Covid-19 Nedeni ile Mobil Uygulamalar ile Temas Takibi ve Kişisel Verilerin Korunması Hukuku

Bir önceki yazımızda Covid-19’la birlikte devletlerin uygulamaya başladığı temas takip uygulamalarını ve bu uygulamaların geleneksel yöntemlerle ya da dijital yakınlık takibi ile nasıl yapılabildiğini anlatmıştık. Bugünkü yazımızda bu yöntemler ile yapılan takibin kişisel verileri koruma hukuku ile olan bağlantısına değinilecektir.(Bir önceki yazımıza buraya tıklayarak ulaşabilirsiniz.)

Hem geleneksel yöntemler hem de dijital yakınlık takibi uygulamaları belirli bir miktarda hassas kişisel verilerin işlenmesini gerektirmektedir. Sağlık verileri özel bir korumayı gerektirmektedir ki kişisel verilerin enfekte olmuş insanların bilgilerini içermesi durumunda söz konusu veriler sağlık verileri kapsamında değerlendirilecektir.

Geniş Kapsamlı Gözetim

Dijital yakınlık takibi uygulamaları insan gözü için görünmez olan radyo sinyalleri kullanarak popülâsyonun büyük bir kısmının yakınlarındaki kişileri kaydetmesi ve kişilerin özel alanlarında da veri toplamaya devam etmesi sebebiyle kişisel veri ihlalleri için yeni bir risk oluşturmaktadır.

Bu nedenle temas takip uygulamaları temel hak ve özgürlükler için yüksek risk oluşturmaktadır ve geliştirilmelerinden önce kişisel verilerin korunmasına etkilerinin ne olacağı konusunda araştırmaların yapılması gerekmektedir.

Kullanıcıların Belirlenmesi

 Yakın temasta bulunulan kişiler aile üyelerini, komşuları ya da iş arkadaşlarını içerebilir. Sosyal ağlar gibi diğer platformlardaki veriler de takip için kullanılan sisteme aktarılabilir. Teknik olarak enfekte olan bir kişinin ismini, kaldığı yeri, işini, hangi aktivitelerde bulunduğunu ve anlık konumlarını öğrenmek mümkündür. Temasta bulunulan kişilerin kim olduklarını ve hangi sıklıkla bu kişilerle görüşüldüğünün belirlenmesi kişilerin sosyal alışkanlıklarını(örneğin hangi dine mensup olduklarını) ortaya dökebilir. Konum verilerinin takip sistemine aktarılması özellikle GPS tabanlı takip sisteminde kişilerin günlük rutinlerinin bir resmini çıkarmak için yeterli olacaktır.

Veri küçültme ve gizlilik büyütme teknolojileri kişilerin kimlik bilgilerinin ve enfekte olan kişilerin belirlenmesi sırasında ortaya çıkan hasarların önlenmesi için iyi bir yol olabilir.

Takip uygulamaları kullanıcılarının kimliklerinin belirlenmediği durumlarda da pek tabii çalışabilir ve görevlerini yerine getirebilirler. Bu nedenle programlara uygun sınırlayıcılar getirilme ve böylece yeniden kimlik belirleme(re-identification: anonim hale getirilen kişisel verilerin tekrar ait oldukları kişi ile eşleştirilmeleri süreci, anonim verilerin kişisel veri haline dönüştürülmesi)  saldırılarının önüne geçilmelidir.

Kişilere ait lokasyon verilerinin yeniden kimlik belirleme sürecine oldukça elverişli olduğu düşünüldüğünde lokasyon temelli takip sistemlerinden tamamen uzak durulması en iyi çözüm olacaktır. Takip uygulamaları tek başına her bir kullanıcının lokasyonunun takip edilmesini gerekli kılmamaktadır. Bunun yerine Bluetooth teknolojisini kullanarak kişilerin yakınlık verilerini kaydetmektedir.

Takip uygulamaları, kullanıcılara birer takma isim verip bu isimlerin periyodik olarak değiştirilmesi(örneğin her yarım saatte bir) yöntemi ile verilerin ilişkilendirilmesi ve yeniden kimliklerinin belirlenmesi riskinden kaçınılabilir. Aynı zamanda Gizli Giz Paylaşım Metodları(bilgi almak için tıklayınız) tanımlayan kişilerin parçalara ayrılmasında ve bu kişilere ait yayınların belirli bir zaman dilimi içinde yayılmasına olanak tanımaktadır. Bu sayede harita bilgilerini almayı ve bunları açığa çıkarmayı hedefleyen kişiler, verilerin tamamlanmasını beklemek zorunda kalacaklardır.

Her ne kadar toplum sağlığını korumak önemli ise de salgın kapsamında özel kişisel veri kapsamına giren sağlık verilerinin işlenebilmesi için belirli düzeyde güvenlik önlemlerinin alınması gerekmektedir. Kişilere ait verilerin çalınması durumunda ortaya çıkabilecek zararlardan kimin sorumlu olacağının belirlenmesi oldukça önemlidir ve kişilerin hangi verilerinin ne kapsamda ne kadar süre için işlendiğini bilme hakları devlet karşısında dahi devam etmektedir.

 

Türk Ceza Kanunu’nda Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu

Türk Ceza Kanunu(TCK) Madde 136  – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, (Değişik ibare: 6526 – 21.2.2014 / m.4) “iki yıldan” dört yıla kadar hapis cezası ile cezalandırılır.(2) (Ek: 7188 – 17.10.2019 / m.17) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alman beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

Birinci fıkra suçun basit halini göstermektedir. “Kişisel veri” suçun konu unsuru olarak, “hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek” fiili unsur olarak ve “hapis cezası” da yaptırım unsuru olarak belirlenmektedir. İkinci fıkra suçun nitelikli halini düzenlemektedir. Yargı Paketi kapsamında geçtiğimiz ay yürürlüğe giren bir fıkradır. İkinci fıkrada bahsedilen Ceza Muhakemesi Kanunu(CMK)’nun 236. maddesinin 5. ve 6. fıkraları ise şu şekildedir; CMK m. 236/5:  “Türk Ceza Kanununun 103 üncü maddesinin ikinci fıkrasında düzenlenen suçlardan mağdur olan çocukların soruşturma evresindeki beyanları, bunlara yönelik hizmet veren merkezlerde Cumhuriyet savcısının nezaretinde uzmanlar aracılığıyla alınır. Mağdur çocuğun beyan ve görüntüleri kayda alınır. Kovuşturma evresinde ise ancak, maddi gerçeğin ortaya çıkarılması açısından mağdur çocuğun beyanının alınması veya başkaca bir işlem yapılmasında zorunluluk bulunması hâlinde bu işlem, mahkeme veya görevlendireceği naip hâkim tarafından bu merkezlerde uzmanlar aracılığıyla yerine getirilir. Mağdur çocuk yargı çevresi ve mülkî sınırlara bakılmaksızın en yakın merkeze götürülmek suretiyle bu fıkrada belirtilen işlemler yerine getirilir.” CMK m. 236/6: “Türk Ceza Kanununun 102 nci maddesinin ikinci fıkrasında düzenlenen suçlardan mağdur olanların soruşturma evresindeki beyanları bakımından da beşinci fıkra hükmü uygulanır. Ancak, beyan ve görüntülerin kayda alınmasında mağdurun rızası aranır.”

Burada bir eleştiride bulunmak gerekecektir; örneğin bir cinsel saldırı mağdurunun psikiyatrına olayı anlatırken kayıt yapması konusunda izin verdiği bir ihtimalde, fail söz konusu video kaydını psikiyatrdan ele geçirir ise nitelikli hal olmayacak iken, Savcılık bünyesinde anlatırken çekilen video kayıtlarını ele geçirirse nitelikli hal kapsamında değerlendirilecektir. Bu durumda ceza sürelerinde bir adaletsizlik meydana gelecektir.

Örnek Ankara Bölge Adliye Mahkemesi Kararları:

  • “…Sanığın kendisine ait ve başkaları tarafından da erişilmesi mümkün Facebook isimli sitede, katılan ve müştekinin bilgi ve rızaları olmadan, adı geçenlere ait nüfus bilgileri ile fotoğraflarını kapsayan “evlenme kütüğü” isimli belgeyi yayınlamak biçimindeki eylemi…”(Ankara BAM, 12. CD., E. 2017/3703 K. 2019/1001 T. 2.4.2019)
  • “…Gündelik elbiseler ile çekilmiş fotoğrafın internet ortamında yayınlanması, görüntünün kişisel veri niteliğinde olması nedeniyle TCK 136/1 suçunu oluşturabilirse de, somut olayda suça konu fotoğrafta katılanın sağ omzu ile saçlarının bir kısmının göründüğü, bu hali ile kişisel veri olarak kabul edilemeyeceği…(Ankara BAM, 12. CD., E. 2017/3664 K. 2019/16 T. 9.1.2019)

Bir suç tipinin varoluş sebebi belirlemek için ceza hukukçularının bakacağı ilk şey, korunan hukuki menfaatin ne olduğudur. Söz konusu suçta ise korunan hukuki menfaat: kişisel verilerdir. Kanun koyucunun ilgili 136. maddede neden verme, yayma veya ele geçirme eylemlerini özellikle korumak istediğine değinilebilir. Verme; bir kişiye kişisel verilerin aktarılması, yayma; birden fazla kişiye kişisel verilerin aktarılması, ele geçirme ise failin bu kişisel veriyi kendi hâkimiyet alanına aktarması anlamına gelmektedir. Bu üç seçimlik hareketteki ortak nokta ise aktarımdır. Kanun koyucu, kişisel verileri verilerin aktarımı kapsamında korumak istemektedir çünkü Kişisel Verilerin Korunması Kanunu(KVKK)’nun ve Anayasa m. 23’ün amaçları, bir kişinin kendi maddi ve manevi varlığını serbestçe geliştirebilmek ve kendi kişisel verilerinin geleceğini serbestçe belirleyebilmek için kendi verileri üzerinde bir hâkimiyet alanı kurmaktır. Ancak bu kişisel verilerin yetkisiz üçüncü kişilerin hâkimiyet alanına geçmesi ile ilgili kişi kendi kişisel verileri üzerindeki hâkimiyetini kaybedecektir ve tehlikelere açık hale gelecektir.

KVKK’dan sonra suçun tanımındaki maddi unsurlardan fail unsurunu, KVKK’daki yeni süjelerle birlikte değerlendirmek gerekmektedir. TCK gereği sadece gerçek kişiler fail olabilmekte, tüzel kişiler fail olamamaktadır. Tüzel kişiler aleyhine yalnızca güvenlik tedbirine hükmolunabilmektedir. KVKK kapsamında veri sorumlusu, veri işleyen, veri sorumlusu temsilcisi, irtibat kişisi gibi yeni kişiler ortaya çıktığı için gerek tüzel gerek gerçek kişiler TCK m. 136 çerçevesinde kendi sorumluluklarını merak etmektedirler. Tüzel kişilerin TCK m. 136 kapsamında cezai sorumlulukları yoktur. Şartları taşıyorlarsa tüzel kişiler aleyhine güvenlik tedbirlerine hükmolunabilir. Sadece gerçek kişiler veri sorumlusu, veri işleyen, veri sorumlusu temsilcisi, irtibat kişisi iseler fiili gerçekleştirdiklerinde TCK kapsamında fail olarak değerlendirilebileceklerdir.

Suçun konusu tanım itibari ile kişisel verilerdir. KVKK 2016 tarihinde yürürlüğe girmesine rağmen TCK m. 136 ise 2005 yılından itibaren uygulanmaktadır. Bu sebeple Yargıtay kendi içtihatlarını gerçekleştirmiş durumdadır ve bu içtihatlar Bölge Adliye Mahkemeleri tarafından sıkı suretle uyulan içtihatlardır. Bu içtihatlarda kişisel veri tanımlamalarına rastlanmaktadır fakat yeknesak bir kişisel veri tanımı mevcut değildir.

TCK m. 134’de Özel Hayatın Gizliliğini İhlal adı altında bir suç vardır ve Yargıtay da belli başlı fiillerde; söz konusu fiili TCK m. 134 kapsamında mı TCK m. 136 kapsamında mı değerlendirmesi gerektiğini tartışmak durumunda kalabilmektedir. Bununla ilgili yerleşik içtihadı ise sadece mağdurun özel hayatına ilişkin bir veriden bahsediliyor ise TCK m. 136 kapsamında bir kişisel verinin olmadığı, TCK m. 134 kapsamında bir kişisel veri olduğu yönündedir. Burada bir tanımlama sorunu mevcuttur. Çözümü oldukça basittir: Tek bir fiilden dolayı hem TCK m. 134 hem de TCK m. 136 oluştuğu takdirde içtima hükümlerine gidilmelidir. Fikri içtima hükümleri uygulanmalıdır ve tek bir fiilden dolayı birden fazla suç oluşmuş ise en ağır cezayı gerektiren hükümden dolayı ceza verilmelidir.

2016 yılı itibari ile yürürlüğe giren KVKK m. 3/1(d); “Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ile yapılmış olan kişisel veri tanımını kullanmak tanımlama sorununun çözümü olacaktır. Özel nitelikli kişisel veriler bakımından düzenlenmiş bir nitelikli hal söz konusu değildir. Bu nedenle ceza hukuku yargılamasından bulunan süjelerin, özel nitelikli kişisel veri ve genel nitelikli kişisel veri ayrımını bilmesi gerekmektedir. Referans noktası ise yine KVKK m. 6/1’dir.

Suçun fiili unsuru ile ilgili olarak Yargıtay, kişisel veri aktarımının sadece duyu organları vasıtası ile yapılmış olması durumunda TCK m. 136 bakımından suçun oluşmadığını söylemektedir. Örneğin; bir kişiye direkt yüz yüze “Ali adlı kişi şu derneğe üyedir.” demek bu suçu oluşturmayacaktır çünkü yalnızca duyu organları vasıtası ile aktarım yapılmıştır.

Aktarımın coğrafi olarak gerçekleştiği yere göre fiilin hukuka uygun olup olmadığının değerlendirilmesi yapılacaktır. Klasik ceza hukuku görüşü alelade bir değerlendirme yapmaktadır ve bu yeterli olmamaktadır. KVKK m. 5, m. 6 ve m. 28’de hukuka uygunluk sebepleri eklenmiş bir şekilde açık düzenlemeler mevcuttur. Bir aktarımın hukuka aykırı olup olmadığının tespitinde:

  • Aktarılan verinin özel nitelikli ya da genel nitelikli olup olmadığına,
  • Aktarımın yurtiçine mi yoksa yurtdışına mı yapıldığına,
  • Kişisel Verileri Koruma Kanunu kapsamında bir hukuka uygunluk sebebinin olup olmadığına bakılmalıdır.

Örneğin; özel nitelikli bir verinin yurtdışına aktarıldığı düşünülürse, ilgili kişinin açık rızanın alınıp alınmadığına bakılmalıdır. Açık rızanın olduğu veya KVKK m. 6/3’de bulunan hukuka uygunluk sebeplerinden birinin var olduğu kabul edilirse bundan sonra aktarılacak ülkede yeterli korumanın bulunup bulunmadığına bakılmalıdır. Bu ülkelerin listesi yayınlanmış değildir ancak yakında yayınlanacaktır. Bu liste yayınlanmış farz edersek ve güvenli ülkeler listesinde yer almayan bir ülkeye aktarım yapacak ise veri sorumlusu, bu sefer bir taahhütte bulunulmalıdır ve daha sonrasında Kişisel Verileri Koruma Kurumu’ndan izin almalıdır. Görüldüğü üzere, klasik ceza hukuku anlamındaki hukuka uygunluk nedenleri yeterli olmamaktadır ve bu sebeple artık KVKK’da bulunan hukuka uygunluk nedenlerine bakılmalıdır.

Yargıtay manevi unsur olarak kast bakımından, failin hukuka aykırılık bilinci olmadığı zaman kastının olmadığı değerlendirmesinde bulunmaktadır. Fakat bu değerlendirme TCK m. 136 bakımından eksik olacaktır. Fail aldığı bilgilerin kişisel veri olduğunu ve kendi hâkimiyet alanın aldığını bildiği sürece failin kastının olduğu söylenmelidir. Yargıtay’ın amacının failde haksızlık bilincinin oluşmadığına vurgu yapmak olduğu düşünülebilirse de bunun çözümü yine TCK madde 30/4 hata hükümlerinde bulunacaktır.

Yaptırım konusunda, söz konusu fiilde adli süreci gerektiren bir unsur var ise Kişisel Verileri Koruma Kurumu bu fiili incelememektedir ve gerekli ihbarı Savcılığa yapmaktadır.  Kabahatler Kanunu Madde 15/3: “Bir fiil hem kabahat hem de suç olarak tanımlanmış ise, sadece suçtan dolayı yaptırım uygulanabilir. Ancak, suçtan dolayı yaptırım uygulanamayan hallerde kabahat dolayısıyla yaptırım uygulanır.” demek sureti ile hem idari yaptırım hem de TCK kapsamında bir suç olması ihtimalini düzenlemektedir.

“Non bis in idem” ilkesinin söz konusu kanun maddesi kapsamında belli başlı yorumları bulunmaktadır. Avrupa İnsan Hakları Mahkeme’si kararlarında; Kabahatler Kanunu m. 15/3’ün bazen aşılabileceğini öngörmektedir. TCK’deki hüküm ve Kabahatler Kanunu ile bağlantılı şekilde Kişisel Verileri Koruma Kanunu madde 18’deki kabahatler farklı hukuki menfaatleri koruyor ise tek bir fiilden ötürü hem hapis cezası verilebilir hem de idari para cezası uygulanabilir demektedir.

Söz konusu TCK m. 136 kapsamındaki suç şikâyete tabii değildir; re’sen soruşturulur ve kovuşturulur. Hâlbuki TCK m. 134 Özel Hayatın Gizliliğini İhlal suçu şikâyete tabiidir. Suçun şikâyete tabii olmaması bir takım sıkıntılar doğurmaktadır. Örneğin; bir cinsel saldırı suçu mağdurunun bu olayları anlattığı görüntüleri ele geçirildi ve görüntülerin nerede/kimde olduğuna dair ihbarda bulunuldu. Görüntüler ele geçiren failden alındı ve kopyası olmadığı tespit edilerek ele geçirildi. Cinsel saldırı suçu mağduru bu görüntülerin kovuşturma evresine geçmesini istemeyebilir fakat suç şikâyete tabii olmadığı için burada mağdurun isteğinin bir önemi yoktur ve kendi kişisel görüntüleri istemese dahi mahkeme kalemi, bilirkişi, mahkeme heyeti gibi pek çok kişi tarafından görülmektedir. Bu da aslında kanun maddesinin getiriliş amacına tamamen aykırıdır.

[1] Bu yazı 06.11.2019 tarihinde Kişisel Verileri Koruma Kurumu’nda gerçekleşen seminer baz alınarak hazırlanmıştır.