KVKK İhlal Cezası
Kişisel verilerin korunması, hem bireyler hem de kurumlar için kritik bir sorumluluk haline gelmiştir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri işleyen tüm kişi ve kurumlar belirli yükümlülüklere tabi tutulmuştur. KVKK ihlal cezası, kanuna aykırı veri işleme veya veri güvenliği önlemlerini ihmal etme durumunda uygulanan hem idari hem de cezai yaptırımları kapsar. Bu yaptırımlar, kişisel verilerin güvenliğini sağlamak ve veri sahiplerinin haklarını korumak amacıyla düzenlenmiştir.
Kişisel Veri İhlali Halinde Cezalar Nelerdir?
KVKK kapsamında kişisel veri ihlali, verilerin hukuka aykırı bir şekilde kaydedilmesi, paylaşılması veya ele geçirilmesi durumlarında ortaya çıkar. Kanun, hem idari hem de cezai yaptırımlarla veri sorumlularını denetim altında tutar.
İdari Cezalar
KVKK’nın 18. maddesine göre, veri sorumlularının yükümlülüklerini yerine getirmemesi halinde uygulanacak idari para cezaları aşağıdaki gibidir:
| İhlal Türü | Alt Sınır (TL) | Üst Sınır (TL) |
|---|---|---|
| Aydınlatma yükümlülüğünün yerine getirilmemesi | 85.437 | 1.709.200 |
| Veri güvenliği yükümlülüklerinin ihlali | 256.357 | 17.092.242 |
| Kurul kararlarına uyulmaması | 427.263 | 17.092.242 |
| VERBİS kayıt ve bildirim yükümlülüğünün ihlali | 341.809 | 17.092.242 |
| Standart sözleşme bildirim yükümlülüğünün ihlali | 90.308 | 1.806.177 |
Cezai Sorumluluk
KVKK’nın 17. maddesi, kişisel veri ihlallerinde Türk Ceza Kanunu’nun ilgili maddelerinin uygulanacağını belirtir. Bu maddelere göre:
- Verileri hukuka aykırı olarak kaydetmek: 1 – 3 yıl hapis cezası
- Hassas verileri hukuka aykırı kaydetmek (siyasi, dini, sağlık vb.): 1,5 kat artırılmış hapis cezası
- Verileri hukuka aykırı olarak başkasına vermek, yaymak veya ele geçirmek: 2 – 4 yıl hapis cezası
- Kamu görevlisi veya yetki suiistimali ile işlenirse: ceza yarı oranında artırılır
- Yok edilmesi gereken veriyi silmemek: 1 – 2 yıl hapis cezası, ceza şartlara göre artırılabilir
Kişisel Verileri Ele Geçirme veya Yayma Suçu
Kişisel verilerin yetkisiz ele geçirilmesi veya paylaşılması, KVKK kapsamında ciddi bir suçtur. Bu suç, bireylerin özel hayatına doğrudan müdahale anlamına gelir ve veri sahiplerinin güvenini zedeler.
Suçun Unsurları
- Verinin hukuka aykırı bir şekilde kaydedilmesi
- Verinin izinsiz üçüncü kişilerle paylaşılması veya yayılması
- Verinin güvenliğinin ihmal edilmesi
- Kamu görevlisinin görevinin verdiği yetkiyi kötüye kullanması
Uzman İpucu
Veri sorumluları, veri güvenliğini sağlamak için düzenli denetim ve teknik önlemler almalı; tüm çalışanlara KVKK eğitimi vermelidir. Veri ihlali riskini en aza indirmek için sızma testleri, erişim kontrolleri ve güvenli veri depolama sistemleri uygulanmalıdır.
KVKK İhlal Cezaları Tablosu
Aşağıdaki tablo, KVKK kapsamında kişisel veri ihlallerinde uygulanan başlıca idari ve cezai yaptırımları özetler. Bu tablo, okuyucunun hızlı bir şekilde karşılaştırma yapmasını sağlar.
| İhlal Türü | İdari Para Cezası (TL) | Cezai Yaptırım | Açıklama |
|---|---|---|---|
| Aydınlatma yükümlülüğüne uymama | 85.437 | 1.709.200 | Yok Kişiye veri işleme hakkında bilgi verilmemesi |
| Veri güvenliği yükümlülüğüne uymama | 256.357 | 17.092.242 | 1 – 4 yıl hapis Teknik ve idari tedbirlerin yetersizliği |
| Kurul kararlarını yerine getirmeme | 427.263 | 17.092.242 | Yok Kurul tarafından verilen kararların ihlali |
| Veri Sorumluları Siciline kayıt ve bildirim | 341.809 | 17.092.242 | Yok Kayıt ve bildirim yükümlülüğüne aykırılık |
| Hassas verilerin hukuka aykırı işlenmesi | Yok | 1 – 4 yıl hapis | Siyasi, dini, sağlık verileri gibi özel veriler |
| Verilerin ele geçirilmesi veya yayılması | Yok | 2 – 4 yıl hapis | Yetkisiz erişim veya paylaşım |
KVKK İhlal Cezalarına Örnek Olaylar
- Sigorta Şirketi İhlali: Çalışan, şirket sistemindeki müşteri bilgilerini şahsi e-posta ile gönderdi. 91 kişi etkilendi ve şirket 90.000 TL idari para cezasına çarptırıldı.
- Turizm Şirketi İhlali: Veri güvenliği önlemleri alınmadı ve Kurul’a bildirim yapılmadı. Toplam 500.000 TL idari para cezası uygulandı.
- Üniversite İhlali: Bir Üniversite Yönetimi, veri sahibinin başvurusuna sürede yanıt vermedi. Sınav sonuç sistemi yeniden tasarlandı ve kimlik doğrulama yöntemi benimsendi.
- Clickbus Örneği: 3. kişiler tarafından veri ihlali gerçekleşti; şirket 550.000 TL idari para cezası aldı.
KVKK Uygulamalarında Dikkat Edilmesi Gerekenler
- Tüm kişisel veriler belirli amaçlarla ve açık rıza ile işlenmelidir.
- Veri güvenliği teknik ve idari önlemlerle sağlanmalıdır.
- Çalışanlar KVKK eğitimi almalı ve düzenli denetim yapılmalıdır.
- Veri ihlalleri, mümkün olan en kısa sürede Kişisel Veri Koruma Kurulu’na bildirilmelidir.
Sık Yapılan Hatalar
- Verilerin amacına uygun olmayan şekilde kaydedilmesi
- Teknik güvenlik önlemlerinin eksik olması
- Çalışanlara eğitim verilmemesi
- Kurul kararlarının ve yükümlülüklerin ihmal edilmesi
KVKK İhlal Cezalarının Önlenmesi İçin Stratejiler
- Düzenli risk değerlendirmesi ve sızma testleri yapın.
- Veri işleme politikaları ve prosedürleri oluşturun.
- Çalışanların KVKK ve veri güvenliği konusunda eğitimli olmasını sağlayın.
- Veri güvenliği yazılımları ve şifreleme uygulamalarını kullanın.
Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin
Sık Sorulan Sorular
KVKK ihlali, kişisel verilerin hukuka aykırı işlenmesi, paylaşılması veya güvenliğinin sağlanmaması durumudur. Bu durum, hem idari hem de cezai yaptırımlara yol açar.
İhlalin türüne göre idari para cezaları 9.012 TL’den 1.802.640 TL’ye kadar çıkabilir. Cezai yaptırımlar ise 1 ila 4 yıl hapis cezasını kapsar.
Verilerin yetkisiz paylaşılması
Hassas verilerin izinsiz kaydedilmesi
Kurul kararlarının uygulanmaması
Veri güvenliği önlemlerinin eksik olması
Veri işleme politikalarına uyun
Çalışanlara düzenli eğitim verin
Teknik ve idari güvenlik önlemlerini uygulayın
İhlal durumunda Kurul’a zamanında bildirim yapın
