KİŞİSEL VERİLERİ KORUMA KURULU KARARLARININ YERİNE GETİRİLMEMESİ KABAHATİ (KVKK m. 18/1-c)

Abstract

6698 sayılı KVKK m. 3/1-d’de kişisel veri kavramı tanımlanmaktadır. Buna göre, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veridir. Kanun koyucu kişisel verinin nelerden ibaret olduğunu net olarak sınırlamamış, kapsamın uygulama tarafından belirlenmesini tercih etmiştir. Kabahatler ise, Kabahatler Kanunu’nda ve diğer özel kanunlarda düzenlenmektedir. Özel kanunlar da yer alan bir fiilin kabahat olup olmadığı, karşılığında öngörülen yaptırıma göre belirlenir. Bu kapsamda bir haksızlık karşılığında idari yaptırım uygulanması, onun kabahat olduğunu gösterir. Kanun koyucu kişisel verilerin korunması hakkının bazı ihlallerini ağır görerek TCK m. 135-138 arasında suç olarak düzenlemektedir. Bu suçlar, kişisel verilerin kaydedilmesi (m. 135), verileri hukuka aykırı olarak verme veya ele geçirme (m. 136) ve verileri yok etmemedir (m. 138). Buna karşılık ceza hukukunun son çare olması ilkesinden hareketle kişisel verilerin korunmasına ilişkin bazı ihlal biçimlerini kabahat olarak düzenlemeyi yeterli görmüştür. Böylelikle kişisel verilere ilişkin ihlallerin bir kısmı cezayı gerektirirken, diğer bazı ihlaller idari yaptırım gerektirmektedir. Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde kişisel verilere ilişkin kabahatler düzenlenmektedir. Bunlar; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, kurul tarafından verilen kararların yerine getirilmemesi ile veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesidir.