Kişisel Verilerin İhlaline 5 Milyon Ceza Kesildi

6698 Kişisel Verilerin Korunması Kanunu kapsamında işletmelere bir takım yükümlülükler getirilmiştir. Kanun ile ilgili detaylı bilgiye diğer makalemden ulaşabilirsiniz. Ulaşmak için bu BAĞLANTI’ya tıklayınız.

Kanunda belirtilen yükümlülüklerin yerine getirilmemesi durumunda,

Kanunun 17 Suçlar ve 18 Kabahatler maddelerinde, belirtilen yükümlülüklere uyulmaması durumunda veri sorumlularına karşı uygulanacak cezai yaptırımları tanımlamıştır.

ve burada belirtilen rakamlar olay başına uygulanacak idari para cezalarıdır.

Daha öncesinden Türk Ceza Kanunun ilgili maddelerine göre zaten kişisel verilerle ilgili cezalar tanımlanmış durumdaydı. Hem KVKK açısından idari para cezası hemde TCK acısından cezaları mümkün olduğunu görmekteyiz.

Kişisel veri sahipleri (ilgili kişi) bu kanunla beraber bir takım haklara sahip olmuştur. Bu bağlamda

MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

şeklinde açıklanmıştır.

Süreç şu şekilde işlemektedir. İlgili kişi herhangi bir kurumu yukarıda belirtilen maddeler ışığında öncelikle ilgili kurum yada kuruluşa, kurum ve kuruluşun belirlediği başvuru şartları çerçevesinde müracaat etmelidir. Kurum ve kuruluş bu başvuruya 30 gün içerisinde cevap vermemesi durumunda kişi Kişisel Verileri Koruma Kurumuna şikayette bulunabilir. Kurum yapılan şikayete binaen inceleme başlatarak olayı soruşturup sonuca bağlamaktadır.

İlgili kanunun 12. Maddesinin (5) fıkrasında,

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

şeklinde açıklanmıştır. Meydana gelen her hangi bir veri ihlali durumunda 72 saat içerisinde kurula bilgi verilmelidir. Kurul olaya ilişkin incelemeler neticesinde kurum web sitesinde ilan etmektedir.

Kişisel Verileri Koruma Kurumu başkanı Prof.Dr.Faruk Bilir

Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir, kişisel verilerin ihlali nedeniyle bu zamana kadar kuruluşlara yaklaşık 5 milyon TL ceza kesildiğini açıkladı.

Bilir öte yandan;

VERBİS’e 4 bin veri sorumlusu kayıt yaptırdı.

72 veri ihlal bildirimi yapıldı.

Yaklaşık 5 milyon TL ceza kesildi.

Facebook’a inceleme başlatıldı.

ALO 198 Veri Koruma Hattı’na ayda 8 bin çağrı alındığına ilişkin açıklamalarda bulunmuştur.

Haber kaynağı : TRTHABER

Reklamlar

Kişisel Verilerin Korunması Kanunu (KVKK) ve VERBİS Sistemine Kayıt Ne Zaman Sona Eriyor

Kişisel Verileri Koruma Kanunu Nedir?

6698 sayılı Kişisel Verilerin Korunması kanunu 24.03.2016 yılında kabul edilmiş olup 07.04.2016 tarihinde resmi gazetede yayımlanarak yürürlüğe girmiştir. Kanun tüm veri toplayan ve işleyen ticari faaliyet gösteren yada kar amaçlı olmayan kurum ve kuruluşları kapsamıştır. Bu bağlamda kurum ve kuruluşlara çeşitli yaptırımlar getirmiştir.

Kanunun tam metnine bu LİNK’i takip ederek ulaşabilirsiniz.

Kanun Madde 3’de Veri Sorumlusunu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi şeklinde tanımlamıştır. Tanımdan da anlaşıldığı gibi veri sorumlusu veri toplayan tüm ticari faaliyet gösteren yada kar amacı gütmeyen kurum ve kuruluşların gerçek ve tüzel kişilikleri olarak belirlenmiştir. Bu doğrultuda veri sorumluları kanunun gerektirdiği yükümlülükleri kurumları içerisinde yerine getirmekle sorumlu hale gelmiştir.

Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

öte yandan,

Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.

şeklinde ifade edilmiştir. Görüldüğü üzere veri sorumlusu her şeyden önce kişisel verilerin muhafazasını sağlamak bununla ilgilide kurum içerisinde ve dışında gerekli tüm teknik ve idari güvenlik tedbirlerini almak zorundadır.

Kanun veri sorumlusunun görevlerini net bir şekilde tanımladığı halde ülkemizde malesef bir çok sorumlu kurum ve kuruluş tarafından ciddiye alınmamaktadır. Hala piyasada görülmektedirki sorumlu işletmelerin önemli bir bölümü henüz bir çalışma başlatmamıştır. Kanun olması sebebiyle, öngörülen yükümlülüklere uyulmaması durumunda cezai yaptırımlar söz konusudur.

Kanunun 17 Suçlar ve 18 Kabahatler maddelerinde, belirtilen yükümlülüklere uyulmaması durumunda veri sorumlularına karşı uygulanacak cezai yaptırımları tanımlamıştır.

ve burada belirtilen rakamlar olay başına uygulanacak idari para cezalarıdır.

Daha öncesinden Türk Ceza Kanunun ilgili maddelerine göre zaten kişisel verilerle ilgili cezalar tanımlanmış durumdaydı. Hem KVKK açısından idari para cezası hemde TCK acısından cezaları mümkün olduğunu görmekteyiz.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Nedir?

KVKK kanunun 16. Maddesi;

Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

Veri Sorumlularının VERBİS sistemine kayıt olması ile ilgili hususları düzenlemiştir. Kişisel Verileri Koruma Kurumu konu ile ilgili bir kayıt sistemi oluşturmuş ve yayınlamıştır. Sisteme Kayıt olmak için LİNKİ takip edebilirsiniz.

Kurum VERBİS sistemine kayıt tarihlerini açıklamıştır.

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilançosu 25 milyon TL’den çok olan gerçek ve tüzel kişiler için 01.10.2018 tarihinde başlayan 12 aylık süre 30.09.2019 tarihinde sona ermektedir. Bu makaleyi kaleme aldığım tarih itibarıyla yaklaşık 2 buçuk ay gibi bir süre sonra ilgili kriterlere göre kayıt olması gerekenlerin süreleri sona erecektir.

Verbis sistemi doğrudan maliye bakanlığı bilgi sistemleri ile entegre çalışmaktadır. Yani kurumunuzun bilanço bilgilerini sizin bildirmenize gerek kalmadan maliye bakanlığı sistemlerinden otomatik olarak kontrol edilecek olup ilgili tarihe kadar kayıt olmayanlar hakkında ilgili kanunun 18. maddesinde düzenlenmiş olan “Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı” maddesi uyarınca 20.000 TL ile 1.000.000 TL arası idari para cezası uygulama hakkı doğacaktır. Kurumun kestiği cezalar devlet alacağı kapsamında değerlendirilmektedir.

Kanunun 16. Maddesi (2) fıkrasında,

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

istisnaların yapılabileceği bildirilmiştir. Bun göre,

Kanunun 16 ncı maddesinde, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır. Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir.

şeklinde tanımlamıştır. ÖNEMLİ NOT şeklinde belirtilen kısımda ise yukarıda belirtilen kurum ve kuruluşların sadece VERBİS sisteme kayıt yükümlülüklerine istisna getirilmiştir. Yani 6698 sayılı yasanın getirmiş olduğu usul ve esaslara uymak ZORUNDADIR.

Kişisel Verilerin Korunması Mümkün Mü ?

data_165879647-thumb-380xauto-3949

24.03.2016 tarih ve 6698 kanun numarasıyla “Kişisel Verilerin Korunması Kanunu” yayımlandı. Artık kanun da çıktığına göre kişisel verilerimiz güvendemi sorusu insanın aklına gelmiyor değil ?

Bu soruya sağlıklı bir cevap verebilmek için öncelikle “Kişisel Veri” nedir bunu tanımlamak gerek. TBMM  117 sıra sayılı Kişisel Verilerin Korunması Tasarısı ve Adalet Komisyonu raporunda  şu şekilde ifade edilmiştir.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Tanımdan da anlaşılacağı üzere kişinin kendisi ile ilişkilendirebileceğimiz her türlü veri kişisel veri olarak tanımlamak mümkün. T.C. Kimlik numaramız, telefon numaramız hemen hemen her gün bir yerlere verdiğimiz bilgilerin başında gelmektedir. Telefonlarımıza her gün – en azından benim telefonuma 🙂 –  daha önce hiç alışveriş yapmadığım yada tanımadığım bir yerden reklam mesajı gelmektedir. Eeee tanımıyoruz, tanımadığım yerden geliyor. Kanun da çıktı…

Gerek kamu kurumlarımız olsun gerekse özel şirketler olsun  vatandaşın kişisel verileriyle doludur. Kanun dediğimiz husus kural koyar ve çerçeveyi çizer. 6698 Kişisel Verilen Korunması Kanunu da aynı şekilde kuralları belirledi ve çerçeveyi çiziyor. Gerisi …!!!  gerisi bilinçli vatandaş ve sorumluluğunu bilen yöneticilere kalıyor.

Kanun ne diyor ???

MADDE 3- (1) Bu Kanunun uygulanmasında;

  1. a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  2. b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kanunun 3. maddesinin 1.a) bendinde Açık Rıza kavramından bahsediyor. Nedir açık rıza ? Sizin kendi isteğiniz ve onayınızla size ait olan bilgilerin ve verilerin kullanılması durumudur. Örneğin sizin sağlık verileriniz, size ait olan tüm veriler. Eğer kendi rızanızla bu verilerin kullanılmasını isterseniz bu veriler açık bir şekilde yine kanunun 4. Maddesinde belirtilen hususlar çerçevesinde kullanılacaktır.

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

yine 3. maddede ifade edilen başka bir kavram ise Anonim Hale Getirme  kavramıdır. Sizi açıkça ifade etmeyecek verilerdir. Örneğin Kastamonu ili Tosya ilçesinde yaşayan 90 yaş üstü erkek sayısı yada 90 yaş üzeri bakıma muhtaç olan kişi sayısı gibi. Bakanlıklar genelde çalışma alanlarına göre çeşitli konularda vizyon belirleme, politika geliştirme gibi konular için bu tarz istatistikleri sıkça kullanmaktadır.

T.C. Sağlık Bakanlığı Kamu Hastaneleri Kurumu tarafından http://rapor.saglik.gov.tr/istatistik/rapor/index.php hazırlamış olduğu bu web sitesi kişisel verilerin anonim hale getirilmesi ile ilgili güzel bir çalışmadır. Göreceğiniz üzere verilen istatistiklerden herhangi bir kişi verisi mevcut değildir.

Kanunda;

  • Kişisel verilerin işlenme şartları
  • Özel nitelikli kişisel verilerin işlenme şartları
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
  • Kişisel verilerin aktarılması
  • Kişisel verilerin yurt dışına aktarılması
  • Veri sorumlusunun aydınlatma yükümlülüğü
  • İlgili kişinin hakları (Kişisel Verinin Sahibinin Hakları)
  • Veri güvenliğine ilişkin yükümlülükler
  • Başvuru, Şikâyet ve Veri Sorumluları Sicili
  • Suçlar ve Kabahatler

konulara değinilmiştir.

İnternet ortamında size ait bir veri olduğunu düşündüğünüz bir durumda ( sosyal medyada paylaşılmış bir fotograf, size ait bir bilgi, veri vs .) kanunun 11. maddesinde tanımlanmıştır.

MADDE 11 – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,27
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

bu çerçevede ilgili web sitesinin yetkililerine ulaşıp yukarıdaki haklarınız doğrultusunda taleplerinizi iletebilirsiniz. Bu adımı izlediniz ve hala sonuç alamadıysanız o halde kanunun 13., 14. ve 15. Maddeleri devreye giriyor. Ne mi onları ??? işte buyrun.

DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili

Veri sorumlusuna başvuru
MADDE 13 – (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kurula şikâyet
MADDE 14 – (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15 – (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

Peki, sizin açık izniniz olmadan size ait bir verinin paylaşıldığını düşündünüz ve yukarıdaki adımları işlettiniz. Sonuç ne olur dersiniz. Yani kanuna uygun olmayan bir kullanım karşısında, kullananlar bu durumda cezai olarak ne gibi yaptırımlarla karşı karşıya kalırlar.

kanunun 5. Bölümünde 16. ve 17. Maddelerde Suç ve Kabahatler başlığında konuya açıklık getirmiştir.

BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler

Suçlar
MADDE 17 – (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri

Kişisel verilerin kaydedilmesi
Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Nitelikli haller
Madde 137 – (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

işlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Şikayet
Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

5237 sayılı Kanunun 138 inci maddesi

Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”

Kabahatler 
MADDE 18 – (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.32

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

şeklinde ifade edilmiştir.

Son olarak,

Vatandaş olarak kanun koyucu kuralları koymuş ve anlaşılacağı üzere açıkça da tanımlamıştır. Tüm kamu ve özel kurumların artık bu çerçevede gerekli tedbirleri alma ve uygulama zorunluluğu doğmuştur. Bu doğrultuda kurumların kişisel verileri sakladıkları, işledikleri, transfer ettikleri tüm bilişim altyapılarını gözden geçirme ve gerekli düzenlemeleri yapmaları gerekmektedir.

Nedir bu düzenlemeler ???

Konuyla yakından ilişkili iki tane standarttan bahsetmek mümkün,

1- TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı

2- BS 10012 Veri koruma, Kişisel Bilgi Yönetimi Sistemi Standardı’dır.

bu standartlar ne işe yarar, kişisel verilen daha güvenli hale nasıl getirmek gerekir, bu konularada bir sonraki makalemde anlatmaya çalışacağım..

Eeeee Kişisel Verilerimiz Güvendemi ? Hayırlı olsun kanunumuz var artık 🙂