Önceki yazılarımızda kişisel veri kavramını açıklamış, kişisel verileri işlenen kişilerin haklarını kullanabilmeleri için izleyecekleri başvuru yolu ve itiraz sürecini açıklamıştık. (Bakınız ilgili yazılarımız…) Bugünkü yazımızda ise Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) belirlenen yükümlülüklere aykırı davranan kişi ve kurumlar hakkında uygulanacak yaptırımları inceleyeceğiz.
Kişisel veri kavramını hatırlamak gerekirse; kişisel veri Kanun’da “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”olarak ifade edilmektedir. Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümleri uygulanmaktadır. Bu kapsamda, kişisel verilerin hukuka aykırı olarak kaydedilmesi, kişisel verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suç olarak tanımlanmıştır.
Bu Kanun’un 7’nci maddesinde, kişisel verilerin işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği belirtilmiştir. Bu hükme aykırı olarak; kişisel verileri silmeyen ve anonim hale getirmeyenler de TCK madde 138’de düzenlenmiş olan “verileri yok etmeme” suçundan cezalandırılacaktır.
Kanun’un 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. Buna göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür. Bu yükümlülüğe aykırı davranan veri sorumlusuna 5.000 Türk lirasından 100.000 Türk lirasına kadar para cezası verilecektir.
Veri sorumlusunun aynı zamanda veri güvenliğine ilişkin yükümlülükleri bulunmakta olup bu yükümlülükleri Kanun’un 12. maddesinde ayrıntılı olarak düzenlenmiştir. Bu maddede öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilecektir.
Kanun’un 15. maddesinde şikâyet üzerine veya re’sen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”), tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edeceği ve bu kararın, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirileceği düzenlenmiştir. Bu yükümlülüğe aykırı davranarak Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilecektir.
Kanun’un 16. maddesinde kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda oldukları ve belirli değişiklikler halinde bildirim yükümlülükleri bulunduğu belirtilmiştir. Bu yükümlülüğe aykırı hareket edenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilecektir.
Kanun’un 32. maddesinde belirtildiği üzere, kişisel verilerin korunmasının ihlal edilmesi halinde uygulanacak yaptırımları düzenleyen Kanun’un 17 ve 18. maddeleri henüz yürürlük kazanmamıştır. Bu madde Kanun’un yayımlanması tarihinden itibaren altı ay sonra 7/10/2016 tarihinde yürürlüğe girecektir.
Hukuk Desteği