“Kişisel verileri korumayanlara ağır cezalar var”

Kişisel verilerin kanunla güvence altına alındığına dikkat çeken Avukat Mehmet Dursun, önemli uyarılarda bulunarak sorumlulukların yerine getirilmemesi halinde 5 bin liradan 1 milyon liraya kadar idari para cezalarının, 1 yıldan 4 yıla kadar da hapis cezasının söz konusu olduğunu belirtti.

Avukat Mehmet Dursun, kişisel verilerin korunması hakkındaki kanunla getirilen yenilikler, veri sorumlusuna ve işleyenine yüklediği sorumluluklar ile kişisel veri sahiplerine sağladığı haklar konusunda önemli bilgiler verdi. Kişisel verilerin korunmasının çok önemli olduğunun altını çizen Dursun, sorumlulukların yerine getirilmemesi halinde yüklü para cezalarıyla birlikte hapis cezasıyla da karşılaşılabileceğini vurguladı. Kişisel verinin özetle, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiğini hatırlatan Dursun, sorumlulukların yerine getirilmemesi halinde 5 bin liradan başlayan ve 1 milyon liraya kadar çıkan para, 1 yıldan 4 yıla kadar da hapis cezalarının söz konusu olduğuna dikkat çekti.

“BİLGİ VERENLERİN HAKLARI, BİLGİLERİ ALANLARIN İSE SORUMLULUKLARI VAR”

Kişisel verilerin korunması müessesesinin kaynağını Anayasanın “Özel Hayatın Gizliliği” maddesinden aldığının altını çizen Avukat Dursun, şunları söyledi:

“Kanunda belirtildiği üzere; herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme ve kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Anayasa’nın 20. maddesinde belirtildiği üzere, kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. Bu nedenle 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (KVKK) yayımlanmıştır. Kanunda tanınan 2 yıllık uyum süresi 7 Nisan 2018 tarihi ile sona ermiştir. Bu kanunla birlikte kişisel verilerin korunmasına dair ciddi adımlar atılmış ve bazı yeni tedbirler alınmıştır. Kişilere bu kanunla birlikte kişisel verilerin korunması için bazı haklar, bu bilgileri alan kişi, kurum ve şirketlere ise bazı yükümlülükler getirilmiştir. Kişisel veri özetle, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Yani bireyin adı, soyadı, doğum tarihi ve yeri gibi kesin teşhis sağlayan bilgiler ile kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerdir. Bu bilgiler sayesinde veriler ile kişiler ilişkilendirilerek o kişi tanımlanabilir hale getirilmektedir.”

“VERİLER, VERBİS’E KAYIT EDİLİYOR”

Kanuna göre kişilerden alınan verilerin belli usul ve esaslara göre işlenmesi gerektiğini vurgulayan Dursun, “Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Bu veriler kanunda veri işleyen olarak tabir edilen gerçek ya da tüzel kişi tarafından işlenecektir. Veri işleyen,  veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmekte. Veriler ise, veri kayıt sistemi denilen sisteme Kişisel Verileri Koruma Kurulu denetim ve gözetiminde bulunan VERBİS’e kayıt edilmektedir” dedi.

“AYDINLATMA YÜKÜMLÜLÜĞÜ YERİNE GETİRİLMELİ”

Kişisel verileri alan şirketlerin kişileri aydınlatma yükümlülüğünü yerine getirmesi gerektiğini vurgulayan Dursun, “Veri sorumlusu şirketler, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdırlar.  Bu şirketlere veri siciline kayıt olmak için belli süreler tanınmıştır.  Veri sorumlularının ve işleyenler, tedbirlerin alınmasında birlikte sorumludurlar. Veri sorumlusu ve veri işleyenler için öğrendikleri bilgileri başkasına açıklamama ve işleme amacı dışında kullanmama yasağı görevlerinden ayrılsalar dahi devam eder” diye konuştu.

VERİ SAHİBİNİN HAKLARI

Kişisel Verilerin Korunması Hakkında Kanunun 11. maddesine göre veri sahibinin veri sorumlusundan talep edebileceği hakları olduğuna dikkat çeken Dursun, bu hakları şöyle sıraladı:

“Kişisel veri işlenip işlenmediğini öğrenme. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme. Kişisel verilerin düzeltilmesi halinde yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme. Kişisel verilerin silinmesini veya yok edilmesini isteme. Kişisel verilerin silinmesi halinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.” Avukat Dursun, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırması gerektiğini de sözlerine ekledi.

KURULA ŞİKAYET HAKKI

Veri sahibinin Kişisel Verileri Koruma Kurulu’na şikayet hakkının bulunduğunu da belirten Dursun, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması halinde Kurula şikayette bulunulabileceğini kaydetti. Süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişinin veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her halde veri sorumlusuna başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabileceğini de ifade eden Dursun, “Şikayet üzerine veya Kurul tarafından kendiliğince yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilir. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25 bin Türk lirasından 1 milyon Türk lirasına kadar idari para cezası verilir” dedi. Kişilik hakları ihlal edilen kişisel veri sahiplerinin ilgililere karşı tazminat davası açabileceğine de dikkat çekti.

İHLAL HALİNDE UYGULANACAK CEZALAR

KVKK’da veri sorumlusunun yükümlülüklerini yerine getirmemesi halinde karşılaşacağı yaptırımların da öngörüldüğüne dikkat çeken Dursun, şunları dile getirdi:

“Buna göre, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun (TCK) 135 ila 140. madde hükümleri uygulanacaktır. Sorumluların karşı karşıya kalabileceği cezai yaptırımlar açısından, TCK madde 135’de düzenlenen, kişisel verilerin hukuka aykırı olarak kaydedilmesi, madde 136’da düzenlenen kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme, madde 138’de düzenlenen verileri yok etmeme suçları uygulama alanı bulabilecektir. Ayrıca, TCK madde 140’da düzenlendiği üzere, belirtilen suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacaktır. Bunların yanı sıra, TCK madde 132’de yer alan haberleşmenin gizliliğini ihlal, madde 133’te yer alan kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması ile madde 134’de düzenlenen özel hayatın gizliliğini ihlal suçları ise, koşulların bulunması halinde uygulama alanı bulabilecektir. KVKK’nın 18. maddesi uyarınca, aydınlatma yükümlülüğünü, veri güvenliğine ilişkin yükümlülükleri, Kişisel Verileri Koruma Kurulu’nun verdiği kararların gereğini, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu olanlar, belirtilen tutarlarda idari para cezası yaptırımının muhatabı olacaktır.”

“5 BİN LİRADAN 1 MİLYON LİRAYA KADAR PARA CEZASI”

5 bin lira ile 1 milyon lira arasında değişen çok ağır idari para cezalarının söz konusu olduğunun altını çizen Dursun, Aydınlatma yükümlülüğünü yerine getirmeme halinde 5 bin Türk lirasından 100 bin Türk lirasına kadar, Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme halinde 15 bin Türk lirasından 1 milyon Türk lirasına kadar, Kurul tarafından verilen kararları yerine getirmeme halinde 25 bin Türk lirasından 1 milyon Türk lirasına kadar ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde ise 20 bin Türk lirasından 1 milyon Türk lirasına kadar para cezalarının uygulanabildiğini kaydetti.

“1 İLA 4 YIL ARASINDA HAPİS CEZALARI VAR”

Son olarak hapis cezalarının da söz konusu olduğuna dikkat çeken Dursun, TCK madde 135’e göre hukuka aykırı olarak kişisel verileri kaydetmenin 1 ila 3 yıl arasında, madde 136’ya göre kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirmenin 2 ila 4 yıl arasında, madde 138’e göre de kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmemenin de 1 ila 2 yıl arasında hapis cezaları bulunduğunu belirtti. HABER: YUSUF KATRAĞ