emre ikbal açıkgöz

Dr. | Ceza Hukuku

Kişisel Veri ve “Ultima Ratio” İlkesi: TCK, Avrupa Örneklerinin Neresinde?

Ceza hukukunun evrensel ilkelerinden biri olan “Ultima Ratio” (Son Çare) ilkesi, cezai yaptırımların ancak diğer hukuki tedbirlerin (idari para cezası, tazminat vb.) yetersiz kaldığı en ağır durumlarda devreye girmesini öngörür. Ancak Türk Ceza Kanunu’nun (TCK) kişisel verilerin korunmasına ilişkin yaklaşımı incelendiğinde, bu temel ilkenin sınırlarının oldukça zorlandığı görülmektedir. Ülkemizde veri ihlalleri, idari yaptırım ile cezai yaptırım arasındaki ince çizgide değil, doğrudan hürriyeti bağlayıcı cezaların geniş kapsama alanında değerlendirilmektedir.

Bu yazıda; “son çare” olması gereken ceza hukukunun veri ihlalleri bakımından Kanun’daki düzenlemenin yapısı bakımından Türk hukukunda nasıl “ilk başvuru yolu” haline geldiğini, GDPR ile Almanya ve İtalya örnekleri üzerinden karşılaştırmalı olarak inceleyeceğiz.

1. Türk Hukukunda Mevcut Durum: TCK’nın Alternatifsiz Çerçevesi

Türkiye’de kanun koyucu, kişisel verilere yönelik eylemleri TCK kapsamında incelenen ülkelerdeki “kademeli” geçişin aksine, doğrudan hapis cezası ile yaptırım altına almıştır.

  • Kişisel Verilerin Kaydedilmesi (TCK Madde 135): Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir.
  • Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK Madde 136): Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.

Bu düzenlemenin en kritik yönü; suçun oluşması için failin kasten hareket etmesinin (fiili bilerek ve isteyerek işlemesi) yeterli görülmesidir. Failin bir zarar verme amacı veya özel bir yarar sağlama gayesi taşıyıp taşımadığına bakılmaksızın, eylem doğrudan suç kategorisine girmekte ve şikayet şartı aranmaksızın suç re’sen (kendiliğinden) soruşturulmaktadır.

2. Avrupa’da İdari Yaptırım Çatısı: GDPR

Türkiye’deki bu “hapis cezası öncelikli” rejimin aksine, Avrupa Birliği hukukunda veri ihlalleri öncelikli olarak idari yaptırımlarla karşılanmaktadır. Tüm üye ülkelerde doğrudan uygulanan Genel Veri Koruma Tüzüğü (GDPR – Regulation (EU) 2016/679), ihlalleri hapis cezası yerine caydırıcılığı yüksek para cezalarıyla çözme yoluna gitmiştir.

İdari Para Cezaları (GDPR Madde 83):
Tüzük, ihlalin ağırlığına göre iki kademeli bir yaptırım sistemi kurmuştur:

  1. Hafif İhlaller (Madde 83/4): Veri güvenliği tedbirlerinin alınmaması gibi durumlarda, 10 milyon Euro veya işletmenin yıllık global cirosunun %2’sine kadar para cezası.
  2. Ağır İhlaller (Madde 83/5): Rıza şartları veya veri sahibinin haklarının (Madde 12-22) ihlali gibi temel prensiplere aykırılık durumunda, 20 milyon Euro veya yıllık global cironun %4’üne kadar para cezası.

Ayrıca GDPR Madde 58 uyarınca otoriteler; veri akışının askıya alınması veya veri işlemenin yasaklanması gibi etkili idari tedbirlere de başvurabilmektedir.

3. Avrupa’da Cezai Yaptırım Örnekleri (Almanya & İtalya)

GDPR cezai alanı üye ülkelerin iç hukukuna bırakmıştır. Ancak Kıta Avrupası örneklerine baktığımızda, TCK’ya kıyasla çok daha dar kapsamlı ve failin kastın yanı sıra belirli bir amaç veya saikle hareket etmesini arayan düzenlemeler görmekteyiz.

A. Almanya: Bundesdatenschutzgesetz (BDSG)

Alman Federal Veri Koruma Kanunu (BDSG), cezai sorumluluğu, belirli ek şartlara bağlamıştır (Madde 42):

  • Kazanç veya Zarar Amacı: Verilerin haksız işlenmesi veya hileyle elde edilmesi suçunun oluşması için, failin “kendisine/başkasına yarar sağlamak veya başkasına zarar vermek” maksadıyla hareket etmesi gerekir.
  • Ticari Amaç: Verilerin üçüncü kişilere aktarılması suçunda ise failin “ticari bir amaçla” hareket etmesi ve verilerin çok sayıda kişiyi ilgilendirmesi aranır.
  • Yaptırım ve Usul: Öngörülen ceza 3 yıla kadar hapis veya adli para cezasıdır. En önemlisi, bu suçların takibi kural olarak şikâyete bağlıdır.

B. İtalya: Codice della Privacy (D.Lgs. 196/2003)

İtalyan Kişisel Verilerin Korunması Kanunu da benzer bir yaklaşım sergiler (Madde 167):

  • Kazanç veya Zarar Amacı: Cezai yaptırım için failin sadece kasten hareket etmesi yetmez; “kazanç elde etmek veya başkasına zarar vermek”  amacıyla hareket etmesi şarttır.
  • Yaptırım: İhlal edilen maddeye göre 6 aydan 3 yıla kadar hapis cezası öngörülür. Ayrıca Otoriteye yalan beyanda bulunmak (Madde 168) veya kararlara uymamak (Madde 170) gibi eylemler de suç kapsamındadır.

4. Türkiye Nerede Ayrışıyor?

Yukarıdaki düzenlemeler ışığında, Türk Ceza Hukukunun yaklaşımı ile Avrupa örnekleri arasındaki farklar netleşmektedir:

  1. Suçun Manevi Unsuru: Almanya ve İtalya’da suçun oluşması için failin kastın yanı sıra “zarar verme”, “haksız kazanç sağlama”, “ticari amaç” gibi amaçlarla hareket etmesi şartken; TCK’da herhangi bir özel amaç aranmaksızın fiilin kasten işlenmesi cezalandırma için yeterlidir.
  2. Yaptırım Türü: Almanya ve İtalya’da hapis cezası seçimlik (para cezasına alternatif) olarak düzenlenmişken, TCK 135 ve 136. maddelerde doğrudan hürriyeti bağlayıcı ceza öngörülmüştür.
  3. Soruşturma Usulü: Almanya’da kişisel veriye ilişkin suçlar genellikle mağdurun şikâyeti üzerine soruşturulurken, Türkiye’de soruşturma ve kovuşturma re’sen yapılmaktadır.

Değerlendirme

Kişisel verilerin korunması modern hukuk sistemlerinin önceliğidir. Ancak Avrupa’daki örnek düzenlemelerin, hapis cezasının uygulanması bakımından ceza hukukunun ultima ratio ilkesine daha uygun düzenlemelere yer verdiği görülüyor.

Türkiye’de TCK’nın mevcut yapısı, idari yaptırımla çözülebilecek pek çok ihlali doğrudan hapis cezası tehdidi altına sokmaktadır. Günümüz bilgi toplumunda, yaptırım rejiminin; failin amacı (yarar/zarar), fiilin ağırlığı ve mağdurun şikâyeti ekseninde, Avrupa’daki örneklere uygun olarak yeniden değerlendirilmesi, hukuk sistemimizdeki ölçülülük dengesini yeniden sağlayacaktır.