Kişisel veri, bir gerçek kişinin belirlenmesini sağlayan, gerçek kişiyi tanımlayan fiziksel, psikolojik, kültürel, hukuki, ekonomik ve sosyal bilgilerdir. Yaşanan teknolojik ve bilimsel gelişmelerle birlikte kamu kurumları ile özel kişi ve kurumların kişisel verilere erişimi ve bu verileri kullanma oranı artmıştır. Günümüzde sağlık, adalet ve güvenlik hizmetlerinin yürütülmesi sırasında ve ekonomik faaliyetler sebebiyle kişisel veriler işlenmektedir. Kişisel veriler, işlenmeleri amacıyla kaydedilip saklanır. Ancak artık saklanması için haklı bir sebep kalmayan kişisel verilerin korunabilmesi için yok edilmesi gerekir. Çünkü bir kişisel verinin süresiz olarak kayıtlı kalması ve ulaşılabilir olması onun korunmasını imkânsız kılar. Hukuk devleti uygulamaları bakımından da artık kullanılmayan bir kişisel verinin kayıtlı kalması uygun değildir. KVKK’nın 4/1-d. maddesine göre bir kişisel veri, işlenmesi için belirlenen amaca ulaşıldığında ilgili görevli tarafından yok edilmelidir. Amaca hangi sürede ulaşılmış olacağını kanun belirler. Bu belirleme TCK’nın 138. maddesi ile yapılmıştır. Buna göre saklanması için belirlenen kanuni süre dolmuş olan kişisel verilerin yok edilmemesi halinde verileri yok etmeme suçu oluşur. Verileri yok etmeme suçu, kanunda düzenlenirken özel nitelikli kişisel verilere ilişkin bir düzenleme yapılmamış olması suçun düzenlenişi bakımından bir eksikliktir. Çünkü verileri yok etmeme suçu bakımından daha ağır cezayı gerektiren bir nitelikli hal olarak özel nitelikli bir kişisel verinin yok edilmemesi halinin kanunda düzenlenmesi gerekirdi.
Personal data is physical, psychological, cultural, legal, economic and social information that enables the identification of a real person. With the technological and scientific developments, the level of access to and use of personal data by public institutions, as well as private entities and individuals, has increased. Today, personal data is processed during the provision of health, justice and security services, as well as in economic activities. Personal data is recorded and stored for the purpose of processing. However, once there is no justifiable reason for storage, it must be destroyed to ensure its protection. Keeping personal data stored and accessible indefinitely makes its protection impossible. Under the principles of the rule of law, keeping personal data that is no longer in use is inappropriate. According to Article 4/1-d of the “Personal Data Protection Act”, a personal data must be destroyed by the relevant officer once the intended purpose for its processing has been fulfilled. The law determines the period within which the purpose must be achieved. This period is determined by Article 138 of the “Turkish Penal code”. Accordingly, failure to destroy personal data after the expiration of the legally prescribed retention period constitutes an offense. While the crime of not destroying data is regulated by law, the absence of provisions regarding sensitive personal data is a legal gap in terms of the regulation of this offense. This omission is significant because the failure to delete sensitive personal data should have been explicitly classified as an aggravated offense requiring a heavier penalty.
