Kvkk Çerçevesinde Hak Arama Yöntemleri
Kvkk çerçevesinde hak arama yöntemleri için; 07/04/2016 tarihinde resmi gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununa bir takım yaptırımlar ile başvuru yolları getirilmiştir. Bu çerçevede öncelikle kişisel verinin ne olduğunu anlamamız gerekmektedir. Ancak kişisel verilerin neler olduğu sınırlı bir şekilde sayılamayacağı gibi net bir tanımı da bulunmamaktadır. Uluslar arası anlaşmalar ve ilgili kanunda bu durum şöyle açıklanmıştır; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri denebilir. Bir verinin kişisel veri olup olmadığı her somut olaya göre farklı değerlendirilecektir. Bazı durumlarda isim soyisim kişisel veri olarak adlandırılmazken bazı durumlarda kişisel veri olarak adlandırılabilecektir. Bu nedenle kişisel verinin ne olduğu ve kapsamına ilişkin net bir tanım yapılamamaktadır. Kişisel verilerin ihlal edildiğini düşünen kişiler için hem kişisel verilerin korunması kanunu kapsamında hem de genel hükümler çerçevesinde bir takım başvuru yolları ve yaptırımlar ön görülmüştür. Bu başvuru yollarını incelemek gerekirse;
Başvuru Yolları
1-) KVKK kapsamında yapılacak ilk işlem kişisel verilerinin ihlal edildiğini düşünen kişilerin bu durumla alakalı bilgi almak için ilgili kuruma başvuru yapmalarıdır. Bu başvuru yazılı olmak zorunda olmadığı gibi ispat açısından yazılı yapılmasında fayda vardır. Veri sorumlusuna yapılan başvuruya 30 gün içerisinde cevap verilmez veya verilerin ihlal edilmediğine ilişkin tatmin edici bir cevap verilmediği taktirde; cevap verilmemişse sürenin bitiminden itibaren 30 gün veya cevap verilmişse cevabın ilgiliye iletildiği günden itibaren 30 gün içerisinde Kişisel Verilerin Korunması Kurulu’na başvuru yapılabilecektir. Kurul en kısa zamanda olayı inceleyerek sonuca bağlayacaktır. Verinin ihlal edildiği tespitinde bulunulması durumunda idari para cezası verilecektir.
2-) Birinci başvuru yolu ile verileri ihlal edenlerin yalnızca idari para ceza alması ve yapılan işleme son verilmesi yaptırımları uygulanacakken başvurucuya maddi bir kazancı olmayacaktır. Başvurucu ihlalin tespitinden sonra veya önce genel hükümler çerçevesinde kişisel verilerin ihlal edilmiş olması nedeniyle maddi manevi tazminat talebinde bulunabilecektir. Genel mahkemelerde dava açmak için veri sorumlusuna başvuru şartı aranmamaktadır.
3-) 5237 Sayılı Türk Ceza Kanununun 135-140 maddelerinde kişisel verilerin ihlali durumunda öngörülen yaptırımlar yer almaktadır. Verilerin ihlal edildiğini düşünen kişiler TCK çerçevesinde savcılığa şikayette bulunarak ilgili kişi/kişilerin cezalandırılmasını talep edebileceklerdir.
Kocaeli’de Kvkk Çerçevesinde Hak Arama Yöntemleri
Kocaeli ilinde bulunan avukatlık ofisimize gelerek KOCAELİ’de kişisel verilerin korunması süreçleriyle ilgili bilgi alabilir, kişisel verilerin korunması hukuku alanında uzman avukatlarımıza danışabilirsiniz. Kocaeli/İzmit bölgesinde değilseniz, iletişim kısmında yer alan mail adresimiz ve telefon numaramız ile avukatlarımızla irtibata geçebilirsiniz.
Not: Sıkça okunan İCRA HUKUKUNDA TAKİP TÜRLERİ başlıklı yazımızı inceleyebilirsiniz.
Kişisel Verilerin Korunması Kurulu Örnek Kararlar
Karar Tarihi: 24/11/2020
Karar No: 2020/905
Konu Özeti: Amazon Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar
Söz konusu kişisel veri ihlali bildiriminin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 24.11.2020 tarih ve 2020/905 sayılı Kararı ile;
- İhlale konu test sunucusunun, veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test sunucusunda gerekli kontrollerin yapılmadığının göstergesi olduğu,
- Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde tedbirler kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği, söz konusu kontrollerin uygun bir şekilde yapılmadığı,
- Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı…
- Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği…
hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,…….. dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karar Tarihi | : | 09/10/2020 |
Karar No | : | 2020/787 |
Konu Özeti | : | Sağlık sektöründe faaliyet gösteren veri sorumlusu şirketin kişisel veri ihlal bildirimi hakkında |
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 09.10.2020 tarih ve 2020/787 sayılı Kararı ile;
- İhlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmayıp yaygın kullanılan bir uygulamadan kaynaklandığı; bu duruma veri sorumlusunun müdahale edemeyeceği,
- Veri sorumlusunun ihlali kısa zamanda fark etmiş olduğu,
- İhlalden etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği,
- Veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim gerçekleştireceğini belirttiği,
- İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olduğu,
- Veri sorumlusunun makul teknik ve idari tedbirleri almış olduğu
hususları dikkate alındığında, söz konusu ihlale ilişkin ilgili kişilere bildirim yapıldığını tevsik edici belgelerin Kuruma gönderilmesi suretiyle söz konusu veri ihlal bildirimi ile ilgili olarak Kanunun 12 nci maddesi kapsamında yapılacak ilave bir işlem bulunmadığına karar verilmiştir.