Dijital çağda kişisel verilerin korunması hayati önem taşırken, verilerin zamanında imha edilmemesi ciddi hukuki sonuçlar doğurmaktadır. TCK 138. madde kapsamında düzenlenen kişisel verileri yok etmeme suçu, veri güvenliğinin sağlanmasında kritik bir rol oynamaktadır. Bu yazıda, kişisel verileri yok etmeme suçunun unsurlarını, cezai yaptırımlarını ve ilgili Yargıtay kararlarını detaylı olarak inceliyoruz.

Kişisel Verileri Yok Etmeme Suçunun Tanımı ve Yasal Çerçevesi

Dijital çağın getirdiği teknolojik gelişmeler, kişisel verilerin korunması konusunu her geçen gün daha önemli hale getirmektedir. Kişisel verilerin hukuka uygun şekilde işlenmesi kadar, bu verilerin gerektiğinde usulüne uygun olarak imha edilmesi de büyük önem taşımaktadır. Türk hukuk sisteminde kişisel verilerin korunmasına ilişkin düzenlemeler, başta Anayasa olmak üzere çeşitli kanunlarda yer almaktadır. Bu düzenlemeler arasında, kişisel verilerin yok edilmemesi durumunda uygulanacak cezai yaptırımları düzenleyen TCK md. 138 özel bir öneme sahiptir.

Suçun Düzenlendiği Kanun Maddeleri

Kişisel verileri yok etmeme suçu, 5237 sayılı Türk Ceza Kanunu'nun 138. maddesinde "Verileri Yok Etmeme" başlığı altında düzenlenmiştir. Bu suç, TCK'nın "Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar" bölümünde yer almaktadır. Bu durum, kanun koyucunun kişisel verilerin korunmasını özel hayatın gizliliği kapsamında değerlendirdiğini göstermektedir.

TCK md. 138/1'e göre: "Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir." Bu hüküm, kişisel verilerin kanunlarda öngörülen sürelerin dolmasından sonra sistemden silinmemesi durumunda uygulanacak temel cezayı belirlemektedir.

Maddenin ikinci fıkrası olan TCK md. 138/2'de ise özel bir durum düzenlenmiştir: "Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması gereken veriler olması halinde, verilecek ceza bir kat artırılır." Bu hüküm, özellikle adli soruşturma ve kovuşturma süreçlerinde elde edilen ve sonrasında imha edilmesi gereken verilerin (örneğin DNA örnekleri, parmak izleri gibi biyometrik veriler) yok edilmemesi durumunda cezanın ağırlaştırılacağını öngörmektedir.

Kişisel verilerin korunmasına ilişkin anayasal dayanak ise Anayasa m. 20/3'te yer almaktadır. Bu hükme göre: "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar." Bu anayasal düzenleme, kişisel verilerin korunmasını temel bir hak olarak tanımlamakta ve bu hakkın kapsamını belirlemektedir.

Kişisel verilerin korunmasına ilişkin özel düzenlemeler ise 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yer almaktadır. Bu kanun, kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemekte, veri sorumlularının yükümlülüklerini belirlemekte ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin hükümler içermektedir. Kanunun 7. maddesi, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, veri sorumlusu tarafından re'sen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğini düzenlemektedir.

Suçun Hukuki Niteliği

Kişisel verileri yok etmeme suçu, hukuki niteliği bakımından özgü suç kategorisinde değerlendirilmektedir. Bu suçun faili, ancak kanunların belirlediği sürelerin geçmesine rağmen verileri sistem içinde yok etmekle yükümlü olan kişiler olabilir. Bu kişiler, genellikle veri sorumlusu veya veri işleyen sıfatını taşıyan gerçek veya tüzel kişilerdir.

Suç, ihmali hareketle işlenebilen bir suçtur. Failin, kanunların belirlediği sürelerin geçmesine rağmen verileri sistem içinde yok etme yükümlülüğünü yerine getirmemesi, suçun maddi unsurunu oluşturmaktadır. Bu yönüyle suç, bir görevin yerine getirilmemesi şeklinde gerçekleşmektedir.

Manevi unsur açısından değerlendirildiğinde, kişisel verileri yok etmeme suçu kasten işlenebilen bir suçtur. Failin, kanunların belirlediği sürelerin geçtiğini ve verileri yok etme yükümlülüğünün doğduğunu bilmesine rağmen, bu yükümlülüğü yerine getirmemesi gerekmektedir. Suçun taksirle işlenmesi mümkün değildir.

Suçun oluşması için, verilerin hukuka uygun şekilde elde edilmiş olması şartı aranmaktadır. Eğer veriler hukuka aykırı şekilde elde edilmişse, bu durumda TCK'nın 135. maddesinde düzenlenen "kişisel verilerin kaydedilmesi" veya 136. maddesinde düzenlenen "kişisel verileri hukuka aykırı olarak verme veya ele geçirme" suçları gündeme gelebilir.

Kişisel verileri yok etmeme suçu, re'sen soruşturulan bir suçtur. Yani, bu suçun soruşturulması için mağdurun şikâyette bulunması şartı aranmamaktadır. Savcılık, bu suçun işlendiğini öğrendiği anda kendiliğinden soruşturma başlatabilir.

Suçun teşebbüse elverişli olmadığı kabul edilmektedir. Çünkü suç, ihmali hareketle işlenen bir suç olup, kanunların belirlediği sürelerin geçmesine rağmen verileri yok etme yükümlülüğünün yerine getirilmemesiyle tamamlanmaktadır. Bu nedenle, suçun icra hareketlerinin kısımlara bölünebilmesi ve failin elinde olmayan nedenlerle tamamlanamaması söz konusu değildir.

Kişisel verileri yok etmeme suçunun dava zamanaşımı süresi 8 yıldır. Bu süre, suçun işlendiği tarihten itibaren başlar ve bu süre içinde dava açılmazsa, artık fail hakkında kamu davası açılamaz.

Kişisel Verileri Yok Etmeme Suçunun Unsurları

Kişisel verileri yok etmeme suçu, Türk Ceza Kanunu'nun 138. maddesinde düzenlenmiş olup, "Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar" bölümünde yer almaktadır. Bu suçun oluşabilmesi için belirli unsurların bir araya gelmesi gerekmektedir. Bu bölümde, suçun maddi ve manevi unsurları ile hukuka aykırılık unsuru detaylı olarak incelenecektir.

Suçun Maddi Unsurları

Kişisel verileri yok etmeme suçunun maddi unsurları, suçun fiil, fail, mağdur ve konu bakımından incelenmesini gerektirir.

Fail açısından değerlendirildiğinde, bu suç bir özgü suç niteliğindedir. Yani herkes tarafından değil, sadece kanunların belirlediği sürelerin geçmesine rağmen verileri sistem içinde yok etmekle yükümlü olan kişiler tarafından işlenebilir. Bu kişiler genellikle veri sorumlusu veya veri işleyen sıfatını taşıyan gerçek veya tüzel kişilerdir.

Mağdur bakımından, suçun mağduru verileri silinmeyen gerçek kişilerdir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu nedenle, tüzel kişilere ait veriler bu suçun konusunu oluşturmaz.

Fiil unsuru açısından, suç ihmali hareketle gerçekleşir. Kanunların belirlediği sürelerin geçmesine rağmen, verileri sistem içinde yok etmekle yükümlü olanların bu görevlerini yerine getirmemesi şeklinde ortaya çıkar. KVKK madde 7'ye göre, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmek, yok edilmek veya anonim hâle getirilmek zorundadır.

Suçun konusu, hukuka uygun şekilde elde edilmiş olan kişisel verilerdir. Eğer veriler başlangıçta hukuka aykırı şekilde elde edilmişse, bu durumda TCK'nın 135. maddesindeki "kişisel verilerin kaydedilmesi" suçu oluşabilir.

Suç, teşebbüse elverişli değildir. Çünkü ihmali bir hareketle işlenmekte olup, ya görev yerine getirilmemiştir ve suç tamamlanmıştır ya da görev yerine getirilmiştir ve suç oluşmamıştır.

Suçun Manevi Unsuru

Kişisel verileri yok etmeme suçu, kasten işlenebilen bir suçtur. Failin, kanunların belirlediği sürelerin geçtiğini ve verileri yok etme yükümlülüğünün doğduğunu bilmesi ve buna rağmen bu yükümlülüğü yerine getirmemesi gerekmektedir.

Bu suç, olası kastla da işlenebilir. Yani fail, verileri yok etme yükümlülüğünün doğduğunu öngörmesine rağmen, bu sonucu kabullenerek hareketsiz kalabilir.

Suçun taksirle işlenmesi mümkün değildir. Örneğin, failin ihmal veya dikkatsizlik sonucu verileri yok etme yükümlülüğünü unutması durumunda, suçun manevi unsuru oluşmaz ve cezai sorumluluk doğmaz. Ancak bu durum, idari yaptırımların uygulanmasına engel değildir.

KVKK madde 17/2 uyarınca, kişisel verilerin silinmemesi durumunda idari para cezaları uygulanabilir. Bu yaptırımlar, cezai sorumluluğun yanı sıra ayrıca değerlendirilir.

Suçun dava zamanaşımı süresi 8 yıl olup, bu süre içerisinde soruşturma ve kovuşturma yapılabilir.

Hukuka Aykırılık Unsuru

Kişisel verileri yok etmeme suçunun oluşabilmesi için, failin fiilinin hukuka aykırı olması gerekmektedir. Hukuka uygunluk nedenleri bulunduğunda, suç oluşmaz.

Hukuka uygunluk nedenleri arasında kanun hükmünü yerine getirme sayılabilir. Örneğin, bazı özel kanunlarda belirli verilerin belirli sürelerle saklanması zorunluluğu getirilmiştir. Bu durumda, kanuni saklama süresi dolmadığı sürece verilerin yok edilmemesi suç oluşturmaz.

Ayrıca, ilgilinin rızası da bir hukuka uygunluk nedeni olabilir. Ancak bu rızanın, kişisel verilerin korunması hakkından feragat anlamına gelmemesi ve belirli bir süreyle sınırlı olması gerekir.

Kişisel verileri yok etmeme suçu ile başka suçların aynı fiille işlenmesi durumunda, TCK md. 44 uyarınca fikri içtima hükümleri uygulanır. Buna göre, işlediği bir fiil ile birden fazla farklı suçun oluşmasına sebebiyet veren kişi, bunlardan en ağır cezayı gerektiren suçtan dolayı cezalandırılır.

Örneğin, yok edilmeyen veriler başka şekilde kaydedilirse "kişisel verilerin kaydedilmesi suçu" (TCK md. 135), veriler yayılır, başkasına verilir veya ele geçirilirse "kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu" (TCK md. 136) oluşabilir. Bu durumda, en ağır cezayı gerektiren suçtan dolayı cezalandırma yapılır.

Kişisel verileri yok etmeme suçu, şikayete bağlı olmayıp, resen soruşturulan bir suçtur. Yani, savcılık bu suçu öğrendiğinde kendiliğinden soruşturma başlatabilir. Bu durum, kişisel verilerin korunmasına verilen önemi göstermektedir.

Kişisel Verileri Yok Etmeme Suçunun Yaptırımları ve İmha Süreleri

Kişisel verilerin korunması hukukunda, verilerin işlenme amacının ortadan kalkması veya yasal saklama sürelerinin dolması halinde bu verilerin imha edilmesi yasal bir zorunluluktur. Bu zorunluluğa uyulmaması durumunda hem cezai hem de idari yaptırımlar söz konusu olmaktadır. Bu bölümde, kişisel verileri yok etmeme suçunun yaptırımları ve kişisel verilerin imha edilmesine ilişkin yasal süreler detaylı olarak incelenecektir.

Cezai Yaptırımlar

Kişisel verileri yok etmeme suçu, 5237 sayılı Türk Ceza Kanunu'nun 138. maddesinde düzenlenmiştir. Bu madde, "Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar" başlığı altında yer almakta olup, kişisel verilerin korunmasına ilişkin anayasal hakkın ceza hukuku alanındaki yansımasını oluşturmaktadır.

TCK'nın 138/1 maddesine göre, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Bu ceza, suçun temel şekli için öngörülmüş olup, failin veri sorumlusu veya veri işleyen sıfatını taşıması gerekmektedir.

Suçun nitelikli hali ise TCK'nın 138/2 maddesinde düzenlenmiştir. Buna göre, suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması gereken veriler olması halinde, verileri yok etmeme suçu için öngörülen ceza bir kat artırılarak uygulanır. Bu durumda ceza, iki yıldan dört yıla kadar hapis olacaktır. Bu nitelikli hal, özellikle adli soruşturma ve kovuşturma süreçlerinde elde edilen DNA örnekleri, parmak izi gibi biyometrik verilerin, işlem tamamlandıktan sonra imha edilmemesi durumunda uygulanmaktadır.

Kişisel verileri yok etmeme suçu, şikayete bağlı olmayan ve resen soruşturulan bir suçtur. Bu suçta dava zamanaşımı süresi 8 yıl olarak belirlenmiştir. Ayrıca, bu suç için etkin pişmanlık hükümleri öngörülmemiştir. Bununla birlikte, genel hükümler çerçevesinde erteleme, adli para cezasına çevirme ve hükmün açıklanmasının geri bırakılması gibi kurumların uygulanması mümkündür.

İdari Yaptırımlar

Kişisel verileri yok etmeme eylemi, cezai yaptırımların yanı sıra 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında idari yaptırımlara da tabi tutulmuştur. KVKK'nın 17/2 maddesi, kişisel verilerin silinmemesi durumunda uygulanacak idari yaptırımları düzenlemektedir.

KVKK'nın 7. maddesine göre, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, veri sorumlusu tarafından re'sen veya ilgili kişinin talebi üzerine kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bu yükümlülüğe aykırı hareket eden veri sorumlularına, Kişisel Verileri Koruma Kurulu tarafından idari para cezası uygulanmaktadır.

Kişisel Verileri Koruma Kurulu'nun çeşitli kararlarında, kişisel verilerin zamanında imha edilmemesi nedeniyle veri sorumlularına önemli miktarlarda idari para cezaları uygulandığı görülmektedir. Örneğin, Kurul'un 2019/166 sayılı kararında, yanlış kişiye SMS gönderilmesi sonucu kişisel verilerin ifşası nedeniyle 50.000 TL idari para cezası uygulanmıştır. Benzer şekilde, 2019/204 sayılı kararda, bir şirket personelinin ilgili kişiyi reklam amaçlı araması nedeniyle 75.000 TL idari para cezası uygulanmıştır.

İdari yaptırımlar, cezai yaptırımlardan bağımsız olarak uygulanmakta olup, aynı eylem nedeniyle hem cezai hem de idari yaptırıma maruz kalınması mümkündür. Bu durum, TCK'nın 44. maddesinde düzenlenen fikri içtima kurallarına aykırılık teşkil etmemektedir, zira cezai ve idari yaptırımlar farklı hukuki değerleri korumaktadır.

İmha Süreleri

Kişisel verilerin imha edilmesine ilişkin süreler, 6698 sayılı Kanun ve bu Kanun'a dayanılarak çıkarılan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" ile düzenlenmiştir.

Yönetmeliğe göre, veri sorumluları, kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, kişisel verileri re'sen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Bu kapsamda, veri sorumluları kişisel verilerin saklanması ve imhasına ilişkin politika belirlemek zorundadır.

Veri sorumlularının periyodik imha süreleri, en fazla 6 ay olarak belirlenebilir. Bu süre, veri sorumlusunun kişisel veri saklama ve imha politikasında belirlenir ve bu politikaya uygun olarak periyodik imha işlemleri gerçekleştirilir.

İlgili kişinin talebi halinde, kişisel verilerin işlenme şartlarının tamamının ortadan kalktığı tespit edilirse, veri sorumlusu bu verileri 30 gün içinde imha etmeli ve ilgili kişiye bilgi vermelidir. Bu süre, KVKK'nın 13. maddesinde düzenlenen başvuruların cevaplanma süresi ile uyumludur.

Politika hazırlama yükümlülüğü bulunmayan veri sorumluları ise, kişisel verilerin işlenme şartlarının tamamının ortadan kalktığı tarihten itibaren 3 ay içinde verileri imha etmelidir. Bu süre, küçük ölçekli işletmeler ve belirli sayıda personel çalıştıran veri sorumluları için geçerlidir.

Kişisel verilerin imha edilmesine ilişkin sürelere uyulmaması, yukarıda belirtilen cezai ve idari yaptırımların uygulanmasına neden olabilir. Bu nedenle, veri sorumlularının kişisel verilerin saklanması ve imhasına ilişkin politikalarını oluşturmaları, periyodik imha sürelerini belirlemeleri ve bu sürelere uygun olarak imha işlemlerini gerçekleştirmeleri büyük önem taşımaktadır.

Kişisel verilerin korunması hukukunda, verilerin zamanında ve uygun yöntemlerle imha edilmesi, veri güvenliğinin sağlanması ve kişisel verilerin korunması hakkının etkin bir şekilde kullanılabilmesi açısından kritik öneme sahiptir. Bu nedenle, veri sorumlularının imha sürelerine ve yöntemlerine ilişkin yükümlülüklerini titizlikle yerine getirmeleri gerekmektedir.

Emsal Yargıtay Kararları ve Uygulamada Kişisel Verileri Yok Etmeme Suçu

Kişisel verilerin korunması hukukunda teorik bilgiler kadar, yargı kararları ve uygulamadaki örnekler de büyük önem taşımaktadır. Türk hukuk sisteminde, özellikle Yargıtay kararları ve Kişisel Verileri Koruma Kurulu kararları, kişisel verilerin yok edilmemesi ve hukuka aykırı kullanımı konusunda önemli içtihatlar oluşturmaktadır. Bu bölümde, DNA ve biyometrik veriler ile sosyal medya ve dijital verilerle ilgili emsal kararları inceleyeceğiz.

DNA ve Biyometrik Verilerle İlgili Kararlar

Biyometrik veriler ve DNA örnekleri, kişisel verilerin en hassas kategorilerinden birini oluşturmaktadır. Bu tür verilerin saklanması, kullanılması ve imha edilmesi konusunda yargı organları titiz bir yaklaşım sergilemektedir.

Yargıtay 17. Ceza Dairesi'nin E:2015/22839, K:2017/2999, T:14.03.2017 sayılı kararı, bu alanda önemli bir emsal teşkil etmektedir. Bu kararda, önceki bir soruşturmada alınmış DNA örneklerinin sisteme kaydedilmesi ve başka bir olayda delil olarak kullanılması hukuka aykırı bulunmuştur. Yargıtay, bu kararında şu önemli tespitleri yapmıştır:

• Adli soruşturma için alınan örnekler üzerindeki inceleme sonuçlarının sisteme kaydedileceğine dair kanuni bir dayanak bulunmamaktadır.
• DNA örnekleri gibi kişisel verilerin, rapor hazırlandıktan sonra imha edilmesi gerekir.
• Bilirkişiye incelenecek bulguların, ilgilinin kimlik bilgileri verilmeden teslim edilmesi gerekmektedir.

Bu karar, CMK'nın 80/1. maddesi kapsamında alınan örneklerin kişisel veri niteliğinde olduğunu ve başka amaçla kullanılamayacağını açıkça ortaya koymaktadır. Kararda ayrıca, DNA örnekleri gibi hassas kişisel verilerin, rapor hazırlandıktan sonra imha edilmemesinin TCK 138. madde kapsamında suç teşkil edebileceği vurgulanmıştır.

Biyometrik verilerin korunması konusunda bir diğer önemli husus, bu verilerin imha edilmemesi durumunda ortaya çıkabilecek hak ihlalleridir. Yargıtay kararlarında, özellikle adli soruşturma amacıyla alınan DNA örneklerinin, soruşturma tamamlandıktan sonra imha edilmemesinin, kişinin gelecekteki başka soruşturmalarda aleyhine kullanılma riski taşıdığı belirtilmektedir.

Sosyal Medya ve Dijital Verilerle İlgili Kararlar

Dijital çağda, sosyal medya platformları ve elektronik iletişim araçları üzerinden işlenen kişisel veriler, yok etmeme suçu kapsamında önemli bir yer tutmaktadır. Yargıtay'ın bu konudaki kararları, dijital ortamdaki kişisel verilerin korunması açısından yol gösterici niteliktedir.

Yargıtay 12. Ceza Dairesi'nin K.2020/5241 sayılı kararında, sosyal medya hesaplarıyla ilgili zincirleme şekilde verileri hukuka aykırı olarak verme/ele geçirme suçunun oluştuğu kabul edilmiştir. Bu karar, dijital ortamdaki kişisel verilerin korunması ve zamanında imha edilmesi gerekliliğini vurgulamaktadır.

Aynı dairenin K.2017/637 sayılı kararında ise, sanığın eski kız arkadaşının adıyla sahte Facebook hesabı açıp, mağdurun internette mevcut olan resmini paylaşması TCK 136/1'deki suçu oluşturduğu belirtilmiştir. Mahkemenin TCK 134/2'den (özel hayatın gizliliğini ihlal) hüküm kurması hukuka aykırı bulunmuştur. Bu karar, sosyal medya platformlarında başkasına ait kişisel verilerin kullanılmasının, verileri hukuka aykırı olarak verme veya ele geçirme suçu kapsamında değerlendirilmesi gerektiğini ortaya koymaktadır.

Yargıtay'ın diğer kararlarında da benzer yaklaşımlar görülmektedir:

• Yargıtay 12. CD, K.2015/18748 sayılı kararda, sanığın mağdurun adını kullanarak sahte Facebook hesabı açıp fotoğrafını paylaşmasının TCK 136/1'deki suçu oluşturduğu, fotoğrafa herkesin ulaşabilecek olmasının beraat gerekçesi olamayacağı belirtilmiştir.

• Yargıtay 12. CD, K.2015/8787 sayılı kararda, sahte hesapta mağdurun isim, soyisim ve fotoğraflarını yayımlayan sanığın eyleminin TCK 136/1'deki suçu oluşturduğu, TCK 134/2'den hüküm kurulmasının hatalı olduğu vurgulanmıştır.

Kişisel Verileri Koruma Kurulu'nun idari yaptırım kararları da bu alanda önemli örnekler sunmaktadır. KVKK 2019/166 sayılı Karar'da, yanlış kişiye SMS gönderilmesi sonucu kişisel verilerin ifşası nedeniyle 50.000 TL idari para cezası uygulanmıştır. Benzer şekilde, KVKK 2019/204 sayılı Karar'da, bir şirket personelinin ilgili kişiyi reklam amaçlı araması, 6698 sayılı Kanun'un 5. maddesindeki işleme şartlarına dayanmadığından hukuka aykırı bulunmuş ve şirkete 75.000 TL idari para cezası uygulanmıştır.

Bu kararlar, dijital ortamda kişisel verilerin korunması ve zamanında imha edilmesi konusunda hem ceza hukuku hem de idari yaptırımlar açısından titiz bir yaklaşım sergilendiğini göstermektedir. Özellikle sosyal medya platformlarında başkalarına ait kişisel verilerin izinsiz kullanılması, TCK 136 kapsamında suç teşkil edebilmekte ve bu verilerin zamanında imha edilmemesi de TCK 138 kapsamında ayrı bir suç oluşturabilmektedir.

Sonuç

Kişisel verileri yok etmeme suçu, dijital çağın getirdiği zorluklarla birlikte giderek daha karmaşık bir hal almaktadır. Yargıtay kararları ve Kişisel Verileri Koruma Kurulu uygulamaları, bu alanda önemli içtihatlar oluşturmaktadır. DNA ve biyometrik veriler gibi hassas kişisel verilerin imha edilmemesi, kişilerin temel haklarını ciddi şekilde ihlal edebilmektedir. Benzer şekilde, sosyal medya ve dijital ortamlardaki kişisel verilerin korunması ve zamanında imha edilmesi de büyük önem taşımaktadır. Veri sorumlularının, kanunların belirlediği sürelerin geçmesinden sonra kişisel verileri imha etme yükümlülüğünü yerine getirmemeleri, TCK 138. madde kapsamında suç teşkil etmekte ve 1-2 yıl hapis cezasını gerektirmektedir. Bu ceza, CMK hükümlerine göre ortadan kaldırılması gereken veriler söz konusu olduğunda bir kat artırılarak 2-4 yıl hapis cezasına dönüşmektedir. Kişisel verilerin korunması ve zamanında imha edilmesi, hem bireylerin temel haklarının korunması hem de veri güvenliğinin sağlanması açısından hayati önem taşımaktadır.