Kişisel Verilerin İmhası
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirleme amacıyla 28.10.2017 tarih ve 30224 sayılı Resmi Gazetede KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK yayımlanmştır.
Tanımlamaların yapıldığı Yönetmelik'in 4/-1c bendinde imha: "Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde tanımlanmıştır.Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Bu noktada dikkat çekilmesi gereken husus, anonim veri ve anonimleştirilmiş veri arasındaki farktır. Anonim veri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir. Anonimleştirme konusunda sıkça kullanılan bazı teknikler bulunmaktadır.
Anonimleştirme uygulanırken, mevcut veri kümesinde yer alan verinin büyüklüğü, verinin çeşitliliği, veriden sağlanmak istenen fayda ve işleme amacı gibi özellikler dikkate alınarak uygulanacak tekniklere karar verilebilir.
Öngörülen anonimleştirmeyle ilgili bazı teknikler şunlardır:
Maskeleme: Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006)
Toplulaştırma/Kümülatif Data Yaratma: Verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.
Veri Türetme: Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.
Veri Karması: Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.
Av. Ferman Kaya
Kişisel veri ile ilgili aşağıdaki Yargıtay kararı incelenebilir.
Yargıtay 12. CD., E. 2015/4349 K. 2016/5349 T. 30.3.2016
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme • kişisel verilerin kaydedilmesi
Mahkemesi :Asliye Ceza Mahkemesi
Suç : Kişisel verilerin kaydedilmesi
CMK'nın 223/2-a maddesi gereğince beraatKişisel verilerin kaydedilmesi suçundan sanığın beraatine ilişkin hüküm, mahalli Cumhuriyet savcısı tarafından temyiz edilmekle, dosya incelenerek gereği düşünüldü:Sanığın, “birol güven” isimli sahte facebook profili oluşturarak ilgi duyduğu katılana arkadaşlık isteği göndererek bir süre yazıştıkları, katılanın, sanık tarafından kullanılan profilin sahte hesap olduğunu anladıktan sonra, sanığın kullandığı sahte profili arkadaşlık listesinden çıkardığı, sonrasında sanığın kullandığı sahte profile, katılanın facebook hesabından elde ettiği resimleri koyarak, kişisel verilerin kaydedilmesi suçunu işlediği iddiasına konu olayda,TCK'nın 135 ve 136. maddelerinde düzenlenen “Kişisel Verilerin Kaydedilmesi” ve “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” suçlarının konusunu oluşturan kişisel veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerektiği, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, hukuka aykırı olarak kaydedilmesi, TCK'nın 135. maddesinde “Kişisel verilerin kaydedilmesi” başlığı altında, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi, aynı Kanunun 136/1. maddesinde “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında birbirinden bağımsız iki ayrı suç olarak tanımlanmıştır.Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir. Herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda “kişisel veri” olarak kabul edilmekte ise de, anılan maddenin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, maddenin uygulamasında, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi gerekir.Bu bilgiler ışığında somut olayımız açısından, sanık tarafından oluşturulan sahte facebook profilinde, katılanın facebook profilinden elde edilen resimlerin yayınlanması eyleminin suç olarak kabul edilmesi halinde, eylemin kişisel verilerin kaydedilmesi suçunu değil, verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturabileceği, bahse konu resimlerin dosya kapsamında bulunmadığı, ancak;Sanığın kovuşturma aşamasında verdiği ifadesinde “Davaya konu fotoğrafları ben facebook isimli sosyal paylaşım sitesinden aldım. Ben bu sitede kendisi ile arkadaştım. Zaten bu fotoğrafları herkese açıktı, müştekinin benim elimde herhangi bir fotoğrafı yoktur.” şeklindeki savunması, katılanın kovuşturma aşamasında verdiği ifadesinde “benim fotoğraflarım arkadaşım olmayanlara engelliydi. Sadece bir tane profil fotoğrafım herkese açıktı. Sanık büyük ihtimalle o fotoğrafımı almış olabilir.” şeklindeki beyanı dikkate alındığında, bahse konu fotoğrafın, katılanın herkese açık profilinden elde edildiği, bu fotoğraflara kolaylıkla ulaşılabildiği, fotoğrafın özel hayata ilişkin olduğuna dair bir iddiada da bulunulmadığı dikkate alındığında, özel hayata ilişkin olmayan, herkese açık facebook profilinden kolaylıkla elde edilen fotoğrafların, ilgilinin isim ve soyismi kullanılmadan, sadece başka bir facebook profilinde yayınlanması eyleminin suç olarak kabul edilemeyeceği, bu eylemlerin yalnızca özel hukuk yaptırımlarına konu olabileceği göz önüne alındığında mahkemece sanık hakkında beraat kararı verilmesinde bir isabetsizlik görülmemiş olup,Yapılan yargılama sonunda yüklenen fiilin kanunda suç olarak tanımlanmamış olması, gerekçeleri gösterilerek mahkemece kabul ve takdir kılınmış olduğundan, mahalli Cumhuriyet savcısının, atılı suçun unsurlarının oluştuğuna ve mahkumiyet istemine ilişkin temyiz itirazlarının reddiyle, beraate ilişkin hükmün isteme uygun olarak ONANMASINA, 30.03.2016 tarihinde oyçokluğuyla karar verildi.
Muhalefet Şerhi:
Sanığın, "ukalacocuk" adıyla oluşturduğu facebook hesabından müştekinin facebook hesabına arkadaşlık teklifi gönderdiği, müştekinin arkadaşlık teklifini reddetmesi ve sanığı engellemesi üzerine, sanığın bu defa "Birolgüven" adlı facebook hesabı oluşturduğu ve bu hesaba müştekinin facebook hesabındaki fotoğrafı alarak fotoğraf kısmına koyduğu, bunu arkadaşlarının haber vermesi üzerine, müştekinin facebook üzerinden yazdığı mesaj ile sanıktan fotoğrafı kaldırmasını istediği, dosya arasında bulunan facebook yazışma çıktılarından anlaşıldığı kadarıyla, müştekinin ısrarla fotoğrafını kaldırmasını ve kendisini rahat bırakmasını talep etmesine rağmen, sanığın fotoğrafı kaldırmayı reddedip, müştekiyi rahatsız etmeyi de sürdürdüğü anlaşılmaktadır.Yerel mahkemece ve Dairemizce, sanığın, müştekinin fotoğrafını facebook hesabından yayınladığı kabul edilmektedir.Yerel mahkeme "fotoğrafın kullanıldığı yerin ortak alan olduğunu, buradan alınmasının hukuka aykırı olmadığını, aynı zamanda kişisel verinin mahremiyetine ilişkin bilgi olduğunu, bu bilgilerin herkesin kolaylıkla elde edebileceği bir konumda bırakılması artık bu veriyi mahrem olmaktan çıkarır herkes için ulaşılabilir hale getirir." demektedir. Bu nedenle suçun oluşmadığına karar vermiştir.Dairemiz çoğunluğu da; "bahse konu fotoğrafın, katılanın herkese açık profilinden elde edildiği, bu fotoğraflara kolaylıkla ulaşılabildiği, fotoğrafın özel hayata ilişkin olduğuna dair bir iddia da bulunmadığı dikkate alındığında, özel hayata ilişkin olmayan, herkese açık facebook profilinden kolaylıkla elde edilen fotoğrafların, ilgilinin isim ve soyismi kullanılmadan, sadece başka bir facebook profilinde yayınlaması eyleminin suç olarak kabul edilmeyeceği" gerekçesi ile beraat kararının onanmasına karar vermiştir. Halbuki Dairemizin 15.02.2012 tarihli ilamı ve aynı olaya ilişkin Yargıtay Ceza Genel Kurulunun 2012/12-1510 Esas, 2014/331 karar nolu 17/06/2014 tarihli kararı ile vesikalık fotoğrafın internette yayınlanması TCK'nın 136/1. maddesine uyan kişisel verilerin yayılması suçu olarak kabul edilmiştir.Fotoğrafın kişisel veri olduğunda tereddüt bulunmamaktadır. Çünkü fotoğraf kişi hakkında bir sayfada yapılacak anlatımı ve tarifi tek bir karede ifade edebilme özelliğine sahiptir. Kişisel Verilerin Korunması Kanun Tasarısının 3/1-d maddesinde "Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ifade eder." şeklinde tanımlanmaktadır. Uluslararası sözleşmelerde ve doktrinde de bu şekilde tanımlanmaktadır. Kişisel verilerin yayılması suçunda, kişisel verinin nasıl elde edildiği değil, hukuka aykırı olarak yayılması önemlidir. Somut olayda, sanığın haklı ve hukuka uygun olarak müştekinin fotoğrafını yayınlaması söz konusu değildir.Yukarıda açıklanan nedenlerle, sanığın TCK'nın 136/1. maddesi gereğince kişisel verileri yayma suçundan cezalandırılması gerektiğini düşündüğümden, çoğunluğun, yerel mahkemenin beraat kararının onanmasına ilişkin kararına katılmıyorum.
