Veri sorumlusunun idari para cezası ile cezalandırılacağı diğer bir kabahat ise veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi kabahatidir. Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri KVK Kanunun 12. maddesinde belirlenmiştir. Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacak ve işleme amacı dışında kullanamayacaktır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilecektir.
Veri sorumlusu hukuka aykırı olarak kişisel verilere erişilmesini, işlenmesini muhafazasını önlemek için gerekli teknik ve idari tedbirleri almakla bahse konu icrai hareketleri yerine getirmekle ve tedbirleri devam ettirmekle yükümlüdür. Tedbirler alınmadığı zaman kabahat tamamlanmakta fakat sona ermemektedir. Kabahatin oluşabilmesi için zararın meydana gelmesine gerek yoktur. Kabahat tehlike kabahatidir. Veri sorumlusu ayrıca KVK Kanununun hükümlerinin uygulanmasını sağlamak amacıyla kendi kurum ve kuruluşunda denetimleri yapmak ve yaptırmak zorundadır. Kanun da düzenlenen denetim yapmak ve yaptırmak yükümlülüğü, veri sorumlusuna ayrı bir icrai hareketi gerçekleştirme görevi yüklemektedir. Veri sorunlusu işlediği kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi durumunda ilgili kişiye ve KVK Kuruluna durumu bildirmekle yükümlüdür. Bahse konu bildirim yükümlülüğü ise kanunla veri sorumlusuna yüklenen ayrı bir yükümlülük olup, şartları oluştuğunda gerçekleştirilmesi gereken ayrı bir icrai hareketi içermektedir. Bahse konu icrai hareketlerin gerçekleştirilmemesi, diğer bir ifadeyle idari ve teknik tedbirlerin alınmaması denetimlerin yapılmaması ve yaptırılmaması, kişisel verilerin hukuka aykırı ele geçirilmelerin ilgili kişiye ve KVK Kuruluna bildirilmemesi kabahatin oluşması için yeterli olup, zararın oluşması aranmayacaktır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu en kısa sürede, derhal, gecikmeksizin durumu ilgili kişiye ve Kurula bildirmekle yükümlüdür. Bahse konu icrai hareket ani bir hareket olup, diğer yükümlülükler kapsamında olan mütemadi nitelikli tedbir alma ve denetim yükümlülüklerinden farklıdır. Bu yönüyle bildirme yükümlülüğü yerine getirilmediği takdirde kabahat oluşmakta ve bitmektedir. Diğer hareketlerde ise kabahat oluşmakta fakat devam etmektedir.
Bahse konu kabahatin mağduru sadece kişisel verisi işlenen bir gerçek kişi olabilir. Kişisel verileri tamamen veya kısmen otomotik veya otomatik olmayan yollarla işleyen gerçek ve tüzel kişilerin alacağı idari ve teknik tedbirlerin neler olması gerektiği hususu bahse konu kabahat açısından önem taşımaktadır. KVKK 22/1-f bendinde KVK Kurulunun veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmakla görevli ve yetkili olduğu düzenlenmiştir. KVK Kurumu tarafından veri sorumlularının teknik ve idari tedbirlerini düzenleyen
Ocak 2018 tarihli Kişisel Veri Güvenliği Rehberi hazırlanmış ve kurumun sayfasında yayınlanmıştır. Rehberde özetle , idari tedbirler başlığı altında risk ve tedbirlerin belirlenmesi, çalışanların eğitilmesi, farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin azaltılması veri işleyenler ile ilişkilerin yönetimi hususları düzenlenmiştir. Teknik tedbirler başlığı altında ise siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemlerinin tedariği geliştirme ve bakımı, kişisel verilerin yedeklenmesi hususları düzenlenmiştir.
Konuyla ilgili KVK Kurulunun bir çok kararı mevcuttur. Bu kapsamda “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı Kararında ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderilmesi üzerine söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna başvuruda bulunulduğunu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığını ve kendisine cevap verilmediğini belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemin yapılmasını Kurul’dan talep etmiştir. Kurul “Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,” karar vermiştir. Benzer şekilde KVK Kurulu “veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine, aykırılık teşkil ettiği” diğer bir ifadeyle kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik her türlü teknik ve idari tedbirlerin alınmadığına[1] karar vermiştir.
KVK Kurulu bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında 24.11.2020 tarih ve 2020/905 sayılı kararında “Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle veri sorumlusu hakkında idari para cezası verilmesine” hükmetmiştir. Kurul tarafından 2019/144 sayılı kararda veri sorumlusu ” şirket tarafından t07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası ile cezalandırılmasına” karar verilmiştir.
Av.Yalçın TORUN
UYARI
Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur.