Makale
Kişisel verilerin korunması hukukunda, kanunda sayılan istisnai hallerde rıza aranmaksızın veri işleme ve aktarımı hukuka uygun kabul edilir. Bu istisnaların sınırlarını aşan veri sorumluları ise Türk Ceza Kanunu kapsamında cezai yaptırımlar ve ihlal neticesinde doğan ciddi idari para cezaları ile karşı karşıya kalabilmektedir.
KVKK'da Açık Rıza Dışı İşleme, Veri Aktarımı ve Yaptırımlar
Kişisel verilerin korunması hukuku uygulamasında, veri sorumluları sıklıkla tüm işleme faaliyetlerini tek bir hukuki sebebe bağlama yanılgısına düşmektedir. Oysa mevzuatımız, ticari hayatın olağan akışını ve kamu düzenini korumak amacıyla açık rıza dışı işleme şartları öngörmüştür. Veri sorumlularının, özellikle sözleşmesel ilişkilerde veya kanundan doğan yükümlülüklerini yerine getirirken gereksiz yere rıza yoluna gitmeleri, hukuki risklerin doğmasına sebep olabilmektedir. Bu bağlamda, verilerin hukuka uygun şekilde elde edilmesinin ardından gerçekleşen yurt içi ve yurt dışı veri aktarımı süreçleri de sıkı kurallara bağlanmıştır. Özellikle sınır aşan veri transferlerinde aranan yeterli koruma veya taahhütname şartları, uygulamada büyük önem taşımaktadır. Kurallara riayet edilmemesi durumunda, veri sorumluları idari para cezalarının yanı sıra Türk Ceza Kanunu kapsamında hapis cezası gibi ağır hukuki yaptırımlar ile yüzleşmek zorunda kalmaktadır. Bu makalede, veri sorumlularının uyum süreçlerini kolaylaştırmak adına rıza dışı veri işleme şartları, aktarım kuralları ve muhtemel yaptırımlar hukuki bir perspektifle incelenecektir.
Genel ve Özel Nitelikli Verilerde Açık Rıza Dışı İşleme Şartları
Kanun koyucu, kişisel verilerin açık rıza olmaksızın işlenebileceği haller için ayrıntılı düzenlemeler getirmiştir. Genel nitelikli veriler bakımından; kanunlarda açıkça öngörülme, fiili imkânsızlık hali, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, ilgili kişi tarafından alenileştirilme, bir hakkın tesisi, kullanılması veya korunması ve son olarak ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati işleme şartları olarak tahdit edilmiştir. Daha hassas koruma gerektiren özel nitelikli kişisel verilerde ise hukuki rejim çok daha sıkıdır. Sağlık ve cinsel hayata ilişkin veriler yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile finansmanının planlanması amacıyla sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından işlenebilir. Diğer özel nitelikli veriler ise ancak kanunlarda öngörülen hallerde rıza aranmaksızın işlenebilmektedir. Her iki durumda da Kurul tarafından belirlenen yeterli önlemlerin alınması zorunluluğu ihmal edilmemesi gereken kritik bir yükümlülüktür.
Kişisel Verilerin Yurt İçi ve Yurt Dışına Aktarımı
Ticari hayatın ve dijitalleşen dünyanın kaçınılmaz bir sonucu olan kişisel veri aktarımı, mevzuatımızda veri işlemeyle paralel şartlara tabi tutulmakla birlikte, sınır aşan aktarımlarda ekstra güvenceler gerektirmektedir. Yurt içi aktarımlarda verinin gönderileceği üçüncü kişiler bakımından hukuka uygunluk nedenlerinden birinin varlığı yeterli kabul edilirken, yurt dışına veri aktarımı çok daha katı kurallara bağlanmıştır. Rıza dışı işleme şartlarının varlığı halinde verinin yurt dışına çıkarılabilmesi için öncelikle aktarım yapılacak ülkede yeterli korumanın bulunması zorunludur. Kurul tarafından güvenli ülke statüsüne alınmayan destinasyonlara yapılacak aktarımlarda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve mutlaka Kurul izninin temin edilmesi şarttır. Aksi halde gerçekleştirilen sınır aşan veri transferleri hukuka aykırı kabul edilecek ve ihlal prosedürlerini başlatacaktır. Bu noktada çok uluslu grup şirketleri arasında gerçekleşecek veri transferlerinde Bağlayıcı Şirket Kuralları da alternatif bir hukuki çözüm aracı olarak uygulamada önemli bir yer tutmaktadır.
Kişisel Verilerin Hukuka Aykırı İşlenmesi ve Yaptırımlar
Mevzuatta öngörülen hukuka uygunluk nedenlerine dayanmadan gerçekleştirilen tüm işleme ve aktarım faaliyetleri, veri sorumluları açısından doğrudan cezai ve idari yaptırımları beraberinde getirmektedir. Kanun, kişisel verilere yönelik suçlar bakımından açıkça Türk Ceza Kanunu'nun yüz otuz beşinci ila yüz kırkıncı maddelerine atıf yapmaktadır. İşleme sebebi ortadan kalkmasına rağmen verileri silmeyen, yok etmeyen veya anonim hale getirmeyenler, kanunun yüz otuz sekizinci maddesi uyarınca verileri yok etmeme suçu kapsamında ceza mahkemelerinde yargılanabilmektedir. Cezai müeyyidelerin yanı sıra, veri sorumlusu sıfatını haiz gerçek ve özel hukuk tüzel kişileri ciddi idari yaptırımlarla da karşılaşmaktadır. Kurul kararlarını yerine getirmemek, veri güvenliğine ilişkin yükümlülüklere aykırı hareket etmek veya aydınlatma sorumluluğunu ihlal etmek gibi kabahat niteliğindeki eylemler neticesinde her takvim yılında yeniden değerleme oranına göre artırılan ağır idari para cezaları uygulanmaktadır. İlaveten, hukuka aykırı işleme neticesinde kişilik hakkı ihlal edilen ilgili kişilerin genel mahkemeler nezdinde maddi ve manevi tazminat davası açma hakkı da yasa tarafından saklı tutulmuştur.
| İhlal Türü / Hukuki Sonuç | Yasal Dayanak (Mevzuat) | Yaptırımın Niteliği |
|---|---|---|
| Verileri Hukuka Aykırı Verme veya Ele Geçirme | TCK Madde 136 | Hapis Cezası (Cezai Yaptırım) |
| İşleme Sebebi Kalkan Verileri Yok Etmeme | TCK Madde 138 | Hapis Cezası (Cezai Yaptırım) |
| Veri Güvenliğine İlişkin Yükümlülüklere Aykırılık | KVKK Madde 18 | İdari Para Cezası (İdari Yaptırım) |
| Kurul Kararlarını Yerine Getirmemek | KVKK Madde 18 | İdari Para Cezası (İdari Yaptırım) |