Kişisel Verilerin Korunması ve Dijital Suçlar : Türkiye'deki Yasal Düzenlemeler ve Uygulamalar

Günümüzde teknolojinin yüksek ivmeyle ilerlemesiyle birlikte, kişisel verilerin korunması ve dijital suçlarla mücadele konuları büyük önem kazanmıştır ve sürekli bir gündem haline gelmiştir. Türkiye'de bu alanlarda çeşitli yasal düzenlemeler yapılmış ve uygulamalar hayata geçirilmiştir. Son 15 yılda yapılan değişimler, gün geçtikçe ilerlemeye devam eden teknolojide yer bulmuş, yargıda sürekli bir değişim halini gerektirmiştir. Bu yazımızda, Türkiye'deki kişisel verilerin korunması ve dijital suçlara ilişkin ülkemizdeki yasal çerçeve ve uygulamalar ele alınacaktır

Kişisel Verilerin Korunması Kanunu (KVKK)

Türkiye'de kişisel verilerin korunması amacıyla, 7 Nisan 2016 tarihinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. Bu kanunda, kişisel verilerin nasıl işlendiği, saklandığı ve aktarılması süreçlerinde nelere uyulması gerektiği belirtilmektedir. KVKK'ya göre, kişisel veriler ancak ilgili kişinin açık rızasıyla veya kanunda belirtilen diğer hukuki sebeplerle işlenebilecektir. Ayrıca, veri sorumlularının aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülükleri de kanunda detaylı olarak düzenlenmiştir. Kişisel verilerin korunması, bireylerin özel hayatının gizliliği ve temel hak ve özgürlüklerinin korunması açısından pek tabi büyük önem taşımaktadır. Kanunda, kişisel verilerin işlenmesi ve korunmasına yönelik yükümlülüklere aykırı davrananlar için çeşitli yaptırımlar öngörülmüştür. Bu yaptırımlar arasında:

• İdari Para Cezaları: Kanuna aykırı veri işleyen veya veri güvenliğine yönelik tedbirleri almayanlar için para cezaları uygulanmaktadır.
• Hapis Cezaları: Türk Ceza Kanunu’nun 135-140. maddelerine göre, kişisel verilerin hukuka aykırı olarak kaydedilmesi, başkalarına verilmesi, yayılması veya silinmemesi gibi durumlarda hapis cezaları da söz konusudur.

Kanunda yer alan bazı temel tanımlar şunlardır:

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Bu başlığımızın ilk paragrafında belirttiğimiz üzere, kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıdaki durumlarda açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olanların verilerinin işlenmesinin zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel veri işleme, kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.

Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

Yine kanunda öngörülen, özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmadığı sürece işlenemez. Ancak, kanunlarda öngörülen durumlarda, sağlık ve cinsel hayat dışındaki özel nitelikli veriler, ilgili kişinin açık rızası aranmaksızın işlenebilir. Kamu sağlığının korunması, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini ve korunmasını önlemek için gerekli organizasyonel, teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri sorumluları, işledikleri kişisel verileri, işleme amaçları doğrultusunda güncel ve doğru tutmakla ve ilgili kişileri aydınlatmakla yükümlüdür.

İlgili kişiler, veri sorumlusuna başvurarak kendileriyle ilgili;

• Kişisel veri işlenip işlenmediğini öğrenme.
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
• Kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
• Düzeltme, silme veya yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
• İşlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Dijital Suçlar ve Türk Ceza Kanunu'ndaki Düzenlemeler

Dijital suçlar, bilişim sistemleri ve organizasyonları kullanılarak işlenen suçları ifade etmektedir ve Türk Ceza Kanunu'nda (TCK) bu suçlara ilişkin çeşitli düzenlemeler de bulunmaktadır. TCK'nın 243. maddesinde, bir bilişim sistemine hukuka aykırı olarak giren ve orada kalmaya devam eden kişilere, kanun koyucunun belirttiği üzere, bir yıla kadar hapis veya adli para cezası öngörülmektedir.

Aynı zamanda, TCK'nın 244. maddesi, bilişim sisteminin işleyişini engelleme, bozma, verileri yok etme veya değiştirme suçlarını düzenlemekte olup ve bu fiilleri işleyenlere altı aydan üç yıla kadar hapis cezası da vermektedir. Banka veya kredi kartlarının kötüye kullanılması suçu ise TCK'nın 245. maddesinde ele alınmış ve bu suçu işleyenlere bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası öngörülmüştür.

Bilişim Suçlarıyla Mücadelede Yapay Zeka Kullanımı

Teknolojinin günden güne gelişmesi ve değişmesiyle birlikte, bilişim suçlarıyla mücadelede yapay zeka teknolojilerinin kullanımı da sık sık gündeme gelmektedir. Yapay zeka, bilişim suçlarının tespit edilmesi, izlenmesi ve cezalandırılması konusunda etkili bir araç olarak kullanılabilir. Örneğin, yapay zeka tabanlı algoritmalar, sosyal medya ve internet üzerindeki suç unsurlarını tespit etmek için kullanılabilir.

Fakat öbür yandan, yapay zekanın yargıya, kişisel hak ve özgürlüklere ve KVKK’ya olan olumsuz etkilerini de göz ardı etmemek gerekir. Gelişen teknoloji ve yapay zeka uygulamaları, hayatımızı birçok alanda kolaylaştırırken, kötü amaçlarla kullanıldığında ciddi tehditler oluşturabilir ve günümüz sosyao mecralarında oluşturmaktadır da.

Yapay zeka destekli "deepfake" teknolojileri, yani görüntü ve sesin değiştirilerek manipüle edilmesi ile sahte videolar ya da ses kayıtları oluşturulmasını mümkün kılmaktadır. Yapay zeka, siber saldırıların da daha sofistike hale gelmesine neden olmuştur. Örneğin, yapay zeka tabanlı kötü amaçlı yazılımlar, güvenlik sistemlerini daha etkin bir şekilde aşma becerisine, öteki yandan sosyal mecralarda dezenformasyona da yol açabilecek etkilere sahiptir. Bu tarz etkileri, bireylerin ve kurumların bu tür saldırılara karşı savunmasız kalmasına yol açabilmektedir.

Yurt Dışına Kişisel Veri Aktarımına İlişkin Yeni Düzenlemeler

12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Kanun ile Ceza Muhakemesi Kanunu ve diğer bazı kanunlarda değişiklikler yapılmıştır. Bu değişiklikler kapsamında, kişisel verilerin yurt dışına aktarımına ilişkin yeni kurallar getirilmiş ve bu kurallar 1 Haziran 2024 tarihinde yürürlüğe girmiştir.

Yapılan değişikliklerle, kişisel verilerin yurt dışına aktarımında "standart sözleşmeler" ve "bağlayıcı şirket kuralları" gibi yöntemler öngörülmüştür. Bu yöntemler, veri sorumluları ve veri işleyenler için uygun güvence sağlama araçları olarak kabul edilmiştir. Kişisel Verileri Koruma Kurulu’nun kararı ile standart sözleşme metinlerini, bağlayıcı şirket kuralları başvuru formlarını ve bu kurallarda bulunması gereken temel hususlara ilişkin kılavuzları onaylamıştır. Bu belgeler, Kurumun internet sitesinde "Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu" başlığıyla yayımlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yapılan değişiklikle, kişisel verilerin yurt dışına aktarımına ilişkin aşamalı bir rejim benimsenmiştir. Bu rejim şu şekildedir:
1. Yeterli Koruma İlan Edilen Ülkeler: Aktarım yapılacak ülkenin Kurul tarafından yeterli koruma sağlandığı ilan edilmiş olması gerekmektedir.
2. Uygun Güvenceler: Yeterli korumanın bulunmadığı durumlarda, Kanunda belirtilen uygun güvencelerin sağlanması zorunludur.
3. İstisnai Haller: Yeterli korumanın bulunmaması ve uygun güvencelerin sağlanamaması durumunda, Kanunda belirtilen sınırlı sayıdaki istisnai hallerden birinin varlığı aranır. Bu düzenlemeler, kişisel verilerin yurt dışına aktarımında daha güvenli ve şeffaf bir süreç öngörmektedir.

Yurt İçinde Kişisel Veri Aktarımı ve Açık Rıza

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt içinde üçüncü kişilere aktarılmasına ilişkin kurallar getirmiştir. Bu kurallara göre, kişisel verilerin aktarılabilmesi için genellikle ilgili kişinin açık rızasının alınması gerekmektedir. Ancak, bazı durumlarda açık rıza aranmadan da kişisel veriler aktarılabilir.

Kişisel Verilerin Aktarılması İçin Gereken Şartlar:
1. Açık Rıza: İlgili kişinin verilerin aktarılmasına açıkça onay vermesi.
2. Kanuni Zorunluluk: Kanunlarda açıkça öngörülen durumlarda veriler aktarılabilir.
3. Hayati Tehlike: Kişinin hayatı veya beden bütünlüğü tehlikede olduğunda, rıza aranmadan veriler aktarılabilir.
4. Sözleşme İlişkisi: Bir sözleşmenin kurulması veya ifası için verilerin işlenmesi zorunlu ise aktarım yapılabilir.
5. Hukuki Yükümlülük: Veri sorumlusunun hukuki bir yükümlülüğünü yerine getirmesi için veriler aktarılabilir.
6. Açıklanmış Veriler: İlgili kişi tarafından herkese açık hale getirilmiş veriler aktarılabilir.
7. Hakların Korunması: Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesi zorunlu ise aktarım yapılabilir.
8. Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenebilir.

Özel Nitelikli Kişisel Verilerin Aktarılması:

Özel nitelikli kişisel veriler (örneğin, sağlık bilgileri) daha sıkı kurallara tabidir. Bu tür verilerin aktarılabilmesi için:

• İlgili kişinin açık rızası alınmalıdır.
• Sağlık ve cinsel hayat dışındaki özel nitelikli veriler için kanunlarda açıkça öngörülmüş olmalıdır.
• Sağlık ve cinsel hayata ilişkin veriler, kamu sağlığının korunması veya tıbbi hizmetlerin yürütülmesi gibi amaçlarla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından aktarılabilir.

Açık Rıza Nedir ve Nasıl Alınır?

Açık rıza, kişinin belirli bir konuda bilgilendirilerek ve özgür iradesiyle verdiği onaydır. Açık rıza alınırken şu unsurlara dikkat edilmelidir:

• 1. Belirli Bir Konu: Rıza, belirli bir işlem veya faaliyetle sınırlı olmalıdır. Genel nitelikteki rızalar (örneğin, "her türlü veri işleme faaliyeti") geçersizdir.
• 2. Bilgilendirme: Kişi, verilerin nasıl işleneceği ve aktarılacağı konusunda bilgilendirilmelidir.
• 3. Özgür İrade: Rıza, kişinin baskı altında kalmadan özgürce verdiği bir onay olmalıdır.
Açık rıza, yazılı olarak veya elektronik ortamda (e-posta, çağrı merkezi vb.) alınabilir. Rızanın ispat yükümlülüğü veri sorumlusuna aittir.



Açık Rızanın Geri Alınması:

Kişi, verdiği açık rızayı dilediği zaman geri alabilir. Geri alma işlemi, veri sorumlusuna ulaştığı andan itibaren geçerli olur ve ileriye yönelik sonuç doğurur. Yani, geri alma beyanından sonra veri sorumlusu, ilgili verileri işlemeyi durdurmalıdır.


KAYNAKÇA:

• Dülger, M. V. (2016). Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması. SSRN.
• Sağlam Eker, T. (2022). Türk Ceza Hukukunda Kişisel Verilerin Korunması. Yükseköğretim Kurulu Ulusal Tez Merkezi.
• Yücel, M. (2024). *İnternet Üzerinde Kişisel Verilerin Korunması ve Hukuki Düzenlemeler*.
• Reddy, T., & Kanniah, S. (2020). The role of artificial intelligence in cybercrime: Opportunities and challenges. Journal of Cybersecurity Research and Practice, 8(3), 45-62.
• Goodfellow, I., Bengio, Y., & Courville, A. (2016). Deep learning. MIT Press.
• https://www.mevzuat.gov.tr
• Resmî Gazete. (2024, 12 Mart). 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun. Sayı: 32487.
• Kişisel Verileri Koruma Kurulu. (2024, 4 Haziran). 2024/959 sayılı Karar.
• Kişisel Verileri Koruma Kurumu. (2024). Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu.
• Resmî Gazete. (2016, 7 Nisan). 6698 sayılı Kişisel Verilerin Korunması Kanunu. Sayı: 29677.
• Kişisel Verileri Koruma Kurumu. (2024). Kişisel Verilerin Yurt İçinde Aktarımına İlişkin Rehber.