Kişisel Verileri Koruma Kurulu (KVKK) Ceza ve Yaptırımlarına Devam Ediyor!

Son Kararlar ve Uygulanan Yaptırımlar

KARAR 1:

Konu: Veri sorumlusu mevcut e-posta adresini Google (Gmail) altyapısına taşımak istemektedir. Gmail’in üzerinde çalıştığı
sunucular yurt dışında bulunmaktadır. Bu konu hakkında Kurul’dan görüş talep etmiştir.

Kurul Kararı ve Yaptırım: Kurul’un görüşü doğrultusunda, Gmail altyapısı dünya üzerinde Türkiye haricinde bulunan
sunucular üzerinde tutulmaktadır. Bu sunucular üzerinde tutulan e-postalar, içerisinde kişisel
veri bulunması durumunda yurt dışına aktarılmış olacaktır. Gmail altyapısının kullanımı
sunucuların yurt dışında bulunması sebebiyle kişisel verilerin yurt dışına aktarımı’ olarak
değerlendirilecektir. Dolayısıyla KVKK’daki kişisel verilerin yurt dışına aktarımı şartlarının
gözetilmesi gerekmektedir. Kişisel Verileri Koruma Kurulu tarafından herhangi bir yaptırım
uygulanmamıştır.

Kurul tarafından son dönemde verilen bazı kararlarda, veri sorumlularının kişisel verileri hukuka aykırı şekilde işlemesi, veri güvenliğini sağlamada gerekli teknik ve idari tedbirleri almaması gibi nedenlerle idari para cezalarına hükmedilmiştir.

Örneğin, bir veri sorumlusunun Gmail altyapısını kullanarak kişisel verileri yurt dışına aktardığı tespit edilmiştir. Ancak bu aktarım sırasında ilgili kişinin açık rızası alınmamış ve veri aktarımı için gerekli diğer hukuki şartlar sağlanmamıştır. Bu nedenle veri sorumlusuna idari para cezası uygulanmıştır.

Güncelleme:
1 Haziran 2024 tarihinde yürürlüğe giren 7499 sayılı Kanun ile KVKK’nın 9. maddesinde değişiklikler yapılmıştır. Artık kişisel verilerin yurt dışına aktarılabilmesi için üç ana yöntem bulunmaktadır:

• Yeterlilik Kararı: Kurul tarafından belirlenen güvenli ülkelere veri aktarımı serbesttir.
• Uygun Güvenceler: Yeterlilik kararı bulunmayan ülkelere veri aktarımı için, veri sorumluları uygun güvenceler sağlamalı ve Kurulun onayını almalıdır.
• İstisnai Haller: Açık rıza gibi belirli istisnai hallerde veri aktarımı mümkündür.

Bu nedenle, veri aktarımı yapacak tüm veri sorumlularının yeni düzenlemelere uygun hareket etmeleri büyük önem taşımaktadır.

İdari Para Cezalarının Güncel Durumu

KVKK kapsamında uygulanan idari para cezaları her yıl yeniden değerleme oranına göre güncellenmektedir. 

KARAR 2:

Konu: Veri sorumlusu varlık yönetim şirketi şikayetçinin telefonuna tekrarlı olarak şirkete karşı olan borçları hakkında hatırlatma SMSleri göndermiştir. Şikayetçi, iletişim bilgilerinin ilgili şirket tarafından ne şekilde temin edildiğini bilmediği ve ilgili iletişimlere yönelik olarak açık rızası olmadığı sebebiyle Kurul’a şikayette bulunmuştur.

Kurul Kararı ve Yaptırım: Kurul’un soruşturması sonucunda ilgili varlık yönetim şirketinin bankalardan tahsili gecikmiş alacakları bankacılık mevzuatına uygun olarak devir ve temlik aldığı, şikayetçinin borcunun da bu doğrultuda ilgili şirkete geçtiği tespit edilmiştir. Dolayısıyla ilgili şirket SMS gönderimleri sırasında gerçekleştirilen veri işleme faaliyetleri yönünden bir hakkın korunması ve kullanılması’ kanuni veri işleme istisnasına dayanılabilmektedir.
Ancak, her ne kadar ilgili gönderimin yapılması sırasında dayanılacak bir veri işleme şartı bulunsa da
aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip
olduğu hakkı kötüye kullanımı olarak değerlendirilmiştir. Bu durumun ‘kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği tespit edilmiştir. 20.000 TL idari para cezası uygulanmasına karar verilmiştir.

KARAR 3:

Konu: Veri sorumlusu tarafından şikâyetçiye ait telefon numarasına reklam amaçlı SMS gönderilmiştir. Şikayetçi, ilgili veri sorumlusunun ilgili iletişim bilgilerini ne şekilde edindiğini bilmemektedir. Kişisel verilerinin ileti gönderilmesi amacıyla işlenmesine yönelik açık rızasını vermemiştir. Şikayetçi, veri sorumlusuna başvuruda bulunmuş ancak herhangi bir yanıt alınamamıştır.

Kurul Kararı ve Yaptırım: 50.000TL idari para cezası uygulanmasına karar verilmiştir.

KARAR 4:

Konu: Şikayetçi, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurmuştur. Veri sorumlusunun savunmasına göre, bu gönderimin personel hatasından kaynaklanmaktadır ve başka bir aboneye ait giriş yapılırken bir rakam hatası sebebiyle SMS gönderimi yapılmıştır. Ancak şikayetçiye gönderilen SMS’te kişisel verileri yer alan kişi şikâyetçinin yeğenidir ve yeğeninin telefon numarası ile kendisine
ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirtilmiştir.

Kurul Kararı ve Yaptırım:  50.000TL idari para cezası uygulanmasına karar verilmiştir.

Güncel ceza tutarlarına ve ayrıntılı bilgilere KVKK’nın resmi internet sitesinden ulaşabilirsiniz.

Örnek Cezalar:

• Kişisel verilerin hukuka aykırı işlenmesi nedeniyle uygulanabilecek ceza: Güncel ceza tutarı 2024 yılı itibariyle yeniden değerlenmiştir.
• Veri güvenliğine ilişkin yükümlülüklere aykırılık: Ayrıca artırılmış cezalara tabidir.

Veri İhlali Bildirimleri ve Kamuoyu Duyuruları

Kurul, veri ihlali bildirimlerini ve karar duyurularını kamuoyu ile düzenli olarak paylaşmaktadır. Bir veri ihlali tespit edildiğinde, ilgili veri sorumluları en kısa sürede Kurul’a bildirim yapmak zorundadır. Bu bildirimler hem kurumun denetim faaliyetleri açısından hem de kamuoyunun bilgilendirilmesi açısından büyük önem taşımaktadır.

En güncel veri ihlali bildirimleri ve kamuoyu duyuruları için KVKK’nın resmi internet sitesini ziyaret edebilirsiniz.

Kaynak : 

Resmi Gazete – SİBER GÜVENLİK KANUNU
KVKK – 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları

What are the updates on the Turkish cross-border data transfer rules and how do they affect you?