Yargıtay 19. CD., E. 2017/6532 K. 2018/11149 T. 31.10.2018
Esas No.: 2017/6532
Karar No.: 2018/11149
Karar Tarihi: 31.10.2018
MAHKEMESİ: Ağır Ceza Mahkemesi
SUÇ: 5411 Sayılı Kanuna Aykırılık
HÜKÜM: Beraat
Yerel Mahkemece verilen hüküm temyiz edilmekle; başvurunun süresi, kararın niteliği ve suç tarihine göre dosya incelendi, gereği görüşülüp düşünüldü:
Temyiz isteğinin reddi nedenleri bulunmadığından işin esasına geçildi.
Vicdani kanının oluştuğu duruşma sürecini yansıtan tutanaklar, belgeler ve gerekçe içeriğine göre yapılan incelemede;
Eyleme ve yükletilen suça yönelik katılan vekilinin temyiz nedenleri yerinde görülmediğinden tebliğnameye uygun olarak, TEMYİZ DAVASININ ESASTAN REDDİYLE HÜKMÜN ONANMASINA, 31/10/2018 tarihinde oyçokluğuyla karar verildi.
KARŞI OY
Sayın Çoğunluk ile aramızdaki uyuşmazlık sanığın katılan banka tarafından görevi sebebiyle kendisine tevdi edilen bilgisayarında kayıtlı olup içeriğinde müşterilere ait ticari sır ve müşteri sırrı niteliğinde olan bilgileri kendi kişisel e posta adresine göndermesinin TCK'nın 135. maddesindeki kişisel verileri hukuka aykırı olarak kaydetme suçunu oluşturup oluşturmayacağının belirlenmesine ilişkindir.
Somut uyuşmazlığın maddi konusunu oluşturan kişisel verilerin korunmasının ne denli, önem taşıdığının vurgulanmasında ihtilafın çözümlenmesi bakımından yarar, bulunmaktadır. Bu bağlamda öncelikle 1 Ekim 1985 tarihinde yürürlüğe giren "Kişisel, Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi", dikkat çekmektedir. Türkiye Cumhuriyeti Devleti, 28 Ocak 1981 tarihinde bu Sözleşmeyi, imzalayan ilk ülkelerden birisi olmuş; bu Sözleşme, 17 Mart 2016 tarih ve 29656 sayılı, Resmi Gazete'de yayımlanarak iç hukuka dahil edilmiştir. Anılan Sözleşmenin temel, amacının; "her Üye Ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel, hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik, yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almak", olduğu yerinde olarak ifade edilmektedir. Ayrıca kişisel verilerin korunmasına ilişkin, uluslararası düzeyde, OECD'nin "Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi, Akışına İlişkin Rehber İlkeleri" (23 Eylül 1980) ve Birleşmiş Milletler'in "Bilgisayarla İşlenen, Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri" (14 Aralık 1990) temel uluslararası düzenlemeler olarak bulunmaktadır (https://www.kvkk.gov.tr/Icerik/4183/Kisisel-Verilerin-Korunmasi-Alaninda-Uluslararasi-ve-Ulusal-Duzenlemeler). Türkiye Cumhuriyeti Anayasası'nın "Özel Hayatın Gizliliği" başlıklı 20. maddesi hükmüne eklenen üçüncü fıkra ile kişisel verilerin anayasal koruma altına alınması ise, bu konuda temel normatif çerçeveyi oluşturmaktadır. Anayasamızın 20/3. maddesine göre "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." Bununla birlikte Türk Medeni Kanunu'nun kişilik haklarının korunmasını düzenleyen 23. ve 24. maddesi hükümleri uyarınca da kişisel veriler korunmaktadır. Konuya ceza hukuku koruması bağlamında bakıldığında ise, 5237 sayılı Türk Ceza Kanunu'nun "Kişisel Verilerin Kaydedilmesi" başlıklı 135. maddesinde "kişisel verilerin hukuka aykırı olarak kaydedilmesi" 136. maddesinde ise "kişisel verileri hukuka aykırı olarak yayma veya ele geçirme" fiilleri suç olarak tanımlanmıştır. Nihayet 6698 sayılı Kişisel Verilerin Korunması Kanunu da 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.
Kişisel Verilerin Korunması Kanunu'nda "Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder" şeklinde tanımlanarak kanuni koruma altına alınmıştır (6698/md. 3/1-c). Kişinin kendi nefsine ait her çeşit bilginin "kişisel veri" oluşturacağı kuşkusuzdur (Hafızoğulları, Zeki/ Özen, Muharrem: Türk Ceza Hukuku Özel Hükümler Kişilere Karşı Suçlar, Ankara 2010, s. 269). Türk Ceza Kanunu kişisel veri kavramını tanımlamamış ise de hem Uluslararası metinlerde ve ilgili Kanunda hem de doktrinde "gerçek kişiye ait her türlü bilginin kişisel veri olarak kabul edileceği" hususunda ittifak bulunmaktadır. Bu suçların hukuki konusu ise özel hayatın gizliliği ve bu hakkın yeni gelişen bir parçasını oluşturan ve Anayasa'da yer verilmiş olan kişisel verilerin korunmasıdır (Akdağ, Hale: Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması: Ankara 2013, s. 39). Anılan suç bir tehlike suçu olup; suçun tamamlanması için bir zararın ortaya çıkması da aranmamaktadır. Kişisel verilerin korunması suçuyla kişilerin manevi rahatlığının da güvenceye alınması amaçlanmaktadır (Akdağ, s. 98). Kısacası, modern toplumda "özel hayat" kavramının kapsamı "kişisel verilerin korunması ihtiyacı" karşısında daha bir derinlik ve özel mânâ kazanmıştır. Gerçekten, gelişen teknoloji karşısında kişisel verilerin hızla depolanabileceği, iletilebileceği vb. faaliyetler düşünüldüğünde bu alandaki koruma ihtiyacının önemi ortadadır. Bu anlamda kişisel verilerin korunmasının modern ve global dünyadaki hayatiyeti gözetilerek bu alanın ceza hukuku normları ile korunmasına da ihtiyaç duyulmuştur. Kişisel verilerin korunmasına ilişkin ceza normlarıyla kişilerin manevi varlıklarını geliştirebilecekleri bir iklim yaratılmasını engelleyebilecek fiillerin ceza hukuku araçlarıyla dahi olsa muhakkak surette önlenmesi amaçlanmıştır. Bu suç tipi ile nihayetinde bireylerin özel hayatlarının gizliliğinin korunması; dolayısıyla demokratik toplumun güçlendirilmesine katkı sağlanması hedeflenmektedir.
Somut uyuşmazlıkta dava konusu edilen fiil "sanığın katılan banka tarafından görevi sebebiyle kendisine tevdi edilen bilgisayarında kayıtlı olup içeriğinde müşterilere ait ticari sır ve müşteri sırrı niteliğinde olan bilgileri kendi kişisel e posta adresine göndermekten" ibarettir. Gerçek kişilere ait ticari sır ve müşteri sırrı niteliğinde olan mali bilgilerin kişiden sadır olduğu bu itibarla kişisel veri niteliği taşıdığı ve kuşkusuzdur. Bu itibarla sanığın bu verileri özel-kişisel elektronik posta adresine göndermek şeklindeki hareketinin TCK'nin 135/1. maddesindeki kişisel verilerin hukuka aykırı şekilde kaydedilmesi (depolanması) fiilini oluşturacağı kanaatindeyiz.
Sanık hakkında 5411 sayılı Kanunun 159/1. maddesinin 1. cümlesi gereğince cezalandırılması istemiyle kamu davası açılmış ise de iddianame anlatımında "[...]müşterilere ait ticari sır ve müşteri sırrı niteliğinde olan bilgileri kendi kişisel e posta adresine gönderme" hareketinden söz edilmektedir. İddianamede doğrudan "kişisel veri" kavramına yer verilmemiştir. Ancak hukuki nitelendirme farklılığı sebebiyle iddianamede "müşteri bilgisi" olarak tanımlanan verilerin "kişisel veri" olarak nitelendirilmemiş olduğundan dolayısıyla kişisel verilerin hukuka aykırı olarak kaydedilmesi suçundan açılmış bir dava bulunmadığından söz edilemeyecektir. Sonuç olarak anılan gerekçelerle sanığın dava konusu edilen fiilinin TCK'nın 135/1. maddesindeki suçu oluşturacağı düşüncesiyle Sayın Çoğunluğun beraat hükmünün onanması yönündeki görüşüne katılamıyorum.