KVKK VE KVKK İHLALİ SONUCUNDA KARŞILAŞILABİLECEK YAPTIRIMLAR

Günümüzde teknoloji çağının etkisiyle beraber insanlar kendileriyle alakalı birçok kişisel veriyi çeşitli kurum ve kuruluşlarda paylaşmakta ve bu veriler dijital ortamlarda kayıt altında tutulmaktadır. İnsanların kişisel verilerinin paylaşılmasının altında aslında karşılıklı bir menfaat ilişkisi yatmaktadır. Kişisel veriyi paylaşan kişi bu veriyi paylaştığı kurum ya da kuruluştan belirli hizmet almakta ve bu hizmeti kendisinin paylaştığı veri vasıtası ile hızlı ve kolay almaktadır. Buna karşılık kurum ve kuruluşlar da kendi işleriyle alakalı belirli bir uyum sağlamakta ve rekabet gücünü müşteri sayısı ve onların kişisel verisi ile artırmaktadır.

Peki müşterilerden alınmakta olan kişisel veri nedir?

Kişisel veri, KVKK m.3/d’e aynen “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Kişisel veriler hususunda Anayasa Mahkemesi “, kişisel verileri kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, SGK numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” olarak tanımlamıştır.

Bunun dışında bu konu ile bağlantılı olarak özel nitelikli kişisel verinin de tanımından bahsetmek gerekirse; başkaları tarafından öğrenildiği takdirde ilgilini kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olan ve bu nedenle daha fazla korumaya ihtiyaç tutulan kişisel verilere özel nitelikli kişisel veri denmektedir. Bunlara örnek olarak ırk, din, mezhep ve cinsel hayata ilişkin bilgiler verilebilir.

Yürürlüğe girmiş olan KVKK’nın amacı nedir?

KVKK m.1’e göre “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” kanunun amacı ifade edilmektedir. Dolayısıyla kanunun açık lafzından da anlaşılan Kanun’un amacının kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlükleri korumak olduğu belirtilmiştir.

Veri sorumlusu kimdir?

KVKK m.3/ı’ya göre veri sorumlusu;  “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyiifade eder.” olarak tanımlanmaktadır.

Veri sorumlusuna başvuru ve veri sorumlusuna karşı şikayet mekanizmaları nelerdir?

1-Başvuru

     Veri sahibi kanunun uygulanması ile ilgili taleplerini veri sorumlusuna iletir. Gelen iletiyi veri sorumlusu en geç 30 gün içinde cevaplandırmalıdır. Aksi takdirde veri sorumlusunun cezai sorumluluğu olacaktır.

2-Şikayet

Başvurunun reddedilmesi verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilememesi halinde veri sahibi Kurul’a şikayet edebilir. Bu şikayet, şikayet sebebinin öğrenilmesinden itibaren 30 gün içinde edilmelidir. Her halükarda da 60 günlük hak düşürücü süre bulunmaktadır.

3-İdare Mahkemesi

      İlgililer veya veri sorumluları Kurul kararlarına karşı idare mahkemelerinde dava açabilirler. Bu davayı şikayet mekanizması sonucunda olumsuz sonuçlanması veya 60 gün boyunca Kurul’un sessiz kalması açmak için yeterlidir.

Kişisel Verileri Koruma Kurulu’na şikayet

Veri sahibi tarafından yapılan başvurunun veri sorumlusu tarafından reddedilmesi, cevabın yetersiz bulunması veya hiç cevap verilmemesi halinde;

• cevabın öğrenildiği tarihten itibaren 30 gün içinde
• eğer veri sorumlusu cevap vermediyse başvuru tarihinden itibaren 60 gün içinde veri sahibi tarafından Kurul’a şikayette bulunabilecektir.

Kurul’a yapılacak şikayetler ve ihbarlar için sunulacak dilekçelerde, dilekçe sahibinin adı soyadı, imzası, iş veya ikametgah adresi bulunması gerekir.

Kurul inceleme sonucunu şikayet tarihinden itibaren 60 gün içinde taraflara bildirir, cevap bu süre zarfında verilmezse reddedilmiş sayılır.

Kurul’a hangi hallerde şikayette bulunulabilir?

• Veri işleme şartları olmaksızın kişisel verisinin işlenen
• Kişisel verileri genel ilkelere aykırı olarak işlenen
• Kişisel verileri hukuka aykırı olarak silinmeyen, yok edilmeyen veya anonim hale getirilmeyen
• Kişisel verileri hukuka aykırı şekilde üçüncü kişilere aktarılan
• Verisi işlenmesine rağmen Kanuna uygun olarak aydınlatılmayan
• Veri sorumlusu tarafından kişisel verilerinin güvenliğe ilişkin gerekli idari ve teknik tedbirler alınmayan herkes Kurul’a şikayet hakkına sahiptir.

KVKK ihlali sonucunda uygulanan yaptırımlar

Kanunkoyucu bu konuya ilişkin yaptırımları KVKK’nın beşinci bölümünde ‘Suçlar ve Kabahatler’ başlığı altında incelemiştir. KVKK m.17’de 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerine yollamada bulunmuştur.

İlgili kanun kapsamında hukuka aykırı olarak kişisel veri işleyen kişinin cezası bir yıldan üç yıla kadar hapis cezası ile çarptırılır. Bu verileri hukuka aykırı olarak veren veya ele geçiren kişinin cezası iki yıldan dört yıla kadar cezalandırılabilir. Bunun dışında kanunun öngörmüş olduğu sürelerde verileri sistem içinde yok etmeyen kişi ise bir yıldan iki yıla kadar hapis cezası ile cezalandırılır.

KVKK’nın ‘Kabahatler’ başlığı altında düzenlenmiş 18.maddesinde ise aynen ; ”Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.” ifade edilmektedir. Dolayısıyla KVKK’nın suç tanımına girmeyip kabahat olarak nitelendirebileceğimiz kişi fiiliyatlarının ciddi ve caydırıcı nitelikte idari para cezasına çarptırıldığı anlaşılmaktadır.

                                                                                                          CAN İŞERİ