Ceza Hukuku

Vergi incelemesi sırasında görevlilerin vergi yükümlülüklerinizle hiçbir ilgisi bulunmayan özel ailevi hayatınıza dair sorular sorması ve kayıt tutması, ölçülülük ilkesi ile bağdaşmayan ve hukuki itiraza konu edilebilecek bir yaklaşımdır. Vergi idaresinin denetim amacıyla bilgi toplama yetkisi oldukça geniş olmakla birlikte, bu yetki yalnızca vergiyi doğuran olayla doğrudan ilişkili mali verilerin elde edilmesi amacıyla sınırlı olarak kullanılmalıdır.

Vergi dairesiyle paylaştığınız kişisel bilgilerin ve hesap hareketlerinin memurlar tarafından üçüncü kişilerle yetkisiz olarak paylaşılması hukuki bir incelemeye esas oluşturabilecek ciddi bir eylemdir. Mevzuatımızda bu durum vergi mahremiyeti kapsamında değerlendirilmekte olup, vergi işlemleriyle uğraşan memurların veya görevli personelin öğrendiği sırları ifşa etmesi açıkça yasaklanmıştır.

Doğrudan yanıt: Kişisel verilerinizin alışveriş yaptığınız e-ticaret platformu tarafından, bilginiz ve onayınız dışında başka şirketlere reklam veya pazarlama amacıyla aktarılması yasal düzenlemelere aykırı bir veri işleme faaliyetidir. Siz verilerinizi yalnızca sözleşmenin kurulması ve ürünün teslimatı amacıyla vermişken, bu bilgilerin ticari stratejiler kapsamında iş ortaklarıyla paylaşılması amaçla sınırlılık ilkesini açıkça ihlal eder niteliktedir.

Kişisel verilerinizin sürekli olarak doğru ve güncel olması, kanunen size tanınmış güçlü bir hak olup, veri sorumlusu da işleme süreçlerinde bu doğruluğu sağlamakla yasal olarak yükümlüdür. Blokzinciri mimarisinde önceki bloklarda yer alan verilerin teknik olarak geriye dönük değiştirilmesi veya silinmesi neredeyse imkansız olduğundan, verinizdeki bu hatanın alışkın olduğumuz veri tabanlarındaki gibi basit bir müdahaleyle giderilmesi beklenemez.

Şahsınızla ilgili yapay zeka sistemleri tarafından üretilen yanlış veya asılsız bilgilerin düzeltilmesini talep etmeniz, kişisel verilerin doğru ve güncel tutulması ilkesinin en temel gereğidir. Profilleme ve otomatize süreçlerde hakkınızda oluşturulan hatalı sonuçlar, doğrudan veya dolaylı olarak itibarınıza ya da diğer haklarınıza zarar verebilecek potansiyele sahip olduğundan hukuki yollara başvurulmasına temel oluşturabilir.

Bankanın daha önceden bildirdiğiniz adres değişikliklerinizi sistemlerinde güncellememesi ve bunun sonucunda kişisel verilerinizi barındıran kredi kartınızın üçüncü bir şahsa teslim edilmesi, kişisel verilerin gerektiğinde güncel ve doğru tutulması ilkesinin açık bir ihlalidir. Veri sorumlusu sıfatı taşıyan bankaların ve finans kuruluşlarının, müşterilerine ait verileri doğru tutmak ve bu belgelerin kurye süreçleri de dahil olmak üzere güvenliğini sağlamak için tüm idari ve teknik tedbirleri kesintisiz şekilde alma zorunluluğu bulunmaktadır.

İşvereniniz konumundaki veri sorumlusunun, elde ettiği kişisel verilerinizi dürüstlük kurallarına uygun olarak muhafaza etme ve rızanız veya hukuki bir gerekçe olmadan yetkisiz üçüncü kişilerle paylaşmama yükümlülüğü bulunmaktadır. İş ilişkisinde öngörülen sır saklama yükümlülüğü iş sözleşmesi sona erdikten sonra dahi devam etmesi nedeniyle, iletişim bilgilerinizin başka bir şirketle izinsiz paylaşılması hem idari hem de cezai yaptırım gerektirebilecek ciddi bir ihlal iddiası teşkil eder.

Sağlık verileriniz, banka hesap detaylarınız ve e-posta içerikleriniz gibi şahsınıza sıkı sıkıya bağlı kişisel verilerin eski işvereniniz tarafından rızanız olmaksızın farklı kurumlarla paylaşılması, Türk Ceza Kanunu kapsamında hapis cezasını gerektirebilecek boyutta ciddi bir ihlaldir. Kanunlarımız, kişisel verileri hukuka aykırı şekilde kaydeden, üçüncü şahıslarla paylaşan veya ele geçiren kişilere karşı hürriyeti bağlayıcı ceza ve adli para cezası gibi son derece ağır müeyyideler öngörmektedir.

Özel klinikler veya hastaneler, topladıkları kişisel sağlık verilerinin yetkisiz kişilerin veya siber saldırganların eline geçmesini engellemek için gerekli tüm teknik ve idari tedbirleri almakla kanunen yükümlüdür. Bir siber saldırı sonucu verilerinizin çalınması durumunda, klinik yönetiminin bu vahim durumu gecikmeksizin hem size hem de Kişisel Verileri Koruma Kuruluna resmi olarak bildirmesi emredici bir yasal zorunluluktur.

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusunun bu ihlali en geç yetmiş iki saat içinde hem Kişisel Verileri Koruma Kurulu'na hem de ihlalden etkilenen ilgili kişilere bildirmesi gerekmektedir. İlgili kişilere yapılacak veri ihlali bildirimi açık ve sade bir dille gerçekleştirilmeli; ihlalin ne zaman olduğu, hangi verilerin sızdığı, olası sonuçlar ve zararı azaltmak için alınan tedbirler mutlaka açıklanmalıdır.