Kişisel Veri İhlallerinde Çok Boyutlu Hukuki Sorumluluk

Özet

Kişisel veri ihlalleri, dijital çağda bireylere maddi ve manevi zararlar veren en yaygın tehditlerden biri hâline gelmiştir. Bu makale, kişisel veri ihlallerinde gündeme gelen çok boyutlu hukuki sorumluluğu —idari, hukuki ve cezai— bütüncül bir perspektiften incelemektedir. KVKK’nın 12. maddesi kapsamındaki veri güvenliği yükümlülükleri ve 18. maddesi kapsamındaki idari para cezaları, TBK’nın haksız fiil hükümleri çerçevesinde tazminat talepleri ve TCK’nın 135-140. maddeleri kapsamındaki cezai sorumluluk ele alınmaktadır. KVK Kurul kararları ve Yargıtay’ın manevi tazminat içtihadı, somut ihlal senaryoları bağlamında analiz edilmektedir.

Anahtar Kelimeler: Veri ihlali, kişisel veri güvenliği, KVKK m. 12, idari para cezası, TBK m. 49, manevi tazminat, TCK m. 135, veri ihlali bildirimi, hukuki sorumluluk.

İçindekiler

1. Giriş

Kişisel veri ihlali (data breach), yetkisiz erişim, ifşa, değiştirme veya yok etme yoluyla kişisel verilerin güvenliğinin tehlikeye girmesi anlamına gelmektedir. Her yıl dünya genelinde binlerce büyük ölçekli veri ihlali yaşanmakta; bu ihlaller milyarlarca kişinin verilerini etkilemektedir. Türkiye’de de bankacılık, sağlık, e-ticaret ve kamu sektörü başta olmak üzere pek çok alanda ciddi veri ihlalleri gündeme gelmektedir. Bu ihlallerin hukuki sonuçları ise birden fazla hukuki mekanizma aracılığıyla tesis edilmektedir.

2. İdari Sorumluluk: KVKK Çerçevesi

2.1. Veri Güvenliği Yükümlülüğü (KVKK Madde 12)

KVKK’nın 12. maddesi, veri sorumlusuna uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri alma yükümlülüğü yüklemektedir. Bu tedbirler; kişisel verilerin hukuka aykırı olarak işlenmesini önleme, yetkisiz erişimi engelleme ve verilerin muhafazasını sağlama amacına yöneliktir. Madde 12/5, veri güvenliği ihlali hâlinde ilgili kişilerin ve KVK Kurulu’nun en kısa sürede bildirilmesi zorunluluğunu getirmektedir. 7499 sayılı reform bu bildirimin 72 saat içinde yapılması gerektiğini netleştirmiş; bu düzenleme GDPR’ın 33. maddesiyle paralel hâle gelmiştir.

2.2. İdari Para Cezaları (KVKK Madde 18)

KVKK’nın 18. maddesi, çeşitli yükümlülüklerin ihlali hâlinde uygulanacak idari para cezalarını düzenlemektedir. Veri güvenliği tedbirlerini almama ve KVK Kurulu kararlarına uymama hâllerinde en ağır cezalar uygulanmaktadır. 7499 sayılı reform bu ceza miktarlarını önemli ölçüde artırmıştır. KVK Kurulu, veri ihlallerine ilişkin çok sayıda ceza kararı vermiş; bu kararlar hem caydırıcılık hem de sektörel farkındalık açısından önemli bir işlev üstlenmiştir.

3. Hukuki Sorumluluk: TBK Çerçevesi

Türk Borçlar Kanunu’nun 49. maddesi kapsamında haksız fiil sorumluluğu, kişisel veri ihlalleri nedeniyle uğranılan zararların tazmin edilmesinde temel hukuki mekanizma olarak öne çıkmaktadır. Veri sorumlusunun hukuka aykırı eylemi, davacının uğradığı zarar ve nedensellik bağı birlikte kanıtlanmalıdır. Yargıtay, kişisel veri ihlalinden kaynaklanan manevi tazminat davalarında ihlalden doğan zararın soyut nitelikte dahi olsa tazmin edilebilir olduğunu kabul etmektedir. Üçüncü kişilerin erişimine açılan kişisel verilerin olumsuz algı yaratması ya da maddi zarar doğurma potansiyeli taşıması, manevi tazminat talepleri için yeterli zemin oluşturmaktadır.

4. Cezai Sorumluluk: TCK Çerçevesi

Türk Ceza Kanunu’nun 135-140. maddeleri, kişisel verilerin hukuka aykırı biçimde kaydedilmesi, ele geçirilmesi ve yayılmasını suç olarak tanımlamaktadır. TCK m. 135, hukuka aykırı kişisel veri kaydetmeyi; m. 136, kişisel verileri hukuka aykırı olarak başkasına vermeyi veya yaymayı; m. 138 ise kişisel verileri yok etmemeyi suç olarak düzenlemektedir. Nitelikli hâller için daha ağır cezalar öngörülmekte; kamu görevlisi sıfatıyla işlenen suçlarda ceza artırım nedenleri devreye girmektedir.

5. Sonuç

Kişisel veri ihlallerinde ortaya çıkan çok boyutlu hukuki sorumluluk; veri sorumlularını güçlü bir uyum teşviki sistemiyle karşı karşıya bırakmaktadır. İdari cezalar, hukuki tazminat yükümlülüğü ve cezai yaptırımların bir arada uygulanması, kişisel veri güvenliğine gereken özeni göstermeyenlerin ağır sonuçlarla yüzleşeceğini ortaya koymaktadır. 7499 reformunun ceza miktarlarını artırması ve 72 saatlik bildirim zorunluluğunu netleştirmesi bu çok katmanlı sorumluluğu daha etkin kılmaktadır.

Dipnotlar

  1. KVKK m. 12: Veri güvenliğine ilişkin yükümlülükler.
  2. KVKK m. 12/5: Veri ihlali bildirimi yükümlülüğü.
  3. KVKK m. 18: İdari yaptırımlar.
  4. 7499 sayılı Kanun — 72 saatlik bildirim süresi düzenlemesi, Resmî Gazete, 12 Mart 2024.
  5. GDPR m. 33: Denetim otoritesine 72 saatlik bildirim.
  6. 6098 sayılı TBK m. 49: Haksız fiil sorumluluğu.
  7. TCK m. 135: Kişisel verilerin kaydedilmesi; m. 136: yayılması; m. 138: yok edilmemesi.
  8. KVK Kurulu Kararı, 2020/91 — Veri güvenliği ihlali.
  9. Yargıtay 4. HD kararları — Kişisel veri ihlalinde manevi tazminat.
  10. GDPR m. 82: Tazminat hakkı.

Kaynakça

  • 6698 sayılı KVKK m. 12 ve 18. Resmî Gazete, 7 Nisan 2016, Sayı: 29677.
  • 6098 sayılı Türk Borçlar Kanunu m. 49. Resmî Gazete, 4 Şubat 2011, Sayı: 27836.
  • 5237 sayılı Türk Ceza Kanunu m. 135-140. Resmî Gazete, 12 Ekim 2004, Sayı: 25611.
  • 7499 sayılı Kanun. Resmî Gazete, 12 Mart 2024, Sayı: 32487.
  • GDPR (2016/679), m. 33, 82-83. AB Resmî Gazetesi, L 119/1, 2016.
  • KVK Kurul Kararları (veri ihlali). kvkk.gov.tr.
  • Kaya, Cemil. Kişisel Verilerin Korunması Hukuku. Ankara: Turhan Kitabevi, 2020.
  • Dinçkol, Bihterin V. Kişisel Verilerin Korunması. İstanbul: Beta, 2021.
  • Yargıtay Kararları — Kişisel veri ve manevi tazminat. yargitay.gov.tr.
  • Şen, Ersan. Kişisel Verilerin Korunması Kanunu. İstanbul: Seçkin, 2022.
  • Öztürk, Mustafa. KVKK Şerhi. Ankara: Seçkin, 2022.
  • Türkiye Cumhuriyeti Anayasası. Resmî Gazete, 9 Kasım 1982, Sayı: 17863.

Bu makale, Torun Hukuk Bürosu Akademik Makale Serisi kapsamında hazırlanmıştır. © 2026 Torun Hukuk Bürosu — Avukat Yalçın Torun. Tüm hakları saklıdır.

Scroll to Top
');w.document.close();w.print();});$(document).ready(function(){init();});})(jQuery);