Kişisel Verilerin Korunması Kanunu’na Aykırılığın Sonuçları

24.03.2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilen Korunması Kanunu (“Kanun”) bireylere birtakım haklar sağlarken birtakım yükümlülükler ve bunlara aykırılıklar halinde idari ve cezai yaptırımlar düzenlemiştir.

Kanun’un amacı kişilerin kişisel veri olarak adlandırılan, onları belirli veya belirlenebilir kılan ad, soyadı, kimlik numarası, adres, boy-kilo-askerlik durumu, dernek-vakıf üyeliği, kan grubu vb. verilerinin haberleri veya izinleri olmadan, kontrolsüz ve gereksiz işlenmelerinin önlenmesidir.

 Kanun’da öngörülen yaptırımlar nelerdir?

Kanun suçlar için cezai, kabahatler için idari yaptırımlar düzenlemiştir.

Kişisel verilere ilişkin suçlar ve yaptırımları Türk Ceza Kanunu’nda düzenlenmiş ve ilgili suçların tek bir yaptırımı olarak hapis cezası öngörülmüştür.

Cezaya konu eylemler;

  • Hukuka aykırı olarak kişisel verileri kaydetmek,
  • Kişisel verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek,
  • Kanunların belirlediği süreler geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olduğu halde yok etmemek

olarak tespit edilmiştir.

Yukarıda suç olduğunu belirttiğimiz eylemlerin;

(i) özel nitelikli verilere (kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel hayatlarına, sağlık durumlarına veya sendikal bağlantılarına) ilişkin olması.(ii) Bu suçların kamu görevlileri tarafından veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanan kişiler tarafından işlenmesi.(ııı) Ceza oranlarının artacağına ilişkin düzenlemelere Türk Ceza Kanunu’nda yer verilmiştir.  

Kanun, ayrıca kabahatler başlığı altında;
(i) aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen.
(ii) Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen kararları uygulamayan.
(iii) Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne aykırı hareket eden veri sorumlusu gerçek ve tüzel kişiler hakkında para cezaları öngörmüştür. Bu para cezaları 5.000 Türk Lirasından başlayarak 1.000.000 Türk Lirası’na kadar çıkabilmektedir.

Para cezalarına muhatap olabilecek veri sorumlusu gerçek kişiler kimlerdir?

Kanun, veri sorumlusunu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (“Veri Sorumlusu”) olarak tanımlamıştır. Yani Veri Sorumlusu gerçek kişi olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Veri Sorumlusu tüzel kişi ise ve bu tüzel kişi işlediği bir kabahat sonucunda para cezasına mahkum edilecekse, para cezasının muhatabı şirketi temsil ve ilzama yetkili organı oluşturan kişiler olacaktır.

Kişisel Verileri Koruma Kurumu (“Kurum”) yayınlamış olduğu Soru ve Cevaplar’da;

“Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişileri de veri sorumlusu yapmaz” şeklinde açıklanmıştır.

Başka deyişle, tüzel kişiliği temsil ve ilzama yetkili organ veya kişiler Kanun’da sayılan yükümlülükleri yerine getirmeleri üzere başkalarını görevlendirmiş olabilir. Herhangi bir yaptırıma karar verilmiş olması halinde yaptırımın muhatabı yine tüzel kişiliği temsil ve ilzama yetkili kişiler ile bu hak ve sorumluluğa sahip organlarla ilintili olarak organı oluşturan kişiler (yönetim kurulu, ortaklar kurulu vb üyeleri ) olacaktır.

Kişisel verisi işlenen kişi (“İlgili Kişi”) kişisel verisi ile bir ihlal gerçekleştiğini fark ettiğinde ne yapabilir?

İlgili Kişi, kişisel verisi ile ilgili Kişisel Verilerin Korunması Kanunu’na Aykırılığı fark ettiğinde öncelikle durumu ihlali gerçekleştiren Veri Sorumlusu’na bildirmelidir. Kanun’da bu durum şikayet olarak adlandırılmıştır. Şikayeti alan Veri Sorumlusu en kısa süre içinde ve en geç otuz gün içinde İlgili Kişi’ye cevap vermekle yükümlüdür. Kanun’un 13. maddesi gereğince, İlgili Kişiler’in taleplerini öncelikle Veri Sorumlusu’na yazılı olarak iletmeleri zorunludur.

  • Başvuruda yer alan talebin kabul edilmesi halinde Veri Sorumlusu talebin gereğini en geç 30 gün içinde yerine getirir. Otuz gün içinde yanıt verilmemiş olması talebin zımnen reddi olarak kabul edilecektir.
  • Başvurunun açıkça ya da yukarıda belirttiğimiz gibi zımnen reddedilmesi veya verilen cevabın yetersiz bulunması halinde İlgili Kişi, bu tarihten itibaren en geç otuz gün içinde Kurul’a şikayet hakkını kullanabilecektir.
  • Kurul talebi inceler, İlgili Kişi’nin talebine yanıt verir ve gerekli görmesi halinde Kanun’da öngörülen idari yaptırımların uygulanmasına karar vererek Veri Sorumlusu’nu cezalandırır.
  • İlgili Kişi, Kurul’un kararını yeterli ya da uygun görmüyorsa, kararın iptali için İdari Yargı Yolu’na başvurabilecektir.

İlgili kişi, kişisel verilerinin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde Veri Sorumlusu’ndan zararın giderilmesini talep etme hakkına sahiptir. Ayrıca, kişilik hakkı ihlal edilen ilgili kişilerin genel hükümlere göre tazminat hakkı da bulunmaktadır.

Kurul, Herhangi bir şikayete gerek olmaksızın kendiliğinden inceleme yaparak, idari yaptırım uygulayabilir.

Kurul, bir ihlal tespit eder ve bu ihlalin yaygın olduğuna kanaat getirirse, bu konuda ilke kararı alabilir, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde ise veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

Kurum’un yayınladığı Soru ve Cevaplarda; yapılan incelemeler neticesinde suç unsuruna rastlanılması halinde nasıl bir yol izlenmesi gerekiyor. Örneğin “Kanun’da konuya ilişkin olarak özel bir düzenleme bulunmamakla birlikte Türk Ceza Kanunu gereğince yetkili makamlara bildirimde bulunulacaktır. Bir fiil hem kabahat hem de suç oluşturuyorsa sadece suçtan dolayı yaptırım uygulanacaktır” şeklinde açıklama yapılmıştır.

Kurul’un dikkat çeken bazı kararları

  • Kurul’un 26.07.2018 tarihli ve 2018/91 sayılı kararı; Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin Şirkete ait bu internet sitesi üzerinde alışveriş yapan başka kişiler tarafından erişilebilir hale gelirse. İlgili kişi önce şirkete başvurmuş, Şirketten aldığı cevabı yetersiz bulması üzerine Kurul’a başvuruda bulunmuştur. Bunun üzerine Kurul Şirket’ten savunma istemiş ancak Şirket’in Kanun’un 12.maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi gerekir. Kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı sonucunda varıldığından Şirket hakkında idari para cezası uygulanmasına karar vermiştir.
  • Kurul’un 05.12.2018 tarihli ve 2018/143 sayılı kararı; Doktor kontrolünde ilaç kullanan ilgili kişi, özel nitelikli bu verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kurul’a başvuruda bulunmuştur. Yapılan inceleme ve araştırma sonucunda Kanun’da sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanun’un 12.maddesinin (4) numaralı fıkrasına aykırılık etmesi. Bu neden ile (veri sorumluları ve veri işleyen kişiler, öğrendikleri verileri Kanun’a aykırı bir şekilde üçüncü kişilere açıklayamazlar) veri sorumlusu eczane hakkında idari para cezası uygulanmasına karar verilmiştir.
  • Kurul’un 21.12.2017 tarihli 2017/62 sayılı kararı; Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzeyde hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kurum ve kuruluşların banko/gişe/masa gibi bölümlerinde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini engelleyecek nitelikte teknik ve idari tedbirleri almasına, aksi halde idari para cezası ile cezalandırılmalarına karar verilmiştir.
  • Kurul’un 21.12.2017 tarihli 2017/61 sayılı kararı; Kişilerin açık rızası alınmaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalarına ilişkin olarak; Kişisel Verilerin Korunması Kanunu’na Aykırılığı elde edilmiş olabileceği dikkate alınarak Türk Ceza Kanununun 136.maddesi uyarınca kişisel verileri izinsiz olarak ele geçiren kişilerin iki yıldan dört yıla kadar hapis cezasına çarptırılmalarına ilişkin Cumhuriyet Başsavcılığına bildirileceklerine karar verilmiştir.

SONUÇ

Kurul ve Kurum Kanun’un yürürlüğe girdiği 2016 yılından bu yana çalışmalarına hızla başlamış ve yukarıdaki örnek kararlardan da gördüğümüz üzere yaptırımlar uygulanmaya başlamıştır. Tüm gerçek ve tüzel kişilerin Kanun’a uyum çalışmalarını tamamlamalarını ve yaptırımlarla karşı karşıya kalmamaları adına önlemlerini hızla almalarını Vona  Hukuk Bürosu olarak tavsiye ederiz.

KAYNAKÇA

  • Kişisel Verilerin Korunması Kanunu
  • Türk Ceza Kanunu
  • Kişisel Verileri Koruma Kurulu’nun yayınlamış olduğu “Soru ve Cevaplar”
  • Kişisel Verileri Koruma Kurulu’nun yayınlamış olduğu “Sıkça Sorulan Sorular”
  • Kişisel Verileri Koruma Kurulu’nun yayınlamış olduğu kararlar

 

Av. Elif Çeviker

 

 

 

Uyarı: Yukarıdaki bilgi ve görüşlerimiz sadece yol gösterme amaçlıdır ve yasal tavsiye alma olarak değerlendirilemez. Vona Hukuk Bürosu, doğru ve güncel içerikli bilgiyi sağlamak için her türlü çabayı göstermektedir ancak, bu makalenin yayımlanmasından sonra yürürlüğe girebilecek olan yasa ve mevzuatlarda yapılan değişiklikler nedeniyle en güncel yasal gelişmeleri yansıtmayabilir. Bu nedenle, bu makaledeki hiçbir şey yasal tavsiye olarak görülmemeli ve herhangi bir karar vermeden veya bu makalede yer alan bilgilere dayanarak herhangi bir işlem yapmadan önce avukatlara danışmalısınız.