Makale

Bilişim hukukunun en temel konularından biri olan kişisel verilerin korunması, yalnızca verilerin işlenmesiyle değil, aynı zamanda bu verilerin hukuka aykırı erişimlere karşı korunması ve ihlal durumlarında uygulanacak yaptırım mekanizmalarıyla da doğrudan ilgilidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına idari ve teknik düzeyde geniş çaplı veri güvenliği yükümlülükleri yüklemektedir. Bu yükümlülüklerin yerine getirilip getirilmediği, hem kurum içi denetim mekanizmaları hem de Kişisel Verileri Koruma Kurulu'nun gerçekleştirdiği şikayet veya resen incelemeler yoluyla denetlenmektedir. Kanun'un getirdiği en önemli yeniliklerden biri, ihlal durumlarında öngörülen suçlar ve kabahatler ayrımıdır. Bu ayrım kapsamında, idari para cezalarının yanı sıra hapis cezaları da hukuk sistemimize entegre edilmiş olup, şirket yöneticileri ve veri sorumluları açısından ciddi hukuki riskler barındırmaktadır. Bu makalede, KVKK'nın güvenlik, denetim ve yaptırım boyutları detaylı bir şekilde ele alınacaktır.

Veri Güvenliğine İlişkin Yükümlülükler ve Teknik Tedbirler

Kanun uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere erişilmesini önlemek amacıyla gerekli her türlü idari ve teknik tedbiri almakla yükümlüdür. Bilişim hukuku pratiğinde bu durum, salt hukuki belgelerin hazırlanmasından ziyade, sistemlerin bilgi güvenliği prensipleri olan gizlilik, bütünlük ve erişilebilirlik çerçevesinde korunmasını gerektirir. Kanun metninde spesifik olarak hangi standartların uygulanacağı tam detaylandırılmamış olsa da, uygulamada uluslararası bilgi güvenliği standartlarının referans alınması büyük önem taşır. Kurumların, işledikleri veri hacmine ve verinin özel nitelikli olup olmadığına göre sistemlerinde kademeli güvenlik önlemleri geliştirmeleri beklenmektedir. Ayrıca, verilerin üçüncü bir tedarikçiye veya dış hizmet sağlayıcıya aktarıldığı durumlarda, asıl veri sorumlusunun sorumluluğu ortadan kalkmamakta; aksine, bu üçüncü partilerin de yasal standartlara uygunluğunun sağlanması gerekmektedir. Olası bir veri ihlali durumunda olayın derhal Kurul'a ve ilgili kişiye bildirilmesi kati bir yasal zorunluluktur.

Kurum İçi Denetim ve Kurulun İnceleme Süreçleri

İlgili yasa, veri güvenliği yükümlülüklerinin sürdürülebilirliğini sağlamak adına kurumların kendi iç işleyişlerinde periyodik denetimler yapmasını veya yaptırmasını emreder. Ancak denetimlerin sıklığı, denetçilerin yetkinliği ve iç denetim bulgularının nasıl raporlanacağı hususlarında uygulamada çeşitli soru işaretleri bulunmaktadır. Kurul, ilgili kişilerin şikayeti üzerine veya ihlal iddiasını öğrenmesi halinde ilgili kurumlar üzerinde resen inceleme yetkisine sahiptir. Bu incelemelerde, özellikle dijital izlerin ve log kayıtlarının analiz edilmesi gerektiğinden, denetim süreçlerine dahil olan uzmanların adli bilişim ve bilişim hukuku yetkinlikleri dosyanın seyrini doğrudan etkiler. Veri sorumlularının kendilerine yöneltilen şikayetlere otuz gün içinde yanıt vermesi zorunludur. Denetim süreçlerinde, ticari sır kapsamında olduğu iddia edilen verilerin Kurul denetçileri ile ne ölçekte paylaşılacağı hususu sıklıkla tartışılmakta olup, yasal sınırların şeffaf şekilde orantılılık ve gereklilik ilkeleri ışığında belirlenmesi hukuki bir gerekliliktir.

Suçlar, Kabahatler ve Yaptırımların Hukuki Sonuçları

Mevzuatımızda kişisel verilerin korunmasına ilişkin en sarsıcı yaptırımlar, eylemin niteliğine göre suçlar ve kabahatler ayrımı yapılarak belirlenmiştir. Kabahatler başlığı altında yer alan ihlaller için idari para cezaları öngörülürken, suç teşkil eden fiiller için Türk Ceza Kanunu atfıyla hapis cezası yaptırımları gündeme gelmektedir. Avrupa Birliği düzenlemelerinde hapis cezası gibi ağır bedeller yer almazken, ulusal mevzuatımızda hapis cezasının bulunması, organizasyonlar ve yöneticiler açısından son derece ciddi hukuki endişeler yaratmaktadır. Özel hukuk tüzel kişileri için devasa finansal cezalar uygulanırken, kamu kurumlarında yaptırım süreçleri daha çok disiplin soruşturmaları aracılığıyla yürütülmektedir. Bu ikili yapı, taraflar arasında belirgin bir hukuki uygulama farklılığı doğurmaktadır. Olası ihlal senaryolarında cezanın kime kesileceği hususu, hukuki sorumlulukların adil dağılımı açısından sağlam bir kurumsal sorumluluk matrisinin oluşturulmasını tartışmasız şekilde zorunlu kılmaktadır.

Yaptırım Mekanizmasının Temel Unsurları

Yasal düzenlemeler kapsamında, veri ihlalleri karşısında uygulanacak idari ve cezai yaptırımlar işletmelerin finansal yapısını derinden sarsacak boyuttadır. Kurul tarafından kesilen para cezaları, ihlalin mahiyetine, kurumun veri büyüklüğüne ve alınan veya alınmayan güvenlik tedbirlerinin durumuna göre değişkenlik göstermektedir. Bilişim hukuku alanında çalışan avukatlar, şirketlerin sadece ağır cezalardan kaçınmak için değil, aynı zamanda ticari faaliyetlerinde kurumsal güvenilirliklerini zedelememek adına hukuki savunma ve güvenlik altyapılarını güncel tutmalarını önermektedir. Özellikle hapis cezası riskinin mevcudiyeti, şirketlerin uyum stratejilerini çok daha keskin temellere oturtmalarını gerektirir. Yaptırım rejiminin temel dayanaklarını ve pratik sonuçlarını aşağıdaki gibi özetlemek mümkündür:

• İdari para cezaları, aydınlatma yükümlülüğüne, veri güvenliği tedbirlerine ve Kurul tarafından verilen kararlara aykırı hareket edilmesi durumunda tüzel kişilere kesilen doğrudan finansal yaptırımlardır.
• Hapis cezası kapsamı, kişisel verilerin hukuka aykırı şekilde kaybedilmesi, ele geçirilmesi, yayılması veya kanuni imha sürelerinin bitimine rağmen kasten yok edilmemesi hallerinde doğrudan gerçek kişilere yöneltilen yaptırımdır.
• Sorumluluk rejiminde idari cezalar organizasyonel boyutta şirkete fatura edilirken, hapis cezaları ceza hukukunun temel şahsilik prensibi gereği doğrudan fiili gerçekleştiren karar alıcıları veya personeli bağlar.
• Kamu kurumlarında meydana gelen yetki aşımları ve güvenlik zafiyetlerinde doğrudan para cezası yerine ilgili kamu görevlileri hakkında kurumsal disiplin incelemesi başlatılır.