Karar Tarihi: 18.10.2019
Karar No: 2019/308
Kişisel Verileri Koruma Kurulu; hukuk, finans, danışmanlık, sigorta vb. alanlarda faaliyet gösteren kimi kişi ve kuruluşların, vatandaşlara ait kimlik ve iletişim bilgilerine hukuka aykırı olarak erişilmesini sağlayan birtakım yazılım/program/uygulama kullanmasının Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 12. maddesine aykırılık teşkil ettiği gerekçesiyle sorumlulara “Bu Kanun’un … 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar … idari para cezası verilir …” hükmünü kapsayan 18. maddesine göre idari para cezası verilmesine ilişkin ilke kararı aldı.
Bilindiği gibi, KVKK’nın 12. maddesi veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini; “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmüyle düzenlemiştir.
Ayrıca kararda, sorumluların Cumhuriyet Başsavcılıklarına bildirileceği de belirtilmiştir. Bunun gerekçesi olarak, KVKK’nın ihlali anlamına gelecek bir takım fiillerin, aynı zamanda Türk Ceza Kanunu (“TCK”) kapsamında suç olarak da düzenlenmiş olması gösterilebilir.
TCK’nın 135. maddesinde; “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”
136. maddesinde; “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır…”
137. maddesinde; “Yukarıdaki maddelerde tanımlanan suçların; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenmesi halinde, verilecek ceza yarı oranında artırılır.”
hükümleriyle, kişisel verileri hukuka aykırı olarak kaydetmek, başkasına vermek, yaymak, ele geçirmek fiilleri cezai yaptırımlara bağlanmıştır.
İlke kararının tam metnine ulaşmak için; (Lütfen bkz…)
Hukuk Desteği
iletisim: [email protected]
