Kişisel Verilerin Korunması Kapsamında Düzenlenen Suçlar Ve Kabahatler
I. Kişisel Verilerin Korunması Alanındaki Uluslararası ve Ulusal Düzenlemeler Kişisel verilerin korunmasının özellikle insan hakları bağlamında önemli bir hak olması bakımından, insan haklarını düzenleyen uluslararası belgelerde ve bu alandaki ulusal düzenlemelerde özellikle ele alınmıştır. Bu kapsamda yapılan düzenlemelerin bazıları ilke niteliğinde olup tavsiye amaçlı düzenlenmiş iken bazıları ise bunların uygulanıp uygulanmadığına ilişkin denetim mekanizmaları kurarak ihlal hallerinde yaptırımlar öngörmektedir. kişisel verilerin korunması alanında yapılan çalışma ve düzenlemeler BM nezdinde yapılan düzenlemeler, Avrupa Konseyi kapsamında ele alınan düzenlemeler ve Avrupa Birliği tarafından yapılan düzenlemeler olarak ele alınmıştır. Ayrıca bu alanda ulusal bazda yapılan düzenlemeler Anayasa, Türk Ceza Kanunu ve Kişisel Verilerin Korunması Kanunu bağlamında incelenmiştir. A. Uluslararası Düzenlemeler 1. Birleşmiş Milletler Tarafından Kişisel Verilerin Korunmasına İlişkin Hazırlanan Hukuki Düzenlemeler 10 Aralık 1948 tarihinde kabul edilen ve insan hakları alanında önemli uluslararası düzenlemelerden birisi olan BM İnsan Hakları Evrensel Bildirgesi’nde doğrudan kişisel verilerin korunmasına ilişkin düzenleme bulunmasa da dolaylı olarak Özel Hayatın Gizliliği hakkı kapsamında düzenleme bulunmaktadır. Bu düzenlemeye göre; “Hiç kimse, özel yaşamına, ailesine, konutuna ya da haberleşmesine yönelik keyfî müdahalelere ya da onur ve şöhretine yönelik saldırılara maruz bırakılmayacaktır. Herkesin, bu tür müdahale ya da saldırılara karşı yasa ile korunma hakkı vardır”. Yine benzer bir düzenleme içeren BM Kişisel ve Siyasal Haklar Uluslararası Sözleşmesinin 17’inci maddesinde, “Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfî ya da hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz” denilmektedir. Birleşmiş Milletlerin kişisel verilerin korunması alanında doğrudan hazırladığı bir diğer düzenleme, 1990 yılında kabul edilen “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri”dir. Bu rehber ilkeler, üye ülkelerin kişisel verilerinin korunmasına ilişkin genel kuralları içermektedir. Ancak bu kararlar tavsiye niteliğinde olduklarından, Birleşmiş Milletlerin üyesi olan ülkelere doğrudan yükümlülükler getirmemiştir . 2. Avrupa Konseyi Tarafından Kişisel Verilerin Korunmasına İlişkin Hazırlanan Hukuki Düzenlemeler Avrupa Konseyi, 1981 yılında kişisel verilerin korunması alanında ilk uluslararası hukuk belgesi olan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunması Hakkında Sözleşme”yi (108 no’lu Sözleşme) imzaya açmıştır. 2001 yılında bu Sözleşmeye ek olarak “Denetleyici Makamlar ve Sınırötesi Veri Akışına İlişkin Protokol” (181 no’lu Ek Protokol) kabul edilmiştir . 108 no’lu Sözleşme, 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Ülkemiz, anılan Sözleşmeyi 28 Ocak 1981 tarihinde imzalamış olmasına rağmen iç hukukta geçerli hale getirebilmesi ancak 2016 tarihinde gerçekleştirmiştir. Zira, söz konusu Sözleşmenin 4’üncü maddesine göre, Sözleşmenin onaylanabilmesi için, imzalayan devletin, Sözleşmede öngörülen ilkeler çerçevesinde bir yasa kabul etmesi zorunludur. Ülkemizde ise o tarihlerde henüz böyle bir Kanun bulunmamaktaydı. Dolayısıyla söz konusu sözleşme6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile bu şartı sağlayabilmiş ve, 30.1.2016 tarihli ve 6669 sayılı Yasa ile onaylanarak 1.9.2016 tarihi itibariyle Türkiye açısından yürürlüğe girmiştir . Sözleşme’nin 5’inci maddesinde belirlenen temel ilkelere göre veriler; meşru ve yasal yoldan elde edilmeli ve ancak bu şekilde işleme tabi tutulmalı, belli ve meşru amaçlar için kaydedilmeli ve bu amaca aykırı şekilde kullanılmamalı, kaydedildikleri amaca uygun ve bu amaçla ilgili bilgiler olmalı, doğru ve güncellenebilir olmalı, ilgili kişilerin kimliklerinin tespit edilmesine izin verecek şekilde tutulmalı ve tutuldukları nihai amaç gerçekleşene kadar muhafaza edilmelidir . 181 No’lu ek protokolde, taraf devletler, ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirmek üzere denetleyici makam kurmayı taahhüt etmiştir . Türkiye, bu protokolü 8 Kasım 2001 tarihinde imzalamış ve protokol 5 Mayıs 2016 tarihli 29703 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. 3. Avrupa Birliği Dahilinde Kişisel Verilerin Korunması a. Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif (95/46 /EC Sayılı Direktif) Avrupa Birliği’nde kişisel verilerin korunması konusunda, üye ülkeler tarafından uygulanan usul ve esaslar arasındaki farklılıkların giderilerek yeknesaklık sağlanması amaçlanmıştır. Bu doğrultuda 1990 yılında başlayan çalışmalar 1995 yılında netice vermiş ve bu alanda ilk düzenleme olan Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif (95/46 /EC Sayılı Direktif) Avrupa Parlamentosu ve Avrupa Konseyi tarafından kabul edilmiştir. Bu direktifle, birliğe üye ülkelerdeki şahısların kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır . Ülkemizde yürürlüğe konulan 6698 sayılı Kişisel Verilerin Korunması Kanunu da bu direktif nazara alınarak hazırlanmıştır. b. 2016/ 679/ EC sayılı Genel Veri Koruma Tüzüğü Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılmış olan tüzük, 2016 yılında kabul edilerek 25 Mayıs 2018 tarihinde, 95/46/EC sayılı Direktif’i ilga ederek yürürlüğe girmiştir. Diğer düzenlemelerden farklı olarak bu düzenlemenin tüzük şeklinde çıkarılması, üye devletler arasında bağlayıcılığın sağlanması ve böylece kişisel verilerin korunması alanında üye devletlerin iç hukuklarında uyumun sağlanmasını temin etmiştir . B. Ulusal Düzenlemeler 1. Anayasa Anayasa’nın “Temel Haklar ve Ödevler”i düzenleyen ikinci kısmında “özel hayatın gizliliği” başlığı altında düzenlenen 20. maddesinde, 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile ek fıkra eklenmiştir. Söz konusu fıkrada kişisel verilerin korunması alanına ilişkin hakların kapsamı şu şekilde ifade edilmiştir; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Anayasa’da yer verilen bu düzenleme ile bireylerin kendileriyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal güvence altına alınmıştır. Ayrıca hakkın kapsamı çizilerek; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme (aydınlatılma), bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve verilerin amaç doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı belirtilmiştir. Yine kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği anayasal güvence altına alınmıştır. 2. 6698 sayılı Kişisel Verilerin Korunması Kanunu Kişisel verilerin korunması alanında hazırlanan uluslararası düzenlemelere paralel olacak şekilde ülkemizde de temel bir kanun yapılması çalışmaları 1989 yılında başlamıştır. 2000 yılında oluşturulan komisyon 2 yıllık bir çalışma neticesinde bir kanun tasarısı hazırlamış ancak bu tasarı çeşitli nedenlerle yasalaşamamıştır. Daha sonra hazırlanan tasarı “Kişisel Verilerin Korunması Kanunu Tasarısı” 26 Aralık 2014 tarihinde TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. 3. Türk Ceza Kanunu Kişisel verilerin korunması konusu, teknolojinin de gelişimiyle birlikte giderek artan bir öneme sahip duruma gelmiştir. Özellikle bilişim alanında meydana gelen yenilikler ve değişimler sayesinde rahatlıkla erişilebilen internet ortamı, sağladığı kolaylıkların yanı sıra birçok dezavantajı da bünyesinde barındırmaktadır. Bir ürün satın alımı esnasında veya bir sosyal medya paylaşımı sırasında paylaşılan kişisel verilerin ne şekilde işlendiği ve elde tutulduğunun veri sahibi tarafından bilinememesi ve kontrol edilememesi devletin bu alanı düzenleme ihtiyacını doğurmaktadır. Bu gibi sebeplerden doğan gereksinim, kişisel verilerin korunması konusunun üzerinde hassasiyetle durulmasını gerektirmiş ve bunları ceza kanunu anlamında yaptırımlara bağlayarak ihlallerin önüne geçilmesi amaçlanmıştır. Bu kapsamda, 5237 sayılı Türk Ceza Kanunu’nda da kişisel verilerin korunması alanına ilişkin; m.135’de Kişisel Verilerin Kaydedilmesi, m.136’da Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme,, m.138’de Verileri Yok Etmeme suçları düzenlenmiştir. TCK m.140’ta ise bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbirlerine hükmolunacağı düzenlenmiştir. II. Kişisel Verilerin Korunmasına İlişkin Temel Kavramlar A. Kişisel Veri Kavramı Kişisel veri kavramının ulusal ve uluslararası literatürde tanımlaması yapılmaya çalışılmıştır. Avrupa Konseyi tarafından imzaya açılan Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair (108 Sayılı) Sözleşmenin ikinci maddesinin a bendinde kişisel veri, “bir kişinin kimliğini belirli ya da belirlenebilir kılan her türlü bilgi” şeklinde açıklanmıştır. Ekonomik Kalkınma ve İşbirliği Örgütü (OECD) tarafından yayınlanan, kişisel verilerin korunmasına ilişkin rehber ilkelerde de kişisel veri, “kimliği belirli ya da belirlenebilir olan gerçek bir kişiye ait bilgilerin tümü” olarak açıklanmıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü’nde ise kişisel veri, “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilirken verinin ait olduğu kişi kavramını “özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen kişi” olarak tanımlamıştır. Türk yasa ve doktrini tarafından da kişisel verinin tanımlanmasına yönelik çalışmalar yapılmıştır. Doktrinde yapılan çalışmalardan birisi kişisel veriyi "bir kişiyi belirlemeye yarayan akla gelebilecek her türlü bilgi, o kişinin kişisel verisidir" şeklinde tanımlamıştır. Yine yasa koyucu da kişisel verinin tanımına yönelik bir çalışma yapmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3. maddesinde kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlamıştır. Yine bu Kanun’un Genel Gerekçesinde kişisel veri “bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak açıklanmıştır. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir Gerek uluslararası gerekse ulusal çalışmalar, kişisel veriyi birbirine yakın ifadelerle tanımlamışlardır. Burada ilk dikkat çeken husus verinin ait olduğu kişi kavramının geniş anlamda değil, sadece “gerçek kişi”yi ifade etmesidir. Yani tüzel kişiliklerin verileri, bu anlamda kişisel veri sayılmayacak ve kişisel verilerin korunması hükümlerinden yararlanamayacaktır. Kişisel veri hakkında yapılan bu tanımlamalardan çıkan sonuca göre kişisel verinin üç ana unsurunun bulunduğunu söyleyebiliriz. Bu unsurlar; veri, belirli veya belirlenebilir gerçek kişi ve ilişkin olmadır. B. Özel Nitelikli Kişisel Veri Bazı kişisel veriler ulusal ve uluslararası mevzuatta “özel nitelikli kişisel veri” olarak ayrıca belirtilmiş ve bu nitelikteki kişisel verilerin hassas olmalarından dolayı işlenmesinde ayrıca şartlar getirilmiştir. 6698 sayılı KVKK 6. maddesi de özel nitelikteki kişisel verileri saymak suretiyle belirtmiş ve bu nitelikteki verilerin işlenebilmesi için veri sahibinin açık rızasını şart koşmuştur. İlgili maddeye göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak sayılacaktır. Doktrinde bu nitelikteki veriler “hassas veri” olarak da nitelendirilmektedir. Burada sayılan özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin olanlarına ayrı bir önem atfedilmiş ve maddenin üçüncü fıkrasında, birinci fıkrada sayılan ve bu ikisi dışında kalan kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Kişinin sağlık ve cinsel hayatına ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kendisinin açık rızası aranmaksızın işlenebilecektir (KVKK m. 6/3). C. Kişisel Verilerin İşlenmesi Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3. maddesine göre kişisel verilerin işlenmesi, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Diğer bir ifadeyle; kişisel verilerin ilk defa elde edilmesinden itibaren veriler üzerinde gerçekleştirilen tüm işlemler veri işleme faaliyetidir . Bu kapsamda kişisel verinin elde edilmesi veya kaydedilmesi, muhafaza edilmesi, değiştirilmesi ve bir başkasına aktarılması işlemleri kişisel verilerin işlenme yöntemleri olarak karşımıza çıkmaktadır . 6698 sayılı Kanun’un 4. maddesinin ikinci fıkrasında kişisel verilerin işlenmesine ilişkin temel ilkeler belirtilmiştir. Uluslararası düzenlemeler paralel şekilde belirlenen bu ilkeler Kanun metninde şu şekilde ifade edilmiştir; “Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” Kanun metninden de anlaşılacağı üzere kişisel verilerin işlenmesi hususunda, sayılan bu ilkelere uyulması zorunludur. Bununla birlikte kişisel verilerin Kanun’un 5. maddesinde sayılan veri işleme şartlarına da uygun olarak işlenmesi gerekmektedir. Buna göre ilk şart olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Burada belirtilen ilgili kişi kavramı yine aynı Kanun’da yapılan tanımlamaya göre “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir. Açık rıza ise belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Yine 5. maddenin ikinci fıkrası açık rızanın alınmasının gerekmediği bazı istisna halleri düzenlemiştir. Buna göre; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilecektir. Sonuç itibariyle işlenen kişisel verilerin hukuka uygun olabilmesi için işlemenin, Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olması ve 5. maddede sayılan veri işleme şartlarına dayanması gerekmektedir. 6698 Sayılı Kanun, hukuka uygunluk şartını haiz olmayan, yani hukuka aykırı olarak işlenen kişisel verilerle ilgili bu verilerin işlenmesinden sorumlu olanlar hakkında idari ve cezai yaptırımlar da düzenlemiştir. Kanun’un Beşinci Bölümünde düzenlenmiş olan suç ve kabahatler ile bunların karşılığı olarak düzenlenen cezaların incelenmesi aşağıda ayrıca yapılacaktır. III. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DÜZENLENEN SUÇLAR VE KABAHATLER 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 17. maddesinde kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanununun ilgili maddelerine atıfta bulunulurken, 18. maddesinde kabahat niteliğinde olan fiiller düzenlenmiştir. Buna göre, kişisel verilerin işlenmesine ilişkin hukuka aykırılıkları suçlar ve kabahatler olarak iki başlık altında incelemek mümkündür. Kişisel verilerin korunmasına ilişkin suç tipleri 5237 sayılı Türk Ceza Kanunu’nun özel hükümlerinin düzenlendiği ikinci kitabının “kişilere karşı suçlar” başlıklı ikinci kısmının “özel hayata ve hayatın gizli alanına karşı suçlar” başlıklı dokuzuncu bölümünde düzenlenmiştir. TCK m.135’te “kişisel verilerin kaydedilmesi suçu”, m.136’da “verileri hukuka aykırı olarak verme veya ele geçirme suçu”, m. 137’de bu suçların nitelikli halleri, m. 138’de “verilerin yok edilmemesi suçu” m. 140’ta ise bu suçlara ilişkin olarak tüzel kişiler hakkında güvenlik tedbirleri uygulanacağı düzenlenmiştir. Bu suçlar aşağıda kendi alt başlıklarında incelenmiştir. A. Kişisel Verilerin Kaydedilmesi Suçu (TCK m.135) Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu, 5237 sayılı Türk Ceza Kanunu’nun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünde 135. Madde altında düzenlenmiştir. Maddenin birinci fıkrasında, kişisel verileri hukuka aykırı olarak kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği hüküm altına alınmıştır. Bu suçun işlenmesi halinde uygulanacak cezanın alt sınırı daha önce 6 ay iken, 6526 sayılı Terörle Mücadele Kanunu ve Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile yapılan değişiklik sonrası bu alt sınır 1 yıla çıkarılmıştır. Değişikliğin gerekçesi olarak ise kişisel verilerin korunması hakkının anayasa ile güvence altına alınmış bir hak olması ve bu nedenle daha etkin şekilde korunmasının amaçlandığı belirtilmiştir . Maddenin ikinci fıkrasında ise, bireylerin felsefi görüş, siyasi düşünce, dini inanç gibi kişisel verilerinin ya da ırk, ahlaki eğilim, sağlık bilgisi ya da sendikal bilgisi gibi kişisel verilerinin hukuka aykırı şekilde kaydedilmesi halinde verilecek cezanın yarı oranında artırılacağı ifade edilmiştir. İkinci fıkrada belirtilen bu haller özel nitelikli veri kapsamında sayıldığından, bu tür verileri hukuka aykırı olarak kaydedenler hakkında verilecek cezanın yarı oranında artırılacağı hükme bağlanmıştır. Bu fıkranın yine yukarıda anılan 6526 sayılı Terörle Mücadele Kanunu ve Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile değişiklik yapılmasından önceki hali “Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına ilişkin bilgileri kişisel veri olarak kaydeden kimse yukarıdaki fıkra hükmüne göre cezalandırılır” şeklinde iken, bu fıkrada sayılan verilerin hem 108 sayılı sözleşme hem de bunun paralelinde hazırlanan Kişisel Verilerin Korunması Hakkındaki Kanun tasarısında özel nitelikli kişisel veri oldukları belirtilmelerine rağmen fıkrada düzenlendiği halinin sanki aslen kişisel veri olmadığı yönünde intiba uyandırdığı ve yine bu sayılan veriler özel nitelikli veri olmasına rağmen birinci fıkrada belirtilen normal kişisel veri ile aynı oranda cezalandırılmaları doktrinde eleştirilmiş ve fıkra bu doğrultuda değiştirilerek bugünkü halini almıştır . 1. Suçla Korunan Hukuki Değer Kişisel verilerin kaydedilmesi suçu ile korunan hukuki değerin ne olduğu konusunda doktrinde farklı görüşler ileri sürülmüştür. Bazı yazarlar bu suç ile korunan hukuki değerin doğrudan ‘özel hayat’ olduğunu ifade ederken , bazı yazarlar suçla korunan hukuki değerin başta özel hayatın gizliliği olmak üzere özel hayatın gizliliği ve kişisel verinin korunması hakkı olduğunu ileri sürmektedir . 2. Suçun Unsurları a. Maddi Unsurlar aa. Fail 5237 sayılı Türk Ceza Kanunu’nun kişisel verilerin kaydedilmesi başlıklı 135. maddesinde, kişisel verileri hukuka aykırı şekilde kaydeden kimseye maddede öngörülen cezanın verileceği ifade edilmiştir. Buna göre, madde metninden de anlaşılacağı üzere, fail bakımından herhangi bir sınırlama getirilmemiştir ve herkes bu suçun faili olabilecektir. bb. Mağdur TCK m.135’in lafzı gereği bu suçun mağduru da herkes olabilecektir. Daha önceki açıklamalarımızda da belirttiğimiz üzere veri sahibi bulunan ilgili kişi kavramına sadece gerçek kişiler dahil olduğu için suçun mağduru da sadece gerçek kişiler olabilecektir. Doktrinde, tüzel kişilerin de bu suçun mağduru olabileceği hakkında görüşler bulunmasına rağmen tüzel kişiler bakımından mağdur olma değil ancak suçtan zarar gören olma durumu söz konusu olabilecektir . cc. Suçun Konusu Kişisel verilerin kaydedilmesi suçunun konusu kişisel verilerdir . Bununla beraber, kişisel verinin ne olduğuna ve neleri kapsadığına ilişkin bir tanımın TCK’da bulunmaması bazı yazarlar tarafından kanunilik ilkesine aykırı görülürken, bir kısım yazarlar da bu hususun doktrin ve yargı kararlarıyla şekillenmeye bırakılmasının doğal karşılanması gerektiği görüşündedir . dd. Hareket ve Netice Kişisel verilerin kaydedilmesi suçunun hareket unsuru verilerin hukuka aykırı şekilde kaydedilmesi veya diğer tabirle işlenmesidir . Dolayısıyla bu suçun oluşabilmesi için kişisel verilerin hukuka aykırı olarak kaydedilmesi (işlenmesi) yeterlidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinin (e) fıkrası kişisel verilerin kaydedilmesinden ne anlaşılması gerektiğini açıklamıştır. Bu maddeye göre kişisel verilerin işlenmesi ifadesi; kişisel verilerin kaydedilmesi, muhafaza edilmesi, depolanması, değiştirilmesi, yeniden düzenlenmesi, aktarılması, açıklanması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilecek her türlü işlem olarak tanımlanmıştır. İlgili maddede suçun oluşması için kişisel verilerin elektronik ortamda mı yoksa fiziksel olarak mı kaydedilmesi gerektiğine dair bir bilgi verilmemiş, maddenin gerekçesinde kişisel verilerin bilgisayar ortamında veya kâğıt üzerinde kayda alınması arasında bir ayrım gözetilmediği ifade edilmiştir. b. Manevi Unsur TCK m. 135’te düzenlenen kişisel verilerin kaydedilmesi suçunun manevi unsuru kasttır. Dolayısıyla suçun oluşması için failin bilerek ve isteyerek kişinin rızası olmaksızın kişisel verileri kaydetmesi yeterli olacaktır. Bu suçun taksirle işlenmesi ise mümkün değildir c. Hukuka Aykırılık Unsuru Kişisel verilerin kaydedilmesi suçunda mağdurun rızası ya da kanunun verdiği yetki, fiili hukuka uygun hale getirir. Kişinin, veri sahibi ya da ilgilisi tarafından verilen bir izne dayanarak verileri kaydetmesi ya da verileri kaydetmekle görevli bir kişinin kanundan aldığı yetkiye dayanarak aynı fiili gerçekleştirmesi durumunda suç oluşmayacaktır. ç. Suçun Nitelikli Halleri TCK m. 135/2’de kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılacağı düzenlenmiş olduğundan, bu fıkrada sayılanların suçun nitelikli hallerini oluşturduğunu söylemek mümkündür. TCK’nın “Nitelikli Haller” başlıklı 137. maddesinde, kişisel verilerin kaydedilmesi suçunun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi halinde öngörülen cezanın yarı oranında artırılacağı belirtilmiştir. Burada geçen kamu görevlisi sıfatının geniş anlaşılması gerektiği ve görevinin niteliği gereği bazı durumlarda ceza hukuku açısından kamu görevlisi sayılan (kamu görevi ifa eden) avukatın da, görevi gereği bulundurduğu ve/veya kaydettiği bir kişisel veriyi, veri sahibinin açık rızası olmadan veya kanunlarca kendisine verilen yetkinin dışında açıklaması ya da üçüncü bir kişiye vermesi halinde suçun nitelikli hali oluşacağı belirtilmiştir . Yine 137. maddenin birinci fıkrasının b bendine göre kişisel verilerin kaydedilmesi suçunun belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi suçun nitelikli halini oluşturmaktadır. d. Suçun Özel Görünüş Biçimleri Kişisel verilerin kaydedilmesi suçunun icrai hareketlerinin başlamasından sonra fiilin yarıda kesilmesi durumunda teşebbüs hali meydana gelebilecektir. Suçun işlenmesi bakımından ayrı bir neticenin gerçekleşmesi öngörülmediğinden, icrai hareketin tamamlanması ile suç oluşacaktır . TCK m.135’te düzenlenen bu suç iştirak halinde de işlenebilen bir suçtur. İçtima bakımından, TCK m.135’te düzenlenen kişisel verilerin kaydedilmesi suçunun konusu aynı zamanda özel hayatın gizliliğini ihlal suçunu da oluşturuyor ise söz konusu fiilin m.134 kapsamında cezalandırılacağı belirtilmiştir . TCK m.135 ile m.136’nın aynı anda ihlal edilmesi hallerinde ise, öğretide bir kısım her iki suçtan ayrı ayrı cezalandırılması gerektiği belirtilmesine rağmen, diğer bir kısım m.135’in geçit görevi gördüğü için sadece m.136’da cezalandırmanın gerektiğini ileri sürmektedir . B. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK m.136) Türk Ceza Kanunu m.136’da; kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” şeklinde düzenlenmiştir. 1. Suçla Korunan Hukuki Değer Türk Ceza Kanunu’nun 136. Maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçu, m.135’te olduğu gibi Özel Hayata ve Hayatın Gizli Alanına Karşı suçlar başlığı altında düzenlenmiştir. Dolayısıyla suçla korunan hukuki değer, kişisel verilerin korunması özelinde, özel hayatın gizli alanıdır. 2. Suçun unsurları a. Maddi Unsurlar aa. Fail Türk Ceza Kanunu’nun 136.maddesinde düzenlenen ‘Verileri hukuka aykırı olarak verme veya ele geçirme’ suçunun faili, herhangi bir özellik arz etmiyor olup, kanun metninden de anlaşılabileceği üzere herkestir. bb. Mağdur Tıpkı failde olduğu gibi, “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun mağduru da herhangi bir özellik arz etmiyor olup, herkes bu suçun faili olabilecektir. cc. Suçun Konusu TCK m. 136’da düzenlenen ‘Verileri hukuka aykırı olarak verme veya ele geçirme’ suç tipinin konusu tıpkı 135. Maddedeki suç tipi ile aynı olup, bu suç tipinin de konusu hukuka aykırı olarak verilen veya ele geçirilen kişisel verilerdir. dd. Hareket TCK m. 136’da düzenlenen ‘Verileri hukuka aykırı olarak verme veya ele geçirme’ suçunda, verilerin hukuka aykırı şekilde ‘verilmesi’ ve/veya ‘ele geçirilmesi’ bu suç tipinin hareket unsurunu oluşturmaktadır. b. Manevi Unsur TCK m.136’da, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin cezalandırılacağı belirtilmiştir. Bir suçun taksirle işlenebilmesi için bunun ayrıca belirtilmesi gerektiğinden, bu suç ancak kast ile işlenebilecektir. c. Hukuka Aykırılık TCK m.136’da yer alan Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçunda da tıpkı m.135’de düzenlenen kişisel verilerin hukuka aykırı olarak kaydedilmesi suçunda olduğu gibi ilgili kişinin rızası ile kanunun verdiği yetki hukuka aykırılığı ortadan kaldıracaktır. ç. Suçun Nitelikli Halleri Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçunun TCK m.137’de belirtildiği üzere, bir kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halleri suçun nitelikli halini oluşturmakta ve daha fazla cezanın verilmesini gerektirmektedir. Ayrıca 17/10/2019 tarihinde kabul edilen 7188 sayılı Ceza Muhakemesi̇ Kanunu Ve Bazı Kanunlarda Deği̇şi̇kli̇k Yapılmasına Dai̇r Kanun ile maddeye eklenen ikinci fıkraya göre, suçun konusunun, Ceza Muhakemesi Kanunu’nun 236’ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumu da suçun nitelikli hali olarak sayılmış ve verilecek cezada artırım öngörülmüştür. d. Suçun Özel Görünüş Biçimleri TCK m.136’da düzenlenen Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu da tıpkı m.135’de düzenlenen Kişisel Verilerin Kaydedilmesi suçunda olduğu gibi teşebbüs aşamasında kalması mümkündür . İştirak bakımından da bu suç herhangi bir farklı özellik göstermeyip, suçun iştirak halinde işlenmesi mümkündür. Türk Ceza Kanunu’nda düzenlenen içtima hükümleri burada da uygulama alanı bulacaktır ve kanunun 43. Maddesi kapsamında söz konusu suçun değişik zamanlarda bir kişiye karşı birden fazla kez işlenmesi durumunda ya da aynı suçun birden fazla kişiye tek bir hareket ile işlenmesi halinde bir cezaya hükmedileceği ve bu suçun zincirleme suçu oluşturacağı söylenebilir . C. Verileri Yok Etmeme Suçu (TCK m.138) Türk Ceza Kanunu’nun 138. maddesine göre, kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verileceği düzenlenmektedir. 1. Suçla Korunan Hukuki Değer TCK m.238’de düzenlenen suç tipiyle iki ayrı hukuksal değerin korunduğu öne sürülmektedir. Bunlardan ilki kişisel verilerin bizatihi kendisi ve buna bağlı olarak kişisel verilerin korunması hakkı, ikincisi ise kamu idaresinin güvenilirliği ve işleyişidir . 2. Suçun Unsurları a. Maddi Unsurlar aa. Fail Türk Ceza Kanunu m. 138’de düzenlenen ‘Verileri yok etmeme’ suçunun faili, kişisel verileri yok etmekle yükümlü olan kişidir. Bu yükümlülük ise kendisine kanunlarla tanınacaktır. Bu nedenle suç tipini düzenleyen bu maddede kimlerin bu yükümlülüğü taşıdığı belirtilmemiş, genel bir ifade kullanılarak yükümlülüğün ilgili Kanun ile belirlenmesi sağlanmıştır . Verileri yok etmekle yükümlü olan kişiyi belirleyen düzenleme ise temel olarak 6698 sayılı KVKK kabul edilebilir. Zira 6698 sayılı KVKK’nın “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7. maddesi bunu şu şekilde ifade etmektedir; “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir”. Madde metninden de anlaşılacağı üzere kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine veri sorumlusu tarafından silinecektir. Veri sorumlusu ise aynı Kanun’da “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusunun bu konuda belirleyeceği temsilci ve/veya görevlendireceği kişi veya kişiler suçun faili olacaktır . bb. Mağdur TCK m.138’de düzenlenen ‘Verileri yok etmeme’ suçunun mağduru, kişisel verisi işlenen gerçek kişiler olacaktır. Maddede yapılan tanımlama dikkate alındığında, bu suçun mağdurunun kişisel verileri hukuka uygun olarak işlendiği halde, kanunda belirtilen süreler içinde bu verileri yok etmekle görevli olan kişiler tarafından kişisel verileri yok edilmeyen herkes olabilecektir. Doktrinde bu suçun mağdurunun aslında kamu olduğunu belirten yazarlar da bulunmaktadır . cc. Suçun konusu TCK m.138’de düzenlenen verileri yok etmeme suçunun konusu, tıpkı diğer iki suçta olduğu gibi “kişisel veriler”dir. dd. Hareket TCK m. 138’de düzenlenen verileri yok etmeme suçu, failin görevinin gereği olan işlemi, yani verilerin sistemden yok edilmesi işlemini gerçekleştirmemesi sonucu işlenmiş olur. Dolayısıyla bu suç ihmali hareketle işlenebilen bir suçtur. Verileri yok etmeme suçu açısından ayrıca bir netice aranmaz. Söz konusu ihmali hareketin gerçekleşmesiyle suç oluşmuş olur. Dolayısıyla bu suç, zarar suçu olmadığı gibi soyut tehlike suçudur . b. Manevi Unsur Verileri yok etmeme suçunun taksirle işlenebileceğine dair Kanun’da bir hüküm bulunmadığından, bu suçun ancak kast ile işlenebileceğini söylemek doğru olacaktır. c. Hukuka Aykırılık TCK m. 138’de düzenlenen verileri yok etmeme suçu açısından, daha önceki suç tiplerinde belirttiğimiz ilgilinin rızası geçerli olamayacaktır. Zira burada Kanun’da belirlenen sürelerin hilafına kişisel verilerin silinmemiş veya yok edilmemiş olması Kanun’dan doğan bir zorunluluk olduğu için burada kişisel verinin sahibinin rızası önem taşımamaktadır. ç. Suçun Nitelikli Halleri Verileri yok etmeme suçunu düzenleyen TCK m.138’e 21.02.2014 tarihinde eklenen ikinci fıkra uyarınca, Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek cezanın artırılacağı belirtilmektedir. Dolayısıyla bu ikinci fıkrada belirtilen durum suçun nitelikli halini oluşturacaktır. d. Suçun Özel Görünüş Biçimleri Verileri yok etmeme suçunu düzenleyen TCK’nın 138. maddesi ile 6698 sayılı KVKK m.17/2’de düzenlenen suçlar, ihmal suretiyle işlenebilen suçlar oldukları için teşebbüse elverişli değildirler . TCK m. 138. kapsamında düzenlenen ‘Verileri Yok etmeme’ suçunun birden fazla kişiye karşı tek bir hareket ile işlenmesi halinde yani failin birden fazla kişinin verilerini işlemiş olmasına rağmen bu verileri kanundaki süreler geçmesine rağmen yok etmemesi halinde bir cezaya hükmedilecek ancak bu durumda verilecek ceza, TCK m.43 çerçevesinde dörtte birinden dörtte üçüne kadar artırılacaktır. Diğer yandan failin bu suçu aynı kişiye birden fazla kez işlemesi halinde de zincirleme suç hükümleri uygulanacak ve failin cezası artırılacaktır. Eğer fail kişisel verileri yok etmemekle birlikte bu verileri bir başkasına vermiş veya yaymış olursa bu durumda TCK m. 136’da düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunu da işlemiş sayılacak ve gerçek içtima kuralları uygulanacaktır. Aynı şekilde fail, verileri önce hukuka aykırı şekilde elde etmiş daha sonra da bu verileri kanunda belirtilen usule uygun şekilde silmez veya yok etmez ise yine iki ayrı suç oluşmuş olacaktır . Ç. 6698 Sayılı KVKK’da Düzenlenen Kabahatler Kanun’un kabahatleri düzenleyen 18. maddesi şu şekildedir: (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. Maddenin ikinci fıkrasında, öngörülen bu para cezalarının veri sorumlusu sıfatını haiz gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenmiştir. Maddenin birinci fıkrasında sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kişisel Verileri Koruma Kurulu’nun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonucu Kurula bildirilecektir. IV. SONUÇ Bu çalışmada kişisel verilerin korunması alanında yapılan düzenlemeler ile bu düzenlemelerde geçen kavramların kısaca tarifleri yapıldıktan sonra, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanun’un 17. maddesinde yapılan atıf ile 5237 sayılı Türk Ceza Kanunu’nda kişisel verilerin işlenmesi hususunda gerçekleştirilen ihlaller sonucunda verilecek ceza ve kabahatler ele alınmaya çalışılmıştır. 6698 Sayılı KVKK yalnızca kişisel verilerin kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi durumlarını değil, kişisel veriler üzerinde yapılan her türlü işlemi kapsamı içerisine almaktadır. Bu durumun doğal bir sonucu olarak KVKK, cezai sorumluluğa ilişkin olarak Türk Ceza Kanunu’na atıfta bulunduğu hallerde, Türk Ceza Kanunu’nun ilgili hükümlerinin kişisel verilerin herhangi bir şekilde işlenmesi durumunda uygulanmasını amaçladığı söylenebilecektir. Bununla beraber, Türk Ceza Kanunu’nun ilgili hükümleri, kişisel verilerin yukarıda belirtilmiş olan durumlar dışında işlenmesi hallerini kapsamamaktadır. Bu durumda ise, suçların ve cezaların kanuniliği ilkesi uyarınca ve bu ilkenin alt ilkesi niteliğinde bulunan belirlilik ilkesi gereğince, kişisel verilerin hukuka aykırı olarak ve fakat Türk Ceza Kanunu’nun ilgili düzenlemelerinin kapsamına girmeyen eylemlerle işlenmesi ve bu fiillerin Türk Ceza Kanunu’nda sıralanan suç tipleri ile ilişkilendirilememesi durumunda Türk Ceza Kanunu uygulama alanı bulmayacaktır. Ancak, Kabahatler Kanunu’nun 15/3. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlendiği ve Türk Ceza Kanunu’nun uygulanmadığı bir halde, söz konusu fiil kabahat olarak değerlendirilerek bir yaptırıma tabi tutulabilecektir. Yine 6698 sayılı Kanun’un 18. maddesi ile kişisel verilerin korunması alanında gerçekleşecek ihlaller sonucunda Kurul tarafından belirlenen idari para cezalarının veri sorumlusu gerçek veya tüzel kişiler hakkında uygulanacağı düzenlenmiştir. Bu idari para cezalarının hazineye kalıyor olup, hakkı ihlal edilen ilgili veri sahibine ödenmiyor olması haklı eleştirilere konu edilmektedir. 6698 sayılı Kanun’un yürürlüğe girmiş olması, eksiklikler ve yapılan eleştiriler bulunuyor olmasına rağmen, önemli bir gelişme olmuştur. Bu alanda çıkarılan yönetmelikler de uygulama bakımından yol gösterici olmuş ve kişisel verilerin korunması anlamında ilerlemeye yol açmıştır. KAYNAKÇA AKINCI, Ayşe Nur : Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi, Çalışma Raporu-6, İktisadi Sektörler Ve Koordinasyon Genel Müdürlüğü Bilgi Toplumu Dairesi Başkanlığı, 2017. CİVELEK, Dilek YÜKSEL :Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi, Uzmanlık Tezi, Bilgi Toplumu Dairesi Başkanlığı, 2011. DÜLGER, M. Volkan : Kişisel Verilerin Korunması Hukuku (Kişisel Verilerin Korunması), Hukuk Akademisi Yayınları, İstanbul, 2019. DÜLGER, Murat Volkan : Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 3 (2), Güz 2016; 101-167. ÖZBEK, Veli Özer / DOĞAN, Koray / BACAKSIZ Pınar / TEPE, İlker : Türk Ceza Hukuku Özel Hükümler, Seçkin Yayınevi, 12. Bası, Ankara, Eylül 2017. ÖZBEK, Veli Özer : Yeni Türk Ceza Kanunu’nun Anlamı (TCK İzmir Şerhi), Madde 76-169, C. II, Ankara, 2008. ÖZDEMİR, Hayrunnisa : Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Doktora Tezi, Ankara Üniversitesi̇, 2009. TAŞKIN, Şaban Cankat : Bilişim Suçları, Birinci Baskı, İstanbul, 2008. UYARER, Sinem GÖÇMEN : 6698 Kişisel Verilerin Korunması Kanunu ve 5237 Sayılı Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Yüksek Lisans Tezi, Galatasaray Üniversitesi, 2019. YAŞAR, Osman/ GÖKCAN, Hasan Tahsin/ ARTUÇ, Mustafa : Yorumlu-Uygulamalı Türk Ceza Kanunu, Baskı 2, Ankara, Adalet Yayınevi, Ocak 2014, c.3 YARARLANILAN İNTERNET KAYNAKLARI: Kişisel Verilerin Korunması Alanında Uluslararası ve Ulusal Düzenlemeler, Kişisel Verileri Koruma Kurumu, https://kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20ALANINDA%20ULUSLARARASI%20VE%20ULUSAL%20D%C3%9CZENLEMELER.pdf (Erişim Tarihi: 02.11.2019) Madde ve Gerekçesi̇ ile Kişisel Verilerin Korunması Kanunu (Bilgi̇ Notu), https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/062384e3-d18c-4c38-b108-3a7a2a28e849.pdf (Erişim Tarihi: 01.11.2019) Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi̇, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf (Erişim Tarihi: 01.11.2019)