Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Bu tarih itibari ile mevzuatımızda kişisel verilere ilişkin kısım kısım, farklı düzenlemeler içinde yer alan hükümler, toparlayıcı ve genel bir Kanun mevcut hale geldi. Kişisel verilerin işlenmesine ilişkin suçlar ve kabahatler 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda düzenlenmiştir. Kanun'un yürürlüğümden önce 5237 sayılı Türk Ceza Yasası'nda düzenlenmişti. Kanun'un 17. Maddesi TCK ilgili hükümlere atıf yapmaktadır.

Suçlar

MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Buna göre; kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması veya ele geçirilmesi ile kanunların belirlemiş olduğu süreyi aşmasına rağmen verileri sistem içinde yok etmekle yükümlü olan kişilerin görevlerini yerine getirmeyerek bu verileri silmemesi fiilleri ceza hukuku bağlamında suç olarak düzenlenmişti. Kişisel veri hukuku kapsamında kabahatler ve buna bağlanan yaptırımlar 6698 sayılı Kişisel Verilerin Korunması Kanunu ile düzenlenmiştir. Kanun'un 18. Maddesinde kabahat olan fiiller ve ihlali halinde uygulanacak yaptırımlar düzenlenmiştir.

Kabahatler

MADDE 18- (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Kanun'un yürürlüğe girmesi ile birlikte veri sorumlularının aydınlatma yükümlüğünü ihlal etmeleri, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kurul tarafından verilen kararların yerine getirilmemesi ve VERBİS'e kayıt yükümlülüğünün ihlali kabahat olarak düzenlenmiştir. İhlal halinde kesilen idari para cezasıan karşı, kararın tebliği veya tefhimi tarihinden itibaren en geç on beş gün içinde, sulh ceza mahkemesine başvurulabilir. Bu süre içinde başvurunun yapılmamış olması halinde idari yaptırım kararı kesinleşir.

a)Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezasına verilmesine ilişkin olarak; Kanun'un 10. Maddesinde veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişiye bilgi vermekte yükümlü olduğu alanın sınırları çizilmiştir. Veri sorumlusu ya da yetkilendirdiği kişi, ilgili kişiyi veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Aydınlatma yükümlülüğünün genel sınırları KVKK md 10'da çizilmiş olmakla birlikte bu yükümlülüğün yerine getirilmesinde uyulacak usul ve esaslar 10.03.2018 tarihli Resmi Gazete'de yayımlanarak yürürlüğe giren tebliğ doğrultusunda gerçekleştirilecektir. Tebliğ'in 5. Maddesinde uyulacak usul ve esaslar detaylı olarak düzenlenmiştir. Veri sorumlusu tarafından yapılacak aydınlatma metinlerinin ilgili kişi gruplarının ayrı ayrı oluşturulması ve her grup için alınan ve işlenen verilerin, hangi amaç doğrultusunda alındığı, ne kadar saklandığı ve diğer bilgiler konusunda açık, net ve anlaşılır metinlerle aynılatma yükümlülüğü yerine getirilmelidir.

b) Veri güvenliğine ilişkin yükümlülükleri yerine getirilmemesi hakkında; KVKK md 12'de düzenlenmiştir. Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusunun buradaki yükümlülüğünün özen yükümlülüğü olduğu söylenebilir. Veri sorumlusu KVKK kapsamında veri işleme faaliyetinde bulunurken kendinden beklenen, gerekli özeni göstermelidir. Zira veri sorumlusunun gerekli teknik ve idari tedbirleri almadığı yönünde bir suçlama ile karşılaşması halinde, ispat etmesi gereken nokta gerekli özeni göstererek gerekli teknik ve idari tedbiri aldığı yönündedir.

Kanun'un 12. Maddesinin 5. Fıkrası gereği veri sorumlusu nezdinde işlenen kişisel veriler hakkında veri güvenliğinin tehlikeye düşmesi durumunda vakit kaybetmeksizin işbu durumu ilgili kişiye ve Kurula bildirmelidir.

c) Kurul tarafından verilen kararların yerine getirilmemesi hakkında; Kanun'un Şikâyet üzerine veya resen incelemenin usul ve esasları başlıklı 15. Maddesinde, Kurul'un resen ya da şikayet üzerine inceleme yapabileceği düzenlenmiştir. İnceleme üzerine Kurul tarafından hukuka aykırılık tespit edildiğinde; veri sorumlusu tarafından giderilmek üzere ilgililere tebliğ edeceği ve tebliğin ardından 30 gün içinde ihlalin ya da hukuka aykırılığın giderileceği düzenlenmiştir.

Kurul tarafından verilen kavramın bir diğer tezahürü ise KVKK md 15/6-7'de düzenlenmiştir. Buna göre; ihlalin yoğun olarak meydana geldiği alanlarla ilgili ilke kararı alabileceği ve telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilmektedir. KVKK md 18/1-c bendinde düzenlenen "Kurul tarafından verilen karar" kavramı KVKK md 15 doğrultusunda hem şikayet ya da resen yapılan inceleme sonucu verilen karar hem de Kurul'un alacağı ilke kararı olabilmektedir. Bu bağlamda kurul kararının, iki ayrı görünümü olduğu ve her iki alandaki kararın ihlalinin ya da yerine getirilmemesi kabahat olarak düzenlenip idari para cezası ile yaptırıma bağlanmıştır.

ç) Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hakkında; VERBİS kamuya açık bir sicil olup ilgili olma şartı vs hiçbir kayıt olmaksızın her kişi, veri sorumluların BERBİS kaydını görebilir. Bu sayede ilgili kişi, veri sorumlusunun ne hangi verileri, ne amaç ile, hangi ya sa hükmüne istinaden, ne süre ile işleyebileceğini görebilmektedir. Veri sorumlularının veri işleme faaliyetine başlamadan önce kaydolmaları gereken bir sicildir. Genel kural, Türkiye'de veri işleme faaliyetinde bulunan her veri sorumlusunun veri sorumluları siciline kaydolması iken Kurul buraya bir takım istisnalar getirilmiştir. 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ile veri sorumluları sicilinden muaf tutulmuştur. Veri sorumluları sicile zorunluluk olmamak kaydı ile kayıt olabilmektedir. VERBİS'evkayıt ve sürecin özellikleri Kurul tarafından yayınlanan Veri Sorumluları Sicili Hakkında Yönetmelik hükümleri ile ayrıntılandırılmıştır.

Veri sorumluları siciline kayıt yaptırma yükümlülüğü altında olan; Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmasına, karar verilmiştir.

Veri sorumluları siciline kayıt olma yükümlülüğü altında olmakla bu kaydı yaptırmamak ve kayıt yaptırmış olup kayıtların gerçeğe ya da hukuka aykırı olarak bildirilmiş olması KVKK'nin yürürlüğe girmesi ile kabahat olarak düzenlenmiştir. İdari para cezası ile yaptırıma bağlanmıştır. Anılan fiiller, KVKK ile birlikte kabahat olarak düzenlenmiş idari para cezaları öngörülmüştür.