Anasayfa & Kişisel veri ihlali halinde cezalar

Kişisel veri ihlali halinde cezalar

KİŞİSEL VERİ İHLALİ HALİNDE CEZALAR

Giriş

Günümüzde kişisel verilerin korunması, bireyin özel hayatının gizliliği hakkının ayrılmaz bir parçası haline gelmiştir. Teknolojik gelişmeler, kişisel verilerin daha hızlı, yaygın ve kontrolsüz bir şekilde işlenmesine zemin hazırlamış; bu durum veri ihlallerinin daha sık ve ciddi sonuçlar doğurmasına neden olmuştur. Bu sebeple, kişisel verilerin korunması hem ulusal hem de uluslararası düzeyde hukuki düzenlemelerle güvence altına alınmıştır.

Ülkemizde kişisel verilerin korunmasına ilişkin ilk kapsamlı düzenleme, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile gerçekleştirilmiştir. Bu Kanun ile kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerinin korunması ve bu verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi hedeflenmiştir.

Kişisel Veri Nedir?

Kanun’un 3. maddesinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Buna göre bir kişinin adı, soyadı, doğum tarihi, telefon numarası, IP adresi, plakası, ses kaydı, parmak izi ve benzeri veriler kişisel veri kapsamında değerlendirilmektedir. Kişisel veriler ikiye ayrılmaktadır:

Genel nitelikli kişisel veriler, örneğin bir kişinin adı, soyadı, T.C. kimlik numarası, adresi, e-posta bilgileri gibi bilgileridir.
Özel nitelikli kişisel veriler ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini inancı, kılık kıyafeti, sağlık bilgileri, biyometrik verileri, ceza mahkûmiyetleri ve sendika üyelikleri gibi daha hassas bilgileri kapsamaktadır. Bu tür veriler, kişilerin temel hak ve özgürlükleri açısından daha yüksek risk barındırdığı için daha sıkı koruma altındadır.

Kişisel Veri İhlali Nedir?

Kanun’da açıkça tanımlanmış bir “veri ihlali” tanımı yer almamakla birlikte, Kişisel Verileri Koruma Kurulu (‘‘Kurul’’) kararları ve uygulamaları doğrultusunda veri ihlali; kişisel verilerin yetkisiz kişilerce ele geçirilmesi, değiştirilmesi, silinmemesi, ifşa edilmesi veya yetkisiz şekilde erişime açılması olarak tanımlanabilir. Veri ihlalleri genellikle şu şekillerde gerçekleşmektedir:

Sistemlerin siber saldırıya uğraması,
Verilerin yetkisiz kişilerle paylaşılması,
İmha edilmesi gereken verilerin silinmemesi,
Verilerin açık rıza olmaksızın veya hukuka aykırı şekilde işlenmesi.

Bu gibi durumlarda hem Kurul’un müdahalesi hem de adli mercilerin cezai yaptırımları gündeme gelebilmektedir.

Veri Sorumlularının Yükümlülükleri

Kanun, kişisel verileri işleyen gerçek ve tüzel kişilere bazı yükümlülükler getirmiştir. Bu yükümlülükler arasında:

Aydınlatma yükümlülüğü (m.10): Veri sorumluları, veri sahiplerine verilerin hangi amaçla işlendiğini, kimlerle paylaşıldığını, hangi hukuki sebebe dayandığını ve kişilerin haklarını bildirmek zorundadır.
Veri güvenliğini sağlama yükümlülüğü (m.12): Kişisel verilerin hukuka aykırı erişimini, işlenmesini ve kaybını önlemek amacıyla teknik ve idari tedbirler alınmalıdır.
Sicile kayıt yükümlülüğü (m.16): Belirli kriterleri sağlayan veri sorumluları, VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kaydolmak zorundadır.
İhlal bildirimi yükümlülüğü (m.12/5): Veri ihlali yaşanması durumunda en geç 72 saat içinde Kurula bildirim yapılması gerekir.

Veri sorumlularının bu yükümlülükleri ihlal etmeleri hâlinde, idari para cezaları gündeme gelebileceği gibi, bazı ihlaller için ceza hukuku kapsamında sorumluluk da doğabilir.

Kişisel Veri İhlali Halinde Uygulanacak İdari Para Cezaları (Kanun madde 18)

Kişisel verilerin hukuka aykırı şekilde işlenmesi hâlinde, Kanun’un 18. maddesi uyarınca veri sorumlularına idari para cezaları uygulanmaktadır. Kanun, bu cezaları çeşitli ihlal türlerine göre ayırarak sınıflandırmıştır:

İhlal Türü	KVKK Maddesi	2025 Para Cezası (Alt – Üst Sınır)
Aydınlatma yükümlülüğüne aykırılık	m.10	68.083 TL – 1.362.021 TL
Veri güvenliğini sağlamama	m.12	204.285 TL – 13.620.402 TL
Kurul kararlarına uymama	m.15	340.476 TL – 13.620.402 TL
VERBİS’e kaydolmama	m.16	272.380 TL – 13.620.402 TL

Bu cezalar, Kurul’un takdirine bağlı olarak, ihlalin niteliği, ağırlığı ve tekrar edip etmediği gibi unsurlar göz önüne alınarak belirlenmektedir.

Türk Ceza Kanunu Kapsamında Suçlar (TCK madde 135-140)

Kişisel verilerin hukuka aykırı şekilde işlenmesi sadece idari bir yaptırımla sınırlı olmayıp, Türk Ceza Kanunu’nda suç olarak da düzenlenmiştir. Bu kapsamda, kişisel verilerin izinsiz olarak ele geçirilmesi, kaydedilmesi, açıklanması veya silinmemesi gibi fiiller suç teşkil edebilmektedir.

TCK m.135 – Kişisel verilerin kaydedilmesi

Kişilerin siyasi, felsefi veya dini görüşlerine, ırkî kökenlerine, sağlık durumlarına, cinsel hayatlarına, sendika üyeliklerine ilişkin verilerinin hukuka aykırı şekilde kaydedilmesi suçtur. Bu suçu işleyen kişi hakkında 1 yıldan 3 yıla kadar hapis cezası öngörülmüştür.

TCK m.136 – Verileri hukuka aykırı olarak verme veya ele geçirme

Kişisel verilerin, hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesi hâlinde 2 yıldan 4 yıla kadar hapis cezası uygulanabilir. Bu suçun kamu görevlisi tarafından veya belli bir meslek nedeniyle sağlanan kolaylıktan faydalanmak suretiyle işlenmesi hâlinde ceza artırılır.

TCK m.138 – Verileri yok etmeme

Yasa veya ilgili mevzuat hükümleri gereğince belirli sürelerin sonunda yok edilmesi gereken verileri silmeyen kişiler hakkında 1 yıldan 2 yıla kadar hapis cezası öngörülmektedir.

TCK m.139 – Nitelikli hâller

Yukarıda belirtilen suçların bir örgütün faaliyeti çerçevesinde işlenmesi hâlinde verilecek cezalar yarı oranında artırılır.

TCK m.140 – Tüzel kişiler hakkında güvenlik tedbirleri

Suçun bir tüzel kişi bünyesinde işlenmesi hâlinde, tüzel kişilere özgü faaliyet izninin iptali veya ilgili iş yerinin kapatılması gibi güvenlik tedbirleri uygulanabilir.

Kişisel Veri İhlali Halinde Başvuru Yolları

Verisi ihlal edilen kişiler şu yollarla hak arayabilir:

Veri sorumlusuna başvuru (Kanun madde 13): 30 gün içinde cevap verilmelidir.
Kişisel Verileri Koruma Kurulu’na şikayet (m.14): Veri sorumlusundan cevap alınamaması hâlinde 60 gün içinde şikâyet hakkı doğar.
Tazminat davası (Türk Borçlar Kanunu m.49): Manevî veya maddî zarar doğması durumunda genel hükümlere göre tazminat davası açılabilir.
Ceza soruşturması: Savcılıklara suç duyurusunda bulunulabilir.

Sonuç ve Değerlendirme

Kişisel verilerin korunması, günümüzde sadece bireylerin özel yaşamının gizliliğini değil; aynı zamanda kamu düzenini, ekonomik düzeni ve toplumsal güveni de yakından ilgilendiren bir alandır. Gerek idari yaptırımlar gerekse cezai müeyyideler ile bu alanın ciddiyeti her geçen gün artmaktadır. Bu nedenle hem bireylerin kişisel verilerinin korunması konusunda bilinçlenmesi hem de veri sorumlularının hukuka uygun hareket etmesi, şeffaflık ve güven açısından zorunluluk hâline gelmiştir. Aksi takdirde, yüksek miktarlarda idari cezalarla ve hapis yaptırımlarıyla karşı karşıya kalınması kaçınılmazdır.

Saygılarımızla,

Atabay Hukuk Bürosu

Son Yazı & Gelişmelerimiz

25 Ara. 2025

Arsa Payı Karşılığı İnşaat Sözleşmelerinde Nama İfaya İzin Davası

ARSA PAYI KARŞILIĞI İNŞAAT SÖZLEŞMELERİNDE NAMA İFAYA İZİN DAVASI Giriş Arsa payı karşılığı inşaat sözleşmelerinde arsa sahipleri, sahip oldukları arsa paylarının belirli bir kısmını yükleniciye...

25 Ara. 2025

Muris Muvazaası Nedeniyle Tapu İptal ve Tescil Davası

MURİS MUVAZAASI NEDENİYLE TAPU İPTAL VE TESCİL DAVASI Giriş Miras hukukunda sıkça karşılaşılan uyuşmazlıklardan biri, miras bırakanın vefatından sonra ortaya çıkan, halk arasında "mirastan mal...

25 Ara. 2025

Haksız Rekabet Halleri İle İşletmelerin Korunmasına Yönelik Haklar

HAKSIZ REKABET HALLERİ İLE İŞLETMELERİN KORUNMASINA YÖNELİK HAKLAR Giriş Modern ticari yapının sağlıklı biçimde işleyebilmesi serbest ve adil bir rekabet ortamının varlığına bağlıdır. Günümüz piyasa...

Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, işbu Aydınlatma Metni ilgili kişilerin Atabay Hukuk tarafından veri sorumlusu sıfatıyla işlenen kişisel verileri hakkında aydınlatılması amacıyla hazırlanmıştır. Atabay Hukuk kişisel verilerinize saygı duymaktadır ve kişisel verilerinizin güvenliğini sağlamak için mevcut mevzuat ve evrensel değerler çerçevesinde gereken tüm hassasiyeti azami ölçüde göstermektedir.

İşlenen Kişisel Verileriniz ve İşlenme Amaçları

Atabay Hukuk, kişisel verilerinizi, belirttiğiniz görüş ve talepler doğrultusunda sizinle iletişim kurulması, taleplerinizin yerine getirilmesi, sözleşme kurulması veya ifası, ispat yükümlülüğünün yerine getirilmesi veya hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla güncel mevzuat çerçevesinde kanuni sınırlar ölçüsünde işlemektedir. Kişisel verileriniz anonimleştirilmek kaydı ile iç raporlama ve istatistik çalışmalar kapsamında işlenebilmektedir.

Kişisel Verilerinizin Toplanma Yöntemi ve İşlenmesinin Hukuki Sebebi

Kişisel Verilerinizin Aktarılması

Atabay Hukuk tarafından, ad soyadınız ve e-posta adresinizden oluşan kişisel veriniz ve bulunması halinde, “Konu” ve “Mesaj” kısımlarında belirttiğiniz diğer kişisel verileriniz, Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları kapsamında, işleme amaçlarının gerçekleştirilebilmesi için gerekli teknik hizmetlerin sağlanması amacıyla hizmet aldığımız üçüncü taraf şirkete aktarılabilecektir. Bunun yanında, kanunlar uyarınca bir kamu idaresinin, kişi, kurum ya da kuruluşun kişisel verilerinizi talep etmeye yetkili olması halinde kişisel verileriniz, kişisel verilerin korunması mevzuatına uygun olarak yetkili kişi, kurum veya kuruluşa aktarılabilecektir. Yargı mercilerinden gelen talepler de yine mevzuata uygun olarak karşılanacaktır.

Kişisel Verilerinizin Korunmasına İlişkin Haklarınız

İlgili kişi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
İlgili mevzuat uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme

Yukarıda sıralanan haklarınıza ilişkin taleplerinizi [email protected] veya [email protected] aracılığı ile iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

İş Başvurusu

Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni

İşlenen Kişisel Verileriniz ve İşlenme Amaçları

Atabay Hukuk, www.atabayhukuk.com.tr internet sitesinde yer alan iş başvuru formunu doldurmanız halinde, iş başvurunuz kapsamında, ad-soyadınız, e-posta adresiniz, telefon numaranız ve özgeçmişinizden oluşan kimlik, iletişim ve özlük kategorilerine ait kişisel verilerinizi işlemektedir. Tarafımıza ilettiğiniz özgeçmişinizde Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veriler olarak adlandırılan, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verilerinizin ve biyometrik ve genetik verilerinizin paylaşılmamasını rica ederiz. Özgeçmişinizde özel nitelikli kişisel verilerinize yer vermeniz halinde işbu verilerinizin işlenmesi için açık rıza gösterdiğiniz kabul edilecektir. Atabay Hukuk özgeçmişinizde yer alması halinde özel nitelikli kişisel verilerinizi işlemeyecektir ve bu verileri imha edecektir. Atabay Hukuk, belirtilen kişisel verilerinizi, iş başvurunuzun değerlendirilmesi ve işe alınacak çalışan adayının belirlenmesi amacıyla sınırlı olarak işlemektedir.

Kişisel Verilerinizin Toplanma Yöntemi ve İşlenmesinin Hukuki Sebebi

Yukarıda belirtilen kişisel verileriniz www.atabayhukuk.com.tr internet sitesi aracılığıyla tarafınızdan sağlanmaktadır. Atabay Hukuk, belirtilen kişisel verilerinizi, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartları kapsamında, iş sözleşmesinin kurulması, iş başvuru sürecinin yürütülmesi ve temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Atabay Hukuk’un meşru menfaatleri için işlemenin zorunlu olması hukuki sebebine dayanılarak işlenmektedir.

Kişisel Verilerinizin Aktarılması

Atabay Hukuk tarafından, ad-soyadınız, e-posta adresiniz, telefon numaranız ve özgeçmişinizden oluşan kişisel veriniz, Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları kapsamında, işleme amaçlarının gerçekleştirilebilmesi için gerekli hizmetlerin sağlanması amacıyla hizmet aldığımız üçüncü taraf şirkete aktarılabilecektir.

Bunun yanında, kanunlar uyarınca bir kamu idaresinin, kişi, kurum ya da kuruluşun kişisel verilerinizi talep etmeye yetkili olması halinde kişisel verileriniz, kişisel verilerin korunması mevzuatına uygun olarak yetkili kişi, kurum veya kuruluşa aktarılabilecektir. Yargı mercilerinden gelen talepler de yine mevzuata uygun olarak karşılanacaktır. Türk hukuku kapsamındaki söz konusu yükümlülükler doğduğunda, bahse konu veri işleme faaliyetinin yasal dayanağı, hukuki yükümlülüğe uyum veya sair surette, herhangi bir hakkın tesisi, kullanılması veya korunmasıdır.

Kişisel Verilerinizin Korunmasına İlişkin Haklarınız

İlgili kişi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
İlgili mevzuat uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme