Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanununun (KVKK) üçüncü maddesinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Yargıtay Ceza Genel Kurulu’nun 2012/12-1510 E., 2014/331 K. sayılı ve 17.06.2014 tarihli kararında kişisel veriler sınıflandırılarak hangi sınıf içerisinde nelerin kişisel veri olarak sayılacağı şu şekilde belirtilmiştir:

“Bilimsel görüşlerden hareketle kişisel verilerin neler olabileceğini şu başlıkları altında sınıflandırabiliriz.

1. Yaşam şekline ilişkin kişisel veriler: Kişilerin üçüncü kişiler tarafından ayırımcılığa uğramaması ve haysiyetinin korunmasıyla ilişkili olarak, dini inançları, cinsel tercihleri, etnik kökeni, suç geçmişi, politik eğilimleri ve kişisel özel aktivitelere ilişkin bilgiler bu bağlamda sayılabilecektir.
2. Ekonomik ve finansal kişisel veriler: Suçlular tarafından suiistimale ve kimlik hırsızlığına hedef olmamak için kişinin mali varlığı, sahip olduğu hisse ve hesaplar, borçları, yaptığı alış verişler, kredi kartlarına ilişkin veriler. Ayrıca sayılan bu bilgiler ile kişinin nerede ve kimlerle bulunduğuna, sağlık bilgilerine ilişkin bilgiler de ortaya çıkarabileceğinden ve varlık bilgisinin toplumsal açıdan da özel sayılmasından dolayı önemi artmaktadır.
3. Bilişim alanına ilişkin kişisel veriler: e-postaların bizzat adresleri veya şifreleri, internet ortamında paylaşılan kişisel veriler mahrem olarak değerlendirilebilir. Bunun önemi şu bakımdan artmaktadır; internette gezinti yapan kişi kendisine ait birçok kişisel bilgiyi paylaşmakta, bu bilgiler kayıt altına alınmakta, yine internet erişimine ilişkin iz kayıtlarının hizmet sağlayıcı ve sunucu sahipleri tarafından tutulabiliyor olması nedenleriyle veri işleme sürecindeki riskler artmaktadır.
4. Sağlıkla ilgili kişisel veriler: Sağlık verileri kişilerin iş güvenliğini, toplum içindeki statüsünü ve sigorta kapsamını etkileyen hassas bilgilerdir. Ayrıca sağlık verileri kişilerin sosyal yaşantısı ve psikolojik durumları hakkında bilgi edinilmesine neden olabilir. Biyometrik (Kişinin kendine özgü fiziksel veya biyolojik niteliklerine dayalı olarak insanların kimliğini tespit için dijital teknolojiden faydalanma bilimi) veriler de kişisel veriler arasındadır.
5. Politik kişisel veriler: Toplum içinde yaşayan kişilerin siyasi tercihleri toplum katmanları arasında bilinmesi halinde ayırımcılığa maruz kalma ihtimali bulunduğundan bu bilgilerde kişisel veridir.”

Yargıtay tarafından kişisel verilerin genel sınıflandırılması ve tanımlama yapılmış olsa da teknolojik gelişmeler ve somut olay kapsamında elde edilen bilgilerin hangilerinin kişisel veri olup olmadığı yine yargılama aşamasında tespit edilecektir.

Anayasa Mahkemesi’nin 2013/122 E., 2014/74 K. sayılı ve 09.04.2014 tarihli kararında "Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda, geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkanlarla analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır. Bu bağlamda Anayasa'nın 20. Maddesinin üçüncü fıkrasının son cümlesinde, "Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilerek kişisel verilerin korunmasının önemi belirtilmiştir. İlgili kanun kapsamında kişisel veriler işlenebilmekte olup, kanunda istisna olarak sayılan durumlar hariç, kişinin açık rızası aranmaktadır.

Bu kapsamda kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07 Nisan 2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiş olup, yasanın 17. maddesinde kişisel verilere ilişkin suçlarda 5237 sayılı Türk Ceza Kanununun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı dokuzuncu bölümünün altında yer alan 135 ila 140. madde hükümlerini uygulanacağı düzenlenmiştir.

Türk Ceza Kanunun 135. maddesinde “kişisel verilerin hukuka aykırı olarak kaydedilmesi”; 136. maddesinde “Kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi”; 138. maddesinde ise “kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok edilmemesi” suç olarak düzenlenmiştir.

Ayrıca yasanın 139. Maddesinde ise bu suçların şikayete bağlı olmadığı hükme bağlanmış olup, yetkililer tarafından suçun varlığının öğrenilmesi halinde ceza soruşturması açılabilecektir.

Yargıtay 12. Ceza Dairesi’nin 2012/22005 E., 2013/24489 K. sayılı ve 04.11.2013 tarihli kararında da özellikle “Kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi” suçunun şikayete bağlı olmadığı açıkça belirtilmiştir.

Bahse konu suç için özel bir zamanaşımı düzenlemesi ise bulunmamaktadır. Bu kapsamda kanunda kişisel verilerden kaynaklı suçlar için ön görülen yukarı ceza sınırı dikkate alındığında, genel dava zamanaşımına ilişkin düzenlemenin bulunduğu 5237 sayılı TCK md. 66/1-e uyarınca 8 yıllık zamanaşımı süresi uygulanacağını söyleyebiliriz.

“Kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi” suçunda tipe uygun eylem seçimlik olup kişisel verilerin başkasına vermek, yaymak veya ele geçirmek fiillerinden en az birisinin gerçekleştirilmesi suçun oluşması için yeterlidir:

Kişisel verileri başkasına verme suçu, yukarıda sınıflandırılan verilerin veya yargılama aşamasında kişisel veri olarak nitelendirilecek bilgilerin üçüncü bir kişiye, hukuka aykırı olarak ve veri sahibinin rızası olmaksızın verilmesi halinde oluşacaktır. Yargıtay Ceza Genel Kurulu’nun 2015/12-708 E., 2019/414 K. sayılı ve 09.05.2019 tarihli kararında "Kişisel verileri bir başkasına verme; seçimlik hareketinde, maddede geçen "başkası" gerçek bir kişi olabileceği gibi tüzel kişi de olabilecek, veriler bu kişilere elden, posta ya da internet üzerinden elektronik posta ile vb. şekillerde verilebilecektir. Türk Dil Kurumu Büyük Türkçe Sözlüğünde "vermek"; "üzerinde, elinde veya yakınında olan bir şeyi birisine eriştirmek, iletmek, düşünce veya bilgi anlatan şeyleri başkalarına iletmek, bildirmek" şeklinde belirtilmiştir.

Kişisel verileri yayma suçunda ise, bilgilerin yine hukuka aykırı olarak ve veri sahibinin rızası bulunmaksızın 3.kişiler tarafından duyulmasına, işitilmesine ve görülmesine neden olunmaktadır. Yargıtay Ceza Genel Kurulu’nun 2017/12-829 E., 2017/363 K. sayılı ve 04.07.2017 tarihli kararında da "Kişisel verileri yayma, seçimlik hareketi de çeşitli şekillerde gerçekleştirilebilecektir. İnternet üzerindeki bir web sitesinde kişisel verileri yayınlamak, birçok kişiye elektronik posta ile ya da telefondan kısa mesajla göndermek, yazılı ya da görsel medyada yayınlamak gibi... Türk Dil Kurumu Büyük Türkçe Sözlüğünde "yaymak"; "birçok kimseye duyurmak, çevreye dağılmasına sebep olmak” ifadesine yer verilerek açıklanmıştır.

Kişisel verilerin ele geçirilmesi suçu ise, başkasının hakimiyetinde olan bilgilerin hukuka aykırı olarak kendi hakimiyetine alınması şeklinde gerçekleşmektedir. Yargıtay 12. Ceza Dairesi’nin 2017/2960 E., 2018/1541 K. sayılı ve 14.12.2018 tarihli kararında da “…kişisel verilerin, üzerinde yazılı olduğu belgenin bulunduğu yerden alınması ya da kaydedilmiş haliyle başka bir nesne üzerine taşınarak (örneğin; yazının başka bir kağıt, defter vb. nesne üzerine geçirilmesi, taşınabilir belleğe veya CD'ye aktarılması gibi işlemlerle) sabitlenmesi, böylece istenildiğinde tekrar kullanılabilmesi olanağını sağlayan her türlü faaliyet, kişisel verileri “ele geçirme” kapsamında…” değerlendirilebileceği belirtilmiştir.

Suçun oluşması için tipe uygun eylemin yanı sıra manevi unsurun da bulunması gerekmekte olup, ilgili kanun maddesi gereği sadece kastın varlığı yeterlidir. Özel bir saik aranmamaktadır.

TCK md.136/1 uyarınca işlenecek suç kapsamında 2 yıldan 4 yıla kadar ceza hükmedileceği belirtilmiştir. Aynı Kanunun 2.fıkrasında ise 5271 sayılı CMK md.236/5 ve 6. fıkralarına atıfta bulunularak ceza arttırıcı nedenler belirtilmiştir. Buna göre; TCK md. 103 uyarınca mağdur çocukların beyanlarının ve görüntülerinin kaydının veya TCK md.102/2 uyarınca mağdurların beyanlarının ve görüntülerinin kaydının hukuka aykırı olarak ele geçiren, başkasına veren veya yayan kişi hakkında TCK md.136/1 uyarınca verilecek ceza bir kat artırılacaktır.

TCK md.137 ise “kişisel verilerin hukuka aykırı olarak kaydedilmesi” ve “kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması veya ele geçirilmesi” suçlarının nitelikli hali düzenlenmiştir. Buna göre; suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle ve/veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde hükmedilecek ceza yarı oranında artırılacaktır.