Kişisel Veri İhlali Halinde Cezalar Nelerdir? (KVKK Cezalar)

Kişisel Veri İhlali Halinde Cezalar Nelerdir? (KVKK Cezalar)

 Kişisel veriler işlenirken kişi hak ve hürriyetlerinin korunmasıyla ilgili ihlalleri önleme amaçlı 6698 Sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bu Kanun ile hem verisi işlenen kişi ve kurumun hem de veri işleyenin haklarının korunması amaçlanmıştır.

Kişisel verilerin amaçları dışında, gelişigüzel toplanmasının önüne geçebilmek için KVKK’nın 17. ve 18. maddelerine göre bu suçu işleyenlerin idari ve cezai sorumlulukları olacağı hükmü yer almaktadır. Bu yaptırımlarla veri sorumlularının sorumlulukları artırılırken; kişisel verilerin korunmasının önemi bir kez daha vurgulanmıştır.

KVKK’nın 17. maddesinde kişisel verilere ilişkin suçlar bakımından TCK’nın 5237 Sayılı 135 ila 140. maddelerinin uygulanacağı hükmü yer almıştır. Bu cezalar 2021 Yılında güncellenmiştir.

Bu suçlar ve cezaları;

• Verileri hukuka aykırı olarak kaydetmek- Bir yıldan üç yıla kadar hapis cezası.
• Siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek -Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır.
• Verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek -İki yıldan dört yıla kadar hapis cezası.
• Suçlar kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenirse  -Yukarıda verilecek cezalar yarı oranında artırılır.
• Belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi-  Bir yıldan iki yıla kadar hapis cezası.
• Konusunun ceza muhakemesi kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması -Verilecek ceza bir kat artırılır.

KVKK’ nın 18. maddesinde yükümlülüklerine uymayarak veri ihlali yapan veri sorumlularına verilecek idari para cezaları düzenlenmiştir. Bu cezalar gerçek veya özel hukuk tüzel kişilerine uygulanmaktadır. İdari para cezaları her yıl yeniden değerleme oranına göre artırılmaktadır. 2021 yılı güncellenmiş idari para cezaları şu şekildedir.

• KVKK’ nın 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.012-180.263 Türk Lirasına kadar.
• KVKK’ nın 12. maddesinde düzenlenen veri güvenliğine karşı yükümlülüklerini yerine getirmeyenler hakkında 27.037-1.802,640 Türk Lirasına kadar.
• KVKK’ nın 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.062- 1.802,640 Türk lirasına kadar.
• KVKK1' nın 16. maddesinde düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket  edenler hakkında 36.050-1.802,640 Türk Lirasına kadar idari para cezası verilir.

Kişisel Verileri Koruma Kurulu’nun bazı ihlaller karşısında verdiği kararlar:

1.Sigorta şirketinin çağrı merkezi çalışanının kurumsal e-posta adresinden şahsi e-posta adresine şirket sisteminde tutulmakta olan isim soy-isim, iletişim ve plaka bilgilerinin yer aldığı listeyi gönderdiği ve bu ihlalden 91 kişinin etkilendiği tespit edilmiştir. Kurul yapmış olduğu incelemede; Şirketin var olan veri sızıntı önleme uygulamasının yetersiz olduğunu, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının takip edilmesi noktasında alınan teknik tedbirler açısından yetersiz kalındığı, çalışanların tamamının kişisel veri koruma eğitimi almadığı ve ihlali gerçekleştiren çalışanın da eğitimi almamış olduğu dikkate alınarak; Şirketin yeterli düzeyde idari ve teknik tedbir almadığından bahisle 90.000 TL idari para cezası uygulanmasına karar vermiştir.

2..Kişisel Veri Koruma Kurul’u 27.08.2019 tarihinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan X turizm şirketi hakkında 400.000 TL ve bu ihlale ilişkin “en kısa sürede” Kurum’a bildirme yükümlülüğünü ihlal etmesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar vermiştir.

3. Kişisel Veri Koruma Kurul’u 01.07.2019 tarihinde, Mimar Sinan Güzel Sanatlar Üniversitesi’nin veri sahibinin başvurusuna, Kanun’da belirtilen sürede yanıtlanmaması suretiyle, kamu kuruluşu olarak değerlendirilen Mimar Sinan Güzel Sanatlar Üniversitesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sınav sonuç duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde üniversitenin bilgilendirilmesine karar vermiştir.

4.Kişisel Veri Koruma Kurul’u 16.05.2019 tarihinde Clickbus Seyahat Hizmetleri Anonim Şirketi’nin gerekli denetim ve kontrolleri yapılmadığı ve verilerin 3. Kişiler tarafından ihlal edildiğinin tespit edilmiş olmasına rağmen ihlalin 4 (dört) gün daha devam etmiş olması idari tedbirlerini yeterli derecede almamış olduğunu göstermiş olması sebebiyle şirket hakkında toplam 550.000 TL idari para cezasına karar vermiştir.

KVKK md.18 İdari Para Cezaları Yıllara Göre Dağılımı

KVKK idari para cezalarında yıllara göre ciddi oranda artış görünmektedir. Bunun bir sebebi yıllar geçtikçe gelişen teknolojiyle birlikte kişisel verilere olan ihtiyaçlardaki artıştır. Bu artış veri ihlallerini de beraberinde getirmiştir. Diğer bir sebebi ise her yıl yeniden değerleme oranına göre artırılan idari para cezaları tutarlarıdır. Artan ihlal sayılarıyla birlikte para cezaları miktarları grafikte görünen uçurumu açıklamaktadır.