Kartal Avukat

KVKK’ya Uymayan Şirketlere Verilen Cezalar

KVKK’ya Uymayan Şirketlere Verilen Cezalar

KVKK’ya Uymayan Şirketlere Verilen Cezalar

KVKK’ya Uymayan Şirketlere Verilen Cezalar

KVKK Cezaları ve Yaptırımlar: Şirketler İçin İdari ve Cezai Riskler

Dijital dönüşümün hız kazandığı günümüzde, veri en kıymetli ticari varlık haline gelmiştir. Ancak bu varlığın yönetimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile sıkı kurallara bağlanmıştır. Artık kişisel verilerin korunması, şirketler için "olsa iyi olur" denilecek bir sosyal sorumluluk projesi değil; uyulmadığı takdirde şirketlerin kapısına kilit vurulmasına kadar gidebilecek ağır mali ve cezai yaptırımları olan yasal bir zorunluluktur.

İstanbul’un en önemli ticari merkezlerinden biri olan Kartal ve Anadolu Yakası’ndaki şirketler, plazalar, hastaneler ve e-ticaret firmaları, Kişisel Verileri Koruma Kurulu'nun (Kurul) sıkı denetimi altındadır. Kurul, her hafta yayınladığı kararlarla, kanuna uymayan veri sorumlularına milyonlarca lirayı bulan idari para cezaları kesmektedir. Bir işletme sahibi veya yöneticisi olarak, KVKK cezalarının sadece para cezasıyla sınırlı olmadığını, Türk Ceza Kanunu (TCK) kapsamında hapis cezası riskini de barındırdığını bilmek hayati önem taşır.

KVKK Kapsamında İdari Para Cezaları (Kabahatler)

KVKK’nın 18. maddesi, kanuna aykırılık hallerini "Kabahat" olarak nitelendirmiş ve bu eylemler için idari para cezası öngörmüştür. Bu cezalar sabit rakamlar değildir; her yıl Yeniden Değerleme Oranı'na göre artırılmakta ve şirketin ekonomik durumuna, kusurun ağırlığına göre alt ve üst sınırlar arasında belirlenmektedir.

2024 yılı itibarıyla güncellenen oranlar dikkate alındığında, şirketlerin karşılaşabileceği risk tablosu dört ana başlıkta toplanır:

1. Aydınlatma Yükümlülüğünü Yerine Getirmeme Cezası

Veri sorumlusu, kişisel verileri elde ettiği sırada ilgili kişiye (müşteri, çalışan, ziyaretçi) verilerin hangi amaçla işlendiğini, kimlere aktarıldığını ve haklarını bildirmek zorundadır. Bu bildirimin yapılmaması veya eksik yapılması (örneğin web sitesinde aydınlatma metninin olmaması veya güvenlik kamerasının olduğu yerde uyarı levhasının bulunmaması) cezai yaptırım gerektirir.

  • Bu ihlal için öngörülen ceza, yüz binlerce liradan başlayıp ciddi rakamlara ulaşabilmektedir.

2. Veri Güvenliğine İlişkin Yükümlülükleri Yerine Getirmeme Cezası

En ağır cezaların kesildiği madde budur. Şirketler, verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbiri almak zorundadır.

  • İhlal Örnekleri: Şirket sunucusunun hacklenmesi, çalışanların şifrelerinin basit olması, masada müşteri evrakının unutulması veya siber güvenlik yazılımlarının güncel olmaması.

  • Bu ihmalin bedeli, milyonlarca Türk Lirası'nı bulabilmektedir.

3. Kurul Kararlarını Yerine Getirmeme Cezası

Kişisel Verileri Koruma Kurulu, bir şikayet üzerine veya resen yaptığı inceleme sonucunda şirkete bir talimat verirse (örneğin; "Şu verileri derhal sil" veya "30 gün içinde şu açığı kapat"), bu talimatın yerine getirilmesi zorunludur.

  • Kurul kararına direnmek veya süresi içinde uygulamamak, yine milyonlarca liraya varan cezalarla sonuçlanır.

4. VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık Cezası

Belirli çalışan sayısını (50 kişi) veya yıllık mali bilanço toplamını (100 Milyon TL - güncel limitler kontrol edilmelidir) aşan şirketler ile özel nitelikli veri işleyenler (eczaneler, hastaneler vb.), Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmak zorundadır.

  • Kayıt süresini kaçıran veya yanlış beyanda bulunan şirketlere, üst sınırdan ceza uygulanmaktadır.

Türk Ceza Kanunu Kapsamında Hapis Cezaları

KVKK'ya aykırılık sadece para cezası ile geçiştirilebilecek bir durum değildir. Bazı ihlaller, TCK'nın 135-140. maddeleri uyarınca doğrudan suç teşkil eder ve şirket yöneticileri ile ihlali gerçekleştiren çalışanların hapis cezası ile yargılanmasına neden olur.

  • Kişisel Verilerin Kaydedilmesi (TCK 135): Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir. (Örneğin; müşterinin izni olmadan ses kaydı almak).

  • Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK 136): Kişisel verileri başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır. (Örneğin; çalışan listesini rakip firmaya göndermek veya bir WhatsApp grubunda başkasının numarasını izinsiz paylaşmak).

  • Verileri Yok Etmeme (TCK 138): Kanunların belirlediği sürelerin sonunda kişisel verileri silmeyen veya anonim hale getirmeyenlere 1 yıldan 2 yıla kadar hapis cezası verilir.

Önemli Not: Eğer bu suçlar, bir meslek ve sanatın sağladığı kolaylıktan faydalanmak suretiyle (örneğin; doktorun hasta bilgisini sızdırması, insan kaynakları müdürünün personel verisini satması) işlenirse, ceza yarı oranında artırılır.

İtibar Kaybı ve Ticari Riskler

Maddi cezalar ödenebilir, hapis cezaları ertelenebilir; ancak bir şirketin veri ihlali (Data Breach) yaşaması sonucu kaybettiği itibarın telafisi çok zordur. KVKK'nın 12. maddesi gereği, verileri sızdırılan veya çalınan şirket, bu durumu en geç 72 saat içinde Kurul'a ve ilgili kişilere bildirmek zorundadır.

Bu şu anlama gelir: Şirketiniz hacklendiğinde veya verileriniz çalındığında, müşterilerinize "Verilerinizi koruyamadık, çaldırdık" diye e-posta atmak veya duyuru yapmak zorundasınız. Ayrıca Kurul, bu ihlalleri kendi web sitesinde "Kamuoyu Duyurusu" olarak ilan etmektedir. Kartal ve çevresinde rekabet eden firmalar için bu durum; müşteri güveninin sarsılmasına, borsa değerinin düşmesine ve sözleşmelerin iptaline yol açar.

Kurul Kararlarından Emsal Örnekler ve Ceza Miktarları

Konunun ciddiyetini anlamak adına, Kurul tarafından geçmiş dönemlerde verilmiş ve kesinleşmiş bazı ceza örneklerini (rakamlar olayın büyüklüğüne göre değişmekle birlikte) incelemekte fayda vardır:

Örnek Vaka 1: E-Ticaret Sitesi Veri Sızıntısı Türkiye çapında hizmet veren bir yemek sipariş platformu, siber saldırıya uğramış ve kullanıcıların adres/telefon bilgileri çalınmıştır. Kurul, şirketin gerekli teknik tedbirleri (sızma testleri, güvenlik duvarı güncellemeleri) zamanında almadığı gerekçesiyle 1.9 Milyon TL idari para cezası kesmiştir.

Örnek Vaka 2: İzinsiz Reklam SMS'i Bir giyim mağazası, müşterinin açık rızası olmadan reklam SMS'i göndermiştir. Müşterinin şikayeti üzerine yapılan incelemede, şirketin veri tabanındaki tüm müşterilere izinsiz mesaj attığı tespit edilmiş ve 50.000 TL ceza uygulanmıştır.

Örnek Vaka 3: Banka Personelinin Merakı Bir banka çalışanı, yetkisi olmadığı halde ünlü bir müşterinin hesap hareketlerini sorgulamıştır. Banka, veri erişim loglarını (kayıtlarını) yeterince denetlemediği için yüz binlerce lira ceza alırken, çalışan hakkında TCK 136'dan dava açılmıştır.

Cezadan Korunmak İçin Şirketler Ne Yapmalı?

KVKK uyumu, tek seferlik bir işlem değil, yaşayan bir süreçtir. Kartal'daki işletmelerin cezai yaptırımlardan korunmak için atması gereken temel adımlar şunlardır:

  1. Veri Envanteri Hazırlama: Hangi veriyi, neden, ne kadar süreyle tuttuğunuzu belirleyin.

  2. Aydınlatma ve Açık Rıza: Müşteri ve çalışanlarınızdan hukuka uygun şekilde rıza alın ve onları aydınlatın.

  3. Teknik Tedbirler: Firewall, antivirüs, şifreleme, yetki matrisi ve log kaydı tutma sistemlerini kurun.

  4. İdari Tedbirler: Çalışanlarınızla gizlilik sözleşmeleri imzalayın ve düzenli KVKK farkındalık eğitimleri verin.

  5. İmha Politikası: Süresi dolan verileri saklamayın, güvenli şekilde imha edin.

Sıkça Sorulan Sorular

Şirketim küçük, yine de ceza alır mıyım? Evet. KVKK, cirosuna veya çalışan sayısına bakmaksızın kişisel veri işleyen (bakkal defteri tutan esnaftan holdinglere kadar) herkesi kapsar. VERBİS kaydı zorunlu olmasa bile, veri güvenliğini sağlama ve aydınlatma yükümlülüğü herkes için geçerlidir.

KVKK cezalarına itiraz edilebilir mi? Evet. Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına karşı, kararın tebliğinden itibaren 15 gün içinde Sulh Ceza Hakimliği'ne itiraz edilebilir.

Cezayı çalışan mı öder, şirket mi? İdari para cezası "Veri Sorumlusu" olan tüzel kişiliğe (şirkete) kesilir. Ancak şirket, zararın oluşmasında kusuru olan çalışana bu cezayı rücu edebilir (yansıtabilir). Hapis cezası ise suçu işleyen gerçek kişiye (yönetici veya çalışan) verilir.

Şikayet olmadan ceza kesilir mi? Evet. Kurul, ihbar üzerine veya "resen" (kendiliğinden) harekete geçerek denetim yapabilir ve ihlal tespit ederse ceza kesebilir.

Veri ihlali durumunda ne kadar sürede bildirim yapmalıyım? İhlali öğrendiğiniz tarihten itibaren en geç 72 saat içinde Kurul'a bildirim yapmak zorundasınız.

Açık rıza almazsam ne olur? Eğer kanundaki diğer işleme şartları (sözleşme ifası, kanuni zorunluluk vb.) yoksa ve açık rıza almadan veri işliyorsanız, bu durum hukuka aykırıdır ve cezai yaptırım sebebidir.

Yabancı şirketler (örn: Bulut sunucular) KVKK'ya tabi mi? Eğer Türkiye'deki kişilerin verilerini işliyorlarsa tabidirler. Ayrıca verilerin yurt dışındaki sunucularda (Google Drive, AWS vb.) tutulması "Yurt Dışına Veri Aktarımı" sayılır ve çok sıkı kurallara (açık rıza veya taahhütname) bağlıdır.

 

KVKK cezaları, şirketlerin bilançolarını sarsacak boyuta ulaşmış durumdadır. "Bize bir şey olmaz" anlayışı, ilk veri ihlalinde veya ilk şikayette yerini pişmanlığa bırakmaktadır. Özellikle Kartal, Pendik, Maltepe gibi ticaretin yoğun olduğu bölgelerde, bilinçli tüketici ve çalışan sayısı arttıkça, şikayet ve denetim mekanizmaları da daha aktif çalışmaktadır.

Unutulmamalıdır ki veri koruma uyumu, ödenmesi muhtemel cezalardan çok daha düşük maliyetlidir. Hukuki ve teknik altyapınızı bugünden sağlamlaştırmak, yarın karşılaşacağınız milyonluk cezalardan ve hapis riskinden sizi koruyacak tek kalkandır.

KVKK uyum süreçleri, VERBİS kaydı, Kurul kararlarına itiraz ve veri ihlali yönetimi konularında , Şirketinizin risk analizini yaptırmak ve hukuki koruma kalkanınızı oluşturmak için bizimle iletişime geçebilirsiniz.

İçindekiler

Bilişim Hukuku Avukatı Kartal Bilişim Avukatı


← Kişisel Verilerin Korunması Kanunu (KVKK) Nedir? Kartal’da KVKK Uyum Süreci Danışmanlığı →

İletişim Bilgilerimiz

Sabit

0 505 918 21 49

Mobil

0 505 918 21 49

Email

[email protected]

Uzmanlık Alanlarımız

Menü

Tümü

Haber & Duyurular

Torba yasa maddeleri neler ve hangi borçları kapsıyor?

11.04.2023

Adres

Ofis

Kartal/İSTANBUL
Tümü

Dökümanlar

  1. Ana Sayfa
  2. Bilgiler
  3. KVKK’ya Uymayan Şirketlere Verilen Cezalar
logo

Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.

Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri tavsiye edilir. Avukatkartal.com.tr