Çınarlı Mahallesi Şehit Fethi Sekin Cad. Martı Tower No:1 Kat:8 D:801-810 Bayraklı/İZMİR

Tıbbi Kişisel Verileri Gizli Tutma Yükümlülüğünü İhlalin Sonuçları

Tıbbi Kişisel Verileri Gizli Tutma Yükümlülüğünü İhlalin Sonuçları

-TCK 135. MADDESİ UYARINCA KİŞİSEL VERİLERİN KAYDEDİLMESİ SUÇU VE ÖRNEK KARAR İNCELEMESİ

HAZIRLAYAN: SUZAN BAYRAKTAROĞLU EVGİN

Giriş: 

Kişisel verilerin korunması alanında son yıllarda hem ulusal hem de uluslararası alanda ciddi bir mevzuat değişikliği gözlemlenmektedir. Önceden sadece özel hayatın bir parçası olarak değerlendirilen kişisel veriler artık başlı başına korunmaya değer bir varlık olarak görülmektedir. Bunun sonucu olarak da kişisel verilen korunması için uygulamada yasal düzenlemeler yapılmakta devletler bu konuda hazırlanan uluslararası metinleri takip etmektedirler. Kişisel veriler içerisinde her kişisel veri aynı şekilde korunmamaktadır. Hassas yahut özel nitelikli kişisel veri olarak adlandırılan bir grup kişisel veri vardır ki; bunlar diğer kişisel verilerde daha sıkı şekilde korunmaktadır. Kişisel sağlık verileri de bu gruba dahildir. Bir süredir yaşanmakta olan pandemi sürecinde kişisel sağlık verilerinin korunması konusu daha da ön plana çıkmaktadır. Zira oldukça kolay bulaşan bir hastalıkla mücadelede kişilerin sadece sağlık durumlarına ilişkin verilerin işlenmesi yeterli olmamaktadır. Kişilerin kimlerle temas ettikleri, nerelerde bulundukları ile gibi daha geniş alana yayılan başka pek çok bilginin işlenmesi gerekmektedir. Bu izlemede çok zaman bir takım uygulamalarla yapılmakta böylece hukuki tartışmalara teknik tartışmalar ve sorunlarda eklenmektedir. Bu makalemizde kişisel sağlık verisi yani diğer bir deyimle tıbbi kişisel veri kavramından yola çıkılarak konu uluslararası ve ulusal boyutta hukuki ve cezai yönüyle değerlendirilecek bu kapsamda TCK’nun 135. Maddesine yer alan kişisel verilerin kaydedilmesi ve TCK 136. Maddesine yer alan verilen hukuka aykırı olarak verme veya ele geçirme konusu da genel hatlarıyla değerlendirilecektir. 

1-Kişisel Sağlık Verisi Kavramı: 

Kişisel sağlık verileri kişisel verilen korunması hukuku içinde başlı başına önemli bir alanı teşkil eder. Hatta kişisel sağlık verilerine özgü hukuki düzenlemeler söz konusu olabilir. Sağlık mesleği mensuplarını sır saklama yükümlülüğü ile birlikte düşünüldüğünde kişisel sağlık verilerinin korunmasına gösterilen özen daha anlaşılabilir hale gelmektedir. Zira hasta ile sağlık mesleği mensubu özellikle de hekim arasında da güven ilişkisinin kurulamaması tanı ve tedavi sürecinin gerektiği gibi ilerlemesine engel olacaktır. Hatta bu sebeple pek çok kişi sağlık hizmeti almak için sağlık kuruluşuna yahut hekime başvurmayacaktır. Öte yandan kişisel sağlık verilerinde yola çıkarak o kişi hakkında pek çok başka şey öğrenmek mümkündür.  Kişisel sağlık verileri ve bunlara bağlı olarak öğrenilen bilgiler çok zaman kişinin ayrımcılığa uğraması sonucunu doğurabilir. 

Kişisel sağlık verisi “ Bireyin hastalık ve sağlık durumu ile ilgili her türlü veri” olarak tanımlanabilir. “Tıbbi veri ise sağlık mesleğine mensup çalışanlarca öğrenilip işlenebilen kişilerin sağlık ve hastalık durumuna ilişkin verilerdir.” Kanaatimizce bu tanımda eksiklik bulunmaktadır. Çünkü sağlık mesleği mensubu olmayan sigorta şirketleri gibi tüzel kişilerde bu tür bilgileri elde edebilmektedirler. Bu durumda tanımı sağlık  mesleği mensuplarından yola çıkılarak sınırlamamak gerekir. Bu konuda tek yasal düzenleme kişisel sağlık veriler hakkındaki yönetmeliktir. Bu yönetmeliğin 4. Maddesi kişisel sağlık verisi kavramını “ kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ve kişiye sunulan sağlık hizmetleri ile ilgili bilgileri” şeklinde tanımlanmıştır. Bu tanım daha kapsayıcı konumdadır. Dolayısıyla bir gerçek kişinin sağlık kurumuna şahsen yahut internet ortamından yaptığı başvurudan itibaren hakkında bizzat hekim tarafından yahut sağlık kuruluşu tarafından tutulan tüm kayıtlar kişisel sağlık verisindir.  Bu kayıtların sadece teşhis ve tedavi ile ilgili olması gerekmez. Hastanın öyküsü, yapılan tahliller, hastaya ilişkin biyometrik verilerde kişisel veri teşkil eder. Bir verinin kişisel sağlık verisi olup olmaması noktasında verinin ne şekilde elde edildiği yahut depolandığı önem taşımaz. Hastaya ilişkin verilen elektronik ortamda ulusal bir ağda, bir sağlık kuruluşu bünyesinde depolanmış olabilir. Aynı şekilde hekimin kendisi için tuttuğu kayıtlarda kişisel sağlık verisi teşkil eder.

2-Kişisel Sağlık  Verilerinin Hukuki Niteliği: 

Kişisel sağlık verileri yukarıda da belirtildiği gibi diğer pek çok veri türünün aksine kendine özgü bir mevzuatta koruma altına almıştır. Bunun nedeni sağlık verilerinin hassas veriler olmasıdır ve bir kimsenin sağlık verilerinden yola çıkılarak o kişi hakkında bir bilgiye erişmek mümkün olduğu gibi sağlık verileri çok zaman kişilerin ayrımcılığa uğramasına da neden olabilir. Bu nedenle kişisel sağlık verileri de kendine özgü bir mevzuat çerçevesinde sıkı bir şekilde korunmaktadır. Bu konu uluslararası sözleşmelerde de ayrıntılı olarak da kendine yer bulmuştur. Nitekim 108 nolu kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunmaları sözleşmesi karşısında 6. Maddesinde “ İç hukukta güvenceler sağlanmadıkça ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel verilen otomatik işleme tabi tutulamaz.”  Şeklinde bir açıklama olduğu gibi 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğünün 9. Maddesinde de şu düzenleme yer almaktadır.“ Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.”

Hukukumuzda da kişisel sağlık verilerinin hassas niteliğine dikkat çeken hükümler mevcuttur. Bunlardan ilki Kişisel Verileri Koruma  Kanununun 6. Maddesine yer almaktadır. Kanun bu verileri ifade etmek amacıyla özel nitelikli veri kavramını tercih etmiştir ve bu maddeye göre “ Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, meshebi veya diğer inançları, kılık veya kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri ile biyometrik ve genetik verileri”  şeklinde bir açıklama yapmıştır. 

Kişisel sağlık verilerinin hassas nitelikte veriler olmasının doğal bir sonucu olarak kural bu verilerin açık rıza olmaksızın işlememesidir. Ancak sağlık ve cinsel hayata ilişkin verilen kamu  sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleriyle finansmanının planlanması ve yönetim amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum veya kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu konuda kanun kişisel verileri koruma kurumuna yetki vermiş ve bu kurulda buna ilişkin esasları belirleyen bir karar yayınlamıştır. Ceza Hukuku bakımından da sağlık verilerinin özelliği dikkate alınarak bu verilere karşı işlenen suçları daha ağır cezalandırılması hususu TCK’nun 135. Maddesinin 1 ve 2. Fıkralarında düzenlenmiştir. Bu madde müstakil bir başlık altında makalenin ilerleyen bölümünde izah edilecektir. 


  3- Kişisel Sağlık Verilerinin Korunmasına İlişkin Uluslararası Düzenlemeler:

Kişisel sağlık verilerinin korunması tıpkı diğer verilerin korunması gibi uluslararası metinlere de konu olmuştur. Hekim ile hasta arasındaki sır saklama yükümlülüğü ve güven ilişkisi dikkate alındığında tıp mesleğine ilişkin pek çok uluslararası doküman da bu konu düzenlenmiştir. Uluslararası düzenleme olarak ilk önce Hekimlik Andından söz etmektedir. Dünya Tabipler Birliği Cenevre Bildirgesinde yer alan bu andın bu konuya ilişkin kısmı şu şekildedir. “Hastamın bana açtığı sırları, yaşamını bitirdikten sonra bile gizli tutacağıma ant içerim.” Kişisel sağlık verilerinin korunmasına ilişkin bazı uluslararası düzenlemeler şu şekilde sayılabilir: 

  • Lizbon – Bali Bildirgeleri ( 4. ve 8. Maddeler)

  • İnsan Hakları Biyotıp Sözleşmesi ( 10. Maddesi)

  • Sağlık çalışanları sağlık hizmetinde gizliliğe ve mahremiyete ilişkin Avrupa Rehber İlkeleri

  • Amsterdam Bildirgesi ( Avrupa Hasta Haklarının Geliştirme Bildirgesinin 4. Maddesi)

  • Hasta haklarına ilişkin Avrupa Statüsü (6. Maddesi) 

  • Avrupa Konseyi Bakanlar Komitesi’nin tıbbi verilerin korunmasına ilişkin  97/5 sayılı tavsiye kararı 

  • Avrupa Konseyi Bakanlar Komitesi’nin üye ülkelere sağlıkla ilgili verilerin korunmasına ilişkin 2019/2 sayılı tavsiye kararı

  • Avrupa Veri Koruma Kurulu 21 Nisan 2020 tarihli rehberi 

  • AB içerisine onaylanmış takip uygulamaları için müşterek çalışma kılavuzu

Türk Hukuku yönünden iç mevzuatımız dışında yukarıda belirtilen uluslararası mevzuatlara da uygun düzenlemeler yapılması gereği de gözardı edilmemelidir. 


4- Türk Hukukunda Kişisel Sağlık Verilerinin Korunması: 

A)Konuya İlişkin Temel Hukuki Düzenlemeler: 

Hukukumuzda kişisel sağlık verilerinin mahremiyetine ilişkin çeşitli düzenlemeler bulunmaktadır. Bunlardan ilki Tıbbi Deontoloji Tüzüğüdür. Tüzüğün 4. Maddesi  “Tabip ve diş tabibi meslek ve sanatının icrası vesilesi ile muttali olduğu sırları, kanuni mecburiyet olmadıkça ifşa edemez. Tıbbi toplantılarda takdim edilen ve yayınlarda bahis konusu olan vakalarda, hastanın hüviyeti açıklanamaz.”  Hasta hakları yönetmeliğinin 23. Maddesinde de konuyu doğrudan ele alan bir düzenleme getirilmiştir. Bilgilerin gizli tutulması başlığı altında yer alan bu maddeye göre “ Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler kanun ile müsaade edilen haller dışında hiçbir şekilde açıklanamaz. Kişinin rızasına dayansa bile kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması bunları açıklayanın hukuki sorumluluğunu kaldırmaz. Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki veya cezai sorumluluğunu gerektirir. Araştırma ve eğitim amacıyla yapılan faaliyetlerde de hastanın kimlik bilgilerinin rızası olmaksızın açıklanamaz.” Şeklinde bir hüküm getirmiştir. 

B)Kişisel Sağlık Verilerinin Kaydı: 

Hukukumuzda kişisel sağlık verilerinin ne şekilde yapılacağına ilişkin pek çok düzenleme bulunmaktadır. Günümüzde teknik gelişmelere uygun şekilde sağlık hizmetlerinin yürütülmesi için elektronik ortamda tutulacak kayıtlar ise Sağlık Hizmetleri Temel Kanunun 3/f maddesine göre yapılacaktır. Kişisel sağlık verileri söz konusu olduğunda sağlık kuruluşları dışında sigorta şirketleri de bu verilere erişmektedirler. 23 Ekim 2013 Tarihli Özel Sağlık Sigortaları Yönetmeliği bu konuyu ayrıntılı düzenlemiştir. Sigorta şirketinin kişinin sağlık verilerine erişebilmesi için söz konusu kişinin yazılı izni gerekir. Sigorta şirketleri de bu verilerin gizli tutmak zorundadır. 

C)Kayıtlara Erişim ve Bunların Korunması: 

Hukukumuzda her türlü kişisel verinin korunmasına ilişkin temel kanun 6698 sayılı kişisel verilerin korunması kanunundur. Buna göre kişisel sağlık verileri de öncelikli olarak bu kanundaki ilkelere uygun olarak işlenecek ve korunacaktır. Bunun dışında TCK, Borçlar Kanunu gibi bu konu güvence altına alınmıştır. Ayrıca 21/06/2019 tarihinde de kişisel Sağlık Verileri Hakkında Yönetmelik yürürlüğe girmiştir. Bu yönetmeliğin 5. Maddesinde uygulanacak ilkeler genel olarak açıklanmıştır. Buna göre “hiç kimse sağlık hizmeti sunumu için gerekli durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz. Sağlık hizmeti sunucuları tarafından banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek, aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verilerin duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır. Sağlık hizmeti sunucuları tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerin içeren basılı metaryal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu metaryalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesinin zorlaştıracak diğer tedbirleri alır. Herkes veri sorumlusuna başvurarak kendisi ile ilgili olarak kanunun 11. Maddesine yer alan hakları kullanabilir. Veri sorumlusuna başvuruda kanunun 13. Maddesi ile kurum tarafından hazırlanarak 10/03/2018 tarihli ve 30356 sayılı Resmi Gazetede yayımlanan veri sorumlusuna başvurunun usul ve esasları hakkında tebliğ hükümlerine riayet edilir. Aydınlatma yükümlülüğünün yerine getirilmesinde kanunun 10. Maddesiyle kurum tarafından hazırlanarak 10/03/2018 tarihli 30356 sayılı Resmi Gazetede yayımlanan aydınlatma yükümlülüğünün yerine getirilmesinde usul ve esaslar hakkında tebliğ hükümlerine riayet edilir.” Bu şekilde daha öncede sıklıkla karşılaşılan sorunlardan biri olan sağlık kuruluşlarına başvuran kişilerin banko, gişe gibi yerlerde diğer kişilere ilişkin bilgileri öğrenmeleri ve basılı haldeki tahlil sonuçlarının gizliliğinin korunması hususu bir güvenceye bağlanmıştır. 

Sağlık verilerine erişim konusunu muhataplarına göre ayrı değerlendirmek gerekir. a)Sağlık Personelinin Erişimi

Sağlık personelinin kişisel verilere erişimi ile ilgili olarak ilk önce personelin sadece verilecek hizmetle sınırlı olarak erişebileceği düzenlenmiştir. Ülkemizde sağlık hizmetlerinin takibinde sıkça kullanılan e-nabız sisteminden yararlanan kişiler gizlilik tercihlerini kendileri belirleyerek karar verirler. Bu sistemden yararlanmayan kişiler için ise KVKK 6/3 maddesinde belirtildiği üzere sınırlı bir şekilde ulaşmak sağlanacağı açıklanmıştır. 

b)Bakanlık Birimlerinin Erişimi: 

Sağlık Bakanlığı birimlerinin sağlık verilerini erişmelerine ilişkin esaslar bu Yönetmeliğin 7. Maddesine göre belirlenmiştir. Buna göre “ Sağlık hizmetleri sunucuları tarafından merkezi sağlık veri sistemini kimliksizleştirerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri bakanlığı birim amirlerin ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri kendi biriminden en fazla 3 kişinin yetkilendirilmesini talep edebilir. Birim amirinin talebi üzerine genel müdürlükçe  yetkilendirilen kullanıcılar bu yetkiyi yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler. Sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir.” 

c)Çocukların Sağlık Verilerine Erişim:

Yönetmeliğin 8. Maddesi ebeveynlerin e-nabız üzerinden çocuklarına ilişkin verileri ihtiyaç olmaksızın uluşabileceğini düzenlemektedir. Boşanma halinde verilerin velayet hakkına sahip eş erişebilecektir. 

d)Hasta Yakınların Verilerine Erişim:

Hasta yakınlarının sağlık verilerini erişimi konusunda yönetmelik hasta hakları yönetmeliğini atıf yapmaktadır. Buna göre hastanın muvafakat edeceği bir kişinin hastaya ilişkin verileri erişebileceğinin kabul etmek gerekir. Bu durum yazılı olarak belgelendirilmeli ve hasta tarafından imzalanmalıdır. 

e)Avukatların Erişimi: 

Avukatlar meslekleri gereği pek çok kişisel veriye erişebilmektedirler. Ancak sağlık verilerinin niteliği gereği bunlara genel vekaletname ile erişilmesi mümkün değildir. Vekaletnameye özel bir hüküm konulmalıdır. Sağlık Verileri Hakkındaki Yönetmeliğin 10. Maddesi bu konuyu düzenlemiştir.

f)Ölünün verilerine erişim: 

Ölümle esasen kişilik haklarına ilişkin tüm talepler sona erer. Ancak bazen ölene ilişkin verilere ihtiyaç duyulabilir. Yönetmeliğe göre ölen kişinin sağlık verilerine veraset ilamı ile ulaşılabilir. Ölen kişiye ilişkin sağlık verileri 20 yıl saklanır. 


D)Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması: 

a)Gizleme: 

Kişisel sağlık verilerine ilişkin olarak gizlilik kararı verilmesi halinde ne şekilde hareket edileceği Yönetmeliğin 12. Maddesine düzenlenmiştir. Buna göre mahkeme tarafından verilen gizlilik kararını yerine getirmekle yükümlü olan merci İl Sağlık Müdürlüğüdür. Bu işlem kimlik paylaşım sistemine de yansır. 

b)Düzeltme:

Kişisel sağlık verilerinin düzeltilmesinde uyulacak prosedür Yönetmeliğin 13. Maddesine yer almıştır. Buna göre ilgili kişinin İl Sağlık Müdürlüğüne başvurması gerekmektedir.  Müdürlük tarafından yapılan araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşılırsa resmi yazıyla Genel Müdürlüğe başvurulur ve sehven oluşturulan sağlık verisinin düzeltilmesi istenir. Yapılacak düzeltme sonucu sağlık hizmeti sunucusunun veri tabanına işlenir. 

c)İmha: 

Yönetmelik bu konuda “Kişisel Verilen Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkındaki Yönetmelik” hükümlerine atıf yapmıştır. KVKK’da da kişisel verilerin incelenmesi için öngörülen koşullar da ortadan kalktığı an verilerin usulüne uygun bir biçimde resen veya talep üzerine silinmesi veya imha edilmesi gerekmektedir.  

d)Aktarım: 

Kişisel sağlık verilerinin aktarılmasında da KVKK’da yer alan usule uyulur. Kişisel sağlık verilerinin aktarım talepleri talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından kanun ve ilgili diğer mevzuat tarafından değerlendirilir. Değerlendirme sonucuna göre de Genel Müdürlükçe de işlem tesis edilir. 

Bu hususların dışında bir de kişisel sağlık verilerinin bilimsel amaçla işlenmesi konusu vardır ki bu da KVKK’da kapsamında mümkündür. Bunun için verilerin anonim hale getirilmiş olması gerekir. Bilimsel amaçlarla işlemek için kişilik haklarının ihlal edilmemesi ve gerekli tedbirlerin alınmış olması gerekir. 

E) Veri Güvenliği: 

Kişisel sağlık verilerinin güvenliğinin ne şekilde sağlanacağına ilişkin düzenlemelerde büyük ölçüde KVKK’ya atıf yapmaktadır. Kişisel sağlık verilerinin korunmasında Kanun’un 12. Maddesinde yer alan yükümlülüklere uyulur ve KVKK’nın veri güvenliği rehberi esas alınır. Kişisel verilerin gizliliğini ihlal edilmesi halinde Kurumun öngördüğü şekilde hareket edilir. Özel nitelikli kişisel veriler bakımından da bu durum aynıdır. Bakanlığa bağlı birimler açısında ise Genel Müdürlüğün hazırladığı Bilgi Güvenliği Politikaları Yönergeleri esas alınacaktır.

F)Kişisel Sağlık Verilerinin Korunmamasında Kaynaklanan Sorumluluk: 

Hukukumuzda kişisel sağlık verilerinin korunmasına ilişkin bütün bu mevzuatın yürürlükte olmadığı dönemde dahi yargı kararları ile kişisel sağlık verileri korunmaktadır. Örneğin Yargıtay Hukuk Genel Kurulunun 04/04/2021 tarihi 2011/4-333 Esas, 2021/335 Karar sayılı kararında “Davalı başhekimin basın elemanlarında henüz AIDS teşhisinin doğrulanmadığını bildirmiş olması, ertesi tarih sonuçlanan testlerden böyle bir hastalığı bulunmadığı anlaşılan hastanın isim ve resimlerinin belirtilerek AIDS olduğu yönündeki haberler basında yer alan davalı resimleri ve belirtilen inceleme raporundaki olgular itibariyle davalının, kimliği gizli tutulması gereken bir hastalık şüphesi taşıyan hastanın basına afişe edilmesi ile sonuçlanan bu süreçte kusurlu davrandığını göstermektedir. Basın elamanlarının kedilerine verilen bilgilerden fazlasını yazmış olmaları da davalının bu sorumluluğunu ortadan kaldırmaz.” Şeklinde hüküm kurmuştur.

Mevcut durumda öncelik KVKK anlamında özel hukuk tüzel kişilerinin idari para cezası sorumluluğu söz konusu olacaktır. Bu durum hem gerçek hem tüzel kişileri bakımından tazminat sorumluluğunun ortaya çıkmasına engel olmaz. Dolayısıyla TMK’nun 23 ve 24. Maddelerinden yola çıkarak kişisel sağlık verilerinin gizliliğini ihlal eden gerçek ve tüzel kişiler zarar görenlere tazminat ödemek zorunda kalacaklardır. Kişisel Sağlık Verileri Hakkındaki Yönetmeliğin 21. Maddesi de bu hususu düzenlemiştir. Maddeye göre “bu yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanun’un 17 ve 18. Maddelerine göre işlem yapılır. Bu yönetmelik gereklerini yerine getirmeyen kamu görevlileri için  bağlı oldukları disiplin amirliğini bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır. Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmet sunucularına, 3359 Sayılı Sağlık Hizmetleri Temel Kanunun ek 11. Maddesinin 3. Fıkrasına göre işlem tesis edilir.” Yönetmelik maddesinde atıf yapılan KVKK’nun 17. Maddesi aşağıda ayrıntıları ile anlatacağımız TCK 135. Maddesine atıf yaparak kişisel verilere ilişkin suçlar bakımından TCK 135 ile 140. Madde hükümlerinin uygulanacağı belirtmektedir. 18. Maddesi ise aynı kanunun 10. Maddesinde yer alan aydınlatma yükümlülüğünün yerine getirilmemesi 12. Maddesine yer alan veri güvenliğine ilişkin yükümlülüklerinin yerine getirilmemesi, 15. Maddesinde yer alan Kurul tarafından verilen kararların yerine getirilmemesi, 16. Maddesinde yer alan veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde madde de belirtilen idari para cezaların verileceğini ve maddede öngörülen idari para cezalarının veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağını vurgulamıştır. Ayrıca maddenin son fıkrasında da bu eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde ilgili görevliler hakkında disiplin hükümleri uygulanacağını da düzenlemiştir. 

İdari para cezası ve diğer yaptırımlar dışında kişisel sağlık verilerinin gizliliğinin ihlal edilmesi ve gerektiğinde bu verilerin yok edilmemesi TCK anlamında da sorumluluk doğurur.

 Bu kapsamda; 

-TCK’nun 135. Maddesinde kişisel verilen kaydedilmesi suçuna, 

-TCK’nun 136. Maddesinde verileri hukuka aykırı olarak bir başkasına verme, yayılmasını sağlama veya ele geçirme suçuna,

İlişkin yasal müeyyideler getirmiştir. 

-Bu iki madde de yer alan suçun kamu görevlisi tarafından ya da belli bir meslek ya da sanatın sağladığı kolaylıktan yararlanma suretiyle işlenmesi halinde TCK 137. Maddesinde cezayı arttırıcı bir düzenleme getirilmiş, 

-TCK 138. Maddesinde ise hukuka uygun olarak kaydedilen verilerin kanunlarda belirlenen süreler geçmiş olmasına rağmen sistemden yok edilmemesini düzenlemiştir. 

- Tüzel kişiler hakkında güvenlik tedbiri uygulanması hususunda yine Kanun’un 140. Maddesinde vücut bulmuştur.

Ödev konumuz olan kişisel verilerin kaydedilmesi ile verileri hukuka aykırı olarak verme veya ele geçirme ve doğal olarak bu suçla beraber işlenen bu verileri bir başkasına verilmesini yayılmasını sağlama suçlarını düzenleyen TCK’nun 135 ve 136. Maddelerini birlikte incelediğimizde;


Bu suçların ortak özellikleri şunlar olduğu görülmektedir. 

a)Sırf hareket suçudurlar.

b)Soyut tehlike suçudurlar.

c)Bu suçların mağduru veya faili ancak gerçek kişi olabilirler.

d)TCK 135 ve136. Maddelerindeki suçlar icrai hareketle işlenebilirken yukarıda belirtilen 138. Maddesindeki suç ise ihmali hareketle işlenebilir. 

e)Bu suçlar ancak kasten (doğrudan kastla) işlenebilir.

f)Bu  suçların işlenmesi dolayısıyla tüzel kişiler hakkında TCK 60. Maddesi uyarınca bunlara özgü güvenlik tedbirlerine hükmolunur.

KİŞİSEL VERİLERİN KAYDEDİLMESİ SUÇU

Bu suç 5237 Sayılı TCK’nun 135. Maddesinde düzenlenmiştir. Bu maddeye baktığımızda; 

TCK 135/1 Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir. 

TCK 135/2 kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda 1. Fıkra uyarınca verilecek ceza yarı oranında arttırılır. 

Şeklinde bir müeyyide oluşturulmuştur. Bu suçun özelliklerini inceleyecek olursak; 


A)Suçla Korunan Hukuki Değer:

Kişisel verilerin korunmasına yönelik düzenlemelerin anayasa ve ceza kanunu sistematiğinden bulunduğu yer suçla korunan hukuki değerin belirlenmesinde unsurlarının yorumlanmasında göz önünde bulundurulmalıdır. 1982 Anayasasında kişisel verilerin korunması hakkına “Özel Hayatın Gizliliği” (20/3 md) Anayasaya paralel olarak TCK’nun da da kişisel verilerin korunmasında yönelik suçlar kanunun “Kişilere Karşı Suçlar” kısmının özel hayata ve hayatın gizli alanına karşı suçlar başlıklı bölümünde düzenlenmiştir. Bu düzenlemeler kişisel verilerin, kişinin özel hayat alanına ilişkin bir konu olduğu için korunduğun göstermektedir. Bir başka ifade ile burada verilerin korunması esasen verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını hedef almaktadır. Bu nedenle korunan hukuki değer kişisel veriler olmayıp kişisel verilerin ilişkili olduğu bireyin özel hayat hakkındır. 


B)Suçun Unsurları: 

1- Maddi Unsurlar: 

a)Suçun Faili

Kişisel verilerin kaydedilmesi suçunun faili herhangi bir kimse olabilir. Zira bu suçun faili olmak bakımından kanunda bir özellik aramamıştır. Ancak bu suçların yukarıda belirtildiği gibi kamu görevlisi tarafından ve görevin verdiği yetki kötüye kullanılmak suretiyle işlenmesi halinde ya da belli bir meslek ve sanatın sağlandığı, kolaylıktan yararlanmak suretiyle işlenmesi halinde TCK 137. Madde uyarınca daha ağır bir cezayı gerektiren nitelikli hal kabul edilmiştir. Tüzel kişiler bu  suçun faili olamazlar. Ancak gerçek kişiler olabilir. Bununla birlikte bu suçun özel hukuk tüzel kişisinin faaliyet çerçevesinde tüzel kişinin temsilcisi tarafından işlenmesi halinde ilgili tüzel kişi hakkında bunlara özgü güvenlik tedbirlerine hükmedilir. ( TCK 140) 

b)Suçun Mağduru

Bu suçun mağduru da suçun konusunu oluşturan ve kaydedilen kişisel verinin ilişkili olduğu gerçek kişidir. Tüzel kişilere ait veriler bu suçun konusunu oluşturamayacağı için bunların ne suçun mağduru ne de suçtan zarar gören olmaları mümkündür. Suçun konusunu bir ticari veya sınai işletmenin yararı gereği gizli tutmak istediği, ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeler ile fenni keşif ve buluşlar veya sınai uygulamaya ilişkin bilgilerin oluşturması halinde TCK’nun 239. Maddesinde tanımlanan suç oluşacaktır. Tüzel kişilerin sahip olduğu bu nitelikteki bilgi veya belgelerin yetkisiz kişilere verilmesi veya ifşa edilmesi halinde tüzel kişiler suçtan zarar gören olabilecektir. 

c)Suçun Konusu

Suçun konusunu kişisel veriler oluşturmaktadır. Kişisel veri kavramından neyin anlaşılması gerektiği pek çok hukuki düzenlemede benzer şekilde açıklanmıştır. Kanun maddesinde yer alan ifade şekliyle kişisel verinin gerçek kişiye ait her türlü bilgi anlamına geldiği ifade edilebilir. Kişisel verinin bu tanımı ve özel hayatın gizliliği karışışında tüzel kişilere ilişkin verilerin bu suçun konusunu oluşturamayacağı açıktır.

Kişisel veriyi kişisel olmayan veriden ayırabilmek için iki ölçütten yararlanılır. Buna göre kişisel olmayan veriden söz edebilmek için verinin gerçek bir kişiye ilişkin olması ve bu kişinin de belirli veya belirlenebilir nitelikte olması gerekir. Bu itibarla, bir gerçek kişiye ilişkin olan ve onu doğrudan veya dolaylı olarak belirlenebilir kılan tüm bilgiler kişisel veridir. Bir başka ifade ile şayet bir bilgi herhangi bir gerçek kişiyle ilişkili ise ve o kişiyi tanımlayabiliyorsa kişisel veri olarak kabul edilmelidir. Örneğin kişinin adı, soyadı, doğum tarihi. doğum yeri. Ana adı, baba adı, T.C. kimlik numarası gibi kimliğini ortaya koyan bilgiler ve telefon numarası, telefon görüşmeleri, aracının plakası, sosyal güvenlik numarası, mali bilgileri, resmi görüntüsü, sesi, parmak izi, adresi, e-mail adresi, aile bilgileri, sabıka kayıtları, DNA profilleri, kişisel veri niteliğindedir. Keza kişiyi tanımlanabilir kılan ve olayın özelliğine göre değerlendirilebilecek takma ad ve lakaplarda kişisel veri olarak kabul edilebilecektir. 

Suçun oluşabilmesi için suçun konusun oluşturan kişisel bilginin neye ilişkin olduğu önemli değildir. Bununla birlikte suçun konusunu TCK’nun  135. Maddesinin 2. Fıkrasında sayılan kişisel bilgilerin oluşturulması halinde, faili daha ağır cezalandırılacaktır. Buna göre kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine ırkî kökenlerine, ahlakî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda faile 1. Fıkra uyarınca verilecek ceza yarı oranda artırılacaktır.

d)Fiil

Bu suçun oluşabilmesi için kişisel verilerin kaydedilmesi gerekir, kaydetmek fiili de kişiye ait bilgilerin bir yere yazılmasını, saklanmasını veya koruma altına alınmasını ifade edebilir. Bu itibarla, kişisel bilgilerin görülmesi, bulunduğu yerde okuması ve kişinin zihninde tutulması, örneğin ezberlemesi fiilleri kaydetme olarak kabul edilemez. Günümüzde kişisel veriler genellikle bilgisayar ortamına kaydedilmekle birlikte verilerin nereye kaydedildiğini suçun oluşması bakımından bir önemi yoktur. Kişisel veriler elektronik, manyetik veya doğrudan görülebilir olmayan bir ortama kaydedilebilir. Bu nedenle kaydetme bilgisayarla, cep telefonuyla, video yoluyla yapılabileceği gibi bu amaçla tutulan bir deftere yazılmak suretiyle de yapılabilir. Dolayısıyla kaydedilen yer dijital bir ortam olabileceği gibi, bir defterde olabilir. Kişisel verilerin hukuka uygun olarak daha önce kaydedildiği yerden alınarak başka bir yere kaydedilmesi halinde de bu suç oluşur. Bu suç sırf hareket suçu olduğu için kaydetme fiili dışında ayrıca bir neticenin gelmesi gerekmemektedir. Suçun soyut tehlike suçu olması nedeniyle kişisel bilgilerin kaydedilmesi yeterli olup bu kaydetme nedeniyle verinin ya da ver sahibinin bu fiilden dolayı zarar görmesi suçun oluşması için şart değildir. 

2-Manevi Unsurlar: 

Bu suç ancak kasten işlenebilir. Suçun taksirli şekilde işlenmesi mümkün değildir. Failin kasten hareket ettiğini söyleyebilmek için failin kaydettiği şeyin gerçek kişiye ilişkin, onun şahsi bakımından fonksiyon gören bir bilgi olduğunu bilmesi gereklidir. Ancak failin kaydettiği bilginin hukuken kişisel veri olarak nitelendirildiğini bilmesi kastın varlığın bakımından aranmayacaktır. 

3- Hukuka Aykırılık Unsuru: 

Bu suçun oluşabilmesi için kaydetme fiilinin hukuka aykırı olması gerekir. Nitekim madde de kişisel verilerin hukuka aykırı olarak kaydedilmesi gerektiği açıkça belirtilmiştir. Kaydetme fiilinin hukuka uygun hale getiren bir sebebin bulunması halinde fiil hukuka aykırı olmayacak dolayısıyla suç teşkil etmeyecektir. Bu durumda kişisel verilerin kaydedilmesi suçu bakımından ancak iki türlü hukuka uygunluk sebebi kabul edilecektir. Bunlar kanunun öngördüğü haller ile ilgilinin açık rızasıdır. 

a)Kanunun Öngördüğü Haller: 

Kişisel verilerin toplanmasına, elde edilmesine ve bunların kaydedilmesine kanunun izin verdiği hallerde suç oluşturmayacaktır. Anayasa da kanun ifadesinin herhangi bir yazılı hukuk kuralı şekliden değil, TBMM tarafından kanun şeklinde çıkarılan yasama tasarrufu olarak anlamak gerekir. Zira Anayasa kişisel verileni korunması hakkına müdahalenin kanunla yapılabileceğini öngörmektedir. Bu kapsamda 6698 sayılı Kanun düzenlemiştir. Bu Kanunun kişisel verilerin işlenme şartları başlığını taşıyan 5. Maddesi uyarınca kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği kuralını getirmiş. Ancak bazı durumlarda açık rıza bulunmasa dahi kişisel verilerin işlenebileceği istisna olarak sayılmıştır. Bu maddeye göre “ Kanunda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanımlanmayan kişinin kendisini ya da başkasının hayatı veya beden bütünlüğünü korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmesi olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşhur menfaatleri için veri işlemesinin zorunlu olması” durumlarında ilgili kişinin rızası olmasa da TCK’nun 135. Maddesinde belirlenen suç oluşmayacaktır. Bu Kanunun dışında 5271 sayılı CMK’nun 75, 76, 77 ve 78. Maddelerinde bir suça ilişkin delil elde etmek amacıyla şüpheli, sanık veya diğer kimselerin belli koşullarda beden muayenesinin yapılmasına ve bu kişilerde kan veya benzeri biyolojik örneklerle saç, tükürük, tırnak gibi örnekler alınmasına ve bu şekilde elde edilen örnekler üzerinde moleküler genetik inceleme yapılmasına izin verilmektedir. Bu şekilde alınan örnekler üzerinde yapılan inceleme sonuçlarının kişisel veri niteliğinde olduğu ve başka bir amaçla kullanılamayacağı dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemeyeceği, bu bilgilerin kovuşturmaya yer olmadığına kararına itiraz süresinin dolması, itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip kesinleşmesi halinde Cumhuriyet Savcısının huzurunda derhal yok edileceği belirtilmiştir. Bunu dışında yine bir suç soruşturması ve kovuşturması durumunda şüpheli veya sanığın kimliğinin belirlenmesine ilişkin olarak CMK’nun 81, 135 ve 147. Maddelerinde sayılan surette kişisel verilerin kaydedilebileceği Kanunla düzenlenmiştir. 

2559 sayılı Polis Vazife Salahiyet Kanunun 5. Maddesinde polise kişilerin parmak izini alma ve kimlik bilgileri ve fotoğrafı ile birlikte buna özgü sisteme kaydetme, ilgili kişinin ölümünden itibaren 10 yıl ve herhalde kayıt tarihinde itibaren 80 yıl geçtikten sonra sistemden silineceği belirtilmiştir. 

Kişisel verilerin toplanmasına, elde edilmesine, kaydedilmesine ve değerlendirilmesine izin veren diğer bir kanun da 2937 Sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunudur. Bu kanunda kurumun görevleri neler olduğu belirtilmiş ve hangi koşullar altında gerçek kişilere ait bilgilerin kayıt altına alınacağı ayrıntılı olarak düzenlemiştir. Ayrıca 5352 sayılı Adli Sicil Kanununda da kişilere ait adli sicil bilgilerinin kayıt altına alınacağı ve ne şekilde silineceği hususları yer almıştır.

b)İlgilinin Rızası: 

Bu hukuka uygunluk sebebinin Anayasa da açıkça yer verildiği ( Anayasa md. 20/3 ) gibi ilgilinin rızası TCK 26/2. Maddesinde de genel bir hukuka uygunluk sebebi olarak kabul edilmiştir. Ayrıca 6698 Sayılı Kanunda kişisel verilerin işlenmesinin kural olarak ilgili kişinin açık rızası ile mümkün olabileceği düzenlenmiştir. ( Madde 5/1 ) İlgilinin rızasının açık olması gerekmektedir. Yani belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza olmalıdır. Bu şekilde verilmiş bir rıza olmaksızın kişisel verilerin kaydedilmesi halinde fiil hukuka aykırı olmak vasfını koruyacaktır.  

C-Suçun Nitelikli Halleri:

a)Suçun Konusu İle İlgili Olan Nitelikli Haller:

           TCK 135/2 . maddesi  uyarınca suçun konusunu oluşturan kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırkî kökenlerine, ahlakî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması hali suçun daha ağır cezayı gerektiren nitelikli unsur olarak kabul edilmiştir. Kaydedilen kişisel verilerin sayılan konulara ilişkin olması durumunda birinci fıkrası verilecek ceza yarı oranında arttırılacaktır. Bu nitelikli halin kabul edilmesinin 1. nedeni bu bilgilerin diğerlerine göre onun şahsiyetinin gelişmesinde ve kendi geleceğinin serbestçe belirlemesinde önemli olmasındır. Yine bu bilgilerin kaydedilmesi halinde kişilerin belirtilen özelliklerinden dolayı bir ayrımcılıkla karşılaşılabilecek olma ihtimalidir.Kanun koyucu belirtilen nedenlerle bu bilgileri daha etkin şekilde korumak istemiş, ve suçun konusunu bu bilgilerin oluşturmasını daha ağır yaptırımla karşılamıştır. 

b)Failin Sıfatıyla İlgili Nitelikli Haller: 

TCK’nun 137. Maddesinde, 135 ve 136. Maddelerinde tanımlanan suçların 

-Kamu görevlisi tarafından ve  görevinin verdiği yetki kötüye kullanılmak suretiyle, 

-Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, faile verilecek cezanın yarı oranında arttırılması öngörülmüştür. 

                      Kişisel verilerin kaydedilmesi suçunun bir kamu görevlisi tarafından görevinin verdiği yetki kötüye kullanmak suretiyle işlenmesi nitelikli halini oluşturmaktadır. Yani suçun kamu görevlisi tarafından işlenmesi yeterli olmayıp ayrıca kamu görevlisinin bu suçu görevinin verdiği yetkiyi kötüye kullanmak suretiyle işlenmesi gerekir. Dolayısıyla kamu görevlisi kişisel verilerin kaydedilmesi bakımından yetkili olmalıdır. Kamu görevlisi olmakla birlikte verileri kaydetme bakımından yetkisi yoksa bu nitelikli hal uygulanmayacaktır. Maddede belirtilen diğer bir nitelikli hal de suçun belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesidir. Örneğin serbest olarak çalışan bir hekimin muayeneye gelen kişinin tahlil sonuçlarının ve genetik yapılarının gerekmediği halde bilgisayarına kaydetmesi halinde bu nitelikli hal oluşacaktır. Aynı şekilde bir banka çalışanın müşteri bilgilerine ulaşarak bu bilgileri kaydetmesi halinde de bu nitelikli hal gerçekleşecektir.

D)Teşebbüs:

Teşebbüs bakımından bu suç bir özellik arz etmemektedir. Ancak suçun sırf hareket suçu olması nedeniyle bu suça teşebbüs edilmesi zor gözükmektedir. Kaydetme hareketinin kısımlara bölünebildiği hallerde teşebbüs söz konusu olabilecektir. Örneğin bilişim sistemine verilerin yazılmaya başlamasına rağmen henüz kaydedilme gerçekleştirilmeden fiilin yarıda kalması halinde teşebbüsün varlığı tartışılabilecektir . Başkasına ait verilerin ele geçirilmesi TCK’nun 136. Maddesinde ayrı bir suç olarak düzenlendiği için bu fiil kaydetme suçu bakımından teşebbüs olarak görülemeyecektir.

E)İştirak: 

Bu suça iştirak bakımından da bir özellik bulunmamaktadır. Yani iştirakın her şekliyle bu suça katılmak mümkündür. Bu suçu kamu görevlisi olmayan birisiyle kamu görevlisi olan başka birisinin bu kamu görevinin verdiği yetkiyi kötüye kullanması suretiyle müşterek fail olarak işlenmesi halinde, nitelikli halin (TCK 137. Madde) yalnızca kamu görevlisi tarafından gerçekleşeceğini belirtmek gerekir.

F)İçtima:

Bu suçun zincirleme suç şeklinde işlenmesi mümkündür. Aynı kişiye ait kişisel bilgilerin farklı zamanlarda müteaddit defa kaydedilmesi halinde faile verilecek tek ceza bu ceza TCK 43. Maddesinin 1. Fıkrasına göre arttırılacaktır. Ancak burada her kaydetmenin ayrı fiil olduğunun belirlenmesi gerekir. Şayet fail tek fiiliyle bir kişiye ait çok sayıda veriyi kaydetmiş ise, zincirleme suç kuralı uygulanmayacaktır. Birden çok kişiye ait bilgileri tek fiil ile kaydedilmiş ise aynı neviden fikri içtimanın varlığı (TCK’nun 43/2 madde) kabul edilerek yine tek ceza verilmesi ve bu ceza arttırılmalıdır. Burada dikkat edilmesi gereken başka bir konu ise her türlü kişisel verinin hukuka aykırı olarak kaydedilmesini suç olarak tanımlayan TCK 135. Madde ile sadece özel hayata ilişkin gizliliği ihlal eden görüntü ve seslere ilişkin verilerin kaydedilmesini özel olarak düzenleyen TCK 134/1 maddesinin birbirine karıştırılmamasıdır. Genel norm – özel norm ilişkisi dikkate alındığında ve Yargıtay uygulamalarına göre kaydedilen veya ifşa edilen görüntü veya seslerin özel hayatın gizliliğini ihlal etmesi durumunda bu görüntü veya seslerin kişisel veri kapsamında değerlendirilemeyeceğinden yalnızca TCK 134. Maddede ye alan özel hayatın gizliliğini ihlal suçunu oluşacağı kabul edilmiştir.(Yargıtay 12. Ceza Dairesinin  19/01/2015 gün 2014/11530 E. 2015/584 K. Sayılı kararı)


  G) Soruşturma Usulü:


  TCK’nun 139. Maddesi uyarınca da bu suçlardan takibat yapılması şikayete bağlı değildir. Yani resen ilgili Cumhuriyet Başsavcılığı tarafından soruşturma gerekmektedir. Kamu görevlisini görevi sebebiyle bu suç işlemesi halinde soruşturma 4483 Sayılı Yasaya göre soruşturma izni alındıktan sonra takibata başlanabilir. Her iki kanun maddesindeki ceza miktarları dikkate alındığında suç işlendiği tarihten itibaren dava zaman aşım süresi sekiz yıl olup, bu suçlarda azami tutukluluk süresi CMK’nun 102/1 maddesi uyarınca 1 yıldır. Zorunlu hallerde 6 ay daha uzatılabilir. 

Yukarıda TCK 135. Maddesinde yer alan kişisel verileri kaydetme suçuna ilişkin hususlara yönelik açıklamalar ışığında bu konuya dair iki adet örnek Yargıtay kararına aşağıda yer verilmiştir. 

YARGITAY 12. CEZA DAİRESİ 

Esas : 2013/25593 Karar : 2014/165 Tarih : 13.01.2014

-TCK 135. Madde

-Kişisel Verilerin Kaydedilmesi Suçu

Belirli veya belirlenebilir bir kişiye ait her türlü bilginin, hukuka aykırı olarak kaydedilmesi TCK’nın 135. maddesinde “Kişisel verilerin kaydedilmesi” başlığı altında; yine, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi de, TCK’nın 136/1. maddesinde “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında suç olarak tanımlanmış olup, eylemin; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle gerçekleşmesi hali, aynı Kanunun 137. maddesinde cezada artırım nedeni olarak öngörülmüştür.

           Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda “kişisel veri” olarak değerlendirilemez, aksinin kabulü; anılan maddenin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçlar doğurur, bu nedenle, bir kişisel bilginin, açıklanan anlamda “kişisel veri” kabul edilip edilmeyeceğine karar verilirken, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi gerekir.

         Bu açıklamalar hakkında incelenen dosya içeriğine göre, olay tarihinde, katılanlar tarafından, sanıkların, kamuoyunda “misyonerlik” olarak adlandırılan faaliyette bulundukları yönündeki ihbar ve şikayetleri üzerine, sanıklar hakkında, halkı kin veya düşmanlığa tahrik ve Türklüğü aşağılama suçları kapsamında başlatılan soruşturmada, sanıkların evlerinde ve çalıştıkları yerlerde ve bilgisayarlarında yapılan aramalar kapsamında, mensup oldukları dini bildirmek için görüştükleri bir çok kişinin ad, soyad, adres, telefon numaraları ile birlikte, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koyan bilgilerle birlikte kaydettiklerinin ortaya çıkması şeklinde meydana gelen olayda,

        Yapılan yargılamaya, toplanıp karar yerinde gösterilen delillere, mahkemenin kovuşturma sonuçlarına uygun olarak oluşan kanaat ve takdirine, incelenen dosya kapsamına ve oluşa göre, sanıklar müdafiinin, sanıkların atılı suçu işlemediklerine, TCK’nın 135/1. maddesine göre, kişisel verileri “hukuka aykırı olarak kaydeden” kişinin cezalandırılacağının öngörüldüğüne, sanıkların kaydettiği bilgilerin kişilerin rızası ile verildiğine, hukuka aykırılık unsurunun bulunmadığına, sanıkların Anayasal bir hak olan dinini serbestçe yayma ve öğretme kapsamında hareket ettiklerine, bunun da Uluslararası sözleşmeler, anayasa, yasalar ve yargı içtihatları uyarınca suç sayılmadığına, tamamen serbest olan çalışmaları sırasında kişisel verileri kullanan sanıkların beraatine karar verilmesi gerektiğine ilişkin yerinde görülmeyen diğer temyiz itirazlarının reddine, ancak;

       Hükmün esasını teşkil eden kısa kararda ve gerekçeli kararın hüküm kısmında, sanıklar hakkında temel cezanın tayini sırasında uygulama maddesi olan TCK’nın 135/2. maddesine atıfta bulunulmaması suretiyle CMK’nın 232/6. maddesine aykırı hareket edilmesi,

      Kanuna aykırı olup, sanıklar müdafiinin temyiz itirazları bu itibarla yerinde görüldüğünden, hükmün bu sebeplerden dolayı 5320 sayılı Kanunun 8. maddesi uyarınca halen uygulanmakta olan 1412 sayılı CMUK’un 321. maddesi gereğince BOZULMASINA, ancak, yeniden yargılama gerektirmeyen bu hususun aynı Kanunun 322. maddesine göre düzeltilmesi mümkün bulunduğundan, hüküm fıkrasının (C) paragrafının birinci bendine “eylemlerine uyan” ibaresinden sonra gelmek üzere “TCK’nın 135/2. maddesi yollamasıyla” ibaresinin yazılmasına, hükümdeki diğer hususların aynen bırakılması suretiyle, sair yönleri usul ve kanuna uygun bulunan hükmün istem gibi DÜZELTİLEREK ONANMASINA, 13.01.2014 tarihinde oybirliğiyle karar verildi.

YARGITAY 12. CEZA DAİRESİ

 Esas : 2014/11488 Karar : 2015/576 Tarih : 19.01.2015

-TCK 135. Madde

-Kişisel Verilerin Kaydedilmesi Suçu

           Kişisel verilerin kaydedilmesi suçundan sanığın beraatine ilişkin hüküm, katılan vekili tarafından temyiz edilmekle, dosya incelenerek gereği düşünüldü:

          Aile Sağlığı Merkezi’nde ebe olarak çalışan sanığın, Aile Sağlığı Merkezi’nin karşısındaki eczanede çalışan ve önceden husumetli olduğu katılanın, eczanenin işleri nedeniyle Aile Sağlığı Merkezi’ne gelip gittiği sırada fotoğraflarını çektiği iddia edilmiş ve sevk maddesi olarak TCK’nın 135/1. maddesi gösterilmiş ise de; niteleme ve anlatımın TCK’nın 134/1. maddesinin 2. cümlesindeki suça ilişkin olduğu, ancak; sanığın suçu inkara yönelik savunması, sanıkla aynı yerde çalışan tanık …‘in, savunmayı doğrulayan anlatımı, sanıktan ele geçirilen herhangi bir görüntü kaydı bulunmaması ve tanıklar …, … ve …‘nın beyanlarına, sanıkla aralarında önceye dayalı husumet bulunması nedeniyle tarafsız olamayacağından, itibar edilemeyecek olması karşısında, suç sabit olmadığından, sanığın beraatine karar verilmesinde isabetsizlik görülmemiştir.

       Yapılan yargılama sonunda, suçun sanık tarafından işlendiğinin sabit olmadığı, gerekçeleri gösterilerek mahkemece kabul ve takdir kılınmış olduğundan, katılan vekilinin, bir nedene dayanmayan temyiz itirazlarının reddiyle, beraata ilişkin hükmün isteme uygun olarak ONANMASINA, 19.01.2015 tarihinde oybirliğiyle karar verildi.

       SONUÇ ve DEĞERLENDİRME

                   İçinde bulunduğumuz yüzyılda bilişim alanındaki gelişmeler kamu ve özel sektörün çalışma alanları ile ilgili olarak kişilere ait bilgilerin toplanmasını bunların birbiri ile karşılaştırılarak belli sonuçlara ulaşılmasını kolaylaştırdığı gibi toplanan bu bilgilerin hukuka aykırı amaçlar için kullanılmasına da zemin oluşturmuş, kişilerin özel hayat alanına müdahaleyi daha kolay hale getirmiştir. İnternetin keşfi ve sosyal medya araçlarının yaygınlaşmasıyla birlikte kişisel bilgileri sınırsız bir şekilde toplanan kullanılan ve devredilen bireyin korunması bir zorunluluk olarak ortay çıkmıştır. Bu durum gerek uluslararası toplumun gerek devletleri özel hayatın bir parçasını oluşturan kişisel verilerin daha etkin bir şekilde korunmasına yönelik düzenlemelere yapmaya sevk etmiştir. 

                  Türkiye gerek konuya ilişkin uluslararası sözleşmeye taraf olarak gerekse iç hukukunda yaptığı düzenlemelerle kişisel verilerin hukuka aykırı amaçlarla kullanılmasına karşı hukuki koruma mekanizmasını oluşturmuştur. Bu çerçevede kişisel verilerin korunması hakkı, anayasal bir hak olarak kabul edilmiş ve özel bir kanun çıkartılarak kişisel verilerin işlenmesi ve korunmasına yönelik bütüncül bir mekanizma oluşturulmaya çalışılmıştır. 

                Kişisel verilerin korunmasının en etkili yollarından birisi de bu hakkın ihlaline yönelik fiilleri suç haline getirmektir. Nitekim Türk Ceza Kanununda kişisel verilerin hukuka aykırı olarak ele geçirilmesi, kaydedilmesi, başkalarına verilmesi ve yayılmasıyla ile hukuka uygun olarak kaydedilen verilerin kanunda belirlenen süre geçmesine rağmen sistemden silinmemesi fiilleri suç olarak tanımlanmış, yukarıda arz edildiği üzere TCK’nun 135 ile 140. Maddeleri arasında bu konuda ayrıntılı bir düzenleme yapmış ve Yargıtay İçtihatları ile de her somut olay özelliklerine göre bireylerin hukuki güvenceleri sağlanmıştır.


KAYNAKÇA

Aydın, Sedat Erdem: AİHM İçtihatları bağlamında Kişisel Verilerin Kaydedilmesi Suçu İstanbul Aralık 2015

Aydın, N., Tıp Ceza Hukukunda Verileri Hukuka Aykırı Olarak Verme ve Ele Geçirme Suçu (TCK m.136.), Selçuk Üniversitesi Hukuk Fakültesi, C.21, s.2, 2013, s. 9 vd.

Artuç, Mustafa Türk Ceza Kanunu Açıklamalı sayfa 574


Bacaksız, Pınar Kişisel Sağlık Verilerinin Korunması ve Covid-19 Süreci, Lexpera Block, 28/05/2020 sayfa 3-5

Dülger, Volkan Murat: Bilişim Suçları ve İnternet İletişim Hukuku 6. Baskı, Ankara Eylül 2015

Dülger, V. M., “Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti”, İstanbul Medipol Üniversitesi  Hukuk Fakültesi Dergisi 1 (2), 2015, s. 43-80.

http//barandoğan.av.tr

Ketizmen, Muammer: Türk Ceza Hukukunda Bilişim Suçları, Ankara 2008

Koca,  Mahmut/Üzülmez, İlhan: Türk Ceza Hukuku Genel Hükümler 11. Baskı Ankara Eylül 2018 

Koca,  Mahmut/Üzülmez, İlhan: Kişisel Verilerin Kaydedilmesi Suçu DEÜ Hukuk Fakültesi Dergisi, C 21 Özel Sayı sayfa 69-93

Küzeci, Elif: Kişisel Verilerin Korunması, Ankara 2010

Özbek, Veli Özer/Doğan, Koray/Bacaksız Pınar/Tepe, İlker: Türk Ceza Hukuku Özel Hükümler 12. Baskı Ankara Eylül 2017

Özkan F., Kişisel Verilerinin Korunmasının Pozitif Temelleri ve AİHM Kararlarından   Örnekler, Yüksek Lisans Tezi, Sayfa 8, 10.05.2020

Sert, G., Kişisel Verilerin Türk Ceza Kanunu Kapsamında Korunması, s39; Ünsal Zeybek Ç./ Büken Örnek N., Kişisel  Verilerin Korunması Kanununun  Biyomedikal Alana Yansımaları Değerlendirilmesi, Hacettepe HFD,  7(2) 2017, 33-54, s. 38: Dülger V.M., Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti, İstanbul Medipol  Üniversitesi Hukuk Fakültesi Dergisi 1 (2), 2015; 43-80, s.51; Ömür R.C, Kişisel Sağlık Verilerinin Korunması ve Hastanelerin Sorumluluğu, YÜHFD, C.xv, 2018/1,s. 133-180, S.135

Yaşar, Osman/Gökcan, Hasan Tahsin/Artuç, Mustafa: Yorumlu- Uygulamalı Türk Ceza Kanunu 3. Cilt madde 86-140, 2. Baskı Ankara 2014 

Kategoriler