SORU 311 : Kişisel Verileri Koruma Kurulu’nun ilke kararlarına uymamanın yaptırımı nedir?

SORU 311 : Kişisel Verileri Koruma Kurulu’nun ilke kararlarına uymamanın yaptırımı nedir?
Kişisel Verileri Koruma Kurulu’nun ilke kararlarına uymamanın yaptırımı nedir?
Kişisel Verileri Koruma Kurulu’nun 21.12.2017 tarihli 2017/61 ve 2017/62 sayılı ilke kararları 25 Ocak 2018 Tarihli ve 30312 Sayılı Resmî Gazete’de yayınlanmıştır.
Bu kararlardan ilki Rehberlik Hizmeti Veren Internet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması Hakkında İlke Kararıdır.
Bu kararlardan ikincisi Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması Hakkında İlke Kararıdır.
Rehberlik Hizmeti Veren Internet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması Hakkında İlke Kararının son kısmında bu kararlara uymayanlar hakkında 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci maddesi kapsamında işlem yapılacağına oy birliği ile karar verilmiştir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci maddesinde 5.000 Türk Lirasından 1.000.000 Türk lirasına kadar idari para cezası verilebileceği belirtiliyor.
Kabahatler MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Ayrıca Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği belirtilmiştir.
Türk Ceza Kanunu madde 136 gereğince iki yıldan dört yıla kadar hapis cezası verilebileceği belirtilmektedir.
Verileri hukuka aykırı olarak verme veya ele geçirme Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Ayrıca Kurul ilke kararında bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı belirtildiğinden söz konusu internet sitelerine ve uygulamalara erişim engellenmesi söz konusu olabilecektir.
Rehberlik Hizmeti Veren Internet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması Hakkında İlke Kararı
Karar Tarihi 21/12/2017
Karar No 2017/61
Toplantı Sıra Sayısı 2017/25
Konu Özeti Rehberlik Hizmeti Veren Internet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması
Toplantıya Katılan Üyeler
Başkan Prof. Dr. Faruk BİLİR
Üyeler Cabir BİLİRGEN, Turan ARIK, Hasan AYDIN, Şaban BABA, Dr. ihsan Ezel BÜYÜKSEKBAN, Murat KARAKAYA, Dr. Cengiz PAŞAOĞLU, Vedat YILDIZ
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.
Kanunun 3 üncü maddesinin (l) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.
Bu kapsamda;
– Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,
– Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği
hususlarında kamuoyunun bilgilendirilmesine,- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına oy birliği ile karar verilmiştir.
Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması Hakkında İlke Kararının son kısmında Bu kararların son kısmında uymayanlar hakkında 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci maddesi kapsamında işlem yapılacağına oy birliği ile karar verilmiştir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci maddesinde 5.000 Türk Lirasından 1.000.000 Türk lirasına kadar idari para cezası verilebileceği belirtiliyor.
Kabahatler MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.