Kişisel Verileri Koruma Kanunu’nun yalnızca belli bir kesime yükümlülük getirdiğini düşünmek yanılgı olur. Yükümlülüklerin muhatabı hali hazırda kişisel veri işleyen şirketler olabildiği gibi, kişisel verilerin hukuka aykırı kullanımı ile ilgili hem idari hem de cezai müeyyidelerle karşılaşabilecek olanların o veriyi elde etmiş herhangi biri de olabileceği akılda bulundurulmalıdır. Kişinin telefon numarasını izni dışında üçüncü kişilere vermenin dahi “kişisel verilerin hukuka aykırı olarak verilmesi” suçunu oluşturacağına ilişkin Yüksek Mahkeme kararları bulunmaktadır. Kişisel verilerin ceza hukuku vasıtası ile de korunduğu ve herhangi birimizin suç sanığı konumuna gelebileceği unutulmamalıdır.

Bazı eylemlerin suç teşkil ettiği toplumun geneli tarafından bilinir. “Kişisel verileri hukuka aykırı olarak verme, yayma, ele geçirme suçu” ise suç olduğu ilk anda akla gelen, toplumun geneli tarafından bilinen kapsamda değildir. Ceza kanununu bilmemenin mazeret sayılmadığı da en temel genel ilkelerden olduğundan, öncelikle kişisel verilere ilişkin hukuka aykırı eylemlerin suç konusu olabileceğini not düşerek konuya giriş yapmamız yerinde olacaktır. Bilinmesi gereken bir başka husus ise Kişisel Verileri Koruma Kurulu tarafından uygulanabilecek idari yaptırımlardır. Kişisel Verileri Koruma Kanunu belli sayıda çalışanı olan, cirosu yüksek ya da konusu gereği kişisel veri işleyen tüzel kişilere veri sorumlusu bildirme yükümlülüğü getirmiştir. Artık bilinir olan bu husus, yalnızca bu kriterlere sahip tüzel kişilerin sorumlu olduğu, yalnızca onların idari yaptırım ile karşılaşabilecekleri şeklinde algı oluşturmamalıdır.

Örneklersek,

-Kişinin telefonuna mesaj gönderen ve “sms ile yardım kampanyasına katıldığı için” telefon numarasının arşivlerinde olduğunu düşündüklerini iddia eden dernek hakkında Kişisel Verileri Koruma Kurulu tarafından yaptırım uygulanmıştır. Kurul tarafından.

“Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varıldığından, veri sorumlusu sıfatını haiz dernek hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,

Veri sorumlusu dernek tarafından ilgili kişilerin Kanun kapsamındaki başvurularının Kanunda yer verilen yasal süre içerisinde yanıtlanmasına azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına, İlgili kişinin halihazırda hukuka aykırı olarak elde edilmiş olan kişisel verisi niteliğindeki cep telefonu numarasının imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.”

- Kişi telefon ve iletişim bilgilerini yanlış belirtmiş olsa dahi teyidini gerçekleştirmek de veri sorumlusu sayılan kişi tarafından yapılmalıdır.

Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.”

- Yine kişinin kendi bilgilerini aleni olarak paylaşması da idari yaptırım uygulanmasına engel değildir. Bu konuda da kurul:

“Öte yandan, kişisel verinin alenileştirilmiş olarak kabul edilebilmesi için ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin de tespit edilmesi gerekmektedir. Nitekim alenileştirme eylemi; ilgili kişilerin, kişisel verilerini kamuoyu ile paylaşması amacı ile sınırlıdır. Veri sorumlularının; ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmaları, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacaktır. Diğer bir deyişle verinin ilgili kişi tarafından alenileştirilmiş olması, veri sorumluları tarafından her türlü amaçla gerçekleştirilecek işleme faaliyetini hukuka uygun hale getirmeyecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilecek olup, bunun dışında bir amaçla kullanılması Kanuna aykırılık teşkil edecektir.”

Dolayısı ile kişinin sosyal medya hesaplarında bilgilerini paylaşması gönderilen reklam içerikli mesajlara idari yaptırım uygulanmasına engel değildir. Verilen idari para cezalarına örnek olarak ise kişinin borç bilgilerini abisine ve iş arkadaşlarına kısa mesaj yolu ile gönderen avukata uygulanan 125.000 TL’lik para cezasını ve girişlerini el izi okutarak gerçekleştiren spor kulübüne uygulanan 225.000 TL’lik para cezasını verebiliriz. Cezai müeyyidenin 2 ila 4 yıl hapis cezasını içerdiği, idari yaptırımlarında oldukça yüksek para cezalarını kapsadığı düşünüldüğünde bilgi sahibi olmanın gerekliliği açıktır.