TCK 138 Bağlamında Kişisel Verileri Yok Etmeme Suçunun Maddi Unsurları ve Yargısal Sınırları
TCK 138 uyarınca kişisel verileri yok etmeme suçu, verilerin hukuka uygun işlenmesine rağmen saklama süresinin dolmasıyla somutlaşan bir ihmali suç tipidir. Bu analiz, suçun şikayete tabi olmayan niteliğini, KVKK imha sürelerinin cezai sorumluluğa etkisini ve CMK kapsamında yok edilmesi gereken verilere dair nitelikli halleri içtihatlar ışığında çözümler.
TCK 138 Kapsamında Kişisel Verileri Yok Etmeme Suçunun Hukuki Mahiyeti
5237 sayılı Türk Ceza Kanunu’nun 138. maddesinde düzenlenen kişisel verileri yok etmeme suçu, verilerin başlangıçta hukuka uygun olarak sisteme dahil edildiği ancak kanuni muhafaza sürelerinin dolmasına rağmen silinmediği durumları cezalandıran bir ihmali suç tipidir. TCK’nın "Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar" bölümünde yer alan bu norm, bireyin verilerinin geleceğini belirleme hakkını ve "unutulma hakkı" ile semantik bir bağ kuran veri güvenliği ilkesini korur.
Bu suçun oluşması için verinin ilk aşamada hukuka aykırı olarak ele geçirilmiş olması gerekmez; aksine, veri hukuka uygun bir veri kayıt sisteminin parçasıdır ancak varlık sebebini yitirmiştir. Kanun koyucu, 6526 sayılı Kanun ile yaptığı değişiklikle, bu suçun ceza alt sınırını bir yıla çekerek veri güvenliği ihlallerine yönelik yaptırım kararlılığını artırmıştır. TCK 138/1 uyarınca, yükümlülüğünü yerine getirmeyen failler bir yıldan iki yıla kadar hapis cezası ile karşı karşıya kalmaktadır.
"Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır."
Kaynak: 5237 sayılı Türk Ceza Kanunu m. 138
Suçun Maddi Unsurları ve Tipiklik Analizi
TCK 138’deki suçun maddi unsuru, kanunen belirlenen imha süresinin geçmesine rağmen verilerin sistem içinde tutulmaya devam edilmesidir. Bu suç, "gerçek ihmali suç" niteliğindedir; zira kanun faile belirli bir yönde icraat yapma (yok etme) görevi yüklemiş, fail ise bu görevi yerine getirmeyerek suç tipini gerçekleştirmiştir.
Fail ve Mağdur Kavramı Üzerinden Sorumluluk Dağılımı
Suçun faili herkes olamaz; bu bir özgü suç (delicta propria) tartışmasına gebedir. Kanun metni "verileri sistem içinde yok etmekle yükümlü olanlara" atıf yaparak, sorumluluk alanını belirli bir yükümlülük grubuna indirgemiştir. Bu yükümlüler, 6698 sayılı KVKK kapsamında "Veri Sorumlusu" veya veri sorumlusu tarafından yetkilendirilmiş "İlgili Kullanıcı"lar olabilir.
Mağdur ise, kişisel verisi hukuka aykırı olarak sistemde tutulmaya devam edilen gerçek kişidir. Tüzel kişilerin verileri bu suçun konusunu oluşturmaz; zira TCK anlamında "kişisel veri" yalnızca gerçek kişilere ilişkin bilgileri kapsar. Ancak, suçun işlenmesi durumunda TCK 140 uyarınca tüzel kişiler hakkında güvenlik tedbirlerine hükmedilmesi ihtimal dahilindedir.
Suçun Konusu: Kişisel Veri ve İmha Süresi
Suçun konusunu oluşturan "kişisel veri" kavramı, Yargıtay uygulamalarında oldukça geniş yorumlanmaktadır. Ancak her bilgi veri değildir. Bilginin belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilmesi şarttır. TCK 138 bağlamında "yok etme" yükümlülüğünün doğması için, verinin işlenmesini gerektiren sebeplerin (rıza, sözleşme ifası, kanun hükmü vb.) tamamen ortadan kalkmış olması gerekir.
İcra ve İhmal Ayrımı: Yok Etmeme Eyleminin Gerçekleşme Anı
Suçun oluşması için failin pasif kalması yeterlidir. Eğer fail, verileri yok etmesi gereken sürenin dolduğunu biliyor ve buna rağmen silme işlemini gerçekleştirmiyorsa suç tamamlanmış olur. Burada kritik nokta, "kanunların belirlediği süre" ifadesidir. 6698 sayılı Kanun ve ilgili yönetmelikler, bu sürenin somut olayda nasıl hesaplanacağını belirleyen tamamlayıcı normlar niteliğindedir.
Kişisel Verilerin İmha Edilmemesinde Şikayet ve Muhakeme Şartları
TCK 139. maddesi, bu bölümdeki suçların genelinin aksine, TCK 138'deki verileri yok etmeme suçunu şikayete tabi suçlar kapsamından istisna tutmuştur. Bu düzenleme, veri güvenliğinin kamu düzenini ilgilendiren bir boyutu olduğunu ve devletin bu alandaki denetim yetkisini re'sen kullanması gerektiğini ortaya koyar.
"Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır."
Kaynak: 5237 sayılı Türk Ceza Kanunu m. 139/1
Şikayetten Vazgeçmenin Hukuki Akıbeti
Uygulamada, mağdurun şikayetinden vazgeçmesi durumunda davanın düşeceği yönünde yanlış bir algı bulunmaktadır. Ancak Yargıtay 12. Ceza Dairesi'nin yerleşik içtihatları, TCK 139'daki açık hüküm nedeniyle bu suçun takibinin şikayete bağlı olmadığını, dolayısıyla şikayetten vazgeçmenin kamu davasını sonlandırmayacağını vurgular. Örneğin, özel hayatın gizliliğini ihlal (TCK 134) suçunda şikayetten vazgeçme davanın düşmesine yol açarken, aynı vakada verileri yok etmeme suçu da varsa, bu suç yönünden yargılama devam eder.
Uzlaşma ve Ön Ödeme Müesseseleri Açısından Değerlendirme
TCK 138/1'deki ceza miktarı (1-2 yıl) ve suçun niteliği gereği, bu suç uzlaşma (CMK 253) kapsamında değildir. Zira şikayete bağlı olmayan ve kamu sağlığına/düzenine karşı suçlar kategorisine yakın bir koruma sağlayan bu suç tipinde tarafların iradesi cezai sorumluluğu ortadan kaldırmaz. Ancak 2 yıl altındaki ceza üst sınırı nedeniyle, şartları oluştuğunda Hükmün Açıklanmasının Geri Bırakılması (HAGB) veya erteleme müesseselerinin uygulanması mümkündür.
KVKK Yönetmeliği ve TCK 138 Arasındaki Normatif İlişki
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, TCK 138'in uygulanmasında "içi boş normu" dolduran idari düzenlemedir. Yönetmelik, imha işlemlerinin usulünü ve özellikle "periyodik imha" sürelerini belirleyerek, suçun oluşup oluşmadığına dair objektif bir kriter sunar.
Periyodik İmha Süreleri ve Suçun Oluşma Zamanı
Yönetmelik m. 11 uyarınca, veri sorumluları kendi hazırladıkları saklama ve imha politikasında bir periyodik imha süresi belirlemek zorundadır. Bu süre hiçbir şekilde 6 ayı geçemez. Eğer veri sorumlusu politika hazırlama yükümlülüğü altında değilse, imha yükümlülüğünün doğduğu tarihten itibaren 3 ay içinde işlem yapmalıdır. Bu sürelerin aşılması, TCK 138 anlamında "kanunların belirlediği sürenin geçmesi" unsurunu gerçekleştirir.
"Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı... her halde altı ayı geçemez."
Kaynak: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m. 11
Silme, Yok Etme ve Anonim Hale Getirme Teknikleri
Hukuki uyuşmazlıklarda failin savunması genellikle "verilerin silindiği" yönündedir. Ancak Yönetmelik m. 8 ve m. 9, silme ile yok etme arasında teknik bir ayrım yapar. Silme, verinin ilgili kullanıcılar için erişilemez hale getirilmesidir; yok etme ise verinin hiç kimse tarafından hiçbir şekilde geri getirilemez hale getirilmesidir. TCK 138 metni "yok etmekle yükümlü olanlara" dediği için, failin veriyi sadece "çöp kutusuna atması" veya erişimi kısıtlaması, eğer teknik olarak geri döndürülebiliyorsa, suçun oluşmasını engellemeyebilir.
Ceza Muhakemesi Kanunu Kapsamındaki Verilerin İmha Edilmemesi
TCK 138/2 fıkrası, suçun konusunun CMK hükümlerine göre ortadan kaldırılması gereken veriler olması durumunda cezanın bir kat artırılacağını öngörür. Bu ağırlaştırıcı sebep, adli makamların denetimi altında olan ve daha yüksek bir gizlilik derecesine sahip verilerin korunmasını hedefler.
İletişimin Tespiti ve Kaydı Verilerinin Akıbeti
CMK 135 ve 137 uyarınca yapılan iletişimin denetlenmesi işlemlerinde, kovuşturmaya yer olmadığına dair karar (KYOK) veya beraat kararı verilmesi durumunda, elde edilen kayıtların imha edilmesi zorunludur. Bu imha işleminin yapılmaması, TCK 138/2 kapsamında nitelikli suçun oluşmasına sebebiyet verir. Adliye pratiğinde, bu verilerin kalem personeli veya kolluk tarafından imha tutanağına bağlanması gerekir; ancak fiziksel veya dijital kopyaların sistemde unutulması doğrudan cezai sorumluluğu doğurur.
Adli Sicil ve Arşiv Kayıtlarındaki Veri Güvenliği
Adli sicil kayıtlarının silinmesi süreci, Adli Sicil Kanunu ile TCK 138 arasında bir köprü kurar. Silinme koşulları oluşmuş bir kaydın, ilgili kişinin talebine rağmen veya re'sen silinmemesi, veriyi sistemde tutan kamu görevlisinin TCK 138'den sorumlu tutulması sonucunu doğurabilir. Burada kamu görevlisinin görevi ihmal (TCK 257) suçu ile TCK 138 arasındaki "özel norm-genel norm" ilişkisi titizlikle analiz edilmelidir.
Veri Sorumlusunun Cezai Sorumluluğunun Sınırları
Veri sorumlusu, organizasyon içindeki veri işleme faaliyetlerinin hiyerarşik amiri konumundadır. Ancak TCK anlamında cezaların şahsiliği ilkesi gereği, tüzel kişi veri sorumlularında ceza doğrudan "yönetim kurulu başkanı"na kesilmez. Sorumluluk, imha işlemini fiilen yapmakla görevli olan veya bu yönde talimat vermesi gereken birim amirine aittir.
| Kriter | TCK 138 (Yok Etmeme) | TCK 136 (Ele Geçirme/Yayma) |
|---|---|---|
| Verinin Başlangıcı | Hukuka uygun elde edilmiştir. | Hukuka aykırı elde edilebilir/yayılabilir. |
| Suçun Tipi | İhmali suç (Gerçek ihmal). | İcraat/Hareket suçu. |
| Şikayet Durumu | Şikayete tabi değildir (Re'sen). | Şikayete tabi değildir (Re'sen). |
| Kusur Türü | Genellikle taksirle karıştırılan doğrudan kast. | Doğrudan veya olası kast. |
| Korunan Değer | Unutulma hakkı ve veri güncelliği. | Veri mahremiyeti ve özel hayat. |
Yargıtay'ın "Kişisel Veri" Tanımındaki Katı Yaklaşımı ve TCK 138’e Etkisi
Yargıtay ceza daireleri, her türlü bilgiyi kişisel veri olarak kabul etmemekte; bilginin "ayrt edici" ve "mahrem" niteliğine odaklanmaktadır. 12. Ceza Dairesi'nin bazı kararlarında, herkes tarafından kolayca ulaşılabilecek bilgilerin imha edilmemesinin suç oluşturmayacağı yönünde muhalefet şerhleri bulunmaktadır.
"Herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda 'kişisel veri' olarak değerlendirilemez, aksinin kabulü; anılan maddenin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçlar doğurur."
Kaynak: Yargıtay 12. Ceza Dairesi, Esas No: 2013/5030, Karar No: 2013/25781
Bu yaklaşım, TCK 138 açısından kritiktir. Eğer sistemde unutulan veri, kişinin zaten kamuya açık olan (örneğin bir web sitesinde yayınlanan) bir verisiyse, "yok etmeme" eyleminin hukuki aykırılık teşkil edip etmeyeceği tartışmalıdır. Ancak 6698 sayılı Kanun’un emredici hükümleri karşısında, verinin kamuya açık olması veri sorumlusunu imha yükümlülüğünden kurtarmaz; sadece ceza tayininde alt sınırdan uzaklaşılmaması için bir gerekçe olabilir.
İmha Yükümlülüğünün İspatı ve Delil Başlangıcı Olarak Tutanaklar
Ceza yargılamasında "yok etmeme" olgusunun ispatı, dijital adli inceleme (digital forensics) yöntemleriyle yapılır. Veri sorumlusunun "imha ettik" savunmasına karşılık, imha edilen verilerin Yönetmelik m. 7/3 uyarınca tutulması gereken kayıtları (loglar, tutanaklar) ispat aracıdır.
İmha Kayıtlarının Saklanma Zorunluluğu
Yönetmelik uyarınca, imha işlemlerine ilişkin kayıtlar en az üç yıl süreyle saklanmalıdır. Bir ceza soruşturmasında bu kayıtların sunulamaması, verinin yok edilmediğine dair güçlü bir karine oluşturur. Ancak tersi durumda, imha tutanağı düzenlenmiş olmasına rağmen verinin sistemde (örneğin yedekleme ünitelerinde) kalmaya devam etmesi, failin "yok etme kastının" olmadığını değil, aksine "görevi yerine getirmediğini" gösterir.
Log Kayıtları ve Erişim Loglarının Analizi
Modern veri kayıt sistemlerinde veriye kimin, ne zaman ulaştığı loglanmaktadır. Verinin silinmesi gereken tarihten sonra sisteme giriş yapıldığı ve verinin görüntülendiği tespit edilirse, TCK 138 suçunun maddi unsuru kesinleşmiş olur. Profesyonel bir savunma veya iddia stratejisinde, sadece ana veritabanı değil, "shadow copy" (gölge kopya) ve yedekleme sunucularının da incelenmesi talep edilmelidir.
İdari Para Cezası (KVKK m. 18) ile Hapis Cezası (TCK 138) Arasındaki İlişki
Verileri yok etmeme eylemi, hem idari bir kabahat (KVKK m. 18/1-ç) hem de bir suçtur. Türk hukukunda "aynı fiilden dolayı iki kez yargılama olmaz" (ne bis in idem) ilkesi gereği, bu iki yaptırımın aynı anda uygulanıp uygulanmayacağı tartışmalıdır. Ancak KVKK m. 18'deki idari para cezası veri sorumlusuna (tüzel kişiye), TCK 138'deki hapis cezası ise ilgili gerçek kişiye (faile) verildiği için, öznelerin farklılığı nedeniyle her iki yaptırımın da uygulanması hukuken mümkündür.
Kurul Kararlarının Ceza Mahkemesine Etkisi
Kişisel Verileri Koruma Kurulu'nun (KVKK) bir veri sorumlusu hakkında "verileri imha etmediği" gerekçesiyle verdiği idari para cezası kararı, ceza mahkemesi hakimi için bağlayıcı bir delil değildir; ancak "bekletici mesele" yapılması veya kuvvetli bir takdiri delil olarak değerlendirilmesi yargı pratiğinde sıkça görülür. Kurulun teknik inceleme raporları, suçun maddi unsurunun sübutu açısından dosya kapsamına alınmalıdır.
Hukuki Risk Analizi ve Şirket İçi Denetim
Kurumsal yapılarda TCK 138 riskini minimize etmek için "imha prosedürleri"nin kağıt üzerinde kalmaması gerekir. Özellikle çalışanların işten ayrılması, sözleşmelerin sona ermesi veya pazarlama izinlerinin geri çekilmesi durumlarında verilerin otomatik olarak "imha kuyruğuna" alınması teknik bir zorunluluktur. Manuel imha süreçleri, insan faktörü nedeniyle TCK 138 suçunun işlenme ihtimalini artırır.
Veri İmhada "İlgili Kişi" Talebinin Reddi ve Cezai Sonuçları
İlgili kişinin (veri sahibinin) KVKK m. 11 kapsamında verilerinin silinmesini talep etmesi ve bu talebin veri sorumlusu tarafından haklı bir neden olmaksızın reddedilmesi, suçun oluşumunu hızlandırır. Yönetmelik m. 12 uyarınca veri sorumlusu bu talebi 30 gün içinde sonuçlandırmalıdır. Bu sürenin geçirilmesi ve verinin silinmemesi, failin "bilme ve isteme" iradesini (kastını) somutlaştırır.
"İlgili kişi... veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır."
Kaynak: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m. 12
Eğer veri sorumlusu, saklama süresinin dolmadığını iddia ederek talebi reddederse ancak yapılan yargılamada sürenin aslında dolduğu tespit edilirse, failin "hukuki hataya" düşüp düşmediği TCK 30 bağlamında tartışılmalıdır. Profesyonel bir hukukçunun burada odaklanması gereken nokta, veri sorumlusunun saklama gerekçesinin makul bir hukuki dayanağa sahip olup olmadığıdır.
Uygulama Notu: Savunma ve İddia Stratejileri
Adliye pratiğinde TCK 138 dosyaları genellikle eksik bilirkişi raporları ile sonuçlanmaktadır. Bir hukukçu için bu süreçte şu adımlar kritiktir:
- Zaman Çizelgesi Oluşturma: Verinin işlenme amacı ne zaman bitti? Kanuni saklama süresi (TTK, İş Kanunu vb.) ne zaman doldu? Yönetmelikteki periyodik imha süresi (max 6 ay) ne zaman eklendi?
- Yükümlülük Analizi: Şirket içinde "İmha Politikası"nda kim sorumlu olarak gösterilmiş? Veri sorumlusu temsilcisi ile fiili kullanıcı arasındaki bağ nedir?
- Teknik İnceleme: Veri gerçekten yok mu edildi, yoksa sadece "silindi" mi? Veritabanı logları imha işlemini doğruluyor mu?
- CMK İstisnası: Söz konusu veri bir ceza soruşturmasından mı geliyor? Eğer öyleyse TCK 138/2 uyarınca artırım oranı hesaba katıldı mı?
Sıkça Sorulan Sorular
1. Verileri yok etmeme suçu şikayetten vazgeçme ile düşer mi? Hayır. TCK 139/1 uyarınca bu suç şikayete bağlı değildir. Mağdurun şikayetinden vazgeçmesi, re'sen yürütülen kamu davasını durdurmaz; ancak mahkemece ceza takdirinde lehe değerlendirilebilir.
2. Veri sorumlusu olan şirketin genel müdürü doğrudan bu suçtan cezalandırılabilir mi? Hayır. Ceza hukukunda kusursuz sorumluluk yoktur. Genel müdürün suçtan sorumlu tutulabilmesi için ya imha talimatını bilerek yerine getirmemiş olması ya da imha ile görevli personeli denetleme yükümlülüğünü kasten ihmal ederek sonucun doğmasını istemiş olması gerekir. Sorumluluk genellikle şirket içi atama kararıyla belirlenen veri güvenliği sorumlusundadır.
3. Verilerin "anonim hale getirilmesi" imha yükümlülüğünü karşılar mı? Evet. KVKK ve ilgili Yönetmelik uyarınca verilerin anonim hale getirilmesi (hiçbir şekilde kişiyle ilişkilendirilemeyecek hale gelmesi), silme ve yok etme ile eşdeğer bir imha yöntemidir. Başarıyla anonimleştirilen veri için TCK 138 suçu oluşmaz.
4. Yedekleme sisteminde kalan veriler suç oluşturur mu? Evet. Veri asıl sistemden silinse dahi, yedekleme (backup) ünitelerinde erişilebilir ve geri döndürülebilir şekilde tutulmaya devam ediliyorsa "yok etme" yükümlülüğü tam olarak yerine getirilmemiş sayılır. Yargıtay'ın bu konudaki eğilimi, verinin her türlü ortamdan kalıcı olarak temizlenmesi yönündedir.
Kaynakça
- 5237 sayılı Türk Ceza Kanunu.
- 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
- Yargıtay 12. Ceza Dairesi, Esas No: 2021/8733, Karar No: 2022/5857.
- Yargıtay 4. Ceza Dairesi, Esas No: 2020/27989, Karar No: 2020/20228.
- Yargıtay 12. Ceza Dairesi, Esas No: 2013/5030, Karar No: 2013/25781.
Yasal Uyarı: Bu makale, kişisel verilerin korunması ve ceza hukuku alanındaki güncel içtihatlar ile mevzuatın profesyonel bir analizini sunmak amacıyla "Makale editörü" tarafından hazırlanmıştır. İçerikte yer alan bilgiler genel bilgilendirme niteliğinde olup, somut uyuşmazlıklara doğrudan uygulanması veya hukuki danışmanlık yerine geçmesi söz konusu değildir. Her hukuki vaka kendi özel şartları içinde değerlendirilmelidir; bu nedenle telafisi imkansız hak kayıplarının önlenmesi adına profesyonel bir avukatlık hizmeti alınması tavsiye edilir.
Ana Kategori Rehberi
Bu konunun genel çerçevesi için Ceza Hukuku Genel Rehberi sayfasına bakabilirsiniz.