KVKK (Kişisel Verilerin Korunması Kanunu), bireylerin özel hayatını korumayı ve kişisel verilerin hukuka uygun şekilde işlenmesini amaçlayan bir düzenlemedir.
2016 yılında yürürlüğe giren 6698 sayılı KVKK, veri sorumlularına ciddi sorumluluklar getirir.
Kısaca, KVKK; şirketlerin, kurumların veya bireylerin kişisel verileri izinsiz toplamasını, paylaşmasını veya işlemesini engellemeye yönelik bir yasadır.
KVKK İhlali Nedir?
KVKK ihlali, kişisel verilerin hukuka aykırı olarak elde edilmesi, işlenmesi, paylaşılması veya saklanması durumudur.
Bir işletmenin KVKK’ya uygun davranmaması; idari para cezası, veri sildirme, hatta cezai sorumluluk doğurabilir.
En sık görülen ihlaller şunlardır:
-
Müşteri veya çalışan verilerinin açık rıza alınmadan kullanılması
-
Veri saklama süresine uyulmaması
-
Aydınlatma yükümlülüğünün yerine getirilmemesi
-
Veri güvenliğinin sağlanamaması
-
Veri ihlali bildiriminde geç kalınması
2025 Yılı KVKK İhlal Cezaları
Kişisel Verileri Koruma Kurumu (KVKK), her yıl idari para cezalarını yeniden değerleme oranına göre günceller.
2025 yılı için yeniden değerleme oranı %58,46 olarak belirlenmiştir.
Aşağıdaki tablo, 2025’te uygulanacak yaklaşık idari para cezalarını göstermektedir:
| İhlal Türü | 2025 Tahmini Ceza Aralığı (TL) |
|---|---|
| Aydınlatma yükümlülüğünün ihlali | 60.000 – 1.800.000 TL |
| Veri güvenliği tedbirlerinin alınmaması | 90.000 – 2.500.000 TL |
| Veri Sorumluları Sicili’ne (VERBİS) kayıt yapılmaması | 120.000 – 3.000.000 TL |
| Kurul kararlarına aykırı hareket edilmesi | 150.000 – 4.000.000 TL |
KVKK İhlali Halinde Şirketleri Bekleyen Süreç
Bir veri ihlali yaşandığında şirketlerin 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirim yapması gerekir.
Aksi halde bu bile ayrı bir ihlal olarak değerlendirilir.
Süreç genel olarak şöyle işler:
-
İhlalin tespiti: Veri sızıntısı, yanlış e-posta gönderimi, hack olayı vb.
-
Kurum bildirim süresi: 72 saat içinde KVKK’ya ve ilgili kişilere bildirilmesi gerekir.
-
Kurum incelemesi: KVKK, olayın boyutuna göre inceleme başlatır.
-
Karar ve ceza: İhlalin niteliğine göre para cezası, veri silme emri veya kamuoyu duyurusu uygulanır.
Gerçek Hayattan KVKK Ceza Örnekleri
Örnek 1: Sağlık verilerinin izinsiz paylaşımı
Bir özel hastane, hastalarının tahlil sonuçlarını toplu e-posta ile yanlış kişilere göndermiştir.
Sonuç: 2024 yılında KVKK tarafından 950.000 TL para cezası uygulanmıştır.
Örnek 2: Güvenlik kameralarının aşırı kullanımı
Bir iş merkezinde kamera sistemi, çalışanların soyunma alanlarını da kapsayacak şekilde kurulmuştur.
Sonuç: Kişisel verilerin ölçüsüz işlenmesi nedeniyle 1.200.000 TL ceza kesilmiştir.
Örnek 3: VERBİS kaydı yapılmayan şirket
Bir e-ticaret firması, VERBİS’e kayıt yükümlülüğünü yerine getirmediği için cezalandırılmıştır.
Sonuç: 1.000.000 TL idari para cezası uygulanmıştır.