Blog

Kişisel Verilerin İhlali

Şafak Koparan Hukuk fotoğrafı Şafak Koparan Hukuk4 gün önce
0 4 5 dakika okuma süresi
Kişisel verinin ihlali

 

Kişisel Verilerin İhlali Nedir? Hukuki Koruma Yöntemleri Nelerdir?

Kişisel verilerin ihlali; genel olarak veri sahibinin izni olmaksızın bilgilerinin elde edilmesi, KVKK yükümlülüklerinin ihlal edilmesidir. Bir kişinin hukuka aykırı yollarla bilgilerinin elde edilmesi başlı başına veri ihlali olup, ayrıca hukuka uygun işlense dahi KVKK’dan kaynaklı sorumluluklarının yerine getirilmemesi de ihlali oluşturur. Örneğin; aydınlatma yükümlülüğünün yerine getirilmemesi, talep edilmesine rağmen bilgilerinin anonim hale getirilmemesi veya değiştirilmemesi de veri ihlali sayılmaktadır.

Kişisel verilerin korunması ihtiyacı özel hayatın gizlilik hakkından doğmaktadır. Her bireyin özel hayatını gizli tutma hakkı vardır. Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin hukuka aykırı olarak verilerin işlenmesini engellemiştir. KVKK kapsamında kişisel veri ihlali hem cezai hem de idari yaptırımlara tabi tutulmuştur. Ayrıca Türk Ceza Kanunu m.134 hükmünde özel hayat gizliliğinin ihlal edilmesi yasaklanmıştır.

KVKK’da veri sahibinin hakkını korumak için bazı düzenlemeler getirmiştir. Veri sahibi, işlenen bilgileri hakkında KVKK m.13 uyarınca veri sorumlusundan bilgi talep edebilmektedir. Veri sorumlusuna başvurma usulü 30356 Sayılı Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’de düzenlenmiştir.  Veri sorumlusu tarafından cevap verilmediği takdirde veri sahibi, KVKK m.14 ve 15 hükümleri uyarınca Kişisel Verilerin Korunması Kurumu (Kurum)’na başvurma hakkı vardır. Ancak, burada dikkat edilmesi gereken husus, veri sorumlusuna başvurulmadan Kurum’a başvurulamamaktadır. Bu mekanizmalar yoluyla veri sahibi hukuki haklarını koruyabilme imkânı vardır. Ayrıca, aşağıda değinileceği üzere, veri ihlali bir suç ve kabahat olarak düzenlenmiştir. Veri sahibi, veri ihlali halinde hem cumhuriyet savcılıklarına şikâyet ve zararlarını tazmini hakkı vardır.

Kişisel Verilerin İşlenmesi ve KVKK Hakkında Bilinmesi Gerekenler

Kişisel verilerin işlenmesi genel olarak kullanılan bir tabidir. Bir verinin kayda alınması, depolanması, aktarılması gibi birçok konu işlenme fiilinin kapsamı içindedir. Bir verinin işlenmesi belirli şartlarda ve KVKK’nın izin verdiği ölçüde yapılması gerekmektedir. Ayrıca, veri işleme sürecinde bir dizi hukuki prosedürün ve en önemlisi aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Konu hakkında daha detaylı bilgi için “Kişisel Verilerin Korunması” adlı makalemizi inceleyebilirsiniz.

KVKK Uyum Süreci ve Şirketlerin Yükümlülükleri

KVKK uyum süreci
KVKK uyum süreci

Ticari işletmeler mal veya hizmet sunumu esnasında müşterilerin verilerini işlemektedir. Nitekim KVKK kapsamında sözleşme yapılması veya ifası için zorunlu olan verilerin işlenmesinde herhangi bir hukuka aykırılık yoktur. Ancak, şirketler tarafından bu veriler işlerken; işleme amacına uygun, gereksiz bilgiyi almadan ve süre depolamadan bu işlemleri yapması gerekmektedir. Ayrıca işletmelerin veriyi işlerken KVKK kapsamında bir takım hukuki sorumluluklarını yerine getirmesi gerekmektedir.

KVKK uyum süreci, gerçek veya tüzel kişi işletmelerin kişisel bilgileri toplarken uyacakları kurallar bütününe uygun hareket etmek gerekli önlem almasını ifade etmektedir. KVKK uyum kapsamında başlıca firmaların yerine getirmesi gereken sorumlulukları şunlardır:

  • Aydınlatma yükümlülüğü,
  • Veri ihlalini önleme ve tedbir alma,
  • Veri sorumluluklarını siciline kayıt,
  • Veri sahibinin soru ve taleplerini cevaplama,
  • Kişisel Verilerin Korunması Kurulunun kararlarının yerine getirilmesidir.

Kişisel Verinin İhlali Hakkında Bilinmesi Gerekenler ve Hukuki Haklarınız

Kişisel verinin ihlali KVKK ve TCK düzenlemelerinde hem bir suç hem de idari para cezası yaptırımına tabi tutulmuştur. Verileri ihlali edilen ilgili kişi, KVKK hak arama hukuki yöntemlerine başvurabileceği gibi doğrudan cumhuriyet savcılıklara suç duyurusunda ve zararının tazmini için hukuk mahkemelerine başvurabilmesi mümkündür. Aşağıda veri sahibinin bu haklarının neler olduğuna değinilecektir.

Veri Sorumlusuna Başvuru

KVKK m.11 hükmünde veri sahibini haklarını, aynı zamanda aydınlatma yükümlülüğünü düzenlemiştir. Söz konusu hükmün son fıkrası; “Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme” hakkını içermektedir. Bu kapsamda veri sahibi, veri sorumlusuna başvurarak;

  • İşlenen veriler hakkında bilgi alma,
  • İşlenen verileri değiştirilmesini veya silinmesini talep etmek,
  • Veri ihlali ve KVKK’ya aykırılıkta zararını tazminini isteme hakkı vardır.

Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ uyarınca başvuru; yazılı olarak, ıslak imzalı veya elektronik imza yoluyla ya da veri sorumlusunun kep adresine gönderilmek suretiyle yapılmaktadır. Veri sorumlusuna başvuru dilekçesinde şu hususların yer alması zorunludur:

  • Kimlik ve adres bilgileri,
  • Talep konusu,
  • Talep konusuna ilişkin bilgi ve belgeler

Veri sorumlusu, talebin kendisine tebliğ edildiği tarihten 30 gün içerisinde başvuruya cevap vermesi gerekmektedir. Veri sorumlusu, talebi kabul etmesi halinde derhal talepleri yerine getirmesi gerekmektedir. Ancak, talep reddedilirse gerekçesi belirtilerek veri sahibine tebliğ edilmesi gerekmektedir.

Kurula Başvuru

Veri sorumlusu kendisine yöneltilen talebe 30 gün içerisinde cevap vermez veya verilen cevap veri sahibi tarafından yetersiz bulunursa veri sahibi, Kişisel Verilerin Korunması Kuruluna başvurması mümkündür. Kurula başvurabilmesi için;

  • Veri sorumlusuna başvuru şartının yerine getirilmiş olması,
  • Veri ihlali şikâyetin belirli bir konu hakkında olması,
  • Dilekçe Hakkının Kullanılmasına Dair Kanun m.6 uyarınca Kurulun inceleyebileceği bir konu olması gerekmektedir.

Kurulun kendisine iletilen şikayeti 60 gün içerisinde sonuçlandırması gerekmektedir.

Veri İhlali Suçu ve Cezaları

Verileri ihlal edilen kişiler, veri sorumlusuna akabinde Kurula başvuracağı gibi doğuran cumhuriyet başsavcılıklarına suç duyurusunda da bulunabilir. KVKK m.17 hükmünde, veri ihlalinde TCK m.135 ila 140 ıncı hükümlerin uygulanacağını düzenlemiştir. Ayrıca, şartları oluşması halinde TCK m.134 uyarınca özel hayatın gizliliği hakkında da şikâyette bulunabilir.

Maddi ve Manevi Tazminat Talepleri

Tazminat hukukunda esas olan kusur sorumluluğudur. Haksız fiil sebebiyle tazminat yükümlülüğü için kusur ve zarar şartı aranmaktadır. Bir veri ihlali sebebiyle veri sorumlusunun kusuru ve kusur ile zarar arasında illiyet bağı kurulduğu takdirde Asliye Hukuk Mahkemelerinde maddi ve manevi tazminat talebinde bulunulması mümkündür. Manevi tazminat için, veri ihlali sebebiyle duyulan üzüntü; maddi tazminat için ise, uğranılan maddi zararın ispat edilmesi gerekmektedir.

Şirketlerin Kişisel Veri Güvenliğini Sağlama Yolları Nelerdir?

Şirketlerin kişisel verilerin güvenliğini sağlama yolları

KVKK m.12 uyarınca veri sorumluları;

  • Bilgilerin hukuka aykırı işlenmesini önlemek,
  • Bilgilerin hukuka aykırı erişilmesini önlemek,
  • Verilerin muhafazasını sağlamakla amacıyla her türlü teknik ve idari tedbir almak zorundadır.

Kurul, veri sorumluların idari ve teknik tedbirlerin neler olduğu ve nasıl yerine getirileceğine ilişkin Kişisel Veri Güvenlik Rehberi (Rehber) yayınlamıştır.

Rehberde yayınlanan idari tedbirleri kısaca şunlardır:

  • Mevcut Risk ve Tehditlerin Belirlenmesi: Özel veya genel kişisel bilgilerin neler olduğu, verilerin ihlali riskleri ve önlemlerin belirlenmesi.
  • Çalışanların Eğitilmesi ve Farkındalık Çalışması: Veri sorumlusu yanında çalışanların KVKK konusunda eğitilmesi, şirket içinde bir güvenlik politikası oluşturulması ve politikaya aykırılıkta disiplin mekanizmaların işletilmesi.
  • Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi: Mevzuata uygun bir güvenlik politika oluşturulması ve şirket içi denetlemenin yapılması.
  • Kişisel Verilerin Mümkün Olduğunca Azaltılması: İşlenen kişisel verilerin amaca uygunluğu kontrol edilmeli ve muhafazası zorunlu olmayan verilerin imhası
  • Veri İşleyenler ile İlişkilerin Yönetimi: Veri sorumlusunun talimatıyla veri işleyenin faaliyetlerini denetleme, hukuka uygunluğunu kontrol etmedir.

Rehberde yayınlanan teknik tedbirler kısaca şunlardır:

  • Siber Güvenliğin Sağlanması: Güçlü şifre, parola, BFA gibi uygulamalarla erişimin sınırlandırılması, kötü yazılımlardan koruyan donanımlar edinmesi.
  • Kişisel Veri Güvenliğinin Takibi: Verilerin güvenliği için alınan tedbirlerin belirli periyotlarla kontrol edilmesi, güvenlik açıklarının tespit edilmesi ve giderilmesi.
  • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması: Bilgilerin toplandığı kağıt veya cihazların kaybolma riskine karşılık önemler alma.
  • Kişisel Verilerin Bulutta Depolanması: Bulut hizmeti alınan firmalara yönelik iki aşamalı kimlik doğrulama, şifreleme güvenlik önlemleri alınması ve hizmet sona erdiğinde erişimin engellenmesi.
  • Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı: Güvenlik için kullanılan cihazların tedariği veya onarımı esnasında gerekli önlemlerin alınması.
  • Kişisel Verilerin Yedeklenmesi: Saklanan bilgilerin yok olması veya çalınması ihtimaline karşı yedekleme yapılması.

 Kişisel Veri İhlallerinde Şirketlerin Sorumluluğu Nedir?

KVKK m.12/5 hükmünde, veri ihlali söz konusunda olduğunda veri sorumlusunun gecikmeksizin Kurula bildirim yapacağını düzenlemiştir.  Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı uyarınca bildirimlerin 72 saat içerisinde yapılması gerekmektedir. Bildirimler, https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi formu doldurularak yapılmaktadır.

Ayrıca, Kurulun şikâyet üzerine veya resen araştırma yapma imkânı vardır. Veri sorumlusunun bir ihlal tespit edilmesi halinde KVKK m.18 uyarınca idari para cezası kesme yetkisi vardır.

Kişisel verilerin ihlalinde şirketlerin sorumluluğu

Kişisel Verilerin Korunmasında Avukatların Rolü

KVKK 7/4/2016 tarihinden itibaren yürürlükte olup, halen gelişmekte ve yenilenen bir düzenlemedir. Nitekim, Avrupa Genel Veri Koruma Tüzüğü dayanak teşkil edilerek çıkarılan kanun, uluslararası düzlemdeki gelişmelerden de etkilenmektedir. Bu kapsamda, özellikle ithalat veya ihracat yapan firmaların, uluslararası alandaki gelişmeleri de takip etmeli ve firmalarını KVKK’ya uyumlu hale getirmesi gerekmektedir.

Ülkemizde kamu otoritesi olan Kurulun yayınlamış olduğu rehber gibi düzenlemelerin, vermiş olduğu emsal kararların takip edilmesi ve şirketlerin bunlara uyum sağlaması zorunludur. Bu kapsamda firmaların KVKK uyum sürecinde alanında uzman avukatlardan destek alması büyük önem arz etmektedir.

Şafak Koparan Hukuk fotoğrafı Şafak Koparan Hukuk4 gün önce
0 4 5 dakika okuma süresi
Şafak Koparan Hukuk fotoğrafı

Şafak Koparan Hukuk

Şafak & Koparan Hukuk ve Danışmanlık Bürosu; yoğunlukla özel hukuk alanında faaliyet gösteren bir hukuk bürosudur. Büromuzun İstanbul’da Anadolu ve Avrupa yakası ile Adana’da hizmet noktaları bulunmaktadır.

İlgili Makaleler

Anonim Şirketlerde Avukat Bulundurma Zorunluluğu 2024

Anonim Şirketlerde Avukat Bulundurma Zorunluluğu 2025

Şubat 2, 2024
Konkordato

Konkordato Süreçleri

4 hafta önce

Vergi Zıyaı Nedir?

Aralık 6, 2024
Hukuk danışmanlık hizmeti

Hukuk Danışmanlık Hizmeti

Aralık 25, 2024

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Göz Atın
Kapalı
Başa dön tuşu