KVKK konulara ilişkin idari yaptırımları kanunda öngörülen yükümlülüklere uygun olmayan davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Belirli kapsam içerisinde, aydınlatma ve veri güvenliğinin sağlanması, kuruluş kararlarının uygulanması, Sicile kayıt ve bildirim yükümlülüklerine uyulmaması durumlarında idari para cezası uygulanabilir. Bu durumlar, uygun olmayan davranışlar olarak değerlendirilmiştir. İdari yaptırımlara şirket tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açılır. Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren bir kanundur. Bu kanun, bireylerin kişisel verilerinin işlenmesi ve korunması ile ilgili genel kuralları belirler. Kanunda, kişisel verilere ilişkin çeşitli konulara yönelik idari yaptırımlar öngörülmüştür. Ancak, bu yaptırımlar zaman içinde değişebilir ve güncellenebilir. Genel olarak, Kişisel Verilerin Korunması Kanunu kapsamında öngörülen idari yaptırımlar şunları içerebilir:
- İdari Para Cezaları: Kanuna uymayan kişi veya kuruluşlara para cezaları uygulanabilir. Cezalar, ihlalin niteliğine, süresine ve etkisine göre değişebilir.
- Veri Sorumlusunun Yükümlülüklerini Yerine Getirmemesi Durumunda Cezalar: Veri sorumlularının (veri işleyenlerin) kanundan kaynaklanan yükümlülüklerini yerine getirmemesi durumunda cezai müeyyideler öngörülmüştür.
- Veri İhlali Bildirim Yükümlülüğünü Yerine Getirmeme Cezaları: Veri sorumlularının, kişisel veri ihlali durumunda Kişisel Veri Güvenliği İhlali Bildirim Yükümlülüğü’nü yerine getirmemeleri halinde cezai yaptırımlar öngörülmüştür.
- Veri Sorumlularının Kayıt Yükümlülüğünü Yerine Getirmeme Cezaları: Veri sorumlularının kayıt yükümlülüğünü yerine getirmemeleri durumunda cezai müeyyideler öngörülmüştür.
Bu maddeler kanunun özünden çıkarılmış örneklerdir ve daha spesifik hükümler bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nda belirtilen tüm yükümlülük ve yaptırımları incelemek için güncel metinlere başvurmanız önemlidir.
Kanunun Kapsamı ve Amaçları Nedir?
Kanunların kapsamı ve amaçları genellikle ilgili kanunun türüne, konusuna ve amacına bağlı olarak değişiklik gösterir. Ancak genel olarak bir hukuki metin, belirli konularda düzenlemeler yaparak toplumun düzenini sağlamayı, hakları korumayı ve adaleti temin etmeyi amaçlar. Kanunun kapsamı, hangi konuları düzenlediğini ve kimleri ilgilendirdiğini belirtir. Örneğin, bir ticaret kanunu ticaret işlemlerini düzenlerken, bir ceza kanunu suçları tanımlar ve cezalarını belirler. Amaçlar ise genellikle şu temel ilkelere dayanır:
- Düzen ve Güvenlik Sağlama: Kanunlar, toplum içinde düzeni ve güvenliği sağlamayı amaçlar. Bu çerçevede, suçları tanımlar ve bu suçlara karşı cezalar belirler.
- Hakları ve Özgürlükleri Koruma: Kanunlar, bireylerin hak ve özgürlüklerini korumayı hedefler. Temel hak ve özgürlükleri tanımlar, güvence altına alır ve bu haklara saldırı durumlarında koruma sağlar.
- Toplumsal Adalet Sağlama: Kanunlar, toplum içinde adil bir düzenin kurulmasını amaçlar. Bu, eşitlik, adalet, hakkaniyet gibi kavramları içerir.
- Ekonomik Düzenleme: Ekonomik faaliyetleri düzenlemek ve korumak amacıyla çeşitli ekonomik kanunlar mevcuttur. Bunlar, ticaretin düzenlenmesi, rekabetin sağlanması, tüketici haklarının korunması gibi konuları içerir.
- Toplumsal Refahı Artırma: Kanunlar, toplumun genel refahını artırmayı amaçlar. Bu çerçevede, sosyal yardımlar, sağlık hizmetleri gibi konuları düzenler.
Kişisel Verilerin İşlenmesine İlişkin Hukuka Uygunluk İlkesi
Veri işleme faaliyetlerinin hukuki bir temele dayanması gerekliliğini vurgular. Bu ilkeye göre, kişisel verilerin işlenmesi, belirli bir amaç için adil ve meşru bir sebeple uyumlu olmalıdır. Veri sorumluları, kişisel verileri işlerken açık bir hukuki dayanakları olmalı ve bu işleme faaliyetlerini ilgili mevzuata uygun olarak gerçekleştirmelidir. Kişisel verilerin işlenmesi için genelde rıza, sözleşme, hukuki yükümlülük, hayati çıkarlar, kamu görevi, meşru menfaat gibi hukuki temeller kullanılır. genel olarak kişisel verilerin işlenmesi sürecinde uyulması gereken temel bir prensiptir. Bu ilke, bir kişinin kişisel verilerinin işlenmesiyle ilgili olarak şu temel prensipleri içerir:
- Hukuka Uygunluk: Kişisel verilerin işlenmesi, belirli bir hukuki sebep veya dayanakla uyumlu olmalıdır. Yani, veri işleme faaliyetleri, ilgili ülkenin mevzuatına uygun olarak gerçekleştirilmelidir. Örneğin, kişinin açık rızası, yasal yükümlülük, sözleşme yapma veya meşru menfaat gibi hukuki temellere dayanabilir.
- Adil ve Şeffaf İşleme: Kişisel verilerin işlenmesi sırasında adil ve şeffaf olunmalıdır. Bu, kişinin hangi verilerinin neden işlendiğini anlamasını sağlamayı amaçlar. Veri sorumluları (kişisel verilerin işlenen taraf) bu süreçte şeffaf olmalı ve kişilere gerekli bilgileri sağlamalıdır.
- Belirli, Açık ve Meşru Amaçlar İçin İşleme: Kişisel veriler, belirli, açık ve meşru amaçlar için toplanmalı ve işlenmelidir. Toplanan veriler, bu amaçlar dışında kullanılmamalıdır.
- Veri Minimizasyonu: Kişisel veriler, işleme amaçları için gerekli olanlarla sınırlı tutulmalıdır. Yani, gereksiz veya fazla veri toplamaktan kaçınılmalıdır.
- Doğruluk ve Güncellik: İşlenen kişisel veriler doğru olmalı ve güncel tutulmalıdır. Bu, veri sorumlularının verilerin doğruluğunu düzenli olarak kontrol etmelerini ve gerektiğinde güncellemeleri anlamına gelir.
- Sınırlı Saklama Süresi: Kişisel veriler, belirli bir amaç için gerekli olduğu süre boyunca saklanmalıdır. Bu süre sona erdiğinde veya başka bir hukuki sebep ortaya çıktığında, veriler silinmelidir.
Veri Sorumlularının Aydınlatma Yükümlülüğü
Kişisel verilerin işlenmesiyle ilgili olarak bireylere bilgi verme zorunluluğunu ifade eder. Bu yükümlülük, veri sorumlusu tarafından kişisel verilerin ne şekilde işlendiği, hangi amaçlarla kullanıldığı, veri işleme faaliyetinin hukuki dayanağı, verilerin kimlere aktarılabileceği gibi konularda bireyleri bilgilendirmeyi içerir. Aydınlatma yükümlülüğü, veri sorumlusunun şeffaf bir şekilde hareket etmesini ve bireylerin kişisel verilerinin nasıl işlendiğini anlamasını sağlamayı amaçlar. Aydınlatma yükümlülüğü genellikle aşağıdaki unsurları içerir:
- Kimlik ve İletişim Bilgileri: Veri sorumlusunun kimliği, iletişim bilgileri ve gerekirse temsilcisi veya veri koruma yetkilisinin bilgileri.
- İşlenen Veriler: Hangi türde kişisel verilerin işlendiği, örneğin ad, soyad, iletişim bilgileri, vb.
- İşleme Amaçları: Kişisel verilerin hangi amaçlarla işlendiği, örneğin sözleşme yürütme, yasal yükümlülükleri yerine getirme, meşru menfaat gibi.
- Hukuki Dayanak: Veri işleme faaliyetinin hukuki dayanağı nedir, örneğin rıza, sözleşme, hukuki yükümlülük, vb.
- Alıcı veya Veri Aktarımı: Kişisel verilerin kimlere ve hangi koşullar altında aktarılabileceği.
- Veri Saklama Süresi: Kişisel verilerin ne kadar süreyle saklanacağı.
- Birey Hakları: Bireylerin kişisel verileri üzerindeki hakları, örneğin erişim, düzeltme, silme, itiraz etme hakları.
Veri İhlallerine Bildirim Yükümlülükleri
Veri ihlallerinde bildirim yükümlülüğü, bir veri sorumlusunun veya veri işleyenin, kişisel verilerin güvenliğini ihlal eden bir olay meydana geldiğinde ilgili düzenleyici otoriteye ve etkilenen bireylere bildirimde bulunma zorunluluğunu ifade eder. Veri ihlallerinde bildirim yükümlülüğü, kişisel verilerin yetkisiz erişim, açıklama, değiştirme veya yok etme durumlarında ilgili taraflara derhal bilgi verme zorunluluğunu ifade eder. Bu yükümlülük, veri sorumlularının gizlilik ve güvenlikle ilgili taahhütlerini yerine getirmelerini sağlar. Bu yükümlülük, veri ihlallerinin erken tespiti, müdahale ve etkilenen bireylere gerekli önlemleri alma amacı taşır. Bildirim yükümlülüğü genellikle şu ana unsurları içerir:
- Düzenleyici Otoriteye Bildirim: Veri sorumlusu veya veri işleyen, veri ihlalinin tespit edilmesi durumunda ilgili düzenleyici otoriteye, genellikle veri koruma otoritesine, mümkün olan en kısa sürede bildirimde bulunmalıdır.
- Etkilenen Bireylere Bildirim: Veri ihlali sonucunda mahremiyeti etkilenen bireylere, mümkünse en kısa sürede, ihlal hakkında bilgi verilmelidir. Bu bildirim, etkilenen kişilerin riskleri değerlendirmelerine ve gerekirse korunma önlemleri almalarına yardımcı olmak amacını taşır.
- Bildirimde Yer Alması Gereken Bilgiler: Bildirimler, genellikle veri ihlalinin türü, etkilenen kişisel veri türleri, olası etkileri, alınan veya alınacak önlemler gibi konuları içermelidir.
Bildirim yükümlülüğü, genellikle ilgili veri koruma mevzuatları tarafından belirlenen belirli koşullara tabidir. Örneğin, Avrupa Birliği’nde GDPR (Genel Veri Koruma Tüzüğü) ve benzeri düzenlemeler, veri ihlallerinde bildirim yükümlülüğünü detaylı bir şekilde düzenler.