Kişisel veri kavramı, birçok hukuki düzenlemede yer almasına rağmen bu kavramın ortak bir tanımını bulmak ve kapsamını ortaya koymak oldukça zordur[1]. Ülkemizde kişisel verilerin korunmasına dair ilk düzenleme 5237 sayılı Türk Ceza Kanunu’dur[2]. Nitekim TCK’da özel hayata ve hayatın gizli alanına karşı suçlar düzenlenmiş olup yasanın 135’inci ve 140’ıncı maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır.

Ülkemizde kişisel verilerin korunması alanında en önemli düzenlemelerden olan 6698 sayılı Kişisel Verilerin Korunması Kanun’unun 3.maddesinde kişisel veri kavramı, bir kişinin belirli ya da belirlenebilir nitelikteki her türlü bilgisi olarak tanımlanmıştır. Avrupa’da bu alanda en güncel metinlerden olan Genel Veri Koruma Tüzüğü’nde ise kişisel verinin tanımı “belirli ya da belirlenebilir gerçek bir kişiye ait herhangi bir bilgi” şeklinde yapılmıştır. Bu kapsamda kişisel veri kavramını, bireyin kimliğini belirlemeyi sağlayan bilgiler olarak tanımlayabiliriz. Yani bir insanı diğer insanlardan ayıran bilgi, bir kişisel veri olarak değerlendirilebilir[3]. Örneğin bireyin ismi, soy ismi, adresi, işi, mesleği, fizyolojik özellikleri, kredi kartı bilgileri ya da sağlık, istihdam, sendikal veya siyasi faaliyetleri, sosyal güvenlik bilgileri ile bir kişiyi tanınabilir veya belirlenebilir kılmaya yarayacak her tür bilgi kişisel veri olarak düşünülebilir[4]. Bunlarla birlikte kişinin etnik köken, öğrenim durumu, banka bilgileri, telefon rehberi, bilgisayarının IP adresi, parmak izi, smsleri, e-mailleri, sosyal paylaşım sitelerindeki aktiviteleri kişisel veri olarak değerlendirilebilir[5]. Kısaca kişisel veri, bir kişinin tanımlanmasını sağlayan en temel özellikleridir.

Yargıtay tarafından da birçok kararında kişisel veri şu şekilde tanımlanmıştır; “Kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C.kimlik numarası, adı, soy adı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi”[6].

Yukarıdaki açıklamalar kapsamında bir değerlendirmede bulunulduğunda kişisel verilerin  gizli bilgiler olmasının şart olmadığı sonucuna varılmaktadır. Yani kişisel veriler, bireylerin inanç anlamında iç dünyasına dair bir husus olabileceği gibi bireyin yukarıda sayılan dışarıdan bakıldığında kolaylıkla anlaşılabilen fiziksel özelliklerine ilişkin de olabilir[7]. Kişisel verinin öznel ya da nesnel bir niteliğe sahip olmasının da bir önemi bulunmamaktadır. Örneğin iş hukuku çerçevesinde işverenin bir işçiyi işe alım sürecinde iş görüşmesine dair değerlendirme notları veya ilgili kişiye ait tapu kayıtları kişisel veri olarak kabul edilebilir[8].

Kişisel verilere ilişkin yukarıda belirtilen tanım dikkatlice incelendiğinde tanımda iki ana unsurun yer aldığı görülmektedir. Bunlar “Bilgi” ve “Kimliği Belirli Bir Kişi”dir. Aşağıda bu unsurları açıklayacak olursak;

Bilgi kavramının terimsel karşılığı doktrinde “işlemde kullanılan uzlaşımsal kurallardan yararlanarak kişinin veriye yönelttiği anlam” olarak tanımlanmaktadır. Tanımda geçen veri kavramı ise “olgu, kavram ya da konuların, iletişim, yorum ve işlem için elverişli biçimsel ve uzlaşımsal bir gösterimi” şeklinde tanımlanmaktadır. Bu çerçevede veri kavramının, bilginin temel dayanağı olduğu söylenebilir. Yani veri, işlenmemiş bilgi niteliğine haiz olup bilgi, verinin işlenerek alıcısının anlamasının sağladığı haline veya veri ile anlamın birleşmesine denir[9].

Yukarıdaki kişisel veri tanımında ifade edilen “Kimliği Belirli Bir Kişi” ifadesiyle ise; gerçek bir kişinin diğer kişilerden ayrılması, kişinin bir başkasından ayrı olarak değerlendirilebilmesi anlatılmak istenmektedir. Bu çerçevede kişisel veri kavramının söz konusu olabilmesi için kişinin kimliğinin belirli veya belirlenebilir olması gerekir. Kişinin belirli olmasından kasıt ise, veriler sayesinde bir gerçek kişinin, başka bir bilgiye ihtiyaç duyulmaksızın doğrudan tespit edilerek belirlenebilmesidir. Bu icapla bakılacak olursa bir kişinin adı, kimlik numarası ya da sosyal güvenlik numarası o kişinin doğrudan doğruya kimliğinin belirlenmesinde etkendir ve tanımlayıcıdır. Yine gerçek kişinin doğum tarihi, doğum yeri, anne ve babasını adı, adresi, yüzünün bir fotoğrafı ya da diğer biyometrik verileri kişinin doğrudan doğruya belirlenmesine hizmet eden faktörlerdendir[10].

Tüm bu hususlarla birlikte bir kişinin takma ad kullanılan verileri, o kişinin belirlenmesine yardım sağlayan yardımcı verilerle kişiye ulaşmayı sağlıyor ise KVKK kapsamındaki korumadan yaralanabilir. Fakat anonimleştirilmiş verilerin bu koruma kapsamına alınması mümkün değildir[11].

Yukarıdaki açıklamalar çerçevesinde kişisel verilerini kontrol altında tutmak isteyen bir kişi maddi ve manevi varlığını korumayı amaçlarken etkili başvuru hakkından faydalanmak suretiyle bu haklarını Türk Ceza Kanunu hükümlerine aykırı olarak ihlal eden kişilere karşı yasal süreç başlatma imkanına sahiptir. Bu çerçevede TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünde yer alan 135’inci madde ile 139’uncu maddeler arasındaki kanun hükümleri kişisel verilerin korunmasına yöneliktir. TCK bakımından kişisel verilerin korunmasını sağlayan bu hükümler, suçta ve cezada kanunilik ilkesi gereği doğrudan ve kıyasa gerek kalmaksızın uygulanabilir durumdadır. 6698 sayılı Kanunda bu maddelere atıf yapılarak cezai sorumluluk bağlamında uygulanacak kanun hükümleri gösterilmiştir. Bu kanun hükümlerinde suç teşkil eden eylemler, yaptırımları, nitelikli halleri, şikayete bağlı olup olmadıkları ile tüzel kişiler hakkında uygulanacak güvenlik tedbirleri belirtilmiştir[12]. Bu kapsamda TCK’nın 135’inci maddesinde düzenlenen “Kişisel Verilerin Kaydedilmesi” suçunun oluşabilmesi için öncelikle açık rızanın bulunmaması gerektiği, devamında da 6698 sayılı Kanunun 5/2’nci maddesine göre rıza aranmayan hallerden biri kapsamında kaydedilmemiş olması gerektiğini belirtebiliriz[13]. Bu suç tipinde kişisel verilerin hukuka aykırı biçimde kaydedilmesindeki hareket; gerektiğinde kullanılmak üzere veriyi yazmak, depolamak, sesi veya resmi manyetik bant üzerine geçirmek şeklinde yorumlanabilir[14]. İlaveten bu suç tipinin oluşması için mağdurun bir zarara uğrayıp uğramadığının bir önemi bulunmamaktadır. Zira suç bir tehlike suçu olarak kabul edilmektedir[15].

Hukuka aykırı olarak kişisel verilerin kaydedilmesinin suç teşkil etmesi ile birlikte bu kişisel verilerin özel nitelikli kişisel verilerden de olması da TCK.m.135/2’de cezayı ağırlaştıran bir sebep olarak düzenlenmiştir. Bu kanun hükmüne göre verilecek cezanın yarı oranında artırılması gerekmektedir[16].

Yine TCK’nın 136’ncı maddesinde “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlığı altında ise kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır. Bu madde kapsamında düzenlenen suç, seçimlik hareketli bir suçtur. Yani verme, yayma ve ele geçirme şeklindeki hareketlerden herhangi birisinin bir kişisel veri üzerinde hukuka aykırı olarak icra edilmesi ile suç doğmuş sayılacaktır[17]. Bu çerçevede kişisel verileri başkasına verme, yayma ve ele geçirme hareketlerinin hukuka aykırı olarak gerçekleştirilmesi gerekmektedir[18].

Yine TCK’nın 138’inci maddesinde “Verileri Yok Etmeme” başlığı altında kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verileceği düzenlenmiştir. Bu suç tipi yalnızca verileri sistem içinde yok etmekle yükümlü olan kimseler tarafından işlenebilecek olup özgü suç karakteri taşımaktadır.

SONUÇ OLARAK; Kişisel veri kavramı, birçok hukuki düzenlemede yer almasına rağmen bu kavramın ortak bir tanımını bulmak ve kapsamını ortaya koymak oldukça zordur. Ülkemizde kişisel verilerin korunmasına dair ilk düzenleme 5237 sayılı Türk Ceza Kanunu’dur. Nitekim TCK’da özel hayata ve hayatın gizli alanına karşı suçlar düzenlenmiş olup yasanın 135’inci ve 140’ıncı maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır. Kişisel verilerin korunması alanında en önemli düzenlemelerden olan 6698 sayılı Kişisel Verilerin Korunması Kanun’unun 3.maddesinde kişisel veri kavramı, bir kişinin belirli ya da belirlenebilir nitelikteki her türlü bilgisi olarak tanımlanmıştır. Bu kapsamda kişisel veri kavramını, bireyin kimliğini belirlemeyi sağlayan bilgiler olarak tanımlayabiliriz. Bu kapsamda kişisel veriler, TCK kapsamında da korunmakta olup  kişisel verilerini kontrol altında tutmak isteyen bir kişi maddi ve manevi varlığını korumayı amaçlarken etkili başvuru hakkından faydalanmak suretiyle bu haklarını Türk Ceza Kanunu hükümlerine aykırı olarak ihlal eden kişilere karşı yasal süreç başlatma imkanına sahiptir.

---------------

[1] KOÇER, Seçkin: Ceza Muhakemesinde Kişisel Verilerin Korunması, 1.Baskı, Adalet Yayınevi, Ankara 2021, s.25.

[2] BORAN GÜNEYSU, Nülüfer: Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku, 1.Baskı, Yetkin Yayınevi, Ankara 2022, s.1199 (Editör: ŞENOCAK, Kemal).

[3] YILMAZ, Tuba: Kişisel Verilerin Aktarımına İlişkin Sözleşmeler, 1.Baskı, Seçkin Yayınevi, Ankara 2023, s.17.

[4] DOĞAN, Bayram: Kişisel Verilerin Korunması Hakkı, Adalet Yayınevi, 1.Baskı, Ankara 2022, s.48 ; Benzer yönde ÇELİKEL, Serdar: Veri Sorumlusu ve Veri Sorumlusunun Yükümlülükleri, Seçkin Yayınevi, 1.Baskı, Ankara 2022, s.52.

[5] AYÖZGER, A.Çiğdem, Kişisel Verilerin Korunması, Beta Yayınevi, 1.Baskı, İstanbul 2016, s.6.

[6] Y.12.CD. 10.07.2019 T. 2019/5491 E. 2019/8319 K. ; Y.12.CD. 10.07.2019 T. 2018/8144 E. 2019/8317 K. (KOÇER, s.26).

[7] KOÇER, s.27.

[8] KOÇER, s.27.

[9] AYÖZGER, s.8 ; ÇELİKEL, s.55.

[10] AYDIN, s.25.

[11] AYÖZGER, s.12.

[12] DOĞAN, s.96.

[13] DOĞAN, s.97.

[14] KÖSE AYSUN, Melike: Kişisel Verilerin Kaydedilmesi Suçu, 2.Baskı, Seçkin Yayınevi, Ankara 2021, s.118 ; YENİOCAK, Erkan Cem: Kişisel Verilerin Kaydedilmesi Suçu, 1.Baskı, Yetkin Yayınevi, Ankara 2022, s.68.

[15] KÖSE AYSUN, s.119.

[16] DOĞAN, s.98.

[17] DOĞAN, s.99.

[18] DOĞAN, s.99.