Kişisel Verileri Yok Etmeme Suçu

Giriş

Hızla gelişen teknoloji ile birlikte günümüz dijital çağında kişisel verilerin ne kadar önemli olduğuna ve korunmasına ilişkin gereklilikler giderek daha fazla gündelik yaşamımızda yer almakta olup, kişisel verilerin korunması hususu özel hayatın gizliliği ve birey güvenliğinin sağlanması bakımından en önemli temel unsurlardan bir tanesi olarak değerlendirilmektedir. Bu bağlamda kişisel verilerin işlenmesi, muhafaza edilmesi, korunması ve imhası ile ilgili yasal düzenlemelerin büyük önem taşımakta olduğu karşı konulmaz bir gerçekliktir.

Türk Hukuk Sistemi içerisinde kişisel verilere ilişkin ilk yasal düzenleme olan 6698 sayılı “Kişisel Verilerin Korunması Kanunu (KVKK)” 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. 6698 sayılı KVKK’nın hukuk sistemimiz içerisinde düzenlemesinin temel amacı, uluslararası regülasyonlara uyumluluk sağlanmasının yanı sıra kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, kişilerin Anayasa ile güvence altına alınan temel hak ve özgürlüklerini korumak ve kişisel verilerin işleyen gerçek ve tüzel kişi veri sorumlularının yükümlü olacakları usul ve esasların neler olacağını belirlemektir.

Kişisel verilerin işlenmesi, muhafaza edilmesi ve korunmasının ayrı olarak kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde işlenen verilere ne olacağı hususu büyük önem arz etmektedir. 6698 sayılı KVKK’nın 7. Maddesi ve ilgili yasal mevzuat gereğince kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya verileri işlenen ilgili kişinin talebi üzerine, kişisel verilerin veri sorulusu tarafından verilerin imha edilmesi gerekmektedir.

5237 sayılı Türk Ceza Kanunu’nun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” ın düzenlendiği dördüncü bölümünde yer alan madde 135 ve devamı maddelerinde kişisel verilere ilişkin suç tipleri düzenlenmiş olmakla birlikte, 138. maddesinde ise “Verileri Yok Etmeme Suçu” düzenlenmiştir.

Bu çalışmamızda öncelikli olarak 5237 sayılı TCK’nın 138. Maddesinde düzenlenen “Verileri Yok Etmeme Suçu” üzerinde durulacak olmakla birlikte, öncelikle kişisel verilerin ne anlama geldiği ve hangi koşullarda işlendiği üzerinde durulacak, devamında ise bu süreçte alınması gereken önlemlerin neler olduğuna kısaca değinilecektir. Son olarak ise 5237 sayılı TCK’nın 138. Maddesinde düzenlenen “Verileri Yok Etmeme Suçu”’nun hukuki mahiyeti üzerinde durulacaktır.

A.     KİŞİSEL VERİ KAVRAMI VE KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel veri kavramı basit bir şekilde tanımlanacak olursa kişiye ilişkin veri veya bilgilerdir. 5237 sayılı Türk Ceza Kanunu’nun 135. Maddesinin gerekçesinde ise kişisel veri; “gerçek kişi ile ilgili her türlü veri olarak kabul edilmelidir” şeklinde ayrıca belirtilmiştir. (Türk Ceza Kanunu Tasarısı ve Adalet Komisyonu Raporu, 2003)

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinin 1. fıkrasının (d) bendinde ise kişisel veri kavramı; “kimliği belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmış bulunmaktadır.

6698 sayılı KVKK’nın yürürlüğe girmesi ile birlikte; gerçek kişilere ait olan kişisel verilerin kaydedilmesi, işlenmesi, muhafaza edilmesi, korunması ve imha edilmesi vb. durumlara ilişkin olarak geniş kapsamlı düzenlemeler ve yükümlülükler getirilmiş bulunmaktadır. Bu kanunun temel amacı, uluslararası regülasyonlara uyumluluk sağlanmasının yanı sıra kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, kişilerin Anayasa ile güvence altına alınan temel hak ve özgürlüklerini korumak ve kişisel verilerin işleyen gerçek ve tüzel kişi veri sorumlularının yükümlü olacakları usul ve esasların neler olacağını belirleyerek objektif bir norma oturtulmasıdır.

Kişisel verilerin işlenmesi kavramı ise; 6698 sayılı KVKK’nın 3. Maddesinin 1. Fıkrasının

(e ) bendinde; “kişisel verilerin tamamen veya kısmen otomatik ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydı ile otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü eylem” şeklinde tanımlanmıştır. Kişisel verilerin işlenmesi kavramı, söz konusu bu verilerin elde edilmesinden başlayarak veriler üzerinden gerçekleştirilen depolama, değiştirme, düzenleme, silme, yok etme ve üçüncü kişilere aktarmada dahil olmak üzere tüm işlemleri kapsamaktadır.  (Yıldız, Ankara, 2022, s.34)

            6698 sayılı yasanın 4. maddesinde kişisel verilerin ancak ve ancak 6698 sayılı yasa kapsamında ya da diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği düzenlenmiş olmakla birlikte, devamında kişisel veriler işlenirken aynı zamanda hangi ilkelere uyulmasının zorunlu olduğu da açıklanmıştır. Buna göre; kişisel veriler ancak ve ancak hukuka ve dürüstlük kurallarına uygun olarak, doğru ve güncel şekilde, belirli, açık ve meşru amaçlar dahilinde, işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olacak şekilde ve mevzuatta öngörülen veya işlendikleri ama için gerekli süre kadar muhafaza edilmek suretiyle işlenebilir.

Yine 6698 sayılı yasanın 5. maddesinde kişisel verilerin hangi şartlar dahilinde işlenebilecek olduğu da hüküm altına alınmıştır. Buna göre kişisel veriler; kural olarak ancak ilgili kişinin açık rızası alınmak kaydı ile işlenebilir. Ancak; kişisel veriler, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeni ile rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifası ile doğrudan ilgili olması kaydıyla; sözleşmenin taraflarına ait kişisel verilerinin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde istisnai olarak kişisel veri sahibinin açık rızasına başvurulmadan işlenebilmektedir. 

B.      Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesi

6698 sayılı KVKK’nın 7. maddesi ve ilgili yasal mevzuat gereğince yine yasanın  dördüncü ve beşinci maddelerinde yer alan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya verileri işlenen ilgili kişinin talebi üzerine, kişisel verilerin veri sorulusu tarafından verilerin imha edilmesi gerekmektedir. Kanun lafzında kişisel verilerin imhasına ilişkin yükümlülük veri sorumlusuna bırakılmış olduğundan kısa “veri sorumlusu” nun kim olduğunun tanımlanması yerinde olacaktır.

Veri Sorumlusu, 6698 sayılı yasanın 3. Maddesinin 1. Fıkrasının (ı) bendinde “ kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Veri sorumlusunun veriyi doğrudan işleyen ve kişisel verileri elinde bulunduran kişi veya kuruluş olmasına ilişkin herhangi bir zorunluluk bulunmamaktadır. Veri sorumlusu, kişisel verileri kendi işlemese de ya da elinde bulundurmasa da veri sorumlusu olarak nitelendirilecek ve kanun ve yasal mevzuat tarafından kendisine bırakılan yükümlülüklerin yerine getirilmesinden birinci derece sorumlu olacaktır.

6698 sayılı kanunun 7. Maddesinden kişisel verilerin imha yöntemleri olarak silinmesi, yok edilmesi ya da anonim hale getirilmesi yöntemleri öngörülmüştür.

Kişisel Verilerin Silinmesi , Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi; kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılmaz hale getirilmesi işlemi ve kişisel verilerin anonim hale getirilmesi işlemi ise, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi olarak tanımlanmaktadır.

6698 sayılı yasa gereğince kendisine yükümlülük verilen her veri sorumlusu tarafından kişisel verilerin saklanmasına ve imhasına ilişkin bir politika belirlenmek zorunda olmakla birlikte, bu imha politikası kapsamında veri sorumlusu tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin periyodik zaman aralıkları belirlemek durumundadır. Periyodik imha işlemlerinin gerçekleştirilecek olduğu zaman aralığı veri sorumlusu tarafından kişisel veri saklama ve imha politikası içeriğinde açık bir şekilde belirlenmek zorunda olup, bu süre 6698 sayılı yasa kapsamında her halde 6 (altı) ayı geçemeyecektir. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumluları tarafından ise kişisel verileri silme, yok etme veya anonim hale yükümlülüğünün ortaya çıktığı tarihi takip eden 3 (üç) ay içerisinde kişisel veriler silinmek, yok edilmek veya anonim hale getirilmek durumundadır.

Tüm bu hallerin yanında; kişisel verilerin imhasının ilgili kişi tarafından talep edilmesi halinde; veri sorumlusu kişisel verileri işleme şartlarının tamamı ortadan kalkmış ise, ilgili kişi talebine konu kişisel verilerin tamamını silmek, yok etmek veya anonim hale getirmek durumundadır. Veri sorumlusu ilgili kişinin bu talebini en geç 30 (otuz) gün içerisinde sonuçlandıracak ve ilgili kişiye bilgi verecektir.

Fakat veri sorumlusu, kişisel verileri işleme şartlarının tamamının ortadan kalkmadığı hallerde ilgili kişinin verilerin imhasına ilişkin talebini 6698 sayılı yasanın 13. Maddesi uyarınca gerekçesi açıklanmak suretiyle reddetme hakkına sahiptir. Bu ret kararı da veri sorumlusu tarafından ilgili kişiye 30 (otuz) gün içerisinde yazılı olarak ya da elektronik ortamda bildirilmek durumundadır.

C.      Kişisel Verilerin Yok Edilmemesi Suç Mudur ? (5237 sayılı Tck Madde 138)

Gelişen teknoloji ile birlikte, kişilere ait bilgilere dünya üzerinden bulunan tüm insanlar tarafından ulaşılabilir hale gelmiştir. Bu sebeple; kişisel verilerin korunması önemli hale gelmiş ve  bu kapsamda kişisel verilerin etkin bir şekilde korumaya yönelik yasal düzenlemelerin yapılması gerekliliği ortaya çıkmıştır.

Bu kapsamda, 6698 sayılı yasanın yürürlüğe girmesi ile birlikte 5237 sayılı Türk Ceza Kanununda da paralel düzenlemeler yapılmıştır. Bu düzenlemelere göre; 6698 sayılı yasanın kişisel verilerin imhasına ilişkin düzenlemeleri içeren 7. maddesine aykırı hareket edenlerin yine aynı yasanın 17/2 maddesinde yazılı olduğu üzere 5237 sayılı TCK’nın 138. Maddesi uyarınca cezalandırılacağı düzenlenmiştir. 

Verileri Yok Etmeme;

Madde 138 – (1) Kanunda belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) (Ek: 21/2/2014- 6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat arttırılır.”

şeklinde belirtilmiştir.

Bu tanıma göre öncelikle belirtilmelidir ki; kişisel verileri yok etmeme suçunun oluşabilmesi ve failin yargılanabilmesi için söz konusu kişisel verilerin ilgilisinden hukuka uygun şekilde elde edilmesi gerekmektedir. Aksi halde, 5237 sayılı TCK’nın 138. maddesinde düzenlenen verilerin yok edilmemesi suçunun değil yine 5237 sayılı TCK’nın 136. maddesinde  düzenlenen “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu”nun varlığından söz edilebilecektir. Fakat bu çalışmanın konusu olmadığında bu suç tipine yer verilmeyecektir.

“Verileri Yok Etmeme Suçu” bakımından korunan hukuki değer; kişisel verilerin koruması hakkıdır. Bunun yanında “Verileri Yok Etmeme Suçu”nun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile yakından ilgili olan “unutulma hakkı” ile de yakından ilgili olduğu söylenebilir. (Kangal, 2019, s.155)

Suçun konusu; veri sorumlusu tarafından hukuka uygun şekilde işlenen kişisel verilerdir. “Verileri Yok Etmeme Suçu” fiilin suç konusuna yaptığı etkiye göre sınıflandırılacak olur ise suçun soyut tehlike suçu olduğu söylenebilecektir. Kanun hükmü gereğince veri sorumlusu tarafından yok edilmesi gereken kişisel verilerin mevzuatta düzenli süreler içerisinde yok edilmemesi ile suç meydana gelecektir. İlgili kişi üzerinde herhangi bir zararın meydana gelip gelmemesi suçun oluşumu bakımından önem arz etmemektedir.

“Verileri Yok Etmeme Suçu” bakımından fail; “verileri sistem içinde yok etmek ile yükümlü olan kişi”dir.  Suçun faalinin belli bir özel niteliğinin bulunması öngörülmüştür. Bu sebeple, “Verileri Yok Etmeme Suçu”nun özgü suçlardan olduğu söylenebilir. Failin; kanun lafzında belirtildiği üzere “veri sorumlusu” ya da veri sorumlusu tarafından atanan “veri işleyen” olması gerektiği açıktır. Veri sorumlusunun veya veri işleyenin tüzel kişi olması halinde ise suç ve cezaların şahsiliği ilkesi gereğince tüzel kişinin değil, bu fiilleri bizzat gerçekleştiren gerçek kişilerin fail olarak sorumlu olacakları söylenebilir. (Yıldız, Ankara, 2022, s.116 – 127)

“Verileri Yok Etmeme Suçu” bakımından Mağdur’un, kişisel verileri işlenen ve mevzuat kapsamında düzenlenen sürelerin geçmesine rağmen verileri silinmeyen gerçek kişiler olduğu açıktır.

“Verileri Yok Etmeme Suçu” hareket kapsamında değerlendirilecek olursa, suçun hareketlerinin verileri silmeme, yok etmeme veya anonim hale getirmeme şeklinde seçimlik hareketli olduğu söylenebilecektir. Bu seçimlik hareketler ancak ihmali olarak gerçekleştirilebilecektir. İhmali suçlarda teşebbüs mümkün olmadığından; “Verileri Yok Etmeme Suçu” bakımından da teşebbüs hükümlerinin uygulanabilmesi mümkün değildir. (Göçmen Uğurer, İstanbul, 2019, s. 197 – 209)

“Verileri Yok Etmeme Suçu” takibi 5237 sayılı TCK’nın 139. Maddesi uyarınca şikayete bağlı değildir. Adli makamlar tarafından suça ilişkin fiilin öğrenilme tarihinden itibaren re’sen soruşturulması ve kovuşturulması gerekmektedir.

“Verileri Yok Etmeme Suçu” nun cezası 5237 sayılı TCK’nın 138. Maddesinde düzenlendiği üzere 1 (bir) yıldan 2 (iki) yıla kadar hapis cezasıdır. Madde metninin ikinci fıkrasında suça ilişkin nitelikli hal düzenlemesi yapılmış ve buna göre yok edilmesi gereken kişisel verilerin 5272 sayılı Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken verilerin olması halinde verilecek cezanın bir kat arttırılması öngörülmüştür.

D.     SONUÇ

Hızla gelişen teknoloji ile birlikte günümüz dijital çağında kişisel verilerin ne kadar önemli olduğuna ve korunmasına ilişkin gereklilikler giderek daha fazla gündelik yaşamımızda yer almakta olup, kişisel verilerin korunması hususu özel hayatın gizliliği ve birey güvenliğinin sağlanması bakımından en önemli temel unsurlardan bir tanesi olarak değerlendirilmektedir.

Bu kapsamda, Türk Hukuk Sistemi içerisinde kişisel verilere ilişkin ilk yasal düzenleme olan 6698 sayılı “Kişisel Verilerin Korunması Kanunu (KVKK)” 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir.

Kişisel verilerin işlenmesi, muhafaza edilmesi ve korunmasının ayrı olarak kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde işlenen verilere ne olacağı hususu büyük önem arz etmektedir. 6698 sayılı KVKK’nın 7. Maddesi ve ilgili yasal mevzuat gereğince kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya verileri işlenen ilgili kişinin talebi üzerine, veri sorumlusu tarafından önceden belirlemekle yükümlü olduğu kişisel verilerin saklanması ve imha politikasına göre kişisel verilerin imha edilmesi gerekmektedir.

6698 sayılı yasanın yürürlüğe girmesi ile birlikte 5237 sayılı Türk Ceza Kanununda da paralel düzenlemeler yapılmıştır. Bu düzenlemelere göre; 6698 sayılı yasanın kişisel verilerin imhasına ilişkin düzenlemeleri içeren 7. maddesine aykırı hareket edenlerin yine aynı yasanın 17/2 maddesinde yazılı olduğu üzere 5237 sayılı TCK’nın 138. Maddesi uyarınca cezalandırılacağı düzenlenmiştir. 

5237 sayılı TCK^nın 138. Maddesinde “…(1) Kanunda belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) (Ek: 21/2/2014- 6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat arttırılır…” şeklinde belirtilmektedir.

Kanun lafzında mevcut düzenlemeye göre; kişisel verileri 6698 sayılı yasa ve mevzuat kapsamında belirlenen süreleri içerisinde kişisel verileri imha etmekle yükümlü olan veri sorumlusu veya veri sorumluları tarafından yetkilendirilen veri işleyenler tarafından işlenen kişisel verilerin imha edilmemesi halinde, bu kişiler bir yıldan 2 yıla kadar hapis cezası ile cezalandırılacaktır. 

“Verileri Yok Etmeme Suçu” takibi 5237 sayılı TCK’nın 139. Maddesi uyarınca şikayete bağlı suçlar arasında sayılmamıştır. Bu sebeple adli makamlar tarafından suça ilişkin fiilin öğrenilme tarihinden itibaren re’sen soruşturulması ve kovuşturulması gerekmektedir.

Madde metninin ikinci fıkrasında suça ilişkin nitelikli hal düzenlemesi yapılmış ve buna göre yok edilmesi gereken kişisel verilerin 5272 sayılı Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken verilerin olması halinde verilecek cezanın bir kat arttırılması öngörülmüştür.

Büşra SARIKAYA’nın “Big Data ve Kişisel Verilerin Korunması” isimli yazısını bağlantıdan okuyabilirsiniz.

Ayrıca Hukuk ve Bilişim Dergisi’nin geçmiş Sayılarını bağlantıdan görebilirsiniz.

Yazar: Av. Ayşe MACUNCU

KAYNAKÇA

  1. GÖÇMEN UYARER, Sinem. (2019). 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 5237 sayılı Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması [Yüksek Lisans tezi, Galatasaray Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı].
  2. KANGAL, Zeynel T. (2019). Kişisel Verilerin Ceza ve Kabahatler Hukukunda Korunması. İstanbul: Onikilevha Yayıncılık.
  3. KOÇAK, Uğur Atakan. (2022). “Kişisel Veri İhlallerinin Türk Ceza Kanunu Kapsamında Değerlendirilmesi.” TBB Dergisi, 37-68.
  4. ORHAN, Uğur. (2021). “Kişisel Verilerin Korunmasına İlişkin Türk Ceza Hukuku Düzenlemeleri Üzerine Değerlendirmeler.” Ankara Üniversitesi Hukuk Fakültesi Dergisi, Sayı 4, 1359-1384.
  5. Türk Ceza Kanunu Tasarısı ve Adalet Komisyonu Raporu. (2003).
  6. YILDIZ, Abdulhakim. (2022). Kişisel Verilerin Korunması ile İlgili Cezai Düzenlemeler [Yüksek Lisans tezi, Ufuk Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, Ankara].
  7. 5237 sayılı Türk Ceza Kanunu.
  8. 6689 sayılı Kişisel Verilerin Korunması Kanunu.
  9. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.