Makale

Günümüz dijital ekonomisinde, ticari işletmelerin faaliyetleri gereği elde ettikleri verilerin güvenliğinin sağlanması kritik bir yasal zorunluluktur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme süreçlerinde işletmelere veri sorumlusu ve veri işleyen sıfatlarıyla oldukça katı idari ve teknik yükümlülükler yüklemektedir. Bir hukuk bürosu perspektifiyle yaklaştığımızda, bu düzenlemelere uyumun salt bir mevzuat gereksinimi olmanın ötesinde, şirketlerin ticari itibarı ve sürdürülebilirliği için hayati önem taşıdığını görmekteyiz. Mevzuata uyumsuzluk, şirketleri ve yöneticilerini ciddi idari para cezaları ile karşı karşıya bırakmanın yanı sıra, Türk Ceza Kanunu kapsamında hapis cezası gerektiren suçlar bağlamında ağır hukuki riskler doğurmaktadır. Bu makalede, veri odaklı faaliyet gösteren işletmelerin KVKK ve ilgili alt mevzuat çerçevesinde uymak zorunda olduğu temel yükümlülükler ve bu kuralların ihlali durumunda maruz kalacakları hukuki yaptırımlar kapsamlı bir şekilde ele alınmaktadır.

Veri Sorumlusunun Temel KVKK Yükümlülükleri

Ticari işletmeler, veri sorumlusu sıfatıyla kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlerken bir dizi katı yasal kurala tabi tutulmaktadır. İlk olarak işletmeler, verilerin elde edilmesi anında veri sahiplerine yönelik aydınlatma yükümlülüğünü eksiksiz yerine getirmek zorundadır. Bu yükümlülük; veri sorumlusunun kimliği, işleme amacı, aktarım yapılacak taraflar ve yasal haklar gibi unsurları açık, şeffaf ve anlaşılır bir dille sunmayı gerektirir. Kurul kararlarında da vurgulandığı üzere, aydınlatma metinlerinin eksik veya yanıltıcı olması doğrudan kanuna aykırılık teşkil eder. Bunun yanı sıra, belirli kriterleri sağlayan şirketlerin, örneğin yıllık mali bilanço toplamı 100 milyon TL'yi aşan işletmelerin, veri işleme faaliyetlerine başlamadan önce Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları emredici bir yasal zorunluluktur. VERBİS kaydı, salt idari bir bildirim olmayıp, şeffaflık ve hesap verebilirlik ilkelerinin bir gereği olarak kamuya açık bir sicilde işletmenin tüm veri işleme haritasının beyan edilmesi anlamına gelmektedir.

Kanun, verilerin işlenmesi sürecinin yanı sıra imhasını da sıkı kurallara bağlamıştır. İşletmeler, işleme amaçları ortadan kalkan veriler için silme, yok etme veya anonim hale getirme yükümlülüğünü resen veya ilgili kişinin talebi üzerine yerine getirmelidir. Ayrıca, şirketlerin veri güvenliğini sağlama yükümlülüğü, hukuka aykırı erişimleri ve siber saldırıları engellemek adına en güncel idari ve teknik tedbirlerin alınmasını şart koşar. Özellikle veri işleyen tedarikçilerle veya üçüncü taraflarla yapılan sözleşmelerde sır saklama yükümlülüğü ve aktarım kurallarına riayet edilmesi, veri sorumlusunun sorumluluğunu ortadan kaldırmaz, aksine müşterek bir sorumluluk rejimi doğurur.

İhlal Bildirimi ve Veri Sahiplerinin Haklarının Korunması

Hukuki uygulamalarımızda sıklıkla karşılaştığımız en kritik süreçlerden biri, veri ihlallerinin yönetilmesidir. Sistemde kayıtlı kişisel verilerin yasa dışı yollarla, örneğin siber saldırılar veya şirket içi yetkisiz erişimler neticesinde üçüncü şahısların eline geçmesi durumunda, veri sorumlusunun ihlal bildirim yükümlülüğü derhal devreye girmektedir. KVKK Kurulu'nun ilke kararları uyarınca, ihlalin öğrenilmesinden itibaren en geç 72 saat içerisinde Kurul’a ve etkilenen ilgili kişilere bildirimde bulunulması emredicidir. Haklı bir gerekçeyle bu emredici süre aşılırsa, gecikme nedenlerinin de detaylıca Kurul'a sunulması yasal bir zorunluluktur. Ayrıca veri sorumluları, KVKK’nın 11. maddesi kapsamında veri sahiplerinin yönelttiği bilgi alma, düzeltme, silme ve itiraz gibi talepleri etkin bir şekilde yanıtlamak ve çözüme kavuşturmak ile yükümlüdür. İşletmelerin bu başvurulara otuz gün içinde yanıt vermemesi, doğrudan Kurul'a şikayet yolunu açmakta ve hukuki denetim süreçlerini başlatmaktadır.

Hukuki Yaptırımlar: Suçlar ve İdari Kabahatler

KVKK kapsamındaki yükümlülüklere aykırılık halleri, Türk hukuk sisteminde iki ana eksende yaptırıma bağlanmıştır. Bunlar, idari para cezaları ve Türk Ceza Kanunu (TCK) kapsamındaki hürriyeti bağlayıcı hapis cezaları olarak tasnif edilmektedir. İşletmeler tüzel kişi olmaları hasebiyle hapis cezası ile cezalandırılamasalar da, bu süreçte sorumluluğu bulunan yöneticiler ve ilgili personel şahsen ceza hukuku karşısında sorumlu tutulmaktadır. KVKK'nın 18. maddesi kapsamında düzenlenen kabahatler neticesinde, aydınlatma yükümlülüğünün ihlali, veri güvenliği tedbirlerinin alınmaması, Kurul kararlarına uyulmaması ve VERBİS kayıt yükümlülüğünün ihlali gibi hallerde üst sınırı milyonlarca liraya ulaşan idari para cezaları tatbik edilmektedir. Bu cezaların alt ve üst sınırları her takvim yılı başında yeniden değerleme oranında artırılarak uygulanmakta olup, kesilen cezalara karşı itiraz mercii, yapılan son yasal düzenlemelerle sulh ceza hakimliklerinden alınarak idare mahkemelerine devredilmiştir.

Ceza hukuku boyutu incelendiğinde, KVKK'nın 17. maddesinin doğrudan atfıyla Türk Ceza Kanunu'nun 135 ile 140. maddeleri arasındaki suç tipleri işletme yöneticileri ve çalışanları için devreye girmektedir. Bu kapsamda, kişisel verilere yönelik eylemler salt bir idari ihlal değil, aynı zamanda ciddi bir ceza hukuku riskidir. Hukuka aykırı fiillerin karşılığı olan başlıca suçlar şunlardır:

• Kişisel verilerin hukuka aykırı kaydedilmesi (TCK m.135): Verilerin genel ilkelere aykırı toplanması bir ila üç yıl arası hapis cezasını gerektirir.
• Verileri hukuka aykırı olarak verme veya ele geçirme (TCK m.136): Seçimlik hareketli bu suç, iki yıldan dört yıla kadar hapis cezası ile yaptırıma bağlanmıştır.
• Verileri yok etmeme suçu (TCK m.138): Kanuni sürelerin geçmesine rağmen verilerin silinmemesi, bir ila iki yıl arası hapis cezasını doğurmaktadır.