Makale

Kişisel verilerin, özellikle mahremiyetin çekirdeğini oluşturan özel nitelikli kişisel veri statüsündeki bilgilerin hukuka aykırı bir şekilde işlenmesi, ele geçirilmesi veya ifşa edilmesi bireylerin temel haklarına yönelik en ağır müdahalelerden biridir. Günümüzde kamu ve özel kurumların dijitalleşmesi ile birlikte artan veri işleme faaliyetleri, telafisi güç ihlal risklerini de beraberinde getirmektedir. Bu ihlaller karşısında mağdurların haklarının korunması ve ihlali gerçekleştirenlerin caydırıcı cezalara çarptırılması amacıyla hukuk sistemimizde çok katmanlı bir sorumluluk rejimi öngörülmüştür. Bir veri ihlali durumunda, eylemi gerçekleştiren veri sorumlusunun niteliğine ve ihlalin boyutuna göre doğrudan hukuki, idari ve cezai sorumluluk mekanizmaları devreye girmektedir. İdare hukuku ilkelerinden özel hukuktaki haksız fiil kurallarına, Kişisel Verilerin Korunması Kanunu'nun idari yaptırımlarından ceza yargılamalarına kadar uzanan bu geniş yelpaze, bireylerin kişilik haklarını bütüncül bir yaklaşımla korumayı amaçlamaktadır.

Veri İhlallerinden Doğan Özel Hukuk Sorumluluğu

Kişisel verilerin herhangi bir sözleşme ilişkisi bulunmadan veya geçerli bir rıza olmaksızın hukuka aykırı biçimde işlenmesi, Türk Borçlar Kanunu kapsamında doğrudan haksız fiil sorumluluğu doğurmaktadır. Hukuk sistemimiz tarafından korunan veri mahremiyetinin ihlali, haklı bir neden veya hukuka uygunluk sebebi bulunmadığı sürece haksız eylem olarak kabul edilir. Verileri ihlal edilen mağdur, Türk Medeni Kanunu'nun ilgili hükümlerine dayanarak saldırının önlenmesini, durdurulmasını, hukuka aykırılığın tespitini ve ihlalden doğan kararın üçüncü kişilere bildirilmesini talep edebilir. Bunun yanı sıra, mağdurun veri sorumlusuna karşı maddi ve manevi tazminat davası açma hakkı da yasal olarak güvence altına alınmıştır. Bu davalarda mağdur, hem uğradığı maddi veya manevi zararı hem de eylemi gerçekleştiren veri sorumlusunun kusurunu ispat etmekle yükümlüdür. Tazminat talepleri, zararın ve failin öğrenildiği tarihten itibaren iki yıl ve fiilin işlendiği tarihten itibaren on yıllık zamanaşımı süresine tabidir; ancak fiil aynı zamanda ceza kanunları kapsamında suç teşkil ediyorsa daha uzun olan ceza zamanaşımı devreye girer.

İdarenin Hizmet Kusuru ve Tazminat Yükümlülüğü

Devlet veya kamu kurumları tarafından sunulan kamu hizmetleri sırasında kişisel verilerin korunmaması, idare hukuku bağlamında hizmet kusuru olarak nitelendirilir. İdarenin işlem veya eylemleri neticesinde bireylerin özel bilgilerinin ilgisiz üçüncü şahısların erişimine açılması veya sistemsel güvenlik ihlalleri yaşanması, idarenin kusura dayanan tazmin sorumluluğunu tetikler. Danıştay içtihatlarına göre, risk taşıyan hizmetlerin yürütülmesi esnasında zararın tazmini için geçmişte aranan ağır hizmet kusuru koşulu günümüzde terk edilmiş olup, idarenin standart bir olağan hizmet kusurunun bulunması dahi tazminat yükümlülüğünün doğması için yeterli kabul edilmektedir. İdare, kendi kusurlu eylemlerinden kaynaklanan maddi ve manevi zararları karşılamakla mükelleftir; bununla birlikte kurumsal denetim ve gözetim yükümlülüklerini yerine getirmemesi de başlı başına bir kusur sayılmaktadır. Mağdurun müterafik kusuru bulunsa dahi, idare olası zararları önleyecek veri güvenlik tedbirlerini almamışsa sorumluluktan bütünüyle kurtulamaz. Öte yandan, tazminat ödeyen idare, oluşan bu kamu zararını olayda kasıt, kusur veya ihmali bulunan ilgili kamu personeline rücu etme hakkına sahiptir.

Kişisel Veri İhlallerinde Cezai Yaptırımlar

Veri ihlallerinin en ağır yaptırımları, Türk Ceza Kanunu'nun Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar bölümünde detaylı bir biçimde düzenlenmiştir. İlgili kanun maddelerine göre, kişisel bilgilerin hukuka aykırı olarak sisteme kaydedilmesi başlı başına bir suç teşkil eder. Bu ihlal bir tehlike suçu niteliğinde kabul edildiğinden, failin cezalandırılabilmesi için veri sahibinin fiilen somut bir zarara uğraması şartı aranmamaktadır. Mahrem bilgilerin izinsiz olarak kaydedilmesi veya işlenmesi, suçun nitelikli hali olarak tanımlanmış ve faile verilecek cezanın katlanarak artırılması öngörülmüştür. Yalnızca verileri kaydetmek değil; daha önceden kaydedilmiş verileri hukuka aykırı olarak başkasına vermek, izinsiz yaymak veya ele geçirmek de hürriyeti bağlayıcı ağır cezalar ile yaptırıma bağlanmıştır. Yasal saklama süresi dolduğu halde eldeki verileri imha etmemek veya anonim hale getirmemek de yasa koyucu tarafından ayrı bir suç türü olarak belirlenmiştir. Tüm bu veri ihlallerinin bir kamu görevlisi tarafından, görevinin verdiği nüfuz ve yetki kötüye kullanılarak yahut spesifik bir mesleğin sağladığı kolaylıktan yararlanılarak gerçekleştirilmesi, faile verilecek cezanın ağırlaştırılması için doğrudan bir artırım nedeni olarak uygulanmaktadır.

İdari Sorumluluk ve Kurul Yaptırımları

Kişisel verilerin hukuka aykırı biçimde işlenmesi, adli yaptırımların yanı sıra Kişisel Verilerin Korunması Kanunu çerçevesinde idari sorumluluk da doğurmaktadır. Veri sorumlularının, kanunun öngördüğü veri güvenliği tedbirlerini almaması, verilerin yetkisiz üçüncü kişilerin eline geçmesi veya aydınlatma yükümlülüklerinin ihlal edilmesi durumlarında Kişisel Verileri Koruma Kurulu tarafından idari yaptırımlar devreye sokulmaktadır. Kurul kararlarına aykırı hareket eden veya veri güvenliği esaslarını ihlal eden kurum ve kuruluşlar, yüksek meblağlara ulaşan idari para cezalarına çarptırılmaktadır. İdari yaptırım kararı verilirken, eylemi gerçekleştiren veri sorumlusunun kusur derecesi ve ekonomik durumu gibi kriterler dikkate alınarak orantılılık ilkesine göre bir belirleme yapılır. Özel hukuk tüzel kişileri ile gerçek kişi veri sorumluları doğrudan idari para cezası yaptırımıyla karşılaşırken, kamu kurumlarında yaşanan ihlallerde farklı bir idari süreç işletilmektedir:

• Kurul, memurlar veya kamu görevlileri tarafından gerçekleştirilen veri ihlallerini tespit ettiğinde, gerekli idari işlemlerin yapılması amacıyla durumu derhal ilgili kamu kurumuna bildirir.
• Bildirimi alan ilgili kamu kurumu, yetkisini aşan veya ihlale neden olan personeli hakkında ivedilikle bir disiplin soruşturması başlatmak ve yasal süreci sonuçlandırmak zorundadır.
• Meydana gelen veri ihlalinin aynı zamanda bir suç unsuru barındırması halinde, idari yaptırımlara ve kurumsal disiplin süreçlerine ek olarak ilgili personel hakkında adli yargıda ceza davası da açılır.