1. Giriş

Kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amacıyla 2016 yılında 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Kanun ile mahremiyetin korunması, veri güvenliğinin sağlanması ve kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanmasının veya amaç dışı ya da kötüye kullanım sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Bu kapsamda belirlenen amaçların gerçekleştirilebilmesi için KVKK’da veri sorumlularına bazı yükümlülükler getirilmiştir. Belirlenen yükümlülüklere uymayan veri sorumlularının kişisel verileri ihlal etmesi halinde haklarında KVKK’nın 17. ve 18. maddesindeki idari ve cezai yaptırımların uygulanacağı hükme bağlanarak KVKK cezaları düzenlenmiştir.

2. Kişisel Verilerin İhlali Halinde Uygulanacak İdari ve Cezai Yaptırımlar

KVKK’nın 17. maddesinde; kişisel veri ihlallerinde, kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. maddelerinin uygulanacağı, 18. maddesinde ise kişisel veri ihlali halinde uygulanacak idari para cezaları yani kabahat niteliği taşıyan fiiller düzenlenmiştir. Buna göre, kişisel verilerin işlenmesine ilişkin hukuka aykırılıklarda uygulanan yaptırımları hapis cezaları ve idari para cezaları olmak üzere KVKK cezalarını iki gruba ayırmak mümkündür.

a. İdari Para Cezaları

KVKK’nın 18. maddesinde, yükümlülüklere uymayarak kişisel verileri ihlal eden veri sorumluları hakkında uygulanacak idari para cezaları düzenlenmiştir. KVKK’da düzenlenen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanmaktadır. Ayrıca KVKK’da düzenlenen idari para cezaları her yıl yeniden değerleme oranında arttırılmaktadır. Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilebilecek idari para cezaları (KVKK idari para cezaları 2019 yılı için);

– KVKK’nın 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.012 Türk Lirasından 180.263 Türk Lirasına kadar,

– KVKK’nın 12. maddesinde düzenlenen veri güvenliğine karşı yükümlülüklerini yerine getirmeyenler hakkında 27.037 Türk Lirasından 1.802,640 Türk Lirasına kadar,

– KVKK’nın 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.062 Türk Lirasından 1.802,640 Türk lirasına kadar,

– KVKK’nın 16. maddesinde düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket   edenler hakkında 36.050 Türk Lirasından 1.802,640 Türk Lirasına kadar idari para cezası verilir.

b. Hapis Cezaları

KVKK’nın 17. maddesinde kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. maddelerinin uygulanacağı hükme bağlanmıştır. 5237 sayılı Türk Ceza Kanunu’nun 135. maddesinde, kişisel verilerin kaydedilmesi suçu, 136. maddesinde, verileri hukuka aykırı olarak verme veya ele geçirme suçu, 138. maddesinde, verileri yok etmeme suçları, kişisel veri ihlali suçları olarak düzenlenmiştir. Ayrıca Kanunun 140. maddesinde bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbirlerinin uygulanacağı hükme bağlanmıştır. 

ı. Kişisel Verilerin Kaydedilmesi Suçu

Türk Ceza Kanunu’nun 135. maddesi uyarınca, hukuka aykırı olarak kişisel verileri kaydeden kişiye bir yıldan üç yıla kadar hapis cezası verilir. Hukuka aykırı olarak kaydedilen kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırkı kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında artırılır.

Ayrıca bu suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi halinde veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde de verilecek ceza yarı oranında artırılır.

ıı. Verilerin Hukuka Aykırı Olarak Verme Veya Ele Geçirme Suçu

Türk Ceza Kanunu’nun 136. maddesi uyarınca, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.  Suçun konusunun, Ceza Muhakemesi Kanunu’nun 236. maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

Ayrıca bu suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi halinde veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde de verilecek ceza yarı oranında artırılır.

ııı. Verileri Yok Etmeme Suçu

Türk Ceza Kanunu’nun 136. maddesi uyarınca, kanunların belirlediği sürelerin geçmiş olmasına rağmen, kişisel verileri sistem içinde yok etmekle yükümlü olanlara, bu görevlerini yerine getirmemeleri halinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken bir kişisel veri olması hâlinde ise verilecek ceza bir kat artırılır.

3. Kişisel Verileri Koruma Kurulu’nun Verdiği Bazı Kararlar

Kişisel Veri Koruma Kurul’u 27.08.2019 tarihinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan X turizm şirketi hakkında 400.000 TL ve bu ihlale ilişkin “en kısa sürede” Kurum’a bildirme yükümlülüğünü ihlal etmesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Kişisel Veri Koruma Kurul’u 01.07.2019 tarihinde, Mimar Sinan Güzel Sanatlar Üniversitesi’nin veri sahibinin başvurusuna, Kanun’da belirtilen sürede yanıtlanmaması suretiyle, kamu kuruluşu olarak değerlendirilen Mimar Sinan Güzel Sanatlar Üniversitesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sınav sonuç duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde Üniversitenin talimatlandırılmasına karar vermiştir.

Kişisel Veri Koruma Kurul’u 16.05.2019 tarihinde Clickbus Seyahat Hizmetleri Anonim Şirketi’nin gerekli denetim ve kontrolleri yapılmadığı ve verilerin 3. Kişiler tarafından ihlal edildiğinin tespit edilmiş olmasına rağmen ihlalin 4 (dört) gün daha devam etmiş olması idari tedbirlerini yeterli derecede almamış olduğunu göstermiş olması sebebiyle şirket hakkında toplam 550.000 TL idari para cezasına karar vermiştir.

 Av. Tolgay Mingan