Günümüzde kişisel veriler, günlük yaşamın neredeyse her alanında işleniyor. Kimlik bilgilerimizden finansal verilerimize, sağlık kayıtlarımızdan iletişim bilgilerimize kadar pek çok veri dijital ortamlarda saklanıyor, işleniyor ve paylaşılıyor. Bu durum, kişisel verilerin korunmasını ve hukuka aykırı kullanımını engellemeyi daha da önemli hale getiriyor.
Türkiye’de kişisel verilerin korunmasına ilişkin temel yasal düzenleme, 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur (KVKK). Ancak bazı durumlarda veri sorumluları yükümlülüklerini yerine getirmediğinde KVKK ihlali gündeme gelir. Böyle bir ihlalle karşılaşıldığında kişilerin başvuru ve şikayet haklarını etkin şekilde kullanabilmeleri büyük önem taşır.
KVKK Kapsamında Kişisel Veriler Nasıl Korunur?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini sıkı kurallara bağlayarak bireylerin özel hayatını ve temel haklarını koruma altına almayı amaçlar. Kanun, kişisel verilerin toplanması, işlenmesi, saklanması, paylaşılması ve silinmesi süreçlerinde hem veri sorumlularına hem de veri işleyenlere çeşitli sorumluluklar yükler.
KVKK’ya Göre Kişisel Veri Nedir?
KVKK’ya göre kişisel veriler; kimlik bilgileri, iletişim bilgileri, sağlık verileri, finansal bilgiler, biyometrik veriler, genetik veriler, IP adresleri ve konum bilgileri gibi kişiyi doğrudan veya dolaylı olarak tanımlayan her türlü bilgiyi kapsar. Ayrıca bu verilerin bir araya gelerek kişinin kimliğini ortaya çıkarabilecek her türlü veri de kişisel veri kapsamında değerlendirilir.
Özel Nitelikli Kişisel Veriler
Kanun, bazı verileri ise özel nitelikli kişisel veriler olarak ayrı bir kategoride değerlendirir. Bu veriler şunlardır:
Irk, etnik köken
Siyasi düşünce
Dini, mezhebi, inancı
Sağlık bilgileri
Cinsel hayat
Genetik ve biyometrik veriler
Ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler
Bu verilerin işlenmesi için çok daha sıkı kurallar ve yüksek düzeyde güvenlik tedbirleri öngörülmektedir. Özel nitelikli verilerin ihlali durumunda kvkk ihlali daha ağır sonuçlar doğurabilir.
Veri Sorumlularının KVKK Kapsamındaki Yükümlülükleri
KVKK, kişisel verileri işleyen gerçek ve tüzel kişilere yani veri sorumlularına çeşitli yükümlülükler yüklemektedir. Bu yükümlülüklerin temel başlıkları şu şekildedir:
✅ 1️⃣ Veri İşleme Amacı ve Süresiyle Sınırlı Hareket Etme
Veri sorumlusu, kişisel verileri yalnızca açık ve meşru amaçlarla toplamalı, bu verileri gereksiz ve ölçüsüz şekilde işlememelidir. İşleme amacı ortadan kalktığında veya yasal saklama süreleri sona erdiğinde, verilerin silinmesi veya anonimleştirilmesi zorunludur.
✅ 2️⃣ Açık Rıza Alma Yükümlülüğü
KVKK’ya göre kişisel veriler, kural olarak ilgili kişinin açık rızası alınmaksızın işlenemez. Açık rıza; belirli, bilgilendirilmiş ve özgür iradeye dayanmalıdır. Ancak bazı hallerde (örneğin kanuni zorunluluklar, sözleşme gereklilikleri gibi) açık rıza aranmaksızın veri işlenmesi de mümkündür.
✅ 3️⃣ Aydınlatma Yükümlülüğü
Veri sorumluları, kişisel verileri toplarken ilgili kişilere verinin hangi amaçla toplandığını, kim tarafından işlendiğini, hangi üçüncü kişilere aktarılacağını ve hangi haklara sahip olduklarını açık ve anlaşılır şekilde bildirmekle yükümlüdür.
✅ 4️⃣ Veri Güvenliğini Sağlama Yükümlülüğü
Veri sorumlusu, işlenen kişisel verilerin güvenliğini sağlamak, yetkisiz erişim, sızma, kaybolma veya kötüye kullanım gibi durumlara karşı gerekli teknik ve idari tedbirleri almak zorundadır. Bunlar arasında:
Şifreleme ve güvenli veri saklama sistemleri kurma,
Yetkisiz erişimi engelleyici yazılım ve donanımlar kullanma,
Personel eğitimleri ve bilinçlendirme çalışmaları yapma,
Düzenli güvenlik denetimleri gerçekleştirme gibi önlemler yer alır.
✅ 5️⃣ İlgili Kişinin Haklarına Cevap Verme Yükümlülüğü
Veri sorumluları, KVKK kapsamında ilgili kişilerin başvuru ve taleplerine belirli süreler içinde cevap vermekle yükümlüdür. Bu haklar arasında:
Kişisel veri işlenip işlenmediğini öğrenme,
İşlenmişse buna ilişkin bilgi talep etme,
Hatalı veya eksik işlenmiş verilerin düzeltilmesini isteme,
Verilerin silinmesini veya yok edilmesini talep etme,
Verilerin aktarıldığı üçüncü kişilerin öğrenilmesi,
İşleme faaliyetlerine itiraz etme,
Uğranılan zararın tazminini talep etme,
gibi önemli haklar bulunur. Veri sorumlusu bu talepleri en geç 30 gün içinde sonuçlandırmalıdır.
KVKK İhlali Nasıl Ortaya Çıkar?
Veri sorumlusu yukarıda sayılan yükümlülüklerden herhangi birine aykırı hareket ederse KVKK ihlali gerçekleşmiş olur. Örneğin:
Açık rıza almadan veri işleme,
İlgili kişiye aydınlatma yapmama,
Gereksiz süreyle veri saklama,
Yetersiz veri güvenliği nedeniyle verilerin sızdırılması,
İlgili kişinin taleplerine süresinde yanıt vermeme,
halleri doğrudan KVKK ihlali oluşturur ve yaptırıma tabidir.
KVKK İhlali Örnekleri
KVKK ihlalleri, hem bireysel hem de kurumsal birçok faaliyetin yanlış veya eksik yürütülmesi sonucu ortaya çıkabilir. İhlalin kaynağı çoğu zaman bilinçsiz uygulamalar, yeterli teknik önlem alınmaması veya yasal yükümlülüklerin tam olarak kavranamamasıdır.
Aşağıda sık karşılaşılan kvkk ihlali örneklerini daha detaylı şekilde inceleyelim:
Açık Rıza Alınmadan Kişisel Verilerin İşlenmesi
KVKK’nın temel prensiplerinden biri, ilgili kişinin açık rızasının alınmasıdır. Pek çok kurum; müşteri, çalışan veya üçüncü kişilerin kişisel verilerini toplarken rıza alma yükümlülüğüne dikkat etmez. Özellikle:
Web sitelerinde çerez politikalarının eksik olması,
Üyelik ve abonelik süreçlerinde açık rıza kutularının bulunmaması,
Sözleşmelerde aydınlatma metnine yer verilmemesi,
gibi eksiklikler doğrudan kvkk ihlali anlamına gelir.
Eski Çalışanların Verilerinin Gereksiz Yere Saklanması
İşten ayrılan çalışanların:
Kimlik fotokopileri,
Bordro kayıtları,
Sağlık raporları,
Disiplin dosyaları,
gibi bilgileri gereksiz şekilde uzun süre saklanmaya devam ediliyorsa, bu da KVKK ihlalidir. Kanuna göre kişisel veriler yalnızca işleme amacıyla sınırlı süre tutulmalı, süre dolduğunda anonimleştirilmeli veya imha edilmelidir.
Kredi Kartı ve Finansal Bilgilerin İzinsiz Paylaşılması
Kredi kartı, IBAN, banka hesap bilgileri gibi finansal veriler de kişisel veri kapsamındadır. Bu tür bilgilerin:
Üçüncü kişilerle paylaşılması,
Açık rıza olmadan sistemlerde tutulması,
Güvenlik açıkları nedeniyle sızdırılması,
çok ciddi KVKK ihlallerine ve yüksek idari para cezalarına yol açabilir.
Sağlık Bilgileri veya Biyometrik Verilerin Paylaşılması
Sağlık bilgileri ve biyometrik veriler (parmak izi, yüz tanıma, retina taraması vb.) özel nitelikli kişisel veri statüsündedir ve çok sıkı şekilde korunmalıdır.
Hastane, poliklinik, işyeri hekimi sistemleri,
Çalışanların biyometrik giriş sistemleri,
Kamera kayıt sistemleri (özellikle ses kaydı da yapılıyorsa),
yanlış saklama, yetersiz güvenlik ve yetkisiz paylaşımlar halinde doğrudan kvkk ihlali oluşturur.
Pazarlama Amaçlı SMS ve E-posta Gönderimi
KVKK ve Ticari İletişim Mevzuatı gereği:
SMS, e-posta ve arama yoluyla ticari iletişim kurabilmek için önceden onay alınması,
Alıcıya iletişimi reddetme hakkının sunulması zorunludur.
Aksi halde gönderilen mesajlar ve aramalar açık rıza ihlali anlamına gelir. Bu da hem KVKK hem de Ticaret Bakanlığı tarafından yaptırıma uğrayabilir.
Güvenlik Önlemleri Alınmadan Verilerin Saklanması ve Sızdırılması
Teknik ve idari tedbirlerin alınmaması nedeniyle verilerin:
Siber saldırılara maruz kalması,
Yetkisiz kişilerin erişimine açılması,
USB, taşınabilir disk gibi korunmasız ortamlarda taşınması,
Bulut sistemlerinde şifreleme yapılmadan saklanması,
gibi durumlar da KVKK ihlali sayılmaktadır. Özellikle son yıllarda veri sızıntısı vakaları bu nedenle ciddi artış göstermektedir.
Sosyal Medyada İzinsiz Paylaşım
İşverenlerin veya kurumların çalışanlara ait fotoğraf, video ve kişisel bilgileri; sosyal medya, web sitesi veya broşürlerde ilgili kişilerin rızası olmaksızın paylaşması da KVKK kapsamında ihlaldir. Her türlü görsel ve ses kaydı da kişisel veri olarak kabul edilir.
Kamera ve Ses Kayıt Sistemleri
İşyeri, bina, AVM, otel, okul gibi alanlarda kullanılan kamera ve ses kayıt sistemlerinde:
Kayıt altına alındığına dair bilgilendirme yapılmaması,
Açık rıza alınmaması,
Verilerin gereksiz süreyle saklanması,
halinde KVKK ihlali gündeme gelir.
Üçüncü Kişilerle Bilgi Paylaşımı
Veri sorumlularının, iş ortakları, taşeron firmalar veya hizmet sağlayıcılar ile yapılan veri paylaşımı sırasında:
Paylaşım amacını ve sınırlarını net belirlememesi,
Aktarım güvenliğini sağlamaması,
da önemli bir KVKK ihlali sebebidir.
Her İhlalde Başvuru Yolu Açıktır
Bu tür durumlarda kişisel verisi ihlal edilen kişi, öncelikle veri sorumlusuna başvurarak ihlalin giderilmesini talep edebilir. Başvuru sonuçsuz kalırsa Kişisel Verileri Koruma Kurulu’na şikayet hakkı doğar. Gerekirse tazminat ve ceza davası yolları da kullanılabilir.
KVKK İhlali Başvuru Süreci Nasıl İşler?
1️⃣ İlk Adım: Veri Sorumlusuna Başvuru
KVKK’ya göre öncelikli başvuru merci doğrudan veri sorumlusudur. İlgili kişi (verisi ihlal edilen kişi), veri sorumlusuna yazılı veya Kişisel Verileri Koruma Kurumu (KVKK) tarafından belirlenen yöntemlerle başvurarak taleplerini iletebilir.
Başvuruda belirtilmesi gereken temel bilgiler:
Başvuru sahibinin kimlik ve iletişim bilgileri,
İhlalin konusu ve detayları,
Talep edilen işlemler (düzeltme, silme, durdurma vb.),
Tarih ve imza.
Veri sorumlusu başvuruyu en geç 30 gün içinde yanıtlamakla yükümlüdür.
2️⃣ Veri Sorumlusunun Yanıtı
Veri sorumlusu, başvuruya olumlu ya da olumsuz cevap verebilir:
Olumlu cevap: Talep edilen işlem yapılır (örneğin: veriler silinir, güncellenir, paylaşım durdurulur).
Olumsuz cevap: Talep reddedilir veya cevap verilmezse, başvuru sahibi bir sonraki aşamaya geçebilir.
3️⃣ Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu) Şikayet
Veri sorumlusunun cevabını yetersiz bulan veya 30 gün içinde yanıt alamayan kişi, 60 gün içinde KVKK Kurulu’na şikayet başvurusu yapabilir.
Kurul başvuruyu değerlendirir ve gerekli incelemeyi yapar. Kurul gerekli görürse:
İhlalin giderilmesini,
İdari para cezası uygulanmasını,
Veri sorumlusunun yükümlülüklerini yerine getirmesini talep edebilir.
4️⃣ Yargı Yolu
Kurul kararına rağmen mağduriyet devam ederse, kişi mahkemeye başvurma hakkına da sahiptir. KVKK ihlali nedeniyle açılabilecek davalar arasında:
Maddi ve manevi tazminat davaları,
İdari işlemin iptali davaları,
Anayasa Mahkemesi bireysel başvurusu yer alabilir.
KVKK İhlali Halinde İdari ve Cezai Yaptırımlar
KVKK ihlali sadece veri sorumlusunun yükümlülüğünü yerine getirmemesi anlamına gelmez, aynı zamanda idari yaptırımlara da yol açabilir.
Kurul tarafından uygulanabilecek bazı yaptırımlar:
Aydınlatma yükümlülüğünün ihlali → 100.000 TL’ye kadar idari para cezası,
Veri güvenliği yükümlülüğünün ihlali → 2.000.000 TL’ye kadar idari para cezası,
Karara uymama halinde → 1.000.000 TL’ye kadar para cezası.
Ayrıca suç unsuru oluştuğunda Türk Ceza Kanunu kapsamında hapis cezaları da gündeme gelebilir.
KVKK İhlalinden Korunmak İçin Alınacak Önlemler
Her birey ve kurum, kvkk ihlali yaşamamak için şu önlemleri alabilir:
Kişisel veri işleme envanteri hazırlamak,
Açık rıza ve aydınlatma metinlerini güncel tutmak,
Güvenlik duvarları, şifreleme sistemleri kullanmak,
Personel eğitimleriyle farkındalığı artırmak,
Düzenli denetim ve kontrol mekanizmaları kurmak,
Gerektiğinde uzman KVKK avukatlarıyla çalışmak.
KVKK İhlali Başvurusunda Avukatın Rolü
KVKK ihlali durumunda profesyonel hukuki destek almak, hem başvuru sürecinin doğru yürütülmesini sağlar hem de hak kaybını önler.
Özellikle;
Başvuru dilekçelerinin hazırlanması,
Delillerin toplanması,
Kurul ile yapılacak yazışmalar,
İdari para cezalarına itiraz,
Mahkeme süreçleri,
gibi aşamalarda uzman bir ceza hukuku avukatı ile çalışmak sürecin başarısını önemli ölçüde etkiler.
Sonuç: Haklarınızı Bilin, Başvuru Sürecini Doğru Yönetin
KVKK ihlali, bireylerin özel hayatını, temel hak ve özgürlüklerini doğrudan etkileyen ciddi ve hassas bir hukuki meseledir. Kişisel verilerin korunması yalnızca kurumların sorumluluğunda değil; aynı zamanda her vatandaşın kendi haklarını bilmesi ve koruması gereken önemli bir alandır.
Türkiye’de yürürlükte olan KVKK düzenlemelerine tam uyum sağlamak, olası ihlallerin önüne geçmek için titizlikle hareket edilmelidir. Ancak ihlal gerçekleştiğinde de başvuru yollarını bilmek ve süreci doğru yönetmek büyük önem taşır.
KVKK ihlali durumunda izlenecek temel adımlar şunlardır:
İlk olarak veri sorumlusuna başvuru yapılmalı,
Sorun çözülmezse KVKK Kurulu’na şikayet hakkı kullanılmalı,
Gerektiğinde tazminat ve ceza davaları için yargı yoluna başvurulmalıdır.
Bu süreçlerin her aşamasında hukuki hak kaybı yaşanmaması, başvuru dilekçelerinin eksiksiz ve mevzuata uygun hazırlanması büyük önem taşır. Özellikle teknik detayların, sürelerin ve başvuru prosedürlerinin hassas olması nedeniyle profesyonel hukuki destek almak ciddi avantaj sağlar.
📌 Bahariye Hukuk olarak; kişisel verilerin korunması hukuku, KVKK uyum danışmanlığı, veri sorumlusu başvuruları, KVKK Kurulu şikayet başvuruları, idari para cezası itirazları ve KVKK ihlali nedeniyle açılacak tazminat ve ceza davalarında müvekkillerimize kapsamlı ve uzmanlık gerektiren avukatlık hizmeti sunmaktayız.
KVKK süreçleri karmaşık ve çok boyutlu olabilir; bu nedenle bireysel ya da kurumsal tüm müvekkillerimizin veri güvenliği haklarını en etkin şekilde savunmak için tüm deneyimimizle yanınızdayız.
🔎 Kişisel verilerinizin ihlal edildiğini düşünüyorsanız veya KVKK yükümlülüklerinizi yerine getirmek için hukuki danışmanlığa ihtiyacınız varsa, Bahariye Hukuk uzman kadrosuyla dilediğiniz zaman iletişime geçebilirsiniz.
Hizmetlerimize ve bilgilendirici içeriklerimize ulaşmak için YouTube kanalımızı da ziyaret edebilirsiniz.
📞 Hemen İletişime Geçin
📍 Ofisimiz: Caferağa Mahallesi General Asım Gündüz Caddesi No:102/3 Kadıköy/İSTANBUL
📞 Telefon: 0533 558 68 87
🌐 Web: https://bahariyehukuk.com/
🗺️ Yol tarifi için tıklayın.