KVKK Ceza Tutarı ve TCK Kapsamındaki Yaptırımlar
Kişisel Verileri Koruma Kurulu, 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde kurulmuş, kişisel verilerin işlenmesi, aktarılması, saklanması ve silinmesi süreçlerini denetleyen resmi otoritedir.
Günümüzde resmi işlemlerden özel işlemlere kadar pek çok süreç elektronik ortamda ve internet üzerinden yürütülmektedir. Bu süreçlerde kişisel verilerin alınması, yurtiçine ve yurtdışına aktarılması, saklanması ve yok edilmesi gibi adımların tümü KVKK’ya tabidir. Kanuna ve Kurul kararlarına aykırılık hâlinde ise yüksek idari para cezaları ve Türk Ceza Kanunu (TCK) kapsamında hapis cezaları gündeme gelebilir.
Otorite: Kişisel Verileri Koruma Kurulu, KVKK’nın uygulanmasını ve denetimini yürütür.
İdari yaptırım: KVKK’ya aykırı davranan veri sorumluları için
binlerce liradan başlayıp milyon seviyelerine ulaşabilen idari para cezaları söz
konusudur.
Cezai yaptırım: TCK 135–138 maddeleri kapsamında kişisel verilerin hukuka aykırı
kaydı, ele geçirilmesi, yayılması ve süresinde silinmemesi için 1 yıldan 6 yıla kadar hapis
cezaları öngörülmektedir.
Çözüm: NESİL TEKNOLOJİ ile KVKK danışmanlığı, risklerin yönetilmesi ve uyumun
sürdürülebilir kılınması.
1. KVKK ve Kişisel Verileri Koruma Kurulu’nun Rolü
KVKK, 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kanun ile kişisel verilerin korunması alanında kapsamlı bir çerçeve oluşturmuştur. Kanun çerçevesinde kurulan Kişisel Verileri Koruma Kurulu, T.C. Adalet Bakanlığı ile ilişkili olarak çalışan, idari ve mali özerkliğe sahip bir kamu otoritesidir.
Kurul; kişisel verilerin işlenmesi, saklanması, aktarılması ve silinmesi süreçlerinde:
- KVKK ve ilgili ikincil mevzuata uyulup uyulmadığını denetler,
- İlgili kişilerin (veri sahiplerinin) şikâyet ve başvurularını değerlendirir,
- Veri sorumlularının yükümlülüklerini yerine getirip getirmediğini inceler,
- İhlal durumlarında idari para cezası ve diğer yaptırımlara karar verir.
Veri sorumluları için Kurul’un yetkileri, KVKK uyumunun “opsiyonel” değil, zorunlu bir yükümlülük olduğunu açık biçimde ortaya koymaktadır.
2. KVKK Kapsamında İdari Para Cezaları
KVKK’ya aykırı hareket eden veri sorumluları için idari para cezaları öngörülmektedir. Metinde belirtildiği üzere, kişisel verilerin korunması alanında kanun ve yükümlülüklere aykırı davranan veri sorumluları için 5.000 TL ile 1.000.000 TL arasında değişebilen ciddi para cezaları gündeme gelebilir. Uygulamada bu tutarlar, ilgili yılın yeniden değerleme oranına göre güncellenmektedir.
İdari para cezaları; örneğin aşağıdaki ihlaller karşısında söz konusu olabilir:
- Aydınlatma yükümlülüğünün yerine getirilmemesi,
- Veri güvenliğine ilişkin teknik ve idari tedbirlerin alınmaması,
- Kişisel Verileri Koruma Kurulu kararlarına uyulmaması,
- Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüklerinin ihlali,
- Kişisel verilerin işlenmesi ve aktarılması süreçlerinin kanun hükümlerine aykırı olması.
Bu para cezaları kurumsal bütçeyi doğrudan etkileyen ağır sonuçlar doğurabileceği gibi, kamuoyuna yansıması hâlinde itibar kaybı ve marka değerinde düşüşe de yol açabilir.
3. TCK 135–138 Kapsamında Hapis Cezaları
KVKK’ya aykırılıklar yalnızca idari para cezası ile sınırlı değildir; kişisel verilerle ilgili bazı fiiller aynı zamanda Türk Ceza Kanunu (TCK) kapsamında suç oluşturur ve hapis cezalarıyla karşılık bulur.
3.1. Kişisel Verilerin Hukuka Aykırı Kaydedilmesi (TCK m.135)
Kanuna aykırı olarak kişisel verilerin kaydedilmesi hâlinde, TCK’nın 135. maddesi uyarınca 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Verinin niteliği ve kapsamı ağırlaştırıcı etki doğurabilir.
3.2. Kişisel Verilerin Ele Geçirilmesi, Yayılması (TCK m.136, m.137)
Kişisel verileri hukuka aykırı şekilde ele geçiren, başkasına veren veya yayan kişiler hakkında metinde belirtildiği üzere;
- Kişisel verileri kanuna aykırı şekilde ele geçirme fiili için 2 yıldan 4 yıla kadar hapis cezası,
- Kişisel verileri başkasına veren veya yayan kişiler için ise 3 yıldan 6 yıla kadar hapis cezası
gündeme gelebilir. Nitelikli hâller, cezanın artırılmasına sebep olabilmektedir.
3.3. Süresi Dolan Verilerin Silinmemesi (TCK m.138)
Kanunlarda öngörülen süre dolmasına rağmen kişisel verilerin silinmemesi, yok edilmemesi veya anonim hâle getirilmemesi durumunda, TCK’nın 138. maddesi gereğince 1 yıldan 2 yıla kadar hapis cezası söz konusu olabilir.
Metinde de vurgulandığı üzere, kişisel verilerin süresi dolduğunda silinmemesi, verinin gereğinden fazla tutulması ve çoğalmasına sebep olunması cezai süreçleri tetikleyen önemli risklerdendir.
4. Neden Uyum ve Profesyonel Danışmanlık Şart?
Kişisel verilerin korunması alanında idari para cezaları ve hapis cezaları içeren bu kapsamlı düzenlemeler, veri sorumlularının KVKK’ya uyumunu “opsiyonel” değil, stratejik bir zorunluluk hâline getirmiştir.
Metinde de vurgulandığı gibi; veri sorumluları için kendi başlarına tüm düzenlemeleri takip etmek, süreçleri sürekli güncel tutmak ve teknik-idari tedbirleri eksiksiz uygulamak pratikte oldukça zordur. Tam bu noktada NESİL TEKNOLOJİ devreye girer:
- KVKK ve TCK kapsamındaki yükümlülüklerinizin analiz edilmesi,
- İdari ve teknik tedbirlerin tasarlanması ve uygulanması,
- Politika, prosedür, aydınlatma ve rıza metinlerinin oluşturulması,
- VERBİS kayıt ve güncelleme süreçlerinin yönetilmesi,
- Olası veri ihlallerine karşı kriz yönetimi ve bildirim desteği
ile işletmenize uçtan uca KVKK danışmanlığı sunar. Bu sayede, hem idari para cezaları hem de TCK kapsamındaki suç riskleri en aza indirilerek, güvenli ve uyumlu bir veri işleme ekosistemi kurulması mümkün olur.
5. Sık Sorulan Sorular
KVKK ceza tutarları her yıl aynı mı kalır?
Hayır. KVKK kapsamındaki idari para cezaları genellikle ilgili yılın yeniden değerleme oranına göre güncellenir. Bu nedenle, metinde yer alan örnek tutarlar aralığı gösterse de, en güncel rakamlar için Kişisel Verileri Koruma Kurumu’nun duyurularının ve resmi mevzuatın takip edilmesi gerekir.
KVKK ihlallerinde sadece para cezası mı verilir?
Hayır. KVKK ihlallerinin yanında, kişisel verilerle ilgili bazı fiiller TCK 135–138 maddeleri kapsamında suç sayılır ve 1–6 yıla varan hapis cezaları uygulanabilir. Yani risk hem mali hem de cezai boyuttadır.
Veri sorumlusu kimdir ve neden sorumludur?
Veri sorumlusu; kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. KVKK kapsamında aydınlatma,
veri güvenliği, silme/yok etme, VERBİS kaydı gibi pek çok
Hatalı veya eksik silinen veriler için de ceza riski var mı?
Evet. Kanunda öngörülen süre dolmasına rağmen kişisel verilerin silinmemesi veya yok edilmemesi,
TCK 138 kapsamında
KVKK ceza riskini azaltmak için ilk adım ne olmalı?
İlk adım, mevcut durumun GAP analizi ile objektif şekilde görülmesidir. Hangi
süreçlerde risk olduğunu, hangi teknik ve idari tedbirlerin eksik kaldığını tespit ettikten sonra;
KVKK yönetim sistemi, politika ve prosedürler aşamalı olarak kurulmalıdır. Bu noktada
NESİL TEKNOLOJİ KVKK ceza süreçlerinde nasıl destek olur?
NESİL TEKNOLOJİ; KVKK uyum projelerinin tasarımı, sürekli danışmanlık,

