Açık Rıza Alındığına Dair İspat Yükümlülüğü Veri Sorumlusuna Mı Aittir? Açık Rıza Alındığına Dair İspat Yükümlülüğü Veri Sorumlusuna Mı Aittir?

Kişisel verilerle ilgili korumanın sağlanabilmesi için hukuka aykırı olarak kaydetmenin cezalandırılmasının yanında, hukuka uygun kaydedilmiş kişisel verilerin hukuka uygunluk nedenlerinin, örneğin kaydedilme amaçlarının ortadan kalkmasından sonra veya kaydedilmeleri bakımından kanundaki öngörülen sürelerin dolmasından sonra imha edilmeleri gerekir. Aksi hâlde, her zaman bu verilerin başkalarının eline geçmesi, verilmesi ve yayılması gibi kötüye kullanım tehdidi söz konusu olacaktır.

Diğer taraftan, Anayasa’nın 20. maddesinde düzenlenen kişisel verilerin korunmasını isteme hakkı kapsamındaki kişisel verilerin silinmesini isteme hakkının da ihlâli oluşacaktır. Bu sebeplerle, TCK’nın 138. maddesi ile Kanun’un 17. maddesinde kişisel verilerin imha edilmemesi, suç olarak öngörülmüştür. Verileri yok etmeme suçu, TCK m. 138’de şu şekilde düzenlenmiştir: TCK m. 138 “(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” Maddenin birinci fıkrasında suçun temel hâli, ikinci fıkrasında ise suçun konusundan kaynaklı daha fazla ceza verilmesini gerektiren nitelikli hâli düzenlenmiştir. Verileri yok etmeme suçunun oluşabilmesi için, öncelikle hukuka uygun bir şekilde sistemde kayıtlı kişisel verilerin bulunması; ikinci olarak bu kişisel verilerin sistemde ne kadar süre tutulacağına dair kanunda belirlenen sürelerin geçmiş olması ve sistemde tutulma süreleri dolan kişisel verileri sistemde yok etmekle görevli kimselerin bu görevlerini yerine getirmemesi gerekir.

Kanun’un Suçlar başlıklı 17/2. maddesinde ise “Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” biçiminde düzenleme getirilmiştir. Doktrinde bu düzenlemeyle bazı yazarlar, kişisel verilerin “yok edilmemesi”, “silinmemesi” veya “anonim hale getirilmemesi” suretiyle oluşan seçimlik hareketli bir suç olduğunu ileri sürmektedir. Görüşlerine katıldığımız diğer bazı yazarlar ise, TCK m. 138’deki suçtan ayrı bir suçun tanımlandığını belirtmektedir. Çünkü TCK m. 138’deki “yok etme” kavramının Kanun’un 7. maddesindeki silme ve anonim hale getirme yükümlülüklerini karşılamadığı, bu nedenle silme ve anonim hale getirme yükümlülüğünü yerine getirmeyenlerin de TCK m. 138 gereğince cezalandırılmaları sağlanmak istenmiştir. Kanun m. 17/2’deki kişisel verileri silmeme veya anonim hale getirmeme suçunun oluştuğundan bahsedilebilmesi için, fıkrada açıkça belirtildiği üzere “Bu Kanunun 7’nci maddesi hükmüne aykırı olarak” silmeme veya anonim hale getirilmemiş olmalıdır. Yönetmelikte imha kelimesi, yok etme, silme ve anonim hale getirmeyi kapsayan bir şekilde tanımlandığı için, söz konusu suç düzenlemelerini içeren bir üst kavram olarak imha kavramı tercih edilmiştir. Bu itibarla, kişisel verilerin imha edilmemesi suçu kapsamında iki suç birlikte ele alınacak, farklı kısımlarına ayrıca temas edilecektir.

Kaynak: Kişisel Verilerin Korunmasına Akademik Bakış

Editör: Elif Kosedag