KVKK İhlali Avukatı | İstanbul
Kişisel Verileriniz İzinsiz mi Paylaşıldı – KVKK İhlali mi Yaşıyorsunuz ?
Bir e-ticaret sitesine üye oldunuz. Ad-soyad, telefon, adres bilgilerinizi verdiniz. Birkaç gün sonra tanımadığınız firmalardan onlarca reklam SMS’i gelmeye başladı. “Sizi nereden buldular?” diye sorduğunuzda “veritabanından” dediler. Verileriniz izniniz olmadan başka firmalara satılmış.
Ya da bir hastanede tedavi gördünüz. Sağlık kayıtlarınız, teşhisleriniz sistemde. Ama bir gün internette kendi adınızla arama yaptınızda, sağlık bilgilerinizin bir forumda herkese açık paylaşıldığını gördünüz.
Ya da tam tersi: Şirket sahibisiniz. Çalışan verilerini saklıyorsunuz. KVKK Kurumu denetim yaptı, “aydınlatma metni yok, veri envanteri eksik” dedi. Şimdi 50.000 TL – 2.000.000 TL arası idari para cezası tehdidiyle karşı karşıyasınız.
Her üç durumda da KVKK (Kişisel Verilerin Korunması Kanunu) ihlali söz konusudur. İstanbul’da bu tür dosyalarda hem mağdur hem de veri sorumlusu (şirket/kurum) tarafında hukuki destek sağlıyoruz. Üsküdar ofisimizden hareketle KVKK Kurulu başvuruları, idari para cezası itirazları ve veri ihlali davaları yönetiyoruz.
KVKK (6698 Sayılı Kanun) Nedir?
KVKK (Kişisel Verilerin Korunması Kanunu), 6698 sayılı kanun ile 7 Nisan 2016’da kabul edilmiş, 24 Mart 2016 tarihinde yürürlüğe girmiştir. Amaç: Kişisel verilerin işlenmesi, saklanması, paylaşılması sırasında bireylerin haklarını korumak.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Örnekler:
· Kimlik bilgileri: Ad-soyad, TC kimlik no, doğum tarihi
· İletişim bilgileri: Telefon, e-posta, adres
· Finansal bilgiler: Kredi kartı no, banka hesap no, maaş
· Sağlık bilgileri: Hastalık teşhisi, tedavi kayıtları, kan grubu
· Biyometrik veriler: Parmak izi, yüz tanıma, iris
· Konum bilgileri: GPS koordinatları, IP adresi
· Dijital iz: Çerez (cookie), tarayıcı geçmişi, sosyal medya etkileşimleri
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Örnekler:
· E-ticaret siteleri (Trendyol, Hepsiburada vb.)
· Bankalar, finans kuruluşları
· Hastaneler, klinikler
· Okullar, üniversiteler
· İşverenler (çalışan verileri)
· Sosyal medya platformları
KVKK İhlali Türleri
İhlal: Kişisel verilerin, KVKK m. 5'te sayılan şartlar olmadan işlenmesi.
- Açık rıza
- Kanunda açıkça öngörülmesi
- Sözleşmenin kurulması/ifası için gerekli olması
- Hukuki yükümlülüğün yerine getirilmesi
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat
İhlal: Veri toplarken kişiye "verileriniz ne amaçla, ne kadar süre saklanacak, kimlerle paylaşılacak" bilgisi verilmemesi (KVKK m. 10).
- Veri sorumlusunun kimliği
- Verilerin hangi amaçla işlendiği
- Verilerin kimlere, hangi amaçla aktarılabileceği
- Veri toplama yöntemi ve hukuki sebebi
- İlgili kişinin hakları (erişim, düzeltme, silme vb.)
İhlal: Kişisel verilerin hukuka aykırı işlenmesini önlemek, saklanmasını sağlamak için gerekli teknik ve idari tedbirlerin alınmaması (KVKK m. 12).
- Şifreleme (encryption)
- Erişim yetkilendirmesi
- Firewall, antivirüs
- Yedekleme (backup)
- Log kayıtları tutma
- Çalışan eğitimi
İhlal: Veri güvenliği ihlali gerçekleştiğinde (veri sızıntısı, hacking vb.) 72 saat içinde KVKK Kurulu'na bildirim yapılmaması (KVKK m. 12/5).
İhlal: Kişisel verilerin, ilgili kişinin açık rızası olmadan 3. kişi/kurumlara aktarılması.
İhlal: Kişisel verilerin, işleme amacı ortadan kalktıktan sonra silinmemesi, yok edilmemesi veya anonimleştirilmemesi.
İdari Para Cezaları (KVKK m. 18)
| İhlal Türü | Ceza Aralığı |
|---|---|
| Aydınlatma yükümlülüğü ihlali | 20.000 TL - 2.000.000 TL |
| Veri güvenliği tedbirleri alınmaması | 50.000 TL - 2.000.000 TL |
| Veri kayıt sistemi yükümlülüğü ihlali | 25.000 TL - 1.000.000 TL |
| KVKK Kurulu kararlarına uymama | 50.000 TL - 2.000.000 TL |
Önemli: Ceza miktarı, şirketin büyüklüğü, ihlalin ağırlığı, kaç kişinin etkilendiği gibi faktörlere göre belirlenir.
Hapis Cezası (TCK)
KVKK ihlali, bazı durumlarda ceza hukuku kapsamına da girer:
1. Kişisel Verileri Hukuka Aykırı Kaydetme (TCK 135)
Suç: Kişisel verileri, hukuka aykırı olarak kaydetmek.
Ceza: 1 yıldan 3 yıla kadar hapis
Örnek: Bir çalışan, şirket veritabanından müşteri bilgilerini (TC no, telefon) kopyalayıp USB’ye kaydetti, başka firmaya sattı.
2. Kişisel Verileri Yok Etmeme (TCK 138)
Suç: Kişisel verileri, yükümlü olduğu halde silmemek veya anonimleştirmemek.
Ceza: 1 yıldan 2 yıla kadar hapis
Örnek: İşveren, işten çıkan çalışanın verilerini silmesi gerektiği halde 5 yıl daha sakladı, çalışan şikayet etti.
3. Nitelikli Dolandırıcılık (TCK 158)
KVKK ihlali, dolandırıcılık amacıyla yapılmışsa:
Örnek: Sahte e-ticaret sitesi kurup müşteri verilerini toplamak, sonra kredi kartı bilgilerini çalarak harcama yapmak.
Ceza: 4-10 yıl hapis (bilişim sistemleri kullanılmışsa)
KVKK Kurulu’na Şikayet Nasıl Yapılır? (Mağdurlar İçin)
Şikayet Süresi
30 gün: İhlali öğrendiğiniz tarihten itibaren 30 gün içinde KVKK Kurulu’na başvuru yapılmalıdır.
Önemli: Önce veri sorumlusuna (şirkete) başvurmalısınız. Şirket 30 gün içinde cevap vermezse veya olumsuz cevap verirse, KVKK Kurulu’na şikayet edebilirsiniz.
Adım 1: Veri Sorumlusuna Başvuru
Yapılacaklar:
· Şirketin “KVKK İlgili Kişi Başvuru Formu”nu doldurun (genellikle web sitesinde)
· Başvurunuzu e-posta, kargo veya elden teslim edin
Başvurunuzda talep edin:
Verilerimin silinmesini istiyorum
· Verilerimin kimlerle paylaşıldığını öğrenmek istiyorum
· Hukuka aykırı işlenen verilerim düzeltilsin
Şirketin Cevap Süresi: 30 gün (en geç 60 gün)
Adım 2: KVKK Kurulu’na Şikayet
Şikayet Şartları:
· Veri sorumlusuna başvurdunuz ama cevap alamadınız (30 gün geçti)
· Veri sorumlusu olumsuz cevap verdi
· Veri sorumlusunun cevabından memnun değilsiniz
Başvuru Yöntemi:
Online Başvuru (Önerilen):
· https://kvkk.gov.tr → “Başvuru Sistemi”
· e-Devlet girişi ile başvuru yapılır
· Başvuru ücretsizdir
Yazılı Başvuru:
· Adres: Kişisel Verileri Koruma Kurumu, Nasuh Akar Mahallesi, Ziyabey Caddesi, 1407. Sokak No:4, Balgat, Çankaya/Ankara
· Noter onaylı dilekçe gönderilir
Başvuruda Bulunması Gerekenler:
· Ad-soyad, TC kimlik no, iletişim bilgileri
· Veri sorumlusunun unvanı, adresi
· İhlalin konusu (hangi veriler, nasıl ihlal edildi)
· Veri sorumlusuna yaptığınız başvuru ve cevabı (varsa)
· Deliller (ekran görüntüsü, e-posta, SMS, sözleşme)
Adım 3: KVKK Kurulu İncelemesi
Süreç:
· KVKK Kurulu, başvuruyu inceler
· Veri sorumlusundan savunma ister
· Gerekirse yerinde inceleme yapar
· Karar verir: İhlal var mı, yok mu?
Karar Süresi: Ortalama 6-12 ay (dosyanın karmaşıklığına göre)
Sonuçlar:
· İhlal tespit edilirse → İdari para cezası
· İhlal yoksa → Ret
· Kısmi ihlal → Uyarı veya düşük ceza
KVKK İdari Para Cezasına İtiraz (Şirketler İçin)
İtiraz Süresi
15 gün: Ceza tebliğinden itibaren 15 gün içinde Ankara İdare Mahkemesi’ne itiraz edilmelidir.
Önemli: Süre geçtikten sonra itiraz edilemez, ceza kesinleşir.
İtiraz Gerekçeleri
İtiraz Gerekçeleri
Aydınlatma metni, rıza beyanı, sistem log kayıtları, güvenlik politikaları.
Etkilenen kişi sayısı, ihlalin süresi, düzeltme yapıldığını gösteren belgeler.
İtiraz Süreci
Ankara İdare Mahkemesi'ne
Cezanın ödenmesinin ertelenmesi
Mahkeme, KVKK Kurulu kararını inceler
İptal, kısmi iptal veya ret
1-2 yıl
Veri Güvenliği İhlali (Veri Sızıntısı) – Şirketler Ne Yapmalı?
72 Saat Kuralı
Veri güvenliği ihlali gerçekleştiğinde (hacking, veri sızıntısı vb.) 72 saat içinde KVKK Kurulu’na bildirim yapılmalıdır.
Bildirimde Bulunması Gerekenler:
· İhlalin niteliği (nasıl gerçekleşti)
· Etkilenen kişi sayısı
· Hangi veriler sızdı (TC no, kredi kartı, sağlık bilgisi vb.)
· Alınan tedbirler
İlgili Kişilere Bildirim
Veri ihlali, ilgili kişilerin (müşterilerin) haklarını olumsuz etkileyebilecekse, onlara da derhal bildirim yapılmalıdır.
Örnek: E-ticaret sitesine hacker saldırısı, 10.000 müşterinin kredi kartı bilgileri çalındı → Müşterilere e-posta/SMS ile bilgi verilmeli.
KVKK Uyumu: Şirketler Neleri Yapmalı?
Temel Yükümlülükler
1. Veri Envanteri Oluşturma
Ne: Hangi kişisel verileri, hangi amaçla, ne kadar süre saklıyoruz?
Örnek: Çalışan verileri (TC no, maaş, performans) → İnsan kaynakları yönetimi amacıyla → İş sözleşmesi süresi + 10 yıl
2. Aydınlatma Metni Hazırlama
Ne: Web sitesinde, sözleşmelerde, formlarda KVKK aydınlatma metni bulunmalı.
Örnek: “6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, toplanan verileriniz…”
3. Açık Rıza Alma
Ne: Kişisel verileri işlemek için açık rıza alınmalı (zorunlu değilse).
Örnek: “Pazarlama SMS’i almak istiyorum ☑” checkbox’u.
4. Veri Güvenliği Tedbirleri
Teknik: Şifreleme, firewall, antivirüs, yedekleme
İdari: Erişim yetkilendirmesi, çalışan eğitimi, gizlilik sözleşmeleri
5. KVKK Kurulu’na Veri Sorumlusu Sicil Kaydı
Ne: Belirli şartları taşıyan veri sorumlular (50+ çalışan, özel nitelikli veri işleme vb.) KVKK Kurulu’na kayıt yaptırmalıdır.
Süre: VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) üzerinden online kayıt
İstanbul’da KVKK Davaları ve DCA Hukuk
KVKK Kurulu
· Adres: Ankara (online başvuru mümkün)
· Görev: İhlal incelemesi, idari para cezası
Ankara İdare Mahkemeleri
· Görev: KVKK Kurulu kararlarına itiraz
İstanbul Cumhuriyet Başsavcılıkları
· Görev: TCK 135, 136, 138 suçlarında cezai soruşturma
Üsküdar Ofisimizin Desteği: KVKK Kurulu başvuruları, idari para cezası itirazları, aydınlatma metni hazırlama, veri envanteri oluşturma konusunda danışmanlık ve avukatlık hizmeti sağlıyoruz.
Hukuki Uyarı
Bu içerik bilgilendirme amaçlıdır ve kişiye özel hukuki tavsiye yerine geçmez. KVKK uygulamaları sürekli gelişmekte olup, her dosya kendine özgü özellikler taşır. Profesyonel hukuki destek alınması önerilir.
KVKK İhlali Hakkında Sıkça Sorulan Sorular
İki aşamalı süreç: (1) Veri sorumlusuna başvuru - İhlali yapan şirkete/kuruma yazılı veya elektronik başvuru yapın, verilerinizin silinmesini/düzeltilmesini talep edin. Şirket 30 gün içinde cevap vermek zorundadır. (2) KVKK Kurulu'na şikayet - Şirket cevap vermezse veya olumsuz cevap verirse, 30 gün içinde KVKK Kurulu'na şikayet edin (https://kvkk.gov.tr üzerinden e-Devlet ile ücretsiz başvuru). Önemli: Veri sorumlusuna önce başvurmadan doğrudan KVKK Kurulu'na gidilemez. Ayrıca ihlalin öğrenilmesinden itibaren toplamda 30 gün şikayet süresi vardır, süre geçtikten sonra başvuru yapılamaz. Delillerinizi (ekran görüntüsü, e-posta, SMS) saklamanız kritiktir.
İdari para cezaları şirket/kurum büyüklüğüne ve ihlalin ağırlığına göre değişir: Aydınlatma yükümlülüğü ihlali: 20.000 TL - 2.000.000 TL, Veri güvenliği tedbirleri alınmaması: 50.000 TL - 2.000.000 TL, Veri kayıt sistemi yükümlülüğü: 25.000 TL - 1.000.000 TL. Ceza miktarı, kaç kişinin etkilendiği, ihlalin süresi, kasıt olup olmadığı gibi faktörlere göre KVKK Kurulu tarafından belirlenir. Hapis cezası: Kişisel verileri hukuka aykırı kaydetme (TCK 135) 1-3 yıl, verileri yok etmeme (TCK 138) 1-2 yıl hapis cezası getirir. Dolandırıcılık amacıyla KVKK ihlali varsa TCK 158 (4-10 yıl) uygulanır. İdari para cezasına 15 gün içinde Ankara İdare Mahkemesi'ne itiraz edilebilir.
Adım 1: Veri sorumlusuna (şirkete/kuruma) başvurun. Şirketin web sitesinde "KVKK İlgili Kişi Başvuru Formu" vardır, doldurun. Adım 2: Başvurunuzda açıkça belirtin: "6698 sayılı Kanun'un 11. maddesi uyarınca kişisel verilerimin silinmesini talep ediyorum." Adım 3: Başvurunuzu e-posta, kargo veya elden teslim edin (kayıt altına alın). Adım 4: Şirket 30 gün içinde (en geç 60 gün) cevap vermek zorundadır. Önemli: Şirket, verilerinizi silmek zorunda değilse (örneğin yasal saklama yükümlülüğü varsa) reddedebilir ve gerekçesini açıklamalıdır. Şirket cevap vermezse veya haksız ret verirse KVKK Kurulu'na şikayet edebilirsiniz. Sonuç: Silme talebi kabul edilirse şirket verileri derhal siler ve size bildirir.
30 gün şikayet süresi vardır. Ancak iki aşamalı süreç olduğu için dikkatli olmalısınız: (1) Veri sorumlusuna başvuru: İhlali öğrendiğiniz tarihten itibaren herhangi bir süre sınırı yok (ancak makul sürede yapılmalı). (2) KVKK Kurulu'na şikayet: Veri sorumlusunun cevabını aldığınız veya 30 günlük cevap süresinin dolduğu tarihten itibaren 30 gün içinde KVKK Kurulu'na başvurmalısınız. Dikkat: Bazı kaynaklarda "ihlalin öğrenilmesinden itibaren 30 gün" denilir, bu yanlış anlaşılmaya yol açar. Doğrusu: Veri sorumlusuna önce başvuru yapılmalı, ondan sonra 30 gün içinde KVKK Kurulu'na gidilmelidir. Önemli: Süre geçtikten sonra başvuru yapılamaz, hakkınızı kaybedersiniz. Avukat desteği ile süreleri kaçırmadan hareket etmek kritiktir.
Evet, bazı durumlarda hapis cezası vardır. KVKK ihlali, sadece idari para cezası değil, ceza hukuku kapsamına da girebilir: (1) TCK 135 - Kişisel Verileri Hukuka Aykırı Kaydetme: 1-3 yıl hapis. Örnek: Çalışan, şirket veritabanından müşteri bilgilerini kopyalayıp USB'ye kaydetti, sattı. (2) TCK 136 - Kişisel Verileri Hukuka Aykırı Verme/Ele Geçirme: 2-4 yıl hapis. Örnek: Bankacı, müşteri hesap bilgilerini 3. kişiye sattı. (3) TCK 138 - Verileri Yok Etmeme: 1-2 yıl hapis. Örnek: İşveren, işten çıkan çalışanın verilerini yasal saklama süresi bittikten sonra 5 yıl daha sakladı. Önemli: Bu suçlar için Cumhuriyet Başsavcılığı'na şikayet yapılması gerekir (KVKK Kurulu değil). Hapis cezası, kasıtlı ve ağır ihlallerde uygulanır.
İtiraz süresi: Ceza tebliğinden itibaren 15 gün içinde Ankara İdare Mahkemesi'ne itiraz edilmelidir. Süre geçtikten sonra itiraz edilemez, ceza kesinleşir. İtiraz dilekçesi hazırlama: (1) İhlalin olmadığını veya hafif olduğunu gerekçelendirin, (2) Ceza miktarının fahiş (orantısız) olduğunu belirtin, (3) Delillerinizi ekleyin (aydınlatma metni, rıza beyanları, güvenlik politikaları, sistem log kayıtları). Yürütmeyi durdurma talebi: İtiraz dilekçesinde "yürütmenin durdurulması" talep edin. Mahkeme kabul ederse cezayı dava sonuçlanana kadar ödemezsiniz. Süreç: Mahkeme, KVKK Kurulu kararını inceler, gerekirse bilirkişi raporu alır, duruşma yapar. Karar süresi 1-2 yıl. Sonuç: İptal, kısmi iptal (ceza indirilir) veya ret (ceza kesinleşir). Önemli: İdari para cezası itirazları teknik ve hukuki detay içerir, avukat desteği şarttır.
Veri İhlali Sonrası Teknik & Hukuki Takip
Veri İhlali & Şantaj →
Kişisel verilerin, fotoğraf veya videoların ele geçirilerek şantaj amaçlı kullanılmasına karşı acil koruma.
Nitelikli Dolandırıcılık →
Ele geçirilen kimlik ve banka bilgileriyle bilişim sistemleri üzerinden işlenen nitelikli hırsızlık dosyaları.
Sızıntı Kaynağı & IP Tespiti →
Veri sızıntısının nereden yapıldığının teknik analizi, log kayıtlarının tespiti ve failin cihaz bilgilerine ulaşma.
Tüm Bilişim Suçları →
Özel hayatın gizliliği ve kişisel verilerin korunması kapsamındaki tüm siber suç soruşturmaları.