Hit enter after type your search item

KVKK İhlali Durumunda Öngörülen Yaptırımlar

/

Yazar: Taceddin KALKAN

2016 yılında Resmî Gazete ’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kişilerin mahremiyetinin korunması, veri güvenliğinin sağlanması ve kişisel verilerinin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanmasının veya amaç dışı ya da kötüye kullanım sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.[1]

KVKK ile belirlenen amaçların gerçekleştirilmesi için ise ilgili kanunun 12. maddesinde veri sorumlusunun yükümlülükleri belirtilmiş, 17 ve 18. maddelerde ise “Suçlar” ve “Kabahatler” başlıkları altında yaptırımlar belirlenmiştir.

Kanunun 12. Maddesine göre; 
   (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

   (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

   (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

   (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

İlgili maddede görüldüğü üzere veri sorumlusunun yükümlülükleri net bir şekilde belirtilmiştir.

Yaptırımlara değinecek olursak karşımıza ilgili Kanunun 17. ve 18. maddeleri çıkmaktadır. 17. maddede Türk Ceza Kanunu’na atıf yapılması yoluyla cezai yaptırımlar öngörülmüş, 18. maddede ise idari yaptırımlara değinilmiştir. 17. maddede yapılan atfa göre cezai yaptırım olarak TCK’nın 135-140 maddeleri uygulanacaktır. Buna göre; KVKK ihlali halinde “Kişisel Verilerin Kaydedilmesi”, “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” ve “Verileri Yok Etmeme” suçları kapsamında cezai yaptırım uygulanacaktır.

  1. maddede ise “Kabahatler” başlığı altında idari yaptırımlar açıkça sayılmıştır. İlgili maddeye göre;

(1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Görüldüğü üzere, verilecek para cezasının alt ve üst sınırı aralığı oldukça geniştir. Bu durumda karar verilirken, kabahatin içeriği, failin kusuru ve ekonomik durumunun dikkate alınacağı 5326 sayılı Kabahatler Kanunu’nun 17. maddesinde belirtilmiştir.[2]

Sonuç

2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kişilerin verilerinin korunması amaçlanmış ve ihlali durumunda uygulanacak yaptırımlar ilgili Kanunun 17nci ve 18inci maddelerinde belirtilmiştir. Buna göre; idari para cezası ve hapis cezası olarak iki farklı ceza öngörülmüştür. Hapis cezaları TCK 135-140’ta sayılan suçlardan ibarettir. İdari para cezaları ise ilgili Kanunun 18/1-a,b,c,ç bentlerinde belirtilmiştir. Burada belirtilen tutarlar ise enflasyona bağlı olarak her sene güncellenmektedir.

Bu yazı ilk kez 30 Mart 2021’de yayımlanmıştır.

DİPNOTLAR

[1] https://www.tolgaymingan.av.tr/kisisel-veri-ihlali-halinde-cezalar-kvkk-cezalar/ (Erişim Tarihi:27.02.2021)

[2] https://www.ozbek.av.tr/kvk-blog/kisisel-verileri-koruma-kanununa-aykirilik-yaptirimlar-ve-yargi-yolu/ (Erişim Tarihi: 27.02.2021)

 

This div height required for enabling the sticky sidebar