1. Kişisel Veri İhlali Kavramının Tanımı ve Mahiyeti
Kişisel veri ihlali, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin (ad, soyad, T.C. kimlik numarası, telefon, e-posta, biyometrik veriler vb.), kanunda öngörülen ilkeler aksine elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi veya hukuka aykırı olarak aktarılmasıdır. İhlal, sadece verinin dışarı sızdırılması (hacklenme) değil; aynı zamanda verinin toplanma amacından saptırılarak kullanılması (Örn: Bir alışveriş sitesinin numarayı izinsiz reklam şirketine satması) durumunda da oluşur. Veri sorumlusu olan şirket ve kurumlar, bu verilerin güvenliğini sağlamak amacıyla teknik ve idari tedbirleri almakla yükümlüdür. İhlal gerçekleştiğinde ise durumun derhal Kişisel Verileri Koruma Kurulu'na ve ilgili kişiye bildirilmesi şarttır.
2. İhlal Türleri ve Veri Sorumlusunun Kusuru
- Gizlilik İhlali: Verilerin yetkisiz kişilerce ele geçirilmesi.
- Bütünlük İhlali: Verilerin yetkisizce değiştirilmesi veya bozulması.
- Erişilebilirlik İhlali: Verilerin sahibi tarafından ulaşılamaz hale getirilmesi (Örn: Fidye yazılımları).
- Hukuka Aykırı Aktarım: Açık rıza olmaksızın verinin üçüncü taraflara veya yurt dışına gönderilmesi.
3. Veri İhlali Sonucunda Haklar
İlgili kişi; verisinin silinmesini, imha edilmesini, ihlal nedeniyle doğan zararının giderilmesini ve verisi hakkında kendisine bilgi verilmesini talep edebilir.
4. Yaptırımlar: İdari ve Cezai Sorumluluk
KVKK ihlallerinde milyonlarca liralık "İdari Para Cezaları"nın yanı sıra; Türk Ceza Kanunu (TCK) m. 135-140 kapsamında hapis cezası öngörülmektedir.
5. KVKK Kurulu and Yargıtay Yaklaşımları
Yüksek yargı ve Kurul tarafından benimsenen mutlak kural; "Verinin korunmasında kusursuz sorumluluk ilkesine yakın bir titizlik"tir. Kişisel Verileri Koruma Kurulu (KVKK), bir şirketin sistemindeki açığı kapatmamasını "idari tedbir eksikliği" olarak görmekte ve veri sızmasa dahi sırf bu risk nedeniyle ceza kesebilmektedir. Yargıtay ise, kişisel verilerin korunmasını "özel hayatın gizliliği" kapsamında değerlendirmekte; bir kişinin telefon numarasını veya fotoğrafını WhatsApp grubunda izinsiz paylaşmayı, TCK kapsamında cezalandırılması gereken bir suç olarak kabul etmektedir. Yargıtay içtihatlarına göre, verinin "herkes tarafından biliniyor olması", onun izinsiz işlenebileceği anlamına gelmez.
Mahkemeler arası uygulamada, "aydınlatma yükümlülüğü" kritiktir. Yargı, bir web sitesinin uzun ve karmaşık metinlerle kullanıcının "açık rızasını" almasını geçersiz sayabilmekte; rızanın "özgür iradeyle" ve "belirli bir konuya özgü" verilmiş olması gerektiğini vurgulamaktadır. Son dönemde Kurul, kargo şirketlerinin alıcının T.C. kimlik numarasını veya telefonunu "açık rıza almaksızın" işlemesini hukuka aykırı bulmuş ve alternatif doğrulama yöntemleri getirilmesini emretmiştir. Ayrıca, bankaların müşterilerini izinsiz arayarak pazarlama yapması, sistematik bir ihlal olarak görülmekte ve ağır idari yaptırımlara konu edilmektedir.
6. Genel Değerlendirme ve Sonuç
Kişisel veri ihlali, dijital vatandaşlığın en büyük tehdididir. Veri mahremiyeti, bireyin özgürlüğünün siber uzaydaki son sığınağıdır.
Sonuç olarak, verileri çalınan veya izinsiz işlenen bireyler ile veri ihlali suçlamasıyla karşı karşıya kalan veri sorumlusu şirketler için KVKK uyum süreçleri ve dava savunmaları hayati önemdedir. Şişman Hukuk Bürosu olarak, Kurul'a şikayet başvuruları yapılması; veri ihlali kaynaklı tazminat davalarının takibi ve şirketlerin KVKK uyum projelerinin yönetilmesi süreçlerinde profesyonel danışmanlık ve vekillik sunmaktayız.