KVKK’ya Ceza Hukuku Açısından Genel Bakış

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) veri sorumlularına, veri koruma politikalarını kanun hükümlerine uygun hale getirmeleri için kanunun yayımı tarihinden itibaren iki yılık bir süre tanımış idi. Bu geçiş sürecinin 7 Nisan 2018 tarihinde sona ermesi ile, Avrupa’da GDPR [1] ’ın yürürlüğe girmesini takiben görülen etkiye benzer olarak Türkiye’de de kişisel verilerin korunması alanında bir hareketlilik yaşanmaya başlanmıştı. [1] The General Data Protection Regulation (GDPR) Her ne kadar söz konusu hareketliliğin hâlihazırda daha çok uyumluluk süreçlerine odaklı olarak gerçekleştiği görülmekteyse de, konunun ceza hukuku boyutu da görmezlikten gelinemeyecek derecede önem arz etmektedir. Esasen, kişisel veri ihlallerine ilişkin cezai müeyyideler KVKK’dan önceye dayanmaktadır; nitekim kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, ele geçirilmesi, yayılması ve yok edilmemesi, Türk Ceza Kanunu kapsamında bu kanunun yürürlüğe girmesinden önce de suç olarak düzenlenmekte idi. Şimdi ise, KVKK ile uygulama alanı bulan ve kişisel verilerin işlenmesine ilişkin kuralları ve ilkeleri belirlerken aynı zamanda kanunun ihlali halinde gündeme gelecek cezai sorumluluğa da atıfta bulunan yeni hükümlerin yürürlüğe girmesi ile, bu iki kanunun bir arada nasıl uygulanacağı da kaygı doğuran bir mesele haline gelmiştir.