Makale
Kişisel Verileri Koruma Kurumu (KVKK), verilerin hukuka uygun işlenmesini sağlamak amacıyla geniş denetim ve yaptırım yetkileriyle donatılmıştır. Bu makale, KVK Kurulunun şikayet üzerine veya resen yürüttüğü inceleme usullerini, karar türlerini ve veri sorumluları hakkında uygulanan idari yaptırım süreçlerini detaylı olarak incelemektedir.
KVK Kurumu Denetim Yetkisi ve Yaptırım Mekanizmaları
6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde temel hak ve özgürlükleri korumak amacıyla idari ve mali özerkliğe sahip Kişisel Verileri Koruma Kurumunu ihdas etmiştir. Kurumun karar organı olan Kişisel Verileri Koruma Kurulu, görev alanına giren konularda hiçbir organ, makam, merci veya kişiden emir ve talimat almaksızın bağımsız bir şekilde faaliyet göstermektedir. Bu bağımsız yapı, Kurula veri işleme faaliyetlerini etkili bir şekilde denetleme ve hukuka aykırılıklar karşısında caydırıcı yaptırımlar uygulama imkânı tanımaktadır. Kurul, kendisine iletilen şikayetler üzerine veya ihlal iddialarını öğrenmesi durumunda resen inceleme başlatma yetkisine sahiptir. Bu denetim mekanizması, yalnızca ihlallerin tespit edilmesiyle sınırlı kalmayıp, aynı zamanda veri sorumlularının mevzuata uyumunu sağlamaya yönelik düzeltici kararlar ve idari para cezaları gibi zorlayıcı araçlarla desteklenmiştir. KVK Kurulunun denetim süreçleri, yerinde inceleme yetkisi, alabileceği karar türleri ve mevzuata aykırılık halinde uygulanan yaptırım mekanizmalarının hukuki niteliği aşağıda detaylı bir şekilde analiz edilmektedir.
KVK Kurulunun İnceleme ve Denetim Yetkisi
KVK Kurulu, 6698 sayılı Kanun'un 15. maddesi uyarınca şikayet üzerine veya resen yapacağı incelemelerde geniş bir bilgi toplama ve denetim yetkisine sahiptir. İnceleme sürecinde veri sorumluları, devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere, Kurulun talep ettiği tüm bilgi ve belgeleri on beş gün içinde göndermek zorundadır. Bununla birlikte, Kurulun gerektiğinde yerinde inceleme yapma yetkisi de bulunmaktadır ve veri sorumlularının bu denetime imkân sağlaması Kanuni bir zorunluluktur. Kurul, şikayet üzerine başlattığı incelemelerde gerekli adımları atarak ilgililere altmış gün içinde cevap vermek durumundadır; aksi halde talep zımnen reddedilmiş sayılır. Ancak, uygulamada resen başlatılan incelemeler bakımından böyle bir süre sınırı bulunmamakta, bu da veri sorumluları açısından sürecin yönetiminde dikkatli ve proaktif bir hukuki desteğin alınmasını zaruri kılmaktadır.
Kurul Tarafından Alınabilecek Karar Türleri
Kurul, yürüttüğü soruşturma ve denetimler neticesinde ihlalin mahiyetine göre farklı türde bağlayıcı kararlar tesis edebilir. Bunların başında, tespit edilen hukuka aykırılıkların giderilmesi için veri sorumlusuna talimat verme yetkisi gelmektedir. Veri sorumluları, kendilerine tebliğ edilen bu talimatları gecikmeksizin ve en geç otuz gün içinde yerine getirmekle yükümlüdür. Kurulun bir diğer önemli yetkisi ise, veri işleme faaliyetinin veya verilerin yurtdışına aktarılmasının telafisi güç veya imkansız zararlar doğurması ve açıkça hukuka aykırı olması hallerinde ilgili faaliyeti durdurma kararı alabilmesidir. Bu geçici tedbir niteliğindeki karar, ihlalin sonuçlarını acilen ortadan kaldırmayı amaçlar. Ayrıca Kurul, karşılaştığı ihlalin yaygın olduğunu tespit ederse, tüm veri sorumlularını ve sektörü bağlayıcı nitelikte ilke kararları alarak bu ihlallerin önüne geçmeyi hedefleyen düzenleyici işlemler yapabilir.
Kanun Kapsamındaki İdari Yaptırım Mekanizmaları
Veri sorumlularının Kanun ve ikincil mevzuat kapsamındaki yükümlülüklerine aykırı hareket etmeleri halinde, Kurul tarafından 18. madde uyarınca idari yaptırımlar uygulanmaktadır. Bu bağlamda, KVKK sistematiğinde öngörülen temel ihlal türleri ve karşılığında tesis edilen idari para cezaları, veri sorumlularının mevzuata tam uyum sağlamasını zorunlu kılmaktadır. Kurul kararlarının yerine getirilmemesi, Kanun'da müstakil bir kabahat olarak tanımlanmış olup, ihlalin niteliğine ve veri sorumlusunun ekonomik durumuna göre yeniden değerleme oranlarıyla her yıl güncellenen yüksek tutarlarda mali yaptırımlarla sonuçlanmaktadır. İdari para cezalarının yanı sıra, hukuka aykırı veri işleme faaliyetleri nedeniyle veri öznelerinin zarara uğraması durumunda, genel hükümler çerçevesinde açılacak tazminat davaları da veri sorumluları için ciddi mali riskler barındırmaktadır. Aşağıda, Kanun kapsamında yaptırıma bağlanan temel kabahat türleri listelenmiştir:
- Aydınlatma yükümlülüğünün usulüne ve esasına uygun şekilde yerine getirilmemesi.
- Kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemeye yönelik veri güvenliği yükümlülüklerinin ihlal edilmesi.
- Kişisel Verileri Koruma Kurulu tarafından verilen bağlayıcı kararların ve talimatların süresi içinde uygulanmaması.
- Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüklerine uyulmaması veya yurt dışı aktarımlarında standart sözleşmelerin bildirilmemesi.