Kişisel Veri İhlali Halinde KVKK Başvuru Süreci

KVKK Şikayeti Nasıl Yapılır?

KVKK şikayeti yapabilmek için öncelikle veri sorumlusuna yazılı başvuru yapılması zorunludur. 6698 sayılı KVKK'nın 14. maddesi uyarınca kişi, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme hakkına sahiptir.

Veri sorumlusuna yapılan başvuru sonucunda 30 gün içinde cevap verilmemesi veya ret cevabı alınması halinde KVKK'ya şikayet yolu açılır. Şikayet başvurusu elektronik ortamda veya yazılı olarak yapılabilir.

KVKK şikayeti için gerekli belgeler şunlardır:

• Başvuru formu: KVKK resmi sitesinden indirilebilir
• Kimlik belgesi: Nüfus cüzdanı veya sürücü belgesi fotokopisi
• Veri sorumlusuna yapılan başvuru: İlk başvurunun yazılı belgesi
• Veri sorumlusunun cevabı: Varsa alınan cevap, yoksa süre aşımını gösteren belgeler

Şikayet dilekçesinde ihlal edilen hakların açık şekilde belirtilmesi ve somut olayların detaylandırılması gerekmektedir. Genel ifadeler kullanmak yerine, hangi verilerinizin ne şekilde ihlal edildiğini spesifik olarak açıklamak başarı şansını artırır.

Kişisel Veri İhlali Nereye Bildirilir?

Kişisel veri ihlali bildirimleri iki farklı amaç için farklı mercilere yapılır. Veri sorumlusunun yapması gereken resmi bildirim ile kişinin yapacağı şikayet başvurusu birbirinden ayrı süreçlerdir.

Veri sorumlusunun bildirim yükümlülüğü: KVKK'nın 12/5 maddesi uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesi veya erişilmesi halinde durumu 72 saat içinde KVKK'ya bildirmek zorundadır. Bu bildirim kvkk.gov.tr adresindeki "Veri İhlali Bildirimi" sistemi üzerinden yapılır.

Kişinin şikayet hakkı: Veri sahibi kişi ise öncelikle veri sorumlusuna başvurmalı, ardından tatmin edici cevap alamazsa KVKK'ya şikayet edebilir. Şikayet başvuruları için kvkk.gov.tr sitesindeki "Başvuru Formu" kullanılır.

Tazminat davası: Maddi veya manevi tazminat talebinde bulunmak için mahkemelere başvuru gerekir. Bu, KVKK sürecinden bağımsız olarak yürütülen ayrı bir hukuki süreçtir.

Ayrıca büyük çaplı veri sızıntıları durumunda Cumhuriyet Savcılığı'na suç duyurusu yapılması da mümkündür. Özellikle çok sayıda kişinin verisinin çalınması veya satılması durumlarında cezai sorumluluk da gündeme gelebilir.

KVKK Başvuru Süresi Ne Kadar?

KVKK başvuru sürecinde iki farklı süre sınırı bulunmaktadır. İlk aşamada veri sorumlusuna yapılan başvuru için belirli bir süre sınırı yokken, KVKK'ya şikayet için net süreler tanımlanmıştır.

Veri sorumlusuna başvuru süresi: KVKK'da veri sorumlusuna ne kadar süre içinde başvuru yapılacağına ilişkin bir sınır yoktur. Ancak ihlal öğrenildiğinde mümkün olan en kısa sürede başvuru yapılması tavsiye edilir. Gecikmeli başvurular delil toplama açısından zorluklara yol açabilir.

KVKK'ya şikayet süresi: Veri sorumlusunun başvuruya 30 gün içinde cevap vermemesi veya ret cevabı vermesi halinde, bu durumun öğrenilmesinden itibaren 60 gün içinde KVKK'ya şikayet edilebilir.

Süre hesaplaması kritik önem taşır:

1. Başlangıç: Veri sorumlusundan ret cevabı alındığı tarih veya 30 günlük sürenin dolduğu tarih
2. Bitiş: Bu tarihten itibaren 60 gün sonra
3. Tatil günleri: Resmi tatiller süreye dahil edilir

Süre aşımı halinde şikayet başvurusu usulden reddedilir ve tekrar başvuru hakkı doğmaz. Bu nedenle sürelerin takibi hayati önem taşımaktadır.

Veri Sorumlusuna Başvuru Zorunlu Mu?

Evet, veri sorumlusuna başvuru yapmadan doğrudan KVKK'ya şikayet edilemez. KVKK'nın 14. maddesi açık şekilde "önce veri sorumlusuna başvuru" şartını öngörmektedir. Bu, hukukta "idari başvuru yollarının tüketilmesi" prensibi olarak bilinir.

Zorunlu başvuru süreci şu aşamaları içerir:

1. Yazılı başvuru yapılması: E-posta, iadeli taahhütlü mektup veya ıslak imzalı dilekçe
2. Kimlik ibrazı: Başvuru sahibinin kimliğini kanıtlayan belgeler
3. Taleplerin açık belirtilmesi: Hangi hakların ihlal edildiği, ne talep edildiği
4. 30 gün bekleme süresi: Veri sorumlusunun cevap vermesi için tanınan süre

İstisna durumlar çok sınırlıdır: Sadece veri sorumlusunun kimliğinin tespit edilememesi veya veri sorumlusunun yurtdışında olup Türkiye'de temsilcisinin bulunmaması hallerinde doğrudan KVKK'ya başvuru mümkün olabilir.

Veri sorumlusu kısmen kabul cevabı verirse, kabul edilmeyen kısımlar için KVKK'ya şikayet edilebilir. Tamamen ret cevabı verilirse tüm başvuru için şikayet yolu açılır.

Praktik öneri: Veri sorumlusuna başvuru yaparken kayıt altına almayı ihmal etmeyin. E-posta ile başvuru yapıyorsanız alındı onayı alın, posta ile gönderiyorsanız iadeli taahhütlü olarak gönderin.

KVKK İhlali Cezası Ne Kadar?

KVKK ihlal cezaları, ihlalin türüne ve şiddetine göre değişen geniş bir yelpazede uygulanır. 6698 sayılı KVKK'nın 18. maddesi farklı ihlal tipleri için farklı ceza miktarları öngörmektedir.

İdari para cezası miktarları şu şekildedir:

Ceza miktarı belirlenirken değerlendirilen faktörler:

• İhlalin süresi ve boyutu: Kaç kişinin verisi etkilendi, ne kadar sürdü
• İşletmenin büyüklüğü: Yıllık ciro ve çalışan sayısı
• Zarar miktarı: Oluşan fiili zararın büyüklüğü
• İyi niyet: İhlalin kasıtlı olup olmadığı, düzeltici tedbirler
• Tekrar suç: Daha önce KVKK ihlali yapıp yapılmadığı

2023 yılı verilerine göre KVKK tarafından verilen ortalama ceza miktarı yaklaşık 75.000 TL civarındadır. En yüksek ceza 2.000.000 TL (büyük teknoloji şirketlerine), en düşük ceza ise 15.000 TL olarak uygulanmıştır.

Cezalar kesin nitelik taşır ve faiziyle birlikte ödenmesi gerekir. Ödeme yapılmaması halinde icra takibi başlatılır.

Kişisel Veri Sızıntısında Tazminat Alınır Mı?

Evet, kişisel veri sızıntısından zarar gören kişiler hem maddi hem manevi tazminat talep edebilir. KVKK'nın 13. maddesi açık şekilde "kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan kişinin zararının giderilmesini talep etme hakkı" olduğunu düzenler.

Tazminat türleri ve kapsamı:

Maddi tazminat somut zararları kapsar. Kredi kartı bilgilerinin çalınması sonucu yapılan harcamalar, kimlik hırsızlığı nedeniyle katlanılan masraflar, iş kaybı gibi durumlar maddi zarar olarak değerlendirilir.

Manevi tazminat ise kişilik haklarının ihlali nedeniyle yaşanan üzüntü, sıkıntı, prestij kaybı için talep edilir. Özel nitelikli verilerin (sağlık, cinsel yaşam, siyasi görüş) sızması durumunda manevi tazminat miktarı daha yüksek belirlenir.

Tazminat davası açma şartları:

1. Zarar oluşması: Somut bir zararın varlığı kanıtlanmalı
2. Kusur tespiti: Veri sorumlusunun yeterli tedbirleri almadığı gösterilmeli
3. İlliyet bağı: Zarar ile veri ihlali arasında bağlantı kurulmalı
4. Zamanaşımı: Zararın öğrenilmesinden itibaren 2 yıl, her halükarda 10 yıl

Mahkeme uygulamasında tazminat miktarları:

• Basit veri sızıntıları: 5.000-15.000 TL
• Özel nitelikli veri ihlalleri: 15.000-50.000 TL
• Büyük çaplı sızıntılar: 50.000 TL ve üzeri

Tazminat davası KVKK sürecinden bağımsız olarak açılabilir. KVKK'dan olumlu veya olumsuz karar alınması tazminat hakkını etkilemez.

KVKK Kurulu Kararına İtiraz Edilir Mi?

KVKK Kurulu kararlarına karşı itiraz imkanı sınırlıdır ve belirli prosedürler izlenmelidir. 6698 sayılı KVKK'nın 15/7 maddesi uyarınca Kurul kararlarına karşı yargı yolu kapalıdır, ancak bazı istisnai durumlar mevcuttur.

İtiraz imkanları şu şekildedir:

İdari yargı yolu: KVKK Kurulu'nun verdiği idari para cezalarına karşı Ankara İdare Mahkemesi'ne dava açılabilir. Bu dava, cezanın kesinleşmesinden itibaren 60 gün içinde açılmalıdır.

İptal davası: Kurul'un işlem tesis eden kararları (ceza verme, tedbir uygulama gibi) için iptal davası açılabilir. Ancak ret kararlarına karşı dava yolu kapalıdır.

Yeniden değerlendirme talebi: Kurul kararından sonra ortaya çıkan yeni deliller varsa, bunlar sunularak yeniden değerlendirme talep edilebilir. Bu talep önemli yeni bilgi ve belgeye dayanmalıdır.

İtiraz sürecinde dikkat edilecek hususlar:

• Vekil zorunluluğu: İdare mahkemesinde avukat ile temsil edilme zorunludur
• Yürütmeyi durdurma: Ceza kararları için ayrıca yürütmeyi durdurma talebinde bulunulabilir
• Temyiz imkanı: İlk derece mahkemesi kararı Danıştay'da temyiz edilebilir
• İcra takibi: Dava açılması cezanın tahsilatını durdurmaz, yürütmeyi durdurma kararı gerekir

İstatistiksel veriler: 2023 yılında KVKK kararlarına karşı açılan davaların yaklaşık %30'unda yürütmeyi durdurma kararı verilmiş, %45'inde ise dava reddedilmiştir.

Veri İhlali Bildirimi Nasıl Yapılır?

Veri ihlali bildirimi, KVKK'nın 12/5 maddesi uyarınca veri sorumlusunun yasal yükümlülüğüdür ve 72 saat içinde yapılması zorunludur. Bu bildirim, kvkk.gov.tr adresindeki "Veri İhlali Bildirimi Sistemi" üzerinden elektronik ortamda yapılır.

Bildirim yapılması gereken durumlar:

• Yetkisiz erişim: Sisteme izinsiz girilmesi
• Veri sızıntısı: Verilerin üçüncü kişilerce elde edilmesi
• Veri kaybı: Yedekleme eksikliği nedeniyle verilerin kaybolması
• Veri değişikliği: Yetkisiz kişilerce verilerde değişiklik yapılması

Bildirim formu şu bilgileri içermelidir:

1. İhlalin doğası ve kapsamı: Ne türde bir ihlal olduğu, kaç kişiyi etkilediği
2. Etkilenen veri kategorileri: Hangi türde kişisel verilerin etkilendiği
3. İhlalin olası sonuçları: Kişiler için ne gibi riskler oluştuğu
4. Alınan tedbirler: İhlali önlemek ve sonuçlarını azaltmak için yapılanlar
5. İrtibat bilgileri: Konuyla ilgili sorular için ulaşılabilecek kişi

72 saatlik süre kritik öneme sahiptir. Süre, ihlalin ilk fark edildiği andan itibaren başlar. Hafta sonu ve resmi tatiller bu süreye dahildir.

Kişilere bilgilendirme yükümlülüğü: İhlalin "yüksek risk" teşkil etmesi durumunda, ilgili kişiler de bilgilendirilmek zorundadır. Bu bilgilendirme gecikmeden, anlaşılır dilde ve kişilerin alabileceği önlemleri içerecek şekilde yapılmalıdır.

Bildirim yapılmaması KVKK'nın 18/3 maddesi uyarınca 15.000 TL ile 1.000.000 TL arasında idari para cezası ile cezalandırılır. Geç bildirim de ceza sebebidir.

Yasal Dayanaklar

Bu makalede atıfta bulunulan mevzuat:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (m. 13, 14, 15, 18) - Tazminat hakkı, başvuru hakkı, şikayet süreci ve idari para cezaları
• 30356 sayılı Kişisel Verilerin Korunması Kanunu Uygulama Yönetmeliği (m. Çeşitli maddeler) - KVKK'nın uygulanmasına ilişkin detaylı düzenlemeler