıl geçtiğinde önlenmesi yer almaktadır. silinir [14:135]. Unutulma hakkına ilişkin Yargıtay Hukuk Genel Bir işçinin, ayrıldığı işverenine başvurarak kendisi Kurulu emsal kararında şu ifadelere yer vermiştir; hakkında çalıştığı süre zarfında tutulmuş olan “Unutulma hakkı tanımlarına bakıldığında her ne verilerin, mevzuatın belirlediği zorunlu sürelerin kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki olmamak üzere yönetmelikte belirlenecek süre ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kadar saklamakla ve bu bilgilerin doğruluğunu, kişisel veriler için değil, kamunun kolayca bütünlüğünü ve gizliliğini sağlamakla yükümlüdür. O ulaşabileceği yerde tutulan kişisel verilere yönelik halde yer sağlayıcılık hizmeti veren bu işletmenin olarak da kabul edilmesi gerektiği açıktır. Davacı, veri imha politikasında 5651 sayılı Kanun belirleyici geçmişte yaşadığı kötü bir olayın toplum olacaktır. hafızasından silinmesini istemektedir. Unutulma hakkı ile geçmişindeki yaşanan talihsiz bir olayın unutularak geleceğini serbestçe şekillendirmek, diğer 4.SONUÇ bir deyişle hayatında, yeni bir sayfa açma olanağı Bilgi ve iletişim teknolojilerindeki hızlı gelişim, veri istemektedir. Kaldı ki, davacı da yargılama sırasında toplama ve bunları otomatik işleme tabi tutma verdiği dilekçelerinde bu istem üzerinde ısrarla kapasitesini artırmıştır. Öte yandan ticari hayatta da durmuştur. Davacı unutulma hakkı ile özel hayatına kişisel veriler önemli bir konuma gelmiştir. Bu ilişkin kişisel verilerinin üçüncü kişiler tarafından değişimler bireyin özel hayat mahremiyetini bilinmemesini, aradan geçen süre nedeniyle toplum savunmasız hale getirmiş ve beraberinde kişisel hafızasından silinmesini istemektedir” (Yargıtay HGK, verilerin korunmasını zorunlu kılmıştır. 17.06.2015 tarih, 2014/4-56 E., 2015/1679 K. - Kazancı İçtihat Bilgi Bankası). 2010 yılındaki Anayasa değişikliği ile güvence altına alınan kişisel veriler için Nisan 2016 tarihinde TCK’nın 138. maddesine göre; kanunların belirlediği yürürlüğe giren Kişisel Verilerin Korunması Kanunu sürelerin geçmiş olmasına karşın verileri sistem (KVKK) kişisel veri tanımı yaparak bu konudaki içinde yok etmekle yükümlü olanlara görevlerini belirsizliği ortadan kaldırmıştır. yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilmektedir. Verilerin yok edilmesine 6698 sayılı KVKK ile Türkiye, kişisel veri güvenliği ve yönelik 6698 sayılı KVKK’ya dayanılarak “Kişisel bunun doğal bir sonucu olarak da özel hayatın Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale gizliliğinin daha da güçlendiği güvenli bir ülke olma Getirilmesi Hakkında Yönetmelik” çıkarılmıştır yolunda önemli bir adım atmıştır. [Resmi Gazete Tarihi: 28.10.2017 Resmi Gazete Sayısı: 30224]. TCK kapsamında herhangi bir KVKK ile yeni bir Kurum ve Kurul idari yapı içerisinde kanunun emrettiği sürelere göre verilerin yok yerini alarak kamu, özel sektör ve gerçek kişilerin edilmesi hükme bağlanmış olmasına karşın bu yeni veri işlemelerinden doğacak sorumluluklarını ortaya Yönetmeliğe göre kurum ve özel işletmelerin veri koymuştur. KVKK’nın veri işleyen gerçek ve tüzel saklama ve imha (silme, yok etme, anonim hale kişiler için öngördüğü sorumluluklara bakıldığında getirme) politikaları oluşturması gerekecektir. Bir veri sorumlusu olarak adlandırılacak olan bu kişilerin başka ifade ile veri sorumluları, işledikleri kişisel hem hukuk hem de bilişim yönünden hazırlıklı verilerin kayıt edilme sebepleri ortadan kalktığında olmalarının gerektiği ortaya çıkmaktadır. silinmesi ve yok edilmesi ile ilgili yeni yaklaşımlar ve araçlar tanımlamak zorundadır. Veri sorumluları, tüm iş süreçlerini tanımlayacak ve gereken prosedürler hazırlanacaktır. Bu prosedürler Bu yeni yaklaşım; silme, yok etme ve anonim hale içinde ne tür verilerin tutulduğu, kime ait verilerin getirmeyi içerecektir. Uygulamada ise araç olarak; tutulduğu, ne kadar süre ile tutulduğu, veri veri saklama ve imha politikasının tanımlanması ile güvenliğinin nasıl sağlandığı ve verilerin kimlerle verilerin saklanma sürelerinin tespiti kullanılacaktır. paylaşıldığının açıklanması gerekecektir. Bu işlemlerin doğal sonucu olarak veri sorumlusu, kişisel verilerin imhasına yönelik periyodik bir imha – KVKK ile tanımlanan işlemlerin detayları ve sahada takvimi belirleyecektir. Yönetmelik en fazla altı aylık nasıl uygulama bulacağı; yine bu Kanuna dayanılarak süreyi öngördüğünden bu periyot yılda en az iki çıkarılmış olan Kişisel Verileri Koruma Kurulu Çalışma olacaktır. Örneğin, işletmesine ziyaretçi olarak gelen Usul ve Esaslarına Dair Yönetmelik, Kişisel Verilerin ya da iş başvurusu yapan kişilerin verilerini kayıt Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi eden veri sorumlusu bu verileri ne zaman yok Hakkında Yönetmelik, Veri Sorumluları Sicili edeceğini belirleyecektir. Hakkında Yönetmelik (Taslak) ile ifade edilmektedir. Veri imha politikası oluşturulurken özel kanunlardan kaynaklanan veri yok etme süreleri öncelikli Gerek KVKK gerekse ikincil mevzuatın ortak amacı, olacaktır. Örneğin 5651 sayılı İnternet Kanunu’na kişilerin özel hayatlarını ve haklarını güvence altına göre yer sağlayıcı işletme, yer sağladığı hizmetlere almaktır. Böylece kişiler ayrımcılık tehlikesinden ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla uzaklaştırılacak, Türkiye kişisel veriler bakımından güvenilir bir ülke haline gelecektir. [13] Bahri Öztürk/Behiye Eker Kazancı/Sesim Soyer Güleç, Ceza Muhakemesi Hukukunda Koruma Bu hedeflere ulaşabilmek için temelde yapılması Tedbirleri, İstanbul 2013. gereken faaliyet, kişisel veri kavramının anlatılması ve gerekeli farkındalığın oluşturulmasıdır. 5018 sayılı [14] Yener Ünver/Hakan Hakeri, Ceza Muhakemesi Kamu Mali Yönetimi ve Kontrol Kanununa tabi Hukuku, 9. Baskı, Ankara 2013. kurumlarda tüm iş süreçlerinin tanımının yapılmış olduğu iç kontrol sisteminin varlığı nedeni ile [15] Nizamettin Aydın, Tıp Ceza Hukukunda Verileri KVKK’nın uygulanmaya başlandığı bu ilk dönemde Hukuka Aykırı Olarak Verme Ve le Geçirme Suçu, kamu kurumları daha avantajlı olacaktır. Selçuk Üniversitesi Hukuk Fakültesi Dergisi, Cilt: 21, Sayı:2, Konya 2013. KAYNAKÇA [16] Sami Karahan/Cahit Suluk/Tahir Saraç/Temel [1] İbrahim Korkmaz, Kişisel Verilerin Korunması Nal, Fikri Mülkiyet Hukukunun Esasları, Ankara 2013. Kanunu Hakkında Bir Değerlendirme, Türkiye Barolar Birliği Dergisi, Say: 124, Ankara 2016. [17] Kemal Gözler, İnsan Hakları Hukuku, Bursa 2017. [2] Furkan Güven TAŞTAN, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, İstanbul [18] Murat Volkan Dülger, Kişisel Verilerin Silinmesi, 2017. Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in Getirdikleri Ve Dikkat Edilmesi [3] Ali Haydar DOĞU, Bilişim Hukuku, Bursa 2017. Gereken Hususlar http://www.hukukihaber.net/kisisel-verilerin- [4] Aydın Akgül, Danıştay ve Avrupa İnsan Hakları silinmesi-yonetmeliginin-getirdikleri-ve-dikkat- Mahkemesi Işığında Kişisel Verilerin Korunması, edilmesi-gereken-hususlar-makale,5502.html (E. T. İstanbul 2014. 17.11.2017) [5] Leyla Keser Berber, Çevrimiçi Davranışsal Reklamcılık Uygulamaları Özelinde Kişisel Verilerin Korunması, İstanbul 2014. ÖZGEÇMİŞ – Ali Haydar DOĞU [6] İbrahim Korkmaz, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, Türkiye Barolar İlk, orta ve lise eğitimini Trabzon’da tamamlamıştır. Birliği Dergisi, Say: 124, Ankara 2016. Mühendislik ve Hukuk alanında yüksek lisans derecelerine sahip olup Karadeniz Teknik Üniversitesi [7] Doğan Kılınç, Anayasal Bir Hak Olarak Kişisel İktisadi ve İdari Bilimler Verilerin Korunması, Ankara Üniversitesi Hukuk Fakültesi İşletme Bölümünde Fakültesi Dergisi, Sayı:61(3), Ankara 2012. öğretim görevlisi olarak görev yapmaktadır. KTÜ’de halen [8] Elif Küzeci, Kişisel Verilerin Korunması, Ankara değişik bölümlerde temel bilgi 2010. teknolojileri, bilişim hukuku, yönetim bilgi sistemleri, iletişim hukuku ve internet [9] Hale Akdağ, Türk Ceza Kanunu Kapsamında hukuku derslerini vermektedir. Türkiye Bilişim Kişisel Verilerin Korunması, Ankara 2013. Derneği Ankara Şubesi üyesidir. [10] Sedat Erdem Aydın, Kişisel Verilerin Kaydedilmesi Suçu, İstanbul 2015. [11] Batuhan Aktaş, Özel Hayatın Gizliliğini İhlal Suçu, İstanbul 2017. [12] Saadet Yüksel, Özel Yaşamın Bir Parçası Olarak Telekomünikasyon Yoluyla Yapılan İletişimin Gizliliğine Önleyici Denetimle Müdahale, İstanbul 2012.