Anasayfa/ Makale/ KVKK Kapsamında İşletmelerin Yükümlülükleri ve Yaptırımlar

KVKK Kapsamında İşletmelerin Yükümlülükleri ve Yaptırımlar

Ticari işletmelerin Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca yerine getirmesi gereken temel idari ve teknik yükümlülükler ile bu yükümlülüklere aykırılık halinde karşılaşılabilecek idari para cezaları ve Türk Ceza Kanunu kapsamındaki hapis cezası gibi ağır hukuki yaptırımlar hukuki bir perspektifle detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
CEZA HUKUKU AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK

Günümüz dijital ekonomisinde, ticari işletmelerin faaliyetleri gereği elde ettikleri verilerin güvenliğinin sağlanması kritik bir yasal zorunluluktur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme süreçlerinde işletmelere veri sorumlusu ve veri işleyen sıfatlarıyla oldukça katı idari ve teknik yükümlülükler yüklemektedir. Bir hukuk bürosu perspektifiyle yaklaştığımızda, bu düzenlemelere uyumun salt bir mevzuat gereksinimi olmanın ötesinde, şirketlerin ticari itibarı ve sürdürülebilirliği için hayati önem taşıdığını görmekteyiz. Mevzuata uyumsuzluk, şirketleri ve yöneticilerini ciddi idari para cezaları ile karşı karşıya bırakmanın yanı sıra, Türk Ceza Kanunu kapsamında hapis cezası gerektiren suçlar bağlamında ağır hukuki riskler doğurmaktadır. Bu makalede, veri odaklı faaliyet gösteren işletmelerin KVKK ve ilgili alt mevzuat çerçevesinde uymak zorunda olduğu temel yükümlülükler ve bu kuralların ihlali durumunda maruz kalacakları hukuki yaptırımlar kapsamlı bir şekilde ele alınmaktadır.

Veri Sorumlusunun Temel KVKK Yükümlülükleri

Ticari işletmeler, veri sorumlusu sıfatıyla kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlerken bir dizi katı yasal kurala tabi tutulmaktadır. İlk olarak işletmeler, verilerin elde edilmesi anında veri sahiplerine yönelik aydınlatma yükümlülüğünü eksiksiz yerine getirmek zorundadır. Bu yükümlülük; veri sorumlusunun kimliği, işleme amacı, aktarım yapılacak taraflar ve yasal haklar gibi unsurları açık, şeffaf ve anlaşılır bir dille sunmayı gerektirir. Kurul kararlarında da vurgulandığı üzere, aydınlatma metinlerinin eksik veya yanıltıcı olması doğrudan kanuna aykırılık teşkil eder. Bunun yanı sıra, belirli kriterleri sağlayan şirketlerin, örneğin yıllık mali bilanço toplamı 100 milyon TL'yi aşan işletmelerin, veri işleme faaliyetlerine başlamadan önce Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları emredici bir yasal zorunluluktur. VERBİS kaydı, salt idari bir bildirim olmayıp, şeffaflık ve hesap verebilirlik ilkelerinin bir gereği olarak kamuya açık bir sicilde işletmenin tüm veri işleme haritasının beyan edilmesi anlamına gelmektedir.

Kanun, verilerin işlenmesi sürecinin yanı sıra imhasını da sıkı kurallara bağlamıştır. İşletmeler, işleme amaçları ortadan kalkan veriler için silme, yok etme veya anonim hale getirme yükümlülüğünü resen veya ilgili kişinin talebi üzerine yerine getirmelidir. Ayrıca, şirketlerin veri güvenliğini sağlama yükümlülüğü, hukuka aykırı erişimleri ve siber saldırıları engellemek adına en güncel idari ve teknik tedbirlerin alınmasını şart koşar. Özellikle veri işleyen tedarikçilerle veya üçüncü taraflarla yapılan sözleşmelerde sır saklama yükümlülüğü ve aktarım kurallarına riayet edilmesi, veri sorumlusunun sorumluluğunu ortadan kaldırmaz, aksine müşterek bir sorumluluk rejimi doğurur.

İhlal Bildirimi ve Veri Sahiplerinin Haklarının Korunması

Hukuki uygulamalarımızda sıklıkla karşılaştığımız en kritik süreçlerden biri, veri ihlallerinin yönetilmesidir. Sistemde kayıtlı kişisel verilerin yasa dışı yollarla, örneğin siber saldırılar veya şirket içi yetkisiz erişimler neticesinde üçüncü şahısların eline geçmesi durumunda, veri sorumlusunun ihlal bildirim yükümlülüğü derhal devreye girmektedir. KVKK Kurulu'nun ilke kararları uyarınca, ihlalin öğrenilmesinden itibaren en geç 72 saat içerisinde Kurul’a ve etkilenen ilgili kişilere bildirimde bulunulması emredicidir. Haklı bir gerekçeyle bu emredici süre aşılırsa, gecikme nedenlerinin de detaylıca Kurul'a sunulması yasal bir zorunluluktur. Ayrıca veri sorumluları, KVKK’nın 11. maddesi kapsamında veri sahiplerinin yönelttiği bilgi alma, düzeltme, silme ve itiraz gibi talepleri etkin bir şekilde yanıtlamak ve çözüme kavuşturmak ile yükümlüdür. İşletmelerin bu başvurulara otuz gün içinde yanıt vermemesi, doğrudan Kurul'a şikayet yolunu açmakta ve hukuki denetim süreçlerini başlatmaktadır.

Hukuki Yaptırımlar: Suçlar ve İdari Kabahatler

KVKK kapsamındaki yükümlülüklere aykırılık halleri, Türk hukuk sisteminde iki ana eksende yaptırıma bağlanmıştır. Bunlar, idari para cezaları ve Türk Ceza Kanunu (TCK) kapsamındaki hürriyeti bağlayıcı hapis cezaları olarak tasnif edilmektedir. İşletmeler tüzel kişi olmaları hasebiyle hapis cezası ile cezalandırılamasalar da, bu süreçte sorumluluğu bulunan yöneticiler ve ilgili personel şahsen ceza hukuku karşısında sorumlu tutulmaktadır. KVKK'nın 18. maddesi kapsamında düzenlenen kabahatler neticesinde, aydınlatma yükümlülüğünün ihlali, veri güvenliği tedbirlerinin alınmaması, Kurul kararlarına uyulmaması ve VERBİS kayıt yükümlülüğünün ihlali gibi hallerde üst sınırı milyonlarca liraya ulaşan idari para cezaları tatbik edilmektedir. Bu cezaların alt ve üst sınırları her takvim yılı başında yeniden değerleme oranında artırılarak uygulanmakta olup, kesilen cezalara karşı itiraz mercii, yapılan son yasal düzenlemelerle sulh ceza hakimliklerinden alınarak idare mahkemelerine devredilmiştir.

Ceza hukuku boyutu incelendiğinde, KVKK'nın 17. maddesinin doğrudan atfıyla Türk Ceza Kanunu'nun 135 ile 140. maddeleri arasındaki suç tipleri işletme yöneticileri ve çalışanları için devreye girmektedir. Bu kapsamda, kişisel verilere yönelik eylemler salt bir idari ihlal değil, aynı zamanda ciddi bir ceza hukuku riskidir. Hukuka aykırı fiillerin karşılığı olan başlıca suçlar şunlardır:

  • Kişisel verilerin hukuka aykırı kaydedilmesi (TCK m.135): Verilerin genel ilkelere aykırı toplanması bir ila üç yıl arası hapis cezasını gerektirir.
  • Verileri hukuka aykırı olarak verme veya ele geçirme (TCK m.136): Seçimlik hareketli bu suç, iki yıldan dört yıla kadar hapis cezası ile yaptırıma bağlanmıştır.
  • Verileri yok etmeme suçu (TCK m.138): Kanuni sürelerin geçmesine rağmen verilerin silinmemesi, bir ila iki yıl arası hapis cezasını doğurmaktadır.
Müşteri bilgilerini alırken onlara illa açıklama yapmak zorunda mıyım? expand_more
Evet, veri sorumlusu sıfatıyla müşterilerinizin verilerini elde ettiğiniz an itibarıyla aydınlatma yükümlülüğünüzü eksiksiz bir biçimde yerine getirmek zorundasınız. Bu süreçte kimliğiniz, verileri hangi amaçla işlediğiniz, bu bilgileri kimlere aktarabileceğiniz ve kişilerin yasal hakları konusunda şeffaf, açık ve anlaşılır bir bilgilendirme yapmanız şarttır. Kurul kararlarında da altı çizildiği üzere, bu açıklamaların eksik veya yanıltıcı olması kanuna açıkça aykırılık teşkil eder ve işletmenizi milyonlarca liraya ulaşan idari para cezalarıyla karşı karşıya bırakabilir.
Şirketimin KVKK için devlete bildirim yapması veya bir yere kaydolması şart mı? expand_more
Şirketinizin mali durumuna ve faaliyet hacmine bağlı olarak VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt olmanız emredici bir yasal zorunluluk teşkil edebilir. Mevzuatımıza göre, özellikle yıllık mali bilanço toplamınız 100 milyon TL'yi aşıyorsa, herhangi bir veri işleme faaliyetine başlamadan evvel bu sicile kayıt yaptırmanız zorunludur. Bu işlem basit bir bildirimden ziyade şeffaflık ilkesinin bir gereğidir ve bu yükümlülüğün ihlali halinde idare mahkemelerinde itiraz edilebilen çok ağır idari para cezaları ile cezalandırılabilirsiniz.
Şirketimiz hacklendi ve müşteri bilgileri çalındı, acil ne yapmalıyım? expand_more
Sistemlerinizde muhafaza ettiğiniz kişisel verilerin siber saldırı gibi yasa dışı yollarla üçüncü şahısların eline geçmesi durumunda derhal ihlal bildirim yükümlülüğünüz devreye girmektedir. Bu siber saldırıyı veya yetkisiz erişimi öğrendiğiniz andan itibaren en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu'na ve etkilenen ilgili kişilere bildirimde bulunmanız emredici bir yasal zorunluluktur. Eğer haklı ve makul bir gerekçeyle bu 72 saatlik süreyi aşarsanız, gecikme nedenlerinizi de Kurul'a çok detaylı bir şekilde sunmanız hukuken şarttır.
Eski müşterilerin kayıtlarını silmezsem hapse girer miyim? expand_more
Kesinlikle evet, ticari faaliyetleriniz kapsamında işleme amacı ortadan kalkan veriler için silme, yok etme veya anonim hale getirme yükümlülüğünüzü yerine getirmek zorundasınız. Kanuni saklama sürelerinin geçmesine rağmen bu verilerin kasıtlı veya ihmalen silinmemesi, Türk Ceza Kanunu'nun 138. maddesi kapsamında doğrudan "verileri yok etmeme suçu"nu oluşturur. Şirketiniz bir tüzel kişi olduğu için hapis cezası yatmasa da, bu süreçten sorumlu yöneticiler ve ilgili personel şahsen bir yıldan iki yıla kadar hapis cezası ile yargılanma riskiyle karşı karşıya kalır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir