Kişisel Verilerin Korunması: Türk Ceza Kanunu'nda Öngörülen Cezai Yaptırımlar

5237 sayılı Türk Ceza Kanunu’nda ("TCK"), kişisel verilerin hukuka aykırı kullanımı ile ilgili suç teşkil eden eylemler düzenlenmektedir. “Kişisel veri”nin net tanımı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ("KVK") yapıldığından dolayı, KVK bu bağlamda önemini sürdürmektedir. KVK'nın ihlali anlamına gelen bazı eylemler, Kişisel Verileri Koruma Kurumu tarafından idari para cezalarının uygulanmasına neden olabilir (daha fazla bilgi için lütfen bağlantıya bakınız). Bununla birlikte, aynı eylemler TCK’nın ihlali anlamına da gelebilir ve bu da cezai kovuşturma ve cezai yaptırımlara yol açabilir. Aşağıda bu suçlar ve ilgili cezai yaptırımlar yer almaktadır.

1. Kişisel Verilerin Kaydedilmesi

TCK'nın 135. maddesine göre, kişisel verilerin kişilerin rızası olmadan kaydedilmesi suç teşkil etmektedir. Örneğin, bir müşterinin adını, telefon numarasını, adresini veya diğer kişisel verilerini pazarlama amacıyla kaydetmek bu kapsamda değerlendirilebilir.

Buna göre, kişisel verileri hukuka aykırı olarak kaydeden kimse 1 yıldan 3 yıla kadar hapis cezasına çarptırılır.

Kişisel verinin; kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda 1,5 yıldan 4,5 yıla kadar hapis cezası öngörülmektedir.

2. Kişisel Verilerin Ele Geçirilmesi, Paylaşılması veya Yayılması

TCK'nın 136. maddesine göre; kişisel verilerin kişilerin rızası olmadan bir başkasına verilmesi, yayılması veya ele geçirilmesi suç teşkil etmektedir. Örneğin, bilgisayar sistemine girilmek suretiyle bir derneğin gönüllülerine ait kişisel verilerin ele geçirilmesi ve bu bilgilerin başka bir dernek ve/veya diğer kişilerle paylaşılması bu suç kapsamında değerlendirilebilir. 

Buna göre, kişisel verileri hukuka aykırı olarak ele geçiren, bir başkasına veren veya yayan kimse 2 yıldan 4 yıla kadar hapis cezasına çarptırılır.

3. Kişisel Verilerin İmha Edilmesi 

TCK'nın 138. maddesine göre, kanunların belirlediği sürelerin geçmiş olmasına karşın kişisel verilerin imha edilmemesi suç teşkil etmektedir. Örneğin, çalışanların kişisel dosyalarının 10 yıl saklanması gerekmekte olup, bu süre geçtikten sonra dosyaların imha edilmemesi bu kapsamda değerlendirilebilir.

Buna göre, imha için öngörülen süre bitiminden önce, öngörülen usullere uygun olarak verileri yok etmeyen kimse 1 yıldan 2 yıla kadar hapis cezasına çarptırılır.

Sonuç

Veri sahiplerinin hakları KVK’nın yanı sıra TCK kapsamında da korunmaktadır. Buna göre, mevzuata uygun olmayan bir şekilde verileri işleyen kuruluşlar tarafından istihdam edilen ve/veya kuruluşları temsil eden kişiler de cezai kovuşturma ile karşı karşıya kalabilirler. TCK kapsamındaki veri suçlarıyla ilgili uygulama, artan Yargıtay kararlarıyla daha da netleşmektedir ve bu da savcılıklar ve ilk derece mahkemeleri için güçlü bir emsal teşkil etmektedir. Verilerin korunması ile yasal uyumu temin edecek projeler, çalışanlar ve kuruluşların temsilcileri tarafından, bilerek ya da bilmeyerek, kişisel verilerle ilgili suç işleme riskini önemli ölçüde azaltmaktadır.