KVKK İhlali Halinde Hukuki Sorumluluk

Yazan /

KVKK ihlali, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuat çerçevesinde belirlenen yükümlülüklerin yerine getirilmemesi durumudur. KVKK ihlali; idari para cezası, cezai sorumluluk ve özel hukuk yoluyla tazminat davası gibi ciddi hukuki sonuçlar doğurabilir. Şirketlerin yıllık cirolarına oranla ciddi yaptırımlar gündeme gelebilir; veri ihlalinin kamuoyuna yansıması ise marka itibarına geri dönüşü zor zararlar verebilir. Bu rehberde KVKK ihlalinin türlerini, veri sorumlusunun bildirim yükümlülüğünü, idari ve cezai yaptırımları, ilgili kişinin başvuru yollarını ve Kurum kararlarına itiraz sürecini detaylı olarak açıklayacağız.

KVKK Kapsamı: Veri Sorumlusu ve İlgili Kişi

  • Veri sorumlusu (KVKK m. 3/1-ı): Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
  • İlgili kişi (KVKK m. 3/1-ç): Kişisel verisi işlenen gerçek kişidir. Tüzel kişiler ilgili kişi sayılmaz; kanun yalnızca gerçek kişilerin verilerini korur.
  • Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına veri işleyen gerçek veya tüzel kişi.

KVKK İhlali ve Veri İhlali Nedir?

KVKK m. 12/5 uyarınca veri ihlali; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halini ifade eder. Veri ihlali, ihlal türlerinden sadece biridir. KVKK ihlali daha geniş bir kavramdır ve aşağıdakileri kapsar:

  • Aydınlatma yükümlülüğünün yerine getirilmemesi (KVKK m. 10),
  • Açık rızasız veri işleme (KVKK m. 5),
  • VERBİS’e kayıt ve bildirim yükümlülüğünün ihlali (KVKK m. 16),
  • Veri güvenliği önlemlerinin alınmaması (KVKK m. 12),
  • İlgili kişi başvurularının cevapsız bırakılması (KVKK m. 13),
  • Veri ihlali bildiriminde bulunulmaması,
  • Yurt dışı veri aktarımının izinsiz yapılması (KVKK m. 9),
  • Verilerin amaçla bağlantısız işlenmesi (orantılılık ilkesi ihlali).

Kişisel Veri İşleme Şartları (KVKK m. 5-6)

Kişisel veri işlemenin hukuka uygun olabilmesi için aşağıdaki şartlardan en az biri bulunmalıdır:

  • İlgili kişinin açık rızası,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumdaki kişinin hayatı veya beden bütünlüğünün korunması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.

Özel nitelikli kişisel veriler (sağlık, cinsel hayat, etnik köken, dini inanç, sendika üyeliği, ceza mahkûmiyeti vb.) için ek koruma getirilmiştir; bu veriler kural olarak ancak açık rıza veya kanunda öngörülen sınırlı hallerde işlenebilir.

Veri İhlali Bildirim Yükümlülüğü (KVKK m. 12/5)

Veri sorumlusu, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğini öğrendiğinde:

  • Kişisel Verileri Koruma Kurulu’na (Kurul) en kısa sürede ve her halükarda 72 saat içinde bildirimde bulunmalıdır.
  • İhlalden etkilenen ilgili kişilere de en kısa sürede bildirim yapılmalıdır.
  • Bildirim, Kurul’un belirlediği “Kişisel Veri İhlali Bildirim Formu” üzerinden yapılır.
  • Form içeriği: ihlalin niteliği, etkilenen kişi sayısı, etkilenen veri kategorileri, alınan tedbirler, iletişim noktası.

Bildirim yapılmaması veya geç bildirim, ayrı bir KVKK ihlali olarak ek idari para cezasına neden olabilir. Bildirim formu üzerinden yapılan başvurular Kurul tarafından incelenir; gerekirse veri sorumlusundan ek bilgi istenir.

KVKK İhlali Halinde İdari Para Cezaları (KVKK m. 18)

KVKK m. 18, Kanun’da öngörülen yükümlülüklere uymayan veri sorumluları için idari para cezası öngörmüştür. Ceza tutarları her yıl yeniden değerleme oranında güncellenir. Temel ihlal türleri ve uygulanan ceza kategorileri:

  • Aydınlatma yükümlülüğüne uymama: İdari para cezası.
  • Veri güvenliği önlemlerinin alınmaması: İdari para cezası.
  • Kurul kararlarına uymama: İdari para cezası.
  • VERBİS’e kayıt ve bildirim yükümlülüğünün ihlali: İdari para cezası.

Güncel tutarlar için Kişisel Verileri Koruma Kurumu internet sitesindeki yıllık güncellenen değerleri esas alınmalıdır. Cezalar, ihlalin niteliği, kapsamı, etkilenen kişi sayısı ve veri sorumlusunun cirosu dikkate alınarak belirlenir.

Cezai Sorumluluk (TCK m. 135-140)

KVKK m. 17 atfıyla 5237 sayılı Türk Ceza Kanunu’nun kişisel verilere ilişkin suçları uygulanır:

  • Kişisel verilerin hukuka aykırı kaydedilmesi (TCK m. 135): 1-3 yıl hapis cezası. Özel nitelikli verilerde ceza yarı oranında artırılır.
  • Kişisel verileri hukuka aykırı verme veya ele geçirme (TCK m. 136): 2-4 yıl hapis cezası.
  • Nitelikli haller (TCK m. 137): Suçun kamu görevlisi tarafından veya belirli bir meslek nedeniyle işlenmesi halinde ceza yarı oranında artırılır.
  • Verileri yok etmeme (TCK m. 138): Saklama süresi dolmasına rağmen verileri imha etmeyenler için 1-2 yıl hapis cezası.

Cezai sorumluluk gerçek kişilere yöneliktir; ancak özel hukuk tüzel kişileri hakkında 5237 sayılı Kanun’un 60. maddesi kapsamında güvenlik tedbirleri uygulanabilir. Suçun kovuşturulması şikayete bağlı değildir; Cumhuriyet Başsavcılığı resen soruşturma başlatır.

Özel Hukuk Sorumluluğu: Tazminat Davası

KVKK ihlali nedeniyle zarar gören ilgili kişiler, genel hükümlere göre maddi ve manevi tazminat davası açabilir:

  • Maddi tazminat: İhlal sonucu uğranılan parasal kayıplar (örneğin kimlik dolandırıcılığı kaynaklı zararlar, kredi hesaplarındaki yetkisiz işlemler).
  • Manevi tazminat: Kişilik hakları zedelendiğinden TBK m. 58 ve TMK m. 24 uyarınca manevi tazminat talep edilebilir.
  • Görevli mahkeme: Asliye hukuk mahkemesidir (genel görev kuralı).
  • Yetkili mahkeme: Davalının yerleşim yeri veya zararın doğduğu yer mahkemesi.

İlgili Kişinin Başvuru Yolları (KVKK m. 13-14)

  1. Veri sorumlusuna başvuru: İlgili kişi, önce veri sorumlusuna yazılı veya KVKK’nın belirlediği elektronik yollarla başvurur. Veri sorumlusu en geç 30 gün içinde cevap vermek zorundadır.
  2. Kurul’a şikayet: Başvuruya cevap verilmezse veya verilen cevap yetersiz bulunursa, ilgili kişi cevabı öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikayette bulunabilir.
  3. Tazminat davası: Genel mahkemelerde maddi ve manevi tazminat davası açılabilir.
  4. Cumhuriyet Başsavcılığı’na suç duyurusu: TCK m. 135-140 kapsamında suçun işlendiği iddiasıyla.

Kurum Kararına İtiraz

Kişisel Verileri Koruma Kurulu’nun verdiği idari para cezası kararlarına karşı, kararın tebliğinden itibaren 30 gün içinde idare mahkemesinde iptal davası açılabilir (KVKK m. 18/3 ve İdari Yargılama Usulü Kanunu çerçevesinde). Davanın açılması cezanın tahsilini durdurmaz; mahkemeden ayrıca yürütmenin durdurulması talep edilebilir.

KVKK Uyum Süreci — Şirketler İçin Kontrol Listesi

  • Veri envanteri: Şirket içinde işlenen tüm kişisel veriler kategorize edilir.
  • Aydınlatma metinleri: Çalışan, müşteri, tedarikçi için ayrı ayrı hazırlanır.
  • Açık rıza prosedürleri: Web formları, e-ticaret onay metinleri.
  • Saklama-imha politikası: Hangi verinin ne kadar süreyle saklanacağı belirlenir.
  • VERBİS kaydı: Belirli kriterleri sağlayan veri sorumluları için.
  • İdari ve teknik tedbirler: Şifreleme, erişim yetkileri, güvenlik duvarı, log kayıtları.
  • Çalışan eğitimi: Periyodik KVKK eğitimleri.
  • Sözleşmesel düzenlemeler: Veri işleyen ile yapılan sözleşmelerde KVKK maddeleri.
  • İhlal bildirim prosedürü: 72 saatlik bildirim için iç akış belirlenir.

Sıkça Sorulan Sorular

Hangi şirketler KVKK kapsamındadır?

Türkiye’de kişisel veri işleyen tüm gerçek ve tüzel kişiler KVKK kapsamındadır. Belirli kriterleri sağlayan veri sorumlularının ayrıca VERBİS’e kayıt yükümlülüğü vardır (yıllık çalışan sayısı, bilanço büyüklüğü ve faaliyet türüne göre belirlenir). VERBİS muafiyeti olan şirketler de KVKK genel yükümlülüklerinden muaf değildir.

Açık rıza alındığında her veri işlenebilir mi?

Hayır. Açık rıza tek başına yeterli değildir. Veri işleme; belirli, açık ve meşru amaçlarla sınırlı olmalı, amaçla bağlantılı ve ölçülü olmalıdır (KVKK m. 4). Ayrıca açık rıza her zaman geri çekilebilir; geri çekme sonrası işleme durdurulmalıdır.

Veri ihlali tüm çalışanlara mı bildirilir?

Veri ihlali, ihlalden etkilenen ilgili kişilere bildirilir. İlgili kişilerin adreslerinin bilinmediği durumlarda veri sorumlusu, Kurum’un internet sitesi veya başka uygun yöntemlerle (örneğin kendi web sitesinde duyuru, basın açıklaması) kamuoyuna duyuru yapabilir.

KVKK uyum süreci nedir?

KVKK uyumu; aydınlatma metinleri hazırlama, açık rıza prosedürleri, veri envanteri, saklama-imha politikası, VERBİS kaydı, idari ve teknik tedbirler, eğitim, sözleşmeler ve denetim süreçlerini içeren kapsamlı bir süreçtir. Detaylı bilgi için KVKK ve Veri Koruma Hukuku sayfamıza bakabilirsiniz.

İlgili kişi başvurusu nasıl yapılır?

İlgili kişi başvurusu, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” çerçevesinde yazılı olarak; noter aracılığıyla, e-Devlet üzerinden, kayıtlı elektronik posta (KEP) ile veya veri sorumlusunun belirlediği güvenli elektronik imza yöntemiyle yapılabilir.

Yurt dışına veri aktarımı nasıl yapılır?

KVKK m. 9 uyarınca yurt dışına veri aktarımı, kural olarak açık rıza ile yapılır. Yeterli korumanın bulunduğu Kurul tarafından ilan edilen ülkeler dışında ise veri sorumlusu ile yabancı ülkedeki veri sorumlusu arasında yazılı taahhüt verilmesi ve Kurul izni gereklidir.

Çerez kullanımı KVKK kapsamında mıdır?

Çerezler kişisel veri toplamak için kullanılıyorsa KVKK kapsamına girer. Zorunlu olmayan çerezler için açık rıza alınması gerekir. Web sitesinin “çerez politikası” ve onay banner’ı bu yükümlülüğün uygulamasıdır. Daha geniş bilgi için siber güvenlik hukuku sayfamızı inceleyebilirsiniz.

Bu yazı genel bilgilendirme amacıyla hazırlanmıştır. Somut olayınıza ilişkin değerlendirme için hukuki danışmanlık almanız önerilir.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top