HAKKIMIZDA
HİZMETLER
BLOG
MAKALELER
İLETİŞİM

EK HUKUK & DANIŞMANLIK

TÜM MAKALELER
Bilişim Suçları 16.03.2026

Verileri Yok Etmeme Suçu (TCK 138)

Verileri Yok Etmeme Suçu (TCK m.138): Akademik Bir İnceleme

Bilişim suçları kategorisinde yer alan ve özellikle kişisel verilerin korunması hakkının güvence altına alınmasında kritik bir rol oynayan Türk Ceza Kanunu’nun 138. maddesi, hukuki yükümlülüklere aykırı olarak verileri yok etmeme eylemini suç olarak düzenlemektedir. Bu makalede, TCK m.138’de düzenlenen ‘verileri yok etmeme’ suçunun hukuki niteliği, unsurları, yargısal uygulamadaki yeri ve doktrindeki tartışmalar derinlemesine incelenecektir.

Giriş ve Suçun Hukuki Konumu

Teknolojinin gelişmesiyle birlikte dijitalleşen dünyada, bireylerin kişisel verilerinin korunması anayasal bir hak olarak kabul edilmiş (Anayasa m.20/3) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile bu alanda kapsamlı bir düzenleme getirilmiştir. TCK m.138, bu hukuki çerçeveyi ceza hukuku bağlamında destekleyen önemli bir hükümdür. Madde metni şu şekildedir:

TCK m.138: Verileri Yok Etmeme

Kanunların belirlediği süreler içinde verileri yok etmekle yükümlü olanlara görevlerini yerine getirmemeleri halinde altı aydan üç yıla kadar hapis cezası verilir.

Bu suç, özellikle kişisel verilerin saklanma sürelerinin sona ermesi veya işlenmesini gerektiren amaç ortadan kalktığında, ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğünü yerine getirmeyen veri sorumluları veya veri işleyenler nezdinde uygulama alanı bulmaktadır. Suçun hukuki konusu, kişisel verilerin güvenliği ile birlikte, bireylerin özel hayatının gizliliği ve veri üzerinde kontrol hakkıdır. Öğretide bu suç, bir ihmali suç ve sırf hareket suçu olarak nitelendirilmektedir.

Suçun Hukuki Niteliği ve Unsurları

TCK m.138’de tanımlanan suçun unsurları, ceza hukukunun genel prensipleri ve özel olarak bu maddeye özgü durumlar çerçevesinde değerlendirilmelidir.

Maddi Unsur

  • Fail: Suçun faili, kanunların belirlediği süreler içinde verileri yok etmekle yükümlü olan kişidir. Bu yükümlülük, genellikle 6698 sayılı KVKK ve ilgili alt düzenlemelerden (örneğin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik) kaynaklanır. Veri sorumluları veya veri işleyenler, bu suçun tipik faili olarak kabul edilmektedir. Tüzel kişiler adına hareket eden organ veya temsilcilerin cezai sorumluluğu, TCK’nın genel hükümlerine göre belirlenir.
  • Hareket: Suçun maddi unsuru, verileri yok etme yükümlülüğünü yerine getirmemek şeklinde bir ihmali hareketten ibarettir. Burada aktif bir yok etme veya değiştirme eylemi değil, yapılması gerekeni yapmama durumu söz konusudur. Verilerin fiziken silinmemesi, erişimin engellenmemesi veya anonim hale getirilmemesi bu kapsamdadır.
  • Suçun Konusu: Suçun konusu, verilerdir. Bu veriler genellikle kişisel veriler olmakla birlikte, kanunların yok edilmesini emrettiği diğer veri türlerini de kapsayabilir. Kişisel veriler açısından, KVKK’da belirtilen işleme amaçları ortadan kalktığında veya saklama süreleri dolduğunda yok edilmesi gereken veriler söz konusudur.
  • Zaman: Yükümlülüğün yerine getirilmemesi, kanunların belirlediği süreler içinde gerçekleşmelidir. Bu sürelerin tespiti, ilgili mevzuata (KVKK, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik) göre yapılmaktadır.

Manevi Unsur

TCK m.138’deki suç, kastla işlenebilen bir suçtur. Failin, kanuni yükümlülüğünü ve bu yükümlülüğe aykırı davranması halinde sonuç doğuracağını bilerek ve isteyerek, verileri yok etme yükümlülüğünü yerine getirmemesi gerekir. Olası kast ile de bu suçun işlenebileceği doktrinde kabul edilmektedir. Buna karşılık, taksirle (ihmal sonucu) verileri yok etmeme eylemi bu madde kapsamında cezalandırılamaz. Örneğin, teknik bir arıza veya yeterli personel eksikliği nedeniyle verilerin yok edilememesi, kasten hareket edilmediği sürece cezai sorumluluk doğurmayacaktır.

Yargıtay Uygulaması

Yargıtay, TCK m.138 hükmünün uygulanmasında özellikle KVKK ve ilgili alt düzenlemelerdeki yükümlülükleri temel almaktadır. Yargıtay’ın yerleşik içtihatlarında, suçun oluşabilmesi için failin kanunen belirlenmiş bir yok etme yükümlülüğünün bulunması ve bu yükümlülüğü kasten yerine getirmemesi aranmaktadır. Örneğin, Yargıtay 12. Ceza Dairesi, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmasına rağmen, veri sorumlusunun bu verileri süresi içinde silme, yok etme veya anonim hale getirme yükümlülüğünü kasten yerine getirmediği durumlarda suçun oluşacağını belirtmektedir. İçtihatlarda, yükümlülüğün somut olarak tespiti ve kasta ilişkin delillerin varlığına özel önem verilmektedir.

Yargıtay 12. Ceza Dairesi'nin yerleşik içtihadına göre; TCK m.138'deki suçun oluşabilmesi için, veri sorumlusunun veya veri işleyenin, Kanunların belirlediği süreler içinde kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında atması gereken adımları bilerek ve isteyerek yerine getirmemesi gerekmektedir. Yükümlülüğün varlığı ile yükümlülüğe aykırı davranış arasında illiyet bağının kurulması ve fiilin kasten işlendiğinin somut delillerle ortaya konulması zorunluluk arz eder. Basit bir ihmal veya teknik aksaklık nedeniyle verilerin yok edilememesi, bu suçu oluşturmaz.

Akademik Değerlendirme ve Doktrindeki Görüşler

Doktrinde, TCK m.138’in getirdiği önemli bir yenilik olduğu ve kişisel verilerin korunması hukukunun ceza hukuku yaptırımı ile desteklenmesi açısından müspet karşılandığı belirtilmektedir. Tartışmalı noktalardan biri, suçun faili olabilecek kişilerin kapsamıdır. Öğretideki baskın görüşe göre, yükümlülük sadece veri sorumlusu ile sınırlı olmayıp, veri sorumlusu adına hareket eden ve verileri işleyen gerçek kişiler (örneğin, bir şirketin bilgi işlem müdürü) de belirli şartlar altında fail olabilmektedir. Ancak, TCK m.20/2 uyarınca “tüzel kişiler hakkında ceza yaptırımı uygulanamayacağı” ilkesi nedeniyle, tüzel kişilik adına hareket eden gerçek kişilerin sorumluluğu ön plana çıkmaktadır.

Bir diğer tartışma konusu ise, suçun “verilerin” yok edilmemesi olarak düzenlenmiş olmasıdır. Bu terimin sadece “kişisel verileri” mi kapsadığı, yoksa daha geniş anlamda kanunların yok edilmesini emrettiği her türlü veriyi mi içerdiği hususunda farklı görüşler bulunmaktadır. Ancak, maddenin gerekçesi ve genel düzenleme amacı dikkate alındığında, KVKK ile paralel olarak ağırlıklı olarak kişisel veriler bağlamında uygulama alanı bulduğu kabul edilmektedir. Öte yandan, suçun salt ihmali bir hareketle tamamlanması ve bir zarar neticesinin aranmaması, bu suçu diğer bilişim suçlarından ayırmaktadır. Bu durum, korunan hukuki değeri öncelikli olarak tehlikeye düşürmeyi esas alan bir anlayışın yansımasıdır.

Sonuç

TCK m.138’de düzenlenen verileri yok etmeme suçu, kişisel verilerin korunması hukukunun ceza hukuku alanındaki en önemli güvencelerinden biridir. Kanunen belirlenen süreler içinde verileri yok etme yükümlülüğünü kasten yerine getirmeyen veri sorumluları veya bu sıfatla hareket eden kişilerin cezai sorumluluğunu öngören bu madde, dijital çağda bireylerin veri üzerindeki hakimiyetini ve özel hayatın gizliliğini korumayı amaçlamaktadır. Suçun maddi ve manevi unsurlarının titizlikle incelenmesi, Yargıtay içtihatları ve doktrindeki görüşler ışığında somut olayların değerlendirilmesi, adil bir yargılamanın temelini oluşturmaktadır. Bu suç tipi, veri güvenliği ve hukuka uygun veri işleme prensiplerinin sağlanmasında caydırıcı bir rol oynamaktadır.

Sıkça Sorulan Sorular

Verileri yok etmeme suçunun faillerinin kapsamı nasıl belirlenir?

TCK m.138 uyarınca, suçun faili “Kanunların belirlediği süreler içinde verileri yok etmekle yükümlü olanlardır.” Bu yükümlülük, genellikle 6698 sayılı KVKK ve ilgili Yönetmelikler uyarınca veri sorumlusu veya veri işleyen sıfatını haiz gerçek veya tüzel kişilere aittir. Tüzel kişiler hakkında doğrudan ceza uygulanamayacağından, tüzel kişi adına hareket eden ve yükümlülüğü yerine getirmeyen yönetim kurulu üyeleri, genel müdürler, bilgi işlem yöneticileri gibi gerçek kişiler cezai sorumluluğa muhatap olabilir. Önemli olan, ilgili verinin yok edilmesinden kanunen veya iç prosedürler gereği sorumlu olan kişinin tespiti ve bu yükümlülüğü kasten yerine getirmemiş olmasıdır.

Bu suçta taksir sorumluluğu bulunur mu?

Hayır, TCK m.138’de düzenlenen verileri yok etmeme suçu, yalnızca kasten işlenebilen bir suçtur. Türk Ceza Kanunu’nun genel prensipleri uyarınca, suçun taksirle işlenebilmesi için kanunda açıkça belirtilmesi gerekir (TCK m.22/1). TCK m.138’de bu yönde bir düzenleme bulunmadığından, failin yükümlülüğünü bilerek ve isteyerek yerine getirmemesi (doğrudan veya olası kast) aranır. Teknik bir arıza, personel yetersizliği veya basit bir unutkanlık gibi haller, kasten hareket edildiği ispatlanmadıkça bu suçun oluşumuna neden olmaz.

Verilerin anonim hale getirilmesi de 'yok etme' kapsamında değerlendirilir mi?

Evet, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve KVKK'nın ruhu çerçevesinde, anonim hale getirme işlemi de verileri yok etme yükümlülüğünün bir alternatifi olarak kabul edilmektedir. Yönetmelik, kişisel verilerin ilgili mevzuat hükümlerine uygun olarak işlenmesine rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiğini belirtir. Dolayısıyla, anonim hale getirme, verilerin ilgili kişiyle ilişkilendirilemez hale getirilmesi ve bu suretle kişisel veri niteliğini kaybetmesi anlamına geldiğinden, TCK m.138 kapsamında yükümlülüğün yerine getirilmesi yöntemlerinden biri olarak değerlendirilebilir. Önemli olan, veri sahibinin tanınmasını kalıcı olarak imkansız kılacak nitelikte bir anonimleştirme işleminin yapılmış olmasıdır.

Yasal UyarıBu makale, yalnızca genel bilgilendirme amacıyla hazırlanmıştır ve hukuki danışmanlık hizmeti yerine geçmez. Kanunların zamanla değişebileceği ve her somut olayın kendine özgü detaylar barındırdığı unutulmamalıdır. Hak kaybı yaşamamak için hukuki sürecinizi uzman bir avukat eşliğinde yürütmenizi önemle tavsiye ederiz.
YAZAR
Av. Emina KARABUDAK
Verileri Yok Etmeme Suçu (TCK 138) | EK Hukuk | Av. Emina KARABUDAK | EK Hukuk