Kişisel Verilerin Korunması Kanunu’na Aykırılık Halinde Uygulanacak İdari ve Cezai Yaptırımlar

1)Genel Olarak

Kişisel verilerin işlenmesi kanunda; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak ifade edilmiştir.

7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işlenmesine dair kurallar ve prosedürler belirlenmiştir. Bu kanun ile kişisel veriler işlenirken dürüstlük kuralına uygun,
temel hak ve özgürlüklere saygılı ve amaca uygun hareket edilmesinin sağlanması amaçlanmıştır.
Anayasanın 20. maddesinin 3. fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler,
ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” denmiş ve vatandaşlar açısından kişisel verilerin korunması anayasal güvence altına alınmıştır. Anayasaya ve mevzuata aykırı veri işleme faaliyetinde bulunmaları halinde veri sorumluları idari ve cezai yönden sorumluluk altına girecektir.

2)İlgili Kişi Tarafından Veri Sorumlusuna Başvuru ve Kurula Şikayet Yolu

a)Veri Sorumlusuna Başvuru Yolu
Kişisel verileri işlenen kişiler, bu verilerin kullanılmasına veya korunmasına ilişkin Kanun’un uygulanmasına dair taleplerini veri sorumlusuna başvuru yoluyla sunabilecektir. İlgili kişinin ihlal edilen hakkına ilişkin başvuracağı ilk ve zorunlu yol veri sorumlusuna başvuru yoludur.
Kişisel Verileri Koruma Kurulu’na şikayette bulunabilmenin ön şartı, veri sorumlusuna başvurulmasıdır. Aksi halde ilgili kişiler tarafından Kurul’a yapılan şikayet başvurusu dikkate alınmayacaktır.
Kişisel Verilerin Korunması Kanunu’nun 11.maddesi uyarınca ilgili kişinin veri sorumlusuna hangi amaçlarla başvurabileceği düzenlenmiştir:
• Kişisel veri işlenme durumunu öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi alma,
• Kişisel verilerin işlenme amacını ve bu verilerin bu amaç doğrultusunda kullanılıp
kullanılmadığını öğrenme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep
etme,

• Hukuka uygun şekilde işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda silinmesini veya yok edilmesini isteme,
• (d)ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kiş ilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
Veri sorumlusuna nasıl başvurulabileceğine dair hususlar 10 Mart 2018 tarihinde Resmi Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ ile belirtilmiştir. Buna göre kişisel verisi işlenen ilgili kişi, Kanunun 11. maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletebilecektir.
Veri sorumlusu başvuruda belirtilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Kural olarak herhangi bir ücrete tabi olmayan başvuru süreci için, talep konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret ilgili kişiden alınabilmektedir.
Veri sorumlusu, yapılan başvuruyu kabul edebileceği gibi ret cevabı da verebilecektir. Başvurunun kabulü halinde, ilgili kişi tarafından sunulan talebin gereği veri sorumlusu tarafından yerine getirilecektir. Ayrıca başvurunun veri sorumlusunun hatasından kaynaklanması halinde, ilgili kişiden başvuruya ilişkin alınmış bir ücret varsa bu ücret kendisine iade edilecektir. Başvurunun reddedilmesi durumunda ise ret kararı gerekçeli olarak verilmeli ve ilgili kişiye yazılı veya elektronik ortamdan bildirilmelidir. Veri sorumlusu ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbiri almakla yükümlüdür.

b)Kişisel Verilerin Korunması Kurulu’na Yapılacak Şikayet Başvurusu

Kanunun 15. maddesinde, Kurul tarafından şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda gerekli incelemenin yapılacağı belirtilmiştir. İlgili kişi tarafından veri sorumlusuna yapılan başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ilgili kişi cevabı öğrenme tarihinden itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecektir.

Şikayette bulunulabilmesi için veri sorumlusuna başvuru yolunun tüketilmiş olması gerekmektedir. Kurul, şikayet üzerine talebi inceleyerek ilgili kişilere şikayet tarihinden itibaren 60 gün içinde cevap verecektir. Bu süre içinde cevap verilmemesi halinde talep reddedilmiş sayılır.
Kurul tarafından yapılan inceleme sonucunda ihlalin varlığının anlaşılması hâlinde tespit edilen hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verilerek karar ilgililere tebliğ edilir. Bu karar veri sorumluları tarafından, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Ayrıca Kurul tarafından, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verilebilecektir.

3)Kişisel Verilerin İhlali Halinde Uygulanacak İdari Yaptırımlar

Kişisel veri niteliğindeki bilgilerin işlenmesinden sorumlu olan veri sorumlularının, Kanunda öngörülen yükümlülüklere aykırı davranmaları halinde kendilerine uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır.

Kanunda sayılan kabahatlere göre verilebilecek idari para cezaları şu şekilde gösterilmiştir:
• Kanunun 10. maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
• Kanunun 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• Kanunun 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedilebilecektir.

Kanunda belirtilen idari para cezası, hem gerçek kişi hem de tüzel kişi veri sorumluları açısından geçerlidir. Kanunun gerekçesinde, Kurulun idari para cezasının miktarını belirlerken 5356 sayılı Kabahatler Kanunu’nun 17. maddesi uyarınca kabahati işleyenin ekonomik durumunu, kabahatin haksızlık içeriğini ve failin kusur derecesini dikkate alacağı belirtilmiştir.

Kurul tarafından verilen yaptırım kararlarına karşı yargı yolu açıktır. Yine Kabahatler Kanunu’ndan hareketle, verilen idari para cezalarına karşı Sulh Ceza Hakimliği’ne itiraz yoluna başvurulacaktır.

Kişisel Verilerin Korunması Kurulu tarafından veri sorumlularına dair verilen yaptırım kararlarına örnek olarak Kurul’un 27.01.2020 tarih ve 2020/58 karar sayılı kararında müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu sigorta acentesi hakkında:
“Kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir.
Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/58 sayılı Kararı ile,

▪ Veri sorumlusu Sigorta Acentesinin yaptığı sosyal medya paylaşımlarda müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bunların dışında bazı hallerde kişisel veri niteliği arz edebilecek plaka numaraları ile birlikte aracın rengi, markası ve modeli, müşterinin ödemesi gereken prim, toplam prim gibi ayrıntılara da yer verildiği,
▪ Veri sorumlusu tarafından ilgili paylaşımların şahsi Facebook hesabından ve “…….sigorta” adıyla açtığı ve poliçe paylaşımlarıyla birlikte çeşitli özel gün kutlamaları ve şahsi fotoğraflarını da paylaştığı, hesabın açıklama kısmında kendi adına da yer verdiği Instagram hesabından yapıldığı,
▪ Kişisel verilerin işlenme şartlarının düzenlendiği 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
▪ Öte yandan, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda
olduğunun ifade edildiği,
▪ Bu doğrultuda veri sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığının anlaşıldığı ve bu çerçevede Kanunun 12 nci maddesi ile veri sorumlusuna yüklenmiş olan yükümlülükleri yerine getirmediği kanaatine varıldığı hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde kapsamında 22.500 TL idari para cezasının uygulanmasına karar verilmiştir.”

4)Kişisel Verilerin İhlali Halinde Uygulanacak Cezai Yaptırımlar

6698 sayılı Kanun’un 17.maddesi “Suçlar” başlığı altında TCK’nın 135 ila 140. maddelerine atıf yapmış ve cezai yönden veri sorumlularının kişisel verilerin kaydedilmesi, verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi, verileri yok etmeme suçlarına ilişkin sorumlu olacakları belirtilmiştir. Bununla birlikte Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde düzenlenen “kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” kurallarına aykırı hareket edenlerin TCK m.138 kapsamında cezalandırılacağı ortaya konmuştur.
• TCK m.135’de düzenlenen “Kişisel Verilerin Kaydedilmesi” suçu bağlamında, hukuka aykırı olarak kişisel verileri kaydeden kişiye bir yıldan üç yıla kadar hapis cezası verileceği belirtilmiştir. Suçun maddede belirtilen nitelikli hal kapsamında işlenmesi halinde ise verilecek ceza yarı oranında artırılacaktır.
• TCK m.136’da düzenlenen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçuna ilişkin olarak; kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişilerin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı, suçun konusunun CMK m. 236’nın beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılacağı belirtilmiştir.
• TCK m. 138’de düzenlenen “Verileri yok etmeme” suçu bağlamında, kanunda belirlenmiş olan sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmemeleri halinde bir yıldan iki yıla kadar hapis cezası verileceği hükmü düzenlenmiştir. Suçun konusunun CMK hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde ise verilecek ceza bir kat artırılacaktır.

Kişisel verilerin korunması kapsamında düzenlenen bu suçların soruşturması ve kovuşturması şikayete bağlı değildir. Söz konusu hapis cezaları gerçek kişi veri sorumluları bakımından düzenlenmiştir. Tüzel kişiler tarafından yukarıda sayılan suçların işlenmesi halinde ise tüzel kişilere özgü güvenlik tedbirlerine başvurulacaktır.

Av.Erdem ARDA AKAY Av. Yalçın TORUN

UYARI
Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a ve Av.Erdem Arda AKAY’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin
tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur.