TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmektedir. Bu kapsamda aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ve Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülmekte ve idari para cezası yaptırımına bağlanmaktadır. İdari yaptırımlara Kurul tarafından karar verilecektir. Verilen yaptırım kararlarına karşı idari yargı yolu açıktır.
Maddede kabahatler karşılığında öngörülen idari para cezalarının alt ve üst sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/2005 tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alacaktır. Bu şekilde düzenleme yapılmak suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin, küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik durumlarına göre farklı olacaktır.
İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Maddede kabahat olarak düzenlenen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde. Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacaktır.
Kanunda kabahatlerle ilgili hüküm bulunmayan hallerde genel kanun niteliğindeki 5326 sayılı Kabahatler Kanunu hükümlerinin uygulanacağı açıktır.
İdari Para Cezası Kategorileri
Kanun, dört farklı ihlal kategorisi için kademeli idari para cezaları öngörmektedir. Bu kademelendirme, ihlalin ağırlığına göre orantılı yaptırım uygulanmasını mümkün kılmaktadır.
Aydınlatma yükümlülüğünün ihlali en düşük ceza aralığına sahipken, veri güvenliği ihlalleri ve Kurul kararlarına uymama en yüksek ceza aralığını gerektirmektedir. VERBİS kayıt yükümlülüğüne aykırılık orta düzeyde bir ceza aralığı öngörmektedir.
Ceza miktarlarının tespitinde ihlalin kapsamı, süresi, etkilenen kişi sayısı ve veri sorumlusunun ekonomik durumu gibi kriterler dikkate alınmaktadır. Alt ve üst sınırlar arasındaki geniş aralık, somut olaya uygun yaptırım belirlenmesine imkân tanımaktadır.
GDPR ile Karşılaştırma
GDPR md. 83, idari para cezalarının yıllık küresel cironun yüzde dördüne veya 20 milyon Avroya kadar ulaşabilmesini öngörmektedir. KVKK kapsamındaki ceza miktarları bu rakamların oldukça altında kalmaktadır.
GDPR, ceza miktarının belirlenmesinde on bir farklı kriter sıralamaktadır: ihlalin niteliği, ağırlığı, süresi, kasıt, hafifletici tedbirler, geçmiş ihlaller, işbirliği, veri kategorileri, bildirim, sertifikasyon ve diğer ağırlaştırıcı-hafifletici faktörler.
Türk düzenlemesi daha basit bir yapı benimsemekte olup kriterlerin detaylandırılması Kurul uygulamasına bırakılmaktadır. Caydırıcılık açısından GDPR modeli daha etkili görülmektedir.