| Özdemir Avukatlık & Arabuluculuk | 0 Yorum | Bilişim Hukuku, Hukuki Danışmanlık, Makaleler | , , , , , ,

Kişisel Verilerin Korunması Kanunu Kapsamında Haklar, Şikâyet Süreci ve Tazminat

KVKK İhlalleri: Kişisel Verilerin Korunması Kanunu Kapsamında Haklar, Şikâyet Süreci ve Tazminat

Teknolojinin hayatın her alanına nüfuz etmesiyle birlikte kişisel verilerin hukuka aykırı şekilde işlenmesi, paylaşılması veya korunamaması, hem bireyler hem de şirketler için ciddi hukuki sonuçlar doğuran bir uyuşmazlık alanı haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu alandaki temel düzenlemeyi oluşturmaktadır. Bu makalede  sıkça karşılaşılan KVKK ihlalleri, ilgili kişinin sahip olduğu haklar, Kurul’a şikâyet süreci ve tazminat talebi ele alınmaktadır.

KVKK Kapsamında Kişisel Veri ve Veri İhlali Nedir?

KVKK m. 3’e göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir; ad-soyad, T.C. kimlik numarası, adres, telefon numarası, IP adresi, görüntü ve ses kayıtları bu kapsama girer. Sağlık verileri, biyometrik veriler, dernek/sendika üyeliği gibi bilgiler ise özel nitelikli kişisel veri sayılır ve daha sıkı koşullarda işlenebilir (KVKK m. 6).

Uygulamada en sık karşılaşılan KVKK ihlalleri şunlardır:

  • Açık rıza alınmaksızın kişisel verilerin işlenmesi veya üçüncü kişilerle paylaşılması.
  • Veri sorumlusunun gerekli teknik ve idari tedbirleri almaması sonucu veri sızıntısı (veri ihlali) yaşanması.
  • Kişisel verilerin amacı dışında veya işleme şartları ortadan kalktıktan sonra saklanmaya devam edilmesi.
  • İlgili kişinin aydınlatma yükümlülüğü yerine getirilmeden verilerinin işlenmesi.
  • Pazarlama, reklam veya bilgilendirme amaçlı iletişimlerde (e-posta, SMS, arama) onay alınmaksızın kişisel verilerin kullanılması.

İlgili Kişinin KVKK Kapsamındaki Hakları

KVKK m. 11, veri sahibine (ilgili kişiye) veri sorumlusuna başvurarak kullanabileceği geniş bir hak kataloğu tanımaktadır. Bu haklar arasında; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, işlenmesini gerektiren sebepler ortadan kalktığında silinmesini veya yok edilmesini isteme, otomatik sistemlerle analiz edilmesi sonucu aleyhine bir sonuç ortaya çıkmasına itiraz etme ve kanuna aykırı işleme nedeniyle uğradığı zararın giderilmesini talep etme yer almaktadır.

Veri Sorumlusuna Başvuru: Şikâyetin Zorunlu Ön Şartı

KVKK m. 13 uyarınca, ilgili kişinin doğrudan Kişisel Verileri Koruma Kurulu’na (Kurul) şikâyette bulunabilmesi için, öncelikle talebini veri sorumlusuna yazılı olarak veya Kurul’un belirlediği diğer yöntemlerle iletmesi zorunludur. Veri sorumlusu, başvuruyu en geç otuz gün içinde ücretsiz olarak sonuçlandırmak zorundadır; işlemin ayrıca bir maliyet gerektirmesi halinde Kurulca belirlenen tarifedeki ücret talep edilebilir.

Kurul’a Şikâyet Süreci

Veri sorumlusunun cevap vermemesi, talebi reddetmesi veya verdiği cevabın yetersiz bulunması hallerinde, ilgili kişi Kurul’a şikâyette bulunabilir. Şikâyet hakkının kullanılabilmesi için belirli süreler öngörülmüştür:

  • Veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün,
  • Her hâlükârda başvuru tarihinden itibaren altmış gün içinde şikâyet yoluna başvurulması gerekir.

Kurul, şikâyet üzerine yaptığı inceleme sonucunda kişisel verilerin hukuka aykırı olarak işlendiği kanaatine varırsa, hukuka aykırılığın giderilmesine karar verebilir; gerekli görmesi halinde ihlalin niteliğine göre veri sorumlusu hakkında idari para cezası uygulayabilir. KVKK kapsamındaki idari para cezaları (aydınlatma yükümlülüğüne, veri güvenliğine ilişkin yükümlülüklere aykırılık gibi) her yıl yeniden değerleme oranında güncellenmekte olup, ihlalin ağırlığına göre yüksek meblağlara ulaşabilmektedir.

Tazminat Davası: Maddi ve Manevi Zararın Tazmini

KVKK’ya aykırı veri işleme nedeniyle ilgili kişinin maddi veya manevi bir zarara uğraması halinde, Kurul’a şikâyetten bağımsız olarak veya şikâyet süreciyle birlikte genel hükümlere göre tazminat davası açılabilir. Bu davalarda Türk Borçlar Kanunu’nun haksız fiil sorumluluğuna ilişkin hükümleri (TBK m. 49 vd.) ile kişilik haklarının korunmasına ilişkin Türk Medeni Kanunu hükümleri (TMK m. 24-25) birlikte uygulama alanı bulur. Manevi tazminat talebinde, kişisel verinin niteliği (örneğin özel nitelikli veri olup olmadığı), ihlalin yayılma kapsamı ve mağdurun bu ihlal nedeniyle yaşadığı kişilik hakkı zedelenmesi belirleyici unsurlardır.

Veri ihlalinin aynı zamanda Türk Ceza Kanunu kapsamında suç teşkil ettiği hallerde (kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, başkasına verilmesi, yayılması veya ele geçirilmesi TCK m. 135-138), ilgili kişi ayrıca ceza şikâyetinde de bulunabilir; bu durumda hukuk ve ceza süreçleri paralel olarak yürütülebilir.

Şirketler Açısından KVKK Uyumu ve Veri İhlali Bildirimi

Veri sorumlusu sıfatını taşıyan şirketler için KVKK uyumu yalnızca bireysel şikâyetlere karşı savunma değil, aynı zamanda önleyici bir yükümlülüktür. Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmesi gerekir; Kurul, gecikmeksizin ve mümkün olan en kısa süre olarak 72 saat içinde bildirim yapılmasını esas almaktadır. Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğünün yerine getirilmemesi de ayrı bir idari yaptırım sebebidir. Şirketlerin VERBİS kaydı, aydınlatma metinleri, açık rıza formları ve veri saklama-imha politikalarının hukuka uygun şekilde hazırlanması, hem idari para cezası riskini azaltır hem de olası tazminat davalarında şirketin iyi niyetinin ve gerekli özeni gösterdiğinin ispatına hizmet eder.

Sonuç

KVKK ihlalleri, gerek bireyler gerek şirketler açısından kısa başvuru sürelerine tabi, teknik bilgi ve usul bilgisi gerektiren bir alandır. İlgili kişinin haklarını süresinde ve doğru mercide kullanması, idari şikâyet ile tazminat davası arasındaki stratejik tercihin doğru yapılması, sürecin sonucunu doğrudan etkiler. KVKK ve bilişim hukuku alanında destek almak isteyen bireyler ve şirketler, somut olaylarına özgü değerlendirme için Özdemir Avukatlık & Arabuluculuk ile iletişime geçebilir.

Özdemir Avukatlık & Arabuluculuk Bürosu

——————————–

*İşbu çalışma içerisinde yer alan değerlendirmeler hukuki tavsiye niteliği taşımamaktadır. Ayrıca zaman içesinde mevzuatta olabilecek değişiklikler nedeniyle güncel durumu yansıtmayabilecektir.  Bu sebeple paylaşılan değerlendirmelerden ötürü Özdemir Avukatlık Bürosu sorumluluk kabul etmez. Paylaşıma konu çalışma kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye olunur.