KVKK’nın Cezai Yaptırımları Nelerdir?

Kişisel Verileri Koruma Kanunu’na Aykırılık, Yaptırımlar ve Yargı Yolu
Kişisel Verileri Koruma Kurulu (“Kurul”) Resmi Gazete ve Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sitesinde yayımlanmış olan 21.12.2017 tarihli 2017/61 ve 2017/62 sayılı kararları kapsamında Kişisel Verileri Koruma Kanununun (“Kanun”) 15. maddesinin 6. fıkrası uyarınca aldığı ilke kararlarına uymayanlar hakkında cezai işlem uygulanacağı yönünde karar almıştır.
Kurul,
• 2017/61 sayılı kararı ile çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren uygulama ve internet sitelerinin, Kanun’da ve ilgili mevzuatta dayanağı bulunmaksızın gerçekleştirdiği bu tip veri işleme faaliyetlerinin derhal durdurulmasına,

• 2017/62 sayılı kararında ise; banko, gişe ve masa gibi alanları kullanan kurum ve kuruluşların, aynı anda birbirine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek ek güvenlik önlemleri almasına
oybirliği ile karar vermiştir.
Kurul, bu kararları ile bunlara uymayanlar hakkında Kanun’un 18. maddesi kapsamında işlem yapılacağı hususunda açıkça uyarıda bulunmuştur. Kurul tarafından alınan ilke kararlarına uyulmaması halinde 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilmesi, Kanun kapsamında Kurul’a tanınan yaptırım imkanlarından sadece bir tanesidir.
Kurul’un bu kararlarını, Kanun’a aykırı hareket eden tüzel ve gerçek kişiler hakkında Kurul tarafından yapılacak suç duyuruları ile verilecek idari para cezalarının ayak sesleri olarak yorumladığımızdan bu yazımızda Kanun kapsamında ihlallerin karşılığı olan yaptırımları açıklamaya gayret ettik.
Kişisel Verilerin Korunması Kanunu Kapsamında Öngörülen Yaptırımlar Nelerdir?
Kanun’da öngörülen yaptırımlar Suçlar ve Kabahatler olmak üzere iki ayrı başlık altında düzenlenmiştir.
a) Türk Ceza Kanunu Kapsamında Düzenlenmiş Suçlar:
Kanun’un Suçlar başlığı altında 17. maddesinde doğrudan Türk Ceza Kanuna (“TCK”) 135 ila 140. maddelerine atıf yapılmış olup aşağıda yer alan suçları işledikleri sabit olanların, hapis cezasına çarptırılma riskleri vardır:
• Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi: TCK 135. madde kapsamında, hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceği düzenlenmiştir. Bu kişisel verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek cezanın yarı oranında artırılacağı ayrıca düzenlenmiştir.
• Kişisel Verilen Hukuka Aykırı Olarak Başkasına Verilmesi, Yayılması Ele Geçirilmesi: TCK 136. madde kapsamında, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.
Yukarıda yer verilen fiillerin kamu görevlileri tarafından görevin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılmak suretiyle işlenmesi halinde cezanın yarı oranında artırılacağı düzenlenmiştir.
• Kanuni Sürelerin Geçmiş Olmasına Rağmen Verilerin Yok Edilmemesi: TCK 138. madde kapsamında, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir. Suçun konusunun Ceza Muhakemesi Kanunu (“CMK”) hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılacağı ayrıca düzenlenmiştir (Bu hususa örnek olarak Ceza Muhakemesinde Beden Muayenesi, Genetik İncelemeler ve Fizik Kimliğin Tespiti Hakkında Yönetmeliğin 14. maddesinde düzenlenmiş olan bilirkişi tarafından yapılan analizler sonucu elde edilen bulgularla ilgili makama gönderileceği, bulgular üzerinden moleküler genetik analizler için izole edilen DNA örnekleri bilirkişi tarafından rapor hazırlandıktan sonra imha edilmesi gösterilebilir.)
Kanun’un 7. maddesinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yükümlülüklere yer verilmiş ve bu madde kapsamında ayrıca Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik de yayımlanmıştır. Düzenlenen bu usul ve esaslara ilişkin olarak detaylı bilgileri 10.11.2017 ve 20.01.2018 tarihli yazılarımızda bulabilirsiniz. Kanun’un 17. maddesinin 2. fıkrasında doğrudan yukarıdaki düzenlemelere atıf yapılarak kişisel verileri 7. maddeye aykırı olarak silmeyen veya anonim hale getirmeyenlerin TCK 138. madde uyarınca cezalandırılacağı açık olarak düzenlenmiştir.
Yukarıda yer alan suçların soruşturulması ve kovuşturulması şikayete bağlı değildir. Bu nedenle savcılıklarca herhangi bir şikayete tabi olmaksızın resen soruşturma başlatılması her zaman ihtimal dahilindedir.
• Güvenlik Tedbirleri: TCK 140. maddesinde yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacağı ayrıca düzenlenmiştir. Güvenlik tedbirleri TCK’nın 60. maddesinde açıklanmış olup; bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan tüzel kişi yararına işlenen kasıtlı suçlarda, bu iznin iptaline karar verileceği, yine müsadere hükümlerinin (eşya ve kazanç müsaderesi), özel hukuk tüzel kişileri hakkında da uygulanacağı düzenlenmiştir.
5235 sayılı kanun uyarınca yukarıdaki suçlara ilişkin yargılamalar görevli Asliye Ceza Mahkemelerinde yapılacaktır. Bu suçlar bakımından, TCK ve CMK hükümleri uyarınca cezanın ertelenmesi ve hükmün açıklanmasının geri bırakılmasının uygulanmama ihtimali bulunduğundan, bu durumda hüküm kesinleştiğinde hapis cezası kaçınılmaz olabilecektir.
Kurul yayınladığı Kanun Uygulamasına ilişkin Soru ve Cevaplar’da (“Soru ve Cevaplar”) ; Kurul tarafından yapılan bir inceleme neticesinde suç unsuruna rastlanılması halinde nasıl bir yol izleneceğine cevap vermiştir. Kurul, bu konuda özel bir düzenleme bulunmadığını, ancak TCK gereğince yetkili makamlara bildirimde bulunulacağını ifade etmiştir. Nitekim yukarıda bahsi geçen 2017/61 numaralı ilke kararında da kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, TCK 136. madde uyarınca ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Savcılığına bildirileceği belirtilmiştir.
Yine Kurul tarafından yayımlanan Soru ve Cevaplar’da bir fiil hem kabahat, hem de suç oluşturuyorsa sadece suçtan dolayı yaptırım uygulanacağı ifade edilmiştir. Kabahatler Kanunun 15. maddesinde de bir fiil hem kabahat hem de suç olarak tanımlanmışsa, sadece suçtan dolayı yaptırım uygulanabileceği düzenlenmiş olduğundan, bu açıdan uygulamanın da kanundan farklı olamayacağı düşünülmektedir.
b) Kabahatler:
Kanun’un 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda olmak üzere Kurul tarafından idari para cezaları verilebilir.
• Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 000 Türk lirasından 100.000 Türk lirasına kadar,
• maddede düzenlenen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• madde kapsamında Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• maddede düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilebilecektir.
Yukarıdaki ihlallerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarında işlenmesi halinde, Kurulun yapacağı bildirim üzerine, kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri, kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurul’a bildirileceği düzenlenmiştir.
Kanun’un 22. maddesinin 1. fıkrasının ğ bendinde idari yaptırımlara Kurul tarafından karar verileceği düzenlenmiştir. Madde gerekçesinde yukarıda yer verilen ihlallerin kabahat olarak öngörüldüğü ve idari para yaptırımına bağlandığı, verilen yaptırım kararına karşı idari yargı yolunun açık olduğu belirtilmiştir. Her ne kadar, Kanun gerekçesinde yaptırıma karşı idari yargı yoluna gidilebileceği belirtilmiş ise de aşağıda da izah edeceğimiz gibi Kabahatler Kanunu kapsamında Kurul’un vermiş olduğu idarî para cezalarına kararına karşı Sulh Ceza Hâkimliğine, yani adlî yargı yoluna başvurulması gerekecektir. Kanun gerekçesinde, Kurul’un idari para cezalarının miktarına ilişkin karar verirken 5326 sayılı Kabahatler Kanunu düzenlemesine göre hareket edeceği yine Kanun’da kabahatlerle ilgili hüküm bulunmaması halinde de genel kanun niteliğindeki 5326 sayılı Kabahatler Kanununun uygulama yeri bulacağı belirtilmiştir.
Bu durumda yukarıda bahsi geçen idari para cezaları kime kesilecek?
Kanun’un 18. maddesinde idari para cezalarının veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı belirtilmiştir. Bu durumda Kanun’da geçen veri sorumlusu ifadesinden ne anlamamız gerekiyor?
Kanun, veri sorumlusunu, Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (“Veri Sorumlusu”) olarak tanımlamıştır. Yani kişisel verileri tamamen veya kısmen otomatik olan yollarla veya bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişiler Veri Sorumlusu olarak kabul edilmektedirler. Daha basit anlatımla gerçek kişi olmaları şartıyla çalışanlarının, müşterilerinin, iş ortakları, tedarikçilerinin v.b. kişisel bilgilerini toplayan, kaydeden, bunları işleyen, transfer eden şirketler başta olmak üzere tüm tüzel kişilikler ile gerçek kişiler Veri Sorumlusu’dur.
Kurum tarafından yayımlanmış Soru ve Cevaplar’da; tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” oldukları, ilgili düzenlemelerde belirtilen hukuki sorumluluğun tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği, bu çerçevede gerek cezai gerekse de hukuki sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümlerin uygulanacağı belirtilmiştir.
Sonuç olarak idari para cezaları, kamu tüzel kişilikleri hariç olmak üzere kişisel veri işleyen şirketlere, vakıf, dernek gibi özel hukuk tüzel kişilerine ve gerçek şahıslara kesilebilecektir.
“Kurul’un nereden haberi olacak da bize ceza kesecek?” demeyin.
Kurul kendi inceleme yapabileceği gibi, herhangi birinin şikayeti sonucunda inceleme yapmak zorundadır. Veri sahibi kişilerin kişisel verilerine dair haklarına ve Kanun’a dair farkındalıkları arttıkça şikayet ve ihbarların sayısının da artması beklenir. Kanun’un 15. maddesinde Kurul’un şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, inceleme yapacağı düzenlenmiştir.
Şikayet süreci, ilgisinin öncelikle Veri Sorumlusuna başvurması ile başlar. Veri Sorumlusu kendisine iletilen talebi 30 gün içinde sonuçlandırmak durumundadır. Başvuru talebine ilişkin kabul veya ret kararı Veri Sorumlusu tarafından ilgilisine yazılı veya elektronik ortamda bildirilir. Başvurunun kabulü halinde talep gereği Veri Sorumlusu tarafından yerine getirilir.
Veri sahibi, başvurusu Veri Sorumlusu tarafından reddedilirse, verilen cevabı yetersiz bulursa Kurul’a kendisine cevap verildiği tarihi takiben 30 gün içinde şikayette bulunmak zorundadır. Veri sahibi kendisine cevap verilmediği takdirde ise Veri Sorumlusu’na başvuru tarihini takiben 60 gün içinde Kurul’a şikayette bulunmak durumundadır. Bu durumda Kurul, şikayet uyarınca incelemesini yapacaktır. Veri Sorumlusu, Kurul’un inceleme konusu ile ilgili istemiş olduğu belgeleri 15 gün içinde Kurul’a göndermek, talep halinde ise yerinde inceleme yapılmasını sağlamak zorundadır. Yapılan inceleme sonucunda aykırılık tespit edilmesi durumunda bunların giderilmesi için Veri Sorumlusu’na Kurul tarafından süre verilir. Karar gereğinin Veri Sorumlusu tarafından 30 gün içinde yerine getirilmesi zorunludur.
Telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul, veri işlenmesinin veya verinin yurt dışına aktarılmasını durdurabilecektir.
Yine aynı maddede şikayet üzerine veya resen yapılan inceleme sonucunda, bir ihlalin yaygın olduğunun tespiti halinde yukarıda yer vermiş olduğumuz kararlar gibi ilke kararları alınabileceği düzenlenmiştir.
-Kurul ceza bedelini hangi kriterleri dikkate alarak belirleyecek?
Yukarıda yer vermiş olduğumuz gibi Kanun’un 18. maddesi kapsamında düzenlenen idari para cezalarının alt ve üst sınır aralığı oldukça geniş tutulmuştur. İlgili madde gerekçesinde idari para cezalarının alt ve üst sınırları arasındaki makasın bilinçli olarak geniş tutulduğu, Kurul tarafından karar verilirken 5326 sayılı Kabahatler Kanunu’nun 17. maddesinin ikinci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alınacağı düzenlenmiştir. İlgili madde gerekçesinde, çok farklı ekonomik güce sahip gerçek veya tüzel kişiler hakkında uygulanacak yaptırımlar bakımından hakkaniyeti sağlamak amacıyla bu şekilde bir düzenleme yapıldığı açıklanmıştır. Bu konuya dair verilen örnek olarak da küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarının söz konusu şirketlerin ekonomik durumlarına göre farklı olması gerektiği gösterilmiştir. Dolayısıyla Kurul, her şirket özelinde inceleme yaparak kabahatin içeriği, kusur ve şirketin mali yapısını dikkate almak suretiyle para cezasını belirleyecektir.
-Hakkımızda idari para cezası verilirse hangi hukuki yollara başvuracağız?
Önceki makale ve bilgi notlarımızda detaylı olarak izah etmeye çalıştığımız riskleri, görmezden geldiğiniz ve tüm uyarılarımıza ve yol göstermemize rağmen gerekli tedbirleri almadığınız için idari para cezası yediniz veya tüm tedbirleri aldınız, ancak Kurul’un haksız uygulamaları neticesinde şirketiniz ve kuruluşunuz hakkında idari para cezası kesildi. Bu durumda hangi kanun yoluna başvuracaksınız?
Yukarıda da izah ettiğimiz gibi Kanun düzenlemesi ve gerekçesinde idari para cezasına ilişkin Kabahatler Kanunu’na atıf yapılmaktadır. İdari para cezasına karşı yasal başvuru yolu Kabahatler Kanunu’nun 27. maddesinde düzenlenmiş olup idari para cezası kararına karşı, kararın tebliği veya tefhimi tarihinden itibaren en geç 15 gün içinde yetkili Sulh Ceza Hâkimliğine başvuruda bulunulmalıdır. Başvuru bu süre içinde yapılmaz ise idari yaptırım kararının kesinleşeceği açık olarak düzenlenmiştir. Veri Sorumlusu’nun bizzat kendisi veya vekili aracılığı ile idarî yaptırım kararına ilişkin bilgileri ve bu karara karşı ileri sürülen delilleri içerir dilekçe ile Sulh Ceza Hâkimliğine başvurması gerekmektedir.
Kanun maddesinde idarî yaptırım kararının verildiği işlem kapsamında aynı kişi ile ilgili olarak idarî yargının görev alanına giren kararların da verilmiş olması halinde; idari yaptırım kararına ilişkin hukuka aykırılık iddiaları bu işlemin iptali talebiyle birlikte idari yargı merciinde görülür. İdari yaptırım kararının verildiği işlem kapsamında idari yargının görev alanına giren kararların da verilmiş olması halinde ise, idari yaptırım kararına ilişkin hukuka aykırılık iddialarının bu işlemin iptali talebiyle birlikte idari yargı merciinde görüleceği düzenlenmiştir. Bu halde İdare Mahkemesine başvuru yapılması gerekecektir. Yapılacak başvuru harca tabi değildir.
Başvurunun İncelenmesi:
Sulh Ceza hâkimliğine yapılan başvurunun usulden kabulü halinde hâkimlik dilekçenin bir örneğini Kurul’a gönderecektir. Kurul başvuru dilekçesinin tebliği tarihinden itibaren en geç 15 gün içinde hâkimliğe cevabını verir. Sulh Ceza Hâkimliği Veri Sorumlusu’na Kurul’un cevap dilekçesinin bir örneğini tebliğ edecektir. Hâkimlik talepte bulunulması üzerine veya resen tarafları çağırarak belirleyeceği gün ve saatte tarafları dinleyebilir. Hâkimlik, ilgilileri dinledikten ve bütün delilleri ortaya koyduktan sonra aleyhinde idari yaptırım kararı verilen ve hazır bulunan taraflara son sözünü sorar ve son kararını hazır bulunan tarafların huzurunda açıklar.
Başvuru Sonucu:
Hâkimlik yargılama sonucunda başvuruyu tamamen red veya kabul edebileceği gibi idari para cezasının miktarında değişiklik yaparak da başvurunun kabulüne karar verebilir. Hâkimliğin kararına karşı Ceza Muhakemesi Kanunu hükümlerine göre itiraz imkânı mevcut olup itirazın kararın tebliğinden itibaren 7 gün içinde yapılması gerekmektedir.
SONUÇ:
Kişisel Verileri Koruma Kurulu yukarıda yer verdiğimiz kararları ile Kanun’un yaygın ihlali olarak öngördüğü aykırılıkların giderilmesi, bu aykırılıkların giderilmemesi halinde ise Kanun’da öngörülen yaptırımların uygulanacağı hususunda açık uyarıda bulunmuştur. Bu uyarılar Kurul’un yakın zamanda denetimlere başlayacağını, ihlallerin tespiti halinde yukarıda özetle yer verdiğimiz suç duyuruları ve idari para cezalarının uygulama yeri bulacağını göstermektedir. Bu nedenle bu gibi büyük cezalarla karşılaşılmaması için kişisel verileri işleyen tüm gerçek ve tüzel kişilerin gerekli tedbirleri alarak zorunlu olan Kanun’a uyum sürecini ivedilikle tamamlamasını önermekteyiz.