Makale
Kişisel verilerin korunması hukukunda veri sorumlusu ve veri işleyenin idari ve cezai sorumlulukları karmaşık bir yapıya sahiptir. Bu makale, 6698 sayılı Kanun ve Kabahatler Kanunu çerçevesinde veri sorumlusu ile veri işleyenin müşterek sorumluluğunu, hukuka aykırı fiillerin suç ve kabahat olarak içtima etmesi hallerini incelemektedir.
Veri Sorumlusu ve İşleyenin Sorumluluk Rejimi ve İçtima
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu ve veri işleyen sıfatını haiz gerçek veya tüzel kişilerin sorumluluk rejimi, özellikle hukuka aykırı bir fiilin aynı zamanda hem kabahat hem de suç teşkil ettiği durumlarda derin hukuki analizler gerektirmektedir. Sektördeki pratiklerde sıklıkla karşılaşılan veri ihlalleri neticesinde Kurul tarafından uygulanan idari para cezalarının kime yöneltileceği konusu, özel kanun ile genel kanun niteliğindeki Kabahatler Kanunu arasındaki ilişki üzerinden değerlendirilmelidir. Veri güvenliğini sağlama yükümlülüğü gibi kritik konularda tarafların müşterek sorumluluğu bulunurken, aydınlatma yükümlülüğü gibi özgü kabahatlerde failin kim olacağı hususu net sınırlarla çizilmiştir. Bu yazıda, hukuka aykırı veri işleme faaliyetleri neticesinde doğan idari yaptırımların muhatapları ile suç ve kabahatlerin içtiması halinde izlenmesi gereken yasal prosedürler, güncel hukuki doktrinler ve uygulama pratikleri ışığında detaylı bir şekilde ele alınmaktadır.
KVKK Kapsamında Veri Sorumlusu ve Veri İşleyenin Sorumluluk Rejimi
6698 sayılı Kanun uyarınca idari yaptırımların birincil muhatabı veri sorumlusu olarak belirlenmiştir. Kanun'un 18/2. fıkrası gereğince idari para cezaları, veri sorumlusu olan gerçek veya tüzel kişiler hakkında uygulanmaktadır. Bu noktada, tüzel kişi adına hareket eden gerçek kişilerin, örneğin şirket yetkililerinin veya çalışanlarının şahsen idari para cezasına çarptırılıp çarptırılamayacağı sorusu gündeme gelmektedir. Kural olarak, aydınlatma yükümlülüğünün ihlali veya Veri Sorumluları Siciline kayıt yükümlülüğünün yerine getirilmemesi gibi eylemler özgü kabahat niteliği taşıdığından, bu yükümlülüklerin faili yalnızca kanunda doğrudan sorumluluk atfedilen merci olabilir. Dolayısıyla, veri sorumlusunun tüzel kişi olduğu hallerde idari yaptırım sadece ilgili tüzel kişiliğe uygulanmalıdır. Doktrinde de 6698 sayılı Kanun'daki bu kuralın özel düzenleme teşkil ettiği ve idari para cezasının bizzat veri sorumlusuna kesilmesi gerektiği kabul edilmektedir.
Öte yandan, veri işleyen statüsündeki kişilerin sorumluluğu da Kanun'da açıkça düzenlenmiş olup belirli şartlar altında veri sorumlusu ile müşterek sorumluluk esası benimsenmiştir. Özellikle veri güvenliğine ilişkin yükümlülüklerin ihlali söz konusu olduğunda, 6698 sayılı Kanun'un 12/2. maddesi gereğince veri işleyenler, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri sorumlusu ile birlikte müştereken sorumlu tutulmaktadır. Veri işleyen, kural olarak veri sorumlusunun organizasyonu içinde yer alan bir çalışan olmak zorunda değildir; veri sorumlusu adına hareket eden üçüncü bir kurum da olabilir. Kanunun açık lafzı doğrultusunda veri güvenliğine dair gerekli teknik ve idari tedbirleri alma yükümlülüğü çerçevesinde, ihlal durumunda her iki tarafın da müteselsil nitelikteki sorumluluğuna gidilmesi mümkündür.
Suç ve Kabahat Arasında İçtima Durumu
Hukukumuzda bir piyasa ihlali niteliğindeki veri ihlalinin, aynı fiil ile hem Türk Ceza Kanunu kapsamında suç hem de 6698 sayılı Kanun kapsamında kabahat oluşturması sıklıkla karşılaşılan bir içtima sorunudur. Kabahatler Kanunu'nun 15/3. fıkrası, bu tür durumlar için özel bir içtima kuralı sevk ederek, bir fiilin hem suç hem kabahat teşkil etmesi halinde kural olarak yalnızca suçtan dolayı yaptırım uygulanacağını amirdir. Ancak suç dolayısıyla yaptırım uygulanamayan hallerde idari yaptırımın tatbiki gündeme gelir. Uygulamada Kurul, veri ihlallerinde bazen fiilin TCK m. 136 kapsamındaki kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçunu oluşturduğunu göz ardı ederek şirketlere sadece idari para cezası uygulamakta ve içtima hükümlerini atlayabilmektedir. Hukuken isabetli olan yöntem ise, fiili gerçekleştiren gerçek kişi hakkında adli mercilere bildirimde bulunulması ve ceza muhakemesi sürecinin işletilmesidir.
Tüzel kişilerin dahil olduğu durumlarda ise durum daha spesifik bir hal alır. Ceza sistemi pratiğinde tüzel kişilerin cezai sorumluluğu bulunmadığından, veri ihlalini gerçekleştiren kişinin tüzel kişi bünyesinde çalışan bir personel olması halinde hukuki nitelendirme farklılık gösterir. Doktrindeki isabetli görüşe göre, tüzel kişi fail olamayacağından fiili işleyen gerçek kişinin şahsen TCK kapsamında ceza yargılamasına tabi tutulması gerekmektedir. Eş zamanlı olarak, tüzel kişinin kendisine yüklenen veri güvenliği tedbirlerini almaması nedeniyle, tüzel kişi olan veri sorumlusu hakkında idari para cezası uygulanması mümkündür. Bu sayede, hukuka aykırı eylemi gerçekleştiren gerçek kişi ceza hukuku yaptırımı ile karşılaşırken, gözetim ve denetim yükümlülüğünü yerine getirmeyen tüzel kişi veri sorumlusu da idari yönden yaptırıma tabi tutularak sorumluluk rejimindeki hukuki boşlukların oluşması engellenmektedir.
| İhlalin Türü / Yükümlülük | Sorumlu Süje | Sorumluluk Rejimi ve Yaptırım |
|---|---|---|
| Aydınlatma Yükümlülüğünün İhlali | Veri Sorumlusu | Sadece veri sorumlusuna idari para cezası (Özgü kabahat) |
| Veri Güvenliği Yükümlülüğünün İhlali | Veri Sorumlusu ve Veri İşleyen | İdari tedbir ve para cezası yönünden müşterek sorumluluk |
| Fiilin Hem Suç Hem Kabahat Olması (Gerçek Kişi Fail) | İlgili Gerçek Kişi | Sadece TCK kapsamında cezai yaptırım (KK m. 15/3 gereği) |
| Fiilin Hem Suç Hem Kabahat Olması (Tüzel Kişi Veri Sorumlusu) | Gerçek Kişi ve Tüzel Kişi | Gerçek kişiye cezai yaptırım; Tüzel kişiye idari para cezası |