KVKK İdari Para Cezaları: m.18 Yaptırım Tablosu ve Kurul Kararları
6698 sayılı KVKK m.18 kapsamında idari para cezaları, 2024 güncel ceza tutarları, Kurul'un ceza takdir yetkisi ve itiraz yolu.
KVKK m.18 — idari yaptırımların kaynağı
6698 sayılı KVKK m.18, veri sorumlusunun KVKK yükümlülüklerini ihlal etmesi hâlinde uygulanacak idari para cezalarını düzenler. Cezalar, Kişisel Verileri Koruma Kurulu tarafından uygulanır ve idare mahkemesinde itiraz yoluna açıktır.
2024 Yılı İdari Para Cezası Tutarları
| İhlal Türü | Alt Sınır | Üst Sınır |
|---|---|---|
| Aydınlatma yükümlülüğü ihlali | 48.716 TL | 975.767 TL |
| Veri güvenliği ihlali | 97.575 TL | 9.757.677 TL |
| Kurul kararına uymama | 195.155 TL | 9.757.677 TL |
| VERBİS kaydı yapılmaması | 195.155 TL | 9.757.677 TL |
Tutarlar her yıl yeniden değerleme oranında artırılır.
Cezayı belirleyen etkenler
Kurul, ceza miktarını belirlerken şu faktörleri değerlendirir:
- İhlalin ağırlığı: Veri kategorisi (özel nitelikli veri daha ağır), etkilenen kişi sayısı,
- Kasıt veya ihmal: Bilerek işlenen ihlal daha ağır ceza alır,
- Alınan önlemler: İhlal sonrası düzeltici adımlar cezayı hafifletebilir,
- Mükerreriyet: Tekrarlayan ihlaller artırımlı cezaya yol açar,
- İşbirliği: Kurul soruşturmasında işbirliği yapılması hafifletici unsur.
Kurul'un ceza süreci
1. Şikâyet veya resen soruşturma
- Veri sahibinin Kurul'a şikâyeti,
- Kurul'un kendi inisiyatifiyle (medya haberleri, ihbar) soruşturma başlatması.
2. Veri sorumlusundan savunma talebi
Kurul, iddia edilen ihlali bildirerek veri sorumlusundan belirli süre içinde savunma ister. Bu süre genellikle 30 gündür.
3. Yerinde inceleme (gerekirse)
Kurul uzmanları, veri sorumlusunun sistemlerini ve belgelerini yerinde inceleyebilir.
4. Karar
Kurul üyeleri kararı oy çokluğuyla alır; kararlar gerekçesiyle birlikte veri sorumlusuna tebliğ edilir.
5. Uyum süresi
Kararın tebliğinden itibaren 30 gün içinde uyum sağlanmalıdır. Uyumsuzluk yeni ceza gerektirebilir.
İtiraz yolu
Kurul kararlarına karşı idare mahkemesinde iptal davası açılabilir. Dava açma süresi, kararın tebliğinden itibaren 60 gündür (İdari Yargılama Usulü Kanunu m.7).
Yürütmenin durdurulması da talep edilebilir; ancak mahkeme kararı olmadan ceza miktarını tutmak gerekebilir.
Öne çıkan Kurul kararları
Karar 2022/1158: Bir banka, veri ihlalini 72 saat içinde bildirmedi. Kurul 1.500.000 TL idari para cezası verdi.
Karar 2021/891: E-ticaret platformu, müşteri verilerini rıza almadan üçüncü taraflara sattı. 2.800.000 TL ceza uygulandı.
Karar 2020/441: Sağlık şirketi, hasta verilerini yetersiz güvenlik önlemleriyle sakladı. 750.000 TL ceza verildi; ayrıca güvenlik iyileştirmesi emredildi.
Karar 2023/312: Bir şirket VERBİS kaydı yapmadı, Kurul denetimde tespit etti. 500.000 TL ceza + kayıt yaptırma emri.
Ceza sınıflandırmasındaki önemli ayrım
Aynı olay birden fazla ihlale konu olabilir:
- Hem aydınlatma yükümlülüğü ihlali,
- Hem veri güvenliği ihlali,
- Hem VERBİS kayıt ihlali.
Kurul her ihlal için ayrı ayrı ceza uygulayabilir; bu da toplam cezanın önemli ölçüde artmasına neden olur.
GDPR ile karşılaştırma
GDPR cezaları KVKK'ya göre çok daha yüksektir:
- Ciddi ihlallerde küresel yıllık cirosun %4'üne kadar veya 20 milyon Euro,
- Daha az ciddi ihlallerde %2 veya 10 milyon Euro.
Türkiye'deki cezalar mutlak miktar olarak daha düşük olmakla birlikte KOBİ ölçeğinde işletmeler için ciddi yük oluşturabilir.
Cezadan kaçınmak için proaktif uyum
En etkili korunma yolu: İhlal olmadan önce uyum sağlamak.
KVKK uyum programı temel adımları:
- 1Kişisel veri envanteri ve ROPA,
- 2Aydınlatma metinleri,
- 3Veri işleme sözleşmeleri,
- 4VERBİS kaydı,
- 5Teknik güvenlik önlemleri,
- 6Veri ihlali müdahale planı.
Sık yapılan 5 hata
1. Kurul savunmasını ciddiye almamak — savunma süreci cezayı hafifletme fırsatıdır; hukuki destek alınarak hazırlanmalı.
2. Tek ihlal için tek ceza beklentisi — her ihlal türü ayrı ceza doğurur; birleşik ihlaller toplam cezayı katlayabilir.
3. Düzeltici önlem almadan ceza ödemeyi yeterli saymak — Kurul hem ceza hem uyum emri verir; yalnızca ceza ödemek yetmez.
4. İtiraz süresini kaçırmak — 60 günlük dava açma süresi geçince karar kesinleşir; haksız cezaya itiraz imkânı kapanır.
5. Ceza alındıktan sonra uyumu başlatmak — reaktif uyum proaktiften çok daha pahalıya mal olur; hem ceza hem altyapı yatırımı aynı anda yapılmak zorunda kalınır.
Kapanış
KVKK idari para cezaları, Kurul'un veri koruması alanındaki temel yaptırım aracıdır. Ceza tutarları her yıl artmakta; Kurul'un soruşturma kapasitesi genişlemektedir. Proaktif uyum programı, hem finansal riski azaltır hem de şirketin güvenilirliğini pekiştirir. Avukatın görevi müvekkili hem uyum sürecinde hem de Kurul savunmasında temsil etmektir.
KVKK alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.