Kişisel Veri Nedir?

Kişisel veri, modern dijital çağda bireylerin mahremiyetini ve özel hayatını korumanın temelini oluşturan kritik bir kavramdır. Türkiye’de bu konu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kapsamlı bir şekilde düzenlenmiştir. KVKK’nın temel amacı, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve bireylerin mahremiyetini güvence altına almaktır.

KVKK Kapsamında Kişisel Verinin Tanımı ve Detayları

KVKK’nın madde gerekçesinde kişisel veri şu şekilde tanımlanmaktadır: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.” Bu tanım, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi doğrudan teşhisini sağlayan bilgileri değil; aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgileri de kapsar.

Unutulma Hakkı yönünden detaylı bilgi için tıklayınız.

Bir kişinin “belirli veya belirlenebilir” olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani, verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hâlleri kapsar. Örneğin, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri ve genetik bilgiler gibi veriler, dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilir.

Uluslararası Sözleşmeler ve Ceza Kanunu Kapsamında Kişisel Veri

Kişisel verilerin korunması, uluslararası alanda da önemli bir konudur. Türkiye’nin taraf olduğu 28.01.1981 tarihli ve 108 No.lu Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Uluslararası Sözleşme’nin 2/a maddesi de benzer bir tanım sunar: “Kişisel nitelikteki veriler; kimliği belirtilen veya belirtilebilen gerçek kişiyle ilgili tüm bilgileri ifade eder.”

Gerçek Kişilerle Sınırlılık

Bu tanımlar ışığında, şirketlere ilişkin veriler tanım itibarıyla kişisel veri ihlali kapsamına girmemektedir. Nitekim Türk Ceza Kanunu (TCK)’nın 135. maddesinin gerekçesinde de bu durum açıkça belirtilmiştir: “Gerçek kişiyle ilgili her türlü bilgi, kişisel veri olarak kabul edilmelidir. Söz konusu suç tanımında kişisel verilerin bilgisayar ortamında veya kâğıt üzerinde kayda alınması arasında bir ayırım gözetilmemiştir.” Bu hüküm, kanunun koruduğu alanı bu suç tipi yönünden sadece gerçek kişiler ile sınırlamıştır.

Kişisel Verilerin Ele Geçirilmesi: Tanım ve Riskler

Kişisel verilerin ele geçirilmesi, yetkisiz kişilerin bu verilere izinsiz olarak erişmesi, kopyalaması, değiştirmesi veya silmesi anlamına gelir. Bu durum, genellikle siber saldırılar, veri sızıntıları veya sosyal mühendislik yöntemleri gibi farklı yollarla gerçekleşir.

Kişisel verilerin ihlali suçu, günümüzde dijitalleşmenin hızla ilerlemesiyle birlikte sıkça karşılaşılan bir hukuki kavramdır. Bu suç, kişinin özel hayatına saygı gösterme ilkesini ihlal eden ve bireyler için ciddi sonuçlara yol açabilen bir durumdur.

Kişisel Veri İhlali Nedir? Nedenleri ve Sonuçları

Kişisel veri ihlali, kanunen korunan kişisel verilere yetkisiz erişim, kayıp, ifşa, değişiklik veya imha gibi durumları ifade eder. Bu durum, hem bireylerin hem de kurumların mağdur olmasına neden olabilir ve büyük zararlara yol açabilir.

Kişisel Veri İhlali Nedenleri

Kişisel veri ihlallerinin başlıca nedenleri şunlardır:

  • Siber Saldırılar: Bilgisayar korsanlarının sistemlere girerek verileri çalması veya tahrip etmesi. Bu, fidye yazılımları, oltalama saldırıları gibi çeşitli formlarda olabilir.
  • Veri Sızıntıları: Yanlışlıkla veya kasıtlı olarak verilerin dışarı sızması. Bu durum, insan hatasından kaynaklanabileceği gibi, kötü niyetli çalışanların eylemleri sonucunda da ortaya çıkabilir.
  • Sosyal Mühendislik: İnsanları kandırmak yoluyla kişisel bilgilerin elde edilmesi. Bu yöntemler, genellikle psikolojik manipülasyon tekniklerini kullanır.
  • Cihaz Kayıpları: Cep telefonları, tabletler, dizüstü bilgisayarlar gibi cihazlarda bulunan verilerin kaybolması veya çalınması. Şifreleme önlemleri alınmamış cihazlar bu tür ihlallere karşı daha savunmasızdır.

Kişisel Verilerin Kaydedilmesi Suçu: TCK Kapsamında Düzenlemeler ve Yargıtay Uygulamaları

Kişisel verilerin kaydedilmesi suçu, Türk Ceza Kanunu’nda (TCK) düzenlenen ve bireylerin mahremiyet haklarını ihlal eden önemli bir suç türüdür. Bu suç, kişinin rızası olmaksızın veya hukuka uygun bir neden olmaksızın kişisel verilerin herhangi bir ortamda saklanması anlamına gelir.

Suçun Unsurları ve Cezai Yaptırımları

TCK madde 135 uyarınca, kişisel verileri hukuka aykırı olarak kaydeden kişiye bir yıldan üç yıla kadar hapis cezası verilir. Kanun, bazı durumlarda bu cezanın artırılmasını öngörmektedir. Eğer kaydedilen kişisel veriler, kişinin:

  • Siyasi, felsefi veya dini görüşlerine,
  • Irkî kökenlerine,
  • Hukuka aykırı olarak ahlâkî eğilimlerine,
  • Cinsel yaşamlarına,
  • Sağlık durumlarına,
  • Sendikal bağlantılarına

ilişkin ise ceza yarı oranında artırılır. Bu durum, özellikle hassas nitelikteki kişisel verilerin korunmasına verilen önemi göstermektedir.

Suçun İşleniş Biçimleri

Kişisel verilerin kaydedilmesi suçu, farklı ortamlarda işlenebilir:

  • Bilgisayar Ortamında Kaydetme: Bilgisayar, tablet, cep telefonu gibi dijital cihazların hafızalarına veya bulut depolama sistemlerine kişisel verilerin kaydedilmesi bu kapsamdadır.
  • Fiziksel Ortamda Kaydetme: Kağıt üzerinde, fotoğraf albümlerinde veya diğer fiziksel ortamlarda kişisel verilerin saklanması da suçun işleniş biçimlerindendir. Önemli olan, kaydın hukuka aykırı bir şekilde yapılmış olmasıdır.

Yargıtay Uygulaması: Dijital ve Fiziksel Ortamdaki Kayıtlar

Yargıtay kararları, kişisel verilerin kaydedilmesi suçunun dijital ve fiziksel ortamlarda nasıl yorumlandığını net bir şekilde ortaya koyar:

  • Dijital Ortamda Yapılan Kayıtlar: Yargıtay 12. Ceza Dairesi’nin 2019/6152 E., 2020/8405 K., T. 01.07.2020 tarihli kararında, “Sanığın, katılanın telefonuna yüklediği yazılımla onun kişisel konuşmalarını ve mesaj içeriklerini kayıt altına aldığı, bu verilerin rızaya dayalı olmadığı anlaşıldığından, TCK’nın 135. maddesi kapsamında kişisel verilerin hukuka aykırı kaydedilmesi suçunun unsurlarının oluştuğu kabul edilmelidir.” denilerek, dijital ortamda yapılan kayıtların da “kişisel veri kaydı” kapsamında değerlendirilmesi gerektiği vurgulanmıştır.
  • Hassas Nitelikli Verilerle İlgili Ağırlaştırma Hali: Yargıtay 12. Ceza Dairesi’nin 2021/11864 E., 2022/1236 K., T. 17.02.2022 tarihli kararı, TCK madde 135/2’de belirtilen nitelikli halin uygulanmasına örnek teşkil eder: “Sanığın, bir kamu kurumunda çalışan kişilerin sendika bilgilerini, siyasi görüşlerini ve sağlık raporlarını içeren kişisel verileri, rızaları olmaksızın kayda aldığı sabittir. Bu nedenle, TCK m.135/2 kapsamında nitelikli halin de gerçekleştiği ve cezanın artırılması gerektiği kanaatine varılmıştır.”
  • Suçun Fiziksel ve Dijital Ortamda İşlenmesi: Yargıtay 12. Ceza Dairesi, 2020/6459 E., 2021/7862 K., T. 15.06.2021 tarihli kararında ise hem fiziksel hem de dijital ortamda işlenen suçlara değinilmiştir: “Sanığın müştekiye ait banka dekontları, kimlik fotokopisi ve telefon kayıtlarını, fiziksel olarak saklaması ve üçüncü kişilerle paylaşması suretiyle, kişisel verileri hukuka aykırı şekilde kayda aldığı ve ifşa ettiği anlaşılmış olup, TCK m.135 ve 136 kapsamındaki fiillerin sübut bulduğu belirlenmiştir.”

Kişisel Veri İhlalinin Sonuçları ve Korunma Yolları

Kişisel veri ihlalleri, hem bireyler hem de kurumlar için ciddi sonuçlar doğurabilir.

Suçun Sonuçları

  • Mağdurun Haklarının İhlali: Kişinin mahremiyet hakkı ihlal edilir ve psikolojik olarak zarar görebilir. Bu durum, bireyin yaşam kalitesini olumsuz etkileyebilir.
  • İtibar Zararı: Özel hayatın ifşa olması durumunda kişinin sosyal çevresinde ve iş hayatında itibar kaybı yaşanabilir. Yargıtay 4. Hukuk Dairesi’nin 2019/1506 E., 2020/1327 K., T. 17.02.2020 tarihli kararı bu durumu destekler niteliktedir: “Kurum tarafından izinsiz şekilde internet ortamında paylaşılan özel nitelikli veriler nedeniyle kişilik hakkı ihlal edilen davacı lehine manevi tazminata hükmedilmesi yerindedir.”
  • Maddi Zararlar: Kişisel verilerin kötüye kullanılması sonucu maddi kayıplar ortaya çıkabilir (örneğin, kimlik hırsızlığı, banka hesaplarının ele geçirilmesi).
  • Yasal Sorumluluk: Suç işleyen kişi, hem cezai hem de hukuki sorumluluk altında kalır ve ağır yaptırımlarla karşı karşıya kalabilir.

Korunma Yolları ve Önlemler

Kişisel verilerin korunması için hem bireylerin hem de kurumların alması gereken önlemler bulunmaktadır:

  • KVKK’ya Uyum: Kişisel Verilerin Korunması Kanunu’nun hükümlerine uygun hareket etmek, veri işleyen herkes için yasal bir zorunluluktur.
  • Güçlü Şifreler: Kişisel hesaplarda güçlü, karmaşık ve benzersiz şifreler kullanmak, veri güvenliğini artırmanın temel adımlarından biridir.
  • İki Faktörlü Kimlik Doğrulama (2FA): Ek güvenlik katmanı için 2FA yöntemini kullanmak, yetkisiz erişimi önemli ölçüde zorlaştırır.
  • Güncel Antivirüs Yazılımları: Cihazları zararlı yazılımlara ve siber tehditlere karşı korumak için güncel antivirüs ve güvenlik yazılımları kullanmak hayati öneme sahiptir.
  • Kişisel Bilgilerin Sınırlandırılması: Sosyal medyada ve diğer çevrimiçi platformlarda kişisel bilgileri aşırı paylaşmaktan kaçınmak, riskleri azaltır.
  • Veri Gizliliği Politikalarını Okumak: Hizmet alınan şirketlerin veya platformların veri gizliliği politikalarını dikkatlice incelemek, kişisel verilerin nasıl işlendiğini anlamak için önemlidir.

Sonuç

Kişisel verilerin kaydedilmesi suçu, günümüzde sıkça karşılaşılan ve bireylerin temel haklarını tehdit eden ciddi sonuçları olan bir suçtur. Yargıtay içtihatları da bu suçun dijital ve fiziksel ortamlardaki geniş kapsamını ve hassas verilerin korunmasının önemini pekiştirmektedir. Hem bireylerin hem de kurumların, bu suçtan korunmak için gerekli önlemleri alması ve KVKK hükümlerine uygun hareket etmesi büyük önem taşımaktadır. Unutmayalım ki, kişisel verilerin korunması sadece yasal bir yükümlülük değil, aynı zamanda dijital çağda bireysel özgürlüğün ve güvenliğin temel bir parçasıdır.