Antalya’da Bilişim Avukatına En Çok Sorulan 10 Kvkk İ̇hlali Sorusu

Giriş

Dijitalleşen dünyamızda, kişisel verilerin korunması her geçen gün daha da kritik bir hal almaktadır. Özellikle Antalya gibi dinamik bir iş ve turizm merkezinde faaliyet gösteren işletmeler ve bireyler için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hükümlerine uyum büyük önem taşımaktadır. KVKK, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlükleri korumayı amaçlar. Ancak bu karmaşık yasal çerçeve içerisinde, zaman zaman farkında olunmadan veya bilgi eksikliğinden kaynaklanan ihlaller yaşanabilmektedir. Bu makalemizde, bilişim avukatlarına en çok yöneltilen KVKK ihlali sorularını ele alarak, hem farkındalığı artırmayı hem de olası ihlallerin önüne geçmek için yol göstermeyi hedefliyoruz.

KVKK Nedir ve Neden Önemlidir?

KVKK, kişisel verilerin işlenmesi, saklanması, aktarılması ve imha edilmesi süreçlerini düzenleyen temel bir hukuk metnidir. Kanun, kişisel verilerin hukuka uygun bir şekilde işlenmesini sağlayarak bireylerin mahremiyetini ve veri üzerindeki kontrolünü güvence altına alır. İşletmeler açısından ise KVKK uyumluluğu, sadece yasal bir zorunluluk değil, aynı zamanda itibar yönetimi ve müşteri güvenini tesis etme açısından da hayati bir rol oynar. KVKK’ya aykırı hareket etmek, ciddi idari para cezalarının yanı sıra hukuki ve cezai sorumlulukları da beraberinde getirebilir. Bu nedenle, kanunun temel prensiplerini anlamak ve uygulamak, her veri sorumlusu için elzemdir.

Bilişim Avukatına En Çok Sorulan KVKK İhlali Soruları

1. Kişisel Veri İhlali Tam Olarak Ne Anlama Gelir?

Kişisel veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişilerin eline geçmesi, çalınması, kaybolması, yok olması, değiştirilmesi veya yetkisiz erişime uğraması gibi durumları ifade eder. Bu, kasıtlı bir siber saldırı sonucu olabileceği gibi, bir çalışanın hatasıyla verilerin yanlışlıkla silinmesi veya yetkisiz kişilere gönderilmesi gibi durumları da kapsar. Özetle, veri güvenliğinin ihlal edilmesi ve kişisel verilerin gizliliğinin, bütünlüğünün veya erişilebilirliğinin bozulmasıdır.

2. Veri Sorumlusu ve Veri İşleyen Kimdir? İhlallerde Sorumluluk Farkı Nedir?

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Örneğin, bir şirketin yönetim kurulu veya bir esnaf.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin, bir şirketin bordrolama hizmeti aldığı muhasebe firması veya bulut depolama hizmeti sağlayıcısı.

İhlallerde temel sorumluluk veri sorumlusuna aittir. Veri işleyen, veri sorumlusunun talimatlarına uygun hareket etmekle yükümlüdür ve genellikle sözleşmesel olarak veri sorumlusuna karşı sorumlu olur. Ancak veri işleyenin kendi kusuruyla bir ihlale sebep olması durumunda, kendi sorumluluğu da gündeme gelebilir. Veri sorumlusu, veri işleyenle olan ilişkisinde gerekli denetimi ve sözleşmesel güvenceleri sağlamakla yükümlüdür.

3. Aydınlatma Yükümlülüğü İhlali Nedir ve Nasıl Önlenir?

Aydınlatma yükümlülüğü, veri sorumlusunun, kişisel verileri işlenen gerçek kişileri (veri sahiplerini) bu verilerin kim tarafından, hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi ve hukuki sebebi ile veri sahibinin hakları konusunda bilgilendirme görevidir. Bu yükümlülüğün yerine getirilmemesi veya eksik yerine getirilmesi bir ihlaldir.

Önlenmesi için, işletmelerin şeffaf bir gizlilik politikası oluşturması, web sitelerinde ve diğer iletişim kanallarında açık ve anlaşılır aydınlatma metinleri yayımlaması, veri toplama anında (örneğin form doldururken) ilgili bilgileri sunması ve bu metinleri düzenli olarak güncellemesi gerekmektedir.

4. Açık Rıza Almadan Veri İşlemek İhlal Midir? Hangi Durumlarda Rıza Gerekmez?

Kişisel verilerin işlenmesi için kural olarak veri sahibinin açık rızası gereklidir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Açık rıza olmadan veri işlemek, kanuna aykırıdır ve ciddi bir ihlal teşkil eder.

Ancak KVKK, bazı durumlarda açık rıza aranmaksızın kişisel veri işlenmesine izin vermektedir. Bu istisnai durumlar şunlardır:
* Kanunlarda açıkça öngörülmesi.
* Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
* Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
* Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
* İlgili kişinin kendisi tarafından alenileştirilmiş olması.
* Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
* İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.

5. Veri Güvenliği İhlalinde Veri Sorumlusunun Yükümlülükleri Nelerdir?

Bir kişisel veri ihlali meydana geldiğinde, veri sorumlusu için hızla hareket etme ve belirli yükümlülükleri yerine getirme zorunluluğu doğar:
* Kurul’a Bildirim: İhlali, öğrendiği tarihten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na (Kurul) bildirmek.
* Veri Sahiplerine Bildirim: İhlalden etkilenen kişisel veri sahiplerine uygun yöntemlerle bildirimde bulunmak. Bu bildirimde ihlalin niteliği, olası sonuçları, alınan önlemler ve iletişim bilgileri yer almalıdır.
* Kayıt Tutma: İhlale ilişkin tüm detayları (ihlalin tarihi, türü, etkilenen veri grupları, alınan önlemler vb.) kayıt altına almak ve Kurul’un talep etmesi halinde sunmak.
* Önleyici ve İyileştirici Tedbirler: İhlalin tekrarlanmaması için gerekli tüm idari ve teknik tedbirleri almak.

6. Çalışan Verilerinin KVKK Kapsamında İşlenmesinde Yapılan Yaygın İhlaller Nelerdir?

Çalışanların kişisel verileri, iş hayatında sıklıkla işlenen özel nitelikli veriler de dahil olmak üzere geniş bir yelpazeyi kapsar. Yaygın ihlaller şunlardır:
* Aşırı Veri Toplama: İşin gereği olmayan veya amaçla bağlantılı olmayan kişisel verilerin toplanması.
* Aydınlatma ve Rıza Eksikliği: Çalışanlara veri işleme faaliyetleri hakkında yeterli aydınlatma yapılmaması veya gerekli durumlarda açık rızalarının alınmaması (örneğin, performans takibi, kamera kaydı).
* Güvenlik Zafiyetleri: Çalışan verilerini içeren IK dosyalarının veya dijital sistemlerin yetersiz korunması.
* Yetkisiz Paylaşım: Çalışan verilerinin işin gereği olmaksızın üçüncü kişilerle veya diğer çalışanlarla paylaşılması.
* İş Akdi Sonrası Saklama: İş akdi sona eren çalışanların verilerinin, yasal saklama süreleri dolmasına rağmen imha edilmemesi.

7. Pazarlama ve Reklam Faaliyetlerinde KVKK İhlali Nasıl Oluşur?

Pazarlama ve reklam faaliyetleri, doğrudan kişisel verilerin işlenmesini gerektiren alanlardır ve bu nedenle KVKK ihlallerine açık olabilir:
* İzinsiz Ticari Elektronik İleti Gönderimi: Veri sahibinin önceden onayı (elektronik iletişimde genellikle “ticari elektronik ileti onayı”) olmaksızın SMS, e-posta veya arama yoluyla pazarlama mesajı göndermek. Bu aynı zamanda Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) kapsamında da bir ihlaldir.
* Profilleme ve Hedefleme: Veri sahibinin açık rızası olmadan veya meşru menfaat dengesi gözetilmeden, detaylı profilleme yaparak kişiselleştirilmiş reklamlar sunmak.
* Veri Tabanı Satışı/Paylaşımı: Toplanan müşteri veya potansiyel müşteri verilerinin, veri sahibinin rızası olmaksızın üçüncü taraf firmalarla paylaşılması veya satılması.
* Çerez Politikası Eksikliği: Web sitelerinde çerez kullanımına ilişkin açık ve anlaşılır bir çerez politikasının bulunmaması veya kullanıcıdan rıza alınmaması.

8. Yurtdışına Veri Aktarımında Yapılan Hatalar ve İhlaller Nelerdir?

Kişisel verilerin yurtdışına aktarımı, KVKK kapsamında sıkı şartlara bağlanmıştır ve bu alanda yapılan hatalar ciddi ihlallere yol açabilir:
* Yeterli Koruma Olmayan Ülkelere Aktarım: Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilmeyen bir ülkeye, veri sahibinin açık rızası olmaksızın veya yeterli güvenceler sağlanmaksızın veri aktarımı yapmak.
* Açık Rıza Eksikliği: Veri sahibinin açık rızası olmaksızın veya Kanun’da belirtilen istisnai haller bulunmaksızın verilerin yurtdışına aktarılması.
* Taahhütname Eksikliği: Yeterli korumanın bulunmadığı ülkelerde veri aktarımı için veri sorumlularının yazılı taahhütname vermemesi veya Kurul’dan izin almaması.
* Bulut Hizmetleri Kullanımı: Yurtdışı merkezli bulut depolama veya yazılım hizmetleri kullanılırken, verilerin yurtdışına aktarım şartlarının göz ardı edilmesi.

9. Kişisel Veri İhlali Sonucunda Uygulanan İdari Para Cezaları Ne Kadardır?

KVKK’ya aykırı hareket eden veri sorumlularına, Kanun’un 18. maddesi uyarınca çeşitli idari para cezaları uygulanır. Bu cezaların miktarı, ihlalin türüne ve ağırlığına göre değişmekle birlikte, oldukça yüksek meblağlara ulaşabilir. Örneğin:
* Aydınlatma yükümlülüğünü ihlal edenlere 13.390 TL’den 267.890 TL’ye kadar,
* Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere 40.183 TL’den 2.678.966 TL’ye kadar,
* Kurul kararlarına uymayanlara 66.974 TL’den 13.394.881 TL’ye kadar idari para cezası uygulanabilir.

Bu miktarlar her yıl yeniden değerleme oranında güncellenmektedir. Cezanın miktarı belirlenirken, ihlalin niteliği, veri sorumlusunun büyüklüğü, etkilenen kişi sayısı, ihlalden kaynaklanan zarar, işbirliği düzeyi gibi faktörler dikkate alınır.

10. Veri İhlali Yaşadığımı Nasıl Anlarım ve Ne Yapmalıyım?

Bir veri ihlali yaşandığını anlamak, genellikle sistemlerdeki olağandışı hareketler, güvenlik uyarıları, çalışanlardan veya müşterilerden gelen şikayetler, siber güvenlik araştırmaları veya hatta dış kaynaklardan (örneğin, basında çıkan haberler) öğrenilebilir.

Bir veri ihlali yaşandığına dair şüphe veya kesinlik durumunda yapılması gerekenler şunlardır:
* İhlali Doğrula ve Sınırla: İhlalin kapsamını ve kaynağını belirlemeye çalışın. Etkilenen sistemleri veya verileri izole ederek daha fazla yayılmasını önleyin.
* Delilleri Koru: İhlale ilişkin tüm dijital ve fiziksel delilleri güvenli bir şekilde saklayın. Bu, soruşturma ve hukuki süreçler için kritik öneme sahiptir.
* Yasal Danışmanlık Alın: Alanında uzman bir bilişim avukatından derhal hukuki destek alın. Bildirim süreçleri ve yasal yükümlülükler konusunda doğru adımların atılması büyük önem taşır.
* Bildirim Yükümlülüklerini Yerine Getirin: Gerekli durumlarda KVKK Kurul’a ve veri sahiplerine yasal süresi içinde bildirimde bulunun.
* İyileştirici Tedbirler Alın: İhlale neden olan güvenlik zafiyetlerini giderin ve sistemlerinizi güçlendirin.
* Kriz İletişimi Yönetimi: Kamuoyu ve paydaşlarla şeffaf ve doğru bir iletişim stratejisi belirleyin.

Sonuç

Kişisel verilerin korunması, günümüz iş dünyasında sadece bir yasal zorunluluk değil, aynı zamanda kurumsal itibarın ve müşteri güveninin temelini oluşturan kritik bir unsurdur. Antalya’da faaliyet gösteren her ölçekteki işletmenin, KVKK hükümlerine uyum sağlaması ve potansiyel ihlallerin önüne geçmek için proaktif adımlar atması gerekmektedir. Bu makalede ele alınan sıkça sorulan sorular, veri sorumlularının karşılaşabileceği genel sorunlara ışık tutmakla birlikte, her vakanın kendine özgü koşulları olduğunu unutmamak önemlidir. KVKK süreçlerinin karmaşıklığı ve hızla değişen dijital ortam göz önüne alındığında, kişisel veri güvenliği ve hukuki uyum konularında uzman bir hukuk danışmanından destek almak, olası riskleri minimize etmenin ve yasal yükümlülükleri eksiksiz yerine getirmenin en güvenilir yoludur.