Günümüzde teknoloji hızla ilerlemekte ve bu ilerleme ile dijital dünyada verilerin paylaşımı ve depolanması da giderek artmakta, internetin ve mobil cihazların yaygınlaşması ile birlikte, bireylerin kişisel bilgilerinin korunması ihtiyacı her zamankinden de öncelikli hale gelmekte. Bireylerin kişisel bilgilerinin korunması ise, kişisel verilerin korunmasına ilişkin hukuki düzenlemeler ile mümkün olabilmektedir.
Bu nedenle, hem ulusal yasalar, düzenlemeler hem de uluslararası sözleşmeler ile kişisel verilerin korunması hukuki koruma altına alınmış durumda. Son yıllarda, Türkiye’nin de içinde bulunduğu birçok ülke, kişisel verilerin korunması hususuna mevzuatlarında yer vermiş olup, kişisel verilerin toplanması, muhafaza edilmesi, imha edilmesi ve ilgili kişilerin bilgilendirilmesi gibi kişisel verilerin korunmasına ilişkin hususları düzenlemiştir. Bu konuda yapılan en kapsamlı çalışma, 2018’de yürürlüğe konan Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) olmuştur. Türkiye’de ise öncelikle kişisel verilerin korunmasını isteme hakkı 2010 yılında anayasal koruma altına alınmış olup, bu gelişmeyi takip eden bir sonraki adım, 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi olmuştur.
Türk kanunları çerçevesinde, kişisel ihlallerine ilişkin suçlar ve kabahatlerin yaptırımları Türk Ceza Kanunu’nda ve Kişisel Verilerin Korunması Kanunu’nda düzenlenmiştir. Türk Ceza Kanunu kapsamında “Kişisel Verilerin Kaydedilmesi (m.135), Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (m.136), Verileri Yok Etmeme (m.138)”, kişisel verilere ilişkin suçları oluşturmaktadır. Kişisel Verilerin Korunması Kanunu’nun 18.maddesinde ise kişisel verilere ilişkin kabahatler düzenlenmektedir. “Aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kişisel Verileri Koruma Kurulu tarafından verilen kararların yerine getirilmemesi, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi” , Kişisel Verilerin Korunması Kanunu kapsamında kabahatleri oluşturmaktadır.
Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) kişisel veri ihlali açıkça tanımlanmamış olmakla birlikte, GDPR’de ise “Kişisel veri ihlali”, kişisel verilerin iletilmesi, depolanması veya diğer şekillerde işlenmesi sırasında, güvenliğin ihlal edilmesi sonucunda kişisel verilerin kazara veya hukuka aykırı olarak yok edilmesi, kaybolması, değiştirilmesi, izinsiz açıklanması veya erişilmesi olarak tanımlanmakta olup, son yıllarda, birçok ülke, veri ihlali durumunda çarpıcı cezalar uygulamaktadır. Bu cezaların uygulanması ile kişisel verilerin ihlalinin önüne geçilmesi hedeflenmektedir.
Kişisel Veri İhlalleri Türk Hukukuna Göre Hangi Yüksek Cezalara Neden Oldu?
Kişisel veri ihlalinin gündeme gelmesi sırasında uygulanabilecek cezalar, genellikle milyonlarca veya hatta milyarlarca avro seviyesinde para cezalarını içerebilir. Bu cezalar, veri ihlallerinin boyutuna, ihlalin niteliğine ve ihlalin etkilerine bağlı olarak belirlenmektedir. Özellikle tüm dünya çapında bilinen büyük şirketler dahi bu para cezalarına konu olabilmekte ve veri ihlallerine karışan şirketler veya kuruluşlar için bu tür cezalar, öncelikle itibarlarını ciddi şekilde zedeleyebilecektir. Türkiye’de, son yıllarda Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin korunması kapsamında uygulanan yüksek tutarlı cezalar ve bu cezalara neden olan fiiller şu şekildedir :
Kişisel Verileri Koruma Kurulu, WhatsApp ve Meta’ya 2 milyon 665’er bin lira ceza verdi.
Kanun’un 16/2. maddesi, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolması zorunluluğunu hüküm altına almıştır. Kişisel Verileri Koruma Kurulu, başlattığı inceleme kapsamında Whatsapp ve Meta’nın Veri Sorumluları Sicili’ne kayıt yükümlülüğünün yerine getirilmediğini tespit etmiş olup, 2 milyon 665’er lira para cezasına hükmetmiştir.
Kişisel Verileri Koruma Kurulu, TikTok’a 1 milyon 750 bin lira para cezası verdi.
İnternet ve sosyal medya platformlarında TikTok uygulaması ile ilgili olarak açık rızanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğuna yönelik yer alan muhtelif haber ve şikayetlerden hareketle Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmasına karar verilmiştir. Yapılan inceleme sonucunda çocukların kişisel verilerinin görüntülendiği, internet sitesinde yer alan Gizlilik Sözleşmesi’nde kişisel verilerin hangi amaçla işlendiğinin belirtilmediği, Hizmet Koşulları bölümünde ise ilgili kişinin onayına sunulmadığı ve metnin Türkçe’ye tercüme edilmediği, hesap oluşturulması sırasında açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, çerezlerin işlenmesi sırasında açık rıza alınmadığı hususları tespit edilmiş olup, bunun sonucunda Tiktok’a 1 milyon 750 bin lira para cezasına hükmedilmiştir.
Kişisel Verileri Koruma Kurulu tarafından ismi açıklanmayan bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması üzerine Kişisel Verileri Koruma Kurulu, 950 bin lira para cezası verdi.
İlgili, üye olduğu internet sitesinde çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının bulunmadığı ve veri sorumlusuna başvuruda bulunmasına rağmen veri sorumlusundan bir cevap alamadığı gerekçesi ile Kişisel Verileri Koruma Kurulu’na başvurmuştur. Kurul tarafından yapılan inceleme sonucunda, veri sorumlusu tarafından kişisel verilerin yurtdışına aktarıldığı, aktarım faaliyeti bakımından açık rıza alınmadığı tespit etmiş olup 950 bin lira para cezasına hükmetmiştir.
Kişisel Verileri Koruma Kurulu’nun kendi verilerine göre, ismi açıklanmayan bir veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi üzerine Kişisel Verileri Koruma Kurulu, 300 bin lira para cezası verdi.
Veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satın alma başvurusu yapıldığı esnada ilgili kişilerden e-Devlet şifrelerinin istenildiği, e-Devlet şifreleri girilmedikçe sipariş onayının gerçekleşmediği sebebi ile Kişisel Verileri Koruma Kurulu’na ihbar dilekçesinde bulunulmuştur. Yapılan inceleme sonucunda, söz konusu e-Devlet şifresinin bir anlam ifade edebilmesi için müşteriler tarafından öncelikle T.C. kimlik numarasının veri sorumlusuna sağlanmış olması gerektiği ve üyelik oluşturulması için T.C. kimlik numarası temin edildiği de ayrıca tespit edilmiştir. İlgili kişilerden e-Devlet şifresi ve T.C. Kimlik numarasının paylaşılması internet sayfasında üyelik oluşturulması için zorunlu kılınmıştır. Bu şekilde gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’da yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği tespit edilmiş olup, 300 bin TL para cezasına hükmedilmiştir.
Yukarıda yer alan örneklerin yanı sıra, “ilgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi, ilgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi, ilgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi, ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi” gibi günlük hayatta sıklıkla karşılaşılabilecek fiiller kişisel verilerin ihlalini oluşturabilmekte ve Kurul’un yüklü para cezalarına konu olabilmektedir.
Kişisel Verileri Koruma Kurulu tarafından çeşitli sebeplerle verilen ihlal kararlarının özetlerine aşağıdaki linkten ulaşabilirsiniz :
https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri
Deniz Öner
