Kişisel Verileri Koruma Kurumu 2024 Yılı Faaliyet Raporu Özeti
Giriş
Kişisel Verileri Koruma Kurumu (KVKK), 30 Ocak 2017 yılında kurulmuş olup Türkiye’deki kişisel verilerin korunması ve gözetimini sağlamak için kurulmuştur. Kurum, aynı zamanda kişisel veri korunumuna dair kurum ve kişileri bilgilendirici bir rol de üstlenmektedir. Kurum, ilgili kanun uyarınca kamu tüzel kişiliği ve idari özerkliğe sahip ve Adalet bakanlığı ile ilişkili bir kamu kurumudur. Kamu tüzel kişiliğine sahip olmak ile kastedilen, kanunla ya da kanunun açıkça verdiği yetki ile idare tarafından kurulmuş ve bazı kamu gücü ayrıcalıklarına sahip bir tüzel kişi olma halidir. Özerklik ile kastedilen ise, bir kanun ile herhangi bir kurum ve kuruluşa, kendi kendini yönetme hakkının tanınması olup; kamu örgütleri açısından, kamu kurum ve idarelerinin, üstlendikleri hizmetleri kendilerinin, kendi kuralları ile düzenleyebilmelerini ifade etmektedir.
Kişisel Verileri Koruma Kurumu (KVKK), 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yürüttüğü faaliyetleri 2024 yılı faaliyet raporunda kamuoyuna sunmuştur. Rapor hem kurumsal gelişmeleri hem de bireylerin kişisel verilerinin korunmasına yönelik stratejik uygulamaları kapsamlı bir şekilde ele almaktadır. Aşağıda, 2024 yılına ait öne çıkan başlıklar özetlenmeye çalışılmıştır:
1. Kurumsal Yapılanma ve Dijital Dönüşüm
KVKK, 2024 yılı boyunca dijital altyapısını geliştirerek hem iç süreçlerin en iyi hale getirilmesi için uğraşmış hem de vatandaş ve veri sorumlularına sunduğu hizmetlerin kalitesini artırmıştır. Kurum, iç organizasyon yapısını gözden geçirerek görev dağılımı, denetim mekanizmaları ve karar alma süreçlerini daha etkili hale getirmiştir.
2. Mevzuat Uyum Süreçleri ve Rehberlik Faaliyetleri
KVKK, veri sorumlularının Kanun’a uyum süreçlerini kolaylaştırmak amacıyla farklı sektörlere yönelik rehber dokümanlar hazırlamış ve yayımlamıştır. Eğitim seminerleri, bilgilendirme toplantıları ve çalıştaylarla özel sektör ve kamu kurumlarının farkındalık düzeyi artırılmıştır. Ayrıca, kurum tarafından sıkça sorulan sorulara ilişkin güncellemeler ve sektörel örnek olay analizleri sunulmuştur.
3. Veri İhlalleri ve Denetim Faaliyetleri
2024 yılı içerisinde Kurum’a bildirilen veri ihlali olaylarında önceki yıllara kıyasla kayda değer bir artış gözlenmiştir. Kurum, gelen ihlalleri titizlikle incelemiş, gerekli durumlarda idari para cezaları ve diğer yaptırımlar uygulamıştır. Aynı zamanda re ‘sen denetim mekanizması kapsamında birçok sektörde denetimler gerçekleştirilmiş ve kişisel verilerin korunmasına ilişkin yükümlülüklerin ihlal edilip edilmediği araştırılmıştır.
4. Uluslararası İlişkiler ve GDPR Uyum Süreci
KVKK, yıl boyunca Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) başta olmak üzere uluslararası standartlara uyum konusunda önemli temaslarda bulunmuştur. 2024 yılında Avrupa’daki veri koruma otoriteleriyle iş birliği çalışmaları sürdürülmüş, karşılıklı bilgi paylaşımı ve ortak programlar geliştirilmiştir. Türkiye’nin küresel veri koruma standartlarına uyumunun sağlanması, kurumun stratejik hedefleri arasında yer almaktadır.
5. Kamuoyu Bilgilendirme ve Farkındalık Artırma
Kurum, kişisel verilerin korunmasına yönelik toplumsal bilinci artırmak amacıyla kamu spotları, sosyal medya kampanyaları ve eğitim faaliyetleri yürütmüştür. Özellikle çocuklar, gençler ve dijital okuryazarlık düzeyi düşük kesimlere yönelik özel bilgilendirme çalışmaları ön plana çıkmıştır. Aynı zamanda okullarda ve üniversitelerde düzenlenen seminerlerle akademik dünyaya da katkı sağlamıştır.
6. Gelecek Dönem Planları
Kurumun önümüzdeki dönem için belirlediği başlıca hedefler arasında; veri koruma mevzuatının sadeleştirilmesi, yapay zekâ, nesnelerin interneti ve büyük veri gibi yeni teknolojilere ilişkin hukuki düzenlemelerin oluşturulması, sektörel rehberlik faaliyetlerinin artırılması ve bireylerin dijital haklarına dair farkındalığın daha geniş kitlelere ulaştırılması yer almaktadır.
7. İhbar ve Şikayetler
Kanun’un on dördüncü maddesi uyarınca 1 Ocak 2024 ve 31 Aralık 2024 tarih aralıklı dönemde Kurum’a, 749’u posta yoluyla, 1241’i E-şikâyet modülü ve 6285’i ise CİMER aracılığıyla olmak üzere toplam 8275 ihbar ve şikâyet intikal etmiştir. Bu dilekçelerin oransal dağılımının %75,96’sı CİMER, %14,99’u e-Şikâyet modülü ve %9,05’i ise postadan oluşmaktadır. Kuruma iletilen dilekçelerin sektörel dağılımına bakıldığında en fazla başvurunun 1624 başvuru adedi ile hizmet sektörüne ait olduğu görülürken listenin devamını medya, telekomünikasyon, kamu, hukuk, bankacılık ve finans, eğitim, insan kaynakları, bilişim, sağlık, sigortacılık ve turizm sektörü takip etmektedir. İhbar ve şikayetlerin konu bazlı dağılımında ise ilk sırada 4495 başvuru ile kişisel verilerin veri sorumlusu tarafından hukuka aykırı işlenmesi başlığı yer almaktadır.
Sonuç
2024 yılında KVKK hem iç yapılanma hem de dışa dönük faaliyetler açısından aktif ve kapsamlı bir performans sergilemiştir. Özellikle veri sorumlularının hukuki yükümlülüklerine ilişkin artan denetim faaliyetleri, kurumun kişisel verilerin korunmasına emek verdiğini ortaya koymaktadır. Yine de kurumun verdiği cezaların meblağları itibariyle caydırıcılık taşımadığı açıktır. Kurum ve kuruluşların kişisel verilerin korunması konusunda daha hassas olmaları için halihazırda yürürlükte olan cezai yaptırım tutarlarının arttırılması gerektiği açıktır. Bu konuda Fransa özelindeki yurt dışı veri koruma otoritelerinin tutumları örnek alınabilinir. Örnek olarak Fransa veri koruma otoritesi Commission Nationale de l’Informatique et des Libertés, GDPR kapsamındaki en aktif kurumlardan biri olmakla birlikte TikTok ve Google gibi önemli şirketlere veri koruma ihlalleri konusunda kestiği büyük cezalar ile adından söz ettirmektedir. Bu kapsamda Türk Veri Koruma Otoritesinin de veri korumayı ihlal eden kurum ve kuruluşlara emsal teşkil edecek cezai yaptırımlar uygulaması Kurum’u daha etkin ve işlevsel bir hale getirecektir.
Kaynakça:
https://www.idare.gen.tr/ktk-gunday-armagani.pdf
https://www.wired.com/story/eu-privacy-law-snares-first-tech-giant-google/?utm_source=chatgpt.com
Ceren Düven