Makale
Kişisel verilerin hukuka aykırı yollarla üçüncü kişilerin eline geçmesi durumunda veri sorumlularının bildirim yükümlülüğü doğmaktadır. Bu makalede, veri ihlali durumunda uygulanacak idari para cezaları, cezai yaptırımlar ve ilgili kişilerin açabileceği tazminat davaları gibi hukuki süreçler ve veri sorumlularının yükümlülükleri incelenmektedir.
KVKK Kapsamında Veri İhlali Bildirimi ve Hukuki Yaptırımlar
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına kişisel verilerin güvenliğini sağlama konusunda önemli yükümlülükler getirmektedir. Bu yükümlülüklerin ihlal edilerek işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda bir veri ihlali meydana gelir. KVKK madde 12/5 hükmü gereğince, böyle bir ihlalin gerçekleşmesi halinde veri sorumlusu, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Bu bildirim yükümlülüğünün doğması için ilgili kişinin muhakkak bir hak kaybına uğraması veya somut bir zararın gerçekleşmesi şart değildir. İhlalin tespiti anından itibaren yasal süreler içerisinde gerekli adımların atılmaması, veri sorumluları açısından hem idari para cezaları hem de cezai ve hukuki yaptırımlar ile sonuçlanabilmektedir. Kanun koyucu, kişisel verilerin korunmasını isteme hakkının ihlali karşısında, zarara uğrayan kişilere çeşitli koruma mekanizmaları ve dava hakları tanıyarak veri güvenliği ihlallerinin en aza indirilmesini amaçlamıştır.
Veri İhlali Durumunda Bildirim Yükümlülüğü ve Süreç
Veri sorumluları, bünyelerinde barındırdıkları kişisel verilerin yetkisiz kişilerin eline geçmesi halinde, ihlali öğrendikleri andan itibaren en geç 72 saat içinde Kurula bildirim yapmak zorundadır. Şayet bu bildirim 72 saat içinde yapılamıyorsa, gecikme nedenleri de Kurula sunulacak bildirimde makul gerekçelerle açıklanmalıdır. Uygulamada bu süreç, Kurul tarafından belirlenen Kişisel Veri İhlal Bildirim Formu kullanılarak yürütülmektedir. Formdaki bilgilerin tamamının aynı anda sağlanmasının mümkün olmadığı senaryolarda, bilgilerin kademeli olarak ve gecikmeksizin Kuruma iletilmesi gerekmektedir. İhlal sonrasında Kurul, ihlalin boyutunu ve niteliğini değerlendirerek gerekmesi halinde bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan etme yetkisine sahiptir. Veri sorumlusunun yanı sıra, şayet veriler bir veri işleyen tarafından elde tutulurken ihlal gerçekleşmişse, veri işleyen de gecikmeksizin veri sorumlusunu bilgilendirmekle mükelleftir. Bu katı bildirim prosedürleri, veri güvenliği ihlallerinin şeffaf bir şekilde yönetilmesini sağlamaktadır.
Veri İhlalinin Hukuki Yaptırımları: İdari ve Cezai Boyut
KVKK, veri ihlallerinin önlenmesi ve ihlal durumunda caydırıcılığın sağlanması amacıyla veri sorumluları için katı idari ve cezai yaptırımlar öngörmüştür. Cezai sorumluluk bağlamında, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu'nun (TCK) 135 ila 140. madde hükümleri uygulanmaktadır. İdari yaptırımlar ise KVKK madde 18 kapsamında düzenlenmiş olup, ihlal edilen yükümlülüğün türüne, failin kusuruna, ekonomik durumuna ve kabahatin haksızlık içeriğine göre belirlenmektedir. Veri sorumlusu sıfatını haiz gerçek ya da tüzel kişilerin Kanun'da belirtilen yükümlülüklere uymaması halinde uygulanacak idari para cezaları şu şekildedir:
- Aydınlatma yükümlülüğünün yerine getirilmemesi durumunda 5.000 TL'den 100.000 TL'ye kadar,
- Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15.000 TL'den 1.000.000 TL'ye kadar,
- Kurul kararlarının yerine getirilmemesi halinde 25.000 TL'den 1.000.000 TL'ye kadar,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda 20.000 TL'den 1.000.000 TL'ye kadar,
- 7499 sayılı Kanun ile yapılan değişiklik uyarınca bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 TL'den 1.000.000 TL'ye kadar.
Zararın Giderilmesi ve Tazminat Davaları
Kişisel verilerin hukuka aykırı bir şekilde işlenmesi veya veri sızıntısı neticesinde yetkisiz kişilerin eline geçmesi sebebiyle zarara uğrayan ilgili kişi, genel hükümlere göre tazminat talep etme hakkına sahiptir. Bu hak, KVKK madde 11/1-ğ ve madde 14/3 hükümleri ile güvence altına alınmıştır. İlgili kişi, oluşan ihlal neticesinde maddi ve manevi tazminat davası açarak uğramış olduğu zararın giderilmesini yargı mercilerinden isteyebilir. Tazminat sorumluluğunun doğabilmesi için genel hukuk kuralları çerçevesinde hukuka aykırılık, zarar, uygun illiyet bağı ve kusur unsurlarının somut olayda birlikte bulunması şarttır. Veri ihlali sebebiyle açılacak tazminat davalarında, taraflar arasındaki hukuki ilişkinin niteliğine göre haksız fiil sorumluluğuna veya sözleşmeye aykırılık hükümlerine dayanılabilmektedir. Zarara uğrayan ilgili kişi, bu zararı ve veri sorumlusunun kusurlu olduğunu ispat etmekle yükümlüdür; mahkeme ise zararın miktarını ve ödenecek tazminatı hakkaniyet çerçevesinde belirleyerek ihlalin olumsuz sonuçlarını gidermeyi amaçlar.