Makale
Kişisel verilerin hukuka aykırı işlenmesi durumunda, şirketlere karşı işletilebilecek başvuru yolları KVKK kapsamında düzenlenmiştir. Bu süreç; öncelikle veri sorumlusu şirkete başvuru, ardından Kişisel Verileri Koruma Kuruluna şikayet ve zararın tazmini için genel mahkemelerde dava açılması gibi idari ve hukuki aşamalardan oluşmaktadır.
KVKK İhlallerinde Şirketlere Karşı Hukuki ve İdari Başvuru Yolları
Kişisel verilerin korunması hukuku, bireylerin kendi verileri üzerindeki denetim haklarını güvence altına almaktadır. Günümüzde veri sorumlusu şirketler, ticari faaliyetlerini sürdürürken devasa boyutlarda veri işleme kabiliyetine ulaşmıştır. Bu durum, veri sahiplerinin haklarının ihlal edilme riskini artırmaktadır. Hukukumuzda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), şirketlerin hukuka aykırı veri işleme eylemlerine karşı bireylere çeşitli idari ve hukuki başvuru yolları sunmaktadır. Kanun, hak ihlallerinin giderilmesi ve hukuka uygunluğun sağlanması için aşamalı bir koruma mekanizması öngörmüştür. Veri sahipleri, ihlal durumunda doğrudan yargı yoluna veya idari mercilere gitmeden önce belirli usulleri takip etmek zorundadır. Bu aşamalı sistem, uyuşmazlıkların hızlıca çözülmesini ve şirketlerin kendi bünyelerinde hukuka aykırılıkları gidermesini amaçlar. Mevzuatımızda yer alan bu başvuru mekanizmaları, hem bireylerin temel hak ve özgürlüklerini korumakta hem de şirketleri veri güvenliği konusunda sorumlu davranmaya itmektedir.
Veri Sorumlusu Şirkete Başvuru ve Erişim Hakkı
Kanun koyucu tarafından öngörülen kademeli başvuru usulünün ilk aşamasını, doğrudan veri sorumlusu şirkete başvuru süreci oluşturmaktadır. İlgili kişiler, haklarındaki verilerin işlenip işlenmediğini öğrenme, bu verilere erişme ve eksik veya hatalı işlenen verilerin düzeltilmesini talep etme hakkına sahiptir. Şeffaflık ve hesap verebilirlik ilkelerinin bir gereği olan erişim hakkı, bireyin kendi verisinin kaderini tayin edebilmesi için hayati bir öneme sahiptir. Veri sahibi, şirketin uyguladığı veri işleme faaliyetinin amacını ve verilerin üçüncü kişilere aktarılıp aktarılmadığını sorgulayabilir. İlgili kişinin mevzuata uygun şekilde yönelttiği bu talebi alan şirket, talebin niteliğine göre en kısa sürede ve her halükarda otuz gün içinde bu başvuruyu yanıtlamakla yükümlüdür. Şirketler bu aşamada, veri sahibinin haklarını eksiksiz kullanabilmesini sağlayacak kullanıcı dostu iletişim kanalları kurmalı ve talepleri şeffaf, anlaşılır bir dille cevaplamalıdır.
Kişisel Verileri Koruma Kuruluna Şikayet Süreci
Veri sorumlusu şirkete yapılan başvurunun şirket tarafından reddedilmesi, verilen cevabın ilgili kişi tarafından hukuken yetersiz bulunması veya yasal otuz günlük süre içerisinde hiç cevap verilmemesi hallerinde, ikinci idari aşama olan Kişisel Verileri Koruma Kuruluna şikayet hakkı doğmaktadır. Kurulun temel görevi, şikayete veya resen incelemeye konu olan somut veri işleme faaliyetinin genel mevzuata uyumunu denetlemek ve tespit edilen hukuka aykırılıkları gidermektir. Kurul, şirket tarafından gerçekleştirilen ihlalin varlığını tespit ederse ihlalin niteliğine ve ağırlığına göre şirket aleyhine farklı idari yaptırımlara karar verebilmektedir. Kurulun verebileceği kararlar şunlardır:
- Hukuka aykırılığın tespiti halinde veri sorumlusunun talimatlandırılması (Şirket bu kararı en geç otuz gün içinde yerine getirmekle mükelleftir).
- Telafisi güç veya imkansız zararların doğması ihtimali bulunduğunda, idari bir tedbir niteliğinde olan veri işleme ve aktarım faaliyetinin durdurulması.
- Aydınlatma yükümlülüğünün, veri güvenliği tedbirlerinin veya Kurul kararlarının yerine getirilmemesi durumlarında sadece özel hukuk tüzel kişisi şirketler aleyhine idari para cezası uygulanması.
Kurul Kararlarına Karşı Yargı Yolu
Kişisel Verileri Koruma Kurulunun verdiği kararlara karşı işletilebilecek başvuru yolları, hukuki sürecin üçüncü aşamasını oluşturmaktadır. Kurul tarafından verilen durdurma ve talimatlandırma kararları, hukuki nitelikleri itibarıyla birer idari işlemdir. Bu nedenle, söz konusu kararların hukuka aykırı olduğu düşünülüyorsa, kararlara karşı idari yargıda iptal davası açılması mümkündür. Dava açma süresi, genel idari yargılama usulü kuralları gereğince altmış günlük süreye tabidir ve yetkili mahkeme Ankara İdare Mahkemeleridir. Kurumun şirketler aleyhine hükmettiği idari para cezaları yönünden de kanundaki açık atıf sebebiyle yine İdare Mahkemeleri görevli kılınmıştır. Şirketler, aleyhlerine tesis edilen idari yaptırımların orantısız veya hukuka aykırı olduğunu ileri sürerek yargısal denetim mekanizmasını işletebilirler.
Hukuka Aykırı Veri İşleme Nedeniyle Tazminat Hakkı
Şirketlerin kişisel verileri mevzuata aykırı şekilde işlemesi veya veri güvenliğini sağlayamaması sonucunda zarara uğrayan kişiler, genel hükümlere göre tazminat talep etme hakkına sahiptir. Kanunumuzda yer alan hükümler uyarınca, tazminat davalarının çözüm yeri Kişisel Verileri Koruma Kurulu değil, doğrudan genel mahkemelerdir. Zira Kurulun görev alanı idari denetim ve yaptırım uygulamakla sınırlıdır; zararın tespiti ve miktarının belirlenmesi yargı mercilerinin uzmanlık alanına girmektedir. Avrupa Birliği Adalet Divanı (ABAD) içtihatları ve ilgili düzenlemeler ışığında, tazminat talebinin kabulü için veri ihlali ile yaşanan zarar arasında kesin bir illiyet bağı bulunması gerekmektedir. İhlal neticesinde kişinin itibarının zedelenmesi, ayrımcılığa maruz kalması veya verilerinin kötüye kullanılacağı endişesiyle yaşadığı korku, manevi tazminat davasına konu edilebilir.