TCK 138 Verileri Yok Etmeme Suçu ve Cezası: KVKK Veri İmha Süreleri ve Sorumluluk | Bursa Ceza Avukatı
(Giriş)
Dijital çağda kişisel verilerin korunması, sadece bu verilerin hukuka uygun bir şekilde toplanmasını ve işlenmesini değil, aynı zamanda hukuki gereklilik ortadan kalktığında güvenli bir şekilde imha edilmesini de kapsar. Bireyin "unutulma hakkı" olarak da bilinen bu temel hak, kişisel verilerin sonsuza dek saklanmasının önüne geçerek, veri mahremiyeti üzerinde kontrol sahibi olmasını sağlar. Türk Ceza Kanunu, bu önemli yükümlülüğü yerine getirmeyen veri sorumluları için 138. maddesinde "Verileri Yok Etmeme" suçunu özel olarak düzenlemiştir. Bu suç, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) idari yaptırımlarının yanı sıra, sorumlular için hapis cezasını öngören bir ceza normu olarak veri güvenliği hukukunun en önemli dayanaklarından biridir.
Bu makalede, TCK 138'de düzenlenen bu özel "ihmali" suçu, suçun faili olabilecek "veri sorumlularının" kimler olduğunu, verilerin hangi süreler sonunda yok edilmesi gerektiğini, ceza yargılamasına ilişkin verilerin imhasının önemini, Yargıtay'ın bu konudaki yaklaşımını ve suçun hukuki sonuçlarını detaylıca inceleyeceğiz. Türkiye'nin en büyük sanayi ve ticaret merkezlerinden biri olan Bursa'da, Organize Sanayi Bölgeleri'ndeki binlerce şirketin tuttuğu çalışan ve müşteri kayıtlarından, özel hastanelerdeki hasta verilerine, okullardaki öğrenci bilgilerinden perakende sektöründeki sadakat kartı verilerine kadar devasa bir veri havuzu bulunmaktadır. Bu nedenle Osmangazi, Nilüfer, Yıldırım, İnegöl, Gemlik başta olmak üzere Bursa'nın 17 ilçesindeki tüm veri sorumlusu işletme ve kurumların, bu cezai sorumluluğu bilmesi hayati önem arz etmektedir.
BÖLÜM 1: VERİLERİ YOK ETMEME SUÇU NEDİR? (TCK m. 138)
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
a) Suçun Tanımı ve Korunan Hukuki Değer
Bu suç, kanunlar veya ilgili mevzuat uyarınca belirlenmiş olan saklama süreleri dolmasına rağmen, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlü olan kişilerin, bu görevlerini kasıtlı olarak yerine getirmemesiyle oluşur. Bu suçla korunan hukuki değer, bireyin "unutulma hakkı" ve daha geniş anlamda kişisel verileri üzerinde kontrol sahibi olma hakkıdır.
b) Suçun Faili: "Yok Etmekle Yükümlü Olanlar" (Özgü Suç)
Bu suçun faili herkes olamaz. Failin mutlaka, KVKK ve diğer mevzuat uyarınca kişisel verileri "yok etmekle yükümlü" bir kişi olması gerekir. Bu kişiler, KVKK terminolojisindeki "veri sorumluları" veya onların bu konuda yetkilendirdiği çalışanlardır. Bir şirketin genel müdürü, bir hastanenin başhekimi, bir okulun müdürü veya bu kurumların bilgi işlem sorumluları bu suçun faili olabilir. Bu nedenle bu suç, bir **"özgü suç"**tur.
c) Suçun Eylem Unsuru: "Yok Etmeme" (İhmali Hareket)
Bu suç, aktif bir eylemle değil, yapılması gereken bir görevin yapılmamasıyla, yani bir ihmal (omission) ile işlenir. Yükümlünün, saklama süresi dolan verileri imha etme görevini yerine getirmemesi, pasif kalması suçun oluşması için yeterlidir. "Yok etme" kavramı KVKK'ya göre üç farklı şekilde yerine getirilebilir: Silme, Yok Etme veya Anonim Hale Getirme.
d) En Önemli Şart: "Kanunların Belirlediği Sürelerin Geçmiş Olması"
Suçun oluşabilmesi için, verinin saklanmasını gerektiren hukuki sürenin dolmuş olması gerekir. Bu süreler, farklı kanunlarda farklı şekillerde düzenlenmiştir. Örneğin:
- Türk Ticaret Kanunu'na göre ticari defterler 10 yıl saklanmalıdır.
- Vergi Usul Kanunu'na göre ilgili belgeler 5 yıl saklanmalıdır.
- İş Kanunu'na göre işçinin özlük dosyası, iş akdinin feshinden sonra belirli bir süre saklanmalıdır.
Eğer özel bir kanunda süre belirtilmemişse, KVKK'nın temel ilkesi gereği, verinin toplanma amacı ortadan kalktığında makul bir süre içinde imha edilmesi gerekir. Bu sürenin geçmesine rağmen veriyi imha etmemek, suçu oluşturur.
BÖLÜM 2: SUÇUN NİTELİKLİ HALİ: CMK KAPSAMINDAKİ VERİLER (TCK m. 138/2)
"(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır."
- Fiil: Bu nitelikli hal, bir ceza soruşturması veya kovuşturması sırasında toplanan ve yargılama sonunda hukuken imha edilmesi gereken verilerin (iletişimin tespiti kayıtları, teknik takip verileri, soruşturma dosyaları vb.) imha edilmemesi durumunu kapsar. Özellikle hakkında takipsizlik (KYOK) veya beraat kararı verilen kişilere ait soruşturma verilerinin imha edilmemesi bu kapsamdadır.
- Amaç: Devletin, masumiyeti kanıtlanmış veya hakkında dava açılmamış kişilerle ilgili son derece hassas verileri süresiz olarak elinde tutmasını engellemektir.
- Ceza: Bu tür verilerin imha edilmemesi halinde, TCK 138/1'e göre belirlenecek temel ceza bir kat artırılır (yani 2 yıldan 4 yıla kadar hapis).
BÖLÜM 3: YARGITAY KARARLARI VE UYGULAMADAKİ ÖNEMLİ NOKTALAR
- KVKK ile Sıkı Bağlantı: Yargıtay, TCK 138'i uygularken, bir veri sorumlusunun yükümlülüklerini ve imha sürelerini belirlemek için doğrudan KVKK hükümlerine ve Kişisel Verileri Koruma Kurulu'nun kararlarına atıf yapar. Bir şirketin KVKK uyarınca hazırlamak zorunda olduğu "Veri Saklama ve İmha Politikası", bu tür davalarda en önemli delillerden biri haline gelir.
- Kast Unsuru: Bu suçun oluşması için failin genel kastla hareket etmesi, yani imha etme yükümlülüğü altında olduğunu ve saklama süresinin dolduğunu bilmesine rağmen bu görevini bilerek ve isteyerek yerine getirmemesi gerekir. Teknik bir arıza veya istem dışı bir gecikme kast unsurunu ortadan kaldırabilir.
- TCK 138 ve KVKK Yaptırımlarının Birlikte Uygulanması: Bir veri sorumlusunun verileri zamanında imha etmemesi, hem TCK 138 kapsamında sorumlu yöneticiler hakkında ceza davası açılmasına, hem de KVKK uyarınca şirkete yönelik olarak Kurul tarafından yüksek miktarda idari para cezası kesilmesine yol açabilir. İki yaptırım birbirine engel değildir.
BÖLÜM 4: SORUŞTURMA USULÜ VE İNFAZ HUKUKU
- Şikâyet ve Uzlaştırma: TCK 138'de düzenlenen verileri yok etmeme suçu;
- Mağdurun (verisi imha edilmeyen kişinin) şikâyetine bağlıdır. Mağdur, bu durumu öğrendiği tarihten itibaren 6 ay içinde şikâyette bulunmalıdır.
- Aynı zamanda uzlaştırma kapsamındadır. Soruşturma aşamasında dosya, tarafların anlaşması için uzlaştırma bürosuna gönderilir.
- İnfaz Hukuku:
- Suçun uzlaştırma kapsamında olması, birçok dosyanın mahkeme aşamasına gelmeden kapanmasını sağlar.
- Uzlaşma sağlanamazsa;
- TCK 138/1 (Temel Hal): Ceza aralığı (1-2 yıl) nedeniyle, sanığın sicili temiz ise Hükmün Açıklanmasının Geri Bırakılması (HAGB) veya Cezanın Ertelenmesi kararları verilmesi oldukça yaygındır.
- TCK 138/2 (CMK Verileri): Ceza bir kat artırılacağı için (2-4 yıl), hapis cezası riski ciddidir. Mahkemenin 2 yılı aşan bir cezaya hükmetmesi halinde HAGB/erteleme mümkün olmayacak ve cezanın infazı gündeme gelecektir.
Sonuç ve Genel Değerlendirme
TCK 138 Verileri Yok Etmeme suçu, dijital çağın "veri mezarlıkları" yaratmasını engelleyen, bireyin unutulma hakkını ceza hukuku yoluyla güvence altına alan modern ve önemli bir düzenlemedir. Bu madde, başta şirketler ve kamu kurumları olmak üzere tüm veri sorumlularına, topladıkları verileri süresiz olarak tutamayacaklarını, hukuki saklama süreleri dolduğunda bunları güvenli bir şekilde imha etmeleri gerektiğini, aksi takdirde yöneticilerinin hapis cezasıyla karşı karşıya kalabileceğini açıkça ihtar etmektedir.
Bursa'da faaliyet gösteren bir işletme sahibi, bir kurum yöneticisi veya bir bilişim profesyoneliyseniz, şirketinizin KVKK uyumlu bir "Veri Saklama ve İmha Politikası"na sahip olduğundan ve bu politikanın etkin bir şekilde uygulandığından emin olmanız, sizi bu ciddi cezai sorumluluktan koruyacaktır. Verilerinizin süresi dolmasına rağmen imha edilmediğini düşünüyorsanız veya bu suçla itham edilen bir veri sorumlusuysanız, hem ceza hukuku hem de KVKK alanında uzman bir avukattan hukuki destek almanız, haklarınızı ve menfaatlerinizi korumak için atılacak en doğru adımdır.
Popüler Yazılar
İŞ KANUNUN AMAÇ VE KAPSAMI
