Bildiri Özeti
Çalışmanın amacı, kişisel verilere ilişkin hakların korunmasında Avrupa Birliği (AB) üyesi ülkelerde ve Türkiye’de öngörülen yaptırımların karşılaştırılmasıdır. Bu çalışmayı yapmayı bizi sevk eden sebep özellikle 5237 sayılı Türk Ceza Kanunu (TCK) kapsamında kişisel verilerin ihlaline ilişkin suç tiplerinin çerçevesinin hem suçta ve cezada kanunilik ilkesi hem de ceza siyaseti açısından çok geniş tanımlandığını düşünmemizdir. Nitekim AB üyesi ülkelere bakıldığında genel olarak veri ihlaline ilişkin yaptırımlarda cezai yaptırımların idari yaptırımlara nazaran daha sınırlı bir uygulama alanı olduğu görülmektedir.
Bu çalışmada kişisel verilerin ihlaline ilişkin yaptırımlar idari yaptırımlar ve cezai yaptırımlar olmak üzere ikili bir ayrımla ele alınmıştır. Bu kapsamda AB üyesi ülkelere bakıldığında bazı ülkelerde, kişisel verilerin ihlalinde yalnızca idari yaptırım öngörüldüğü bazı ülkelerde ise idari yaptırımların yanı sıra cezai yaptırımların da söz konusu olduğu dikkat çekmektedir. AB kapsamında kişisel verilerin ihlalinde yalnızca idari yaptırım öngören ülkelere: İspanya, Hollanda ve İsveç’i örnek verebiliriz. İdari yaptırımın yanı sıra cezai yaptırım öngören ülkelerden bir kısmı ise kişisel verilerin ihlaline hürriyeti bağlayıcı bir ceza öngörmemiş ve ihlalleri adli para cezası karşılamıştır. Bu ülkelere: İngiltere ve Belçika’yı örnek verebiliriz. İncelenen ülkelerden büyük çoğunluğunda ise kişisel verilerin ihlali kapsamında hürriyeti bağlayıcı bir ceza öngörüldüğü ifade edilebilir.
Çalışmada idari yaptırımlar açısından AB Genel Veri Koruma Tüzüğü ele alınmıştır. Zira AB hukuku açısından üye ülke hukuklarınca bu tüzük doğrudan uygulama alanı bulacaktır. Oysa cezai yaptırımlar bakımından üye ülkelerin iç hukuklarında düzenleme gereklidir. Cezai yaptırımların karşılaştırılması bakımından ülkemiz ceza hukukunu da etkilemiş olan Alman ve İtalyan ceza hukukları incelenmiştir. TCK’da kişisel verilerin kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi ve yayılması fiilleri suç olarak kabul edilmiştir. Bu suçların kanuni tanımında ise söz konusu fiillerin hukuka aykırı olarak gerçekleştirilmesi ve failin kasten hareket etmesi cezai sorumluluk için yeterli görülmüştür. Oysa gerek Alman gerek İtalyan hukuku düzenlemelerinde, kişisel verilerin hukuka aykırı olarak kaydedildiği, ele geçirildiği, başkasına verildiği veya yayıldığı her durumda cezai sorumluluğun söz konusu olmadığı görülmektedir. Bu iki ülkede de kişisel verilere ilişkin ihlallerde cezai sorumluluk alanı sınırlandırılmıştır. Örneğin, hem Alman hem de İtalyan hukukunda söz konusu fiillerin kasten işlenmesi yeterli görülmemiş kastın yanı sıra failin kendisine veya bir başkasına yarar sağlamak ya da bir başkasına zarar vermek maksadıyla hareket etmesi de aranmıştır. Almanya’da kişisel verilerin üçüncü bir kişiye aktarılması veya başka bir şekilde erişilebilir hale getirilmesi fiilinin; birden çok kimsenin kişisel verisi üzerinde işlenmesi aranmıştır. Yine Alman hukukunda kişisel verilerin elde edilmesi fiilinin ise hileyle gerçekleştirilmesi aranmıştır. İtalyan hukukunda ise sınırlandırma, Veri Koruma Kanunu’nun ilgili maddelerine atıf yapılarak gerçekleştirilmiştir.
Çalışmada AB ülkelerindeki karşılaştırma sonucunda ülkemiz hukukundaki kişisel verilere ilişkin suçların çerçevesinin daha geniş olduğu ve AB ülkelerinden farklı olarak neredeyse kişisel veriler üzerindeki hukuka aykırı her eylemin hürriyeti bağlayıcı ceza ile karşılandığı sonucuna ulaşılmıştır. Kanaatimizce günümüz bilgi toplumunda, kişisel verilerin ihlaline ilişkin her türlü hukuka aykırılığın, hürriyeti bağlayıcı bir ceza ile yaptırım altına alınması ceza hukukunun son çare ilkesine uygun düşmemektedir. Bu hususta AB üyesi ülkelerdeki düzenlemelerin ülkemiz hukuku açısından örnek alınmasının uygun olacağını düşünüyoruz.