Türk Ceza Kanunu m.138 Kapsamında “Verileri Yok Etmeme Suçu”

(5237 sayılı TCK m.138’in Ayrıntılı İncelemesi)

1. Giriş

Türk Ceza Kanunu’nun 138. maddesi, kişisel verilerin ve belirli soruşturma ile kovuşturma verilerinin kanuni saklama süresi dolduktan sonra yok edilmemesini suç haline getiren, kişisel verilerin korunması rejiminin ceza hukuku ayağını oluşturan temel düzenlemelerden biridir. Maddenin sistematik konumu itibarıyla “Özel hayata ve hayatın gizli alanına karşı suçlar” bölümünde yer alması, düzenlemenin özünde bir insan hakları ve özgürlükler normu olduğunu, salt teknik bir veri yönetimi kuralından ibaret görülmemesi gerektiğini ortaya koyar. Kişisel verilerin korunması, özellikle bilişim teknolojilerinin yaygınlaşması, veri işleme kapasitesinin katlanarak artması ve “büyük veri” çağının başlamasıyla birlikte artık klasik özel hayat koruma araçlarının ötesine geçen, bağımsız bir hak alanı haline gelmiştir. Kanunen silinmesi gereken verilerin sistemde tutulmaya devam edilmesini cezalandırır.

​

2. Sistematik Konum ve Madde Metni

TCK m.138’in birinci fıkrası “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.” Buna ek olarak, CMK kapsamında iletişimin tespiti, dinlenmesi, kayda alınması, teknik araçlarla izleme gibi koruma tedbirleri sonucu elde edilen kayıtların, kanunda öngörülen süre sonunda yok edilmemesi de maddenin uygulama alanına dahil edilmektedir. Böylece madde, yalnızca kişisel verilerin korunmasına değil, aynı zamanda ceza muhakemesinde elde edilen gizli nitelikteki kayıtların akıbetine de yönelmektedir.

Maddenin temel yapısı 5237 sayılı TCK’nın yürürlüğe girişinden bu yana korunmuş, ancak özellikle kişisel verilerin korunması hakkının anayasal güvence altına alınması (AY m.20/3) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesi sonrasında, maddeye yüklenen anlam genişlemiştir. Önceleri daha çok ceza soruşturmalarında elde edilen kayıtların yok edilmesi bağlamında tartışılan m.138, günümüzde veri sorumlularının KVKK çerçevesindeki “silme, yok etme veya anonim hâle getirme” yükümlülüğü ile birlikte okunmak zorundadır.

​

3. Korunan Hukuki Değer

Özel hayat, kişisel veri ve unutulma hakkı TCK m.138’in koruduğu hukuki değerlerdir. Sadece “veri” değil, verinin bağlı olduğu kişinin kişilik hakları ve özel hayatının gizliliğidir. Kişisel veri, bireyin kimliğini, sağlık durumunu, siyasal tercihlerini, ekonomik durumunu, sosyal ilişkilerini ortaya koyabilen her türlü bilgi olup, bu veriler üzerinde bireyin belirleyici olması, modern hukuk düzenlerinde temel bir hak olarak tanınmaktadır. Bu çerçevede: Kişisel verilerin belirli bir meşru amaç, hukuka uygunluk sebebi ve belirli bir süre için işlenmesi mümkündür. Ancak bu süre sona erdiğinde, veri artık işlenemez; sistemde gereksiz, amaçsız veya ölçüsüz şekilde tutulmaya devam edilmesi, kişinin özel hayatına gereksiz müdahale halini alır. Bu aşamadan sonra hukuk, veri sorumlularına veriyi silme/yok etme yükümlülüğü getirir; bu emre uyulmaması ise ceza hukuku bakımından yaptırıma bağlanmıştır. Dolayısıyla m.138, sadece bir teknik “saklama süresi ihlali” suçu değil, kişinin “unutulma hakkı” ve kişisel verileri üzerinde kontrol hakkının son aşamadaki güvencesidir. Verinin süresiz, kontrolsüz, amaçsız şekilde sistemlerde tutulması, bireyin hayatı boyunca peşini bırakmayan bir gölgeye dönüşebileceğinden, ceza normu bu riske karşı caydırıcı bir fonksiyon üstlenmektedir.

​

4. Suçun Konusu

4.1. Veri kavramı

Maddede “veri” kavramı geniş anlamıyla kullanılmıştır. E-posta kayıtları, telefon görüşme kayıtları, IP logları, banka hareketleri, sağlık kayıtları, kimlik bilgileri, adli sicil bilgileri, soruşturma dosyası kapsamında elde edilen teknik takip görüntüleri, ses kayıtları vb. tüm dijital ve dijitalleştirilebilir bilgiler, m.138 anlamında veri olarak kabul edilebilir. Veri, yalnızca elektronik ortamda değil, fiziksel ortamda (kâğıt, CD, DVD, hard disk, manyetik bant, mikrofilm vb.) da tutulsa maddenin kapsamına girebilir. Esas olan, verinin “sistem içinde” bulunması ve yok edilmesi yönünde hukuki bir zorunluluk doğmasıdır.

​

4.2. Kişisel Veri ve Hassas (Özel Nitelikli) Veriler

KVKK ve TCK m.135–138 birlikte değerlendirildiğinde, suçun konusunu çoğunlukla kişisel veriler oluşturmaktadır. Kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır. Buna göre: Ad-soyad, T.C. kimlik numarası, adres, telefon, e-posta, plaka, IP adresi, Eğitim bilgileri, özgeçmiş, performans değerlendirmeleri, Sağlık verileri, biyometrik veriler, genetik veriler, Ceza mahkûmiyeti, güvenlik soruşturması verileri, Dini, siyasi, felsefi görüş, sendika üyeliği gibi özel nitelikli veriler kişisel veri niteliğindedir. Bu verilerin kanuni saklama süresi bittiği hâlde sistemde tutulmaya devam edilmesi, m.138 kapsamında suç konusunu oluşturur. Özellikle özel nitelikli kişisel veriler söz konusu olduğunda, ihlalin ağırlığı artmaktadır. 

​

4.3. CMK Kapsamındaki Veriler

Maddenin önemli bir uygulama alanı da Ceza Muhakemesi Kanunu (CMK) kapsamında uygulanan koruma tedbirlerinden elde edilen kayıtlardır. Örneğin: İletişimin tespiti, dinlenmesi ve kayda alınması, Teknik araçlarla izleme, Gizli soruşturmacı, muhbir beyanları, Kamera görüntüleri, ses kayıtları ve diğer teknik izleme verileri belirli süre sonunda yok edilmek zorundadır. CMK, bu kayıtların belirli aralıklarla Cumhuriyet savcısı denetiminde gözden geçirilerek, artık dava veya soruşturmayla ilgisi kalmayanların derhal yok edilmesini öngörür. Bu yükümlülüğe aykırı davranılması hâlinde, m.138 devreye girer.

​

5. Suçun Faili, Mağduru ve Hukuki Niteliği

5.1. Fail

TCK m.138, “verileri sistem içinde yok etmekle yükümlü olan” kişiyi fail olarak tanımlar. Buradan hareketle suçun özgü (mahsus) bir suç olduğu söylenebilir. Yani herkes bu suçun faili olamaz; yalnızca veriyi yok etme konusunda hukuki yetki ve sorumluluğu bulunan kişiler fail olabilir. Bu kapsamda fail olabilecek kişiler: Kamu kurum ve kuruluşlarında veri işleme yetkisi bulunan görevliler (nüfus müdürlüğü, SGK, emniyet, mahkemeler, savcılıklar, sağlık kurumları, belediyeler, üniversiteler vb. veri sorumlusunun yetkilendirdiği personel), Özel hukuk tüzel kişilerinde (şirketler, bankalar, hastaneler, sigorta şirketleri, okullar, işverenler) veri sorumlusu veya veri sorumlusu adına hareket eden yetkili çalışanlar, Ceza muhakemesinde kayıtların yok edilmesinden sorumlu adli kolluk, savcılık personeli, adliye görevlileri, adli bilişim görevlileri. Önemli olan, kişinin fiilen veya hukuken yetkili olması, yani verinin silinmesine ilişkin karar alma ve teknik işlemi gerçekleştirme yükümlülüğünü taşımasıdır. Bu yetki ve yükümlülük, iç yönergeler, yönetmelikler, görevlendirme yazıları veya fiili görev dağılımıyla belirlenebilir.

​

5.2. Mağdur

Bu suçta mağdur, verisi silinmeyen gerçek kişidir. Veri çoğunlukla gerçek kişiye ait olacağından, mağdurun da daima gerçek kişi olduğu söylenebilir. Tüzel kişilere ait veriler söz konusu olduğunda, TCK 138 doğrudan uygulanmaz. Ancak uygulamada tüzel kişinin verisi içinde bireylere ait kişisel veriler de yer aldığında, suçun konusu yine kişisel veriler üzerinden varlığını korur. Mağdurun belirlenebilir olması gerekir. Tamamen anonim hale gelmiş, bir kişiyle bağlantısı kurulamayacak veriler söz konusuysa, m.138 anlamında kişisel veriden söz edilemeyeceğinden suçun konusu da ortadan kalkar.

​

5.3. Suçun Hukuki Niteliği

TCK 138, saf kastla işlenebilen, ihmali davranışla işlenebilen ve özgü fail gerektiren bir suçtur. Doktrinde genel olarak: Suçun ihlali (omissio), yani yapılması gereken silme/yok etme işleminin yapılmaması ile gerçekleştiği, Neticesi hareketsiz suç niteliğinde olduğu, Failin konumundan kaynaklanan özel bir yükümlülüğü ihlal ettiği kabul edilmektedir. Bu yönüyle, TCK m.21 kapsamındaki kastla işlenmesi gerekir; taksirli hali düzenlenmemiştir.

​

6. Maddi Unsur Fiil, Konu, Netice ve Nedensellik Bağı

6.1. Fiil

Maddenin tipik fiili, kanunların belirlediği süreler geçmesine rağmen, veriyi sistem içinde yok etmemedir. Buradaki “yok etme” deyimi, yalnızca “silme” işlemini değil, verinin yeniden erişilemeyecek, geri getirilemeyecek şekilde ortadan kaldırılmasını ifade eder. Bu, teknik açıdan: Verinin kalıcı olarak silinmesi, İlgili kayıtların geri yüklenemeyecek biçimde imha edilmesi, Fiziksel ortamda ise kâğıtların, CD/DVD’lerin, disklerin usulüne uygun imhası şeklinde gerçekleştirilebilir. Fiilin olumsuz hareket (ihmal) şeklinde ortaya çıkması tipiktir. Fail, yapması gereken silme/imha işlemini yapmayarak suçu oluşturur. 

​

6.2. “Kanunların belirlediği sürelerin geçmiş olması” Şartı

Suçun oluşabilmesi için öncelikle verinin saklanma süresinin kanunla belirlenmiş olması ve bu sürenin dolmuş bulunması gerekir. Bu süre: Bizzat TCK veya CMK gibi ceza mevzuatında, Özel kanunlarda yani Bankacılık Kanunu, Sosyal Sigortalar Kanunu, Vergi Usul Kanunu, Sağlık Hizmetleri temel mevzuatı vb. kanularda bazı durumlarda ise KVKK ve buna dayalı yönetmelik, ilke kararlarıyla tespit edilebilir. Örneğin, CMK’da iletişimin tespiti, dinlenmesi ve kayda alınması suretiyle elde edilen kayıtların, kovuşturmaya yer olmadığı veya beraat kararı verilmesi hâlinde yok edilmesi gerektiği açıkça düzenlenmiştir. Bankacılık mevzuatı, müşteri işlem kayıtlarının belirli sürelerle saklanmasını zorunlu tutarken, bu süre dolduğunda verinin gereksiz tutulması hukuken korunmamaktadır. KVKK, kişisel verilerin işleme amacının ortadan kalkması veya işleme sebebinin sona ermesi hâlinde, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini öngörür. Uygulamada bu yükümlülüğe uyulmaması, TCK 138 bakımından “yok etmeme” fiiline zemin oluşturabilir. Süreyi belirleyen kuralın “kanun” olması gerektiği vurgulanmıştır. Ancak KVKK’ya dayanan ikincil mevzuatla belirlenen saklama süreleri de, kanunun verdiği yetki sebebiyle çoğunlukla dikkate alınır. Önemli olan, veri sorumlusunun “hukuken artık saklama yükümlülüğünün kalmadığı” ve buna rağmen veriyi sistemde tuttuğunun ortaya konulmasıdır.

​

6.3. Netice ve Nedensellik Bağı

Suçun neticesi, kanuni sürenin dolmasına rağmen verinin sistem içinde varlığını sürdürmesidir. Bu netice, failin silme yükümlülüğünü yerine getirmemesiyle doğrudan bağlantılıdır. Eğer fail silme işlemini zamanında yapsaydı, netice  meydana gelmeyecekti, dolayısıyla nedensellik bağı açıktır.

​

7. Manevi Unsur

Kast, olası kast ve taksir TCK m.138, kastla işlenebilen bir suçtur. Fail, veriyi yok etmekle yükümlü olduğunu bilmesine rağmen, kanuni süre dolduğu hâlde bunu bilerek ve isteyerek yapmamaktadır. Kastın unsurları: Fail, verilerin saklanma süresini ve sürenin dolduğunu bilmektedir. Bu bilince rağmen, silme/yok etme işlemini gerçekleştirmemekte, veriyi sistemde tutmaya devam etmektedir. Bu durumda doğrudan kast söz konusudur. Uygulamada sıkça rastlanan bir durum, kurum içi organizasyon bozukluğu veya ihmal nedeniyle verilerin zamanında silinmemesi hâlidir. Bu gibi durumlarda, eğer veri sorumlusunun yetkili kişisi, saklama süresini ve dolduğunu biliyor, hatırlatıldığı hâlde yine de işlem yapmıyorsa, en azından olası kast tartışılabilir. Ancak Yargıtay uygulamasında, çoğunlukla bilerek ve isteyerek veriyi tutmaya devam etme hali aranmakta;dır. Salt teknik ihmal ve unutkanlık durumlarında kastın ispatı güç olabilmektedir. TCK m.22’de düzenlenen taksirli sorumluluk, m.138 için öngörülmemiştir. Dolayısıyla sırf dikkatsizlik, tedbirsizlik veya özensizlikle verilerin zamanında silinmemesi tek başına suç teşkil etmeyecektir. bu gibi durumlarda idari veya disiplin yaptırımlarının devreye girmesi söz konusu olur.

​

8. Hukuka Aykırılık ve Hukuka Uygunluk Sebepleri

Suçun hukuka aykırılığı, verilerin saklama süresi dolduğu hâlde, herhangi bir hukuka uygun sebep olmaksızın sistemde tutulmasından kaynaklanır. Ancak bazı hâllerde: Yeni bir kanuni düzenleme ile saklama süresi uzatılmış olabilir. Veri, devam eden bir dava, idari soruşturma veya hak arama süreci açısından zorunlu delil niteliği taşıyabilir, Kişinin açık rızasıyla, yeni bir işleme amacı için verinin saklanması mümkün olabilir (örneğin eski müşterinin, yeni kampanyalar için verisinin korunmasına rıza göstermesi gibi). Bu tür durumlarda, verinin sistemde tutulması hukuka uygunluk sebebine dayanıyorsa, TCK 138 anlamında hukuka aykırılık unsuru gerçekleşmez. Öte yandan, veri sorumluları çoğu zaman hem kanuni saklama yükümlülüğünün devam ettiği gerekçesiyle verileri silmekten kaçınmakta, hem de KVKK bağlamında “artık gerek yok ama başka uyuşmazlıklar için delil olabilir” şeklinde genel bir savunma geliştirmektedir. Burada dikkat edilmesi gereken nokta: Genel ve soyut ihtimaller, tek başına silmeme sebebi olarak kabul edilemez. Verinin saklanmasının zorunlu olduğu, belirli ve somut bir uyuşmazlık veya kanuni düzenlemeyle ilişkilendirilebilmelidir. Aksi halde, hukuki sebep kalmayan verinin sistemde tutulması hukuka aykırı sayılır.

​

9. Suçun Özel Görünümleri

Ceza muhakemesinde uygulanan koruma tedbirleri, kişilerin özel hayatına ve haberleşme hürriyetine ağır müdahale niteliği taşır. Bu müdahalelerin meşruiyeti, sıkı yasal şartlara bağlılık ve elde edilen kayıtların amaç dışında kullanılmaması ile mümkündür. CMK özellikle iletişimin dinlenmesi ve kayda alınması, Teknik araçlarla izleme, Gizli soruşturmacı uygulamaları sonucu elde edilen kayıtların, soruşturma veya kovuşturma bakımından bir önem taşımaması veya artık kullanılmayacak olmaları hâlinde yok edilmesini öngörmektedir. Bu yok etme işleminin yapılmaması TCK m.138 kapsamında suç teşkil eder. Burada özellikle kolluk kuvvetlerinin arşivlerinde tutulan dinleme/deşifre kayıtları, Emniyetin veya jandarmanın istihbari amaçla tuttuğu, ancak artık hukuken kullanılmaması gereken ses/video kayıtları, Savcılık dosyalarında beraat ya da kovuşturmaya yer olmadığı kararından sonra tutulmaya devam edilen teknik takip verileri sıkça tartışma konusu olmaktadır. Yargı içtihadı, bu tür kayıtların derhal ve belgelendirilerek yok edilmesini zorunlu görmekte; aksi hâlde hem özel hayat hakkının ihlali hem de TCK 138 sorumluluğu doğabileceğini kabul etmektedir.

​​

6698 sayılı KVKK, kişisel verilerin işlenmesi, saklanması ve silinmesine ilişkin ayrıntılı bir çerçeve çizer. KVKK’ya göre Kişisel veriler, işleme amacının gerektirdiği süre kadar saklanabilir. Amaç ortadan kalktığında veya işleme sebebi sona erdiğinde, veri sorumlusu verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Kurul kararları ve ikincil mevzuatta, “saklama ve imha politikaları” hazırlanması, periyodik imha süreçleri gibi kurumsal yükümlülükler düzenlenmiştir. Bu yükümlülüklere aykırı davranılması halinde, KVKK idari para cezaları öngörür. Ancak saklama süresi dolmuş ve artık silinmesi gereken verilerin, buna rağmen sistemde tutulmaya devam edilmesi durumunda, ihlal sadece idari yaptırımla sınırlı kalmayıp TCK m.138 çerçevesinde ceza sorumluluğu da gündeme gelebilir. Bu nedenle veri sorumluları açısından: KVKK’ya uygun imha politikaları geliştirmek, Saklama sürelerini kanuna ve işleme amacına uygun şekilde belirlemek, Periyodik imha işlemlerini gerçekten yapmak ve belgelemek sadece idari değil, ceza hukuku riskinin de yönetilmesi bakımından hayati önemdedir.

​

9.3. Sektörel Risk Alanları

Uygulamada TCK 138 bakımından özellikle riskli görülebilecek sektörler şunlardır: Bankacılık ve finans sektörü: Kredi, hesap hareketleri, müşteri risk profilleri, kimlik teyit belgeleri gibi çok sayıda kişisel veri uzun süre saklanmaktadır. Süre sonunda gereksiz verilerin tutulmaya devam edilmesi, ciddi risk doğurur. Sağlık sektörü: Hastaneler, klinikler, sigorta şirketleri, son derece hassas sağlık verilerini işlemektedir. Burada hem özel nitelikli veri hem de uzun saklama süreleri söz konusudur. Telekomünikasyon ve internet hizmet sağlayıcıları: Trafik logları, IP kayıtları, konum verileri, arama ve SMS kayıtları gibi haberleşme verileri, hem özel hayat hem de haberleşme hürriyetini ilgilendirir. İşverenler ve insan kaynakları departmanları: İş başvurusu yapan adayların özgeçmişleri, mülakat kayıtları, eski çalışanların performans ve disiplin dosyaları; iş ilişkisinin bitmesinden sonra ne kadar tutulabileceği dikkatle belirlenmelidir. Güvenlik ve site yönetimleri: Kamera kayıtlarının, apartman/site yönetimleri tarafından uzun yıllar saklanması, kanuni saklama süresi olmamasına rağmen “her ihtimale karşı” tutulması, m.138 yönünden sorun doğurabilir. Bu sektörlerde, saklama ve imha politikaları ile TCK 138’in birlikte düşünülmesi, compliance (uyum) programlarının ceza hukuku boyutunun ciddiyetle ele alınması gerekir.

​

10. Suçun tamamlanma zamanı, teşebbüs ve içtima

10.1. Tamamlanma zamanı

TCK 138 suçu, kanunların belirlediği saklama süresi dolduğu hâlde verinin sistem içinde tutulmaya devam edildiği anda tamamlanır. Bu yönüyle suç: Bir defaya mahsus anlık bir ihlal değil, Devam eden suç niteliği gösterebilir. Zira veri sistemde tutulmaya devam ettiği sürece ihlal sürmektedir. Bu devamlılık, özellikle zamanaşımı ve görevli mahkeme bakımından önem taşır. Devam eden suçlarda zamanaşımı, ihlalin sona erdiği tarihten itibaren işlemeye başlar. Dolayısıyla yıllarca silinmeyen kayıtlar için, zamanaşımı süresi de buna göre hesaplanacaktır.

​

10.2. Teşebbüs

Suçun tipik hali bir ihmal üzerinden gerçekleştiği için, teşebbüsün klasik anlamda uygulanması zordur. Ancak bazı yazarlar, verinin yok edilmesi için süreç başlatılmış fakat teknik sebeplerle tamamlanamamışsa, örneğin yanlış veri setinin silinmesi gibi durumlarda teşebbüs veya eksik suç tartışılabileceğini ileri sürmektedir. Pratikte ise m.138 bakımından teşebbüs hükümlerine ilişkin örnekler sınırlıdır.

​

10.3. İçtima (fikri ve gerçek içtima)

Verileri yok etmeme suçu, çoğu zaman diğer kişisel veri suçlarıyla veya başka suçlarla birlikte gündeme gelebilir: Aynı veri seti önce hukuka aykırı kaydedilmiş (m.135), sonra hukuka aykırı olarak üçüncü kişilere verilmiş (m.136) ve sonunda süresi dolduğu hâlde silinmemiş olabilir (m.138). Bu durumda, her bir madde ayrı hukuki yararları koruduğundan, gerçek içtima söz konusu olabilir. Her suç tipi ayrı ayrı değerlendirilir ve fail her birinden sorumlu tutulabilir. Buna karşılık, verinin silinmemesi başka bir suçun unsuru veya nitelikli hali olarak düzenlenmemiş ise, m.138 bağımsız suç olarak uygulanır. Örneğin, bir banka çalışanının, süre dolduğu halde silinmeyen eski müşteri verilerini haksız kazanç elde etmek üzere üçüncü kişilere satması hâlinde, hem verileri hukuka aykırı olarak verme (m.136) hem de verileri yok etmeme (m.138) suçları için içtima tartışması yapılacaktır.

​

11. Yaptırım, Muhakeme Usulü, Şikâyet ve Uzlaştırma

11.1. Yaptırım

TCK m.138, verileri yok etmeme fiilini 1 yıldan 2 yıla kadar hapis cezası ile cezalandırır. Alt sınırın 1 yıl olması: Hükmün açıklanmasının geri bırakılması (HAGB), Erteleme, Adli para cezasına çevrilme gibi kurumların uygulanabilirliği bakımından önemlidir. Hakim, somut olayın özelliklerine göre, özellikle: Verilerin niteliği (özel nitelikli veri olup olmadığı), Mağdur sayısı, Failin kast derecesi ve amaçları, Silmeme süresinin uzunluğu gibi ölçütlere göre cezanın alt veya üst sınıra yakın belirlenmesine karar verebilir. Tüzel kişiler bakımından ise, TCK m.140 uyarınca güvenlik tedbirleri (faaliyetin durdurulması, lisans iptali, müsadere vb.) gündeme gelebilir. Çünkü m.135–138 arasında yer alan suçlar, tüzel kişi bünyesinde işlenebilen suçlardandır.

​

11.2. Şikâyet, uzlaştırma ve zamanaşımı

TCK m.139’da, kişisel verilerle ilgili maddelerin bazılarında şikâyet şartı öngörülmüştür. Ancak m.138, korunan hukuki değerin ağırlığı ve kamu düzeni niteliği nedeniyle şikâyete bağlı suçlar arasında sayılmamaktadır. Bu nedenle: Suç, savcılık tarafından re’sen soruşturulur. Mağdurun şikâyetinden bağımsız olarak, ihlalin öğrenilmesi hâlinde kamu davası açılabilir. Uzlaştırma bakımından ise, suçun yapısına ve yaptırım aralığına göre uzlaştırma kapsamına girip girmediği, yürürlükteki uzlaştırma listesine göre ayrıca değerlendirilmelidir. Uygulamada, kişisel verilerin korunması suçları, mağdurun iradesini de dikkate alan bir yaklaşımla kimi zaman uzlaştırma kapsamına alınabilmektedir; ancak bu, dönemsel mevzuat ve uygulamaya göre değişkenlik gösterebilen bir alandır. Zamanaşımı, suçun yaptırım aralığı dikkate alınarak TCK’daki genel dava zamanaşımı süreleri üzerinden hesaplanır. Suçun devam eden suç niteliği taşıması sebebiyle, zamanaşımı verilerin nihai olarak silindiği veya yok edildiği tarihten itibaren işlemeye başlar.

 

12. Uygulama Sorunları ve İspat Güçlükleri

12.1. Saklama süresinin tespiti

En önemli uygulama sorunlarından biri, somut olayda verilerin hangi kanuna dayanarak ne kadar süre saklanması gerektiğinin belirlenmesidir. Çünkü bazı sektörlerde saklama süreleri doğrudan kanunda düzenlenmiştir (örneğin vergi kayıtları, bankacılık işlem kayıtları). Fakar bazı sektörlerde ise süreler daha çok yönetmelik, genelge, kurul kararı gibi ikincil düzenlemelerle belirlenmektedir. Bu durum TCK 138’in “kanunların belirlediği süre” ifadesiyle örtüştürülürken tartışma yaratmaktadır. Yargılamada savcılık ve mahkemeler, somut olayda uygulanması gereken saklama süresini, ilgili sektörel mevzuatı ve KVKK çerçevesini birlikte değerlendirerek belirlemek zorundadır. Bu da teknik bilgi gerektiren, çoğu zaman uzman görüşüne başvurulmasını gerektiren bir süreçtir.

​

12.2. Verilerin Güncel Durumu

Bir diğer sorun, veri sorumlusunun, verileri gerçekte silip silmediğinin tespitidir. Uygulamada, verilerin sistemden silindiği ileri sürülmekte ancak yedekler, log kayıtları, arşivler gibi alanlarda fiilen tutulmaya devam edilebilmektedir. Özellikle bulut sistemleri, üçüncü taraf hizmet sağlayıcıları, yurt dışındaki sunucular gibi karmaşık yapılarda, verinin gerçekten yok edilip edilmediğinin denetimi oldukça güçtür. Ceza yargılaması açısından, TCK 138’in uygulanabilmesi için verinin güncel olarak sistem içinde erişilebilir veya geri getirilebilir durumda olduğunun, Silinmesi yönünde hukuki yükümlülük varken bu işlemin yapılmamış olduğunun ispatlanması gerekir. Bu doğrultuda, adli bilişim incelemeleri, log kayıtlarının analizi, yedekleme politikalarının incelenmesi gibi teknik deliller büyük önem taşır.

​

12.3. Kurumsal sorumluluk ve kişisel sorumluluk ayrımı

Kurumsal yapılarda, verilerin silinmesi ve saklanmasıyla ilgili süreçler genellikle birden fazla birimin ortak işleyişiyle yönetilir. Bu durumda hangi personelin fiilen silme yükümlülüğüne sahip olduğu, İç yönergelerin ve görev tanımlarının ne olduğu, silme sürecinin hangi aşamasında ihmal veya kastın gerçekleştiği ayrıntılı şekilde ortaya konulmalıdır. TCK 138, somut bir gerçek kişiyi fail olarak aradığından, kurum içinde sorumluluğu netleştirmeden ceza sorumluluğu tesis etmek sağlıklı olmayacaktır. Öte yandan, tüzel kişi hakkında güvenlik tedbirleri uygulanabilmesi için, fiilin tüzel kişinin yararına işlenmiş olması da ayrıca dikkate alınmalıdır.​

​

13. Uyum, Önleyici Tedbirler ve Pratik Öneriler

TCK m.138, pratikte yalnızca mahkeme salonlarında gündeme gelen bir norm olarak değil, kurumsal uyum programlarının da merkezinde yer alması gereken bir hüküm olarak görülmelidir. Kurumlar ve veri sorumluları için şu hususlar özellikle önem taşır:

Veri envanteri ve sınıflandırma: Kurumun elinde bulunan kişisel veriler tür, kaynak, işleme amacı, saklama süresi ve hukuki dayanak bakımından envanter hâline getirilmeli; hangi veri setinin hangi süreyle saklanacağı netleştirilmelidir.

Saklama ve imha politikası: KVKK ve ilgili sektörel mevzuata uygun, yazılı bir “saklama ve imha politikası” hazırlanmalı; bu politika doğrultusunda periyodik imha işlemleri yapılmalıdır.

Teknik ve idari tedbirler: Verilerin silinmesi için teknik süreçler (otomatik silme, arşivden çıkarma, geri dönüşümsüz imha) kurulmalı; bu süreçlerden sorumlu kişiler açıkça belirlenmelidir.

Eğitim ve farkındalık: Kurum içi eğitimlerle, çalışanlara kişisel verilerin korunması ve özellikle silme/yok etme yükümlülükleri anlatılmalı; TCK 138 kapsamındaki ceza sorumluluğu konusunda farkındalık oluşturulmalıdır. Belgelendirme ve denetim: Yapılan silme ve imha işlemleri mutlaka belgelenmeli; log kayıtları, tutanaklar, imha raporları düzenlenmelidir. Böylece olası bir yargılama durumunda, kurum üzerine düşeni yaptığını kanıtlayabilir. Sözleşmesel düzenlemeler: Üçüncü taraf hizmet sağlayıcılarla (bulut servisleri, dış kaynaklı IT firmaları, arşiv hizmetleri vb.) yapılan sözleşmelere, verilerin saklama süresi sonunda yok edilmesine ilişkin açık hükümler konulmalı; bu yükümlülüklerin yerine getirilmesi denetlenmelidir. Bu önleyici tedbirler, yalnızca KVKK idari yaptırımlarından kaçınmak için değil, aynı zamanda TCK 138 kapsamındaki ceza sorumluluğu riskini minimize etmek için de zorunludur.

​

14. Sonuç

TCK m.138, dijitalleşen dünyada kişisel verilerin korunması, özel hayatın gizliliği ve unutulma hakkının ceza hukuku bağlamındaki en önemli güvencelerinden biridir. Madde, verilerin hukuka aykırı elde edilmesi veya paylaşılması aşamasından sonra, artık saklanma sebebinin ortadan kalktığı son noktaya odaklanır ve bu noktada silinmesi gereken verilerin sistem içinde tutulmaya devam edilmesini suç sayar. Maddenin sağlıklı uygulanabilmesi için: Her somut olayda verinin saklanma süresinin hangi kanuni düzenlemeye dayandığı, Bu sürenin ne zaman dolduğu, Veriyi silme yükümlülüğünün kimde olduğu, Failin kastının varlığı ve derecesi, Verilerin gerçekten sistemde tutulup tutulmadığı ayrıntılı biçimde ortaya konulmalıdır. Kurumlar açısından ise, TCK 138’i sadece bir “ceza tehdidi” olarak görmek yerine, veri yönetim kültürünün ayrılmaz bir parçası olarak ele almak, KVKK ve diğer sektörel mevzuatla uyumlu saklama ve imha politikaları geliştirmek, uzun vadede hem hukuki hem de itibar risklerini azaltacaktır. Son tahlilde TCK m.138, bireyin dijital çağdaki kırılganlığını azaltmayı amaçlayan, modern ceza hukukunun kişisel veriler alanındaki temel dayanaklarından biridir. Doğru yorumlandığında ve öngörülebilir standartlarla uygulandığında, hem kişi hak ve özgürlüklerini hem de hukuki öngörülebilirliği güçlendiren bir işlev görür; yanlış veya aşırı geniş uygulandığında ise, veri işleyen kamu ve özel sektör aktörleri için belirsizlik ve tedirginlik kaynağı haline gelebilir. Bu nedenle, hem yargı organlarının hem de uygulayıcıların, maddenin ruhunu ve sistematik konumunu gözeterek, hak eksenli ve ölçülü bir uygulama geliştirmeleri büyük önem taşımaktadır. 

​

15.Sık Sorulan Sorular

• TCK 138 şikayete tabi mi?

  • Cevap: Hayır, TCK 138 kapsamındaki verileri yok etmeme suçu şikayete tabi değildir; savcılık tarafından resen (kendiliğinden) soruşturulur.

• Verileri yok etmeme suçunda etkin pişmanlık var mı?

  • Cevap: TCK 138 maddesi için özel bir etkin pişmanlık hükmü düzenlenmemiştir, ancak genel hükümler çerçevesinde değerlendirilebilir.

• KVKK ile TCK 138 arasındaki fark nedir?

  • Cevap: KVKK idari para cezaları ve veri işleme disiplinini düzenlerken, TCK 138 bu yükümlülüğün ihlalini hapis cezası gerektiren bir suç olarak tanımlar.

​

Yasal Uyarı: Bu makalede yer alan bilgiler yalnızca genel bilgilendirme amaçlıdır ve bir avukatın hukuki mütalaası ya da danışmanlığı yerine geçmez. TCK 138 ve ilgili mevzuat karmaşık yapıda olup, her somut olay kendi özelinde değerlendirilmelidir. Bu içerikteki bilgilerden kaynaklı oluşabilecek hak kayıplarından yazar veya web sitesi sorumlu tutulamaz. Hukuki süreçleriniz için profesyonel bir hukukçuya danışmanız tavsiye edilir.