KVKK İdari Yaptırımlar, Suçlar ve Cezai Yaptırımlar: 18. Madde ve TCK 135–140

KVKK · İdari Yaptırımlar · Suçlar & Cezalar

KVKK İdari Yaptırımlar, Suçlar ve Cezai Yaptırımlar

Q: KVKK ihlali her zaman hapis cezası anlamına gelir mi?

KVKK’ya aykırılıklar öncelikle idari ihlal olarak değerlendirilir ve KVKK m.18 uyarınca idari para cezasına konu olur. Ancak fiil, TCK 135–140 kapsamındaki kişisel veri suç tiplerine giriyorsa cezai sorumluluk da doğabilir.

Q: Verileri silmeyi unutmak suç oluşturabilir mi?

Saklama süresi sona ermesine rağmen kişisel verilerin sistemlerde tutulmaya devam edilmesi koşullara bağlı olarak TCK m.138 kapsamında kişisel verileri yok etmeme suçu olarak değerlendirilebilir.

Q: Veri ihlali yaşandığında sadece Kurul’a bildirim yapmak yeterli midir?

Kurul’a bildirim KVKK anlamında idari bir yükümlülüktür. Ancak kişisel verilerin yetkisiz kişilerce ele geçirilmesi veya ifşası söz konusuysa olay ceza soruşturmasına konu olabilecek bir suç teşkil edebilir.

Q: Kurumsal tarafta cezai riskleri azaltmak için neler önceliklidir?

Güncel veri envanteri, saklama ve imha politikaları, etkin erişim ve log yönetimi ile güçlü teknik güvenlik tedbirleri hem idari hem de cezai risklerin azaltılmasında kritik rol oynar.

KVKK; veri sorumlularına yalnızca idari para cezaları öngören bir çerçeve değil, aynı zamanda kişisel verilerle bağlantılı ceza hukuku riskini doğrudan tetikleyen temel mevzuattır. Kanunda öngörülen yükümlülüklere uygun hareket edilmediğinde; Kurul tarafından idari yaptırımlar uygulanabildiği gibi, belirli fiiller TCK 135–140. maddeler kapsamında suç niteliği de kazanabilmektedir.

Bu rehberde, KVKK m.18’de düzenlenen idari yaptırımlar, hukuka uygunluk ilkesi, aydınlatma ve veri ihlali bildirim yükümlülükleri ile kişisel verilere ilişkin suçlar ve TCK bağlantısı kurumsal uyum perspektifiyle ele alınmaktadır.

Amaç; teknik, idari ve hukuki ekiplerin ortak bir dilde buluşmasını sağlamak ve KVKK kapsamındaki risklerin proaktif yönetimine zemin oluşturmaktır.

Önce İdari Yaptırımlar Ardından Suçlar & Cezalar

İçindekiler 1. KVKK’da İdari Yaptırımlar (m.18) 2. Kanunun Kapsamı ve Amaçları 3. Hukuka Uygunluk İlkesi 4. Veri Sorumlusunun Aydınlatma Yükümlülüğü 5. Veri İhlali Bildirim Yükümlülüğü 6. KVKK Kapsamında Suçlar ve TCK 135–140 7. Cezai Yaptırımlar: Para ve Hapis Cezaları 8. Sık Sorulan Sorular

Özet Bakış

İdari Yaptırımlar: KVKK m.18, Kurul kararları, VERBİS, aydınlatma, veri güvenliği
Suçlar: TCK 135–140, izinsiz veri işleme, ifşa, yok etmeme

Yanlış kurgulanmış bir veri işleme süreci, sadece idari para cezası değil, ceza soruşturması ve yargılama riskini de beraberinde getirir.

KVKK m.18 TCK 135–140 Veri ihlali bildirimi Hukuka uygunluk

Not: KVKK ihlalleri yalnızca Kurul nezdinde idari para cezası anlamına gelmez; belirli fiiller bakımından cezai sorumluluk doğabileceği ve şirket yöneticilerinin de sorumluluk zincirine dahil olabileceği unutulmamalıdır.

1. KVKK’da İdari Yaptırımlar (Madde 18)

KVKK’ya aykırı davranışlara uygulanacak idari yaptırımlar, Kanun’un 18. maddesinde düzenlenmiştir. Bu madde uyarınca; belirli yükümlülüklerin ihlal edilmesi hâlinde veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para cezaları uygulanabilmektedir.

İdari yaptırımlara konu olabilecek başlıca uyumsuzluk alanları özetle şunlardır:

Aydınlatma yükümlülüğüne aykırılık,
Veri güvenliğine ilişkin yükümlülüklere uyulmaması,
Kurul tarafından verilen kararların yerine getirilmemesi,
Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüklerinin ihlal edilmesi.

Bu fiiller, Kanun çerçevesinde “uygun olmayan davranış” olarak değerlendirilmekte; Kurul’un takdir yetkisi çerçevesinde değişen tutarlarda idari para cezasına konu olabilmektedir.

Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarında işlenen fiiller bakımından ise, Kurul’un bildirimine istinaden ilgili kurum kendi personeli hakkında disiplin hükümlerini işletmekte ve sonucu Kurul’a bildirmektedir.

2. Kanunun Kapsamı ve Amaçları

KVKK, 7 Nisan 2016 tarihinde yürürlüğe giren ve Türkiye’de kişisel verilerin işlenmesine ilişkin genel çerçeveyi belirleyen temel kanundur. Kanunun ana hedefi; kişisel verilerin işlenmesinde ilgili kişilerin temel hak ve özgürlüklerini korumak ve veri işleme süreçlerine şeffaf, öngörülebilir ve denetlenebilir bir yapı kazandırmaktır.

Daha geniş çerçevede, kanunların kapsam ve amaçlarına ilişkin tipik başlıklar KVKK özelinde de geçerlidir:

Düzen ve güvenlik sağlama: Veri işleme faaliyetlerinin belirli kurallar dahilinde yürütülmesi, keyfî ve ölçüsüz işleme pratiklerinin engellenmesi.
Hak ve özgürlüklerin korunması: Özel hayatın gizliliği, kişisel veriler üzerinde kontrol hakkı, başvuru ve itiraz mekanizmalarının işletilmesi.
Toplumsal adalet ve eşitlik: Kişisel verilerin kötüye kullanılmasının önlenmesi, belirli kişi gruplarına karşı ayrımcılığın engellenmesi.
Ekonomik düzenleme: Veri ekonomisinin güvenilir bir zeminde, rekabet ve tüketici hakları gözetilerek gelişmesi.
Toplumsal refah: Dijitalleşen iş modellerinde hem kamu hem özel sektör için öngörülebilir bir mevzuat çerçevesi yaratılması.

3. Kişisel Verilerin İşlenmesine İlişkin Hukuka Uygunluk İlkesi

KVKK’nın temel taşlarından biri, hukuka ve dürüstlük kurallarına uygun işleme ilkesidir. Bu ilke, veri işleme faaliyetlerinin mutlaka bir hukuki sebebe (legal ground) dayanmasını ve ilgili mevzuatla uyumlu yürütülmesini zorunlu kılar.

Hukuka uygun veri işleme, sadece “rıza almak”tan ibaret olmayıp, KVKK’da sayılan hukuki sebeplerden en az birinin bulunmasını gerektirir:

İlgili kişinin açık rızası,
Kanunlarda açıkça öngörülmesi,
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi,
İlgili kişinin hayati çıkarlarının korunması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
Veri sorumlusunun meşru menfaati için zorunlu olması (ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi kaydıyla).

Buna paralel olarak ilke; adil ve şeffaf işleme, belirli-açık-meşru amaç, veri minimizasyonu, doğruluk/güncellik, sınırlı saklama süresi gibi alt prensipleri de içermektedir.

4. Veri Sorumlusunun Aydınlatma Yükümlülüğü

Aydınlatma yükümlülüğü, veri sorumlusunun kişisel verilerin işlenmesi sırasında ilgili kişilere; kim olduğunu, hangi veriyi, hangi amaçla, hangi hukuki sebebe dayanarak işlediğini açıklama zorunluluğudur. Bu yükümlülük, KVKK’nın şeffaflık ve hesap verebilirlik ilkelerinin pratik karşılığıdır.

Aydınlatma metinlerinde asgari olarak aşağıdaki unsurlara yer verilmesi beklenir:

Veri sorumlusunun ve varsa temsilcisinin kimlik ve iletişim bilgileri,
İşlenen kişisel veri kategorileri,
Veri işleme amaçları,
Veri işleme faaliyetinin hukuki dayanakları,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Veri saklama süreleri veya belirleme kriterleri,
İlgili kişinin KVKK kapsamındaki hakları ve bu hakların nasıl kullanılacağı.

Aydınlatma yükümlülüğünün yerine getirilmemesi; hem idari para cezası riski doğurur, hem de hukuka uygunluk ve şeffaflık ilkelerinin ihlali nedeniyle olası ceza soruşturmalarında aleyhe delil teşkil edebilir.

5. Veri İhlali Bildirim Yükümlülüğü

Veri ihlali; kişisel verilere yetkisiz erişilmesi, açıklanması, değiştirilmesi, silinmesi veya kaybolması gibi olayları kapsar ve çoğu durumda hem teknik hem hukuki kriz yönetimi gerektirir.

KVKK ve ikincil düzenlemeler çerçevesinde veri sorumlusu;

Veri ihlalini fark ettiğinde gecikmeksizin Kurul’a bildirim yapmakla,
İhlalden etkilenen ilgili kişileri uygun yöntemlerle bilgilendirmekle,
İhlalin niteliği, etkilenen veri türleri, muhtemel sonuçlar ve alınan/ alınacak önlemleri açıklamakla

yükümlüdür.

Bildirim içeriğinde genellikle şu başlıklar beklenir:

İhlalin ne olduğu ve nasıl gerçekleştiğine ilişkin özet,
Etkilenen veri kategorileri ve kişi grupları,
İhlalin olası sonuçları ve riskler,
Alınan ilk tedbirler ve planlanan ilave önlemler,
İlgili kişilerin başvuru/iletişim kanalları.

Zamanında ve şeffaf bildirim; hem hukuki uyum hem de kurum itibarı açısından kritik bir yönetim aracıdır. Aksi hâlde ihlalin kendisinden bağımsız olarak bildirim yükümlülüğüne aykırılık nedeniyle ayrıca idari ve cezai sorumluluk gündeme gelebilir.

6. KVKK Kapsamında Suçlar ve TCK 135–140 İlişkisi

KVKK, kişisel verilerle ilgili ceza hukuku yaptırımlarını doğrudan kendi içinde detaylandırmak yerine, 5237 sayılı Türk Ceza Kanunu’nun 135–140. maddelerine atıf yapmaktadır. Bu maddeler; kişisel verilerin hukuka aykırı kaydedilmesi, verilmesi, yayılması, ele geçirilmesi ve yok edilmemesi gibi fiilleri suç olarak tanımlar.

KVKK çerçevesinde sık karşılaşılan başlıca suç başlıkları özetle şunlardır:

6.1 İzinsiz Kişisel Veri İşleme / Hukuka Aykırı Kayıt

İlgili kişinin açık rızası veya kanundaki diğer hukuki sebepler olmadan kişisel verilerin kaydedilmesi, işlenmesi veya sistematik olarak tutulması; TCK’daki kişisel verilerin hukuka aykırı kaydedilmesi suçuna zemin oluşturabilir. Örneğin:

Herhangi bir hukuki sebep olmaksızın profil oluşturulması,
Rıza alınmaksızın pazarlama amacıyla veri tabanı kurulması,
Amaçla bağlantısız ve ölçüsüz veri işlenmesi

ceza soruşturmasına konu olabilecek tipik senaryolardır.

6.2 Kişisel Veri Güvenliğini Tehlikeye Atma

Kişisel verilerin; kasıtlı bir eylem veya ağır ihmal sonucu ciddi şekilde riske atılması, yetkisiz kişilerce erişilebilir hâle getirilmesi veya yeterli teknik/idari tedbir alınmaması, kişisel veri güvenliğini tehlikeye atan fiiller olarak değerlendirilebilir.

Bu kapsamda; zayıf parola politikaları, yamalanmamış sistemler, log kayıtlarının tutulmaması, yetki matrisi kurgulanmaması gibi zaafiyetler, somut olay bazında cezai sorumluluk tartışmasını beraberinde getirebilir.

6.3 Kişisel Veri Sahibinin Haklarının İhlali

İlgili kişinin erişim, düzeltme, silme, işlemeyi kısıtlama, itiraz gibi haklarının sistematik biçimde görmezden gelinmesi veya başvurulara hiç yanıt verilmemesi, hem KVKK anlamında idari ihlal, hem de belirli şartlar altında hak ihlali boyutuna taşınarak ceza hukuku tartışmasına konu olabilir.

6.4 Kişisel Verileri Yok Etmeme (TCK m.138)

Kanuni saklama süresi sona ermesine rağmen kişisel verilerin silinmemesi, yok edilmemesi veya anonim hale getirilmemesi; TCK m.138 çerçevesinde kişisel verileri yok etmeme suçu kapsamında değerlendirilebilir. Bu nedenle Kişisel Veri Saklama ve İmha Politikası fiilen işletilmediğinde, salt idari risk değil, doğrudan cezai risk de söz konusu olur.

7. Cezai Yaptırımlar: Para ve Hapis Cezaları

KVKK kapsamında veri sorumlularının karşılaşabileceği yaptırımlar iki eksende ele alınmalıdır:

İdari yaptırımlar: Kurul tarafından uygulanan idari para cezaları (KVKK m.18).
Cezai yaptırımlar: TCK 135–140 kapsamındaki suçlara karşı öngörülen hapis ve adli para cezaları.

7.1 İdari ve Cezai Yaptırımlar – Karşılaştırma Tablosu

Kategori	İdari Yaptırımlar (KVKK m.18)	Cezai Yaptırımlar (TCK 135–140)
Hukuki Dayanak	6698 sayılı KVKK – Kurul’un gözetim ve denetim yetkisi.	5237 sayılı TCK – kişisel verilere ilişkin özel suç tipleri.
Hedeflenen Fiiller	Aydınlatma ihlali, veri güvenliği tedbirlerinin alınmaması, VERBİS uyumsuzluğu, Kurul kararına uymama vb.	Verilerin hukuka aykırı kaydı, yetkisiz aktarımı, ifşası, ele geçirilmesi, yok edilmemesi vb.
Yaptırım Türü	İdari para cezası; kamu kurumlarında disiplin süreçleri.	Hapis cezası ve/veya adli para cezası; sabıka kaydı etkisi.
Uygulayıcı	Kişisel Verileri Koruma Kurulu.	Ceza mahkemeleri; soruşturma Cumhuriyet Başsavcılığı tarafından yürütülür.
Değerlendirme Kriterleri	İhlalin niteliği, süresi, yaygınlığı, giderilip giderilmediği, iş birliği düzeyi.	Suç kastı, fiilin ağırlığı, mağdur sayısı, veri türü (özellikle özel nitelikli veriler), failin sıfatı.

Cezai yaptırımların kapsamı ve miktarı zaman içinde mevzuat değişiklikleri ve yargı içtihatlarıyla şekillenebileceği için, somut olay bazında güncel hukuki görüş alınması önemlidir. Kurumsal tarafta ise; KVKK uyum programlarının ceza hukuku perspektifiyle de gözden geçirilmesi, yönetim kuruluna düzenli risk raporları sunulması iyi uygulama olarak öne çıkmaktadır.

KVKK idari yaptırımlar TCK 135-140 suçlar kişisel veri ceza hukuku veri ihlali bildirimi aydınlatma yükümlülüğü

8. Sık Sorulan Sorular

8.1 KVKK ihlali her zaman hapis cezası anlamına gelir mi?

Hayır. KVKK’ya aykırılıklar öncelikle idari ihlal olarak değerlendirilir ve KVKK m.18 uyarınca idari para cezasına konu olur. Ancak fiil, kişisel verilerin hukuka aykırı kaydedilmesi, ifşası veya yok edilmemesi gibi TCK’da tanımlanan bir suç tipine giriyorsa, bu durumda cezai sorumluluk da gündeme gelir.

8.2 İhlal edilen her durumda Kurul ve ceza makamları aynı anda mı devreye girer?

Kurul’un idari incelemesi ile savcılık makamının ceza soruşturması birbirinden bağımsız yürüyebilir. Bazı olaylarda sadece idari süreç işletilirken, ağır ihlallerde veya suç şüphesinin güçlü olduğu durumlarda idari ve cezai süreçler paralel şekilde gündeme gelebilir.

8.3 Verileri silmeyi unutmak gerçekten suç oluşturabilir mi?

Saklama süresi sona erdiği hâlde kişisel verilerin sistemlerde tutulmaya devam edilmesi, koşullara bağlı olarak TCK m.138 kapsamında kişisel verileri yok etmeme suçu olarak değerlendirilebilir. Bu nedenle veri saklama ve imha politikalarının sadece kâğıt üzerinde değil, fiili olarak uygulanması gerekir.

8.4 Veri ihlali yaşandığında sadece Kurul’a bildirim yapmak yeterli midir?

Kurul’a bildirim, KVKK anlamında bir idari yükümlülüktür. Ancak ihlalin niteliği, kişisel verilerin yetkisiz kişilerce ele geçirilmesi veya ifşası boyutundaysa, olay aynı zamanda ceza soruşturmasına konu olabilecek bir suç teşkil edebilir. Bu nedenle hem Kurul bildirimi hem de ceza hukuku boyutu birlikte yönetilmelidir.

8.5 Kurumsal tarafta cezai riskleri azaltmak için neler önceliklidir?

Güncel bir veri envanteri, saklama–imha politikaları, yetki/yetkilendirme matrisleri, log yönetimi, güçlü teknik güvenlik tedbirleri ve belgelenmiş KVKK süreçleri; hem idari hem cezai riskleri azaltan temel bileşenlerdir. Bunların sürekli izleme ve iç denetim döngüsüyle desteklenmesi gerekir.

İlgili hizmet: güncel KVKK ceza kararları hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.