Makale
Kişisel Veri İhlallerinde Hukuki Yollar ve Yaptırımlar
Kişisel verilerin korunması hukukunda, verilerin hukuka aykırı olarak işlenmesi, aktarılması veya güvenliğinin sağlanamaması durumunda hem idari yaptırımlar hem de özel hukuk uyuşmazlıkları gündeme gelmektedir. Veri ihlalleri neticesinde mağdur olan kişilerin, uğradıkları maddi ve manevi zararların tazmini için başvurabileceği çok sayıda hukuki yol mevcuttur. İş ilişkisi veya genel sivil ilişkiler kapsamında gerçekleşen ihlallerde, mağdurlar Türk Medeni Kanunu, Türk Borçlar Kanunu, İş Kanunu ve Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde hak arama hürriyetlerini kullanabilirler. Bu yollar, ihlalin niteliğine göre şekillenmekte olup, Kişisel Verileri Koruma Kurulu’na şikayet edilmesinden, iş sözleşmesinin haklı nedenle derhal feshine kadar geniş bir yelpazeyi kapsar. Makalemizde, kişisel veri ihlalleri karşısında mağdurların başvurabileceği adli ve idari yollar ile veri sorumlularının karşılaşabileceği kabahatler ve yaptırımlar hukuki bir perspektifle incelenmektedir.
Türk Medeni Kanunu ve Türk Borçlar Kanunu Kapsamında Koruma
Kişisel verilerin izinsiz veya hukuka aykırı işlenmesi, özünde bir kişilik hakkı ihlali niteliği taşımaktadır. Bu nedenle mağdurlar, Türk Medeni Kanunu hükümleri çerçevesinde saldırının durdurulması, önlenmesi veya hukuka aykırılığın tespiti davalarını açabilirler. Bu davalarda failin kusuru veya maddi bir zararın doğmuş olması aranmaz. Öte yandan, taraflar arasında bir sözleşme ilişkisi bulunuyorsa, Türk Borçlar Kanunu kapsamında sözleşmeye aykırılıktan doğan sorumluluk kuralları devreye girer. İşveren veya veri sorumlusu, borcunu gereği gibi yerine getirmediği için doğan zararı karşılamak zorundadır ve burada kusursuzluğunu ispat etme yükü kendisine düşer. Ayrıca, verilerin haksız fiil teşkil edecek şekilde ihlal edilmesi durumunda haksız fiil sorumluluğu ve ihlal edenin bu eylemden bir kazanç sağlaması halinde vekaletsiz iş görmeden kaynaklanan sebepsiz zenginleşme hükümleri işletilerek, elde edilen kazancın mağdura verilmesi talep edilebilir.
Kişisel Verilerin Korunması Kanunu Çerçevesinde Başvuru ve Şikayet
Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verileri ihlal edilen ilgili kişilerin ilk olarak veri sorumlusuna başvuru yapması zorunludur. Veri sorumlusunun bu başvuruya en geç otuz gün içinde ücretsiz olarak cevap vermesi gerekir. Talebin reddedilmesi, verilen cevabın yetersiz bulunması veya süresi içinde dönüş yapılmaması hallerinde ilgili kişi, cevabı öğrendiği tarihten itibaren otuz gün ve her halükarda başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu'na şikayet hakkını kullanabilir. Kurul, yapacağı inceleme neticesinde ihlal tespit ederse, hukuka aykırılıkların giderilmesine karar verir. Ancak Kurul'un tazminat ödenmesine hükmetme yetkisi bulunmamaktadır. Kişisel verilerin hukuka aykırı işlenmesi sebebiyle mağdur olan kişiler, Kurul süreçlerinden bağımsız olarak genel mahkemelerde maddi ve manevi tazminat davası açarak zararlarının giderilmesini her zaman talep etme hakkına sahiptir.
İş Mevzuatında Yer Alan Fesih ve Tazminat Hakları
İşçinin kişisel verilerinin hukuka aykırı biçimde işlenmesi veya gizliliğinin ihlal edilmesi, işçi açısından haklı nedenle derhal fesih hakkı doğurur. İş Kanunu kapsamında ahlak ve iyi niyet kurallarına aykırılık teşkil eden bu ihlaller neticesinde işçi, sözleşmesini haklı nedenle feshederek kıdem tazminatı talep edebilir. Ayrıca, ihlalin eşitlik ilkesini zedelemesi durumunda, örneğin işçinin kişisel sağlık verileri veya sendikal üyelikleri nedeniyle farklı muameleye tabi tutulması halinde, dört aya kadar ücreti tutarında ayrımcılık tazminatı gündeme gelebilir. Benzer şekilde, sendika özgürlüğünün kişisel veriler üzerinden ihlali durumunda Sendikalar ve Toplu İş Sözleşmesi Kanunu kapsamında sendikal tazminat talep edilebilir. Ancak Yargıtay içtihatlarına göre, sendikal ayrımcılık halinde hem ayrımcılık tazminatı hem de sendikal tazminat birlikte talep edilemez; yasanın öngördüğü özel tazminat türü uygulanır.
Kişisel Veri İhlallerinde Uygulanan İdari Para Cezaları
Kişisel Verilerin Korunması Kanunu'nun kabahatler başlıklı maddesinde, veri sorumlularının yükümlülüklerini ihlal etmesi durumunda ciddi idari para cezaları öngörülmüştür. İdari yaptırımlar sadece veri sorumlusuna uygulanmakta olup, bu cezalar yeniden değerleme oranlarına göre her yıl güncellenmektedir. Avrupa Birliği'nin uyguladığı küresel ciro üzerinden kesilen nispi ceza sisteminin aksine, Türk hukukunda idari para cezaları maktu sınırlar dahilinde belirlenmiştir. Kurul; ihlalin boyutu, kasten veya ihmal ile işlenip işlenmediği, etkilenen kişi sayısı ve veri sorumlusunun ekonomik durumunu göz önüne alarak ceza miktarını takdir etmektedir.
| İhlal Edilen Yükümlülük | Kanun Maddesi |
|---|---|
| Aydınlatma Yükümlülüğünün Yerine Getirilmemesi | KVKK m. 18/1-a |
| Veri Güvenliğine İlişkin Yükümlülüklerin İhlali | KVKK m. 18/1-b |
| Kurul Kararlarının Yerine Getirilmemesi | KVKK m. 18/1-c |
| Veri Sorumluları Siciline Kayıt ve Bildirim İhlali | KVKK m. 18/1-ç |
Yukarıdaki tabloda belirtilen kabahatler, veri sorumlularının Kanun kapsamındaki yükümlülüklerini yerine getirmemesi halinde uygulanacak yaptırımların temelini oluşturur. Söz konusu idari cezalar, veri ihlallerine karşı koruma kalkanının en önemli caydırma araçlarından biridir.