KVKK 2022 FAALiYET RAPORU

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından geçtiğimiz günlerde 2022 yılı Faaliyet Raporu (“Rapor”) yayınlanmıştır. Faaliyetlere İlişkin Bilgi ve Değerlendirmeler incelendiğinde;

Yurt dışına veri aktarımı hususunda Türkiye’deki veri sorumlusu ve ilgili yabancı ülkedeki veri sorumlusu ve/veya veri işleyenin yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ‘Taahhütnameler”in Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından kabul edilerek ilan edildiği belirtilmekle birlikte sunulan 75 taahhütname içerisinde incelemesi tamamlanan 45 taahhütnameden yalnızca beşinin kabul edildiği gözlemlenmektedir.

Yurt dışına veri aktarımı ile ilgili son derece katı sınırlara sahip olan Kanun karşısında verinin yurt dışına aktarımının da oldukça geniş nitelikte değerlendirildiği göz önünde bulundurulduğunda veri sorumlularının yurt dışına veri aktarımında çoğunlukla açık rıza harici bir yolunun kalmadığı ve Kanun’da yer verilen bu yöntemlerin uygulamada yansıma bulamadığı yorumu bu Rapor ile bir kez daha gündeme gelmektedir.

Yurt dışına aktarım ile ilgili Kurul’a iletilen taahhütnamelerin kabul veya ret edilmesinde dayanak teşkil edebilecek herhangi bir hususun açıklanmamasının, yol göstericilikten uzak olmakla birlikte veri sorumlularının süreçlerini çıkmaza sokan bir durum olarak değerlendirilmesi kaçınılmaz olmaktadır.

Kanun’da veri sorumlularına bir yol olarak tanımlanmış Taahhütname başvurusunun Kurul nezdinde çok yüksek oranda bir karşılık bulmaması, veri sorumlularının sonuç alma ihtimali oldukça düşük gözüken bu yola hiç başvurmamaları olasılığını da doğurabilecektir.

Veri Sorumluları Sicili’ne (“VERBİS”) Kayıt ve Bildirim Yükümlülüğü’nün veri sorumluları tarafından yerine getirilmesi ile ilgili olarak bilindiği üzere son tarih, Kurul’un 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile 37 Aralık 2027 olarak belirlenmiş, bu yükümlülüğü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca re’sen idari yaptırım uygulanmasına başlanacağı ise 21 Nisan 2022’de duyurulmuştur.

Bu kapsamda önceki yıllardan farklı olarak, yalnızca VERBİS yükümlülüğünün yerine getirilmemesi nedeniyle Kurul tarafından 29.790.000 TL idari para cezası verildiği görülmektedir.

Veri sorumlularına verilen idari para cezalarının miktarlarını, cezanın gerekçelerini ve hatta zaman zaman ilgili veri sorumlularının isimlerini İnternet sitesinde – yayınlamakta olan Kurul’un, 2022 yılı boyunca bu idari para cezası ile ilgili hiç karar yayınlamamış olması da oldukça dikkat çekmektedir.

 201720182019202020212022
Şikayet ve İhbarlara İdari Para Cezaları30.000 TL670.000 TL1.905.000 TL11.497.000 TL16.351.000 TL20.738.000 TL
Veri İhlal Bildirimlerine İlişkin Uygulanan İdari Para Cezası95.000 TL200.000 TL11.200.828 TL9.893.000 TL15.395.000 TL34.955.000 TL
VERBİS Kayıt ve Bildirim Yükümlülüğüne Aykırı Hareket29.790.000 TL
TOPLAM125.000 TL870.000 TL13.105.828 TL21.390.000 TL31.746.000 TL85.483.000 TL

2022 yılı içerisinde 134’ü ihbar ve şikayetler, 98’i veri ihlal bildirimi ve 36’sı Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmak üzere toplam 268 veri sorumlusu hakkında uygulanan idari para cezasının miktarı 85.483.000 TL olarak gerçekleşmiştir.

Kurul tarafından verilen idari para cezalarının hangi kurum ve kuruluşlara
verildiğinin açıkça ilan edilmesinin, itibar kaybını önlemek adına veri
sorumlularını tedbir alma noktasında daha aktif hareket etmeye teşvik ettiği bir gerçektir. Bununla birlikte açıkça isim ilan edilmesi; bahsi geçen kurum ve kuruluşlar nezdinde ilgili kişi konumunda olan veri sahiplerinin bilgi edinmesinin yanında herhangi bir ilişkisi bulunmasa da ilgili kişi konumuna gelme ihtimali bulunan veri sahiplerinin daha bilinçli seçimlerde bulunmalarına da katkı sağlayacaktır.

Henüz sonuçlanmamış, incelenmesi adına Kurul’a bildirilmiş veri ihlallerinin bile kurum adıyla birlikte ilan edilmesi söz konusu iken, 2022 itibarıyla 85 milyona ulaşmış ve 2021 senesini VERBİS cezalarıyla birlikte neredeyse üçe katlamış olan idari para cezalarının hangi kurumlara verildiği ile ilgili bir bilgi olmaması, bu kapsamda parmak basılması gereken değerlendirilmektedir.

İhbar ve şikayetlerin dağılımı incelendiğinde 2021 yılında açık bir fark ile en çok ihbar ve şikayeti kamu sektörünün aldığı gözlemlenirken 2022 yılında hizmet sektörünün %48’Iik bir oranda en çok ihbar ve şikayete konu olan sektör olduğu ve kamuya yapılan ihbar ve şikayetlerde %56’dan %14’e önemli bir azalma olduğu görülmektedir.

 

Başvuru KonusuBaşvuru SayısıBaşvuru Oranı
Kişisel verilerin veri sorumlusu tarafından hukuka aykırı
olarak işlenmesi
4.139%45,68
İzinsiz SMS/Arama1.750%19,31
Kişisel verilerin veri sorumlusu tarafından hukuka aykırı olarak üçüncü kişilerle paylaşılması/aktarılması1.545%17,05
Kanun kapsamında ilgili kişilerin taleplerinin veri sorumlusu tarafından yerine getirilmemesi957%10,56

Veri sorumlusu tarafından verilerin silinmemesi, yok edilmemesi veya anonim hale getirilmemesi/td>

447%4,93
Unutulma hakkı kapsamındaki talepler100%1,10
Yurt dışına kişisel veri aktarılmaması talepleri84%0,92
Aydınlatma yükümlülüğünün yerine getirilmemesi37%0,45
TOPLAM9.059%100

 

İhbar ve şikayetlerin konu bazlı dağılımında ise yurt dışına veri aktarılmaması taleplerinin 2021 yılında %4l’lik bir oran ile sıralamada en üstte iken 2022 yılında %0,92 ile oldukça azaldığı; bununla birlikte kişisel verilerin hukuka aykırı olarak işlenmesinde %18’den %45’e ciddi bir artış bulunduğu gözlemlenmiştir.

İzinsiz SMS/Arama başlığının 2022 Raporu’nda yeni başlık olarak listeye girmesi ve %19,31 ile kişisel verilerin hukuka aykırı işlenmesinden sonra en çok ihbar ve şikayete konu olan başlık olması da önemli bir noktadır.

Bu başlıkların genel olarak değerlendirilmesi ışığında ilgili kişilerin kişisel veri farkındalığının ve bilincinin artması ile doğru orantılı olarak yapılan başvuru sayısının da arttığı, bununla birlikte veri sorumlusu bünyelerinde de özellikle kamu sektöründe gözle görülür bir farkındalık artışının olduğu rahatlıkla söylenebilecektir.