Makale
Kişisel Verilerin Korunması Kanunu, kişilerin temel haklarını güvence altına alırken, veri sorumlularına katı kurallar ve yaptırımlar öngörür. Bu makalede, KVKK kapsamındaki temel hukuki kavramlar ve ihlal durumlarında veri sorumlularına uygulanan idari para cezaları ile disiplin hükümleri uzman avukat perspektifiyle incelenmektedir.
KVKK İdari Yaptırımları ve Temel Kavramlar Analizi
Hızla dijitalleşen dünyamızda, bireylerin mahremiyetinin ve temel haklarının korunması zorunlu bir hukuki ihtiyaç haline gelmiştir. Bu ihtiyaca binaen yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin hukuka uygun bir şekilde işlenmesini sağlamak ve veri mahremiyetini güvence altına almak amacıyla tasarlanmıştır. Bir uzman avukat perspektifiyle değerlendirdiğimizde, bu kanun sadece bireyleri korumakla kalmaz, aynı zamanda veri işleyen kurum ve kuruluşlara da çok ciddi hukuki yükümlülükler yükler. Bu yükümlülüklerin ihlali durumunda karşılaşılabilecek idari yaptırımlar, şirketler için ciddi finansal ve itibar kayıplarına yol açabilecek niteliktedir. Dolayısıyla, süreçlerin sağlıklı bir şekilde yürütülebilmesi için kanunda yer alan hukuki kavramların ve idari yaptırım mekanizmalarının işletmeler tarafından net bir şekilde idrak edilmesi hukuki güvenliğin tesisinde kritik bir rol oynamaktadır.
KVKK Kapsamında Öne Çıkan Temel Hukuki Kavramlar
Kanun metninde yer alan ve uygulamanın temelini oluşturan en önemli kavram şüphesiz kişisel veri kavramıdır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu geniş tanım, kişinin adından IP adresine kadar onu belirlenebilir kılan tüm verileri kapsar. Bunun yanı sıra, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve biyometrik verileri gibi başkaları tarafından öğrenildiğinde ayrımcılığa veya mağduriyete yol açabilecek veriler ise özel nitelikli kişisel veri olarak çok daha sıkı bir koruma rejimine tabi tutulmuştur. Verisi işlenen bu gerçek kişiler kanunda ilgili kişi sıfatıyla anılmaktadır. Hukuki süreçlerin ve uyum çalışmalarının merkezinde ise, kişisel verilerin işleme amaçlarını ve vasıtalarını bizzat belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan veri sorumlusu bulunmaktadır.
| Temel Kavram | Hukuki Tanım |
|---|---|
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi. |
| İlgili Kişi | Kişisel verisi işlenen ve koruma talep hakkına sahip olan gerçek kişi. |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay. |
Veri İşleme Faaliyeti ve Açık Rıza Kriterleri
Bireylere ait verilerin toplanmasından başlayarak silinmesine veya imha edilmesine kadar geçen süreçte veriler üzerinde gerçekleştirilen her türlü işlem veri işleme faaliyeti olarak tanımlanmaktadır. Bu faaliyetin hukuka uygun şekilde icra edilebilmesi için, kanunda tahdidi olarak sayılan istisnai haller dışında, mutlaka ilgili kişinin açık rıza beyanının alınması şarttır. Ancak hukuk uygulamalarında sıklıkla karşılaştığımız üzere, geçerli bir açık rızanın belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve kişinin özgür iradesiyle açıklanması zorunludur. Torba veya genel nitelikteki rıza beyanları, hukuken geçersiz kabul edilmektedir. İlgili kişiye verilerin hangi amaçla kullanılacağı, kimlere aktarılabileceği gibi hususlarda anlaşılır bir aydınlatma yapılmadan alınan rızalar, veri sorumlusunu hukuki sorumluluktan kurtarmaz ve ileride karşılaşılabilecek yaptırımların habercisi niteliğindedir.
KVKK Uyarınca Uygulanan İdari Yaptırımlar ve Şikayet Süreci
Kişisel verilerin hukuka aykırı işlenmesi durumunda, kanun koyucu etkili bir idari başvuru mekanizması ve ciddi idari yaptırımlar öngörmüştür. Kişisel verileri hukuka aykırı işlenen kişiler, Kişisel Verileri Koruma Kurulu'na şikayette bulunmadan önce mutlak surette veri sorumlusuna başvuru yolunu tüketmek zorundadır. Bu başvuru sonucunda hukuka aykırılığın giderilmemesi halinde Kurul sürece müdahil olur. Kanunun 18. maddesi uyarınca, veri sorumlularının aydınlatma, veri güvenliğini sağlama veya Kurul kararlarına uyma yükümlülüklerine aykırı davranmaları halinde, özel hukuk tüzel kişileri ve veri sorumlusu gerçek kişiler hakkında idari para cezası yaptırımı uygulanmaktadır. Bu cezalar, ihlalin boyutuna göre oldukça yüksek tutarlara ulaşabilmektedir. Öte yandan, ihlali gerçekleştiren merciin kamu kurumları veya kamu kurumu niteliğindeki meslek kuruluşları olması durumunda idari para cezası yerine ilgili memurlar hakkında disiplin hükümleri işletilmektedir. Verilen bu idari para cezalarına karşı ise Kabahatler Kanunu hükümleri çerçevesinde yargı yoluna itiraz başvurusu yapılabilmektedir.