Anasayfa/ Makale/ KVKK İhlal Kararları ve 2024 Mevzuat...

Makale

KVK Kurulu'nun güncel ihlal kararları ile veri ihlali bildirimleri incelenmekte ve 1 Haziran 2024'te yürürlüğe girecek mevzuat değişikliklerinin veri işleme ile aktarım süreçlerine getirdiği yenilikler uzman hukuki perspektifiyle değerlendirilmektedir.

KVKK İhlal Kararları ve 2024 Mevzuat Değişiklikleri Rehberi

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK AÇIK RIZA

Veri koruma hukuku, teknolojik gelişmelerin hız kazanmasıyla birlikte hem ulusal hem de uluslararası alanda sürekli bir dönüşüm içindedir. Bu dinamik yapının en önemli yansımaları, şüphesiz Kişisel Verileri Koruma Kurulu (KVK Kurulu) tarafından verilen ihlal kararları ve mevzuatta yapılan köklü güncellemelerdir. Özellikle temel hak ve özgürlüklerle doğrudan bağlantılı olan özel nitelikli kişisel veriler, hukuka aykırı eylemlere karşı daha sıkı bir koruma rejimine tabi tutulmaktadır. Kurulun hem re'sen yürüttüğü incelemeler hem de veri ihlal bildirimleri (VİB) üzerine verdiği kararlar, veri sorumlularının idari ve teknik tedbirler konusundaki yükümlülüklerinin sınırlarını netleştirmektedir. Bununla birlikte, 1 Haziran 2024 tarihinde yürürlüğe girecek olan mevzuat değişiklikleri, veri işleme şartları ve verilerin yurtdışına aktarımı konularında Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) standartlarına uyum sağlamayı hedefleyen devrim niteliğinde yenilikler getirmektedir. Bu yazımızda, güncel ihlal kararlarının hukuki analizi ile yeni dönemin getirdiği yükümlülükler detaylı bir şekilde ele alınmaktadır.

Kişisel Verileri Koruma Kurulu'nun Güncel İhlal Kararları

KVK Kurulu'nun pratiğine bakıldığında, veri sorumlularının idari ve teknik tedbirleri almamasından kaynaklanan çok sayıda yaptırım kararı bulunduğu görülmektedir. Örneğin, bir kamu hastanesinde görevli hekimin, kendi hastalarına ait dosyaları yetkisiz bir personel vasıtasıyla kurum dışına çıkartması olayında Kurul, hukuka aykırı erişimi önlemeye yönelik makul tedbirlerin alınmaması ve ihlalin geç bildirilmesi sebebiyle ciddi idari yaptırımlar uygulamıştır. Benzer şekilde, bir spor salonunda müşterilere ait özel nitelikli verilerin açık rıza alınmaksızın ve ilgisiz kişilerin erişebileceği şekilde işlenmesi, aydınlatma yükümlülüğünün ağır bir ihlali olarak değerlendirilmiştir. Kurul kararlarında sıklıkla öne çıkan bir diğer hukuki problem ise, veri ihlal bildirimlerinin süresi içinde yapılmamasıdır. İhlalin tespit edilmesinden haftalar sonra Kuruma yapılan bildirimler, veri güvenliği yükümlülüklerinin temelden sarsılması olarak kabul edilerek veri sorumluları aleyhine idari para cezalarına zemin hazırlamaktadır.

Veri İhlal Bildirimlerinde Sektörel Analiz ve Siber Saldırılar

Kurumun kamuoyuna duyurduğu veri ihlal bildirimleri (VİB) analiz edildiğinde, ihlallerin çok büyük bir kısmının siber saldırılar ve fidye yazılımları kaynaklı olduğu açıkça anlaşılmaktadır. Sigorta, lojistik, turizm ve özellikle devasa boyutlarda özel nitelikli kayıt barındıran hastane sistemleri sürekli olarak dış siber tehditlerin hedefi konumundadır. Yakın geçmişte özel bir hastaneye gerçekleştirilen siber saldırı sonucunda yaklaşık iki milyon kişiye ait özel nitelikli kişisel verilerinin sızdırılması, elektronik veri kayıt sistemlerindeki güvenlik zafiyetlerinin kritik boyutunu göstermektedir. Ancak Kurul, yalnızca dış kaynaklı saldırıları değil, içeriden kaynaklanan personel hatalarını veya yetkisiz sistem erişimlerini de titizlikle incelemektedir. Yetkisiz personelin otomasyon sistemine şifrelerle girip verileri dışarı sızdırması gibi vakalar, personel farkındalığının ve yetki matrislerinin eksikliğinden doğan idari kusurlar sayılarak doğrudan yaptırıma tabi tutulmaktadır.

2024 Yılı Mevzuat Değişikliklerinin Hukuki Etkileri

TBMM tarafından kabul edilerek yasalaşan ve 1 Haziran 2024 tarihinde yürürlüğe girecek olan değişiklikler, kişisel verilerin korunması alanında yepyeni bir hukuki rejimin başlangıcını işaret etmektedir. Kanunun önceki katı halinde, özel nitelikli verilerin işlenmesi oldukça dar istisnalara sıkıştırılmış ve kural olarak ilgili kişinin açık rızasına mutlak surette bağlanmıştı. Yeni yasal düzenleme ile birlikte, Genel Veri Koruma Tüzüğü (GDPR) normlarıyla tam uyum hedeflenmiş ve yasaklayıcı prensip esnetilerek işleme şartları önemli ölçüde genişletilmiştir. Değişiklikle birlikte, istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması gibi yeni hukuka uygunluk sebepleri sisteme entegre edilmiştir. Bu yasal reform, veri sorumlularını her işlemde açık rıza arama baskısından kurtarırken, ticari ve idari işleyişin uluslararası hukuk standartlarına yaraşır bir hızda yürütülmesine sağlam bir hukuki zemin oluşturmaktadır.

Yurtdışına Veri Aktarımında Yeni Dönem ve Güvenceler

Söz konusu yasal değişikliğin uygulamadaki en büyük ve kritik yansımalarından birini kişisel verilerin yurtdışına aktarılması süreçleri oluşturmaktadır. Eski yasal çerçevede, Kurul tarafından ilan edilmiş güvenli bir ülkenin bulunmaması ve prosedürel engeller, yurtdışı merkezli bulut sunucularını kullanan küresel şirketleri ciddi bir hukuki çıkmaza itmekteydi. Yürürlüğe girecek olan revizyonla birlikte, GDPR sistematiğine benzer kademeli ve çağdaş bir aktarım mekanizması kurulmuştur. Kurul bundan böyle sadece ülkelere değil, aynı zamanda belirli sektörlere veya uluslararası kuruluşlara da yeterlilik kararı verebilme yetkisiyle donatılmıştır. Yeterlilik kararının bulunmadığı senaryolarda yurtdışına hukuka uygun veri aktarımı için kullanılabilecek uygun güvence mekanizmaları şunlardır:

  • Kamu kurumları arasında akdedilen ve Kurul onayından geçen uluslararası sözleşme niteliği taşımayan sözleşmeler.
  • Çok uluslu kurumsal topluluklar içinde bağlayıcılığı bulunan ve Kurul tarafından resmen onaylanan bağlayıcı şirket kuralları.
  • Taraflarca imzalanmasını müteakip en geç beş iş günü içinde Kuruma bildirilmesi zorunlu tutulan standart sözleşmeler.
4 dk okuma Yayınlanma: Güncelleme: