TCK m.138 Kapsamında Kişisel Verileri Yok Etmeme Suçu ve Analizi

Türk Ceza Kanunu (TCK) madde 138 uyarınca düzenlenen kişisel verileri yok etmeme suçu, günümüzde gelişen teknolojiyle birlikte dijitalleşen dünyada kişisel verilerin korunmasını isteme hakkının en güçlü teminatlarından biridir. Kanun koyucu, yasal sürelerin dolmasına veya işlenme amacının ortadan kalkmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların bu görevlerini ihmal etmelerini suç olarak tanımlamış ve cezai yaptırıma bağlamıştır. Bu düzenleme ile temel olarak bireylerin anayasal bir hak olan kişisel verilerinin korunması hedeflenmektedir. Yargıtay kararlarında da vurgulandığı üzere, madde metninde yalnızca "veri" ifadesi geçse de kanunun asıl koruma alanının kişisel veriler olduğu tartışmasızdır. Soruşturulması ve kovuşturulması şikâyete tabi olmayan, dolayısıyla re'sen takip edilen bu suç tipi, kişisel veri ihlallerine karşı etkili bir hukuki koruma kalkanı oluşturmaktadır. Bu makalede, bir KVKK avukatı perspektifiyle TCK m.138'in unsurlarını ve uygulamadaki etkilerini detaylıca ele alacağız.

Suçun Maddi Unsurları: Fail, Mağdur ve Suçun Konusu

TCK m.138'de düzenlenen bu suç, fail açısından bir özgü suç niteliği taşımaktadır. Suçun faili herkes olamaz; yalnızca kişisel verileri yok etmekle yükümlü olan kişi fail sıfatını haiz olabilir. Bu kişinin kamu görevlisi veya veri sorumlusu olması şart değildir; yasal olarak yok etme yükümlülüğünün kendisine verilmiş olması fail sayılması için yeterlidir. Suçun mağduru ise, sistemde yok edilmeyen kişisel verileri bulunan gerçek kişidir. Tüzel kişilere ait veriler kişisel veri sayılmadığından, tüzel kişiler bu suçun mağduru olamazlar; ancak suçtan zarar gören sıfatıyla davaya katılabilirler. Suçun konusu ise kanuna uygun olarak kaydedilmiş olmasına rağmen, kanunların veya yönetmeliklerin belirlediği sürenin geçmesiyle birlikte ortadan kaldırılması gereken kişisel verilerdir.

Suçun Fiil Unsuru ve İhmali Hareket

Bu suçun oluşmasına yol açan fiil, kanunların belirlediği sürenin geçmesine rağmen verileri yok etmeme eylemidir. Kanun yapısı gereği bu eylem, bir şeyi yapmama şeklinde gerçekleştiği için suç, bir gerçek ihmali suç özelliği gösterir. İlgili yönetmelikler ışığında değerlendirildiğinde, yok etmeme kavramı geniş yorumlanmalı; verilerin silinmemesi veya anonim hâle getirilmemesi de bu fiil kapsamında suç teşkil eden hareketler olarak kabul edilmelidir. Suçun tamamlanması için bir tehlikenin ya da zararın doğmasına gerek yoktur; bu bağlamda bir soyut tehlike suçudur. İstisnai olarak, verileri otomatik silecek bir yazılımın fail tarafından durdurulması gibi durumlarda suç, icrai bir hareketle de işlenebilir.

Suçun Manevi Unsuru ve Hukuka Aykırılık

Kişisel verileri yok etmeme suçu, taksirle işlenemez; yalnızca kasten işlenebilen bir suçtur. Suçun oluşabilmesi için failin, elindeki verileri yok etme yükümlülüğü altında olduğunu bilmesi ve bilerek ve isteyerek yasal süreler geçmesine rağmen bu verileri yok etmekten kaçınması gerekir. Suçta genel kast yeterli görülmekte olup, özel bir saik aranmaz. Hukuka aykırılık boyutu incelendiğinde ise, diğer kanunlarda verilerin saklanmasına ilişkin özel bir yasal yükümlülüğün bulunması bir hukuka uygunluk sebebi oluşturur. Ayrıca, veri sahibinin yani ilgili kişinin açık rızasının bulunması da öğretideki baskın ve katıldığımız görüşe göre eylemi hukuka uygun hâle getirir ve suç oluşmasını engeller.

Suçun Özel Görünüş Biçimleri ve İçtima

Özgü bir ihmali suç olması sebebiyle, kişisel verileri yok etmeme suçuna teşebbüs mümkün değildir; fail yükümlülüğünü yerine getirmediği an suç tamamlanmış olur. İştirak açısından, yalnızca yok etme görevini üstlenen kişiler müşterek fail olabilir, diğer kişiler ise azmettiren veya yardım eden olarak sorumlu tutulabilir. Suç, aynı mağdura karşı farklı tarihlerde birden fazla kez işlenirse veya tek bir fiille birden fazla mağdurun verisi yok edilmezse zincirleme suç hükümleri uygulanır. Eğer fail hem verileri yok etmez hem de başkasına aktarırsa, bu durumda TCK m.136 kapsamında verileri hukuka aykırı olarak verme suçu ile gerçek içtima hükümleri çerçevesinde her iki suçtan ayrı ayrı cezalandırılmalıdır.

Veri Yok Etme Sürelerine İlişkin Kanuni Düzenlemeler

Verilerin hangi süreler sonunda yok edileceği, kişisel verinin türüne ve ilgili yasal dayanağa göre farklılık gösterir. Veri sorumlusunun yok etme yükümlülüğünü belirleyen bazı özel kanuni süreler aşağıdaki gibi özetlenebilir:

• CMK (İletişimin Denetlenmesi): Kovuşturmaya yer olmadığı kararı sonrası veya dinleme içeriğinin suçla bağlantısı olmadığında kayıtlar en geç 10 gün içinde yok edilir.
• PVSK (Polis Vazife ve Salahiyet Kanunu): Alınan parmak izi ve fotoğraflar gibi veriler, ilgilinin ölümünden itibaren 10 yıl, her hâlükârda kayıt tarihinden itibaren 80 yıl geçtikten sonra sistemden silinir.
• 5651 Sayılı Kanun: Çevrimiçi ziyaretçilere ve şirket internet ağına ilişkin trafik bilgileri 2 yıllık bir yok etme süresine tabidir.
• 213 Sayılı Vergi Usul Kanunu: Vergisel kayıtlara ilişkin tüm kişisel veriler için saklama süresi bittikten sonra 5 yıllık imha süresi öngörülmüştür.

Yukarıdaki yasal sürelere uyulmaması durumunda yükümlü olan fail, doğrudan TCK m.138 yaptırımları ile karşı karşıya kalacaktır.

Nitelikli Hâl, Yaptırım ve Görevli Mahkeme

Kişisel verileri yok etmeme suçunun temel şekli için TCK m.138/1 uyarınca bir yıldan iki yıla kadar hapis cezası öngörülmüştür. Suçun yaptırımı, yok edilmesi gereken kişisel verinin yasal dayanağına göre ağırlaşabilir. TCK m.138/2 fıkrasında, suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması gereken veriler olması durumu suçun nitelikli hâli olarak düzenlenmiştir. Bu durumda verilecek ceza bir kat artırılır. Suç re'sen takip edilen bir suç olup, şikâyet, uzlaştırma veya ön ödeme kurallarına tabi değildir. Yetkili ve görevli yargı mercii, suça konu verilerin bulunduğu yer Asliye Ceza Mahkemesi'dir.