KVKK Kararlarını Uygulamamanın Bedeli: 2018/118 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 16/10/2018 tarihli bu kararıyla, veri sorumlularına çok kritik bir mesaj vermiştir: “Kurul kararları tavsiye değil, emirdir.” Karar, Kurul tarafından verilen talimatların 30 günlük yasal süre içinde tam ve eksiksiz olarak yerine getirilmemesinin doğuracağı yaptırımları, özellikle kamu kurumu niteliğindeki yapılar üzerinden açıklamaktadır.

---

1. Olayın Özeti: Süreyi Kaçıran ve Eksik Bilgi Veren Veri Sorumlusu

Olay: Bir ilgili kişi, verilerinin silinmesi talebiyle veri sorumlusuna başvurmuş ancak tatminkar bir cevap alamayınca Kurul’a şikayette bulunmuştur. Kurul, şikayeti haklı bularak veri sorumlusuna verileri silmesi ve ilgili kişiyi bilgilendirmesi yönünde bir karar tebliğ etmiştir.

Ancak veri sorumlusu (bir kamu kuruluşu iştiraki/şirketi):

• Kararın tebliğinden itibaren uyması gereken 30 günlük yasal süreyi aşmış (01.08.2018 son tarih iken, işlemi 16.08.2018’de yapmış),
• İlgili kişiye gönderdiği yazıda, Kurul’un “periyodik imha” ve “saklama amacı dışında işlememe” yönündeki talimatlarına dair hiçbir bilgi vermemiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “30 Gün Kesindir”

Kurul, bu ihmali Kanun’un en sert maddeleri üzerinden değerlendirmiştir:

• Uygulama Süresi (Md. 15/5): Kurul tarafından tespit edilen hukuka aykırılıkların giderilmesine ilişkin kararlar, tebliğden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilmelidir. Bu süre hak düşürücü niteliktedir.
• Kabahatler ve Cezalar (Md. 18/1-c): Kurul kararlarını yerine getirmeyenler hakkında 2026 yılı güncel değerleriyle (karar tarihinde 25.000 – 1.000.000 TL arası olan) çok ağır idari para cezaları öngörülmüştür.
• Kamu Görevlileri İçin Disiplin Hükmü (Md. 18/3): İhlal bir kamu kurumu veya kamu kurumu niteliğindeki meslek kuruluşu bünyesinde işlenirse, para cezası yerine (veya ek olarak) sorumlular hakkında disiplin soruşturması açılması için bildirim yapılır.

---

3. Karar Sonucu: Disiplin Süreci ve Yeniden Talimat

Kurul inceleme neticesinde;

1. Kararın süresinde yerine getirilmemesi ve eksik bilgilendirme yapılması nedeniyle, kamu kuruluşu niteliğindeki veri sorumlusu hakkında KVKK Madde 18/3 uyarınca disiplin hükümlerine göre işlem yapılmasına,
2. İlgili kişinin, Kurul kararı kapsamındaki tüm iş ve işlemler (imha süreçleri vb.) hakkında eksiksiz bilgilendirilmesi için şirkete yeniden talimat verilmesine,karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Kurul ile İnatlaşılmaz”

Bilişim hukuku dünyasında en büyük yanılgı, Kurul kararlarının birer “öneri” gibi algılanmasıdır. Şirketler veya kurumlar bazen “nasılsa yaptık, 15 gün geç olsa ne olur?” diyerek bürokratik bir hantallığa kapılabiliyor. Ancak bu karar gösteriyor ki; Kurul saniyeleri ve kelimeleri sayıyor. Kararın içeriğini tam olarak karşılamayan, eksik bırakılan veya süresi geçen her işlem, “kararın yerine getirilmemesi” suçunu oluşturur.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Elinize bir Kurul kararı ulaştığında, 30 günlük takvimi hemen başlatmalı ve kararın her bir cümlesini birer “madde” olarak işaretleyip yerine getirmelisiniz. Özellikle kamu kurumlarında “para cezası bize kesilmez” rahatlığı, ilgili memurun siciline işlenecek bir disiplin cezasına dönüşebilir. Kurul, kendi otoritesinin sorgulanmasına veya kararlarının sürüncemede bırakılmasına asla izin vermemektedir.

---

Sıkça Sorulan Sorular

1. Kurul bana bir talimat verdiğinde tam olarak ne kadar sürem var?

Tebligatı aldığınız günün ertesi gününden başlamak üzere tam 30 takvim günü süreniz vardır. Bu sürenin son günü resmi tatile denk gelirse ilk iş gününe uzar.

2. Bir kamu kurumunda çalışıyorum, KVKK cezası bana yansır mı?

Evet. Kamu kurumlarına doğrudan para cezası kesilmez ancak Kurul’un bildirimiyle sorumlu memurlar hakkında disiplin soruşturması açılması zorunludur. Bu da terfi, kıdem veya görevden uzaklaştırma gibi sonuçlar doğurabilir.

3. Kararı uyguladım ama 30. gün bildirmeyi unuttum, ceza alır mıyım?

Önemli olan işlemin 30 gün içinde “yapılmış” ve “ilgiliye/Kurula bildirilmiş” olmasıdır. Bildirimin gecikmesi de “kararın yerine getirilmemesi” kapsamında değerlendirilebilir.

4. Kurul kararı çok karmaşıksa ve 30 günde bitmiyorsa ne yapmalı?

Eğer teknik olarak 30 günde tamamlanamayacak bir işlem (örneğin devasa bir veri tabanının anonimleştirilmesi) isteniyorsa, süre dolmadan Kurul’a gerekçeli bir ek süre talebi veya durum raporu sunulmalıdır. Sessiz kalmak en kötü tercihtir.

5. Karardaki “Periyodik İmha” neyi ifade eder?

Verilerin hemen silinmesi teknik olarak sistem bütünlüğünü bozacaksa, şirketin önceden belirlediği 6 aylık veya yıllık “temizlik” dönemlerinde bu verilerin silineceğine dair taahhüt vermesidir. Ancak bu sürede veriler kesinlikle kullanılmamalıdır (pasife alınmalıdır).

---

Kaynaklar

• KVKK Kurumu – 2018/118 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 15 ve 18)
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

---

Etiketler

KVKK, Kurul Kararı, 30 Günlük Süre, İdari Para Cezası, Kamu Kurumu, Disiplin Cezası, Veri İmhası, Bilişim Hukuku, Özgür Eralp, Kararın Yerine Getirilmemesi, Kabahatler, Memur Disiplin Hükümleri