İnternet Kişisel Verilerin Korunması Kanunu kapsamında verilerin işlenmesine belirli şartlar dahilinde izin verilmiştir. Veri sorumlusu olarak bilinen gerçek veya tüzel kişi, kişisel verilerin işlenmesini ve kayıt sistemi kurulması ile yönetilmesiyle yükümlüdür. Hukuka ve dürüstlük kurallarına uygun, güncel ve doğru bilgileri meşru amaçlar için işleme halinde sınırlı ve ölçülü olunmak zorundadır. Bu kriterlere uygun şekilde ve makul süre içinde kişisel bilgiler ve veriler saklanabilir. Kişisel verilerin saklanması ve korunması makul süreye kadar geçerlidir. Belirlenen süre sonrasında bilgiler imha edilmek zorundadır. Aksi halde yükümlülük doğacaktır.
Kişisel verilerin korunması ve saklanması kapsamında açık rıza yoksa şikayet süreci başlatılabilir. Hiç kimse haberi olmadan kişisel bilgilerinin saklanmasına ve işlenmesine rıza göstermez. Kural olarak bu bilgileri depolamak için rıza alınmadığı kabul edilir. Bir kimse verilerinin işlenmesi, kaydedilmesi ve saklanması için onay vermek zorundadır. Onay kutucuğu veya işaretleme yolu ile açıkça rıza verdiğinde buna karşı şikayet sürecini işletemeyecektir. Tazminat davası açamayacağı gibi kanunlar çerçevesinde de hak talep edemez. Kişi kendi bilgilerini yaydığında da kurula şikayet talebinde bulunamaz.
Veri sorumlusunun verilerin güvenliğine ilişkin yükümlülüklerini ihlal etmesi kanuni başvuru yollarının işletilmesini zorunlu kılar. KVKK kapsamında her hak güvence altına alınmıştır. O yüzden veri sorumlusu bilgilerin güvenliğini sağlama hususunda yetkili kişidir. Veri sorumlusu kişisel bilgilerin güvenliğini sağlamak için güvenlik seviyesini artırıp teknik olarak gerekli tedbirleri almakla yükümlüdür. Veriler hukuka uygun ve güvenli şekilde saklandığında bilgisi dışında veriler ele geçilirse idari para cezasında indirim sağlanabilir. Bu yükümlülük kanundan kaynaklandığı için ihlal edildiği takdirde yaptırıma tabi olunacaktır.
Veri sorumlusu; bizzat veya başkalarının bilgileri paylaşması halinde hukuki süreç başlatılır. Verilerin depolanırken gizliliğin ihlal edildiğini Kişisel Verileri Koruma Kuruluna bildirmesi gerekecektir. Veri sorumlusu ihlali fark ettiğinde ilgili bildirimleri yapmak durumundadır. Bu bildirimleri yapmadığı takdirde ceza yaptırımı ile de karşılaşır. Veri sorumlusunun kanunda açıkça yazılan hallere aykırı davranması durumunda tüm tazmin yolları sorumluya karşı işletilebilecektir. Veri sorumlusu yükümlülükleri;
Verileri belirli, açık ve meşru amaç için işleme
Belirli, açık ve meşru amaçlar için işlenme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Hukuka ve dürüstlük kurallarına uygun olma
Doğru ve gerektiğinde güncel olma
Bu ilkeler sağlanmadığı zaman ilgili kişilerin sorumluluğu doğacaktır. Gerekli sistem ve tekniğin kullanıldığı düşünülse de güvenlik zafiyeti ortaya çıkabilir. Burada önemli olan veri sorumlusunun zamanında bildirimleri yapmasıdır. Teknik sistem sağlansa da sistemsel açıklardan sorumluluk belirli seviyeye kadar kabul edilir. İdari yaptırım kararında da bu durum göz önüne alınır. Avukatınız KVKK şikayet süreci ve ayrıntıları hakkında bilgi verecektir. Büyük çaplı yaptırımlara tabi olmamak adına avukatla çalışmanız önerilir. Ticari riskleri önlemek ve kullanıcı kaybetmemek adına sistemsel güvenlik sağlanabilmelidir. Uygulama, aplikasyon ve internet sitelerinde kişisel verilerin hukuka aykırı ele geçirilmesi mali açıdan da kayıplara neden olur. KVKK başvuru süreci hukuki olarak işletilirse olumlu sonuç almanız kolaylaşır. Başvuru süreci ve dava açma ile ilgili çekinceleriniz varsa avukatla temsil edilin. Maddi tazminat davası ve manevi tazminat davasında gerekçeleri sunma ve delil ekleme söz konusu ise bunlar zamanında yapılmalıdır. Maddi ve manevi tazminat davasında talep eden kişi tüm delilleri ve talepleri sunmak zorunda olduğundan aksi durumda tazminat istemi reddedilebilir. Avukatınızla görüşüp bu riski bertaraf edebilirsiniz. İstanbul Zeytinburnu’ndaki Gür Hukuk bürosu KVKK şikayet süreci, maddi ve manevi tazminat davaları için tüm hukuki süreci takip edecektir. Zamanında başvuru yapmak ve tazminat almak için zaman kaybetmeyin. Bu alanda başarısı bilinen hukuk bürosu ile çalışıp haklarınızı talep edin. Yoksa zamanında talep etmediğinizden hak kaybı ortaya çıkacaktır.
Kişisel veri ihlalinde şikayet süreci haklarınız ve başvuru yolları incelendiğinde risk düzeyinin tespiti önemlidir. Kişisel veri ihlalinin söz konusu olduğu durumlarda düşük düzeyde risk, orta düzeyde risk ve yüksek düzeyde risk değerlendirilmesi yapılır. Kişisel Verileri Koruma Kurulu gerekli ve olumsuz sonuçları engelleyecek tedbirleri alır.
İlgili başvuru yolları kadar hangi bilgilerin kişisel veri olarak kabul edildiğinin de bilinmesi gerekir. Gerçek veya tüzel kişiliği belli veya belirlenebilir her türlü bilgi kişisel veri olarak kabul edilecektir. Kişisel veri olarak nüfus bilgileri dışında fotoğraf, video, kişisel tercihler, sağlık bilgileri, cinsel ve ahlaki eğilim, biyolojik örnekler, etnik köken, sendika ve dernek bağlantıları kabul edilebilir. Herkesin ulaşmasının mümkün olmadığı bu verilere kolaylıkla erişilmesi halinde yaptırıma tabidir. Herkesin ulaşabildiği veya bilinmesi gereken veriler kişisel veri olarak değerlendirilmez. O nedenle idari yaptırıma ve ceza yargılamasına da konu olmaz.
Kişisel Veriler İhlal Edildiğinde Nereye Başvurulur?
Kişisel verilerin ihlal edildiğini veri sorumlusu veya ilgililer kurula bildirmek zorunda olduğundan tedbirler de bu doğrultuda alınacaktır. Kişisel veriler ihlal edildiğinde nereye başvurulur bilinirse süreç uzamadan gerekli önlemler alınabilecektir. Böylece kişisel veriler suç işleyecek kişilerin de eline geçmez. Zamanında alınan önlemler sayesinde verilerin suç unsuru oluşturacak şekilde kullanılması da engellenir.
Kişisel veriler ihlal edildiğinde nereye başvurulur konusunda çekinceleriniz varsa avukat ile görüşün. Süreci ve başvuru yollarını araştırıp uğraşmak yerine avukatınız sizin için gerekli prosedürleri işletecektir. Tazminat talepleri ve tedbirler için hukuki süreci başlatır.
Kişisel veriler ihlal edildiğinde nereye başvurulur?
Veri sorumlusunun, veri ihlalini tespit ettiği andan itibaren 72 saat içinde bu durumu Kişisel Verileri Koruma Kuruluna bildirmesi önemlidir. Gecikme söz konusu ise bunu gerekçeleri ile belirtmek zorundadır.
Veri sorumlusunun görevi veri ihlalinden etkilenen kişilere makul süre içinde bildirim yapmasıdır. Verileri ihlal edilen kişinin bilgileri varsa ilgili kimseye doğrudan haber de verilmelidir. Veri sorumlusunun internet sitesinde yayımlanma veya diğer yollarla haber verme sureti ile bildirim yapılır.
Kişisel Veri İhlali Bildirim formu doldurularak belgelerin eklenmesi gerekir. İnceleme raporu, bildirim yapıldığına dair belge sunulması önemlidir. Formdaki bilgiler ve belgelerin bir anda sunulmasına imkan bulunmuyorsa veri sorumlusu peyderpey gerekli bilgilerin teminini sağlar. Bu sistemi işletmek veri sorumlusunun yükümlülüğünü hafifletir.
Veri güvenliğini sağlayamayan ve yükümlülüklerini yerine getirmeyen veri sorumluları hakkında 141.934 TL’den 9.463.213 TL’ye kadar idari para cezası verilebilir. İdari para cezası devletin aldığı miktardır. Veri sorumlusunun bir de kişisel veriler ihlal edildiği için kişilere dava açma hakkı vardır.
Kişisel verileri başkasının eline geçen kişiler hukuki yollara başvurabilir. Maddi tazminat ile birlikte manevi tazminat isteme hakkınız da vardır. Bildirim yükümlülüğünün yerine getirilmemesi sadece maddi açıdan sonuç doğurmaz. Aynı zamanda ticari olarak da itibar kaybına uğranılmasına neden olur.
Kişisel Veri İhlalinde Şikayet Süreci;
Veri sorumlusu veya bilgileri hukuka aykırı saklanan kişi Kişisel Verileri Koruma Kuruluna şikayet yapmalıdır.
Şikayet yolunun işletilmesi için ilgili kişinin veri sorumlusuna yaptığı başvurunun reddedilmesi gerekir. Veri sorumlusunun gerekli adımı atmaması şikayet hakkını doğurur. Bazen de veri sorumlusu 30 gün içinde yapılan başvuruya cevap vermez veya cevabı yetersiz görülürse şikayet yolu işletilir. Bilgileri çalınan veya hukuka aykırı şekilde saklanan kişi Kurula başvuru yapmadan şikayet yoluna gidemeyecektir.
Kişisel veri ihlalinde makul sürede dava açılması gerekir. Veri sorumlusundan 30 gün içinde cevap gelirse bu süre içinde, her halde başvurudan itibaren 60 gün içinde kurul incelemeye alır. Ancak bildirim yoksa da öğrenmeden itibaren re’sen harekete geçip inceleme yapabilir.
Veri sorumlusu talep edilen bilgi ve belgeleri 15 gün içinde kurula göndermek zorundadır. Bu bilgileri ve belgeleri göndermediği takdirde sorumluluğu doğacaktır. Kurul şikayet üzerine inceleme yapar. Ancak bu incelemenin süresi 60 günü geçerse ve cevap verilmezse ilgilinin talebi reddedilmiş sayılacaktır. 60 günlük süre sonunda kurul karar vermese de idari yargıda dava açılabilecektir. 60 günlük süre resen yapılan incelemelerde geçerli olmaz.
Kurul ihlalin varlığını tespit ederse veri sorumlusuna uyarıda bulunur. İhlalin olduğunu ve giderilmesi gerektiğini bildirir. İlgili kimseye karar tebliğ edildikten sonra en geç 30 gün içinde kararın gerekleri yerine getirilmek zorundadır.
Telafisi güç zararların gerçekleşeceği kanaatine varıldığında Kurul veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Kişisel veri ihlalinde şikayet hakkını kullanan kimse genel hükümlere göre tazminat isteminde de bulunabilir. Şikayet yolunun işletilmesi tazminat davası açılmasını engellemeyecektir. Şikayet yolu zorunlu olsa da maddi ve manevi tazminat davası isteğe bağlıdır.
Kişisel Verilerin Kaydedilmesi Suçu
Kişisel veri ihlalinin diğer bir yönü de ceza yargılaması ile ilişkilidir. Kişisel verilerin başkalarının eline geçmesi durumunda kişisel verilerin kaydedilmesi suçu oluşacaktır. 5237 sayılı TCK madde 136’ya göre verileri hukuk aykırı olarak verme veya ele geçirmede 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır. Bu maddeye göre fiilin suç sayılması ve cezalandırılması için;
Kişisel verilerin ele geçirilmesi
Kişisel verilerin yayılması
Kişisel verilerin başkasına verilmesi
Kişisel verilerin kaydedilmesi suçu için şikayet gerekmez. Suçun işlenildiğinin öğrenildiği tarihten itibaren savcılık harekete geçip soruşturma açar. Bu suç açısından dava zamanaşımı süresi vardır. Kişisel verilerin kaydedilmesi suçu zamanaşımı 8 yıldır. Suçun işlenildiğinin öğrenildiği tarihten itibaren 8 yıl içinde soruşturma açılmalıdır. Aksi durumda suçun soruşturması yapılamayacaktır. Bu süre geçtikten sonra soruşturmaya başlanılması ceza verilmesine neden olmaz. Avukatınız olduğunda dava zamanaşımını ileri sürer. Zamanında yapılan müdahaleler boş yere yargılama yapılmasını da engeller. Dava açılmadan soruşturma aşamasında iddianame düzenlenmesini engellemek için avukatınız bu aşamada nedenleri ileri sürer. Yargıtay Kararları doğrultusunda hakkınızda işlem yapılmasına da engel olur.
Kişisel verilerin yayılması bazı durumlarda özel hayatın gizliliğini ihlal suçuna da sebebiyet verebilir. Bazen hukuka uygun biçimde kişisel veriler elde edilse belirlenen sürede bu bilgilerin imhası gerekmektedir. Verilerin belirlenen süre içinde yok edilmemesi durumunda ise kişisel verilerin yok edilmemesi suçu oluşur. Bu suçu işlememek için avukatla görüşebilirsiniz.
Ticaret şirketi, kurum ve kuruluşların hukuka uygun olarak elde ettiği bilgileri süresinde imha etmemeleri durumunda ticari olarak sorun yaşamaları da mümkündür. İtibar ve güven kaybına yol açacak bu gibi risklerle karşılaşmamak için tedbirli davranılmak zorundadır. Gerçek kişilerin, veri sorumlusunun ve site sahibinin yaptırımla karşılaşmaması avukat desteği ile mümkündür. Site yöneticileri ve veri sorumlusu KVKK yaptırımlarına dair bilgi edindiğinde her adımını dikkatli atacaktır. Gizliliği önemseyip hukuka uygun elde edilen verileri makul sürede imha edecektir.