Skip to main content
Veri Koruma Hukuku

Kişisel Verilerin İhlali Nedeniyle Tazminat

Yazar 29 Temmuz 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
kişisel verilerin ihlali tazminat

Kişisel Verilerin İhlali Tazminat

Kişisel verilerin ihlali kişiye ait ve özel hayatında gizli kalması istenen ve gereken bilgilerin hukuka aykırı şekilde elde edilmesi, edilen verinin kullanılması ya da bu verilerin yayılması şeklinde işlenebilmektedir. Kişisel Verilerin Korunması Kanunu KVKK yalnızca ilgili kişi olarak tanımlanan gerçek kişilerin kişisel verilerini koruma altına almaktadır. Bu yüzden de kanun kapsamında hakları korunmakta olan gerçek kişilere “ilgili kişi” adı verilmektedir. Tüzel kişilerin bu kapsamda sayılmamasını istisnasını, verinin tüzel kişi içerisindeki bir gerçek kişiyi kastetmiş olması oluşturmaktadır ki bu durumda yine bir gerçek kişi koruma altına alınmış olmaktadır. Dolayısıyla menfaat sahibi olan da yine tüzel kişi değil gerçek kişi olacaktır.

Kişisel verilerin ihlali ile ilgili bir diğer kavram da veri sorumlusudur. Gerçek kişiler veri sorumlusu olabileceği gibi tüzel kişiler için de veri sorumlusu olmanın yolu açıktır. Toplanan kişisel verilerin işleme amaçları ve işleme araçlarını veri sorumlusu belirlemektedir. Aynı zamanda veri kayıt sistemine ait işlemlerden de sorumlu olan veri sorumlusu bu kayıt sisteminin kurulmasını ve yönetilmesini gerçekleştirmektedir. Tüzel kişiler veri sorumlusu olarak bizzat kendileri sorumludur. Diğer hukuki dava ve benzeri işlerde kendilerini temsil eden organın sorumlu tutulduğu tüzel kişiler, kişiler verilerin ihlali bakımından bizzat sorumludurlar. Bu tüzel kişiler kamu tüzel kişileri olabileceği gibi özel tüzel kişiler de olabilirler.

Kişisel Verilerin İşlenmesi

Kişiler verilerin ihlali durumunun ortaya çıkabilmesi için öncelikle kişisel verilerin işlenmesi gerekmektedir. Kişisel veriler otomatik olarak veya kısmen otomatik şekilde kurulmuş bir veri kayıt sistemine işlenmesi ya da otomatik olmadan kayıt altına alınarak muhafaza edilerek toplanabilir. Kişisel verilerin işlenmesi ise bu yollarla elde edilen verilerin herhangi bir şekilde depolanması, kaydı, devredilmesi, devralınması, ulaşılabilir hale getirilip erişiminin sınırlandırılması gibi işlemlere verilen genel addır. Bunların yanı sıra kişisel verilerin elde edildikten sonra silinmesi, yok edilmesi gibi işlemler de Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin işlenmesi anlamına gelmektedir.

Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu olarak kanun uyarınca yükümlülük altında bulunan gerçek veya tüzel kişilerin bu yükümlülükleri şunlardır:

Kişisel verileri işlenecek olan üçüncü kişilere karşı veri sorumlusu gerekli aydınlatmayı yapmak ve bu konuda kişiyi bilgilendirmek zorundadır. Kişiden elde edilecek olan kişisel verinin hangi amaçla istendiğini, ne amaçla hangi alanlarda kullanılacağını, aktarımı yapılacağında bu aktarımın hangi amaçla yapılacağını ilgili gerçek kişiye aktarmakla yükümlü olan veri sorumlusunun bu görevini aydınlatma yükümlülüğü adı verilmektedir. KVKK m.10’a göre veri sorumlusu ve yetkili kıldığı kişi, ilgili gerçek kişiye;

  • Veri sorumlusunun kimliği hakkında bilgi,
  • Temsilci varsa bu temsilcinin kimliği hakkında gerekli bilgi,
  • Elde edilecek kişisel bilginin kullanım amacı,
  • Kişisel bilginin aktarılması halinde bu aktarımın amacını ve kime aktarılacağı,
  • Verileri toplamakta kullanılacak yöntem ve dayanılan hukuki neden,
  • Kişisel Verileri Koruma Kanunu uyarınca kişisel verisi işlenen kişinin hakları,

hakkında bilgi vermekle yükümlüdür.

Kişisel verilerin işlenmesi tamamen ilgili kişinin rızasına bağlıdır. Bu sebeple kişinin rızası hilafına davranmak veri sorumlusunun hukuki ve cezai sorumluluğunu doğuracağına dikkat edilmelidir.

  • Veri Güvenliğine İlişkin Yükümlülükler

Kişisel verilerin ihlali ile alakalı en önemli konulardan biri bu verilerin güvenliğine ilişkin konulardır. Bu bağlamda ise veri sorumlusuna yüklenen en büyük sorumluluk elde edilen kişisel verilerin saklanması, muhafazası ve bu verilere hukuka aykırı şekilde ulaşılmasını ve ele geçirilmesini engellemektir. Hukuka aykırı olarak yayılmayı ve ele geçirilmeyi önlemek için veri sorumlusu gerekli teknik ve hukuki önlemleri almak zorundadır. Kişisel verilerin veri sorumlusu tarafından fakat başka bir kurum ya da gerçek kişi adına elde edilmesi ve akabinde kişisel verilerin ihlali durumu ortaya çıktığında sorumluluk müteselsilen hem veri sorumlusunda hem de adına işlem yaptığı kişi ya da kurumda olacaktır. Veri sorumlusu bu gibi durumlarla karşı karşıya kalmamak adına gerekli tedbirleri almanın yanı sıra veri işleyenlerin de denetimini yapma yükümlülüğü altındadır. Veri sorumlularının yükümlülüklerine ilişkin olarak ayrıntılı bir düzenleme olan Kişisel Veri Güvenliği Rehberi uyarınca hareket edilmesi halinde veri sorumlusunun bilinçli hareket etmesi amaçlanmıştır.

VERBİS, KVKK uyarınca oluşturulmuş olan ve veri sorumlularının kaydının zorunlu tutulduğu “Veri Sorumluları Sicili” dir. Veri sorumluları bu sicilde hangi kişisel verileri kayıt altına aldıklarını, veri işleme sistemlerinin çalışma prensiplerini ve amaçlarını beyan ederek bunların kayıt altına alınmasını sağlarlar. Zorunlu olan VERBİS kaydı, Kişisel Verilerin Korunması Kurumu Başkanlık makamı tarafından tutulan bir sicildir. Özellikle kişisel verilerin ihlali durumunda veri sorumlusunun kamuya ilanı açısından önem taşıyan Veri Sorumluları Sicili VERBİS kuruluş amacı etkin bir kişisel veri koruması sağlayabilmektedir. Veri Siciline işlenecek olan bilgiler şunlardır:

  • Veri sorumlusu ile temsilcisi olması durumunda temsilciye ait kimlik bilgi ve adresleri
  • Kişisel bilgileri işleme amacı
  • Verileri alınacak ve işlenecek olan kişi gruplarına ilişkin bilgiler
  • Elde edilen kişisel verilerin aktarım yapılabileceği kurum veya kişilere ait bilgiler
  • Yabancı ülkelere yapılacak olan aktarımların hangi kişisel verileri kapsayacağı
  • Kişisel verilerin ihlali için alınmış olan önlemler
  • Verilerin işlenme amacı için gerekli görülen en az süre.

  • İlgili Kişi Başvurularını Cevaplama Yükümlülüğü

Kişisel Verilerin Korunması Kurumu tarafından ilgili kişilere belirli yöntemlerle veri sorumlusuna başvurma ve bilgi talep etme hakkı tanınmıştır. İlgili kişi aynı zamanda KVKK’nın daha etkili uygulanabilmesi için gerekli önerilerde de bulunma hakkına sahiptir. Usulüne uygun yapılan başvuruların veri sorumlusu tarafından en geç 30 gün içerisinde cevaplandırılması gerekmektedir. Bu cevap daha kısa sürede verilebiliyorsa 30 günün doldurulmayacağı açıktır. Normal şartlarda kural olarak ücretsiz gerçekleştirilen başvuru, Kurul’un öngördüğü farklı bir ücretlendirmeye tabi olması durumunda ilgili kişiden ücreti alınarak gerçekleştirilir.

Veri sorumlusu ilgili kişinin başvurusunu yazılı olarak reddedebilir. Yazılı olarak gerekçelendirilen bu ret işlemi ilgiliye posta ya da elektronik olarak bildirilmektedir. Başvurucunun isteminin kabulü halinde ise veri sorumlusu başvurunun gereğini yerine getirmektedir.

İlgili Kişinin Hakları

Kişisel verilerin ihlali halinde KVKK uyarınca ilgili kişiye bazı haklar tanınmıştır. İlgili kişinin temelde sahip olduğu iki hak; şikayet ve başvuru hakkıdır. İlgili kişi, veri sorumlusuna hakkında elde edilen ve işlenen kişisel veri ile ilgili başvurma hakkına sahiptir. İlgili kişi hukuka aykırı olarak işlendiğini, dağıtıldığını, içeriğinin yanlış olduğunu düşündüğü her halde kısacası kişisel verilerin ihlali hali olarak değerlendirilen herhangi bir durumla karşı karşıya kaldığında öncelikle veri sorumlusuna başvurmak zorundadır. Bu yol kullanılmaksızın Kurula yapılacak başvurular reddedilecektir. KVKK uyarınca kişisel hakların ihlali sonucunda ilgilinin tazminat hakkı bulunmaktadır ve bu tazminat genel hükümlere göre belirlenecektir. Kurula başvurmanın ön koşulu veri sorumlusuna başvurmak iken dava yoluna gitmenin önünde bir engel olmadığını belirtmekte de fayda vardır. İlgili kişinin veri sorumlusuna başvurusundan sonuç alamaması veya yetersiz cevap alması akabinde 30 günlük süre içerisinde KVKK şikayet başvurusu yapma hakkı bulunmaktadır.

İlgili kişiye kişisel verilerinin ihlali nedeniyle şikayet hakkı tanınmıştır. İlgili kişi cevap verilmeyen başvurusu, yetersiz cevap verilmesi durumlarında ve zımni ret hallerinde veri sorumlusuna başvurmadan Kurula şikayet yoluyla gidebilir. Bu şikayet için öngörülmüş olan süre cevabın alınması üzerinden 30 gün geçmesiyle ve her durumda veri sorumlusuna yapılan başvurunun 60. Gününde dolmaktadır. Kurul kararlarına karşı uyuşmazlığı çözecek olan idari yargıdır.

Kişisel verilerin ihlali nedeniyle tazminat talebiniz bulunuyorsa mutlaka en iyi bilişim avukatı ile çalışmalı ve KVKK şikayet ve tazminat süreçlerinizi birlikte yürütmelisiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code