Anasayfa/ Makale/ KVKK İhlal Kararları ve 2024 Mevzuat Değişiklikleri Rehberi

KVKK İhlal Kararları ve 2024 Mevzuat Değişiklikleri Rehberi

KVK Kurulu'nun güncel ihlal kararları ile veri ihlali bildirimleri incelenmekte ve 1 Haziran 2024'te yürürlüğe girecek mevzuat değişikliklerinin veri işleme ile aktarım süreçlerine getirdiği yenilikler uzman hukuki perspektifiyle değerlendirilmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA

Veri koruma hukuku, teknolojik gelişmelerin hız kazanmasıyla birlikte hem ulusal hem de uluslararası alanda sürekli bir dönüşüm içindedir. Bu dinamik yapının en önemli yansımaları, şüphesiz Kişisel Verileri Koruma Kurulu (KVK Kurulu) tarafından verilen ihlal kararları ve mevzuatta yapılan köklü güncellemelerdir. Özellikle temel hak ve özgürlüklerle doğrudan bağlantılı olan özel nitelikli kişisel veriler, hukuka aykırı eylemlere karşı daha sıkı bir koruma rejimine tabi tutulmaktadır. Kurulun hem re'sen yürüttüğü incelemeler hem de veri ihlal bildirimleri (VİB) üzerine verdiği kararlar, veri sorumlularının idari ve teknik tedbirler konusundaki yükümlülüklerinin sınırlarını netleştirmektedir. Bununla birlikte, 1 Haziran 2024 tarihinde yürürlüğe girecek olan mevzuat değişiklikleri, veri işleme şartları ve verilerin yurtdışına aktarımı konularında Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) standartlarına uyum sağlamayı hedefleyen devrim niteliğinde yenilikler getirmektedir. Bu yazımızda, güncel ihlal kararlarının hukuki analizi ile yeni dönemin getirdiği yükümlülükler detaylı bir şekilde ele alınmaktadır.

Kişisel Verileri Koruma Kurulu'nun Güncel İhlal Kararları

KVK Kurulu'nun pratiğine bakıldığında, veri sorumlularının idari ve teknik tedbirleri almamasından kaynaklanan çok sayıda yaptırım kararı bulunduğu görülmektedir. Örneğin, bir kamu hastanesinde görevli hekimin, kendi hastalarına ait dosyaları yetkisiz bir personel vasıtasıyla kurum dışına çıkartması olayında Kurul, hukuka aykırı erişimi önlemeye yönelik makul tedbirlerin alınmaması ve ihlalin geç bildirilmesi sebebiyle ciddi idari yaptırımlar uygulamıştır. Benzer şekilde, bir spor salonunda müşterilere ait özel nitelikli verilerin açık rıza alınmaksızın ve ilgisiz kişilerin erişebileceği şekilde işlenmesi, aydınlatma yükümlülüğünün ağır bir ihlali olarak değerlendirilmiştir. Kurul kararlarında sıklıkla öne çıkan bir diğer hukuki problem ise, veri ihlal bildirimlerinin süresi içinde yapılmamasıdır. İhlalin tespit edilmesinden haftalar sonra Kuruma yapılan bildirimler, veri güvenliği yükümlülüklerinin temelden sarsılması olarak kabul edilerek veri sorumluları aleyhine idari para cezalarına zemin hazırlamaktadır.

Veri İhlal Bildirimlerinde Sektörel Analiz ve Siber Saldırılar

Kurumun kamuoyuna duyurduğu veri ihlal bildirimleri (VİB) analiz edildiğinde, ihlallerin çok büyük bir kısmının siber saldırılar ve fidye yazılımları kaynaklı olduğu açıkça anlaşılmaktadır. Sigorta, lojistik, turizm ve özellikle devasa boyutlarda özel nitelikli kayıt barındıran hastane sistemleri sürekli olarak dış siber tehditlerin hedefi konumundadır. Yakın geçmişte özel bir hastaneye gerçekleştirilen siber saldırı sonucunda yaklaşık iki milyon kişiye ait özel nitelikli kişisel verilerinin sızdırılması, elektronik veri kayıt sistemlerindeki güvenlik zafiyetlerinin kritik boyutunu göstermektedir. Ancak Kurul, yalnızca dış kaynaklı saldırıları değil, içeriden kaynaklanan personel hatalarını veya yetkisiz sistem erişimlerini de titizlikle incelemektedir. Yetkisiz personelin otomasyon sistemine şifrelerle girip verileri dışarı sızdırması gibi vakalar, personel farkındalığının ve yetki matrislerinin eksikliğinden doğan idari kusurlar sayılarak doğrudan yaptırıma tabi tutulmaktadır.

2024 Yılı Mevzuat Değişikliklerinin Hukuki Etkileri

TBMM tarafından kabul edilerek yasalaşan ve 1 Haziran 2024 tarihinde yürürlüğe girecek olan değişiklikler, kişisel verilerin korunması alanında yepyeni bir hukuki rejimin başlangıcını işaret etmektedir. Kanunun önceki katı halinde, özel nitelikli verilerin işlenmesi oldukça dar istisnalara sıkıştırılmış ve kural olarak ilgili kişinin açık rızasına mutlak surette bağlanmıştı. Yeni yasal düzenleme ile birlikte, Genel Veri Koruma Tüzüğü (GDPR) normlarıyla tam uyum hedeflenmiş ve yasaklayıcı prensip esnetilerek işleme şartları önemli ölçüde genişletilmiştir. Değişiklikle birlikte, istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması gibi yeni hukuka uygunluk sebepleri sisteme entegre edilmiştir. Bu yasal reform, veri sorumlularını her işlemde açık rıza arama baskısından kurtarırken, ticari ve idari işleyişin uluslararası hukuk standartlarına yaraşır bir hızda yürütülmesine sağlam bir hukuki zemin oluşturmaktadır.

Yurtdışına Veri Aktarımında Yeni Dönem ve Güvenceler

Söz konusu yasal değişikliğin uygulamadaki en büyük ve kritik yansımalarından birini kişisel verilerin yurtdışına aktarılması süreçleri oluşturmaktadır. Eski yasal çerçevede, Kurul tarafından ilan edilmiş güvenli bir ülkenin bulunmaması ve prosedürel engeller, yurtdışı merkezli bulut sunucularını kullanan küresel şirketleri ciddi bir hukuki çıkmaza itmekteydi. Yürürlüğe girecek olan revizyonla birlikte, GDPR sistematiğine benzer kademeli ve çağdaş bir aktarım mekanizması kurulmuştur. Kurul bundan böyle sadece ülkelere değil, aynı zamanda belirli sektörlere veya uluslararası kuruluşlara da yeterlilik kararı verebilme yetkisiyle donatılmıştır. Yeterlilik kararının bulunmadığı senaryolarda yurtdışına hukuka uygun veri aktarımı için kullanılabilecek uygun güvence mekanizmaları şunlardır:

  • Kamu kurumları arasında akdedilen ve Kurul onayından geçen uluslararası sözleşme niteliği taşımayan sözleşmeler.
  • Çok uluslu kurumsal topluluklar içinde bağlayıcılığı bulunan ve Kurul tarafından resmen onaylanan bağlayıcı şirket kuralları.
  • Taraflarca imzalanmasını müteakip en geç beş iş günü içinde Kuruma bildirilmesi zorunlu tutulan standart sözleşmeler.
Şirketimiz hacklendi ve müşteri verileri çalındı, kurula haber vermek zorunda mıyım? expand_more
Evet, şirketinizin veri tabanına yönelik bir siber saldırı gerçekleştiğinde durumu süresi içinde Kişisel Verileri Koruma Kurulu'na bildirmeniz hukuki bir zorunluluktur. Kurul kararlarında sıklıkla karşılaşılan en büyük problemlerden biri, veri ihlal bildirimlerinin yasal süreler aşılarak geç yapılmasıdır. İhlalin tespit edilmesinden haftalar sonra Kuruma yapılan gecikmeli bildirimler, veri güvenliği yükümlülüklerinin temelden sarsılması olarak değerlendirilmektedir. Bu durum veri sorumlusu şirketler aleyhine ciddi idari para cezalarına zemin hazırlamaktadır.
Personelimiz kendi şifresiyle sisteme girip verileri sızdırmış, şirket ceza alır mı? expand_more
Evet, veri sorumlusu olarak idari kusurunuz bulunduğundan yaptırıma tabi tutulmanız kuvvetle muhtemeldir. Kişisel Verileri Koruma Kurulu, sadece dış kaynaklı siber saldırıları değil, içeriden kaynaklanan personel hatalarını veya yetkisiz sistem erişimlerini de titizlikle incelemektedir. Yetkisiz personelin otomasyon sistemlerine girerek verileri dışarı sızdırması gibi vakalar, personel farkındalığının ve yetki matrislerinin eksikliğinden doğan idari kusurlar sayılmaktadır. Bu tür durumlarda veri sorumlusunun hukuka aykırı erişimi önlemeye yönelik makul idari ve teknik tedbirleri almadığı kabul edilerek doğrudan yaptırım uygulanmaktadır.
Çalışanların sağlık bilgilerini tutmak için her seferinde açık rıza almam şart mı? expand_more
1 Haziran 2024 tarihinde yürürlüğe girecek olan mevzuat değişiklikleri ile birlikte bu zorunluluk büyük ölçüde esnetilmiştir. Eski yasal çerçevede özel nitelikli verilerin işlenmesi kural olarak ilgili kişinin açık rızasına mutlak surette bağlanmaktaydı. Ancak yeni düzenlemeyle birlikte Avrupa Birliği standartlarına (GDPR) uyum hedeflenmiş ve yasaklayıcı prensipler yumuşatılmıştır. Artık istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması gibi yeni hukuka uygunluk sebepleri sayesinde her işlemde açık rıza arama baskısı ortadan kalkmıştır.
Verilerimizi yurtdışındaki bulut sunuculara kaydetmemiz yasal olarak mümkün mü? expand_more
Evet, yürürlüğe girecek yeni mevzuat revizyonu ile yurtdışına veri aktarımı süreçleri artık çağdaş bir mekanizmaya kavuşmuştur. Eski düzenlemedeki prosedürel engeller ve güvenli ülke bulunmaması gibi sorunlar, küresel şirketleri ciddi bir hukuki çıkmaza itmekteydi. Yeni yasal çerçevede, Kurul sadece ülkelere değil, belirli sektörlere veya uluslararası kuruluşlara da yeterlilik kararı verebilme yetkisiyle donatılmıştır. Yeterlilik kararının bulunmadığı durumlarda ise bağlayıcı şirket kuralları veya imzalandıktan sonra en geç beş iş günü içinde Kuruma bildirilmesi zorunlu tutulan standart sözleşmeler gibi uygun güvence mekanizmaları ile yurtdışındaki sunuculara hukuka uygun şekilde veri aktarımı yapılabilmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir