1. GENEL OLARAK

“Kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Gerek kamu, gerekse özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.

Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla  korunmaya muhtaç olduğu ifade edilmiştir.

Kişilerin verilerinin korunması temel bir insan hakkı olarak görülmüş ve Anayasa kapsamında güvence altına alınmıştır. Bu hakkın özel düzenlemeleri ise kişisel verilerin korunmasına yönelik olarak çıkarılan kanuna bırakılmıştır. Bu hususa istinaden yürütülen kanun çalışmaları sonucunda 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") 07.04.2016 tarihinde yürürlüğe girmiştir. Aynı zamanda Türk Ceza Kanununda kişisel veriler bağlamında kişinin bireysel özerkliğine, özel hayatına ve insan onuruna yönelik zarar verici eylemler suç tipleri olarak öngörülmüş ve Türk Ceza Kanunu’nun Özel hayata ve hayatın gizlilik alanına karşı suçlar” başlığı altına dört madde halinde düzenlenmiştir.

Bu kanun maddeleri şöyledir; TCK’ nın 135. Maddesinde   “kişisel verilerin kaydedilmesi”, 136.Maddesinde “Kişisel verileri Hukuka Aykırı Olarak Verme ya da Ele geçirme” 137. Madde de bu suçun nitelikli halleri ve 138. Maddesinde ise “ Kişisel Verileri Yok Etmeme”  suçuna yer verilmiştir. Bu çalışmamızda TCK 138. Maddede düzenlenen  “Verileri Yok Etmeme” suçunun unsurları, özel görünüş şekilleri, yaptırımı ve yargılamaya ilişkin özellikleri ile bu başlıklar altında doktrinsel tartışmalar izaha çalışılacaktır.

Verileri Yok Etmeme (TCK 138)

(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Buradan da anlaşılacağı üzere; Kişisel veriler, kişinin özel hayatının bir parçasını oluşturup, bulundukları yer ve hangi amaçlarla bulunduruldukları fark etmeksizin, devamlı olarak ceza hukuku tarafından korunmaktadırlar. Her birimiz günlük hayat akışımız içerisinde birtakım kişisel verilerimizi (ad, soyad,adres,telefon numarası, meslek bilgisi vs..) çeşitli kişi veya kurumlara vermek durumunda kalabiliyoruz. Bu verilerin kişi ya da kurumlar tarafından hukuka uygun olarak toplanması, süresiz olarak onların bünyesinde tutulabileceği anlamına gelmez. İlgili düzenleme tam da buna işaret etmektedir. Kanun maddesinde Veri sorumlusunun, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur.

Bu nedenle kişisel verilerin işlenmesi hukuka uygun olarak yapılsa bile, bu bireylerin özel hayatlarına müdahale anlamına gelmektedir ve İşlenen veriler, artık ihtiyaç duyulmaması, kanunen öngörülen saklama sürelerinin sona ermesi halinde yok edilmeleri veya ilgili kişi ile bağı kopartılarak anonimleştirilmesi gerekmektedir.

2.  Suçun Unsurları

A. Fail

TCK’nın 138. Maddesinde düzenlenen verileri yok etmeme suçunu, ancak kanunla verileri yok etme yükümlülüğü getirilmiş olan kişi işleyebilecektir. Yine 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 17. Maddesinin ikinci fıkrasında düzenlenen suçun faili, veri sorumlusudur. Faili herkes olmayan, sadece belli özellikleri taşıyan kişiler tarafından işlenebilen suçlar doktrinde özgü suçlar, olarak tanımlanmaktadır. Bu açıdan verileri yok etmeme suçu herkes tarafından işlenemeyecek bir özgü suçtur. [1]Failin verilerin yok edilmemesi suçunu işleyebilmesi için verileri yok etmekle yükümlü kılınmış olması yeterlidir, kamu görevlisi olması şart değildir.[2]

B.Mağdur

Suçun mağduru kişisel verileri yok edilmeyen gerçek kişidir. İşlenmesini gerektiren sebepler ortadan kalktığı halde kişisel verileri veri sorumlusu tarafından silinmeyen, yok edilmeyen veya anonim hale getirilmeyen ilgili kişidir. Bu suç açısından tüzel kişiler suçtan zarar gören olabilirler.[3]

C.Suçun Konusu

TCK’nın 138. Maddesinde düzenlenen verileri yok etmeme suçunun konusu, hukuka uygun olarak kaydedilmiş ve belli bir süre sonra silinmesi kanunla belirlenmiş kişisel verilerdir.[4] Yani, 6698 sayılı kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve verinin muhafazası için kanunen belirlenen sürenin dolması  nedeniyle veri sorumlusu tarafından re ‘sen veya ilgili kişinin talebi üzerine silinmesi gereken kişisel verileridir. TCK kapsamındaki Kanun Maddesinde belirtilen kişisel verilerin tutulduğu sistemin, bir bilişim sistemi veya fiziki bir dosyalama sistemi olduğu konusunda açıklık bulunmasa da Kişisel Verilerin Korunması Kanunu’ndaki kişisel verilerin işlenmesi tanımından bu sistemin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan bir sistem olduğu anlaşılmaktadır.Suçun düzenlenmesinde , kanun koyucu suçun oluşması için bir neticenin ortaya çıkmasını aramadığından, verileri yok etmeme suçu sırf hareket suçudur.Kanunda belirtilen süreler sonunda görevli kişiler tarafından verilerin yok edilmemesiyle suç tamamlanmaktadır. Suçun oluşması için failin verileri yok etmeyerek kullanmaya devam etmesi veya verileri yok etmemesi sonucunda bir yarar elde etmesi gerekmemektedir.[4]

D.Fiil

TCK’nın 138.maddesinin birinci fıkrasına göre kişisel verilerin yok edilmemesi suçunun fiili, yok etme görevini yerine getirmemektir. Suçun oluşması için iki şart gereklidir. İlk şart, kişisel verinin yok edilmesi için belirlenen sürenin geçmiş olması ve ikinci şart, verileri sistem içinde yok etmekle yükümlü olanların bu yükümlülüğü yerine getirmemesidir. Kişisel verilerin yok edilmemesi suçunun madde gerekçesinde, hukuka uygun olarak kaydedilmiş kişisel verilerin yok edilmemesi halinde bu suçun oluşacağı belirtilmiştir. Öğretide, suçun oluşması için gereken şartlardan birisinin, verilerin hukuka uygun olarak kaydedilmiş olması gerektiğini belirten görüş de bulunmaktadır.[6]Ancak, kanunun gerekçesinin bağlayıcı olmaması ve madde lafzından, suçun oluşabilmesi için verilerin mutlaka hukuka uygun olarak kaydedilmesi gerektiği yönünde bir anlam da çıkmaması karşısında biz bu görüşe katılmıyoruz. Dolayısıyla buradan hareketle şüpheli ya da sanığın, verilerin hukuka aykırı olarak kaydedilmesine rağmen silinmemesi, kişisel verilerin yok edilmemesi suçunu oluşturur.

Verinin yok edilmesi kavramından anlaşılması gereken, veriyi bir yerde kullanılabilir olmaktan çıkarmak, silmek hiçbir şekilde tekrar kullanılamayacak ve dönüştürülemeyecek şekilde ortadan kaldırmak şeklinde olabileceği gibi veriyle ilgili kişi arasındaki bağlantının ortadan kaldırılması şeklinde de gerçekleşebilir. Örneğin, verinin anonim hale getirilmesi durumunda veriyle kişi arasındaki bağlantı kesilmektedir. [5]

E.Manevi Unsur

Kanuni düzenlemede suçun işlenmesi için herhangi bir özel saik aranacağı belirtilmediğinden, verileri yok etmeme suçu genel kastla işlenebilir. Genel kastla işlenen suçun kural olarak olası kastla da işlenmesi mümkün olduğundan verilerin yok edilmemesi suçunun da olası kastla işlenebileceği söylenebilir. Olası kast, failin neticeyi ön görmesi ancak suçun oluşmasına kayıtsız kalması, başka bir ifadeyle suçun oluşmaması için çaba göstermemesidir. Kaydedilmiş olan kişisel verileri yok etmekle yükümlü olan failin, kanunda belirtilmiş olan süre içerisinde görevini yerine getirmeyerek  kasten verileri yok etmemesi, suçun oluşması için yeterlidir. Kanun’da bu suçların taksirle işlenebileceğine ilişkin açık hüküm bulunmadığından ,taksirle işlenmesi mümkün değildir. Kanunda belirlenen sürenin hesabında hata yapılması durumunda ise, sorun hataya ilişkin kurallar çerçevesinde çözülecektir. Örneğin; fail,  kanunda belirtilen süreni hesabında  hata yaparak süresi geçtikten sonra kişisel verileri yok ederse, bu hatasından yararlanacaktır. [6]

E.Hukuka Aykırılık

Madde metninde hukuk aykırı ibaresine yer verilmemiş olmasına rağmen, diğer bütün suçlar gibi verileri yok etmeme suçu açısından da fiil, hukuka aykırı olmalıdır. Verileri yok etmeme suçunda kanun koyucu hukuka aykırılık müessesini daraltarak kanuna aykırılığı ön plana çıkarmıştır. Kanunda belirtilen süre sonunda kişisel verilerin yok edilmemesi durumunda failin eylemi hukuka aykırı olmakta ve diğer unsurların da varlığı halinde suç oluşmaktadır. Bu suçta, kanunlarda ilgilinin rızasına bakılmaksızın, kanun’un emredici hükmü gereği kişisel verilerin fail tarafından yok edilmesi gerekirken yok edilmediğinden, mağdurun kişisel verilerinin yok edilmemesine rızası olsa bile, rıza eylemi hukuka uygun hale getirmeyecektir.

3.Suçun Özel Görünüş Şekilleri

A.Teşebbüs

Kişisel verilerin yok edilmemesi suçu, gerçek ihmali suç olduğundan suça teşebbüs mümkün değildir. Kanunda belirtilen süreler içinde verileri yok etmekle yükümlü kimsenin bu yükümlülüğünü yerine getirmemesiyle suç tamamlanmış ve bitmiş olur. Verileri yok etmekle görevli kişi,  kanunda belirtilen süreler geçtikten sonra ancak yetkili makamların bilgisi olmadan önce verileri yok etse dahi, ceza hukuku kapsamında sorumluluğu oluşmaktadır. Çünkü bu suç sürelerin geçmesi sonunda verilerin silinmesiyle tamamlanmış olur ve suç bakımından etkin pişmanlık hükümleri de düzenlenmemiştir.

B.İştirak

Kişisel verilerin yok edilmemesi suçu, sadece sistem içinde verileri yok etmekle yükümlü olan kişiler tarafından işlenebilen özgü suç olduğundan, TCK m.40/2 gereğince bu suçun işlenişine iştirak eden diğer kişiler, suçun icrasına yaptıkları katkı ne olursa olsun azmettiren ya da yardım eden olarak sorumlu tutulurlar.

C.İçtima

Kişisel verileri yok etmeme suçu ortak suç işleme kararı kapsamında aynı kişiye farklı zamanlarda işlenirse, TCK 43/1 gereğince zincirleme suç hükümleri uygulama alanı bulur ve bu durumda tek bir cezaya hükmedilip ceza dörtte birinden dörtte üçüne kadar arttırılır. Ancak aynı kişiye ilişkin aynı olaydan elden edilmiş kişisel verilerin, sistemden uzun süre yok edilmemesi, tek suç oluşturur.

Fail, kişisel verileri bulunduğu sistemden silip, başka bir yere kopyalarsa, bu durumda kişisel verileri yok etmeme suçu ve kişisel verilerin hukuka aykırı kaydedilmesi suçu oluşur.

Fail, kişisel verileri bulunduğu sistemden silmeyip aynı zamanda bu verileri bir başkasına verir ya da yayarsa bu durumda da hem TCK 136 kapsamında düzenlenen kişisel verileri hukuka aykırı olarak ele geçirme, yayma, verme suçu hem de TCK 138 kapsamında kişisel verileri yok etmeme suçu oluşur ve fail her birinden ayrı ayrı cezalandırılır.

4.Yaptırım ve Muhakeme

TCK’nın 138. Maddesine göre kanunlar tarafından belirlenen süreler geçmiş olmasına rağmen, verileri sistem içinde yok etmekle yükümlü olan fail, görevini yerine getirmezse bir yıldan iki yıla kadar hapis cezası ile cezalandırılır. Maddenin ikinci fıkrası gereğince kişisel verileri yok etmeme suçunun konusu, CMK hükümlerine göre ortadan kaldırılması ya da yok edilmesi gereken veriler olursa suçun temel şeklinde göre belirlenecek somut ceza bir kat arttırılır. Kişisel verileri yok etmeme suçunda, etkin pişmanlık hükümleri uyarınca cezanın indirilmesi mümkün değildir. Bu suç şikayete bağlı değildir. Savcılık tarafından resen soruşturulur, herhangi bir şikâyet süresi de yoktur. Kişisel verileri yok etmeme suçu nedeniyle verilen cezanın ertelenmesi, adli para cezasına çevrilmesi veya hükmün açıklanmasının geri bırakılması mümkündür. Bu suçla ilgili dava zamanaşımı süresi ise sekiz yıldır.[7]

5.Sonuç

“Kişisel verilerin korunmasını isteme” hakkı Anayasamızın 20. maddesinde düzenlenen “Özel Hayatın Gizliliği ve Korunması Hakkı” kapsamında değerlendirilen, kişinin temel hak ve özgürlüklerinden biri olarak Anayasal düzeyde tanınan ve korunan bir haktır. Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır. Bu açıdan bakıldığında, kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak, kişinin onur ve şahsiyetinin korunmasını sağlarken bir yandan da kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Böylesi önemli bir hakkı ihlal edici nitelikte fiillerle karşı karşıya kalınması durumunda, Türk Ceza Kanununda yaptırımlar öngörülmesi oldukça önemli ve caydırıcı olacaktır. Kanun maddesi, veri sorumlularına yükümlülük yüklerken, aslında kişisel verisi işlenen ilgili kişiler lehine de haklar doğmuştur. Verisi işlenen ilgili kişinin bu hakkını bilmesi önemlidir. Bu bağlamda İlgili kişi her zaman veri sorumlusuna başvurarak, hangi kişisel verilerinin ne amaçla, ne kadar süre saklanacağını öğrenebilecek ve böylece gereklilik hali ortadan kalktığında ya da kanunen arana süreler dolduğunda derhal kişisel verisinin silinmesini, kaldırılmasını, yok edilmesini yahut anonimleştirilmesini isteyebilecektir. Aksi halde ise veri sorumlusunun yaptırımla karşılaşabilmesi kaçınılmaz olacaktır.

KAYNAKÇA

[1]YAŞAR-GÖKCAN-ARTUÇ, s. 4133; DÜLGER, Bilişim Suçları, s.283

[2] ÖZBEK, TCK İzmir Şerhi, s. 965;PARLAR-HATİPOĞLU Türk Ceza Kanunu Yorumu, s.  2099

[3] DÜLGER, Bilişim Suçları, s.283; SOYASLAN, Ceza Özel, s.350

[4]KORKMAZ, Kişisel Verilerin Ceza Hukuku Kapsamında Korunması, 2. Baskı, Seçkin Yayınevi s.154

[5] SERT, Kişisel Verilerin Türk Ceza Kanunu Kapsamında Korunması, tez çalışması s.499

[6]  DÜLGER, Bilişim Suçları s.286

[7] AKDAĞ, Kişisel Verilerin Korunması s.147