EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Yaptırımları Nelerdir?

KVKK Yaptırımları Nelerdir?

Kişisel verilerin farklı pek çok mecrada yaygın bir şekilde kullanıldığı günümüzde, bu verilerin korunması da zorunlu hale gelmiştir. Bu kanunun uygulanmasında bazı usul ve esaslar öngörülmüştür. Söz konusu usul ve esaslara göre, işlenmeyen kişisel veriler için veriyi işleyen gerçek ya da tüzel kişilere cezai yaptırımlar uygulanır. Peki, bu yaptırımlar nelerdir?

KVKK Cezaları ve Yaptırımları Nelerdir?

6698 sayılı Kişisel Verileri Koruma Kanunu’nun 18’inci maddelerine göre; kişisel verilerin korunmasına dair usul ve esaslara uyulmadığı takdirde idari para cezasının uygulanması öngörülmüştür. Ayrıca yine kanunun 17. maddesinde kişisel verilerin hukukta öngörüldüğü şekilde işlenmemesi halinde uygulanacak yaptırımlar, 5237 sayılı Türk Ceza Kanunu’nun 135’inci ve 140’inci maddeleri arasında hapis cezası olarak öngörülmüştür.

Kişisel Verileri Koruma Kanunu kapsamında düzenlenen veri güvenliği, aydınlatma, veri sorumluları siciline kayıt yükümlülüğüne uyulmaması ve Kişisel Verileri Koruma Kurulu kararlarının yerine getirilmemesi durumları ise kabahatler kapsamında değerlendirilir. Bu kapsamda değerlendirilen durumlarda idari para cezası yaptırımı uygulanır.

KVKK İdari Para Cezası Yaptırımları Nelerdir?

İdari para cezası, Kabahatler Kanunu ya da diğer özel kanunlar kapsamında düzenlenen kabahatler bölümünde öngörülen idari yaptırımlar olarak tanımlanır. İdari para cezası, kamu kurumları tarafından uygulanır. KVKK kapsamında uygulanan idari para cezaları ise kanunun 18. maddesinde belirtilmiştir. Buna göre, 5326 sayılı Kabahatler Kanunu’nun 17. maddesinin 7’inci fıkrasında öngörülen yaptırımlar uygulanır. Buna göre, 6698 sayılı Kişisel verileri Koruma Kanunu’nda öngörülen usul ve esaslara uygun olmayan hallerde uygulanacak idari yaptırımlar aşağıdaki gibidir: 

 

Kanun Maddesi Açıklama 2022 Yılı Cezai Tutarları (TL)
18/a-10.madde Aydınlatma yükümlülüğünün yerine getirilmemesi 13.391 TL ile 267.883 TL arası
18/b-12.madde Veri güvenliğine ilişkin yükümlülüklerin  yerine getirilmemesi 40.179 TL ile 2.678.863 TL arası
18/c-15.madde Kurul kararlarının yerine getirilmemesi  66.965 TL ile 2.678.863 TL arası,
18/ç-16.madde Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı davranılması 53.572 TL ile 2.678.863 TL arası

 

KVKK Hapis Cezası Yaptırımları Nelerdir?

Kişisel verilerin korunması hakkı, özel hayatın gizliliği kapsamında bulunan temel bir haktır. Bu hak Anayasa ile güvence altına alınmıştır. Türk Ceza Kanunu’nda belirlenen kişisel verilere dair suçlar ve cezaları şunlardır:

  • TCK madde 135/1’e göre, kişisel verilerin hukuka aykırı bir şekilde kaydedilmesi halinde 1 yıldan 3 yıla kadar hapis cezası verilir.
  • TCK madde 135/2’ye göre, kişisel verilerin, veri sahibinin felsefi, dini ya da siyasi görüşlerine, ırk ve kökenine; cinsel hayatına, sağlık durumuna, sendikal bağlantılarına veya hukuka aykırı olarak ahlaki eğilimine ilişkin olması halinde birinci fıkraya göre verilen ceza yarı oranında artırılır.
  • TCK madde 136/1’e göre, kişisel verileri hukuka aykırı olacak şekilde üçüncü bir kişiyle paylaşan, ele geçiren ya da paylaşan kişiye 2 yıldan 4 yıla kadar hapis cezası verilir.
  • TCK madde 137/1’e göre, yukarıda tanımlanmış olan suçların; kişisinin belirli bir meslek veya sanatın sağladığı kolaylıktan faydalanması,kişinin kamu görevlisi olması ve görevi dolayısıyla elde ettiği yetkiyi kötüye kullanması halinde verilecek cezalar yarı oranında artırılır:
  • TCK madde 138/1’e göre, kişisel verilerin, kanunda geçen sürelerin dolmasına rağmen yok edilmemesi halinde, veriyi yok etmekle yükümlü olan kişiye 1 yıldan 2 yıla kadar hapis cezası verilir.
  • TCK madde 138/2’ye göre, suçun konusu eğer Ceza Mahkemesi Kanunu hükümlerine göre yok edilmesi ya da ortadan kaldırılması gereken bir veri olması durumunda ceza bir kat artırılır.
  • TCK madde 139/1’e göre, Kişisel verilerin hukuka aykırı olarak verilmesi, kaydedilmesi, ele geçirilmesi ve yok edilmesi dışında, ilgili bölümde yer alan suçların soruşturulması ve kovuşturulması yapılacak olan şikayete bağlıdır.

KVKK Aydınlatma Yükümlülüğü ve Aydınlatma Metni Nedir?

KVKK, kişisel verileri işlenen bir kişinin, söz konusu verilerin kim tarafından hangi amaçla ve hangi hukuki dayanakla işlediğini, bu verilerin kimlere hangi amaçla aktarılabileceğini öğrenme hakkı verir. Bu konularda veri sahibinin aydınlatılması yükümlülüğünü de veri sorumlusu üstlenir. Veri sorumlusu, 6698 sayılı kanunun 10. maddesi gereğince, kişisel verilerin elde edildiği sırada kendisinin ya da yetkilendirdiği kişinin bazı bilgileri veri sahibine aktarması gerekir. Bu bilgiler aşağıdaki gibidir:

  • Kişisel verilerin işlenme amacı,
  • Veri sorumlusunun ve veri temsilcisinin kimliği,
  • Kişisel verilerin aktarılacağı kişiler,
  • Kişisel verilerin aktarılma amacı,
  • Kişisel verileri toplamanın hukuki sebebiyle yöntemi,
  • 11. madde kapsamında sayılan diğer haklar.

Veri sorumlusu, kişisel verileri işlemenin açık rızayla ya da kanunda yer alan diğer şartlar kapsamında yürütülmesi fark etmeksizin veri sahibini bilgilendirmekle yükümlüdür.

KVKK aydınlatma metni ise, KVKK’nın üçüncü bölümünde bulunan Haklar ve Yükümlülükler kapsamında değerlendirilen bir konudur. Buna göre veri sorumlusu, aydınlatma yükümlülüğü kapsamında veri sahibine aydınlatma metni vererek bilgilendirme yapar. KVKK aydınlatma metninin bazı kriterlere uygun olması gerekir. Bu kriterler, yukarıda saydığımız maddelerden oluşmaktadır. 

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar

Veri sorumlusu ya da onun yetkilendirdiği kişi tarafından veri sahibine yazılı, sözlü, çağrı merkeziyle, ses kaydı yoluyla, fiziksel ya da elektronik ortamda kullanmak için aydınlatma yükümlülüğünü yerine getirmesi gerekir. Bu yükümlülüğün yerine getirilmesi sırasında uyulması gereken usul ve esaslar aşağıdaki gibidir:

  1. Veri sahibinin açık rızasına ve kanunda yer alan diğer işleme şartlarına uygun şekilde verinin işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerekir.
  2. Verilerin işlenme amacı değiştiyse, verilerin işlenmesinden önce aydınlatma yükümlülüğünün yerine getirilmesi şarttır.
  3. Kişisel veriler, farklı birimlerde farklı amaçlarla işleniyorsa, her bir birimde aydınlatma yükümlülüğü veri sorumlusu tarafından yerine getirilmelidir.
  4. Sicile kayıt yükümlülüğünün bulunduğu hallerde veri sahibine verilecek olan bilgiler ile sicile açıklanan bilgiler birbiriyle uyumlu olmalıdır.
  5. Aydınlatma yükümlülüğü zorunludur. Veri sahibinin isteğine bağlı olarak gerçekleştirilemez.
  6. Aydınlatma yükümlülüğünün yerine getirildiğini ispatlama sorumluluğu, veri sorumlusuna aittir. Eğer kişisel verinin işlenmesi açık rızaya dayalı olarak gerçekleştirilecek ise, aydınlatma yükümlülüğü ile açık rızanın alınması işleminin ayrı ayrı yapılması gerekir.
  7. Aydınlatma yükümlülüğü ile kişisel verinin işlenme amacı belirtilirken bu açıklamanın meşru, açık ve belirli olması gerekir. Aydınlatma yükümlülüğünün yerine getirilmesi sırasında genel ve muğlak ifadelerin kullanılmaması gerekir. 
  8. Aydınlatma yükümlülüğü ile veri sahibine yapılan bildirim açık, anlaşılır ve sade bir dille yapılmalıdır.
  9. Aydınlatma yükümlülüğü yerine getirilirken hukuki sebebin veri sahibine açıkça belirtilmelidir. Bu yükümlülük kapsamında, aktarılacak alıcı gruplar ile verilerin aktarılma amacı veri sahibine iletilir.
  10. Aydınlatma yükümlülüğü kapsamında verilerin hangi yöntemler kullanılarak elde edildiği açıkça belirtilmelidir.
  11. Veri sahibi aydınlatılırken bilginin eksik, yanıltıcı ve yanlış olmamasına dikkat edilmelidir.

Verbis Sistemi Nedir? Neden Zorunludur?

Veri Sorumluları Sicil Bilgi Sistemi (Verbis), 6698 sayılı kanunun getirdiği yükümlülüklerden biridir. Bu kanunun hükümleri gereği, kişisel verileri işleyen gerçek ya da tüzel kişiler verileri işlemeden önce Verbis sistemine kayıt olmak zorundadır. Veriyi işlemekle sorumlu olan kişiler, bunları işlerken kategorik olarak Verbis sistemine beyanda bulunmalıdır. Verbis sistemine kayıt olarak veriyi işleyen kişilerin veri sorumluları açıklanır, kişisel verileri işlerken hangi yöntemleri kullanacakları sisteme tanımlanır.

Verbis’e kayıt zorunluluğu, KVKK’nın 16. maddesinde düzenlenmiştir. Bu zorunluluk sayesinde kişisel verileri işleyen gerçek ya da tüzel kişilerin bu verileri kimlerle ve hangi yöntemlerle işleyecekleri kayıt altında olacağından, kanunda belirtilen usullerin dışına çıkılması halinde yaptırımların kimlere ne şekilde uygulanacağı kolayca tespit edilebilir. Ayrıca Verbis’e kayıtlı veri sorumluları ve kişisel verilerin işlenmesine dair her türlü ayrıntı otoritelerce denetlenebilir.

KVKK Yaptırımları  ile İlgili Kurul Kararlarına Ulaşın

Kişisel Verilerin Kurulu’nun KVKK yaptırımları ile ilgili verdiği kararlara buradan ulaşabilir; bu kararları sektöre, etiketlere, tarihlere ve ilgili kanun maddelerine göre filtreleyebilirsiniz.

KVKK Yaptırımlarına Dair Süreçleri KVKKarar ile Takip Edin!

KVKKarar, veri danışmanlığı yaparken süreç yönetimine, tasarıma, teknolojiye ve hukuka dair disiplinleri bir arada kullanır. Bu sayede KVKK ile ilgili bilgilere çok daha kolay ve pratik şekilde ulaşmanıza yardımcı olur. KVKKarar platformunu kullanarak kanun maddelerine ulaşmakla kalmaz, ilgili karar tarihlerinden ve sektöre dair diğer bilgilerden de haberdar olma fırsatını yakalayabilirsiniz. Daha edinmek için KVKKarar web sitesini inceleyebilirsiniz.

Bu yazıyı paylaşın:

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir