ANAYASA MAHKEMESİ KARARI

Esas Sayısı       :  2015/32

Karar Sayısı    :  2015/102

Karar Tarihi   :  12.11.2015

R.G. Tarih-Sayı   :  02.12.2015 - 29550 

İTİRAZ YOLUNA BAŞVURAN: Batman 2. Asliye Ceza Mahkemesi

İTİRAZIN KONUSU: 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu'nun, 21.2.2014 tarihli ve 6526 sayılı Kanun'un 4. maddesiyle değişik 136. maddesinin (1) numaralı fıkrasının, Anayasa'nın 38. maddesine aykırılığı ileri sürülerek iptaline karar verilmesi talebidir.

OLAY: Sanık hakkında kişisel verileri hukuka aykırı olarak ele geçirme ve yayma suçundan açılan kamu davasında, itiraz konusu kuralın Anayasa'ya aykırı olduğu kanısına varan Mahkeme, iptali için başvurmuştur.

I- İPTALİ İSTENİLEN KANUN HÜKMÜ

Kanun'un itiraz konusu 136. maddesi şöyledir:

"Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır."

II- İLK İNCELEME

1. Anayasa Mahkemesi İçtüzüğü hükümleri gereğince Zühtü ARSLAN, Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Osman Alifeyyaz PAKSÜT, Recep KÖMÜRCÜ, Burhan ÜSTÜN, Engin YILDIRIM, Nuri NECİPOĞLU, Hicabi DURSUN, Celal Mümtaz AKINCI, Erdal TERCAN, Muammer TOPAL, M. Emin KUZ, Hasan Tahsin GÖKCAN ve Kadir ÖZKAYA'nın katılımlarıyla 1.4.2015 tarihinde yapılan ilk inceleme toplantısında, dosyada eksiklik bulunmadığından işin esasının incelenmesine OYBİRLİĞİYLE karar verilmiştir.

III- ESASIN İNCELENMESİ

2. Başvuru kararı ve ekleri, Raportör Berrak YILMAZ tarafından hazırlanan işin esasına ilişkin rapor, itiraz konusu kanun hükmü, dayanılan ve ilgili görülen Anayasa kuralları ve bunların gerekçeleri ile diğer yasama belgeleri okunup incelendikten sonra gereği görüşülüp düşünüldü.

A- İtirazın Gerekçesi 

3. Başvuru kararında özetle, ceza mevzuatında kişisel verilerle ilgili bir tanım ve sınırlandırma yapılmadığından, itiraz konusu kuralın suçta ve cezada kanunilik ve belirlilik ilkelerine ve Anayasa'nın 38. maddesine aykırı olduğu ileri sürülmüştür.

B- Anayasa'ya Aykırılık Sorunu

4. 6216 sayılı Anayasa Mahkemesinin Kuruluşu ve Yargılama Usulleri Hakkında Kanun'un 43. maddesi uyarınca, kural Anayasa'nın 20. maddesi yönünden de incelenmiştir.

5. İtiraz konusu kuralla, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılması öngörülmektedir.

6. Anayasa'nın 20. maddesinin birinci fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı belirtilmiş; üçüncü fıkrasında da "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." denilerek kişisel verilerin korunması, özel hayatın gizliliğinin korunması kapsamında güvenceye kavuşturulmuştur.

7. Anayasa'nın 38. maddesinin ilk fıkrasında "Kimse, işlendiği zaman yürürlükte bulunan kanunun suç saymadığı bir fiilden dolayı cezalandırılamaz..." denilerek "suçun kanuniliği"; üçüncü fıkrasında da "Ceza ve ceza yerine geçen güvenlik tedbirleri ancak kanunla konulur." denilerek, "cezanın kanuniliği" ilkesi getirilmiştir. Aynı şekilde 5237 sayılı Türk Ceza Kanunu'nun 2. maddesinde yer alan "Kanunun açıkça suç saymadığı bir fiil için kimseye ceza verilemez ve güvenlik tedbiri uygulanamaz. Kanunda yazılı cezalardan ve güvenlik tedbirlerinden başka bir ceza ve güvenlik tedbirine hükmolunamaz." hükmü ile ceza hukukumuzda da  "suçta ve cezada kanunilik" ilkesi kabul edilmiştir. Bu ilke uyarınca hangi eylemlerin yasaklandığı ve bu yasak eylemlere verilecek cezaların hiçbir kuşkuya yer bırakmayacak biçimde yasada gösterilmesi, kuralın açık, anlaşılır ve sınırlarının belli olması gerekmektedir. Kişilerin suç sayılan eylemleri önceden bilmeleri gerektiği düşüncesine dayanan bu ilke, aynı zamanda temel hak ve özgürlükleri en geniş biçimiyle gerçekleştirip güvence altına almakla yükümlü olan hukuk devletinin esas aldığı değerlerden olup, uluslararası hukukta ve insan hakları belgelerinde de özel bir yere ve öneme sahip bulunmaktadır. Kanunilik ilkesi, özgürlüğün sınırlarının önceden bilinerek, insanın davranışlarını bu çerçevede düzenlemesini temin için getirilmiştir. Kanunilik ilkesi aynı zamanda kıyas yoluyla yeni bir suç ihdasına ve ceza normlarının genişletilmesine engel oluşturur.

8. 5237 sayılı Kanun'un "Kişisel verilerin kaydedilmesi" başlıklı 135. maddesinin gerekçesinde, gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiği belirtilmiştir. Ayrıca, Kanun'un 134. ilâ 139. maddeleri arasında kişisel verilerin korunmasına yönelik hükümler yer almaktadır. Söz konusu maddelerde kişisel verilerin açık bir tanımı yer almamakla birlikte kişisel verilere yönelik olarak "kişilerin özel hayatına ilişkin görüntü veya sesler", "siyasi, felsefi veya dini görüş", "ırki köken", "ahlaki eğilim", "cinsel yaşam", "sağlık durumu" ve "sendikal bağlantılar" gibi kavramlara yer verilmektedir.

9. Anayasa Mahkemesinin kararlarında da belirtildiği üzere, "kişisel veri", "belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler" kişisel veri olarak  kabul edilmektedir (E.2013/122, K.2014/74, 9.4.2014; E.2014/149, K.2014/151, 2.10.2014; E.2013/84, K.2014/183, 4.12.2014; E.2014/74, K.2014/201, 25.12.2014; E.2014/180, K.2015/30, 19.3.2015).

10. Türkiye'nin imzaladığı ancak uygulama kanununun yürürlüğe konmaması nedeniyle henüz taraf olmadığı 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 2. maddesinde "kişisel veri", "kimliği belirli veya belirlenebilecek verinin öznesi olan gerçek kişiyle ilgili tüm bilgiler" şeklinde tanımlanmaktadır. Sözleşme'nin "özellikli veri kategorileri" başlıklı 6. maddesinde ise "iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dinî veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar" demek suretiyle söz konusu verilerin kişisel veri kapsamında olduğunu belirlemektedir. Ekonomik Kalkınma ve İşbirliği Örgütü'nün (OECD) yayınladığı Kişisel Verilerin Korunması Rehber İlkeleri'nde "kişisel veri",  "belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler" şeklinde tanımlanmaktadır. Avrupa Birliği'nin 95/46/EC sayılı Veri Koruma Direktifi'nin 2. maddesinde de "kişisel veri", "belirli ya da kimliği belirlenebilir gerçek kişi ile ilişkilendirilebilen her türlü bilgi" şeklinde tanımlandıktan sonra "bir kişinin doğrudan veya dolaylı olarak tanımlanabilmesine imkân sağlayan kişinin kimlik numarası, fiziksel, psikolojik, duygusal, ekonomik ve kültürel kimliği veya sosyal kimliğin"nin bu kapsamda değerlendirildiği ifade edilmektedir.

11. "Kişisel veri" kavramı tarafı olduğumuz Avrupa İnsan Hakları Sözleşmesi'nde (AİHS) açık bir şekilde düzenlenmemekle birlikte, Sözleşme'nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme'ye atıfta bulunulmakta ve bu verilerin özel yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM kararlarında kişilere ait "görüntü", "fotoğraf", "parmak izi", "DNA profili", "hücre örnekleri", "ev adresi"ve "yaş, doğum tarihi ve fiziksel özellikler" "kişisel veri" kapsamında değerlendirilmektedir (Peck/Birleşik Krallık, B.No: 44647/98, 28.01.2003; Sciacca/İtalya, B.No:50774/99, 11.01.2005; S. ve Marper/Birleşik Krallık, (Büyük Daire), B.No: 30562/04, 30566/04, 04.12.2008; Alkaya/Türkiye, B.No:42811/06, 09.10.2012; K.U./Finlandiya, B.No:2872/02, 02.12.2008).

12. İtiraz konusu kuralla, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir. Kanun koyucunun kuralla, gerekçede de ifade edildiği gibi Anayasa'nın 20. maddesi ile güvence altına alınan kişisel verilerin ve özel hayatın daha etkin bir şekilde korunmasını sağlamayı amaçladığı anlaşılmaktadır. Zira kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, kişisel verilerin işlenmesi sırasında bireyin hak ve özgürlüklerini korumayı amaçlamaktadır.

13. Kuralda yer alan "kişisel veri" kavramı teknolojik gelişmelere bağlı olarak çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi mümkün değildir. Bununla birlikte gerek ulusal ve uluslararası mevzuat gerekse yargı içtihatları çerçevesinde "kişisel veri" kavramının, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği kabul edilmektedir.

14. "Kişisel veri" kavramının bu çerçevede doktrin, uygulama ve yargı kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku yoktur. Dolayısıyla başvuru kararında her ne kadar ceza mevzuatında "kişisel veri" ile ilgili bir tanım ve sınırlandırmanın yapılmadığı, bu nedenle itiraz konusu kuralın belirsiz olduğu ileri sürülmüş ise de ulusal ve uluslararası mevzuat ile yargı içtihatları dikkate alındığında kuralın belirsiz olduğundan söz edilemeyeceği açıktır. Ayrıca itiraz konusu kuralla "kişisel verileri, hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme" eylemi suç olarak kabul edilmekte ve bu eylem nedeniyle verilecek ceza kuralda açıkça belirlendiğinden kuralla hangi somut eylem ve olguya hangi hukuksal yaptırımın bağlandığı açıkça ortaya konulmaktadır. Dolayısıyla itiraz konusu kuralda suçta ve cezada kanunilik ilkesi ile özel hayatın gizliliği ilkesine aykırılık bulunmamaktadır.

15. Açıklanan nedenlerle kural, Anayasa'nın 20. ve 38. maddelerine aykırı değildir. İptal talebinin reddi gerekir.  

IV- HÜKÜM

26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu'nun, 21.2.2014 tarihli ve 6526 sayılı Kanun'un 4. maddesiyle değiştirilen 136. maddesinin (1) numaralı fıkrasının Anayasa'ya aykırı olmadığına ve itirazın REDDİNE, 12.11.2015 tarihinde OYBİRLİĞİYLE karar verildi.