AndHD • Cilt: 11 | Sayı: 2 | Temmuz 2025 | s. 979-1008 Bu eser Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır. | This work is licensed under Creative Commons Attribution-NonCommercial 4.0 International License. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri (*) Justification Causes for Crimes Related to Protection of Personal Data in the Turkish Criminal Code Mehmet GÜRLER Avukat, Doktor İstanbul B
AndHD • Cilt: 11 | Sayı: 2 | Temmuz 2025 | s. 979-1008 Bu eser Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır. | This work is licensed under Creative Commons Attribution-NonCommercial 4.0 International License. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri (*) Justification Causes for Crimes Related to Protection of Personal Data in the Turkish Criminal Code Mehmet GÜRLER Avukat, Doktor İstanbul Barosu Anahtar Kelimeler Kişisel Verilerin Korunması, Kişisel Verilere İlişkin Suçlar, Hukuka Uygunluk Sebepleri, İlgilinin Açık Rızası, Kanunun Öngördüğü Hâller. Öz Kişisel veri, belirli veya belirlenebilir bir kişiye ait her türlü bilgiyi ifade eder. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesi ve korunmasına ilişkin esasları belirlemiş ve kişisel verilere ilişkin suçlarla ilgili olarak 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. maddelerine atıfta bulunmuştur. TCK m. 135’te “kişisel verilerin kaydedilmesi suçu”, m. 136’da “verileri hukuka aykırı olarak verme veya ele geçirme suçu” ve m. 138’de ise “verileri yok etmeme suçu” düzenlenmiştir. Ancak kişisel veri kavramı oldukça geniş bir içeriğe sahiptir ve söz konusu suçların kapsamı yasal sınırların ötesine taşmamalıdır. Kişisel verilerin işlenmesi her zaman suç oluşturmaz; bazı durumlarda verilerin işlenmesi hukuka uygunluk sebeplerine dayanmakta ve bu da ilgili fiili hukuka uygun hâle getirmektedir. Bu nedenle, her somut olayda hukuka uygunluk sebeplerinin var olup olmadığı dikkatle incelenmelidir. Nitekim Yargıtay da somut olayın özelliklerine göre bir hukuka uygunluk nedeninin bulunup bulunmadığının titizlikle incelenmesi gerektiğini istikrarla vurgulamaktadır. Bu bağlamda, 6698 sayılı KVKK başta olmak üzere ilgili diğer yasal düzenlemelerde yer alan hukuka uygunluk sebeplerinin ayrıntılı bir şekilde incelenmesi ve değerlendirilmesi gerekmektedir. Keywords Protection of Personal Data, Crimes Related to Personal Data, Justification Causes, Explicit Consent of the Data Subject, Circumstances Prescribed by Law. Abstract Personal data means any information that identifies or makes an individual identifiable. The Law on the Protection of Personal Data No. 6698 sets out the principles for processing and protecting personal data and references Articles 135 to 140 of the Turkish Criminal Code (TCC) No. 5237 concerning offenses related to personal data. Art. 135 of the TCC regulates “the offense of illegal recording of personal data”, Art. 136 addresses “the offense of illegally obtaining or giving data”, and Art. 138 pertains to “the offense of destruction of data”. However, the concept of personal data has a broad scope, and the interpretation of these criminal provisions should not extend beyond legal boundaries. The processing of personal data does not always constitute a crime; in some cases, it is legitimate due to justification causes. Therefore, in each particular case, the presence of justification causes must be carefully examined. The Court of Cassation consistently emphasizes that the existence of a justification causes must be meticulously assessed based on the specifics of each case. Consequently, it is essential to conduct a detailed examination and assessment of the justification causes set forth in Law No. 6698 and other relevant legislation. (*) Araştırma Makalesi. Hakem denetiminden geçmiştir. Gönderim Tarihi: 17.04.2025, Kabul Tarihi: 07.07.2025. 980 Mehmet GÜRLER GİRİŞ Kişisel veri 1, belirli veya belirlenebilir bir kişiye ait her türlü bilgi olarak tanımlanmaktadır 2. Gü- nümüzde bir yandan kişisel verilere her zamankinden daha fazla ihtiyaç duyulmakta, diğer yandan da veri toplama ve analizine yönelik daha önce mevcut olmayan çeşitlilikte araçlar geliştirilmektedir 3. Zira kişisel verilerin işlenmesi ve saklanması hem kamu hem özel sektör faaliyetlerinin sürekliliği ve verimliliği açısından büyük önem taşımaktadır. Ancak bu verilerin hukuka aykırı amaçlar için kulla- nılması ciddi bir risk teşkil etmektedir. Bu sebeple kişisel verilerin korunması bir gereklilik hâlini almıştır. Ancak, kişilik hakkının korunmasına ilişkin genel nitelikteki kurallar, kişisel verilerin korun- ması açısından yetersiz kalmış; bu alanda özel düzenlemelere ve kapsamlı bir veri koruma hukuku oluşturulmasına ihtiyaç duyulmuştur. Bu doğrultuda, 1970’li yıllardan itibaren Almanya, Avusturya, Fransa, Danimarka, İsveç, Norveç gibi ülkelerde kişisel verilerin korunması konusunda özel yasalar yapılmıştır 4. Avrupa Konseyi tara- fından 108 sayılı Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme 5 hazırlanmış ve 28.01.1981 tarihinde diğer Konsey üyesi ülkelerle birlik- te Türkiye tarafından da imzalanmıştır. Bunun yanı sıra Avrupa Birliği tarafından 24.09.1995 tarihinde kabul edilen 95/46/EC sayılı Kişisel Verilerin Korunması Direktifi 6 üye devletlerin iç hukuklarında güvence altına almak zorunda oldukları kişisel verilere ilişkin asgari standartları düzenleyen bir diğer uluslararası metni teşkil etmiştir. Ancak 95/46/EC sayılı Direktif hızla değişen bilişim teknolojileri karşısında güncelliğini kaybetmiş ve yürürlükten kaldırılmıştır. Söz konusu Direktif yerine daha gün- cel, kapsayıcı ve ayrıntılı bir düzenleme olan Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR) 7 kabul edilmiş ve 25.05.2018 tarihinde yürürlüğe girmiştir 8. Karşılaştırmalı hukukta yaşanan gelişmelerin etkisiyle ve kişisel verilerin korunması amacıyla Türkiye’de bu alandaki ilk yasal düzenleme 01.06.2005’te yürürlüğe giren 5237 sayılı Türk Ceza Ka- nunu (TCK) ile yapılmıştır 9. TCK’nın ikinci kitabında yer alan “kişilere karşı suçlar” başlıklı birinci kısmın “özel hayata ve hayatın gizli alanına karşı suçlar” bölümünde kişisel verilere ilişkin suç tiple- rine yer verilmiştir. Bu kapsamda; TCK’nın 135. maddesinde “kişisel verilerin kaydedilmesi suçu”, 136. maddesinde “verileri hukuka aykırı olarak verme veya ele geçirme suçu”, 138. maddesinde “veri- leri yok etmeme suçu” düzenlenmiştir. Daha sonra 07.05.2010 tarihli ve 5982 sayılı Kanunla Anaya- sa’nın “özel hayatın gizliliği” başlıklı 20. maddesine eklenen fıkra ile kişisel verilerin korunmasını isteme hakkı tanınmış ve kişisel verilerin korunmasına ilişkin usûl ve esasların kanunla düzenlenmesi 1 “Personal data is the new oil of the internet and the new currency of the digital world.” KUNEVA, Meglena: “Keynote Speech- Roundtable on Online Data Collection, Targeting and Profiling”, Brussels, 2009. Bkz. https://ec.europa.eu/commission/ presscor- ner/detail/en/SPEECH_09_156 (ET: 11.02.2025). 2 KÜZECİ, Elif: Kişisel Verilerin Korunması, 4. Baskı, On İki Levha Yayıncılık, İstanbul, 2024, s. 10; MADEN, Mehmet: Ceza Huku- kunda Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara, 2021, s. 40; KOCA, Mahmut / ÜZÜLMEZ, İlhan: “Kişisel Verilerin Kay- dedilmesi Suçu (TCK m. 135)”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2019, Cilt 21, Prof. Dr. Durmuş Tezcan’a Armağan Özel Sayısı (Kişisel Verilerin Kaydedilmesi), s. 76; TEZCAN, Durmuş: “Özel Hayat Açısından Kişisel Verilerin Korunması”, İstanbul Kültür Üniversitesi Hukuk Fakültesi Dergisi, 2017, Cilt 16, Sayı 1 (Özel Hayat Açısından Kişisel Veriler), s. 22; AYGÜN EŞİTLİ, Ezgi: “Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilere Yönelik İhlallere Karşı Türk Ceza Kanunu’nda Düzenlenen Suçlar”, Başkent Üniversitesi Hukuk Fakültesi Dergisi, 2024, Cilt 10, Sayı 1, s. 124; İÇEL, Kayıhan: “Ceza Hukuku Açısından Kişisel Verilerin Korunmasında Kişisel Veri ve Hukuka Aykırılık Kavramları”, İstanbul Barosu Dergisi, 2020, Cilt 94, Sayı 2, s. 17; DÜLGER, Murat Volkan: “Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması”, İs- tanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi, 2016, Cilt 3, Sayı 2, s. 101; ÇAKIR, Kerim: “Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)”, Antalya Bilim Üniversitesi Hukuk Fakültesi Dergisi, 2020, Cilt 8, Sayı 16, s. 571. 3 KÜZECİ, s. 24. 4 ÜNVER, 164; KÜZECİ, s. 118-123. 5 İlgili Sözleşme için bkz. https://rm.coe.int/1680078b37 (ET: 11.02.2025). 6 İlgili Direktif için bkz. https://eur-lex.europa.eu/eli/dir/1995/46/oj/eng (ET: 11.02.2025). 7 İlgili Tüzük için bkz. https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng (ET: 11.02.2025). 8 HOOFNAGLEA, Chris Jay / van der SLOOTB, Bart / BORGESIUS, Frederik Zuiderveen: “The European Union General Data Protec- tion Regulation: What it is and what it means”, Information & Communications Technology Law, 2019, Cilt 28, Sayı 1, s. 65-66. 9 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 72. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 981 Cilt: 11 • Sayı: 2 • Temmuz 2025 öngörülmüştür. Anayasa m. 20/3 doğrultusunda 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veriler, kişisel verilerin işlenmesi ve korunması bütüncül bir şekilde kanuni düzenlemeye kavuşturulmuştur. KVKK’nın “suçlar ve kabahatler” başlıklı beşinci bölümünün “suçlar” başlıklı 17. maddesinin birinci fıkrasında “kişisel verilere ilişkin suçlar bakımın- dan 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümleri uygu- lanır.” denilerek TCK’ya atıf yapılmış ve ilgili suç tiplerinin uygulanmasına devam edileceği belirtil- miştir. Bu şekilde KVKK ile TCK’nın 135 ila 140. maddeleri arasında doğrudan bağlantı kurulmuş- tur 10. 6698 sayılı KVKK’nın kabulü hem uluslararası hem de iç hukuktan doğan yükümlülüklerin yeri- ne getirilmesi bakımından son derece önemli bir adımdır 11. Ancak 5237 sayılı TCK’nın kişisel verile- rin korunmasına ilişkin suçları ihdas etmesinden on yılı aşkın bir süre sonra KVKK’nın yürürlüğe girmesi eleştiriye değerdir. Zira 6698 sayılı KVKK öncesinde kişisel veri kavramını tanımlayan her- hangi bir kanun hükmü bulunmamaktadır 12. Nitekim, Yargıtay, KVKK’nın yürürlüğe girmesinden önce verdiği bir kararında, TCK’da kişisel veri kavramının tanımlanmadığını ve bu eksikliğin gideril- mesi gerektiğini belirtmiş, ayrıca kişisel verilere ilişkin suçların uygulanmasında dikkatli olunması gerektiğini ve kişisel veri kavramının doktrindeki görüşlerden yararlanılarak tespit edilebileceğini ifade etmiştir 13. Her ne kadar doktrin tarafından genel hukuk bilgisi ve diğer yasal düzenlemeler ışı- ğında kişisel veri kavramı açıklanmaya çalışılsa da suçta ve cezada kanunilik ilkesi gereği bu kavra- mın yasal olarak tanımlanması zorunludur 14. Bu eksiklik, nihayet KVKK m. 3’te “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin” kişisel veri olarak kabul edilmesiyle giderilmiştir. KVKK yürürlüğe girmeden önce kişisel veri kavramının yasal bir tanımı bulunmadığı için TCK’daki kişisel verilere ilişkin suçların sadece sır niteliğindeki verilerle sınırlı olup olmadığı konu- sunda bazı tereddütler ortaya çıkmıştır 15. Kişisel verilere ilişkin suçların düzenlendiği “özel hayata ve hayatın gizli alanına karşı suçlar” başlıklı bölümde 765 sayılı mülga TCK’daki “sırrın masuniyeti aleyhinde cürümler” başlıklı fasılda bulunan suç tiplerine benzer bazı suçlar yer aldığından, bu bö- lümde düzenlenen suçlarla sırrın dokunulmazlığının korunmasının amaçlandığı düşünülmüş olabilir 16. Ancak ilgili suçların konusunu sadece sır niteliğindeki kişisel verilerin oluşturduğunu söylemek doğru değildir. Nitekim Yargıtay da önceleri kişisel veri kavramını kısmen sınırlayarak, “herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda kişisel veri olarak değerlendirilemez.” görüşünü savunmuş olsa da 17 daha sonra ve özellikle KVKK m. 3’te yer alan kişisel veri tanımı gereği bu yaklaşımından vazgeçmiştir. Yargıtay artık daha geniş kapsamlı bir kişisel veri kavramını benimsemekte ve TCK’da yer alan kişisel verilere ilişkin suçlarla ilgili ola- rak istikrarlı bir şekilde “herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de yasal anlamda kişisel veri olarak kabul edilmeli ve hukuka aykırı eylemlere karşı korunmalıdır.” görüşünü dile getirmektedir 18. Ne var ki bu yaklaşım TCK’daki kişisel verilere ilişkin suçların uygulama alanını oldukça genişle- terek uygulamada belirsizlik yaratabilir ve hemen her eylemin suç sayılması gibi olumsuz sonuçların 10 DÜLGER, s. 120. 11 ÇAKIR, s. 572. 12 TEZCAN, Durmuş: “Özel Hayatın Gizliliğini İhlal ve Kişisel Verilerin Kaydedilmesi Suçu ile İlgili Bazı Gözlemler”, İstanbul Üniversi- tesi Hukuk Fakültesi Mecmuası, 2013, Cilt 71, Sayı 1 (Kişisel Verilerin Kaydedilmesi), s. 1162. 13 Yargıtay, CGK, T. 17.06.2014, E. 2012/12-1510, K. 2014/331 (Yargıtay Karar Arama). 14 TEZCAN, Kişisel Verilerin Kaydedilmesi, s. 1162. 15 HAKERİ, Hakan: “Verileri Hukuka Aykırı Olarak Verme (Sır Saklama Yükümlülüğünün İhlali) Suçu”, Tıbbi Müdahaleden Kaynakla- nan Hukuki Sorumluluk Sempozyumu, Mersin Barosu Yayınları, Mersin, 2009, s. 126-131. 16 DÜLGER, s. 121. 17 Yargıtay, 12. CD, T. 17.02.2014, E. 2013/9669, K. 2014/3760 (Yargıtay Karar Arama). 18 Yargıtay, CGK, T. 04.07.2017, E. 2017/829, K. 2017/363 (Yargıtay Karar Arama). 982 Mehmet GÜRLER doğmasına neden olabilir. Bu olumsuz sonuçların ortaya çıkmasını engellemek adına her somut olayın kendine özgü koşulları çerçevesinde dikkatli ve ayrıntılı bir değerlendirme yapılması, olayda herhangi bir hukuk alanınca geçerli kabul edilebilecek bir hukuka uygunluk nedeninin ya da bu kapsamda dik- kate alınacak bir hususun mevcut olup olmadığının belirlenmesi gerekmektedir. Nitekim Yargıtay da kişisel veri kavramını ele aldığı birçok kararında bu endişeyi dile getirmekte, somut olayın özellikleri- ne göre bir hukuka uygunluk sebebinin bulunup bulunmadığının titizlikle incelenmesi gerektiğini ka- lıplaşmış ve standart bir şekilde vurgulamaktadır 19. Dolayısıyla, kişisel verilerin korunmasına ilişkin suçların yasayla amaçlanan sınırların ötesine taşınarak uygulamada belirsizlik yaratmaması ve hemen her fiilin suç olarak kabul edilmesi gibi sakıncalı sonuçlara yol açmaması için somut olayın özellikleri göz önünde bulundurularak dikkatli bir inceleme yapılması gerekmektedir. Bu bağlamda kişisel verile- rin korunmasına ilişkin suçlar bakımından hukuka uygunluk sebeplerinin belirlenmesi büyük bir önem taşımaktadır. Zira kişisel verilerin işlenmesi her durumda suç teşkil etmemekte, bazı hâllerde hukuka uygun kabul edilebilmektedir. Bu nedenle, somut olayda geçerli bir hukuka uygunluk sebebinin veya bu çerçevede göz önünde bulundurulabilecek bir hususun olup olmadığı özenle araştırılmalıdır. Aynı şekilde, kanun koyucunun da kişisel verilere ilişkin suçlarda bu noktaya önem atfettiği gö- rülmektedir. Nitekim TCK m. 135’te düzenlenen kişisel verilerin kaydedilmesi suçunun yasal tanı- mında “hukuka aykırı olarak” ifadesine açıkça yer verilmiş; aynı ifade TCK m. 136’da düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçunda da tekrarlanmıştır. Kanun koyucu, su- çun yasal tanımında hukuka aykırılık unsuruyla ilişkili olarak bu tür ifadeleri kullanmak suretiyle, bu suç tiplerinde hukuka uygunluk sebebinin bulunma ihtimalinin güçlü olduğuna işaret etmekte ve hâkime hukuka uygunluk sebeplerini göz önünde bulundurması yönünde bir uyarıda bulunmaktadır 20. Sonuç olarak, gerek TCK’da yer alan kişisel verilerin korunmasına ilişkin düzenlemeler gerekse Yar- gıtay uygulaması birlikte değerlendirildiğinde, kişisel verilere ilişkin suçlar bakımından özellikle KVKK başta olmak üzere ilgili diğer mevzuatta yer alan hukuka uygunluk sebeplerinin ayrıntılı bi- çimde incelenmesi ve somut olay bağlamında değerlendirilmesi gerektiği anlaşılmaktadır. Bu sayede veri işleme fiillerinin hukuka uygunluk sebepleri kapsamında gerçekleştirilip gerçekleştirilmediği ve dolayısıyla suç teşkil edip etmediği açık ve isabetli biçimde ortaya konulabilecektir. I. TCK’DA YER ALAN KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN SUÇLAR HAKKINDA GENEL BİLGİLER A. Korunan Hukuki Değer İnsanların kendi özel yaşamlarını korumak istemeleri insan doğasının bir gereğidir. Bu ihtiyaç ta- rih boyunca farklı şekillerde kendini göstermiş ve özellikle modern hukuk sistemlerinde temel hak ve özgürlükler kapsamında gerek uluslararası gerekse ulusal düzeyde güvence altına alınmıştır. Nitekim Anayasası’nın 20. maddesi 21 ile Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi 22 özel hayatın ko- runmasını temel bir insan hakkı olarak düzenlemektedir. Kişiliğin ayrılmaz bir parçasını oluşturan özel 19 Yargıtay bir çok kararında bu açıklamayı tekrarlamaktadır: “Ancak, verileri hukuka aykırı olarak verme veya ele geçirme suçunun uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi sonuçların doğmaması için, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da tespit edilmesi gerekir.” Bkz. Yargı- tay, 12. CD, T. 23.03.2022, E. 2019/14037, K. 2022/2232; Yargıtay, 12. CD, T. 07.09.2022, E. 2020/1085, K. 2022/5406; Yargıtay, 12. CD, T. 16.11.2023, E. 2019/10278, K. 2022/8677 (Yargıtay Karar Arama). 20 GÖKTÜRK, Neslihan: “Suçun Yasal Tanımında Yer Alan Hukuka Aykırılık İfadesinin İcra Ettiği Fonksiyon”, İnönü Üniversitesi Hukuk Fakültesi Dergisi, 2016, Cilt 7, Sayı 1, s. 427-432. 21 Anayasa m. 20/1: “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.”. 22 AİHS m. 8: “(1) Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. (2) Bu hakkın kullanılması- na bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güven- liği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlük- lerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.”. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 983 Cilt: 11 • Sayı: 2 • Temmuz 2025 hayatın korunması, kişinin maddi ve manevi bütünlüğünü esas alan hak ve özgürlüklerinin korunması şeklinde ortaya çıkan kişiliğin korunmasından soyutlanamayacağı gibi, bu koruma bilişim teknolojile- rindeki gelişim ile daha da önemli hâle gelmiştir 23. Bu doğrultuda “özel hayatın gizliliği” başlığını taşıyan Anayasa’nın 20. maddesine 07.05.2010 tarihli ve 5982 sayılı Kanunla eklenen 3. fıkra ile kişi- sel verilerin korunması temel bir hak ve özgürlük olarak açıkça düzenlenmiştir. Söz konusu fıkrada “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendi- siyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verile- rin korunmasına ilişkin esas ve usûller kanunla düzenlenir.” hükmüne yer verilerek kişisel verilerin korunması anayasal düzeyde güvence altına alınmış; hakkın kapsamı, sınırları ve kişisel verilerin iş- lenme şartlarına dair temel esaslar ortaya konmuştur. Kişisel verilerin kaydedilmesi, yayılması, başkaları tarafından ele geçirilmesi ya da kişisel verileri hedef alan diğer hukuka aykırı fiiller yalnızca veri güvenliğine yönelik bir ihlal değil; aynı zamanda bireyin özel yaşam alanına doğrudan müdahale anlamına gelmektedir. Özellikle dijitalleşme ve bilişim teknolojilerindeki gelişmelerin bireyin mahremiyetini tehdit eden etkileri göz önünde bulunduruldu- ğunda, bu tür fiillerin suç olarak düzenlenmesi temel bir insan hakkı olarak kabul edilen “özel hayatın gizliliğinin” ceza hukuku aracılığıyla korunmasını sağlamakta ve bu hakkın korunmasına yönelik so- mut ve etkili bir araç oluşturmaktadır. Nitekim Anayasa’ya paralel olarak kişisel verilere ilişkin suçla- ra TCK’nın “kişilere karşı suçlar” kısmının “özel hayata ve hayatın gizli alanına karşı suçlar” başlıklı bölümünde yer verilmiştir. Söz konusu düzenlemeler, kişisel verilerin korunmasının gerekçesinin, bunların kişinin özel yaşam alanına ait olmasından kaynaklandığını ortaya koymaktadır. Diğer bir deyişle, kişisel verilere ilişkin suçlarla esasen veriler değil, bu verilerin ilişkili olduğu kişilerin özel yaşam alanının korunması amaçlanmaktadır. Bu nedenle, korunan hukuki değer kişisel veriler olma- yıp, kişisel verilerin ilişkili olduğu bireyin özel hayat hakkıdır 24. Kişisel verilere ilişkin suçların ihdasıyla korunan hukuki değer bakımından üzerinde durulması gereken bir diğer kavramı da “unutulma hakkı” teşkil etmektedir 25. Unutulma hakkı ve kişisel verilerin korunması hakkı arasında, her iki hakkın da bireyin onurlu bir yaşam sürmesi, kişiliğini serbestçe ge- liştirmesi ve kişisel verileri üzerinde tasarruf sahibi olmasına dayalı olması bakımından önemli bir bağ vardır 26. Bireyin kendi kişisel verileri üzerinde tasarruf sahibi olması (enformasyonel self- determinasyon hakkı) 27, onun onurlu bir yaşam sürmesi ve kişiliğini serbestçe geliştirebilmesinin bir gereği olup, bu yönüyle kişilik hakkının ayrılmaz bir parçası olarak kabul edilmektedir. Buna göre, herkes, kendisine ait verilerin kullanımını ve devrini belirleme hakkına sahiptir 28. Ancak, bilişim tek- 23 TEZCAN, Özel Hayat Açısından Kişisel Veriler, s. 20. 24 TEZCAN, Özel Hayat Açısından Kişisel Veriler, s. 20; KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 75; AYGÜN EŞİTLİ, s. 132; ÇAKIR, s. 577; DÜLGER, s. 120. 25 MADEN, s. 23. 26 AKGÜL, Aydın: “Kişisel Verilerin Korunmasında Yeni Bir Hak: Unutulma Hakkı ve AB Adalet Divanı’nın Google Kararı”, Türkiye Barolar Birliği Dergisi, 2015, Sayı 116, s. 14. 27 1982’de Alman Parlamentosu (Bundestag) tarafından kabul edilen Nüfus Sayımı Yasası (Volkszählungsgesetz-1983) uyarınca 1983 yılında bir nüfus sayımı planlanmış, yurttaşlardan ad, adres, medeni durum gibi temel bilgilerin yanı sıra gelir kaynakları, çalışma saatle- ri, eğitim durumları ve üye oldukları dini topluluklar gibi detaylı verilerin toplanması öngörülmüştür. Ancak, halk, böylesi bir nüfus sa- yımına özel hayatın gizliliğine aykırı olduğu, gözetim amacı taşıyabileceği ve kişisel verilerin ihlali riski oluşturacağı endişesiyle karşı çıkmıştır. Bu tepkiler sonucu nüfus sayımının yasallığı Federal Anayasa Mahkemesi’ne (Bundesverfassungsgericht) taşınmıştır. Mah- keme, nüfus sayımına ilişkin yasanın bazı hükümlerinin Anayasa’ya aykırı olduğuna hükmederek sayımı durdurmuştur. Bu karar ile Almanya’da “enformasyonel self-determinasyon” temel bir hak olarak kabul edilmiştir. Bu kavram Almanya’daki veri koruma hukuku- nun temelini oluşturmuş ve diğer ülkelerin veri koruma hukukları bakımından da temel bir referans noktası teşkil etmiştir. Bkz. HOR- NUNG, Gerrit / SCHNABEL, Christoph: “Data protection in Germany I: The population census decision and the right to informational self-determination”, Computer Law & Security Review, 2009, Cilt 25, Sayı 1, s. 84-88. Ayrıca Federal Anayasa Mahkemesi’nin 15 Ara- lık 1983 tarihli Nüfus Sayımı Kararı (BverfGE 65, 1) için bkz. https://www.bundesverfassungsgericht.de/Shared Docs/Entscheidungen/DE/1983/12/rs19831215_1bvr020983.html (ET: 23.02.2025). 28 AKGÜL, s. 15. 984 Mehmet GÜRLER nolojilerinin etkisiyle hatırlanmanın olağan, unutulmanın ise bir istisna hâline gelmesi, bireyin kişisel verileri üzerindeki kontrolünü kaybetmesine yol açmıştır 29. Bu bağlamda, unutulma hakkı ayrı bir hak olarak ortaya çıkmış, bireylere dijital izlerini silme ve mahremiyetlerini koruma imkânı tanımıştır. Çünkü kişisel verilerin korunması sadece verilere erişimin kısıtlanması değil, aynı zamanda geçmişe dair izlerin silinmesini de içermektedir. Böylece her bilginin ebediyen hatırlanabileceği bilişim dünya- sında, kişinin kendine ait veriler üzerinde tasarruf hakkı sağlanmakta ve verinin ilişkili olduğu kişi, herhangi bir nedenle bilinmesini veya hatırlanmasını istemediği kendisiyle ilgili bilgilere veya geçmiş- te yaşanmış olaylara diğer kişilerin vâkıf olmasına engel olabilmektedir 30. Dijital dünyanın sonsuz hafızasını simgeleyen “internet asla unutmaz” 31 anlayışına karşı bireyin unutulma hakkının kabul edilmesi, dijital mahremiyetin korunması açısından bir dönüm noktasıdır. Böylece dijital dünyanın kalıcı belleğine rağmen bireylerin unutulmayı talep edebilmesi mümkün kılınmıştır. Nitekim Yargıtay Hukuk Genel Kurulu da unutulma hakkını bireyin kişiliğini serbestçe geliştirmesi, kişiliğinin korun- ması ve özel hayatın gizliliği için gerekli görmektedir 32. B. Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135) TCK m. 135’te “(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla ka- dar hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenle- rine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” hükmüne yer verilmiş ve kişisel verilerin kaydedilmesi suçu düzenlenmiştir. Suçun oluşabilmesi için suçun konusunu teşkil eden kişisel bilginin neyle ilgili olduğu önemli de- ğildir. Bir gerçek kişiye ilişkin olan ve onu belirlenebilir kılan bütün bilgiler suçun konusunu oluştura- bilir. Bu çerçevede kişinin adı, soyadı, doğum tarihi, doğum yeri, anne adı, baba adı, T.C. kimlik nu- marası, telefon numarası, sosyal güvenlik numarası, mali bilgileri, resmi, görüntüsü, sesi, parmak izi, adresi, e-posta adresi, sağlık bilgileri, aile bilgileri, sabıka kayıtları gibi veriler kişisel veri niteliğinde- dir 33. Bununla birlikte suçun konusunu TCK’nın 135. maddesinin ikinci fıkrasında sayılan kişisel bilgi- lerin oluşturması hâlinde fail daha ağır bir cezaya çarptırılır. Suçun herkes tarafından işlenmesi mümkündür. Fail bakımından herhangi bir gereklilik veya özel koşul aranmamaktadır 34. Yine suçun mağdurunun da herkes olması imkân dahilindedir. Suçun mağdu- ru, suçun konusunu teşkil eden kaydedilen verinin ilişkili olduğu kişidir. Ancak suçun mağduru sadece gerçek kişi olabilir 35. Bir tüzel kişiye ilişkin gizli kalması gereken bilgilerin veya verilerin söz konusu olması hâlinde ise TCK m. 135 değil, TCK m. 239’da düzenlenen ticari sır, bankacılık sırrı veya müş- 29 AKGÜL, s. 15. 30 ÖNOK, Murat: “Kişisel Verilerin Korunması Bağlamında “Unutulma Hakkı” ve Türkiye Açısından Değerlendirmeler”, İstanbul Kültür Üniversitesi Hukuk Fakültesi Dergisi, 2017, Cilt 16, Sayı 1, s. 161. 31 Bu konuda ayrıntılı bilgi için bkz. PESCHKE, Lutz: “The Web Never Forgets!: Aspects of the Right to be Forgotten”, Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2015, Cilt 19, Sayı 1, s. 151-160. 32 “Unutulma hakkı; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlemesini isteme hakkı olarak ifade edilebi- lir. Bu hak bir yandan kişiye “geçmişini kontrol etme”, “belirli hususların geçmişinden silinmesini ve hatırlanmamayı isteme hakkı” sağladığı gibi, diğer yandan muhataplarına kişi hakkındaki bir kısım bilgilerin üçüncü kişilerin kullanmamasını veya üçüncü kişilerin hatırlamamasına yönelik önlenmeleri alma yükümlülüğü yükler. Ayrıca şunun da ifade edilmesi gereklidir ki; unutulma hakkı tanımları- na bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yö- nelik olarak da kabul edilmesi gerektiği açıktır.”. Bkz. Yargıtay, HGK, T. 17.06.2015, E. 2014/56, K. 2015/1679 (Yargıtay Karar Ara- ma). 33 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 76-77; ÇAKIR, s. 582. 34 Bununla birlikte TCK m. 137 uyarınca söz konusu suçun; a) kamu görevlisi tarafından görevinin sağladığı yetki kötüye kullanılarak, b) belli bir meslek veya sanatın sağladığı kolaylıktan yararlanılarak işlenmesi durumunda suçun daha ağır cezayı gerektiren nitelikli hâli söz konusu olur. 35 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 75; DÜLGER, s. 123. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 985 Cilt: 11 • Sayı: 2 • Temmuz 2025 teri sırrı niteliğindeki bilgi veya belgelerin açıklanması suçu oluşabilir 36. Dolayısıyla yalnızca gerçek bir kişiye ait kişisel verilerin kaydedilmesiyle TCK m. 135’te düzenlenen suç tipi meydana gelecektir. Kaydetmek herhangi bir şekilde gerçekleştirilebilir. Kullanılan aracın veya yöntemin bir önemi yok- tur 37. Bilgisayar, cep telefonu, tarayıcı, USB bellek vasıtasıyla kaydetme yapılabileceği gibi herhangi bir bilişim sisteminden yararlanmadan bir kâğıda not alarak da kişisel veri kaydedilebilir. Önemli olan kişisel verilerin kısmen veya tamamen sonradan ulaşılabilecek şekilde muhafaza altına alınması veya saklanmasıdır 38. Öte yandan, kişisel verilerin görülmesi, okunması, zihinde tutulması ya da ezberlen- mesi kaydetme olarak kabul edilemez 39. C. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu (TCK m. 136) Verileri hukuka aykırı olarak verme veya ele geçirme suçu TCK m. 136’da düzenlenmiştir. Söz konusu madde “(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (2) Suçun konusunun, Ceza Muhakemesi Kanununun 236’ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.” hükmünü içermektedir. Bu suçun faili hukuka aykırı olarak kişisel verileri bir başkasına veren, yayan veya ele geçiren ki- şidir. Dolayısıyla bu suç tipinde fail bakımından bir özellik aranmamıştır 40. Herkes bu suçun faili ola- bilir. Suçun mağduru da herkes olabilir. Suçun konusunu oluşturan kişisel verinin ait olduğu gerçek kişi suçun mağdurudur. Söz konusu suç tipi için üç farklı seçimlik hareket öngörülmüştür. Bunlar; kişisel verilerin hukuka aykırı olarak bir başkasına verilmesi, yayılması ve ele geçirilmesidir. Sayılan seçimlik hareketlerin birinin veya birkaçının birlikte gerçekleştirilmesi hâlinde tek bir suç işlenmiş olur. Örneğin, failin, kişisel verileri önce hukuka aykırı olarak ele geçirip ardından hukuka aykırı ola- rak yayması hâlinde yine bir suç meydana gelir, ancak bu husus TCK m. 61 gereği cezanın belirlen- mesi bakımından göz önünde bulundurulur. Ayrıca kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme suçunun bir unsuru değildir 41. Dolayısıyla, hukuka aykırı olarak kaydedilen verilerin, kaydeden kişi tarafından bir başkasına verilmesi veya yayılması durumunda hem kişisel verilerin kaydedilmesi suçu hem de verileri hukuka aykırı olarak verme veya ele geçirme suçu işlenmiş olur. Yine hukuka uygun olarak kaydedilen verilerin, kaydeden kişi tarafından hukuka aykırı olarak bir başkasına verilmesi veya yayılması hâlinde de TCK m. 136 meydana gelecektir. Bu bakım- dan, kaydetme fiilini hukuka uygun hâle getiren sebepler, kaydedilen verinin bir başkasına verilmesini veya yayılması hukuka uygun hâle getirmez 42. Seçimlik hareketlerden biri olan vermek, kişisel verinin bir başkasına iletilmesi, aktarılması veya sunulması anlamına gelmektedir. Kullanılan vasıta önemli değildir, önemli olan kişisel verinin bir başkasına ulaştırılmasıdır. Kişisel veriyi yayma şeklindeki seçimlik hareket failin kişisel veriyi birden fazla kişiye ulaştırması olarak tanımlanabilir 43. Örneğin, kişisel verilerin bir internet sitesine yüklen- mesi, bir sosyal medya platformunda paylaşılması veya e-posta yoluyla birden fazla kişiye gönderil- mesi yayma fiilini oluşturur. Bu noktada önemli olan, kişisel verilerin belirsiz sayıda kişi tarafından ulaşılabilir hâle getirilmesidir; kişilerin bu verilere ulaşıp ulaşmaması suçun oluşması açısından belir- 36 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 75; İÇEL, s. 19; ÇAKIR, s. 581. 37 DÜLGER, s. 128. 38 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 78. 39 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 79. 40 Yine TCK m. 137 uyarınca bu suçun; a) kamu görevlisi tarafından görevinin sağladığı yetki kötüye kullanılarak, b) belli bir meslek veya sanatın sağladığı kolaylıktan yararlanılarak işlenmesi durumunda suçun daha ağır cezayı gerektiren nitelikli hâli meydana gelir. 41 KOCA Mahmut / ÜZÜMEZ İlhan: Ceza Hukuku Özel Hükümler, 9. Baskı, Adalet Yayınevi, Ankara, 2023 (Özel Hükümler), s. 632. Karşı görüş için bkz. ÖZBEK, Veli Özer / DOĞAN, Koray / BACAKSIZ, Pınar: Türk Ceza Hukuku Özel Hükümler, 16. Baskı, Seçkin Yayıncılık, Ankara, 2021, s. 584. 42 KOCA / ÜZÜMEZ, Özel Hükümler, s. 632; DÜLGER, s. 132. 43 MADEN, s. 106. 986 Mehmet GÜRLER leyici değildir 44. Söz konusu suç tipi bakımından son seçimlik hareket ise kişisel verilerin ele geçiril- mesidir. Kişisel verileri ele geçirmek, failin bir başkasına ait kişisel verileri kendine aktarması veya egemenlik alanına dahil etmesi şeklinde gerçekleşir 45. Bu bağlamda, ele geçirme, kişisel verilerin kay- dedilmesi de dahil olmak üzere herhangi bir yöntemle elde edilmesi anlamına gelir. Söz konusu fiil genellikle bilişim sistemleri üzerinden gerçekleştirildiği için ele geçirme çoğu zaman kaydetme şek- linde ortaya çıkmaktadır. Her ne kadar TCK m. 135’te düzenlenen kişisel verilerin kaydedilmesi ile TCK m. 136’da seçim- lik hareket olarak yer alan kişisel verilerin ele geçirilmesi, ilk bakışta aynı anlama geliyor gibi görünse de ele geçirmenin daha çok hayatın olağan akışında ulaşılabilir olmayan 46 kişisel veriler bakımından söz konusu olduğunu belirtmek gerekir 47. Örneğin, bir öğretmenin öğrenci otomasyon ve bilgi siste- minde yer alan kişisel verileri hukuka aykırı şekilde kendi bilgisayarına kaydetmesi, TCK m. 135 kap- samında kişisel verilerin kaydedilmesi suçunu oluşturur. Buna karşılık, okulda görevli ancak söz ko- nusu sisteme erişim yetkisi bulunmayan bir kişinin, bir öğretmenin bilgisayarını kullanarak bu sistem- deki kişisel verileri bir belleğe aktarması, TCK m. 136 kapsamında kişisel verilerin hukuka aykırı olarak ele geçirilmesi suçunu meydana getirir. D. Verileri Yok Etmeme Suçu (TCK m. 138) Hukuka uygun bir şekilde kaydedilmiş verilerin belirlenen yasal süre dolmuş olmasına rağmen il- gili görevli tarafından yok edilmemesi hâlinde verileri yok etmeme suçu meydana gelir 48. Bu suç tipi TCK m. 138’de “(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis ce- zası verilir. (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” düzenlemesiyle hükme bağlanmıştır. Verileri yok etmeme suçunun faili, verileri yok etmekle görevli olan ancak bu görevi yerine ge- tirmeyen kişidir. Dolayısıyla bu suçun faili yalnızca verileri sistem içinde yok etme yükümlülüğü olan kişi olabilir. Bu yönüyle verileri yok etmeme suçu özgü suç niteliği taşımaktadır. Bu yükümlülük ka- nundan 49 doğabileceği gibi bir sözleşmeden 50 de kaynaklanabilir. Suçun faili olmak için kamu görevlisi olma şartı aranmamaktadır, özel kişiler de bu suçun faili olabilir 51. Verileri yok etmeme suçunun mağ- 44 SINAR, Hasan: “Kişisel Verileri Hukuka Aykırı Olarak Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136)”, Kişisel Verileri Koruma Dergisi, 2020, Cilt 2, Sayı 1, s. 46. 45 SINAR, s. 46. 46 Buna karşın hayatın olağan akışında ulaşılabilir olan verilerin TCK m. 136 anlamında ele geçirilmesinin de mümkün olduğu ifade edil- miştir. Bkz. BÖREKÇİ, Eşref Barış: Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136), On İki Levha Yayıncılık, İs- tanbul, 2020, s. 86-87; SINAR, s. 47. 47 AKDAĞ, Hale: Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara, 2013, s. 135; TOPAÇ, Tahir Hami: 6698 Sayılı Kanun Kapsamında Kişisel Verilere İlişkin Suçlar, Doktora Tezi, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü, Kon- ya, 2022, s. 317-318. 48 İfade etmek gerekir ki, KVKK’nın 17. maddesinin ikinci fıkrasında “Bu Kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138’inci maddesine göre cezalandırılır.” hükmüne yer verilmiştir. KVKK m. 7’ye göre “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir ve- ya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usûl ve esaslar yönetmelikle düzenlenir.”. Her ne kadar KVKK m. 17/2’de düzenlenen suç tipi, TCK m. 138’e benzerlik gösterse de farklı bir suç tipidir. Zira KVKK m. 17/2 kapsamında düzenlenen suç, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmasına rağmen bu verilerin veri so- rumlusu tarafından re’sen veya ilgili kişinin talebi üzerine silinmemesi, yok edilmemesi ya da anonim hâle getirilmemesi hâlinde oluşur. Buna karşılık, TCK m. 138’de düzenlenen verileri yok etmeme suçu, kanunların öngördüğü sürelerin sona ermesine rağmen kişisel veri- lerin sistem içerisinde yok edilmemesi durumunda söz konusu olur. Bkz. TURGUT, Bahar: “Türk Ceza Hukukunda Verileri Yok Etme- me Suçu (TCK m. 138)”, Terazi Hukuk Dergisi, 2025, Sayı 223, s. 137; DÜLGER, s. 135. 49 MADEN, s. 125; DÜLGER, s. 133. 50 TURGUT, s. 132. 51 TURGUT, s. 132. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 987 Cilt: 11 • Sayı: 2 • Temmuz 2025 durunun kamu idaresi 52 veya toplum 53 olduğu ileri sürülmüş olsa da suçun “özel hayata ve hayatın gizli alanına karşı suçlar” altında düzenlenmiş olması ve bu suçla kişilerin özel hayatı ile hayatın gizli alanı korunmak istenmesi dikkate alındığında, suçun mağdurunun verileri yok edilmeyen kişi olduğu- nu kabul etmek gerekir. Dolayısıyla suçun konusu olan verinin ilişkili olduğu kişi veya kişiler suçun mağdurudur 54. TCK m. 138’e göre fiil, kanunun belirlediği sürenin geçmiş olmasına karşın verilerin sistem için- de yok edilmemesidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hak- kında Yönetmelik m. 9’da kişisel verilerin yok edilmesi tanımlanmıştır. Buna göre, “kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemi” kişisel verilerin yok edilmesidir. Dolayısıyla bu suç ancak verileri yok etme yükümlülüğünün yerine getirilmemesi şeklindeki ihmali bir davranışla işlenebilir. Burada önemli bir diğer husus, veri sahibinin kim olduğunun belirsiz hâle getirilmesinin ve veri ile kişi arasındaki bağın koparılmasının, verinin yok edilmesiyle aynı anlama gelip gelmediğidir. Zira bir görüşe göre kişi ile arasında bağ kal- mayan verilerin artık kişisel veri olarak kabul edilmesi mümkün değildir 55. Bu itibarla kişisel verilerin sistemden silinmesi veya anonim hâle getirilmesi durumunda da yok etme yükümlülüğünün yerine getirildiğinin kabul edilmesi gerektiği belirtilmiştir 56. Ancak hem KVKK m. 3 ve m. 7’de hem de Kişi- sel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’te verinin “silinmesi”, “yok edilmesi” ve “anonim hâle getirilmesi” birbirinden farklı kavramlar olarak düzen- lenmiştir. Verilerin yok edilmesi; kişisel verilerin “hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi” olarak (Yönetmelik m. 9) tanımlanmıştır. Bu ta- nımda yok edilen verinin “geri getirilemez” olduğu açık şekilde ifade edilmiştir. Anonim hâle getirme ise “kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hâle getirilmesi” şeklinde (KVKK m. 3/1-b ve Yönetmelik m. 10) tarif edilmiştir. Dolayısıyla “yok etme” kavramı, genellikle fiziksel veya dijital olarak verinin herhangi bir şekilde geri getirilememesini ifade eder. Bu işlem, verinin varlığına tamamen son verir ve bir nevi “imha” niteliğindedir. “Anonim hâle getirme” ise teknik olarak veriyi ortadan kaldırmaktan ziyade, veriyi kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemez kılmayı amaçlar. Buradaki temel mesele ise verinin “kişiyle ilişkilendirilemez” hâle gelip gelmediğidir. Eğer ano- nimleştirme işlemi başarılı bir şekilde yapılmış, anonim hâle getirilen veri hiçbir şekilde hiç kimseyle ilişkilendirilemez veya başka verilerle eşleştirilse dahi kimliği belirli ya da belirlenebilir kılınamaz hâle gelmişse, bu veri artık “kişisel veri” olmaktan çıkar 57. Kişisel veri olmaktan çıkan bir veri de artık TCK m. 138’de düzenlenen suçun konusu olamaz. Ancak uygulamada tam anlamıyla geri döndürüle- mez bir anonimleştirme sağlamak her zaman kolay değildir. Verilerin anonimleştirilmesi aşamasında, anonimleştirmenin teknik olarak yetersiz kalması ve veri sahibinin tekrar tespit edilebilmesi ihtimali söz konusu olabilir. Başarısız veya eksik bir anonimleştirme, verinin potansiyel olarak hâlâ kişisel veri niteliğini koruduğu anlamına gelir ve bu durumda TCK m. 138 kapsamındaki yükümlülük devam eder. Bu tür risklerin ortadan tamamen kalkması için fiziksel, dijital veya başka bir yöntemle verinin herhangi bir şekilde geri getirilemeyecek şekilde varlığına tamamen son verilmesi gerekmektedir. 52 SOYASLAN, Doğan: Ceza Hukuku Özel Hükümler, 13. Baskı, Yetkin Yayınları, 2020, s. 369. 53 Bu görüşe göre, söz konusu suç tipiyle hem kişilerin verileri hem de bunların yok edilmesine ilişkin toplumda idareye duyulan güven korunduğu için verilerin ilgilisi olan bireyler ile toplumu oluşturan her birey suçun mağduru konumundadır. Bkz. DÜLGER s. 125. 54 KOCA / ÜZÜLMEZ, Özel Hükümler, s. 647; MADEN, s. 128; TURGUT, s. 133. 55 KETİZMEN, Muammer: Türk Ceza Hukukunda Bilişim Suçları, Adalet Yayınevi, Ankara, 2008, s. 241. 56 KOCA / ÜZÜLMEZ, Özel Hükümler, s. 649; MADEN, s. 127. 57 KETİZMEN, s. 241; KOCA / ÜZÜLMEZ, Özel Hükümler, s. 649. 988 Mehmet GÜRLER II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN SUÇLAR BAKIMINDAN HUKUKA UYGUNLUK SEBEPLERİ A. Genel Açıklamalar Hukuka aykırılık, gerçekleştirilen fiile hukuk düzenince cevaz verilmemesi, fiilin bütün hukuk düzeni ile çatışma hâlinde bulunmasıdır 58. “Hukuk düzeninin birliği ilkesi” gereği bir fiilin hukukun bir alanında hukuka uygun, diğerinde ise hukuka aykırı olarak kabul edilmesi mümkün değildir. Dola- yısıyla, bir ceza normunun yasakladığı fiilin gerçekleştirilmesine izin vererek, onun hukuka aykırı olmasını engelleyen kurala “hukuka uygunluk sebebi” denir 59. TCK’nın “ceza sorumluluğunu kaldıran veya azaltan nedenler” başlıklı ikinci bölümünde hukuka uygunluk sebepleri ile kusurluluğu ortadan kaldıran ve azaltan sebepler bir arada düzenlenmiştir. Buna göre TCK’da yer alan hukuka uygunluk sebepleri; 1) kanunun hükmünü yerine getirme 60 (TCK m. 24/1), 2) meşru savunma (TCK m. 25/1), 3) hakkın kullanılması (TCK m. 26/1) ve 4) ilgilinin rızası (TCK m. 26/2) olmak üzere dört tanedir. Söz konusu hukuka uygunluk sebepleri kural olarak bütün suçlar için geçerlidir 61. Bununla beraber, kişisel verilere ilişkin olarak Anayasa m. 20/3’te “Kişisel veriler, ancak kanunda öngö- rülen hâllerde veya kişinin açık rızasıyla işlenebilir.” hükmü yer almaktadır. Benzer şekilde KVKK’nın 5. maddesinde “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.” hükmüne yer verilmiştir. KVKK m. 5/2-a’da “kanunlarda açıkça öngörülmesi” durumunda kişisel verilerin işlenebileceği belirtilmiş ve devamında bazı şartlar sayılmıştır 62. Ayrıca KVKK’nın 3. maddesinde kişisel verilerin işlenmesi tanımlanmış 63 ve “kişisel veriler üzerinde gerçekleştirilen her türlü işlemin” kişisel verilerin işlenmesi kapsa- mında olduğu belirtilmiştir. Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Verilerin İşlenme Şartları Rehberi’nde de yine KVKK m. 5’e atıf yapılmış ve aynı koşullar tekrarlanmıştır 64. Bu bağlamda, TCK’nın genel hükümlerinde düzenlenen hukuka uygunluk sebeplerinin, KVKK kapsamındaki bir veri işleme faaliyeti bakımından, KVKK’da yer alan özel şartları sağlamadıkça, ilgili fiili hukuka uygun hâle getirmesi mümkün değildir 65. Zira bir işlemin hangi durumlarda hukuka uygun sayılacağı kanunun ilgili hükmünde açıkça belirtilmişse, genel hükümlerde yer alan hukuka uygunluk sebepleri söz konusu şartları taşımadıkça o işlemi hukuk uygun kılmaya muktedir değildir 66. Örneğin, 58 ARTUK, M. Emin / GÖKCEN, Ahmet / ALŞAHİN, M. Emin / ÇAKIR, Kerim: Ceza Hukuku Genel Hükümler, 15. Baskı, Adalet Yayınevi, Ankara, 2021, s. 483; KOCA, Mahmut / ÜZÜLMEZ, İlhan: Ceza Hukuku Genel Hükümler, 15. Baskı, Seçkin Yayıncılık, An- kara, 2022 (Genel Hükümler), s. 265. 59 ARTUK / GÖKCEN / ALŞAHİN / ÇAKIR, s. 483; KOCA / ÜZÜLMEZ, Genel Hükümler, s. 275. 60 Hukuka uygun emrin yerine getirilmesi (TCK m. 24/2) ile kanun hükmünün yerine getirilmesi aynı başlık altında ele alınabilir. Çünkü her ikisinin de dayanağı esasen kanunla verilen bir görevin ifasıdır. Ancak, hukuka aykırı ve bağlayıcı bir emrin yerine getirilmesi, emri yerine getiren açısından bir hukuka uygunluk sebebi oluşturmaz. Bu durumda, emri yerine getiren kişinin sorumlu tutulmaması bir hu- kuka uygunluk sebebinin varlığından değil, emri verenle arasındaki hiyerarşik ilişkisi nedeniyle kusurluluğunun etkilenmesinden kay- naklanmaktadır. Bkz. KOCA / ÜZÜLMEZ, Genel Hükümler, s. 343. 61 KOCA / ÜZÜLMEZ, Genel Hükümler, s. 275. 62 Belirtmek gerekir ki KVKK’nın 5. maddesi ile Anayasa’nın 20. maddesinin üçüncü fıkrası arasında bir uyumsuzluk bulunmaktadır. Zira KVKK m. 5/1’de “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.” denilmiş ve devamında kişinin rızası aranmaksızın kişi- sel verilerin işlenmesinin mümkün olduğu hâller sayılmıştır. Bu düzenlemeye göre kişisel verilerin işlenmesi bakımından temel koşulun kişinin rızası olduğu kanunun öngördüğü hâllerin ise kişinin rızasına göre istisnai ve ikincil bir niteliğe sahip olduğu anlaşılmaktadır. Bu düzenleme Anayasa’nın kişisel verilerin işlenmesi bakımından ilgilinin rızası ile kanunun öngördüğü hâlleri aynı değerde gören düzen- lemesiyle uyumlu değildir. Bkz. KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 82. 63 KVKK m. 3/1-e: “Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sistemi- nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, ye- niden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının en- gellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.”. 64 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, Ankara, s. 1. 65 AYGÜN EŞİTLİ, s. 139. 66 AYGÜN EŞİTLİ, s. 139. Bu görüşe paralel olarak, sonraki kanun olarak yürürlüğe giren KVKK ile TCK’nın genel hükümlerindeki hukuka uygunluk sebeplerine ilave birtakım şartların getirildiği ve bu itibarla TCK ile KVKK arasında bir genel norm-özel norm ilişki- sinden söz etmenin yanlış olmayacağı ifade edilmiştir. Bkz. SINAR, s. 54. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 989 Cilt: 11 • Sayı: 2 • Temmuz 2025 TCK m. 26/2’de ilgilinin rızası genel bir hukuka uygunluk sebebi olarak kabul edilmiştir. Ancak kişi- sel verilerin işlenmesinde TCK m. 26/2 çerçevesinde verilen rıza ilgili fiili hukuka uygun hâle getir- mez. Zira hem Anayasa m. 20/3 hem de KVKK m. 5/1’de kişisel verilerin işlenmesi bakımından “açık rıza” şartı aranmakta ve yalnızca bu nitelikteki bir rızanın hukuka uygunluk sebebi oluşturabileceği öngörülmektedir. Benzer şekilde, Anayasa m. 20/3 kişisel verilerin “kanunda öngörülen hâllerde”, KVKK m. 5/2 ise kişisel verilerin “kanunlarda açıkça öngörülmesi hâlinde” işlenebileceğini hüküm altına almıştır. Bu düzenlemeler, kişisel verilerin işlenmesini hukuka uygun kılan sebeplerin sınırlı bir şekilde ve özel olarak belirlendiğini göstermektedir. Bu nedenle, TCK’da yer alan genel nitelikteki hukuka uygunluk sebeplerinin kişisel verilerin işlenmesi bakımından doğrudan uygulanabilir olduğu söylenemez. Kişisel verilerin hukuka uygun biçimde işlenebilmesi için KVKK veya diğer kanunlarda açıkça kişisel verilerin işlenmesine imkân veren bir düzenlemenin bulunması gerekir. Dolayısıyla kişi- sel verilere ilişkin fiillerin hukuka uygun kabul edilebilmesi “kanunlarda açıkça öngörülmesi” şartına bağlıdır. Sonuç olarak, Anayasa’nın 20. maddesi ile KVKK’nın ilgili maddeleri göz önünde bulundu- rulduğunda, kişisel verilere ilişkin suçlar bakımından iki tür hukuka uygunluk sebebinin olduğu kabul edilmelidir 67. Bunlar, 1) ilgili kişinin açık rızası ve 2) kanunun öngördüğü hâllerdir 68. Bunlar dışında bir hukuka uygunluk sebebinin kabulüne Anayasa m. 20/3’ün “ancak” ifadesi de izin vermemektedir 69. Bununla birlikte, KVKK m. 3’te tanımlanan “kişisel verilerin işlenmesi” kapsamına girmeyen fiil- ler bakımından, TCK’nın genel hükümlerinde yer alan hukuka uygunluk sebepleri geçerliliğini koru- yacaktır. Zira bu tür fiiller, KVKK’nın özel düzenleme alanı dışında kaldığından, genel hükümlerin uygulanmasına engel bir durum bulunmamaktadır. Ancak, KVKK m. 3/1-e’de “kişisel verilerin işlen- mesi” kavramının “veriler üzerinde gerçekleştirilen her türlü işlemi” kapsayacak şekilde oldukça geniş tanımlanması göz önüne alındığında, KVKK’nın kapsamı dışında kalan bir fiilin gerçekleşmesi güçtür. Bu nedenle, bazı sınırlı durumlar dışında kişisel verilere ilişkin fiillerin büyük çoğunluğu bakımından KVKK hükümlerinin dikkate alınması, bu kapsama girmeyen durumlarda ise TCK’daki genel hukuka uygunluk sebeplerine başvurulması gerekecektir. B. Kişisel Verilerin İşlenmesinde Genel İlkeler KVKK’nın 4. maddesinde, uluslararası metinlerde benimsenmiş ve birçok ülkenin iç hukukuna tatbik edilmiş olan kişisel veri işleme süreçlerine ilişkin bazı genel ilkelere yer verilmiştir 70. Kişisel verilerin işlenmesinde bu ilkelere uyulması zorunludur. Söz konusu ilkeler 108 sayılı Sözleşme ve 95/46/EC sayılı Direktife uygun şekilde düzenlenmiştir 71. Bu ilkeler, somut ve katı kurallar koyma- makla birlikte hukuka uygunluğa ilişkin temel esasları tayin etmektedir 72. Bu nedenle, kişisel verilerin işlenmesi sırasında yalnızca ilgili kişinin açık rızasına veya kanunda öngörülen hukuka uygunluk se- beplerine dayanmak yeterli değildir. Aynı zamanda, veri işleme faaliyetinin KVKK’nın düzenlediği genel ilkelere de uygun olması gerekir. Eğer bu ilkelere aykırılık söz konusuysa ilgili işlem hukuka aykırı kabul edilir 73. 67 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 82; ÇAKIR, s. 588; İÇEL, s. 23; AYGÜN EŞİTLİ, s. 137; DÜLGER, s. 141; TOPAÇ, s. 250; MADEN, s. 143. Bununla beraber, ilgili eserde kişisel verilerin korunmasına ilişkin suçlar bakımından hukuka uygun- luk sebeplerinin açık rıza ve kanunda öngörülen hâllerle sınırlı olduğu açıkça ifade edilmemekle birlikte, yalnızca bu iki sebebin ele alınması yazarın bu görüşü benimsediği şeklinde değerlendirilebilir. Yazarın bu konudaki görüşleri için bkz. MADEN, s. 143-167. 68 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 82; ÇAKIR, s. 588; İÇEL, s. 23; AYGÜN EŞİTLİ, s. 137; DÜLGER, s. 141; TOPAÇ, s. 250; MADEN, s. 143-167. 69 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 82. 70 YÜCEDAĞ, Nafiye: “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”, Kişisel Verileri Koruma Dergisi, 2019, Cilt 1, Sayı 1 (Genel İlkeler), s. 48. 71 Belirtmek gerekir ki 95/46/EC sayılı Direktif yürürlükten kaldırılmış ve yerine Avrupa Birliği Genel Veri Koruma Tüzüğü kabul edil- miştir. Tüzük 25.05.2018 tarihinde yürürlüğe girmiştir. Her ne kadar 6698 sayılı KVKK hazırlanırken ilgili Tüzük henüz yürürlüğe gir- memiş olsa da KVKK’da yer alan kişisel verilerin işlenmesine ilişkin genel ilkeler, yalnızca esas alındığı 95/46/EC sayılı Direktifle de- ğil, daha sonra yürürlüğe giren ve genel ilkelere 5. maddesinde yer veren Tüzük ile de büyük ölçüde örtüşmektedir. 72 YÜCEDAĞ, Genel İlkeler, s. 48; KÜZECİ, s. 228. 73 YÜCEDAĞ, Genel İlkeler, s. 48; AYGÜN EŞİTLİ, s. 137. 990 Mehmet GÜRLER Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, 1) hukuka ve dürüstlük kurallarına uygun olma, 2) doğru ve gerektiğinde güncel olma, 3) belirli, açık ve meşru amaçlar için işlenme, 4) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 5) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir 74. Bu ilkeler çoğu zaman birbirleriyle iç içe geçmekte olup, bazı durumlarda birbirlerinden kesin sınırlarla ayrılması mümkün olmayabilir 75. Bu çerçevede kişi- sel verilerin işlenmesine ilişkin bu ilkeler tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve her bir işlem bu ilkelere uygun olarak gerçekleştirilmelidir. Bununla beraber, KVKK m. 28’deki istisnai hâlleri içeren hükümler çerçevesinde kişisel verilerin işlenmesi durumunda KVKK m. 4’te yer alan genel ilkeler uygulanmayacak, sadece ilgili özel kanun hükmü göz önünde bulundurulacaktır 76. Her ne kadar söz konusu istisnai hâllere dayanılarak kişisel verilerin işlenmesi durumunda da KVKK m. 4’te yer alan genel ilkelere uyulması gerektiği ileri sürülse de 77, KVKK m. 28’in “bu Kanun hükümleri aşağıdaki hâl- lerde uygulanmaz” şeklindeki açık ifadesi karşısında bu görüşü benimsemek mümkün değildir 78. C. İlgilinin Açık Rızası 1. Açık Rıza İlgili kişinin açık rızası kişisel verilerin işlenmesini hukuka uygun hâle getirir 79. Zira hem Anaya- sa m. 20/3’te hem de KVKK m. 5/1’de bu husus açıkça düzenlenmiş ve kişisel verilerin işlenmesinin kural olarak ilgili kişinin açık rızasına bağlı olduğu belirtilmiştir. Yine TCK m. 135’in gerekçesinde “kişinin rızası ile kendisiyle ilgili bilgilerin kayda alınmasının suç oluşturmayacağı muhakkaktır.” açıklamasına yer verilmiştir. Bunun yanı sıra TCK m. 26/2’de ilgilinin rızası genel bir hukuka uygun- luk sebebi olarak düzenlenmiştir. Buna göre “kişinin üzerinde mutlak surette tasarruf edebileceği bir hakka” ilişkin olmak kaydıyla ilgili kişinin rızası fiili hukuka uygun hâle getirir ve suçun oluşmasını engeller. Kişisel verilerin korunmasını isteme hakkının, kişinin üzerinde mutlak surette tasarruf edebi- leceği haklardan biri olduğu genel olarak kabul görmektedir. Buna karşın, kişisel verilere ilişkin suçla- rın şikâyete bağlı olmaksızın re’sen soruşturulup kovuşturulmasının 80, bu veriler üzerindeki hakkın üzerinde mutlak şekilde tasarruf edilebilen bir hak olarak değerlendirilmesini engellediği ileri sürül- müştür 81. Bu görüşe göre, kişisel verilerle ilgili suçların takibinin şikâyete tabi olmaması, kişisel veri- lerin korunmasında bireysel menfaatten çok kamusal menfaatin ön planda tutulduğunu göstermektedir. Bu bağlamda, ilgili kişinin rızasının hukuka uygunluk sebebi olarak kabul edilebilmesi için öncelikle bu suçların takibini şikâyete bağlayan bir yasal düzenleme yapılması gerektiği savunulmaktadır 82. Kamusal hak ve menfaatlerin korunduğu suç tipleri bakımından rızanın hukuka uygunluk sebebi olmadığı açıktır 83. Ayrıca kişi tüm hakları veya hukuki değerleri üzerinde mutlak surette tasarruf yetki- 74 Bu konuda ayrıntılı bilgi için bkz. KİŞİSEL VERİLERİ KORUMA KURUMU: Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, Ankara, s. 1-14. 75 KÜZECİ, s. 227. 76 DÜLGER, s. 146; AYGÜN EŞİTLİ, s. 144-145. 77 ATAÇ, Asiye Selcen: Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135), Filiz Kitabevi, İstanbul, 2023, s. 127. 78 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 85; DÜLGER, s. 146; AYGÜN EŞİTLİ, s. 144-145. 79 AVCI BRAUN, Cihan: “Kişisel Verilerin İşlenmesinde Rıza”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, 2018, Cilt 15, Sayı 1, s. 15; POLATER, Salih: “Kişisel Verilerin Reklam Amaçlı İşlenmesinde Hukuka Uygunluk Sebepleri”, Kişisel Verileri Koruma Dergisi, 2019, Cilt 1, Sayı 1, s. 7; YÜCEDAĞ, Nafiye: “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, 2017, Cilt 75, Sayı 2 (Hukuka Uygunluk Sebep- leri), s. 773; ATAÇ, s. 165. 80 TCK m. 139’da “özel hayata ve hayatın gizli alanına karşı suçlar” başlığı altındaki diğer suçlardan farklı olarak, kişisel verilerin kayde- dilmesi (TCK m. 135), verileri hukuka aykırı olarak verme veya ele geçirme (TCK m. 136) ile verileri yok etmeme (TCK m. 138) suçla- rının soruşturulması ve kovuşturulmasının şikâyete bağlı olmadığı düzenlenmiştir. 81 ÖZBEK / DOĞAN / BACAKSIZ, s. 588-589. 82 ÖZBEK / DOĞAN / BACAKSIZ, s. 588-589. 83 Bununla beraber hem kişisel verilere ilişkin suçlarda kamusal menfaatin bireysel menfaatten üstün tutulduğu ve kişisel verilere ilişkin suçların düzenlendiği yerin isabetli olmadığı hem de ilgilinin rızasının söz konusu suçlar bakımından bir hukuka uygunluk sebebi teşkil ettiği ileri sürülmüştür. Söz konusu görüş için bkz. ORHAN, Uğur: “Kişisel Verilerin Korunmasına İlişkin Türk Ceza Hukuku Düzen- Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 991 Cilt: 11 • Sayı: 2 • Temmuz 2025 sine sahip değildir. Kişinin insan onuruyla bağdaşmayacak bir fiile rıza göstermesi kabul edilemez. Kişinin hangi haklar üzerinde mutlak bir tasarruf yetkisine sahip olduğunun belirlenmesinde, suçun şikâyete tabi olup olmaması bir ölçüt olarak dikkate alınabilir. Ancak bu ölçüt tek başına belirleyici değildir. Nitekim, şikâyete tabi olmayan bazı suçlarda (örneğin TCK m. 86/1 - kasten yaralama) rıza hukuka uygunluk sebebi oluşturabilirken; şikâyete tabi olan bazı suçlarda (örneğin TCK m. 105 - reşit olmayanla cinsel ilişki) rızanın hukuka uygunluk sebebi olarak kabul edilmesi mümkün değildir 84. Dolayısıyla, bireyin hangi haklar üzerinde mutlak tasarruf yetkisine sahip olduğuna ilişkin değerlen- dirme, yalnızca suçun şikâyete tabi olup olmamasına göre değil, hukuk düzeninin temel ilkeleri çerçe- vesinde yapılmalıdır. Bu bağlamda, hem kişisel verilerin taşıdığı özel nitelik hem de Anayasa’nın 20. maddesinin üçüncü fıkrası ile KVKK’nın 5. maddesi birlikte değerlendirildiğinde, açık rızanın kişisel verilere ilişkin suçlar bakımından bir hukuka uygunluk sebebi olarak kabul edilmesi gerektiği sonucu- na ulaşılmaktadır 85. Dolayısıyla, bir hukuka uygunluk sebebi olarak TCK m. 26/2’de düzenlenen ilgilinin rızası, kişi- sel verilerin işlenmesi bakımından da geçerlidir. Bununla beraber, Anayasa m. 20/3 ile KVKK m. 3/1- a ve m. 5/1 hükümleri, rıza kavramına ek bir koşul getirmiş; kişisel verilerin yalnızca ilgili kişinin “açık rızasıyla” işlenebileceğini öngörmüştür 86. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir. Bu kavram yalnızca iç hukukta değil, uluslararası metinlerde de önemli bir yer tutmaktadır. Nitekim KVKK’nın gerekçesinde de belirtildiği üzere 95/46/EC sayılı Direktifte açık rıza; ilgili kişinin, kendisiyle ilgili veri işlenmesine, özgür irade- siyle, konu hakkında yeterli bilgi sahibi olarak, yalnızca belirli bir işlemle sınırlı ve tereddüde yer bı- rakmayacak açıklıkta verdiği onay beyanı olarak tanımlanmıştır. 95/46/EC sayılı Direktif yerine kabul edilen Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) de benzer bir tanım getirmiştir 87. İlgili Di- rektif ve Tüzük açık rızanın “tereddüde yer bırakmayacak açıklıkta” olması ve “bir beyan yoluyla ya da açık bir onay edimiyle” verilmesi gerektiğini ifade etmektedir 88. Bu çerçevede, bir rızayı KVKK m. 5 anlamında açık rıza yapan husus “tereddüde yer bırakmaya- cak açıklıkta” olmasıdır 89. İlgili kişinin rızasını ortaya koyan irade beyanı, rıza gösterme niyetinde hiçbir tereddüde yer bırakmayacak açıklıkta olmalıdır 90. Söz konusu irade açıklamasının, sarih, anlaşı- lemeleri Üzerine Değerlendirmeler”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 2021, Cilt 70, Sayı 4, s. 1374-1375. Ancak kamusal menfaatin korunduğu bir suç tipinde rızanın hukuka uygunluk sebebi olması mümkün değildir. Bu durumda bireyin iradesiyle kamusal menfaatin bertaraf edilmesine imkân tanınmış olur ki bu da hem kamusal düzenin korunması amacına zarar verir hem de sistematik tu- tarlılığı zedeler. 84 KOCA / ÜZÜLMEZ, Genel Hükümler, s. 296-297. 85 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 85; TEZCAN, Kişisel Verilerin Kaydedilmesi, s. 1160; İÇEL, s. 21; ATAÇ, s. 165; AYGÜN EŞİTLİ, s. 140; ÇAKIR, s. 589; AVCI BRAUN, s. 15; POLATER, s. 7; SINAR, s. 54. Bununla beraber, TCK m. 138 kapsamında kişisel verilerin yok edilmemesi suçu ile hem bireye hem de topluma ait hukuki değer korunduğu ifade edilmiş ve verisi yok edilmeyen kişinin rızasının tek başına fiili hukuka uygun hâle getirmeyeceği belirtilmiştir. Bkz. DÜLGER, s. 156. 86 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 86; AYGÜN EŞİTLİ, s. 139; ATAÇ, s. 166. 87 Bununla birlikte, söz konusu Direktif ile Tüzükte “rıza” ve “açık rıza” kavramlarına yer verilmiş olmasına rağmen, yalnızca “rıza” kavramı tanımlanmıştır. Bu düzenlemelerde kişisel verilerin işlenmesi için rıza yeterli görülürken, özel nitelikli kişisel verilerin işlenme- sinde açık rızanın aranması gerektiği kabul edilmektedir. Buna karşılık, KVKK’da hem kişisel verilerin hem de özel nitelikli kişisel veri- lerin işlenmesi bakımından açık rıza aranmaktadır. Bkz. SELEK, Ozan: “Genel Veri Koruma Tüzüğü Işığında Kişisel Verilerin İşlenme- sinde Rıza Açıklaması”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2019, Cilt 21, Sayı 2, s. 917-922. Ayrıca, KVKK’da iki fark- lı açık rıza kavramının bulunduğu, özel nitelikli kişisel verilerin işlenmesine ilişkin KVKK m. 6’da aranan açık rızanın kişisel verilerin işlenmesine yönelik KVKK m. 5’te öngörülen açık rızaya kıyasla daha sıkı koşullara bağlandığı ileri sürülmüştür. Bu görüşe göre, KVKK m. 5’te öngörülen açık rıza örtülü şekilde verilebilirken, KVKK m. 6’daki açık rızanın örtülü olarak verilmesi mümkün değildir. Söz konusu görüş için bkz. AVCI BRAUN, s. 31. Ancak, hem KVKK’da tek bir “açık rıza” tanımı yapılmış olması hem de KVKK’nın ilgili maddelerinin lafzı ile gerekçesi birlikte göz önünde bulundurulduğunda, KVKK m. 5 ile m. 6’daki açık rıza kavramlarının niteliği açısından bir fark gözetildiğini söylemek mümkün görünmemektedir. Aynı yönde görüş için bkz. ÇELİKEL, Serdar: “Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direktif ve GDPR’la Karşılaştırmalı Olarak İncelenmesi”, Uyuş- mazlık Mahkemesi Dergisi, 2021, Cilt 9, Sayı 17, s. 170; POLATER, s. 9. 88 Art. 4 of the GDPR: “Consent of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her”. 89 AVCI BRAUN, s. 26. 90 ÇELİKEL, s. 179. 992 Mehmet GÜRLER lır ve kesin nitelikteki söz, yazı veya işaretler yoluyla dış dünyaya yansıtılması gerekmektedir. Bu doğrultuda, açık rızanın dört temel unsurdan oluştuğu kabul edilmektedir. Bunlar, 1) rızanın belirli bir konuya ilişkin olması, 2) rızanın bilgilendirmeye dayanması, 3) rızanın özgür iradeyle açıklanması ve 4) açık bir irade beyanının bulunmasıdır 91. Bu unsurların birlikte gerçekleşmesi açık rızanın geçerliliği bakımından zorunludur. 2. Açık Rızanın Unsurları a. Belirli Bir Konuya İlişkin Olması Açık rızanın belirli bir konuya ilişkin olması ve somut bir olaya özgü olarak verilmesi gerekmek- tedir. Kişi, kendisine ait her türlü kişisel veriyi kapsayacak şekilde genel nitelikte bir rıza beyanında bulunamaz. Bu nedenle, öncelikle işlenecek veri konusu açık ve net biçimde belirlenmeli, açık rıza yalnızca bu konuya özgülenerek alınmalı ve veri işleme faaliyetleri de bu çerçevede yürütülmelidir. Kişisel verilerin hangi amaç veya amaçlar doğrultusunda işleneceği, belirsizlik içermeyen, açık ve anlaşılır ifadelerle ortaya konmalıdır 92. Bu bağlamda, gelecekte doğabilecek belirsiz amaçlar doğrultu- sunda veri işlenmemeli ve bu tür amaçlar için genel nitelikte rıza beyanları alınmamalıdır. Nitekim, kişisel verilerin işlenmesine ilişkin genel ilkeleri düzenleyen KVKK’nın 4. maddesi, kişisel verilerin “belirli, açık ve meşru amaçlar” doğrultusunda işlenmesini ve bu amaçlarla “bağlantılı, sınırlı ve ölçü- lü” olmasını zorunlu kılmaktadır. Belirli bir konu ve amaç belirtilmeksizin, kişinin her türlü veri işleme faaliyetine onay vermesini ifade eden ve “şemsiye rıza” ya da “battaniye rıza” olarak adlandırılan, kapsamı belirsiz, ucu açık ve geleceğe yönelik genel nitelikteki rıza beyanları, belirlilik unsurunu karşılamadığı için geçerli sayıl- maz 93. Açık rızanın geçerliliği, ilgili kişinin hangi verilerinin, hangi amaçlarla ve hangi kapsamda işle- neceğini bilmesine bağlıdır. Örneğin, “kişisel verilerimin işlenmesine rıza gösteriyorum”, “ileride ortaya çıkacak diğer amaçlarla”, “kanunda öngörülen ya da veri sorumlusunun faaliyetleri gereği orta- ya çıkacak diğer tüm amaçlarla” veya “kullanıcı deneyimini geliştirme amacıyla” gibi muğlak, açık uçlu ve genel nitelikteki ifadeler KVKK kapsamında açık rıza olarak kabul edilemez 94. b. Bilgilendirmeye Dayanması İlgili kişinin rıza gösterdiği husus hakkında yeterli ve anlamlı biçimde bilgilendirilmiş olması ge- rekir. Kişi, neye rıza gösterdiğini ve neyi kabul ettiğini bilerek bilinçli bir tercihte bulunabilmelidir. Bu nedenle, öncelikle kişiye gerekli bilgi sağlanmalı ve ardından seçim yapma hakkı tanınmalıdır 95. İlgili kişinin; hangi kişisel verilerinin, kim tarafından, hangi kapsamda ve hangi amaçla işleneceği, bu verilerin hangi yöntemlerle elde edileceği ve işleneceği ile verilerinin işlenmesine rıza göstermesinin veya göstermemesinin doğuracağı sonuçlar hakkında açık biçimde bilgilendirilmesi gerekir 96. Bilgi- lendirme sürecinde, açık, anlaşılır ve sade bir dil kullanılmalı; soyut, belirsiz ve genel ifadelerden ka- çınılmalıdır. Bilgilendirme, ortalama ve makul düzeyde zekâya sahip bir bireyin anlayabileceği netlik- te yapılmalı; teknik ve karmaşık hukuki ifadelerle gerçekleştirilen bildirimlerin yükümlülüğün yerine getirildiği anlamına gelmeyeceği unutulmamalıdır 97. Ayrıca bilgilendirme içeriği oluşturulurken hedef kitlenin özellikleri dikkate alınmalıdır. Eğer ilgili kişiler çocuklar veya reşit olmayan bireyler ise bilgi- 91 AVCI BRAUN, s. 26; ÇELİKEL, s. 179-185; SELEK, s. 922. 92 ATAÇ, s. 174; AVCI BRAUN, s. 23; ÇELİKEL, s. 179; POLATER, s. 10. 93 ÇELİKEL, s. 179; POLATER, s. 10. 94 ÇELİKEL, s. 180; POLATER, s. 10. 95 Benzer olarak FIPPs (Fair Information Practice Principles) ABD’de kişisel verilerin işlenmesinde temel ilkeleri düzenlemektedir. Bu ilkeler arasında “notice and choice” (bilgilendirme ve seçim), veri sahiplerinin kişisel verilerinin nasıl işlendiğine dair açık bilgilendiril- mesi ve onlara verilerinin işlenip işlenmemesi konusunda seçim yapma hakkı tanınması gerektiğini vurgulamaktadır. Bkz. SOLOVE, Daniel J.: “Privacy Self-Management and the Consent Dilemma”, Harvard Law Review, 2013, Cilt 126, Sayı 7, s. 1883. 96 AVCI BRAUN, s. 26; ÇELİKEL, s. 181. 97 YÜCEDAĞ, Hukuka Uygunluk Sebepleri, s. 774; ATAÇ, s. 171; ÇELİKEL, s. 182. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 993 Cilt: 11 • Sayı: 2 • Temmuz 2025 lendirme bu grupların yaş ve gelişim düzeylerine uygun şekilde basitleştirilmiş bir anlatımla gerçek- leştirilmelidir 98. Bilgilendirmenin içeriği ve kapsamı belirlenirken, KVKK’nın 10. ve 11. maddelerinde düzenle- nen aydınlatma yükümlülüğü esas alınmalıdır. Bu yükümlülük ilgili kişinin talebine bağlı değildir. Ayrıca bilgilendirmenin yapıldığının ve içeriğinin hukuka uygun olduğunun ispat yükü veri sorumlu- suna aittir 99. Bu doğrultuda KVKK m. 10 uyarınca bir aydınlatma bildiriminde; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi ile d) ilgili kişinin 11. maddede sayılan haklarına 100 ilişkin bilgilerin yer alması zorunludur. Bununla beraber Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usûl ve Esaslar Hakkında Tebliğ 101 ile sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle ay- dınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usûl ve esaslar açıklanmıştır. Bu bağlamda hem bilgilendirme içeriği hem de yöntemi ilgili mevzuata uygun şekilde dikkatle plan- lanmalı ve yürütülmelidir. c. Özgür İradeyle Açıklanması Açık rızanın hukuken geçerli sayılabilmesi için ilgili kişinin bu rızayı tamamen özgür iradesiyle vermiş olması gerekir. Rıza, herhangi bir baskı, yönlendirme, tehdit veya zorlama olmaksızın, kişinin neye rıza gösterdiğini bilerek ve bilinçli bir tercih yapması sonucunda verilmelidir 102. Bu kapsamda, kişinin, kişisel verilerinin işlenip işlenmemesi konusunda gerçek ve anlamlı bir seçim hakkına sahip olması esastır. Eğer kişi, rıza vermeye zorlanıyor, baskı hissediyor ya da rıza vermediği takdirde olumsuz sonuçlarla karşılaşacağını düşünerek rıza gösteriyorsa özgür iradeden söz edilemez 103. Bir hizmetin sağlanmasından veya bir uygulamanın kullanılmasından önce ilgili kişiden rıza talep edilmesi durumunda açık rızanın özgür iradeyle verilip verilmediğinin tespiti önemlidir 104. Zira çoğun- lukla bu gibi durumlarda rıza verilmediği takdirde kullanıcı uygulamaya erişememekte veya hizmetten yararlanamamaktadır. Bu tür koşullar altında verilen rızaların gerçekten “açık” ve “özgür” olup olma- dığı konusunda dikkatli bir değerlendirme yapılmalıdır. Örneğin, bir spor salonuna üye olmak isteyen kişiye parmak izi vermenin zorunlu tutulması ve alternatif bir kimlik doğrulama yöntemi sunulmaması hâlinde, kişiye gerçek bir tercih hakkı tanındığından söz edilemez. Dolayısıyla, söz konusu rıza, baskı altında verilmiş kabul edilir. Benzer şekilde, kişisel verilerin işlenmesine açık rıza verilmediği takdirde hizmetin sunulmayacağı, sözleşmenin ifa edilmeyeceği veya kişiye ek bir mali yük getirileceği belirti- liyorsa, bu da özgür iradeyi zedeleyen bir yaklaşım teşkil etmektedir 105. Nitekim, sözleşmenin kurul- 98 EUROPEAN DATA PROTECTION BOARD, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 16. 99 KİŞİSEL VERİLERİ KORUMA KURUMU: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, Kişisel Verileri Koruma Kurumu Yayınları, Ankara, 2025, s. 13. 100 KVKK m. 11: “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadı- ğını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış iş- lenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çık- masına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep et- me haklarına sahiptir.”. 101 10.03.2018 tarihinde 30356 sayılı Resmî Gazete’de yayımlanan söz konusu tebliğ için bkz. https://mevzuat.gov.tr/mevzuat? Mev- zuatNo=24454&MevzuatTur=9&MevzuatTertip=5 (ET: 11.03.2025). 102 EUROPEAN DATA PROTECTION BOARD, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 9. 103 ATAÇ, s. 175; ÇELİKEL, s. 184; AVCI BRAUN, s. 21. 104 YÜCEDAĞ, Hukuka Uygunluk Sebepleri, s. 774. 105 YÜCEDAĞ, Hukuka Uygunluk Sebepleri, s. 774; ATAÇ, s. 176. Kişisel Verileri Koruma Kurulu da 25.03.2019 tarihli ve 2019/81 sayılı kararında bu konuya ele almış ve “spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen ki- şilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “işlendikleri amaç- 994 Mehmet GÜRLER ması veya ifası için zorunlu olmayan veri işleme faaliyetlerinin, sözleşmeye bağlanması suretiyle kişi- sel veri sahibinin seçim özgürlüğü ortadan kaldırılmakta ve rızanın özgür iradeye dayanması engel- lenmektedir. Kişinin rıza vermeme hakkı açıkça belirtilmeli ve bu hakkın kullanılması kişi aleyhine herhangi bir yaptırım veya dezavantaj doğurmamalıdır. Buna karşın rızanın gösterilmemesi hâlinde uygulana- cak yaptırımın çok hafif olduğu durumlarda rızanın özgür iradeye dayandığı ifade edilmiştir 106. Ancak rızanın geçerliliğini yalnızca uygulanacak yaptırımın ağırlığına bağlamak isabetli değildir; zira bireyin eğitim seviyesi, yaşı, psikolojik durumu, bilgilendirilme düzeyi, içinde bulunduğu kurumsal güç ilişki- si, kültürel faktörler ve alternatiflerin olup olmaması gibi pek çok unsur irade özgürlüğünü doğrudan etkileyebilir. Dolayısıyla, yaptırımın hafif olması, rızanın özgür iradeye dayandığını göstermez. Örne- ğin, bir bankanın müşterilerinden ödeme bilgilerini üçüncü taraflarla reklam amacıyla paylaşmak için açık rıza talep etmesi, ancak bu rızayı vermeyenlere hizmet sunmaması ya da ek ücret talep etmesi, rızanın baskı altında verildiğine işaret eder 107. Sonuç olarak, açık rızanın geçerli olabilmesi için kişinin tam anlamıyla özgür bir iradeyle, bilgiye dayalı ve baskıdan uzak bir şekilde karar vermesi şarttır. Aksi takdirde, verilen rıza yalnızca biçimsel bir onay olarak kalacak ve veri işleme faaliyeti hukuka aykırı hâle gelecektir. d. Açık Bir İrade Beyanının Bulunması Açık rızadan söz edilebilmesi için ilgili kişinin iradesini açık ve net bir biçimde ortaya koyması gerekmektedir. Rızanın hukuken geçerli sayılabilmesi, herhangi bir tereddüde yer bırakmayacak açık- lıkta ve kesinlikte ifade edilmesine bağlıdır 108. Örtülü irade beyanları bireysel menfaatlerin ihlali bakı- mından hukuka uygunluk nedeni olan rıza için yeterli sayılabilir 109, ancak kişisel verilerin işlenmesine yönelik rıza, mutlaka rızanın verildiğine dair tereddüt oluşturmayacak nitelikte açık bir beyan veya aktif bir davranışla ortaya konulmalıdır 110. Açık rızanın sözlü, yazılı ya da belirli bir davranış yoluyla açıkça ifade edilmesi zorunludur. Bu nedenle, açık rızanın “örtülü” ya da “zımni” şekilde verilmesi mümkün değildir 111. Burada dikkat edilmesi gereken bir diğer husus, rızayı oluşturan davranışın pasif bir tutumu veya hareketsizliği yansıtmaması gerektiğidir. Başka bir deyişle, kişinin hareketsizliği veya sessiz kalması açık rıza olarak değerlendirilemez 112. Açık rızanın geçerli olabilmesi için kişinin gerçekleştirdiği aktif bir davranışla kişisel verilerinin işlenmesine rıza gösterdiğini tereddüde yer bırakmayacak şekilde ortaya koyması gerekir. Nitekim bu husus, özellikle çevrim içi ortamlarda verilen açık rızanın geçerli- liği açısından büyük önem taşımaktadır. Örneğin, bir internet sayfasında yer alan rıza beyanlarının, kanunun öngördüğü açık rıza koşullarını sağlaması için kullanıcının aktif bir onay davranışında bu- lunması gerekmektedir. Bir başka ifadeyle, internet sayfasında önceden işaretlenmiş kutuların işareti- nin kaldırılmaması (yani “opt-out” yöntemiyle sunulan rıza mekanizmaları) kişinin bu konuda rızası olduğunu tereddüde yer bırakmayacak şekilde ortaya koymadığı için geçerli bir açık rıza olarak kabul edilemez 113. la bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığına ve veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getiril- mesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesine” karar vermiştir. 106 KÜZECİ, s. 268; SELEK, s. 924. 107 EUROPEAN DATA PROTECTION BOARD, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 11. 108 AVCI BRAUN, s. 27; ÇELİKEL, s. 184. 109 ARTUK / GÖKCEN / ALŞAHİN / ÇAKIR, s. 560. 110 AYGÜN EŞİTLİ, s. 143; ÇELİKEL, s. 185; POLATER, s. 11. 111 AYGÜN EŞİTLİ, s. 139; ÇELİKEL, s. 185; DÜLGER, s. 141; ATAÇ, s. 166; SINAR, s. 55. Buna karşın, KVKK m. 5 ile m. 6’da yer alan “açık rıza” kavramlarının aynı nitelikte olmadığı, KVKK m. 5’te düzenlenen ve genel nitelikteki kişisel verilerin işlenmesi bakı- mından gerekli olan açık rızanın örtülü olarak da verilebileceği ifade edilmiştir. Bkz. AVCI BRAUN, s. 28-31. 112 AYGÜN EŞİTLİ, s. 143; YÜCEDAĞ, Hukuka Uygunluk Sebepleri, s. 774; ÇELİKEL, s. 174. 113 EUROPEAN DATA PROTECTION BOARD, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 19. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 995 Cilt: 11 • Sayı: 2 • Temmuz 2025 3. Açık Rızanın Verilme Zamanı ve Geri Alınması KVKK’da açık rızanın ne zaman verilmesi gerektiğine ilişkin bir düzenleme bulunmamaktadır. Ancak TCK m. 26/2’de yer alan ve genel hukuka uygunluk sebebi olan rıza göz önünde bulundurul- duğunda, hukuka uygun bir veri işleme faaliyeti için açık rızanın mutlaka veri işleme fiilinden önce veya en geç veri işleme fiilinin icrası sırasında verilmesi gerekmektedir 114. Veri işleme fiili gerçekleşti- rildikten sonra verilen rıza, geriye dönük olarak hukuka aykırı fiili hukuka uygun hâle getirmez. Diğer bir deyişle, burada aranan rıza önceden verilmiş bir “izin” niteliğindedir. Buna karşılık, fiilin gerçek- leştirilmesinden sonra verilen ve “onay” mahiyetinde olan rıza, ancak bir icazet olarak değerlendirile- bilir 115. İcazet ise geriye etkili sonuç doğuramayacağından fiilin hukuka aykırılığını ortadan kaldır- maz 116. Bununla beraber, kişisel verilerin işlenmesine bir kez rıza verilmiş olması, artık bu verilerin iş- lenmesine hiçbir şekilde müdahale edilemeyeceği anlamına gelmemektedir 117. Her ne kadar KVKK’da açık rızanın geri alınabileceğine dair açık bir hüküm yer almamakta ise de hem hukukun genel ilkeleri hem de Anayasa’nın 17. ve 20. maddeleri gereği, kişi kişisel verileri üzerindeki tasarruf hakkını kulla- narak daha önce vermiş olduğu rızayı dilediği zaman geri alma hakkına sahiptir. Nitekim Kişisel Sağ- lık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in 118 7. maddesinde bu husus sağlık verileri bakımından açıkça düzenlemiş ve “İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması hâlinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımın- dan etkili olmaz.” hükmüne yer verilmiştir. Benzer biçimde Avrupa Birliği Genel Veri Koruma Tüzü- ğünde (GDPR) rızanın geri alınması açıkça düzenlenmiştir 119. Dolayısıyla kişi kendi verileri üzerindeki veri işleme faaliyetlerini istediği zaman sonlandırabilir. Ancak rızanın geri alınması yalnızca ileriye dönük sonuç doğurur, o tarihe kadar rızaya dayalı olarak yapılmış olan veri işleme faaliyetlerinin hukuka uygunluğunu etkilemez 120. Öte yandan, kişisel verile- rin işlenmesine rıza verilmeden önce ilgili kişiye yalnızca verilerin nasıl işleneceği değil, aynı zaman- da bu rızayı dilediği zaman geri alabileceği hususunda da açık ve anlaşılır bir şekilde bilgilendirme yapılmalıdır 121. Son olarak, rızanın verilmesi ve geri alınması işlemlerinin her zaman aynı yöntemle yapılması şart olmasa da kişi verdiği rızayı dilediği zaman, rıza verirken kullandığı yöntem kadar basit ve erişilebilir bir yolla geri alabilmelidir. Örneğin, internet ve telefon uygulaması kullanılarak her za- man rıza verilmesi mümkünken rızanın geri alınması için yalnızca mesai saatleri içinde bir çağrı mer- kezini aramak zorunda olmak bu gerekliliğin ihlali anlamına gelir 122. D. Kanunun Öngördüğü Hâller 1. Genel Açıklamalar Kişisel veriler temel hak ve özgürlüklerle doğrudan ilgili olduğundan bu verilere müdahale yal- nızca kanunun öngördüğü hâllerde mümkündür. Kişisel verilerin işlenmesi kanunun izin verdiği hâl- 114 KOCA / ÜZÜLMEZ, Genel Hükümler, s. 298; DÜLGER, s. 141; ATAÇ, s. 177. 115 ATAÇ, s. 177; AVCI BRAUN, s. 16. 116 ARTUK / GÖKCEN / ALŞAHİN / ÇAKIR, s. 560. 117 ATAÇ, s. 177; AVCI BRAUN, s. 17; AYGÜN EŞİTLİ, s. 143. 118 İlgili Yönetmelik için bkz. https://www.resmigazete.gov.tr/eskiler/2017/11/20171124-1.htm (ET: 17.03.2025). 119 Art. 7/3 of the GDPR: “The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be infor- med thereof. It shall be as easy to withdraw as to give consent.”. 120 DÜLGER, s. 153; AVCI BRAUN, s. 17; AYGÜN EŞİTLİ, s. 143. 121 ATAÇ, s. 177; ÇELİKEL, s. 177. 122 EUROPEAN DATA PROTECTION BOARD, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 25. 996 Mehmet GÜRLER lerde suç teşkil etmez. Bu husus Anayasa m. 20/3’te açıkça belirtilmiştir. Anayasa’daki “kanun” ifade- si herhangi bir yazılı hukuk kuralı olarak değil, TBMM tarafından çıkarılan yasama tasarrufu olarak anlaşılmalıdır 123. Ayrıca Anayasa m. 104’e göre Cumhurbaşkanı yürütme yetkisine ilişkin konularda kararname çıkarabilir, ancak temel hak ve özgürlükler ile münhasıran kanunla düzenlenmesi gereken konular Cumhurbaşkanlığı kararnamesiyle düzenlenemez. Dolayısıyla, kişi hak ve hürriyetlerini sınır- landırıcı düzenlemeler sadece kanunda açıkça yer alıyorsa geçerli olabilir; alt düzenleyici işlemlerle böyle bir sınırlandırma yapılamaz. Kanunun uygulanmasına yönelik ve kanuna aykırı olmayan düzen- lemeler ise alt düzenleyici işlemlerle yapılabilir 124. Bu doğrultuda KVKK’nın “kişisel verilerin işlenme şartları” başlıklı 5. maddesinde açık rıza ol- maksızın kişisel verilerin işlenemeyeceği ifade edilmiş ve devamında açık rızası olmaksızın kişisel verilerin işlenmesini mümkün kılan şartlar düzenlenmiştir. KVVK m. 5/2’e göre “a) Kanunlarda açık- ça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızası- na hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğü- nün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri so- rumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu- nun meşru menfaatleri için veri işlenmesinin zorunlu olması” durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür. Bununla birlikte, KVKK m. 5/2-a bendinde yer alan “kanunlarda açıkça öngörülmesi” ibaresinin işlevi ve amacı, KVKK’da doğrudan düzenlenmemiş ancak başka bir kanun hükmü gereği hukuka uygun hâle gelen kişisel veri işleme faaliyetlerine atıfta bulunmaktır 125. Aslında Anayasa m. 20/3’te kişisel verilerin “ancak kanunda öngörülen hâllerde” işlenebileceği açıkça belirtildiğinden bu hususun KVKK’da ayrıca tekrarlanmasına gerek yoktur 126. Bu çerçevede, KVKK m. 5/2-a’da yer alan “kanun- larda açıkça öngörülmesi” ibaresinin, “diğer kanunlarda açıkça öngörülmesi” şeklinde anlaşılması yanlış olmayacaktır 127. Dolayısıyla, kişisel verilerin işlenmesine ilişkin herhangi bir kanunda açık bir hüküm bulunması veya açık bir hükümle ikincil mevzuata yönlendirme yapılması hâlinde, belirlenen sınır ve koşullara uygun olmak kaydıyla kişisel verilerin işlenmesi mümkündür 128. 2. KVKK’da Öngörülen Hâller a. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması (KVKK m. 5/2-b) Kişinin geçerli bir rıza verebilmesi için gerçekleştirilecek fiilin niteliğini, amacını ve kapsamını kavrayabilmesi; olası riskleri, yükümlülükleri ve sonuçları değerlendirebilecek yeterlilikte olması ge- rekir. Bu doğrultuda, bir kişinin rızasının geçerli kabul edilebilmesi, somut olay özelinde rıza verme yeteneğine sahip olmasına ve fiilin kapsamı ile sonuçlarını anlayabilecek durumda bulunmasına bağlı- dır. Ancak fiilen rızasını açıklayamayacak durumda olan ya da hukuken geçerli bir rıza verme yetene- ğine sahip olmayan kişilerden açık rızanın alınması mümkün değildir 129. 123 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 82. 124 AYGÜN EŞİTLİ, s. 144. 125 AYGÜN EŞİTLİ, s. 144. 126 KOCA / ÜZÜLMEZ, Özel Hükümler, s. 619. 127 AYGÜN EŞİTLİ, s. 144. 128 AYGÜN EŞİTLİ, s. 144; İÇEL, s. 20. 129 AYGÜN EŞİTLİ, s. 146-147. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 997 Cilt: 11 • Sayı: 2 • Temmuz 2025 Fiili imkânsızlık, kişinin içinde bulunduğu koşullar nedeniyle iradesini açıklayamamasını ifade eder. Diğer yandan, kişi ayırt etme gücüne sahip değilse rızasına hukuki geçerlilik tanınmamaktadır. Dolayısıyla ilk durumda fiili olarak (örneğin, ağır yaralanma, baygınlık, uyuşturucu veya alkol etkisi) ikinci durumda ise hukuki olarak (örneğin, akıl hastalığı, yaş küçüklüğü) ilgili kişinin rızasını açıkla- yabilmesi mümkün değildir. Bu tür durumlarda, yani ilgili kişinin fiilen veya hukuken rıza vermesinin mümkün olmadığı hâllerde, kişisel verilerin işlenmesi yalnızca ilgili kişinin veya bir başkasının haya- tının ya da beden bütünlüğünün korunması açısından zorunlu olması durumunda mümkün olabilir. Örneğin, kişinin geçirdiği bir trafik kazası nedeniyle bilinç kaybı yaşaması hâlinde rızası alınmaksızın bir takım sağlık verileri işlenebilir ya da kaçırılarak özgürlüğü kısıtlanmış bir kişinin kurtarılması amacıyla telefon, bilgisayar veya diğer dijital cihazlar üzerinden konum bilgisi tespit edilebilir 130. b. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması (KVKK m. 5/2-c) KVKK m. 5/2-c’ye göre bir sözleşmenin kurulması veya ifasıyla “doğrudan doğruya ilgili” ve “gerekli” olması şartıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi mümkündür. Buradaki “doğrudan doğruya ilgili” ve “gerekli” ifadesiyle sözleşmenin kurulması ya da ifası için zorunlu olan bilgiler ifade edilmektedir. Bu sebeple, sözleşmenin kurulması ya da ifasıyla dolaylı olarak ilişkili olan ya da gerekli olmayan veri işleme faaliyetleri bu kapsamda değerlendirilemez. Ayrıca ilgili kişilerin sadece bu amaçla sınırlı olarak kişisel verilerinin islenmesi mümkündür. Sözleşmenin türü önemli olmasa da hukuken geçerli bir sözleşme olması gerektiği açıktır. Örneğin, bir satış sözleşmesinin ku- rulması sürecinde taraflardan birinin banka hesap numarası, kimlik bilgileri ya da teslimat adresi gibi verilerinin işlenmesi; ya da bir kredi sözleşmesinde başvuran kişinin malvarlığı, gelir durumu veya kefil bilgileri gibi verilerinin kaydedilmesi bu bent kapsamında değerlendirilebilir. Zira bu bilgiler, sözleşmenin kurulması veya ifası için zorunlu ve doğrudan ilişkilidir 131. Ancak bu hükmün yalnızca sözleşmenin tarafları olan gerçek kişilere ait kişisel veriler için geçerli olduğu unutulmamalıdır. Sözleşmeye taraf olmayan üçüncü kişilere ait kişisel verilerin, söz konusu sözleşme ile ilgili olsa dahi, bu bent uyarınca işlenmesi mümkün değildir. Örneğin, bir kiralama söz- leşmesine taraf olmayan ancak taşınmazın fiili kullanıcısı olan bir üçüncü kişinin kişisel verilerinin işlenmesi bu bent kapsamında değerlendirilemez. Yine iki tüzel kişi arasında akdedilen bir sözleşme çerçevesinde, bu tüzel kişileri temsil eden gerçek kişilerin kişisel verilerinin işlenmesi söz konusu olabilir. Ancak bu durumda gerçek kişi temsilcisiler, söz konusu sözleşmenin tarafı kabul edilemeye- ceği için bu işlemin KVKK m. 5/2-c bendine dayalı bir hukuka uygunluk sebebi taşıdığı söylenemez. Bu gibi durumlarda veri işlemenin hukuki dayanağı olarak KVKK m. 5/2-f bendi gündeme gelebilir. Anılan bent, veri sorumlusunun meşru menfaatini kişisel veri işleme açısından bir hukuka uygunluk sebebi olarak kabul etmektedir. Gerçek kişi temsilcilerin kişisel verilerinin işlenmesi, sözleşmenin etkin bir şekilde yürütülmesi ve taraflar arasında sağlıklı iletişimin sağlanması gibi gerekçelerle meşru menfaat kapsamında değerlendirilebilir. Ancak bu bente dayanılabilmesi için veri sorumlusunun meş- ru menfaatinin ilgili kişinin temel hak ve özgürlükleri ile yarışabilecek düzeyde, belirli, mevcut ve etkin nitelikte olması gerekir 132. c. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması (KVKK m. 5/2-ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verilerin işlenmesi zo- runluysa, bu durumda hukuka aykırı bir fiilden söz edilemez. Bunun için veri sorumlusunun herhangi bir tercih hakkına sahip olmaması, ilgili düzenlemeye uymanın zorunlu olması gerekir. Bu tür bir yü- kümlülüğün varlığı yalnızca kanunla sınırlı değildir, ikincil mevzuatla getirilen yükümlülükler de aynı 130 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, s. 7. 131 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, s. 8. 132 YÜCEDAĞ, Hukuka Uygunluk Sebepleri, s. 778. 998 Mehmet GÜRLER şekilde bağlayıcıdır ve veri işlemeye hukuki dayanak teşkil edebilir 133. Ancak KVKK m. 5/2-ç hükmü- nün kapsamının genişliği, sınırlarının belirlenmesini de zorlaştırmaktadır. Bu nedenle, söz konusu düzenleme, yalnızca belirtilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olduğu durumlarla ve ölçülü olmak koşuluyla kişisel verilerin işlenmesini hukuka uygun hâle getirebilir. Bu durumda, kişisel verilerin işlenmesi, yalnızca hukuki yükümlülüğün yerine getirilmesine yönelik ve bu amaca uygun olmalıdır. Örneğin, bir işverenin çalışanına maaş ödeyebilmesi için banka hesap numarası, me- deni durumu, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı gibi kişisel verilerinin yanı sıra, sosyal sigorta numarası gibi bilgilerini kaydetmesi bu kapsamdadır 134. Ancak bir işveren ve çalı- şan ilişkisinin devamlılığı açısından zorunlu olmayan bilgilerin (örneğin çalışanın siyasi görüşü) iş- lenmesi, artık bu hukuka uygunluk sebebinin sınırlarının aşıldığını gösterir. d. İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması (KVKK m. 5/2-d) Anayasa m. 20/3 gereği herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sa- hiptir. Bununla beraber bu haktan feragat edilmesi veya diğer bir deyişle kişisel verilerin alenileştiril- mesi mümkündür. Ancak kişisel verinin aleni kabul edilebilmesi için ilgili kişinin alenileştirme irade- sinin bulunması gerekir. Yoksa kişisel verinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz 135. Bu bağlamda, kişisel verinin, ilgili kişinin iradesiyle ve belirsiz sayıda kişinin kolayca erişebileceği şekilde kamuoyuna sunulması hâlinde alenileştirme gerçekleşmiş sayılır. Böyle bir du- rumda kişi özel hayatına ilişkin bilginin gizliliğini kendisi kaldırmış olmakta ve hukukun sağladığı korumadan vazgeçmektedir 136. Hak sahibi tarafından alenileştirilen ve herkesin erişimine açık hâle getirilen kişisel verilerin artık korunmasına lüzum yoktur. Bununla birlikte, alenileştirilmiş ve kamuoyuna sunulmuş kişisel verilerin, hiçbir sınırlama ol- maksızın işlenebileceğini söylemek doğru değildir. Kişisel veriler her ne kadar aleni hâle getirilmiş olsa da bu verilerin alenileştirme amacına ve bağlamına aykırı şekilde işlenmesi hukuka uygunluk teşkil etmez. Bu çerçevede, ilgili kişinin alenileştirme iradesine dayanılarak gerçekleştirilen veri işle- me faaliyetlerinde, verilerin hangi amaçla kamuya açık hâle getirildiği ve bu amacın dışına çıkılıp çıkılmadığı değerlendirilmelidir. Ayrıca KVVK m. 4’te yer alan genel ilkeler de bu değerlendirmede dikkate alınmalıdır. Sonuç olarak, bir verinin aleni olması, onu sınırsız şekilde işlenebilir kılmaz. Ale- nileştirme amacı ve bağlamıyla bağdaşmayan ve KVKK’daki genel ilkelere aykırılık teşkil eden veri işleme fiilleri hukuka uygun sayılamaz. Nitekim, herkesin erişimine açık olarak sosyal medyada pay- laşılan bir fotoğrafın, pornografik içerikli bir internet sitesine kaydedilmesi; alenileştirme iradesiyle bağdaşmayan ve bağlamdan kopuk bir fiil olup, TCK m. 135 kapsamında suç teşkil eder 137. e. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması (KVKK m. 5/2-e) Bir hakkın kurulması, kullanılması veya korunması için kişisel verilerin işlenmesi zorunlu ise bu işlem hukuka aykırı değildir. Bu düzenleme TCK m. 26/1’deki “Hakkını kullanan kimseye ceza veril- mez.” hükmünün özel bir görünüm şekli olarak değerlendirilebilir. Zira hukuk düzeni, bir kişiye belirli bir hak tanıdığında, o hakkın kurulması, kullanılması veya korunmasını için gerekli fiilleri de hukuka uygun kabul eder. Aksi takdirde “hukuk düzeninin birliği ilkesi” ihlal edilmiş ve hukuk düzeni kendi içinde çelişkiye düşmüş olur. KVKK gerekçesinde de bu hususa değinilmiş, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanmasının veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin ya da kayyımın kısıtlının mali bilgilerini kaydetmesinin hukuka uygun sayılacağı belirtilmiştir. 133 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, s. 13. 134 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, s. 9. 135 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, s. 10. 136 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 83. 137 DÜLGER, s. 144. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 999 Cilt: 11 • Sayı: 2 • Temmuz 2025 Benzer şekilde, iş akdi sona eren bir çalışana ilişkin kişisel verilerin, dava zamanaşımı süresi bo- yunca saklanması veya bir avukatın müvekkili adına dava açabilmek ve diğer adli işlemleri yürütebil- mek amacıyla gerekli kişisel verileri işlemesi bu hukuka uygunluk sebebi kapsamında değerlendiril- mektedir 138. f. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması (KVKK m. 5/2-f) Veri sorumlusunun meşru menfaati, kişisel verilerin işlenmesine izin veren hukuka uygunluk se- beplerinden biridir. Meşru menfaat hukuka aykırı olmayan her türlü menfaati içermektedir. Ayrıca ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi ve veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gereklidir. Bu çerçevede bu hukuka uygunluk sebebi için üç koşulun olduğu ifade edilebilir. Bunlar; ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi, veri sorumlusunun meşru menfaatinin bulunması ve veri işlenmesinin zorunlu olmasıdır. İlk olarak, KVKK m. 5/2-f’de verinin işlenmesinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerektiği ifade edilse de kişisel verileri işlenen kişinin hukuki menfaatlerinin ihlal edildiği açıktır. Bu durumda kişisel verinin işlenmesiyle birlikte zarar da kendiliğinden doğmakta, veri sorum- lusunun meşru menfaatinin bir hukuka uygunluk sebebi olarak değerlendirilmesi pratik bakımdan neredeyse imkânsız hâle gelmektedir 139. Dolayısıyla KVKK m. 5/2-f’de ifade edilen “ilgili kişinin te- mel hak ve özgürlüklerine zarar vermeme” koşulu mutlak şekilde yorumlanmamalıdır. Bu bağlamda, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında makul bir denge kurulması gerekmektedir. Söz konusu denge, veri işleme faaliyetinin ölçülü olması ve haklı bir gerek- çeye dayanması hâlinde sağlanabilir. Bu çerçevede, veri sorumlusunun elde etmeyi amaçladığı fayda- nın; belirli, mevcut, ilgili kişinin haklarıyla yarışabilecek nitelikte olması ve hukuk düzeni tarafından meşru kabul edilen bir temele dayanması gerekir 140. Eğer veri sorumlusunun menfaati, bu dengeyi sağlamak için yeterince belirli, güçlü veya etkin değilse ya da meşru bir temele dayanmıyorsa kişisel verilerin işlenmesi hukuka aykırı kabul edilir 141. Bunun yanı sıra veri sorumlusunun ilgili kişinin kişisel verilerini işleyerek ulaşmayı hedeflediği amacın meşru bir menfaate dayanması gerekmektedir. Eğer amaç meşru değilse, buna bağlı olarak ileri sürülen menfaat de meşru kabul edilemez. Meşru menfaatin varlığı, somut, belirgin ve açık şekil- de ortaya konmalıdır 142. Son olarak, veri sorumlusunun kişisel verilerin işlenmesiyle ulaşmayı hedefle- diği meşru amacın gerçekleştirilebilmesi için kişisel verilerin işlenmesinin zorunlu olması gerekmek- tedir. Eğer kişisel veriler işlenmeden beklenen amaca ulaşılamıyorsa kişisel verinin işlenmesi zorunlu kabul edilebilir. Ancak, veri sorumlusu dışındaki kişilerin menfaati, bu hukuka uygunluk sebebine dayanak oluşturmaz. Örneğin, bir taşıma ve lojistik şirketinin araçlarının GPS sinyal bilgilerini kay- detmesi, KVKK m. 5/2-f kapsamında meşru menfaatlere dayalı bir veri işlemedir 143 ve bu işlem, araç- ların güvenliğini sağlamak, rota planlaması yapmak ve teslimat süreçlerini optimize etmek amacıyla yapılabilir. Bu işlem ile çalışanların temel hak ve özgürlükleri karşılaştırıldığında, işlemin ölçülü ol- duğu ve haklı bir gerekçeye dayandığı kabul edilmelidir 144. 138 YÜCEDAĞ, Hukuka Uygunluk Sebepleri, s. 782; AYGÜN EŞİTLİ, s. 150. 139 AYGÜN EŞİTLİ, s. 153. 140 KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Verilerin İşlenme Şartları, s. 13. 141 ARTICLE 29 DATA PROTECTION WORKING PARTY: Opinion 06/2014 on the Notion of Legitimate Interests of the Data Control- ler under Article 7 of Directive 95/46/EC, Brussels, 2014, s. 24. 142 AYGÜN EŞİTLİ, s. 152. 143 SAAT, Dursun: “Kişisel Verilerin Korunması Kanunu’nda Öngörülen Meşru Menfaat Kavramının Ticaret Şirketleri Bakımından Değer- lendirilmesi”, Anadolu Üniversitesi Hukuk Fakültesi Dergisi, 2024, Cilt 10, Sayı 2, s. 628. 144 Kişisel Verileri Koruma Kurulu, 24.08.2023 tarihli ve 2023/1461 sayılı kararında bir eğitim kurumundaki güvenlik kamerası uygulama- sını değerlendirmiştir. Kurul, görüntü kaydının güvenliği sağlama amacıyla orantılı olduğunu kabul etmiş, ancak aynı ortamda ses kay- dının alınmasını, veri sorumlusunun meşru menfaatinin bulunmaması ya da en azından bu menfaat ile ilgili kişilerin temel hak ve özgür- lükleri arasında makul bir denge kurulamaması gerekçesiyle hukuka aykırı bulmuştur. 1000 Mehmet GÜRLER g. Özel Nitelikli Kişisel Verilerin İşlenme Şartları KVKK’nın “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin birinci fıkra- sında kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güven- lik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel verileri olarak belirtilmiştir. Söz konusu veriler, KVKK’nın gerekçesinde de açıklandığı üzere, öğrenildiklerinde ilgili kişinin ayrımcılığa uğramasına ya da mağduriyet yaşamasına neden olabilecek nitelikteki veri- lerdir 145. Yine KVKK m. 6’da bu verilerin işlenme şartları düzenlenmiştir 146. Esasen KVKK m. 6’nın ilk hâlinin ikinci fıkrasında; “özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu”, üçüncü fıkrasında ise; “sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel verilerin işlenmesi faaliyetinin kanunlarda öngörülmüş olması hâlinde ilgili kişinin açık rızası olmaksızın işlenebileceği” ve “sağlık ve cinsel hayata ilişkin kişisel verilerin ise, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından ilgili kişinin açık rızası olmaksı- zın işlenebileceği” hükmüne yer verilmiştir. Ancak uygulamada yaşanan sorunlar dikkate alınarak, kişisel verilerin korunması alanında Avrupa Birliği müktesebatı, kamu ve özel sektör temsilcilerinin istekleri, bilişim teknolojilerindeki yenilikler ve uluslararası alanda benimsenen yeni yaklaşımlar doğ- rultusunda 12.03.2024 tarihli Resmî Gazete’de yayımlanan ve 01.06.2024 tarihinde yürürlüğe giren 7499 sayılı Kanun ile KVKK m. 6’da değişiklik yapılmıştır 147. Bu değişiklikle, özel nitelikli kişisel veriler arasındaki ayrım kaldırılmış, tüm özel nitelikli kişisel veriler için geçerli olacak şekilde veri işleme şartları yeniden düzenlenmiş ve ayrıca bu şartların sayısı artırılmıştır. Buna göre, özel nitelikli kişisel verilerin; “a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bü- tünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağ- lığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülük- lerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması”, hâlinde işlenmeleri mümkündür. Görüldüğü üzere KVKK m. 6’da sayı- lan şartların bazıları KVKK m. 5’te belirtilen şartlar ile örtüşmektedir. Zira KVKK’nın 6. maddesinin üçüncü fıkrasının (a), (b), (c), (ç) 148 ve (d) bentlerinde sayılan şartlar KVKK m. 5 kapsamında da sa- 145 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 78; DÜLGER, s. 109. 146 Ayrıca özel nitelikli kişisel verilerin işlenmesinde bakımından KVKK m. 4’te yer alan genel ilkeler de dikkate alınmalıdır. Veri işleme- nin hukuka uygun sayılabilmesi sadece KVKK’da belirtilen özel şartlara değil, aynı zamanda söz konusu genel ilkelere uygun olmasına bağlıdır. Bkz. YÜCEDAĞ, Genel İlkeler, s. 48; AYGÜN EŞİTLİ, s. 137. 147 KİŞİSEL VERİLERİ KORUMA KURUMU: Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, Kişisel Verileri Koruma Kuru- mu Yayınları, Ankara, 2025, s. 32. 148 KVKK m. 5/2-d’de yalnızca “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı öngörülmüşken, özel nitelikli kişisel verilerin işlenmesini düzenleyen m. 6/2-ç’de “ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması” şartı aranmaktadır. Bu düzenlemenin, özel nitelikli kişisel verilerin daha güçlü korunması gerektiği anlayışıyla uyumlu olduğu ifade edilmiş- tir. Bkz. TURAN BAŞARA, Gamze: “Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde Yapılan Değişiklik Bağlamında Özel Ni- telikli Kişisel Verilerin İşlenmesi”, Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2024, Cilt 28, Sayı, 4, s. 68. Ancak daha önce belirtildiği gibi, KVKK m. 5/2-d kapsamında alenileştirilmiş ve kamuoyuna sunulmuş kişisel verilerin hiçbir sınırlama olmak- Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 1001 Cilt: 11 • Sayı: 2 • Temmuz 2025 yılmıştır. Dolayısıyla KVKK m. 5 ile örtüşen bu düzenlemeler bakımından önceki açıklamalar geçer- lidir. Bununla beraber, KVKK m. 6/3’ün (e), (f) ve (g) bentlerinde özel nitelikli kişisel verilerin işlen- mesine özgü yeni şartlar öngörülmüştür 149. İlk olarak, KVKK m. 6/3-e bendi uyarınca, veri işleme faaliyeti; sır saklama yükümlülüğü bulunan kişiler ile yetkili kurum ve kuruluşlar tarafından, kamu sağlığının korunması, koruyucu hekimlik hizmetleri, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürü- tülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amaçlarıyla gerekli olduğu hâl- lerde gerçekleştirilebilir. Bu düzenlemeyle Genel Veri Koruma Tüzüğü’nün (GDPR) özel nitelikli kişisel verilerin işlenmesine ilişkin 9. maddesinin ikinci fıkrasının (h) bendiyle paralellik sağlanırken, KVKK m. 6’nın önceki hâli de büyük ölçüde korunmuştur. Buna göre, örneğin devlet politikası gereği yapılması zorunlu tutulan çocukluk çağı aşılarının aile hekimleri tarafından takip edilmesi, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması amacıyla sağlık verilerinin işlenmesi mümkündür 150. Yine KVKK m. 6/3-f uyarınca istihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanlarındaki hukuki yükümlü- lüklerin yerine getirilmesi için zorunlu olduğu durumlarda özel nitelikli kişisel verilerin işlenmesi mümkündür. Bu işleme faaliyeti, kanunlarda açıkça öngörülen ya da bir yönetmelik, yönerge, tebliğ hatta sözleşmeden kaynaklanan bir yükümlülüğe dayanabilir 151. Örneğin, 4857 sayılı İş Kanunu’nun “işçi özlük dosyası” başlıklı 75. maddesi kapsamında işveren tarafından çalışana ait özel nitelikli kişi- sel verilerin işlenmesi ya da Karayolu Taşıma Yönetmeliği’nin “şoför ve kuryelerde aranacak nitelik ve şartlar” başlıklı 34. maddesi kapsamında şoför ve kuryelerin özel nitelikli verilerinin işlenmesi mümkündür. Son olarak, KVKK m. 6/3-g ile Genel Veri Koruma Tüzüğü’nün (GDPR) 9. maddesinin ikinci fıkrasının (d) bendi göz önünde bulundurularak, ilgili veri sorumlularının karşılaştığı ve karşıla- şabileceği zorlukların aşılması amaçlanmıştır 152. Bu kapsamda, siyasi, felsefi, dini veya sendikal amaç- larla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluşların özel nitelikli kişisel verileri, an- cak kendi mevzuatlarına ve amaçlarına uygun şekilde, faaliyet alanlarıyla sınırlı olarak ve üçüncü kişilere açıklamamak koşuluyla işleyebilecekleri hükme bağlanmıştır. Örneğin, bir siyasi parti, engelli bir üyenin oy kullanabilmesini sağlamak amacıyla, kişinin engellilik durumuna ilişkin sağlık verisini tekerlekli sandalye temini için işlemesi durumunda bu işlem hukuka uygun kabul edilecektir 153. 3. KVKK Dışındaki Kanunlarda Öngörülen Hâller a. 5271 sayılı CMK Kapsamında Kişisel Verilerin İşlenmesi 5271 sayılı Ceza Muhakemesi Kanunu’nda (CMK) araştırma işlemleri, koruma tedbirleri ve delil değerlendirme araçları doğrultusunda kişisel verilerin işlenmesini mümkün kılan birçok düzenleme yer almaktadır 154. Bu işlemlerin hukuka uygun olması için kanunda bu konuda bir düzenleme olması, ka- nun hükmünde yer alan koşulların gerçekleşmiş olması ve bu çerçevede bir yetkinin doğması gerek- mektedir. Bununla birlikte, doğan bu yetkinin yalnızca kanunla çizilen sınırlar içinde ve usûlüne uy- gun şekilde kullanılması zorunludur 155. Örneğin, CMK m. 75’te “şüpheli veya sanığın beden muayene- si ve vücudundan örnek alınması”, m. 81’de “fizik kimliğin tespiti”, m. 134’te “bilgisayarlarda, bilgi- sızın işlenebileceği söylenemez. Kişisel veriler aleni hâle getirilmiş olsa da bu verilerin alenileştirme amacı ve bağlamı dışında işlenmesi hukuka uygun sayılmaz. Bu nedenle, ilgili kişinin alenileştirme iradesine dayanılarak gerçekleştirilen veri işleme faaliyetlerinde, verile- rin hangi amaçla kamuya açık hâle getirildiği ve bu amacın dışına çıkılıp çıkılmadığı değerlendirilmelidir. Bu bağlamda, KVKK m. 5/2- d ile m. 6/2-ç hükümlerinin birbirinden ayrışmadığı ve esasen örtüştüğü sonucuna varılabilir. 149 AYGÜN EŞİTLİ, s. 139, dn. 71. 150 KİŞİSEL VERİLERİ KORUMA KURUMU, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, s. 47. 151 KİŞİSEL VERİLERİ KORUMA KURUMU, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, s. 49. 152 KİŞİSEL VERİLERİ KORUMA KURUMU, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, s. 55. 153 KİŞİSEL VERİLERİ KORUMA KURUMU, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, s. 59. 154 ATAÇ, s. 127; MADEN, s. 155. 155 ATAÇ, s. 127. 1002 Mehmet GÜRLER sayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma”, m. 135’te “iletişimin tespiti, dinlenmesi ve kayda alınması”, m. 139’ta “gizli soruşturmacı görevlendirilmesi”, m. 140’ta “teknik araçlarla izleme tedbiri” düzenlemeleri yer almaktadır. Bu düzenlemeler ceza muhakemesinin amacı olan maddi gerçeğe ulaşılması için kişisel verilerin işlenmesini mümkün kılmaktadır. Bu gibi durum- larda kanunla verilen yetkiye dayanılarak kişisel veriler işlenebilir. b. 2559 sayılı PVSK Kapsamında Kişisel Verilerin İşlenmesi 2559 sayılı Polis Vazife ve Salâhiyet Kanunu’nda (PVSK) kişisel verilerin kaydedilmesine ilişkin hükümler yer almaktadır. Örneğin, PVSK m. 5’te “a) Gönüllü, b) Her çeşit silah ruhsatı, sürücü bel- gesi, pasaport veya pasaport yerine geçen belge almak için başvuruda bulunan, c) Başta polis olmak üzere, genel veya özel kolluk görevlisi ya da özel güvenlik görevlisi olarak istihdam edilen, ç) Türk vatandaşlığına başvuruda bulunan, d) Sığınma talebinde bulunan veya gerekli görülmesi hâlinde, ülkeye giriş yapan sair yabancı, e) Gözaltına alınan” kişilerden parmak izi alınacağı ve alınan parmak izi ile ilgili kişinin kimlik bilgilerinin bu amaca özgü sisteme kaydedilerek saklanacağı düzenlenmiştir. Ayrıca, gönüllüler hariç, PVSK m. 5’te belirtilen kişilerin fotoğraflarının da alınarak parmak izi ile birlikte kaydedileceği öngörülmüştür. Alınan parmak izi ve fotoğraflar ne zaman ve kim tarafından alındığı belirtilmek suretiyle bu amaca özgü sisteme kaydedilerek saklanmaktadır. Yine PVSK m. 4/A’da “Nüfusa kayıtlı olmadığı için kimliği tespit edilemeyen kişilerin nüfusa kayıtlarının temini için gerekli işlemler yapıldıktan sonra, 5 inci maddeye göre fotoğraf ve parmak izi tespit edilerek” kayda alınacağı düzenlenmiştir. Sisteme kayıtlı olan parmak izi ve fotoğrafların, ilgili kişinin ölümünden itibaren on yılın geçmesiyle ve her hâlde kayıt tarihinden itibaren en geç seksen yıl sonra silineceği hükme bağlanmıştır. Bununla birlikte, CMK m. 81’de sadece üst sınırı iki yıl veya daha fazla hapis cezasını gerektiren bir suç nedeniyle şüpheli veya sanığın kimliğinin teşhisinin gerekli olması hâlinde fotoğraf ve parmak izlerinin kaydedilebileceği ve kovuşturmaya yer olmadığı kararına itiraz süresinin dolması, itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip kesinleşmesi hâllerinde söz konusu kayıtların Cumhuriyet savcısının huzurunda derhâl yok edileceği düzenlenmişken; PVSK’nın ilgili maddelerinde herhangi bir suç şüphesi altında olmayan kişilerin verilerinin kaydedilmesine ve sak- lanmasına imkân tanınması eleştiriye değerdir 156. Yine PVSK’nın parmak izi ve fotoğraf alma nedenle- rini oldukça geniş şekilde düzenlemiş olması, toplumdaki hemen herkesin söz konusu verilerinin top- lanmasını mümkün kılmaktadır. Bu durum ise suç şüphesi altında bulunmayan kişilere ait kişisel veri- lerin kaydedilmesi ve saklanmasına yol açarak KVKK m. 4’te yer alan amaç sınırlılığı ve ölçülülük ilkelerine açıkça ters düşmektedir 157. Bu bağlamda, kanun koyucunun aynı konuda düzenleme içeren farklı kanunlarda böylesine çelişkili yaklaşımlar benimsemesi, hukuki öngörülebilirlik ve tutarlılık açısından izaha muhtaçtır. c. 5275 sayılı CGTİK Kapsamında Kişisel Verilerin İşlenmesi 5275 sayılı Ceza ve Güvenlik Tedbirlerinin İnfazı Hakkında Kanun (CGTİK) kapsamında kişisel verilerin belirlenen usûl, yetki ve sınırlar çerçevesinde işlenmesi hukuka uygundur. Zira CGTİK m. 21’de “... (2) Ceza infaz kurumuna alınan hükümlülerin adı ve soyadı, işledikleri suç, cezalarının türü ve süresi, mahkûmiyet ilâmının tarih ve numarası ve infaza başlandığı gün hükümlü defterine kayıt olunur. Bu defterdeki sıra numarası, hükümlünün numarasını oluşturur. (3) Tanıya yönelik olarak 156 KARAKEHYA, Hakan: Ceza Muhakemesi Hukuku, 4. Baskı, Nisan Kitabevi, Eskişehir, 2022, s. 422. 157 Günümüzde bireyler üzerindeki gözetim, yalnızca devletin yürüttüğü bir faaliyet olmaktan çıkmış; özel sektörün de aktif biçimde dahil olduğu kapsamlı bir izleme ağına dönüşmüştür. Bireylerin çeşitli bilgileri toplanmakta, bu veriler saklanmakta ve sistematik biçimde sı- nıflandırılmaktadır. Bu çerçevede, gözetim kavramının tarihsel gelişimine, modern toplumda devletin gözetim uygulamalarına ve bu gö- zetim ihtiyacını doğuran temel nedenlere değinmek; ayrıca bilgi ile iktidar arasındaki ilişki bağlamında bazı yasal düzenleme ve uygu- lamaları ele almak önem arz etmektedir. Bu konuda ayrıntılı bilgi için bkz. KARAKEHYA, Hakan: “Gözetim ve Suça Mücadele: Göze- timin Tarihsel Gelişimi ile Yakın Dönemde Gerçekleştirilen Hukuki Düzenleme ve Uygulamalar Bağlamında Bir Değerlendirme”, An- kara Üniversitesi Hukuk Fakültesi Dergisi, 2009, Cilt 58, Sayı 2, s. 319-358. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 1003 Cilt: 11 • Sayı: 2 • Temmuz 2025 hükümlülerin parmak ve avuç içi izleri alınır, fotoğrafları çekilir, kan grupları, vücutlarının dış özel- likleri ve ölçüleri belirlenir. Kayıt altına alınan söz konusu bilgiler hükümlünün kişisel dosyasında veya elektronik ortamda saklanır. Bu bilgiler, Kanunun zorunlu kıldığı hâller dışında hiçbir kurum ve kişiye verilemez.” düzenlemesi yer almaktadır. Bu düzenleme doğrultusunda söz konusu kişisel verile- rin kanunun öngördüğü şekilde kaydedilmesi ve saklanması suç teşkil etmez. d. Diğer Kanunlar Kişisel verilerin işlenmesini düzenleyen hukuki çerçeve oldukça geniş olup, yukarıda örnek ola- rak verilen hükümlerin yanı sıra, farklı kanunlarda da kişisel verilerin işlenmesini öngören birçok dü- zenleme bulunmaktadır. Ancak hukuk düzeni içinde yer alan ve kişisel verilerin işlenmesini hukuka uygun hâle getiren tüm kanunları ve ilgili hükümleri tek tek tespit etmek kolay değildir. Bu tür düzen- lemeler hukuk sisteminin farklı alanlarına dağılmış olduğundan, her somut olay bağlamında ilgili ka- nun hükümlerinin titizlikle değerlendirilmesi gerekir. Bu nedenle, hâkimin somut olaya özgü olarak kişisel verilerin işlenmesini hukuka uygun kılabilecek hukuk alanlarını ve ilgili mevzuatı dikkatle incelemesi şarttır. Nitekim kanun koyucu da TCK m. 135 ile m. 136’da “hukuka aykırı olarak” ifade- sine yer vererek bu tür fiilleri hukuka uygun hâle getiren bir sebebin bulunabileceği konusunda hâkimi uyarmakta ve somut olay doğrultusunda ilgili olabilecek mevzuata dikkat çekmektedir. Yukarıda sınırlı olarak sayılanlar dışında 1593 sayılı Umumi Hıfzıssıhha Kanunu, 213 sayılı Ver- gi Usûl Kanunu, 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 4857 sayılı İş Kanunu, 5070 sayılı Elektronik İmza Kanunu, 5352 sayılı Adli Sicil Kanunu, 5490 sayılı Nüfus Hizmetleri Kanunu, 5502 sayılı Sosyal Güvenlik Kanunu, 5809 sayılı Elektronik Haberleşme Kanunu kişisel verilerin işlenmesine ilişkin hükümler içeren diğer kanunlara örnek olarak verilebilir 158. Ayrıca belirtmek gerekir ki, kişisel verilere ilişkin tüm yasal düzenlemelerin, Anayasa’nın 20. maddesi ve KVKK’nın temel ilkeleriyle uyumlu olması icap etmektedir. Kanun koyucunun farklı mevzuatlarda aynı konuya ilişkin olarak ölçüsüz ve birbiriyle çelişen düzenlemeler öngörmesi, hukuk devleti ilkesinin vazgeçilmez unsurlarından biri olan hukuki öngörülebilirlik ilkesini de ciddi biçimde zedelemektedir. Bu nedenle, kişisel verilerin korunması gibi temel hak ve özgürlüklerle doğrudan ilişkili alanlarda, yasal düzenlemeler arasında normatif uyumun ve ilkeler düzeyinde tutarlılığın sağ- lanması bir zorunluluktur. SONUÇ Kişisel veri, belirli veya belirlenebilir bir kişiye ait her türlü bilgidir. KVKK m. 17/1’de kişisel verilere ilişkin suçlarda TCK’nın 135 ila 140. maddelerinin uygulanacağı belirtilmiş, böylece KVKK ile TCK arasında doğrudan bir bağlantı kurulmuştur. TCK’da kişisel verilerin kaydedilmesi (m. 135), verileri hukuka aykırı olarak verme veya ele geçirme (m. 136) ve verileri yok etmeme (m. 138) suçları yer almaktadır. KVKK yürürlüğe girmeden önce TCK’daki kişisel verilere ilişkin suçların konusunun kapsamı hususunda bazı tereddütler ortaya çıkmıştır. Zira bu dönemde kişisel veri kavramını tanımla- yan herhangi bir kanun hükmü mevcut değildir. Yargıtay, herkesçe bilinen bilgilerin kişisel veri sayı- lamayacağı yönünde kararlar vermişse de KVKK’nın yürürlüğe girmesinin ardından bu yaklaşımını değiştirmiştir. Günümüzde, Yargıtay, gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğini, bu nedenle herkes tarafından bilinen veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgilerin de kişisel verilere ilişkin suçlar kapsamında korunduğunu kabul etmek- tedir. Ancak bu yaklaşım, TCK’daki kişisel verilere ilişkin suçların kapsamını fazlasıyla genişleterek hem uygulamada belirsizlik yaratabilir hem de neredeyse her veri işleme eyleminin suç sayılması gibi sakıncalı sonuçlara yol açabilir. Bu nedenle, somut olayın özelliklerine göre değerlendirme yapılmalı, 158 KOCA / ÜZÜLMEZ, Kişisel Verilerin Kaydedilmesi, s. 83-85; DÜLGER, s. 146; ATAÇ, s. 146; MADEN, s. 166. 1004 Mehmet GÜRLER hukuka uygunluk sebepleri dikkatle araştırılmalıdır. Nitekim, Yargıtay, her somut olayda hukuka uy- gunluk nedenlerinin olup olmadığının özenle incelenmesi gerektiğini istikrarla vurgulamaktadır. Ka- nun koyucu da TCK m. 135 ve 136’da “hukuka aykırı olarak” ifadesine yer vererek, hukuka uygunluk değerlendirmesinin bu suçlar açısından önemine işaret etmektedir. Dolayısıyla, TCK düzenlenmesi ve Yargıtay uygulaması gereği, kişisel verilere ilişkin suçlarda özellikle KVKK başta olmak üzere ilgili mevzuattaki hukuka uygunluk nedenlerinin titizlikle incelenmesi elzemdir. Kişisel veriler üzerinde gerçekleştirilen her türlü işlemi hukuka uygun hâle getiren iki sebep bu- lunmaktadır. Bunlar; ilgili kişinin açık rızası ve kanunun öngördüğü hâllerdir. Bunlar dışında bir hu- kuka uygunluk sebebinin kabulüne Anayasa’nın “ancak” ifadesi izin vermemektedir Zira Anayasa’nın 20. maddesinin üçüncü fıkrasında bu husus açıkça düzenlenmiş ve “Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir.” hükmüne yer verilmiştir. KVKK’nın 5. maddesinde de bu tekrarlanmış ve kişisel verilerin işlenmesi için açık rıza veya kanuni bir dayanağın bulunması zorunluluğu getirilmiştir. Böylece hem Anayasa hem de KVKK kişisel verilerin korunması hususunda güçlü bir hukuki çerçeve oluşturmuştur. Bu çerçevede, ilk olarak, ilgili kişinin açık rızası kişisel verilerin işlenmesini hukuka uygun hâle getirir. Bu husus Anayasa m. 20/3’ün yanı sıra KVKK m. 5/1’de de açık şekilde düzenlenmiştir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye daya- nan ve özgür iradeyle açıklanan rıza demektir. Ayrıca açık rızanın tereddüde yer bırakmayacak açık- lıktaki bir beyan yoluyla ya da açık bir onay eylemiyle verilmesi gerekmektedir. Bununla beraber kişi- sel verilerin işlenmesine bir kere rıza verilmiş olması, bundan böyle bu verilerin işlenmesine hiçbir şekilde müdahale edilemeyeceği anlamına gelmemektedir. Kişi açık rızayı dilediği zaman geri alma hakkına sahiptir. İkinci olarak, KVKK’nın “kişisel verilerin işlenme şartları” başlıklı 5. maddesinde kişinin açık rı- zası olmaksızın kişisel verilerin işlenmesini mümkün kılan hâller düzenlenmiştir. KVVK m. 5/2’e göre “a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya ko- runması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar verme- mek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür. KVKK m. 6’da ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmiştir. Anılan maddenin (e), (f) ve (g) bentlerinde KVKK m. 5’ten farklı olarak özel nitelikli kişisel verilerin işlenmesine özgü yeni şartlar öngörülmüş- tür. Bununa yanı sıra, KVKK m. 5/2-a’da yer alan “kanunlarda açıkça öngörülmesi” ibaresi gereği KVKK dışındaki bir kanunda açık bir hüküm bulunması veya açık bir hükümle ikincil mevzuata yön- lendirme yapılması hâlinde kişisel verilerin işlenmesi mümkündür. Bu kapsamda, kanunda bu konuda bir düzenleme olması, kanun hükmünde yer alan koşulların gerçekleşmiş olması ve böylece bir yetki- nin doğması gerekmektedir. Bununla beraber doğan bu yetkinin de sınırları içinde ve usûlünce kulla- nılması zorunludur. Örneğin, 5271 sayılı CMK, 2559 sayılı PVSK, 5275 sayılı CGTİK, 1593 sayılı Umumi Hıfzıssıhha Kanunu, 213 sayılı Vergi Usûl Kanunu, 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 4857 sayılı İş Ka- nunu, 5070 sayılı Elektronik İmza Kanunu, 5352 sayılı Adli Sicil Kanunu, 5490 sayılı Nüfus Hizmet- leri Kanunu, 5502 sayılı Sosyal Güvenlik Kanunu, 5809 sayılı Elektronik Haberleşme Kanunu’nda kişisel verilerin işlenmesine ilişkin hükümler yer almaktadır. Sonuç itibarıyla, kişisel verilere yönelik fiiller teknolojik gelişmelerin etkisiyle oldukça çeşitli şe- killerde ortaya çıkabilmektedir. Bu nedenle, her somut olayda fiilin niteliği, işlenme biçimi ve bağlamı Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 1005 Cilt: 11 • Sayı: 2 • Temmuz 2025 dikkate alınarak hangi hukuka uygunluk sebebinin geçerli olabileceği titizlikle değerlendirilmelidir. Zira kişisel verilerin hukuka aykırı şekilde işlenip işlenmediği; verinin hangi yöntemle elde edildiği, hangi amaçla ve ne ölçüde kullanıldığı, üçüncü kişilerle paylaşılıp paylaşılmadığı, ilgili kişinin açık rızasının bulunup bulunmadığı ve konuyla ilgili açık bir kanuni düzenlemenin olup olmadığı gibi çe- şitli ölçütler dikkate alınarak tetkik edilmelidir. Bu kapsamda bir hukuka uygunluk sebebinin bulun- ması hâlinde söz konusu fiili suç teşkil etmeyecektir. Dolayısıyla fiilin gerçekleşmiş olup olmadığı kadar, aynı zamanda bu fiilin hukuka uygunluk sebepleri kapsamında kalıp kalmadığı da son derece önemlidir. 1006 Mehmet GÜRLER KAYNAKÇA AKDAĞ, Hale: Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara, 2013. AKGÜL, Aydın: “Kişisel Verilerin Korunmasında Yeni Bir Hak: Unutulma Hakkı ve AB Adalet Divanı’nın Google Kararı”, Türkiye Barolar Birliği Dergisi, 2015, Sayı 116, s. 11-38. ARTICLE 29 DATA PROTECTION WORKING PARTY: Opinion 06/2014 on the Notion of Legitimate Inte- rests of the Data Controller under Article 7 of Directive 95/46/EC, Brussels, 2014. ARTUK, M. Emin / GÖKCEN, Ahmet / ALŞAHİN, M. Emin / ÇAKIR, Kerim: Ceza Hukuku Genel Hükümler, 15. Baskı, Adalet Yayınevi, Ankara, 2021. ATAÇ, Asiye Selcen: Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135), Filiz Kitabevi, İstanbul, 2023. AVCI BRAUN, Cihan: “Kişisel Verilerin İşlenmesinde Rıza”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, 2018, Cilt 15, Sayı 1, s. 13-33. AYGÜN EŞİTLİ, Ezgi: “Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilere Yönelik İhlallere Karşı Türk Ceza Kanunu’nda Düzenlenen Suçlar”, Başkent Üniversitesi Hukuk Fakültesi Dergisi, 2024, Cilt 10, Sayı 1, s. 123-167. BÖREKÇİ, Eşref Barış: Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136), On İki Levha Yayıncılık, İstanbul, 2020. ÇAKIR, Kerim: “Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)”, Antalya Bilim Üniversitesi Hukuk Fakül- tesi Dergisi, 2020, Cilt 8, Sayı 16, s. 569-596. ÇELİKEL, Serdar: “Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direk- tif ve GDPR’la Karşılaştırmalı Olarak İncelenmesi”, Uyuşmazlık Mahkemesi Dergisi, 2021, Cilt 9, Sayı 17, s. 161-190. DÜLGER, Murat Volkan: “Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında Kişisel Verilerin Ceza Normlarıyla Korunması”, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi, 2016, Cilt 3, Sayı 2, s. 101-167. EUROPEAN DATA PROTECTION BOARD: Guidelines 05/2020 on Consent Under Regulation 2016/679, 2020. GÖKTÜRK, Neslihan: “Suçun Yasal Tanımında Yer Alan Hukuka Aykırılık İfadesinin İcra Ettiği Fonksiyon”, İnönü Üniversitesi Hukuk Fakültesi Dergisi, 2016, Cilt 7, Sayı 1, s. 407-450. HAKERİ, Hakan: “Verileri Hukuka Aykırı Olarak Verme (Sır Saklama Yükümlülüğünün İhlali) Suçu”, Tıbbi Müdahaleden Kaynaklanan Hukuki Sorumluluk Sempozyumu, Mersin Barosu Yayınları, Mersin, 2009, s. 126-131. HOOFNAGLEA, Chris Jay / van der SLOOTB, Bart / BORGESIUS, Frederik Zuiderveen: “The European Un- ion General Data Protection Regulation: What it is and what it means”, Information & Communications Technology Law, 2019, Cilt 28, Sayı 1, s. 65-98. HORNUNG, Gerrit / SCHNABEL, Christoph: “Data protection in Germany I: The population census decision and the right to informational self-determination”, Computer Law & Security Review, 2009, Cilt 25, Sayı 1, s. 84-88. İÇEL, Kayıhan: “Ceza Hukuku Açısından Kişisel Verilerin Korunmasında Kişisel Veri ve Hukuka Aykırılık Kavramları”, İstanbul Barosu Dergisi, 2020, Cilt 94, Sayı 2, s. 15-23. KARAKEHYA, Hakan: “Gözetim ve Suça Mücadele: Gözetimin Tarihsel Gelişimi ile Yakın Dönemde Gerçek- leştirilen Hukuki Düzenleme ve Uygulamalar Bağlamında Bir Değerlendirme”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 2009, Cilt 58, Sayı 2, s. 319-358. KARAKEHYA, Hakan: Ceza Muhakemesi Hukuku, 4. Baskı, Nisan Kitabevi, Eskişehir, 2022. KETİZMEN, Muammer: Türk Ceza Hukukunda Bilişim Suçları, Adalet Yayınevi, Ankara, 2008. KİŞİSEL VERİLERİ KORUMA KURUMU: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi, Kişisel Verileri Koruma Kurumu Yayınları, Ankara, 2025. Türk Ceza Kanunu’ndaki Kişisel Verilerin Korunmasına İlişkin Suçlar Bakımından Hukuka Uygunluk Sebepleri 1007 Cilt: 11 • Sayı: 2 • Temmuz 2025 KİŞİSEL VERİLERİ KORUMA KURUMU: Kişisel Verilerin İşlenme Şartları, Ankara. KİŞİSEL VERİLERİ KORUMA KURUMU: Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler, Ankara. KİŞİSEL VERİLERİ KORUMA KURUMU: Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, Kişisel Verileri Koruma Kurumu Yayınları, Ankara, 2025. KOCA Mahmut / ÜZÜMEZ İlhan: Ceza Hukuku Özel Hükümler, 9. Baskı, Adalet Yayınevi, Ankara, 2023 (Özel Hükümler). KOCA, Mahmut / ÜZÜLMEZ, İlhan: “Kişisel Verilerin Kaydedilmesi Suçu (TCK m. 135)”, Dokuz Eylül Üni- versitesi Hukuk Fakültesi Dergisi, 2019, Cilt 21, Prof. Dr. Durmuş Tezcan’a Armağan Özel Sayısı, s. 69-93 (Kişisel Verilerin Kaydedilmesi). KOCA, Mahmut / ÜZÜLMEZ, İlhan: Ceza Hukuku Genel Hükümler, 15. Baskı, Seçkin Yayıncılık, Ankara, 2022 (Genel Hükümler). KUNEVA, Meglena: “Keynote Speech-Roundtable on Online Data Collection, Targeting and Profiling”, Brus- sels, 2009. KÜZECİ, Elif: Kişisel Verilerin Korunması, 4. Baskı, On İki Levha Yayıncılık, İstanbul, 2024. MADEN, Mehmet: Ceza Hukukunda Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara, 2021. ORHAN, Uğur: “Kişisel Verilerin Korunmasına İlişkin Türk Ceza Hukuku Düzenlemeleri Üzerine Değerlen- dirmeler”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 2021, Cilt 70, Sayı 4, s. 1359-1384. ÖNOK, Murat: “Kişisel Verilerin Korunması Bağlamında “Unutulma Hakkı” ve Türkiye Açısından Değerlen- dirmeler”, İstanbul Kültür Üniversitesi Hukuk Fakültesi Dergisi, 2017, Cilt 16, Sayı 1, s. 155-188. ÖZBEK, Veli Özer / DOĞAN, Koray / BACAKSIZ, Pınar: Türk Ceza Hukuku Özel Hükümler, 16. Baskı, Seç- kin Yayıncılık, Ankara, 2021. PESCHKE, Lutz: “The Web Never Forgets!: Aspects of the Right to be Forgotten”, Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2015, Cilt 19, Sayı 1, s. 151-160. POLATER, Salih: “Kişisel Verilerin Reklam Amaçlı İşlenmesinde Hukuka Uygunluk Sebepleri”, Kişisel Verile- ri Koruma Dergisi, 2019, Cilt 1, Sayı 1, s. 1-20. SAAT, Dursun: “Kişisel Verilerin Korunması Kanunu’nda Öngörülen Meşru Menfaat Kavramının Ticaret Şir- ketleri Bakımından Değerlendirilmesi”, Anadolu Üniversitesi Hukuk Fakültesi Dergisi, 2024, Cilt 10, Sayı 2, s. 617-638. SELEK, Ozan: “Genel Veri Koruma Tüzüğü Işığında Kişisel Verilerin İşlenmesinde Rıza Açıklaması”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2019, Cilt 21, Sayı 2, s. 911-951. SINAR, Hasan: “Kişisel Verileri Hukuka Aykırı Olarak Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136)”, Kişisel Verileri Koruma Dergisi, 2020, Cilt 2, Sayı 1, s. 32-62. SOLOVE, Daniel J.: “Privacy Self-Management and the Consent Dilemma”, Harvard Law Review, 2013, Cilt 126, Sayı 7, s. 1880-1903. SOYASLAN, Doğan: Ceza Hukuku Özel Hükümler, 13. Baskı, Yetkin Yayınları, 2020. TEZCAN, Durmuş: “Özel Hayat Açısından Kişisel Verilerin Korunması”, İstanbul Kültür Üniversitesi Hukuk Fakültesi Dergisi, 2017, Cilt 16, Sayı 1, s. 27-25 (Özel Hayat Açısından Kişisel Veriler). TEZCAN, Durmuş: “Özel Hayatın Gizliliğini İhlal ve Kişisel Verilerin Kaydedilmesi Suçu ile İlgili Bazı Göz- lemler”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, 2013, Cilt 71, Sayı 1, s. 1159-1164 (Kişisel Veri- lerin Kaydedilmesi). TOPAÇ, Tahir Hami: 6698 Sayılı Kanun Kapsamında Kişisel Verilere İlişkin Suçlar, Doktora Tezi, Selçuk Üni- versitesi Sosyal Bilimler Enstitüsü, Konya, 2022. TURAN BAŞARA, Gamze: “Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde Yapılan Değişiklik Bağ- lamında Özel Nitelikli Kişisel Verilerin İşlenmesi”, Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2024, Cilt 28, Sayı, 4, s. 51-80. 1008 Mehmet GÜRLER YÜCEDAĞ, Nafiye: “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”, Kişisel Verileri Koruma Dergisi, 2019, Cilt 1, Sayı 1, s. 47-63 (Genel İlkeler). YÜCEDAĞ, Nafiye: “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, 2017, Cilt 75, Sayı 2, s. 765-789 (Hukuka Uygunluk Sebepleri).