KVKK İdari Para Cezaları 2024 Güncel Tablo ve Rehberi

BumerangData Hukuk Ekibi · · 12 dk okuma
KVKK İdari Para Cezaları 2024 Güncel Tablo ve Rehberi

KVKK İdari Para Cezaları: Güncel Tablo ve Kapsamlı Rehber

Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de veri güvenliği ve gizliliği alanında en önemli mevzuat çerçevesidir. 6698 sayılı kanun kapsamında işletmelerin uyması gereken kurallar oldukça katıdır. Bu kuralları ihmal eden şirketlere verilen idari para cezaları da giderek artmaktadır.

BumerangData olarak yaptığımız gözlemler, Türkiye'deki şirketlerin çoğunluğunun KVKK cezaları hakkında yeterince bilgili olmadığını göstermektedir. Bu yazımızda KVKK idari para cezalarının güncel tablosunu, uygulama örneklerini ve korunma yollarını detaylı şekilde ele alacağız.

KVKK Nedir ve Neden Önemlidir?

KVKK, 24 Nisan 2016 tarihinde yürürlüğe giren ve Kişisel Veri Koruma Kurulu tarafından yönetilen bir kanundur. Bu kanunun amacı, gerçek kişilerin temel hak ve özgürlükleri ile kişisel verilerinin işlenmesi, korunması ve gizliliğine ilişkin hususları düzenlemektir.

Kanunun temel ilkeleri şunlardır:

  • Hukuka uygunluk: Kişisel veriler ancak hukuk tarafından izin verilen durumlarda işlenebilir
  • Amaçla sınırlılık: Veriler belirlenen amaç dışında kullanılamaz
  • Veri minimizasyonu: Sadece gerekli veriler toplanmalıdır
  • Doğruluk ve güncellik: Veriler doğru ve güncel tutulmalıdır
  • Şeffaflık: Veri işleme faaliyetleri hakkında şeffaf olunmalıdır

KVKK İdari Para Cezaları Tablosu (2024)

KVKK kapsamında idari para cezaları, kanunun 18. ve 19. maddelerine göre belirlenmektedir. Cezalar türüne ve ağırlığına göre farklılık gösterir. İşte güncel ceza tablosu:

Birinci Kategori Cezalar (m.18/1)

Birinci kategorideki cezalar, daha az ağır ihlallerle ilgilidir ve aşağıdaki hususlarda uygulanır:

  • Veri sorumlusunun öğretim ve hukuk fakülteleri ile meslek kuruluşlarında derslerin yaygınlaştırılması: 10.000 - 100.000 TL
  • Veri güvenliği önlemlerinin alınmaması: 5.000.000 TL'ye kadar
  • Özel nitelikli veriler hakkındaki kuralların ihlali: 5.000.000 TL'ye kadar
  • Başka ülkelere veri transferi yasaklarının ihlali: 5.000.000 TL'ye kadar
  • Kişisel veri güvenliğine ilişkin önlemlerin alınmaması: 5.000.000 TL'ye kadar

İkinci Kategori Cezalar (m.18/2)

İkinci kategorideki cezalar daha ağır ihlallerle ilgilidir ve daha yüksek tutarlarla uygulanır:

  • Hukuka uygun olmayan veri işleme: 10.000.000 TL'ye kadar
  • Veri sorumlusunun tanımında ve görevlerinde eksiklik: 10.000.000 TL'ye kadar
  • İzin olmaksızın veri işleme: 10.000.000 TL'ye kadar
  • Veri işleme talimatının verilmemesi: 10.000.000 TL'ye kadar
  • Denetim ve kontrolün yapılmaması: 10.000.000 TL'ye kadar

Üçüncü Kategori Cezalar (m.18/3)

Üçüncü kategorideki cezalar, en ağır ihlallerdir ve kurumsal altyapı eksikliğini gösterir:

  • Veri sorumlusu atanmaması: 20.000.000 TL'ye kadar
  • Veri işleme sözleşmesi yapılmaması: 20.000.000 TL'ye kadar
  • Veri koruma kurulu oluşturulmaması (uygulanması gerekiyorsa): 20.000.000 TL'ye kadar

Ceza Hesaplanırken Dikkate Alınan Faktörler

KVKK İdari Para Cezaları Yönetmeliği uyarınca, Kişisel Veri Koruma Kurulu ceza miktarını belirlerken çeşitli faktörleri göz önüne alır:

Ağırlaştırıcı Faktörler

  • İhlalin kasıtlı işlenmesi
  • Geniş sayıda kişinin etkilenmesi
  • Hassas verilerin (sağlık, etnik köken, dini inanç vb.) işlenmesi
  • Daha önce ceza almış olma
  • İhlalin devam etmesi
  • Kurumun kar amacı gütmesi ve işletme hacmi
  • Zarar verme niyetinin olması

Hafifletici Faktörler

  • İhlalin tesadüfi olması
  • Az sayıda kişinin etkilenmesi
  • Kurumun derhal düzeltici önlem alması
  • Hazırlayıcı çalışmaların yapılmış olması
  • KVKK uyumluluğu için gerekli altyapının kurulmuş olması
  • Kurumun özel değerlendirme yapması

Gerçek Kurul Kararlarından Örnekler

Örnek 1: Veri Güvenliği Önlemlerinin Yetersizliği

Kişisel Veri Koruma Kurulu tarafından 2023 yılında verilen bir karar uyarınca, bir e-ticaret şirketi müşteri verilerini şifrelenmemiş veritabanında saklamaktan 2.500.000 TL ceza almıştır. Karar gerekçesinde, özel nitelikli veriler de içeren bu verilerin yeterli güvenlik önlemleri olmaksızın saklanmasının ciddi bir ihlal olduğu belirtilmiştir.

Bu karar, veri güvenliği başlığı altında KVKK m.5 ve m.12'nin ihlal edildiğini göstermektedir. Kurul, şirketin teknik ve organizasyonel önlemleri yeterince almadığını tespit etmiştir.

Örnek 2: İzinsiz Veri Taşıması

Bir pazarlama şirketi, müşteri izni olmaksızın kişisel verilerini üçüncü ülkeye aktarmaktan 5.000.000 TL ceza almıştır. Kurul bu kararında KVKK m.11 (veri aktarılması) maddesinin açıkça ihlal edildiğini vurgulamıştır.

Örnek 3: Kurul Bildirimine Cevap Vermemek