Kişisel verilerin korunması, modern hukuk sistemlerinin temel taşlarından biri haline gelmiştir. 2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Anayasa’da güvence altına alınan özel hayatın gizliliği ve temel hakları korumak amacıyla oluşturulmuştur. Bu kanun, kişisel verilerin izinsiz şekilde toplanmasını, yetkisiz kişilerin erişimine açılmasını, kötüye kullanılmasını ve açıklanmasını önlemeyi hedeflemektedir.
KVKK, veri sorumlularına ciddi yükümlülükler getirmiş olup, bu yükümlülüklere uymayan kişiler veya kurumlar KVKK ihlali cezaları ile karşı karşıya kalmaktadır. Kanun kapsamında, kişisel verileri ihlal edenler hem idari hem de cezai yaptırımlara tabi tutulur.
Kişisel Verilerin İhlali Halinde Uygulanacak İdari ve Cezai Yaptırımlar
KVKK’nın 17. ve 18. maddeleri, kişisel veri ihlallerinde uygulanacak yaptırımları düzenler. Buna göre, kişisel verilerin hukuka aykırı işlenmesi durumunda iki temel yaptırım söz konusudur: idari para cezaları ve hapis cezaları.
a. İdari Para Cezaları
KVKK’nın 18. maddesi, veri sorumlularının yükümlülüklere uymaması durumunda uygulanacak idari para cezalarını belirler. Bu cezalar, hem gerçek kişiler hem de özel hukuk tüzel kişiler için geçerlidir ve her yıl yeniden değerleme oranında güncellenir.
Kişisel verileri ihlal eden veri sorumlularına uygulanabilecek idari para cezaları şunlardır:
- Aydınlatma yükümlülüğünü yerine getirmeyenler: 9.012 TL – 180.263 TL,
- Veri güvenliği yükümlülüklerini yerine getirmeyenler: 27.037 TL – 1.802.640 TL,
- Kurul kararlarını yerine getirmeyenler: 45.062 TL – 1.802.640 TL,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı davrananlar: 36.050 TL – 1.802.640 TL.
Bu cezalar, veri sorumlularının kanuni yükümlülüklerini ihlal etmesi durumunda uygulanır ve KVKK’nın amaçlarına ulaşılmasını güvence altına alır.
b. Hapis Cezaları
KVKK’nın 17. maddesi, kişisel verilerle ilgili suçlarda 5237 Sayılı Türk Ceza Kanunu’nun (TCK) 135–140. maddelerinin uygulanacağını öngörür. Bu maddeler kapsamında; verilerin hukuka aykırı kaydedilmesi, başkalarına verilmesi, ele geçirilmesi veya yok edilmemesi gibi fiiller suç olarak tanımlanmıştır.
i. Kişisel Verilerin Kaydedilmesi Suçu
TCK m. 135 uyarınca, kişisel verileri hukuka aykırı şekilde kaydeden kişiler 1–3 yıl hapis cezası ile cezalandırılır. Eğer söz konusu veriler; siyasi, felsefi veya dini görüşler, ırk veya etnik köken, ahlaki eğilimler, cinsel yaşam, sağlık bilgileri veya sendikal bağlantılar gibi özel nitelikli ise ceza yarı oranında artırılır.
Bu suçun kamu görevlisi tarafından işlenmesi veya meslek/uzmanlık avantajıyla gerçekleştirilmesi durumunda ceza yine yarı oranında artırılır.
ii. Verilerin Hukuka Aykırı Olarak Verilmesi veya Ele Geçirilmesi Suçu
TCK m. 136 kapsamında, kişisel verileri izinsiz olarak başkasına veren veya ele geçiren kişi 2–4 yıl hapis cezası alır. Suç konusu, CMK m. 236 kapsamındaki beyan ve görüntüler ise ceza iki kat artırılır.
Aynı şekilde, kamu görevlisinin yetki kötüye kullanımı veya mesleki avantaj durumunda ceza yarı oranında artırılır.
iii. Verileri Yok Etmeme Suçu
Kişisel verileri, kanunla belirlenmiş sürelerde yok etmeyen veya sistemden kaldırmayan kişiler, TCK uyarınca 1–2 yıl hapis cezası ile cezalandırılır. Eğer söz konusu veriler, CMK kapsamında ortadan kaldırılması gereken veriler ise ceza iki kat artırılır.
Kişisel Verileri Koruma Kurulu’nun Kararları
KVKK ihlalleri konusunda Kurul tarafından verilen bazı örnek kararlar, uygulamanın önemini ortaya koymaktadır:
- 27.08.2019: Bir turizm şirketi, veri güvenliğini sağlamadığı ve ihlali Kuruma bildirmediği için toplam 500.000 TL idari para cezası aldı.
- 01.07.2019: Bir kamu üniversitesi, veri sahibinin başvurusuna belirtilen sürede yanıt vermediği için disiplin hükümleri uygulanmış ve sınav sonuçları sistemi kimlik doğrulamalı olarak yeniden tasarlanmıştır.
- 16.05.2019: Clickbus Şirketi, verilerin üçüncü kişiler tarafından ihlal edilmesine rağmen gerekli denetimleri yapmadığı için toplam 550.000 TL idari para cezası ile karşı karşıya kalmıştır.
Bu kararlar, KVKK’nın etkin uygulanmasının ve veri sorumlularının yükümlülüklerini yerine getirmesinin önemini vurgulamaktadır.
Sonuç
KVKK ihlali cezaları, hem idari hem de cezai yaptırımları kapsamakta olup, kişisel verilerin korunmasına yönelik ciddi bir caydırıcı mekanizma sunmaktadır. Veri sorumlularının yükümlülüklerini yerine getirmemesi, sadece maddi cezalar ile değil aynı zamanda hapis cezası ile de sonuçlanabilir.
Bu nedenle, işletmeler ve kurumlar, KVKK yükümlülüklerini titizlikle uygulamalı, veri güvenliği ve veri sahibinin haklarını korumak için proaktif önlemler almalıdır. KVKK kapsamındaki cezalar, sadece mevzuata uyumu sağlamakla kalmaz, aynı zamanda kurumsal itibarın korunmasını ve kişisel veri ihlallerinin önlenmesini temin eder.
KVKK ihlali cezaları, veri işleyen her gerçek veya tüzel kişi için hukuki sorumluluk oluşturmakta ve Türkiye’de kişisel verilerin korunmasında temel dayanak olarak işlev görmektedir.