Rakamlarla Türkiye’de KVKK: Şikayetler, Cezalar ve Veri İhlalleri

Para Cezaları

Kişisel verilerimizi etkin bir şekilde korumak ve mahremiyetimizi güvence altına almak için 7 Nisan 2016 tarihinden bu yana yürürlükte bulunan Kişisel Verilerin Korunması Kanunu’na (KVKK veya Kanun) aykırılığın yaptırımı, bu yılın rakamlarına göre 29.852 TL ile 5.971.989 TL arasında değişen miktarlarda para cezasıyla sonuçlanabiliyor.

Kanunun uygulayıcı otoritesi Kişisel Verileri Koruma Kurulu şimdiye kadar toplamda 232 Milyon TL’nin üzerinde idari para cezası uygulamış durumda. Türkiye’de verilmiş en yüksek 10 KVKK cezasını aşağıda listeledik.

1. WhatsApp: 2 milyon 665 bin TL

Kurum’um re’sen incelemesi sonucu, Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü bulunmasına rağmen bu yükümlülüğü süresinde yerine getirmemesi nedeniyle uygulandı. 23.03.2023 Tarihinde Basına Yansıyan Karar.

2. Meta: 2 milyon 665 bin TL

Kurum’um re’sen incelemesi sonucu, Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü bulunmasına rağmen bu yükümlülüğü süresinde yerine getirmemesi nedeniyle uygulandı. 23.03.2023 Tarihinde Basına Yansıyan Karar.

3. WhatsApp: 1 milyon 950 bin TL

Kurum’um re’sen incelemesi sonucu WhatsApp LLC tarafından kullanıcılara sunulan Hizmet Koşullarının ve Gizlilik İlkesi’nin güncellenmesinde açık rıza aranması nedeniyle uygulandı. 12.01.2021 Tarihli ve 2021/28 Sayılı Karar.

4. Yemesepeti: 1 milyon 900 bin TL

21.504.083 kullanıcı verisinin ihlale uğradığına dair Kurum’a yaptığı veri ihlali bildiriminin incelenmesi sonucunda, gerekli teknik ve idari tedbirlerin alınmaması nedeniyle uygulandı. 23.12.2021 Tarihli ve 2021/1324 Sayılı Karar.

5. TikTok: 1 milyon 750 bin TL

Kurum’um re’sen incelemesi sonucu, Gizlilik Politikası ve Hizmet Koşullarının mevzuata aykırı olması, çocukların verilerinin izinsiz toplanması, profilleme amacıyla kullanılan çerezler için izin alınmaması gibi nedenlerle uygulandı. 2023/134 Sayılı Karar.

6. TikTok: 1 milyon 750 bin TL

Kurum’um re’sen incelemesi sonucu, Gizlilik Politikası ve Hizmet Koşullarının mevzuata aykırı olması, çocukların verilerinin izinsiz toplanması, profilleme amacıyla kullanılan çerezler için izin alınmaması gibi nedenlerle uygulandı. 2023/134 Sayılı Karar.

7. Facebook: 1 milyon 650 bin TL

Kullanıcıların fotoğraflarına yetkisiz erişim sağlayan bir API hatasıyla gerçekleşen veri ihlali sonucunda, gerekli tedbirlerin alınmağı ve ihlalin bildirilmediği gerekçesiyle uygulandı. 11.04.2019 Tarihli ve 2019/104 Sayılı Karar.

8. Facebook: 1 milyon 600 bin TL

Kurum’a bildirilen veri ihlali sonucunda, “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında gerekli tedbirlerin alınmadığı uygulandı. 18.09.2019 Tarihli ve 2019/269 Sayılı Karar.

9. Marriott: 1 milyon 450 bin TL

Türkiye’de yaklaşık 1.24 milyon müşteri kaydının da etkilendiği veri ihlali sonucunda, gerekli tedbirlerin alınmadığı ve ihlalin geç bildirildiği gerekçesiyle uygulandı. 16.05.2019 Tarihli ve 2019/143 Sayılı Karar. 

10. Amazon: 1 milyon 200 bin TL

Kurum’a yapılan ihbar başvurusu sonrasında, Türkiye müşterileri verilerinin Kanuna aykırı şekilde yurt dışına aktarılması ve aydınlatma yükümlülüğüne aykırılık gerekçesiyle uygulandı. 27.02.2020 Tarihli ve 2020/173 Sayılı Karar.

Bu arada Kurulun tüm kararları halka açık yayınlamadığını, burada sadece bilinen kararları listelediğimizi belirtelim.

Şikayet ve İhbarlar

Kurula şimdiye kadar 32.000’in üzerinde şikayet ve ihbar başvurusu yapılmış ve bunlardan 30.000 kadarı sonuçlandırılmış. Bu demek oluyor ki yavaş yavaş da olsa Türkiye’de KVKK farkındalığı artış gösteriyor.

Kurumun 2022 faaliyet raporunu incelediğimizde, sadece 2022 yıl içerisinde toplam 9.059 ihbar ve şikayet başvurusu yapılmış ve bunlardan 6.506’sı CİMER üzerinde gerçekleşmiş.
 
Sektör dağılımında ilk sırada 4.331 başvuru ile hizmet sektörü geliyor ve bunu kamu ve telekomünikasyon alanları takip ediyor. Konu dağılımına ilk sırada 4.139 başvuru ile ‘’kişisel verilerin hukuka aykırı olarak işlenmesi’’ geliyor ve bunu 1.750 baṣvuru ile “izinsiz SMS/arama” takip ediyor. Aydınlatma yükümlülüğünün yerine getirilmemesi konusunda yapılmış 37 başvuru ise listede en az paya sahip.

Başvuruların 9.059’u ilgili dönemden, 1.311’i ise geçmiş yıllardan olmak üzere toplam 10.370 talepten 8.481’i sonuçlandırılmış. Sonuçlandırılan başvurulardan 5.385’inin usul şartlarını taşımadığından reddedilmiş olması, 2.315’inin ise Kanun kapsamı dışında kalan talepler olması nedeniyle hakların kullanımında yeterli bilgiye sahip olunmadığı anlaşılıyor. Bu noktada, hakların nelerden oluştuğu, nasıl kullanılabileceği ve bunların günlük hayattan örnekler ve emsal kararlarla somutlaştırıldığı, örnek başvuru ve şikayet dilekçelerinin de yer aldığı ‘’Kişisel Verilerin Üzerindeki Haklarının Farkında Mısın?’’ adlı rehberimizi incelemenizi öneriyoruz.

Veri İhlali Bildirimleri

Kısaca, bir veri sorumlusu tarafından tutulan bilgiler kaybolduğunda, çalındığında veya yetkisiz olarak erişildiğinde bir veri ihlali meydana gelir. Veri ihlali, KVKK’da işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali olarak ifade ediliyor.

Bir veri ihlali gerçekleştiğinde, bu durum en kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve kişisel verisi ihlale uğrayan biz ilgili kişilere bildirilmesi gerekiyor. Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amaç, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak.

Türkiye’de Kurula şimdiye kadar 1071 adet veri ihlali yapılmış ve bunlardan 230’u Kurumun sitesinde kamuoyu duyurusu şeklinde ilan edilmiş durumda. Kurum web sitesindeki şu bağlantıdan, şimdiye kadar yayınlanmış tüm veri ihlali bildirimlerini inceleyebilirsiniz.

Kurumun 2022 faaliyet raporunu incelediğimizde, veri ihlali bildirimlerinde bir önceki yıla (330) göre düşüş yaşanarak 260 bildirim gerçekleştiğini görüyoruz.