Single Blog Title

This is a single blog caption

Kişisel Verilerin Hukuka Aykırı Paylaşılması Halinde Tazminat ve Şikâyet Yolları

Giriş

Kişisel verilerin hukuka aykırı şekilde paylaşılması, günümüzde bireylerin en sık karşılaştığı veri ihlallerinden biridir. Bir kişinin telefon numarasının üçüncü kişilerle paylaşılması, borç bilgisinin yakınlarına veya iş arkadaşlarına bildirilmesi, sağlık raporunun izinsiz gönderilmesi, kamera görüntüsünün sosyal medyada yayımlanması, kimlik fotokopisinin başkalarının eline geçmesi, kargo paketinde başka bir kişiye ait adres bilgisinin yer alması veya banka-müşteri bilgilerinin yetkisiz kişilere açıklanması bu kapsamda değerlendirilebilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin yalnızca hukuka uygun sebeplerle işlenmesine ve aktarılmasına izin verir. Kişisel verilerin üçüncü kişilere açıklanması, aktarılması, yayılması veya erişilebilir hale getirilmesi de bir kişisel veri işleme faaliyetidir. Bu nedenle veri paylaşımının hukuka uygun olabilmesi için Kanun’da yer alan işleme ve aktarım şartlarına dayanması gerekir. Aksi halde hem idari yaptırım hem tazminat hem de ceza hukuku sorumluluğu gündeme gelebilir.

Kişisel Verileri Koruma Kurumu’nun kararlarında da isim, soyisim, adres gibi bilgilerin kişiyi belirli veya belirlenebilir kılması nedeniyle kişisel veri olduğu; bu bilgilerin elde edilmesi, kaydedilmesi, açıklanması, aktarılması ve erişilebilir hale getirilmesinin kişisel veri işleme faaliyeti sayıldığı açıkça belirtilmiştir.

Bu nedenle “kişisel verilerim izinsiz paylaşıldı, ne yapabilirim?” sorusunun cevabı tek bir yoldan ibaret değildir. Somut olayın niteliğine göre veri sorumlusuna başvuru, Kişisel Verileri Koruma Kurulu’na şikâyet, savcılığa suç duyurusu, maddi-manevi tazminat davası, içeriğin kaldırılması, erişimin engellenmesi ve delil tespiti gibi farklı hukuki yollar birlikte değerlendirilebilir.

Kişisel Verilerin Hukuka Aykırı Paylaşılması Ne Demektir?

Kişisel verilerin hukuka aykırı paylaşılması, bir kişiye ait verilerin Kanun’da öngörülen hukuki şartlar bulunmaksızın üçüncü kişilere aktarılması, açıklanması, yayılması veya erişilebilir hale getirilmesidir. Burada paylaşımın mutlaka büyük çaplı bir veri sızıntısı şeklinde gerçekleşmesi gerekmez. Tek bir kişiye ait telefon numarasının, borç bilgisinin, adresinin, sağlık bilgisinin veya kimlik bilgisinin yetkisiz bir kişiyle paylaşılması dahi hukuka aykırı veri paylaşımı oluşturabilir.

Örneğin bir şirketin müşterisinin telefon numarasını izinsiz şekilde başka firmalara vermesi, bir işverenin çalışanının sağlık raporunu diğer çalışanlara göndermesi, bir apartman yöneticisinin kamera görüntülerini WhatsApp grubunda paylaşması, bir bankanın müşterinin borç bilgisini işyerine bildirmesi veya bir avukatlık bürosunun borçluya ait bilgileri borçlunun yakınlarına göndermesi kişisel verilerin hukuka aykırı paylaşılması iddiasına konu olabilir.

Kişisel veri paylaşımının hukuka uygun olabilmesi için öncelikle belirli, açık ve meşru bir amaç bulunmalıdır. Ayrıca paylaşım, Kanun’da öngörülen hukuki sebeplerden birine dayanmalıdır. Kişinin açık rızası, kanunlarda açıkça öngörülme, sözleşmenin ifası, hukuki yükümlülüğün yerine getirilmesi, hakkın tesisi veya korunması gibi sebepler somut olayda mevcut değilse, veri aktarımı hukuka aykırı hale gelebilir.

KVKK bakımından önemli olan yalnızca verinin “doğru kişiye ait olması” değildir. Verinin hangi amaçla, hangi kişiye, hangi hukuki sebebe dayanarak ve hangi sınırlar içinde paylaşıldığı da önemlidir. Örneğin bir kargo şirketinin taşıma hizmeti kapsamında alıcının adresini işlemesi hukuka uygun olabilir; fakat barkodlama hatasıyla bir kişinin adres bilgilerinin alakasız üçüncü kişiye gönderilmesi ayrı ve hukuka aykırı bir veri paylaşımı olabilir. Kurul’un kargo firması hakkındaki kararında da çapraz barkodlama hatası sonucu kişisel verilerin üçüncü kişiyle paylaşılması, Kanun kapsamında ayrıca değerlendirilmiştir.

Hangi Bilgilerin Paylaşılması Kişisel Veri İhlali Oluşturabilir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu nedenle yalnızca T.C. kimlik numarası veya pasaport bilgisi değil; ad-soyad, telefon numarası, e-posta adresi, ev adresi, iş adresi, IP adresi, araç plakası, kamera görüntüsü, ses kaydı, banka hesap bilgisi, borç bilgisi, sağlık raporu, adli sicil kaydı, çalışan özlük bilgisi, müşteri işlem geçmişi ve konum bilgisi de kişisel veri niteliği taşıyabilir.

Bazı veriler ise daha hassas niteliktedir. Sağlık verileri, biyometrik veriler, ceza mahkûmiyeti bilgileri, sendika üyeliği, dini inanç, siyasi düşünce, cinsel hayat, genetik veri ve benzeri bilgiler özel nitelikli kişisel veri olarak kabul edilir. Bu verilerin hukuka aykırı paylaşılması, kişide çok daha ağır zarar doğurabilir. Örneğin bir kişinin hastalık bilgisinin işyerinde yayılması, yalnızca KVKK ihlali değil, aynı zamanda kişilik haklarına ağır saldırı niteliği taşıyabilir.

Kişisel verinin hukuka aykırı paylaşılması için paylaşımın mutlaka ticari amaçla yapılması gerekmez. Kişisel verinin merak, baskı, tehdit, tahsilat, intikam, ifşa, dedikodu veya ihmal nedeniyle paylaşılması da hukuki sorumluluk doğurabilir. Bir kişinin borç bilgisinin ailesine bildirilmesi, özel mesajlarının ekran görüntüsü alınarak paylaşılması, adresinin sosyal medyada yayımlanması veya kimlik fotoğrafının sahte işlem amacıyla kullanılması bu kapsamdadır.

Veri Sorumlusuna Başvuru İlk Aşamadır

Kişisel verileri hukuka aykırı şekilde paylaşılan kişi, KVKK kapsamında öncelikle veri sorumlusuna başvurmalıdır. Veri sorumlusu; kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir şirket, banka, hastane, okul, işveren, kargo firması, e-ticaret platformu, sigorta şirketi veya dernek somut olayda veri sorumlusu olabilir.

İlgili kişi, veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini öğrenebilir, hangi verilerin işlendiğine dair bilgi talep edebilir, verilerin işlenme amacını sorabilir, verilerin yurt içinde veya yurt dışında kimlere aktarıldığını öğrenebilir, yanlış veya eksik verilerin düzeltilmesini isteyebilir, şartları oluşmuşsa verilerin silinmesini veya yok edilmesini talep edebilir. Kanun’da ayrıca kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğrayan kişinin zararın giderilmesini talep etme hakkı da düzenlenmiştir.

Veri sorumlusuna yapılacak başvuru yazılı olarak, kayıtlı elektronik posta, güvenli elektronik imza, mobil imza, veri sorumlusu sisteminde kayıtlı e-posta adresi veya Kurul’un belirlediği diğer yöntemlerle yapılabilir. Başvuruda olay açıkça anlatılmalı, hangi kişisel verinin kimlerle ve ne şekilde paylaşıldığı belirtilmeli, mümkünse deliller eklenmeli ve hangi taleplerde bulunulduğu net şekilde yazılmalıdır.

Veri sorumlusu, kendisine yapılan başvuruyu niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmak zorundadır. Veri sorumlusu talebi kabul ederse gereğini yerine getirir; reddederse gerekçesini bildirmelidir.

Kişisel Verileri Koruma Kurulu’na Şikâyet

Veri sorumlusuna başvuru yapıldıktan sonra başvuru reddedilirse, verilen cevap yetersiz bulunursa veya otuz gün içinde cevap verilmezse Kişisel Verileri Koruma Kurulu’na şikâyet yoluna gidilebilir. Burada süreler son derece önemlidir. İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün ve her halde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunmalıdır.

Başvuru yolu tüketilmeden doğrudan Kurul’a şikâyet edilmesi halinde şikâyet usulden reddedilebilir. Kurum’un kamuoyu duyurusunda da 6698 sayılı Kanun’un 14. maddesi uyarınca veri sorumlusuna başvuru yolu tüketilmeden Kurul’a şikâyet yoluna başvurulamayacağı belirtilmiştir.

Kurul şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen inceleme yapabilir. İnceleme sonucunda ihlal tespit edilirse, hukuka aykırılığın giderilmesine karar verebilir ve veri sorumlusuna idari yaptırım uygulayabilir. Kurul tarafından verilen kararların veri sorumlusu tarafından tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmesi gerekir.

Kurul’a yapılacak şikâyette olayın hukuki yönü kadar delil yönü de önemlidir. Ekran görüntüleri, SMS kayıtları, e-posta yazışmaları, kargo etiketi, sosyal medya paylaşımı, çağrı kayıtları, tanık beyanları, veri sorumlusuna yapılan başvuru ve verilen cevap mutlaka dosyaya eklenmelidir. Özellikle veri paylaşımının kim tarafından, ne zaman, hangi yolla ve hangi kişilere yapıldığının ortaya konulması şikâyetin etkili incelenmesi bakımından önem taşır.

Kurul Şikâyeti Tazminat Yerine Geçer mi?

Kurul’a şikâyet başvurusu, tazminat davasının yerine geçmez. Kurul, veri sorumlusu hakkında idari yaptırım uygulayabilir, hukuka aykırılığın giderilmesine karar verebilir, veri güvenliği tedbirlerinin alınmasını isteyebilir; ancak kişiye doğrudan maddi veya manevi tazminat ödenmesine karar veren bir mahkeme gibi hareket etmez.

KVKK kararlarında da kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkının saklı olduğu ve tazminat taleplerinin genel mahkemeler önünde ileri sürülmesi gerektiği açıkça belirtilmektedir. Kurul’un bir banka hakkındaki kararında, zarara uğradığını ileri süren kişinin tazminat talebini genel mahkemeler huzurunda kullanması gerektiği ifade edilmiştir.

Bu nedenle kişisel verileri hukuka aykırı paylaşılan kişi iki ayrı yolu birlikte değerlendirmelidir. Birincisi, KVKK kapsamında veri sorumlusuna başvuru ve Kurul’a şikâyet yoludur. İkincisi ise maddi ve manevi tazminat davasıdır. Kurul kararı, tazminat davasında güçlü bir delil olarak kullanılabilir. Özellikle Kurul’un veri ihlalini tespit ettiği ve veri sorumlusu hakkında idari para cezası uyguladığı hallerde, bu karar hukuk mahkemesi önünde davacının iddiasını destekleyebilir.

Maddi ve Manevi Tazminat Davası Açılabilir mi?

Evet. Kişisel verilerin hukuka aykırı paylaşılması nedeniyle kişi maddi veya manevi zarara uğramışsa tazminat davası açabilir. Maddi zarar; iş kaybı, gelir kaybı, dolandırıcılık nedeniyle para kaybı, haksız işlem nedeniyle yapılan masraf, kimlik bilgilerinin kötüye kullanılması sonucu ortaya çıkan finansal zarar gibi somut parasal kayıpları kapsayabilir.

Manevi zarar ise kişinin özel hayatının ihlal edilmesi, toplum içinde küçük düşmesi, aile ve iş çevresinde itibar kaybına uğraması, psikolojik baskı yaşaması, mahrem bilgilerinin yayılması, borç veya sağlık bilgisinin üçüncü kişilerce öğrenilmesi gibi durumlarda gündeme gelebilir. Özellikle sağlık verisi, borç bilgisi, ceza soruşturması bilgisi, özel hayat görüntüsü, adres bilgisi veya ailevi bilgiler gibi mahrem nitelikli verilerin paylaşılması manevi tazminat talebini güçlendirebilir.

Tazminat davasında davacının kişisel verisinin hukuka aykırı paylaşıldığını, bu paylaşım nedeniyle zarara uğradığını ve zarar ile hukuka aykırı paylaşım arasında illiyet bağı bulunduğunu ispatlaması gerekir. Ancak her somut olayın ispat standardı farklıdır. Örneğin borç bilgisinin iş arkadaşlarına gönderildiği bir olayda SMS kayıtları, tanık beyanları ve Kurul kararı önemli delil olabilir. Sağlık raporunun işyerinde yayıldığı bir olayda e-posta zinciri, WhatsApp mesajları, tanıklar ve işyeri kayıtları değerlendirilebilir.

Tazminat davası, olayın taraflarına ve hukuki ilişkinin niteliğine göre farklı mahkemelerde açılabilir. İşçi-işveren ilişkisi varsa iş mahkemesi; tüketici işlemi varsa tüketici mahkemesi; genel nitelikte kişilik hakkı ihlali varsa asliye hukuk mahkemesi görevli olabilir. Bu nedenle dava açılmadan önce ilişkinin hukuki niteliği doğru belirlenmelidir.

Savcılığa Suç Duyurusu Yapılabilir mi?

Kişisel verilerin hukuka aykırı olarak paylaşılması bazı durumlarda yalnızca KVKK ihlali değil, aynı zamanda suç da oluşturabilir. 6698 sayılı Kanun’un 17. maddesi, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. maddelerine atıf yapmaktadır. Kişisel Verileri Koruma Kurumu da hukuka aykırı olarak kişisel verileri kaydeden, bir başkasına veren, yayan veya ele geçiren kişiler hakkında Türk Ceza Kanunu kapsamında hapis cezası uygulanabileceğini belirtmektedir.

Bu nedenle bir kişinin kimlik bilgilerinin dolandırıcılık amacıyla kullanılması, adresinin tehdit amacıyla paylaşılması, özel görüntülerinin yayılması, sağlık bilgisinin ifşa edilmesi, banka bilgilerinin üçüncü kişilere verilmesi veya kişisel verilerin ele geçirilerek sahte işlem yapılması halinde Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulabilir.

Ancak ceza soruşturması ile KVKK şikâyeti farklı yollardır. Kurul, yargı mercilerinin görevine giren konularda ceza yargılaması yapmaz. Kurum’un duyurularında da suç unsuru barındıran iddialar bakımından gerekli hukuki işlemlerin tesisi için yargı yoluna başvurulması gerektiği belirtilmiştir.

Bu nedenle veri ihlali hem idari hem hukuki hem de cezai sonuç doğuruyorsa yollar birlikte yürütülebilir. Örneğin kişi, veri sorumlusuna başvuru yapabilir, ardından Kurul’a şikâyette bulunabilir, aynı zamanda savcılığa suç duyurusunda bulunabilir ve ayrıca tazminat davası açabilir. Bu yollar birbirinin tamamen alternatifi değil, çoğu durumda birbirini tamamlayan hukuki yollardır.

Veri İhlali Halinde Veri Sorumlusunun Bildirim Yükümlülüğü

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmesi gerekir. Veri sorumlusu ayrıca kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almak zorundadır.

Bu yükümlülük özellikle şirketler bakımından önemlidir. Bir şirketin veri tabanının sızdırılması, müşteri bilgilerinin yetkisiz çalışan tarafından alınması, e-posta gönderiminde alıcıların yanlışlıkla birbirini görmesi, kargo bilgilerinin yanlış kişiye gitmesi veya sistem açığı nedeniyle kullanıcıların birbirinin bilgilerini görmesi veri ihlali oluşturabilir. Bu gibi durumlarda şirketin yalnızca “hata oldu” demesi yeterli değildir. İhlalin kapsamı tespit edilmeli, etkilenen kişiler belirlenmeli, Kurul’a bildirim yapılmalı, ilgili kişiler bilgilendirilmeli ve tekrarını önleyecek tedbirler alınmalıdır.

Kurul’un havayolu şirketi kararında, yolcu isim kaydı üzerinden farklı kişilere ait bilgilerin görülebilmesi, kişisel verilere hukuka aykırı erişimin önlenmesi ve muhafazanın sağlanması için gerekli teknik-idari tedbirlerin alınmadığı yönünde değerlendirilmiştir.

Benzer şekilde kargo firması hakkındaki kararda, çapraz barkodlama hatası sonucu kişisel verilerin üçüncü kişiyle paylaşılması veri ihlali olarak değerlendirilmiş; veri sorumlusunun teknik ve idari tedbir alma yükümlülüğü vurgulanmıştır.

Kurul Kararlarından Örnekler

Kişisel verilerin hukuka aykırı paylaşılması konusunda Kurul kararları uygulama açısından yol göstericidir. Örneğin bir kararda, borç bilgisinin icra işlemlerini yürüten avukat tarafından kişinin iş arkadaşlarına ve ağabeyine SMS ile gönderilmesi değerlendirilmiştir. Kurul, ilgili kişinin borç bilgilerinin bu kişilerle paylaşılmasını ve T.C. kimlik numarasıyla bazı sorgulamalar yapılmasını Kanun’a aykırı bularak veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir.

Bu karar, özellikle tahsilat süreçlerinde kişisel verilerin kullanım sınırlarını göstermesi bakımından önemlidir. Bir kişinin borçlu olması, borç bilgisinin ailesine, komşusuna, iş arkadaşına veya işverenine açıklanabileceği anlamına gelmez. Alacak takibi yapılırken dahi kişisel veriler amaca uygun, sınırlı ve ölçülü şekilde kullanılmalıdır.

Başka bir kararda ise havayolu şirketinin mobil uygulaması üzerinden check-in işlemi sırasında üçüncü kişilere ait pasaport, doğum tarihi, uyruk, belge numarası ve benzeri bilgilerin görülebildiği iddiası incelenmiştir. Bu tür verilerin seyahat ve kimlik bilgisi içermesi nedeniyle ihlalin ağırlığı daha da artmaktadır. Kurul, teknik ve idari tedbirlerin yeterliliğini değerlendirmiş ve veri güvenliği yükümlülüğünün önemini vurgulamıştır.

Kargo firması kararında ise isim, soyisim ve adres bilgilerinin yanlış barkodlama nedeniyle ilgisiz üçüncü kişiye gitmesi incelenmiştir. Kurul, bu paylaşımın yeni ve müstakil bir kişisel veri işleme faaliyeti olduğunu, bu faaliyet için Kanun’da yer alan işleme şartlarından birine dayanılması gerektiğini belirtmiştir.

Bu kararlar, kişisel veri ihlallerinin yalnızca büyük veri sızıntılarıyla sınırlı olmadığını göstermektedir. Günlük hayatta basit görünen bir SMS, kargo etiketi, sistem ekranı, e-posta veya WhatsApp paylaşımı dahi KVKK kapsamında ciddi sonuçlar doğurabilir.

Delil Toplama Neden Önemlidir?

Kişisel verilerin hukuka aykırı paylaşılması iddiasında en önemli meselelerden biri delildir. Veri ihlali çoğu zaman dijital ortamda gerçekleştiği için deliller hızlıca silinebilir, değiştirilebilir veya erişilemez hale gelebilir. Bu nedenle mağdur kişinin mümkün olan en kısa sürede delilleri güvence altına alması gerekir.

Ekran görüntüleri alınmalı, paylaşım bağlantıları kaydedilmeli, e-postalar saklanmalı, SMS ve WhatsApp mesajları silinmemeli, kargo etiketleri muhafaza edilmeli, arama kayıtları not edilmeli ve tanık olabilecek kişiler belirlenmelidir. Sosyal medya paylaşımlarında noter tespiti, delil tespiti veya elektronik delil kayıt yöntemleri değerlendirilebilir. Özellikle tazminat davası ve ceza soruşturması bakımından delillerin usulüne uygun şekilde toplanması son derece önemlidir.

Veri sorumlusuna yapılacak başvuruda da delillerin eklenmesi faydalıdır. Örneğin “kişisel verilerim paylaşıldı” demek yerine, “şu tarihte şu numaradan gönderilen SMS ile borç bilgilerim şu kişilere iletilmiştir” veya “şu gönderi etiketinde başka kişiye ait adres ve telefon bilgisi tarafıma ulaşmıştır” şeklinde somutlaştırılmış başvuru daha etkili olur.

Şirketler Açısından Hukuki Riskler

Şirketler açısından kişisel verilerin hukuka aykırı paylaşılması ciddi sonuçlar doğurur. Öncelikle Kişisel Verileri Koruma Kurulu tarafından idari para cezası uygulanabilir. Bunun yanında şirket, ihlalin giderilmesi, veri güvenliği tedbirlerinin artırılması, ilgili kişilere bilgi verilmesi ve iç süreçlerin düzeltilmesi yönünde kararlarla karşılaşabilir.

İkinci olarak, mağdur kişi tazminat davası açabilir. Özellikle veri ihlali nedeniyle kişinin işini kaybetmesi, dolandırıcılığa uğraması, sosyal çevresinde küçük düşmesi veya psikolojik zarar yaşaması halinde maddi ve manevi tazminat talepleri gündeme gelebilir.

Üçüncü olarak, veri ihlali suç teşkil ediyorsa şirket çalışanları, yöneticileri veya ilgili gerçek kişiler hakkında ceza soruşturması yürütülebilir. Tüzel kişiler bakımından güvenlik tedbirleri veya sektörel yaptırımlar da ayrıca gündeme gelebilir.

Dördüncü olarak, veri ihlali şirket itibarı bakımından ağır sonuç doğurabilir. Müşteri güveninin kaybedilmesi, sosyal medyada olumsuz görünürlük, ticari ilişkilerin bozulması ve marka değerinin zarar görmesi çoğu zaman idari para cezasından daha büyük etki yaratır.

Bu nedenle şirketlerin KVKK uyum sürecini yalnızca metin hazırlama faaliyeti olarak görmemesi gerekir. Kişisel veri envanteri, aydınlatma metinleri, açık rıza süreçleri, veri işleyen sözleşmeleri, erişim yetkilendirmeleri, çalışan eğitimleri, log kayıtları, siber güvenlik önlemleri ve veri ihlal müdahale planı birlikte oluşturulmalıdır.

Mağdur Kişi Hangi Sırayla Hareket Etmelidir?

Kişisel verileri hukuka aykırı paylaşılan kişi öncelikle olayı belgelemelidir. Hangi verinin, kim tarafından, kime, ne zaman ve hangi yolla paylaşıldığı tespit edilmelidir. Ardından veri sorumlusuna başvuru yapılmalıdır. Başvuruda verilerin hangi hukuki sebebe dayanarak paylaşıldığı, kimlere aktarıldığı, ihlalin giderilmesi için ne yapıldığı, verilerin silinip silinmeyeceği ve zararın nasıl giderileceği sorulmalıdır.

Veri sorumlusu cevap vermezse, cevabı yetersizse veya talebi reddederse Kurul’a şikâyet edilmelidir. Süreler kaçırılmamalıdır. Şikâyet dilekçesi açık, delilli ve hukuki talepler içerecek şekilde hazırlanmalıdır.

Eğer olay suç niteliği taşıyorsa savcılığa suç duyurusu yapılmalıdır. Özellikle kimlik bilgilerinin dolandırıcılıkta kullanılması, özel görüntülerin yayılması, tehdit veya şantaj amacıyla veri paylaşılması, sistemlere hukuka aykırı erişim veya sağlık verilerinin ifşası gibi durumlarda ceza hukuku boyutu ayrıca değerlendirilmelidir.

Zarar oluşmuşsa tazminat davası açılmalıdır. Kurul’a şikâyet tazminat davasının yerine geçmediği için mağdur kişinin maddi ve manevi zararını mahkemede ayrıca ileri sürmesi gerekir.

Sonuç

Kişisel verilerin hukuka aykırı paylaşılması, hem bireyler hem de şirketler açısından ciddi hukuki sonuçlar doğuran bir ihlaldir. Bir kişinin telefon numarasının, adresinin, borç bilgisinin, sağlık verisinin, kimlik bilgilerinin, kamera görüntüsünün veya özel yazışmalarının izinsiz paylaşılması; KVKK başvurusu, Kurul şikâyeti, tazminat davası ve savcılık suç duyurusu süreçlerini gündeme getirebilir.

Bu tür durumlarda mağdur kişinin en önemli avantajı, olayı hızlı şekilde belgelemek ve doğru hukuki yolu seçmektir. Veri sorumlusuna başvuru yapılmadan Kurul’a şikâyet edilmesi usulden sorun yaratabilir. Kurul’a şikâyet edilmesi ise tazminat davasının yerine geçmez. Ceza soruşturması da ayrıca değerlendirilmesi gereken bağımsız bir yoldur.

Şirketler açısından ise kişisel veri güvenliği bir tercih değil, kanuni yükümlülüktür. Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini, hukuka aykırı erişilmesini ve yetkisiz kişilerle paylaşılmasını önlemek için gerekli teknik ve idari tedbirleri almak zorundadır. Veri ihlali meydana geldiğinde ise Kurul’a ve ilgili kişilere bildirim yükümlülüğü gündeme gelir.

Sonuç olarak, kişisel verilerin hukuka aykırı paylaşılması halinde yalnızca “şikâyet ederim” veya “tazminat alırım” şeklinde genel bir yaklaşım yeterli değildir. Somut olayın niteliğine göre KVKK başvurusu, Kurul şikâyeti, savcılık başvurusu, maddi-manevi tazminat davası ve delil tespiti birlikte planlanmalıdır. Doğru hazırlanmış başvuru ve dava süreci, hem ihlalin durdurulmasını hem zararın giderilmesini hem de sorumlular hakkında yaptırım uygulanmasını sağlayabilir.

Leave a Reply

Call Now Button