Anasayfa/ Makale/ Veri İhlalleri, Hukuki Denetim ve Yaptırımlar

Veri İhlalleri, Hukuki Denetim ve Yaptırımlar

Avrupa Birliği ve Türk Hukuku kapsamında kişisel veri ihlalleri, hukuki denetim yolları ve idari para cezaları büyük önem taşır. Bu makale, veri ihlali bildirim süreçlerini, idari makamlara şikayet yollarını, yargısal denetimi ve idari yaptırımları hukuki bir perspektifle ele almaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
HUKUKA AYKIRILIK KVKK CEZA HUKUKU TAZMİNAT GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Günümüzde teknolojinin hızla gelişmesiyle birlikte, kişisel verilerin hukuka aykırı olarak işlenmesi ve veri ihlalleri ciddi boyutlara ulaşmıştır. Hukuk sistemleri, bireylerin mahremiyetini güvence altına almak adına, veri sorumlularına karşı sıkı denetim mekanizmaları ve ağır yaptırımlar öngörmüştür. Hem Türk Hukukunda Kişisel Verilerin Korunması Kanunu çerçevesinde hem de Avrupa Birliği Genel Veri Koruma Tüzüğü çerçevesinde, hukuki denetim yolları titizlikle düzenlenmiştir. Bu kapsamda, bir ihlal meydana geldiğinde devreye giren başvuru usulleri, bağımsız denetim otoritelerinin yetkileri ve yargısal süreçler, hukuki güvenliğin sağlanmasında kilit bir rol oynamaktadır. Makalemizde, veri ihlalleri neticesinde işletilen yargı dışı ve yargısal denetim mekanizmaları ile veri sorumluları ve işleyenlere uygulanan idari ve cezai yaptırımlar detaylıca incelenecektir.

Türk Hukukunda İhlaller ve Yargı Dışı Denetim

Türk Hukukunda kişisel verilerin hukuka uygun işlenmesini denetlemek amacıyla bağımsız bir idari otorite olan Kişisel Verileri Koruma Kurumu kurulmuştur. Veri sahipleri, ihlal iddiaları karşısında kademeli bir başvuru yolunu izlemek zorundadır. Hak arama hürriyeti kapsamında, ilgili talepler öncelikle veri sorumlusuna başvuru yoluyla iletilmelidir. Veri sorumlusu, bu başvuruyu en geç otuz gün içerisinde sonuçlandırmakla mükelleftir. Başvurunun reddedilmesi, cevabın yetersiz bulunması veya yasal süre içinde cevap verilmemesi hallerinde veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her halükarda başvuru tarihinden itibaren altmış gün içinde Kurula şikayet yoluna gidebilir. Ayrıca Kurul, ihlal iddialarını öğrenmesi durumunda kendi yetki çerçevesinde resen inceleme yapma yetkisine de sahiptir. Kurulun ihlal tespit etmesi halinde veri sorumlusuna bu ihlalin giderilmesi talimatı verilir ve kararın en geç otuz gün içinde yerine getirilmesi zorunludur.

Avrupa Birliği Hukukunda Denetim Makamları ve Bildirimler

Avrupa Birliği nezdinde yürürlükte olan tüzük, her üye devlette tam bağımsız hareket eden denetçi makamların bulunmasını şart koşmuştur. Sınır ötesi veri işleme faaliyetlerinin mevcudiyeti halinde, baş denetçi makam yetkilendirilerek ülkeler arası işbirliği mekanizması işletilir. Getirilen en kritik düzenlemelerden biri, veri ihlallerinin bildirimine ilişkindir. Kişisel veri ihlali, gerçek kişilerin hakları açısından risk oluşturduğu takdirde, veri sorumlusu bu durumu ihlali fark etmesinden itibaren en fazla yetmiş iki saat içerisinde denetçi makama bildirmek mecburiyetindedir. İhlalin, veri sahibinin hakları bakımından yüksek risk teşkil etmesi durumunda ise veri sorumlusu, gecikmeksizin veri sahibine ihlali iletmekle yükümlüdür. Veri işleyenlerin de kendilerine yansıyan bir veri ihlalini fark ettiklerinde durumu veri sorumlusuna derhal haber verme zorunluluğu bulunmaktadır.

Veri İhlallerine Karşı Yargısal Denetim Hakkı

İdari ve yargı dışı başvuru süreçlerinin yanı sıra, veri ihlalleri söz konusu olduğunda mağduriyetlerin giderilmesi için yargısal denetim mekanizmaları devreye girmektedir. Avrupa Birliği düzenlemeleri kapsamında her gerçek ve tüzel kişi, bir denetçi makamın kendisi hakkında aldığı bağlayıcı kararlara karşı etkin adli yargı yoluna başvurma hakkını haizdir. Eğer denetçi makam, şikayeti işleme almaz veya şikayetin akıbeti hakkında üç ay içerisinde veri sahibini bilgilendirmezse yine mahkeme yolu açıktır. Buna ek olarak, kişisel verilerinin hukuka aykırı işlenmesi nedeniyle temel haklarının ihlal edildiğini düşünen veri sahipleri, doğrudan veri sorumlusuna veya veri işleyene karşı dava açabilir. Yargılamalar, veri sorumlusunun işletmesinin bulunduğu üye devlet mahkemelerinde veya veri sahibinin mutat ikametgahının bulunduğu ülke mahkemelerinde görülebilmektedir.

Hukuka Aykırılık Halinde Uygulanan Yaptırımlar ve Cezalar

Kişisel veri ihlallerinin gerçekleşmesi durumunda, hukuki güvenliğin yeniden tesisi amacıyla veri sorumlularına idari ve cezai boyutta yaptırımlar uygulanmaktadır. Denetim makamları; veri işleme faaliyetini geçici veya kalıcı olarak durdurma, verilerin silinmesi talimatını verme gibi düzeltici yetkilere sahiptir. İhlalden dolayı maddi veya manevi zarara uğrayan kişiler, veri sorumlusundan tazminat talep etme hakkına sahiptir. Türk Hukukunda Kişisel Verileri Koruma Kurulu, yüksek tutarlara varan idari para cezaları uygulayabilmekte, ek olarak Türk Ceza Kanunu kapsamında ihlale yol açan eylemler cezai yaptırımlara da tabi tutulabilmektedir. Avrupa Birliğinde ise idari para cezaları, ihlalin niteliğine ve ciddiyetine bağlı olarak kademeli bir şekilde uygulanmaktadır. Uygulanacak yaptırımların caydırıcılığı kapsamında cezalar şu şekilde belirlenmiştir:

  • Yükümlülük ihlallerinde en fazla 10.000.000 Avro veya önceki mali yılın yıllık dünya çapındaki cirosunun yüzde ikisi oranında para cezası verilmektedir.
  • Temel ilkelerin veya veri sahibi haklarının ihlali durumunda en fazla 20.000.000 Avro veya önceki mali yılın yıllık dünya çapındaki cirosunun yüzde dördü oranında idari yaptırım kesilmektedir.
Şirket kişisel bilgilerimi izinsiz kullanmış, direkt nereye şikayet edebilirim? expand_more
Türk hukukuna göre kişisel verilerinizin hukuka aykırı işlendiğini düşünüyorsanız, doğrudan resmi kurumlara gitmek yerine öncelikle verilerinizi işleyen şirkete, yani veri sorumlusuna başvurmanız gerekmektedir. Şirket, kendisine yapılan bu başvuruyu en geç otuz gün içinde sonuçlandırmakla mükelleftir. Eğer şirket talebinizi reddeder, yetersiz bir cevap verir veya yasal süresi içinde başvurunuza hiç cevap vermezse bir sonraki yasal aşamaya geçme hakkınız doğar. Bu ihlal karşısında, cevabı öğrendiğiniz tarihten itibaren otuz gün ve her halükarda başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kuruluna şikayet yoluna gidebilirsiniz.
Bilgilerim internete sızdı ve mağdur oldum, tazminat davası açma hakkım var mı? expand_more
Evet, kişisel verilerinizin hukuka aykırı olarak işlenmesi veya sızdırılması neticesinde maddi veya manevi bir zarara uğradıysanız doğrudan tazminat talep etme hakkınız bulunmaktadır. Hem Türk hukuku hem de Avrupa Birliği düzenlemeleri, veri ihlalleri sebebiyle doğan mağduriyetlerin giderilmesi için yargısal denetim mekanizmalarını devreye sokmaktadır. Temel haklarınızın ihlal edildiği bu gibi durumlarda idari makamların kararlarını beklemeksizin, doğrudan veri sorumlusuna veya veriyi işleyene karşı dava açabilirsiniz. Söz konusu yargılamalar, veri sorumlusunun işletmesinin bulunduğu yerdeki mahkemelerde veya sizin mutat ikametgahınızın bulunduğu ülke mahkemelerinde görülebilmektedir.
Avrupa'da iş yapıyoruz ve müşteri verilerimiz çalındı, kime ne zaman bildirmeliyiz? expand_more
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında faaliyet gösteriyorsanız, yaşanılan veri ihlallerinde son derece sıkı ve hızlı işleyen bildirim prosedürlerine uymak zorundasınız. Veri sorumlusu sıfatına haizseniz ve ihlal gerçek kişilerin hakları için risk oluşturuyorsa, durumu fark ettiğiniz andan itibaren en fazla yetmiş iki saat içerisinde yetkili denetçi makama bildirim yapmanız mecburidir. Şayet bu sızıntı veri sahiplerinin hakları bakımından yüksek bir risk teşkil ediyorsa, durumu gecikmeksizin doğrudan verisi çalınan mağdurlara da iletmekle yükümlüsünüz. İşletmeniz sadece "veri işleyen" konumundaysa, olası bir ihlali fark ettiğiniz an durumu derhal asıl veri sorumlusuna haber vermeniz gerekmektedir.
KVKK kurallarına uymazsak şirketimiz hapis veya para cezası alır mı? expand_more
Kişisel veri ihlallerinin gerçekleşmesi halinde veri sorumlularına karşı hukuki güvenliği sağlamak amacıyla hem idari hem de cezai boyutta çok ciddi yaptırımlar uygulanmaktadır. Türk hukukunda, Kişisel Verileri Koruma Kurulu tarafından şirketinize yüksek tutarlara varan idari para cezaları kesilebilir; ayrıca veri ihlaline yol açan eylemler Türk Ceza Kanunu kapsamında değerlendirilerek hapis cezası gibi cezai yaptırımlara da tabi tutulabilir. Denetim makamlarının ayrıca veri işleme faaliyetinizi geçici veya kalıcı olarak durdurma ve verileri sildirme gibi düzeltici yetkileri de bulunmaktadır. Avrupa Birliği düzenlemelerinde ise temel ilkelerin ihlali halinde, şirketinizin önceki mali yıldaki dünya çapındaki cirosunun yüzde dördüne veya 20.000.000 Avro'ya kadar ulaşabilen son derece ağır idari yaptırımlar söz konusu olabilmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir