Yürürlüğe girişinin üçüncü yılını dolduran Kişisel Verilerin Korunması Kanunu1 ("Kanun") halen şirketlerin sıcak gündeminde yer alan bir konu başlığı olarak güncelliğini korumaktadır. Geçen süre zarfında Kişisel Verilerin Korunması Kurulu ("Kurul") kararları, alt düzenlemeler ve çıkarılan Rehberler özel sektörün Kanun'u uygulayış biçimi açısından yol gösterici olmakla beraber Kanun'a tabi herkesin kafasında çözümlenmeyi bekleyen en büyük soru işareti idari para cezalarI hangi kriterler doğrultusunda uygulanacağıdır.

Kanun'un Kabahatler başlıklı 18.maddesi kapsamında veri sorumlusu gerçek ve tüzel kişilerin belirtilen eylemleri sonucunda uygulanacak idari para cezalarını düzenlemektedir. Madde incelendiğinde dört kategori şeklinde sınıflandırılan para cezalarının sınırlarının oldukça geniş olarak düzenlendiği ve hangi ölçütler dâhilinde bu cezaların kesileceğinin belirsizliği göze çarpmaktadır.

Hal böyle olunca Kanun'a tabi tüzel ve gerçek kişiler için oldukça belirsiz bir süreç başlamakta ve özellikle uyum süreci içerisinde olan tüzel kişiler için ceza aralıklarının ölçümlenemezliği risklerin doğru belirlenmesinin de önüne geçmektedir. Bu kapsamda 14 Mart 2019 tarihinde Hollanda Veri Koruma Otoritesi'nin (Autoriteit Persoonsgegevens) yayınlamış olduğu para cezası politikası2 hem General Data Protection Regulation ("GDPR") uyarınca belirlenmiş cezaların ülke bazlı nasıl uygulanacağı yönünde hazırlanmış ilk politika örneği olması açısından, hem de uygulanacak cezalar bakımından şeffaflığı sağlamaya yönelik bir çalışma olmasından ötürü büyük önem arz etmektedir.

Hollanda Veri Koruma Otoritesi'nin hazırlamış olduğu politika incelendiğinde ihlalin ciddiyetine göre belirlenmiş dört aşamalı bir yapı gözlemlenmektedir. Buna göre herbir ceza kategorisi özelinde hangi fiillerin yapılması halinde hangi aralıktaki para cezalarının uygulanacağı belirtilmiştir. Hazırlanan politika uyarınca bir para cezası hesaplanırken, Hollanda Veri Koruma Otoritesi tespit edilmiş temel para cezasından başlayacak ve meydana gelmiş ihlalin özellikli faktörlerine bağlı olarak ceza miktarını artıracak veya azaltacaktır.

Ceza kategorilerinin sınıflandırılmasını kısaca özetlemek gerekirse;

  1. Kategori: Bu kategoride basit ihlaller düzenlenmiştir. Örneğin; veri sorumlusunun irtibat bilgilerinin yayınlanmaması gibi.
  2. Kategori: Bu kategoride veri güvenliğine ilişkin daha hassas konular düzenlenmiştir. Örneğin; kişisel verilerin korunması esnasında veri güvenliğine ilişkin yeterli önlemlerin alınmaması, veri aktarım protokollerinin yapılmaması gibi.
  3. Kategori: Bu kategori kişisel verilerin işlenmesinde şeffaflık ilkesine ilişkin oluşacak durumları düzenlemektedir. Örneğin; veri ihlallerin bildirilmemesi gibi.
  4. Kategori: Bu kategori özel nitelikli verilere yönelik ihlaller gibi kişinin ağır mahremiyet ihlaline uğrayabileceği halleri düzenlemektedir.

Hollanda Veri Koruma Otoritesi, yukarıda sayılmış olan ceza kategorilerinin üst ve alt sınırlarını belirlerken GDPR'ın 83.maddesinde öngörülmüş olan faktörler ile de bağlıdır. Buna göre; ceza miktarı belirlenirken ihlalin niteliği, ağırlığı, gerçekleştiği süre, ihlalden etkilenen kişi sayısı, alınan önlemler, ihlalden etkilenen kişisel veri kategorisi gibi pek çok husus dikkate alınarak ceza aralığı saptanmakta ve böylelikle kişi ve/veya kurumlara kesilen cezalar açısından da belirli bir standart oluşturulmaktadır.

Kanun ise 18. maddesi ile idari para cezalarını şu şekilde düzenlemektedir;

  1. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar;
  2. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar;
  3. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar;
  4. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar

idari para cezası verilir.

Yukarıda sayılmış olan idari para cezasına konu eylemler incelendiğinde sayılan bu fiillerin içerik olarak oldukça geniş kapsamlı olduğu ve yapılacak bir düzenleme uyarınca sınırlarının çizilmesine muhtaç olduğu göze çarpmaktadır. Örneğin; aydınlatma yükümlülüğünün yerine getirilmemesi veyahut veri güvenliğine ilişkin yükümlülüklerin ihlali, ilgili madde kapsamında birer ceza kalemi olarak düzenlense de gerek Kanun'un lafzında gerekse alt düzenlemelerde bu konularda oldukça detaylı alt kırımlar mevcuttur. Kurul'un yayınlamış olduğu Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi3 uyarınca aydınlatma yükümlülüğü kapsamında veri sorumlusunun kimliğini açıklamaması kadar usulüne uygun hazırlanmış bir aydınlatma metninde açık ve anlaşılır bir dil tercih edilmemesi de Kanun uyarınca aydınlatma yükümlülüğünün ihlali kapsamındadır. Hal böyle olunca 5.000 Türk Lirasından 100.000 Türk Lirasına kadar düzenlenmiş olan cezanın hangi faktörler dâhilinde belirleneceği konusunda bir şeffaflık sağlanamamakta ve keyfiyete yol açan uygulamalara mahal verilmektedir.

Kurul'un vermiş olduğu güncel kararlarını bu kapsamda incelemek gerekirse özellikle veri güvenliğine ilişkin yükümlülüklere aykırılıklar kapsamında hükmedilen cezalar Hollanda Veri Koruma Otoritesi'nin yapmış olduğu düzenlemenin Türkiye için de ivedi bir ihtiyaç olduğunu ispatlar niteliktedir. Zira 8 Temmuz 2019 tarihli ve 2019/204 numaralı kararı4 uyarınca Kurul, yatırım şirketi tarafından ilgili kişinin açık rızası alınmadan telefon numarasının işlenmesini veri güvenliğine ilişkin yükümlülüklere aykırılık olarak değerlendirmiş ve bu bağlamda veri sorumlusu hakkında 75.000 TL para cezasına hükmetmiştir. Diğer taraftan 31 Mayıs 2019 tarihli ve 2019/166 numaralı kararında5 ise Kurul, ilgili kişiye ait telefon numarasına gönderilen kişinin kendisine ait olmayan içerik konusunda da veri güvenliğine ilişkin yükümlülüğün ihlaline hükmetmiş fakat 50.000 TL para cezası uygulanmasına karar vermiştir. Yaklaşık bir ay aralıklarla verilmiş olan bu iki kararda da ihlale konu olaylar genel itibariyle benzer nitelikte olmakla birlikte verilen para cezalarının farklılık gösterdiği gözlemlenmektedir. İşbu cezalara ilişkin belirli bir standardın yer almadığı bir durumda ise hükmedilmiş olan bu meblağların arasındaki farkı yorumlama niyet okumanın ötesine geçememekte ve hal böyle olunca da oluşturulması gereken şeffaflık ortamı sağlanamamaktadır.

7 Nisan 2016 tarihinde yürürlüğe giren Kanun gerek ihtiyacı olan uyum kültürünün oluşması gerekse de uygulama alanı bulması gibi sebeplerden tam anlamı ile yeni yeni yerleşik bir hal almaya başlamıştır. Bu sebeple Kurul'un Kanun'un daha iyi özümsenmesini sağlamak maksatlı çıkardığı Rehberler ve benzeri alt düzenlemeler henüz oluşmakta olup para cezalarının standardize edilmesi konusunda da ilerleyen günlerde Hollanda Veri Koruma Otoritesi'ne benzer bir çalışma yürütülmesi beklenmektedir. Böylelikle gerek veri sorumluları gerekse de hak süjesi ilgili kişiler için hangi fiillerin ne kadar müeyyidesinin olduğu sorusu netleşecek ve uyum sürecinde şirketler açısında ölçümlenebilir bir tablo meydana çıkacaktır.

Footnotes

[1] 29677 sayılı ve 7 Mart 2016 tarihli Resmi Gazete'de yayımlanan 6698 sayılı, 24 Mart 2016 tarihli Kişisel Verilerin Korunması Kanunu

[2] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586_0.pdf

[3] https://www.kvkk.gov.tr/Icerik/5394/Aydinlatma-Yukumlulugunun-Yerine-Getirilmesi-Rehberi

[4] https://www.kvkk.gov.tr/Icerik/5517/2019-204

[5] https://www.kvkk.gov.tr/Icerik/5497/2019-166

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.