Suç soruşturması ve kovuşturması gibi işlemler kapsamında yargı makamları veya infaz mercileri tarafından kişisel verilerinizin işlenmesi, KVKK hükümlerinin uygulanmadığı tam istisna hallerinden biri olarak düzenlenmiştir. Aynı şekilde kolluk kuvvetlerince suç işlenmesinin önlenmesi amacıyla gerçekleştirilen veri işleme faaliyetlerinde de veri sorumlusunun sizi aydınlatma yükümlülüğü kısmen bulunmamaktadır.
İşvereninizin hukuka aykırı veri işleme faaliyetleri nedeniyle uğradığınız zararlar için tazminat davası açmadan önce doğrudan Kişisel Verileri Koruma Kuruluna başvurma gibi bir zorunluluğunuz kesinlikle bulunmamaktadır. Kişilik hakları zedelenen bir işçi, genel hükümlere göre doğrudan adli yargı mercilerine başvurarak maddi veya manevi tazminat davası açma hakkına doğrudan sahiptir.
Şirketinize ait müşteri portföyü ve ticari sırların sızdırılması halinde, kurumunuz bir tüzel kişi olduğu için doğrudan Kişisel Verilerin Korunması Kanunu hükümlerinden faydalanarak hakkınızı aramanız kural olarak mümkün görünmemektedir. İlgili kanun, kişisel verisi korunan taraf olarak yalnızca gerçek kişileri temel almış olup, tüzel kişilere ait kurumsal veriler ile ölen kişilerin verilerini bu özel koruma alanının dışında bırakmıştır.
Şirketinizin siber saldırıya uğraması ve müşteri verilerinin çalınması durumunda, KVKK kapsamında gerekli güvenlik önlemlerini almadığınız gerekçesiyle idari para cezası ile karşılaşmanız oldukça yüksek bir ihtimaldir. Kanun, kişisel verileri işleyen veri sorumlularına, verilerin hukuka aykırı olarak ele geçirilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü getirmektedir.
İşlenme amacı ortadan kalkan veya yasal saklama süreleri dolan kişisel verilerin sistemlerinizde tutulmaya devam edilmesi, hukuki denetimlerde aleyhinize değerlendirilebilecek önemli bir risk faktörüdür. Veri güvenliği uygulamalarına göre, kişisel verilerin mümkün olduğunca azaltılması yani veri minimizasyonu ilkesine uyulması ve gereksiz verilerin doğru bir şekilde sistemden çıkarılması gerekmektedir.
KVKK Kuruluna resmi bir şikayette bulunabilmeniz için öncelikle verilerinizi izinsiz işleyen kuruma başvurmanız kanuni bir zorunluluktur, ancak mahkemeye giderek tazminat davası açmak için böyle bir ön şart bulunmamaktadır. Kanun uyarınca, veri sorumlusuna yapacağınız yazılı başvuru neticesinde talebiniz reddedilir, size verilen cevap yetersiz bulunur veya otuz gün içinde hiçbir cevap verilmezse bu aşamadan sonra Kurula şikayet hakkınız doğmaktadır.
Hayır, Kişisel Verileri Koruma Kurulu'nun (KVKK) veri ihlallerinden doğan şahsi zararları tazmin etme veya veri sorumlusu şirkete tazminat ödetme gibi bir kanuni yetkisi bulunmamaktadır. Kurul, yapılan incelemede şartları oluştuğunda ihlali gerçekleştiren şirkete yalnızca idari para cezası yaptırımı uygulayabilir.
Yargı makamları tarafından yargılama süreçleri kapsamında doğrudan yürütülen kişisel veri işleme faaliyetleri kural olarak kişisel veri mevzuatından tamamen istisna tutulmuştur. Ancak idari otoritelerin uygulamalarına bakıldığında, mahkemelerin de bilgi talep ederken olayla somut bağlantısı olan sınırlı kayıtları istemesi gerektiği yönünde bir hukuki beklenti bulunmaktadır.
Müşteri verilerini yurt dışına aktarırken 1 Haziran 2024 tarihinde yürürlüğe giren yeni yasal düzenlemelere ve veri koruma standartlarına uymanız gerekmektedir. Yeni değişiklikler ile birlikte kişisel veri kavramının yurt dışına aktarılmasına ilişkin usul ve esaslar güncellenmiş olup, eski kuralların belirli bir süre daha uygulanmasına izin veren geçici bir madde eklenmiştir.
Bir öğrencinin sınav sonuç belgesini haberleştirmeniz nedeniyle verilen idari para cezası, haberin genel bir kamu yararı taşımaması durumunda basın özgürlüğünün ihlali olarak kabul edilmemektedir. Anayasa Mahkemesi kararlarına göre, yerel bir internet haber sitesinde yüksek puan alarak iyi bir üniversiteye yerleşen bir kişinin sonuç belgesinin paylaşılması tek başına kamu yararı içeren bir durum olarak değerlendirilmez.