Kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahati
The misdemeanor of not fulfilling the obligations regarding personal data security
- Tez No: 811227
- Danışmanlar: PROF. DR. EMİNE EYLEM AKSOY RETORNAZ
- Tez Türü: Yüksek Lisans
- Konular: Hukuk, Law
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2023
- Dil: Türkçe
- Üniversite: Galatasaray Üniversitesi
- Enstitü: Sosyal Bilimler Enstitüsü
- Ana Bilim Dalı: Kamu Hukuku Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 174
Özet
Bu tez çalışmasının konusu kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatidir. Bu kabahat KVKK'nın“Kabahatler başlıklı”18. maddesinin 1. fıkrasının (b) bendinde düzenlenmiştir. Kabahat kapsamında KVKK'nın 12. maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen kişiler hakkında idari para cezasına uygulanacağı öngörülmüştür. Maddenin 2. ve 3. fıkrasında ise kabahat kapsamında özel hukuk tüzel kişisi ve gerçek kişi veri sorumlularının yaptırıma tabi oldukları, kamu kurum niteliğindeki meslek kuruluşları ve kamu kurum ve kuruluşları bünyesinde gerçekleşmesi durumunda ise memur yahut görev yapan kişiler hakkında disiplin hükümlerinin uygulanacağı öngörülmüştür. Çalışmamızda veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahati ve bu kapsamda KVKK'nın 12. maddesi düzenlenen yükümlülükler detaylı şekilde ele alınmaktadır. Bu kapsamda çalışma, Kişisel Verilerin Korunması Hukukuna Bakış ve Kişisel Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi Kabahati başlıklı iki bölümden oluşmaktadır. Kişisel veri güvenliğine ilişkin alınması gereken yükümlülükler, KVKK'nın 12. maddesinde 4 ayrı fıkra olarak düzenlenmiştir. Buna göre kişisel verilerin hukuka aykırı şekilde işlenmesi, kişisel verilere hukuka aykırı şekilde erişilmesi ve kişisel verilerin muhafazası için gerekli güvenlik düzeyini temin etmek amacıyla teknik ve idari tedbirlerin alınması, denetim yükümlülüklerinin yerine getirilmesi, KVKK'ya aykırı kişisel verileri açıklama ve amacı dışında kullanma yasağı ve veri ihlal bildirim yükümlülüğünü yerine getirilmesi veri güvenliğine ilişkin KVKK'da öngörülen yükümlülüklerdir. Bu hükümlere aykırı davranış kabahat olarak düzenlenmiştir. Birinci bölüm kapsamında kişisel verilerin korunması hukukuna ilişkin çeşitli düzenlemeler açıklanmaktadır. Bu konu başlıklarını kabahat ve veri güvenliğine ilişkin yükümlülüklerin anlaşılabilmesi için önem arz ettiğini düşündüğümüz hususlar oluşturmaktadır. Bu kapsamda birinci bölümün ilk kısmında çeşitli kavramlar açıklanmıştır. Kişisel veri, kişisel verilerin işlenmesi, veri sorumlusu ve veri işleyen bu temel kavramları oluşturmaktadır. Bu kavramlar, kabahatin çeşitli öge ve unsurlarını teşkil etmektedir. Ayrıca kişisel verilerin korunması hukukunda yer alan temel ilkeler yine birinci bölüm kapsamında ifade edilmektedir. Kişisel verilerin korunması hukukunun ilkeleri, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, Belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir. Bu ilkeler kişisel verilerin korunması hukukunun temel amaçlarını gösterdiği gibi veri sorumlularının KVKK kapsamında yer alan tüm yükümlülüklerinde uyması gereken temel ölçütleri teşkil etmektedir. Kişisel veri güvenliği kavramı çalışmanın merkez kavramını oluşturmaktadır. Kişisel veri güvenliği en genel tanımıyla kişisel verilerin risk ve tehditlere karşı korunmasını ifade etmektedir. Kişisel veri, belirli özellikleri bulunduran bir tür bilgidir. Bu kapsamda kişisel veri güvenliği de bilgi güvenliği ilkeleri ve amaçları doğrultusunda bir anlam kazanmıştır. Bilgi güvenliğinde bilginin gizliliğinin, bütünlüğünün ve bilgiye erişilebilirliğin sağlanması hedeflenmektedir. Bu doğrultuda kişisel veri güvenliği kapsamında da kişisel veriler gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korunmalıdır. Bilgi güvenliği doğrultusunda bir içeriğe sahip olan kişisel veri güvenliği kişisel verilerin korunması hukukunun doğduğu günden bu yana kişisel verilerin korunması hukukunun en önemli bileşenlerinden birisi olarak var olagelmiştir. Bu kapsamda Avrupa'da 1970'li yıllardan bu yana kişisel verilerin korunmasına ilişkin hazırlanmış mevzuatlarda kişisel veri güvenliğine ilişkin yükümlülükler yer almıştır. İlk veri koruma yasası olan 1970 yılında çıkarılan Hessen Veri Koruma Yasası'nda kişisel veri güvenliğine ilişkin yükümlülükler mevcuttur. Aynı şekilde 1977 yılında yasalaşan Alman Veri Koruma Yasası ve 1978 yılında yasalaşan Fransız Veri Koruma Yasası da veri güvenliğine ilişkin olarak teknik ve idari tedbirlerin alınmasını bir yükümlülük haline getirmiştir. 108 Sayılı Sözleşme ve Avrupa Veri Koruma Direktifi'nde de bir yükümlülük haline getirilen kişisel veri güvenliği, nihayetinde GDPR ile detaylı bir şekilde düzenlenmiştir. Türk hukukunda ise kişisel veri güvenliğine ilişkin yükümlülükler Avrupa Veri Koruma Direktifi'nden hareketle düzenlenmiştir. Özellikle 2008 yılında kadük kalan kişisel verilerin korunması kanunu tasarısında kişisel veri güvenliği Direktif doğrultusunda oluşmuş bir içeriğe sahip iken KVKK'da Direktif hükümlerinden büyük ölçüde farklılaşma gerçekleşmiştir. Bu durum KVKK'daki mevcut veri güvenliğine ilişkin yükümlülükleri özgün bir haline getirmiş olmasına rağmen aynı zamanda veri güvenliğine ilişkin yükümlülüklerin kendi kavramsal yapısını aşar şekilde bir içerik kazanmasına neden olmuştur. Çalışmanın ikinci bölümünde kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahati ele alınmaktadır. Bu kapsamda kabahat bakımından korunan hukuki değer, maddi ve manevi unsurlar, hukuka uygunluk sebepleri, kusurluluk, kabahatin özel görünüş biçimleri, yaptırım ve yargılama faaliyetleri açıklanmaktadır. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatinin faili veri sorumlusudur. Bu kapsamda kabahat özgü bir kabahattir. Bununla birlikte tüzel kişilerin veri sorumlusu olması gibi bazı durumlarda ise organ, temsilci ve çalışan da fail olabilecektir. Bu durumda veri sorumlusu organ, temsilci yahut çalışanın hareketi dolayısıyla idari para cezasına tabi tutulmaktadır. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatinin mağdurunu ise ilgili kişi oluşturmaktadır. Kişisel veri, belirli yahut belirlenebilir bir kişi ile ilişkilendirilebilir bir bilgi anlamına gelmektedir. Kişisel verinin ilişkilendirilebilir olduğu bu kişi ilgili kişi olup kabahat kapsamında mağduru teşkil etmektedir. Kabahatin konusu ise KVKK dolayısıyla bir veri kayıt sisteminin parçası haline getirilmek şartıyla otomatik olmayan yahut otomatik yollarla işlenmiş kişisel verilerdir. Yalnızca veri ihlal bildiriminin yerine getirilmemesi hareketinde konu unsurunu veri ihlali olgusuna ilişkin bilgiler teşkil etmektedir. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatinde dört farklı hareket öngörülmüştür. Teknik ve idari tedbirlerin alınmaması, denetim yükümlülüğünün yerine getirilmemesi, kişisel verilerin KVKK'ya aykırı şekilde açıklanması ve amacı dışında kullanılması, veri ihlal bildirimi yükümlülüğünün yerine getirilmemesi kabahatin hareketlerini teşkil etmektedir. Veri ihlal bildirimi yükümlülüğü haricinde düzenlenen hareketler kabahat kapsamında seçimlik hareketlerdir. Veri ihlal bildirimi yükümlülüğünü yerine getirmeme hareketinin konusu diğer hareketlerden farklı olduğu için bu hareket başkaca bir kabahati teşkil etmektedir. Kabahatin teknik ve idari tedbirlerin alınmaması, denetim yükümlülüğünün yerine getirilmemesi hareketleri ihmali şekilde işlenebilmekte olup mütemadi hareket niteliğindedir. KVKK'ya aykırı kişisel verileri açıklama ve amacı dışında kullanma hareketi ise ani hareketli bir kabahat olup ayrıca hareket icrai hareketle işlenebilmektedir. Veri ihlal bildirimi yükümlülüğünün yerine getirilmemesi ise ani hareketli bir kabahat olup ihmali şekilde işlenebilmektedir. Ayrıca kabahatin tüm hareketleri sırf hareket kabahati teşkil etmekte olup bu kapsamda KVKK'da herhangi bir netice öngörülmemiştir. Veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişimi önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmek için teknik ve idari tedbirleri alması gerekmektedir. Aksi halde hareket gerçekleşmektedir. Teknik ve idari tedbirlerin alınmaması hareketi aynı zamanda mütemadi nitelikte bir harekettir. Ayrıca Kurul, veri sorumlusu bünyesinde gerçekleşen hukuka aykırı işleme faaliyetlerini kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmek için teknik ve idari tedbirlerin alınmaması hareketi kapsamında değerlendirmektedir. Kurul'un ilgili maddeyi bu şekilde yorumlaması sonucunda veri sorumluları hukuka aykırı kişisel veri işlemeleri halinde teknik ve idari tedbirleri almamaları dolayısıyla idari para cezasına tabi olmaktadır. Bu durum kanunilik ve belirlilik ilkelerine aykırılık teşkil etmektedir. Denetim yükümlülüğünün yerine getirilmemesi hareketi ve KVKK'ya aykırı şekilde kişisel verileri başkasına açıklama ve amacı dışında kullanma hareketleri ise nadiren Kurul'un idari para cezası kararlarının gerekçesini teşkil etmektedir. Bu durumun nedeni her iki hareket bakımından da hareketin gerçekleşmesi halinde Kurul'un ilgili hareketi teknik ve idari tedbirlerin alınmaması kapsamında değerlendirerek idari para cezası vermesidir. Veri ihlal bildiriminin yerine getirilmemesi hareketi ise Kurul kararlarında sıklıkla yaptırım kararının gerekçesini teşkil etmekte olup veri ihlalinin en kısa sürede Kurul'a makul sürede ise ilgilisine bildirim yapılmaması halinde gerçekleşmektedir. En kısa sürede ifadesi Kurul'un bir kararında 72 saat olarak belirlenmiştir. Kabahat kasten işlenebileceği gibi taksirle de işlenebilmektedir. Bu noktada KVKK'da manevi unsur belirlemesi yapılmamıştır. Öte yandan hukuka uygunluk sebepleri çeşitli durumlarda kabahat bakımından söz konusu olabilecektir. Özellikle kanun hükmünün uygulanması ve KVKK'nın 28. maddesinde yer alan istisnaların uygulanması ve bir hakkın kullanılması hukuka uygunluk sebebi teşkil edebilecektir. Kusurluluk bakımından ise özellikle zorunluluk hali belli durumlarda kabahat bakımından söz konusu olabilecektir. Kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatine teşebbüs mümkün değildir. Öncelikle kabahatin üç hareketi soyut tehlike kabahati teşkil etmekte olup soyut tehlike kabahatlerine teşebbüs kabul edilmemektedir. Bununla birlikte kabahatlere teşebbüs ancak özel düzenleme halinde mümkün olabilmekte olup KVKK'da teşebbüse ilişkin bir düzenleme bulunmamaktadır. Öte yandan kabahate iştirak söz konusu olabilecektir. Bununla birlikte kabahate iştirak halinde KVKK'nın 18/2. maddesi gereği yalnızca veri sorumlusu idari para cezasına tabi olacaktır. İfade edildiği üzere Kurul veri sorumlusunun hukuka aykırı şekilde kişisel veri işlemesi halinde bu durumu teknik ve idari tedbirlerin alınmaması altında değerlendirmekte, icrai bir hareketi ihmali bir kabahat kapsamında idari para cezasına tabi tutmaktadır. Bu durum ihmali hareket ve icrai hareketin fikri içtima kapsamında değerlendirilmemesi dolayısıyla hukuka aykırı şekilde kişisel verilerin işlenmesi ile birlikte başka bir suç yahut kabahatin de işlenmesi halinde fikri içtimanın uygulanmaması sonucunu doğurmaktadır. Özellike TCK kapsamında suç teşkil eden bir hareketle birlikte kabahatin uygulanması aynı hareket dolayısıyla iki defa yaptırıma tabi tutulma sonucunu doğurmaktadır. Ayrıca sırf hareketli bir kabahat olarak düzenlenmesi gereken bir hareketin mütemadi ve ihmali şekilde işlenebilen bir kabahat kapsamında değerlendirilmesi hareketin birden çok kez işlenmesi durumunda dahi mütemadi bir hareket olarak tek bir hareket gibi değerlendirilmesine yol açacaktır. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatinin işlenmesi halinde 2023 yılı için 89.571 ila 5.971.989 Türk lirası idari para cezası uygulanmaktadır. İdari para cezasının üst sınırı uluslararası bir şirket için caydırıcılık niteliğine sahip değilken alt sınırı ise birçok kişi bakımından çok yüksek bir tutar arz etmektedir. Öte yandan idari para cezasına itiraz mercii sulh ceza hakimliği olup teknik bilgi gerektiren bir alanda idari yargı kapsamında iptal davası açılamaması eleştirilmesi gereken bir durumdur. Kurul'un yer bakımından yetkisi kapsamında veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahatinin işlendiği yer harekete göre değişiklik göstermektedir. Uygulamada en sık işlenen hareket olan teknik ve idari tedbirlerin alınmaması hareketi mütemadi hareket olup ihmali hareketle işlenebilen bir kabahat olduğu için işlendiği yeri teknik ve idari tedbirlerin alınması gereken yerler teşkil etmektedir. Bununla birlikte Kurul, genel olarak kişisellik ilkesi üzerinden yetkisini tayin etmekte olup bu durum doğru bir uygulama teşkil etmemektedir. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahati çalışmamız kapsamında geniş bir perspektiften sunulmaya çalışılmıştır. Bu kapsamda çalışma Kurul ve yargı kararlarıyla desteklenmiştir. Kabahat, okuyucuya suç/kabahat sistematiği kapsamında sunulmuştur.
Özet (Çeviri)
The subject of this thesis is the misdemeanor of not fulfilling the obligations regarding personal data security. This misdemeanor is regulated in subparagraph (b) of paragraph 1 of Article 18 of the Personal Data Protection Law (“PDPL/KVKK”) titled“Misdemeanors”. Within the scope of the misdemeanor, it is regulated that an administrative fine shall be imposed on persons who do not fulfill their obligations regarding data security in Article 12 of the PDPL. In paragraphs 2 and 3 of the article, it is regulated that private law legal entities and natural person data controllers are subject to sanctions within the scope of the misdemeanor, and that disciplinary provisions shall be applied to civil servants or persons working in the case of professional organisations with public institution status and public institutions and organizations. In our study, the misdemeanor of not fulfilling the obligations regarding data security and the obligations regulated in Article 12 of the PDPL in this context are discussed in detail. Within this scope, the study consists of two main parts, titled Overview of Personal Data Protection Law and Misdemeanor of not Fulfilling Obligations Regarding Personal Data Security. Obligations to be taken regarding personal data security are regulated as 4 separate paragraphs in Article 12 of the PDPL. Accordingly, taking technical and administrative measures to ensure the necessary level of security for unlawful processing of personal data, illegal access to personal data and preservation of personal data, fulfillment of inspection obligations, prohibition of disclosure contrary to personal data and use personal data for the purpose other than processing purpose, fulfilling the data breach notification obligation are the obligations regulated in the PDPL regarding the data security. Violations of these provisions is regulated as misdemeanor. Within the scope of the first chapter, various regulations regarding the personal data protection are explained. These subjects are composed of issues which we consider as important in order to comprehend the obligations related to misdemeanor and data security. Within this framework, in the first part of the first chapter several concepts are explained. Personal data, processing of personal data, data controller and data processor constitute these basic concepts. These concepts constitute various elements and components of the misdemeanor. Moreover, the basic principles in the personal data protection law are also explained in the first chapter. The basic principles of personal data protection law are lawfulness and fairness, being accurate and kept up to date where necessary, being processed for specified, explicit and legitimate purposes, being relevant, limited and proportionate to the purposes for which they are processed, being stored for the period laid down by relevant legislation or the period required for the purpose for which the personal data are processed. These principles show the main objectives of personal data protection law and constitute basic criteria that the controllers must comply with all their responsibilities in terms of the PDPL. The concept of personal data security constitutes the central concept of the study. In its most general definition, personal data security means the protection of personal data against risk and threats. Personal data is a type of information having certain characteristics. Within this scope, personal data gained a meaning in the direction of principles and objectives of information security. It is aimed to ensure confidentiality, integrity and availability of information in information security. In this direction, within the scope of personal data security, personal data must be protected in line with the principles of confidentiality, integrity and availability. Personal data security which has a substance in line with information security, has existed as one of the most important components of personal data protection law since the birth of personal data protection law. Within this scope, obligations related to personal data security have been included in the legislation prepared on the protection of personal data in Europe since the 1970s. The Hessen Data Protection Law which was enacted in 1970, and which is the first data protection law, contains obligations regarding personal data security. In the same way, the German Data Protection Law which was legislated in 1970 and the French Data Protection Law which was legislated in 1978 made it an obligation to take technical and administrative measures regarding data security. Afterwards, Personal data security, which has been made an obligation in the Convention No. 108 and the European Data Protection Directive, is finally regulated in detail with the GDPR. In Turkish law, obligations regarding the personal data security are regulated with reference to European Data Protection Directive. While personal data security in the draft law on the personal data protection in 2008 which became obsolote, had a content formed in line with the Directive, It occured differentiation in the PDPL from the provisions of the Directive. Although this situation has made the existing data security obligation in the PDPL unique, it has also caused the data security obligations to have a content that exceed its own conceptual capacity. In the second chapter of the study, the misdemeanor of not fulfilling the obligations regarding the personal data security is explained. Within this framework, legally protected interest of the misdemeanor, material and moral element of the misdemeanor, justification reasons, culpability, special apperance forms of the misdemeanor, sanction and judicial activities are discussed. The perpetrator of the the misdemeanor of not fulfilling the obligations regarding the personal data security is the controller. Within this scope, this misdemeanor is a spesific misdemeanor. However, in some cases, such as legal entitites being controllers, the organ, representative and employee may also be perpetrators. In this case, the controller is subject to an administrative fine due to the action of the organ, representative or employee. The victim of the misdemeanor of not fulfilling the obligations regarding data security is the data subject. Personal data amounts to any information relating to an identified or identifiable natural person. This person, to whom personal data can be related, is the data subject and constitutes the victim within the scope of the misdemeanor. The subject of the misdemeanor is the personal data processed by non-automatic means provided that they are part of a filling system system or automatic means in accordance with the PDPL. In the action of not fulfilling the data breach notification, the subject is information about the data breach fact. In the misdemeanor of not fulfilling the obligations regarding the personal data security, it is regulated four different actions. Actions of not taking technical and organisational measures, not fulfilling the inspection obligation, disclosing personal data in violation of the PDPL and using personal data for the purpose other than processing purpose and not fulfilling the data breach notification obligation constitute the actions of the misdemeanor. The actions apart from not fulfilling data breach notification obligations are alternative actions within the scope of the misdemeanor. Since the subject of the act of not fulfilling the data breach notification obligation is different from other acts, this act constitutes another misdemeanor. The acts of not taking technical and organisational measures and not fulfilling the inspection obligation can be committed negligently and they are continuing misdemeanors. The action of disclosing personal data in violation of the PDPL and using personal data for the purpose other than processing purpose is not continuing misdemeanor and can be committed with positive action. Not fulfilling the data breach notification obligation is not contunuing misdemeanor either, plus this action can be committed negligently. Moreover all actions of the misdemeanor are conduct misdemeanor and within this context, no result is regulated in the PDPL. The controller is required to take technical and organisational measures to ensure the appropriate level of security in order to prevent the unlawful processing of personal data, to prevent unlawful access to personal data and to ensure the preservation of personal data. Otherwise, the action takes place. The action of not taking technical and organisational measures is also continiuing action. Moreover, the Board considers the unlawful processing activities carried out within the body of the controller within the scope of the act of not taking technical and organisational measures to ensure the appropriate level of security in order to prevent processing personal data unlawfully. As a result of the Board's interpretation of the relevant article in this way, controllers are subject to administrative fines for not taking technical and organisational measures in case they process personal data unlawfully. This situation violates the principles of legality and certainty. The action of not fulfilling the inspection obligation and the acts of disclosing personal data to others and using it for any purpose other than processing purpose in violation of the PDPL rarely constitute the reason of the decision of the board for the administrative fine. This situation is due to the fact that the Board considers the relevant action to be within the scope of not taking technical and organisational measures and imposes administrative fine by considering the actions as technical and organisational measures have not been taken. The act of not fulfilling the data breach notification obligation constitutes the reason of the decision of the Board, and occurs in case the data breach is not notified to the Board as soon as possible and the relevant person is not notified within a reasonable time. The expression of“as soon as possible”was determined as 72 hours in a decision of the Board. The misdemeanor can be committed intentionally and negligently. In this context, it is not determined the moral element in the PDPL. On the other hand, justification reasons can be applied in terms of the misdemeanor. In particular, the application of the provision of law, application of the exceptions in Article 28 of the PDPL and the exercise of a right may constitute justification reasons. In terms of culpability, in particular, obligation can be applied in some cases. It is not possible to attempt the misdemeanor of not fulfilling the obligations regarding personal data security. First of all, three actions of the misdemeanor constitute abstract danger misdemeanor and attempting to commit abstract danger misdemeanors are not accepted. On the other hand, there is no regulation in the PDPL regarding attempting to commit the misdemeanor, while it is only possible to attempt to commit a misdemeanor in case of special regulation. On the other hand, it may be possible to participate in the misdemeanor. However, in accordance with the article 18/2 of the PDPL, only the controller will be subject to an administrative fine in case of the participation. As stated, in the event that the controller process personal data unlawfully, The Board evaluates this situation as not taking technical and organisational measures and subjects the positive action to an administrative fine within the scope of the misdemeanor which can be committed negligently. This situation causes the fact that conceptual aggregation is not applied in case of processing personal data unlawfully along with committing a misdemeanor or a crime owing to that omission action and positive action are not considered within the scope of conceptual aggregation. In particular, the committing of a misdemeanor with an act that also constitutes a crime under the Turkish Criminal Law (TCK) results in being subject to two sanctions for the same action. Moreover, the evaluation of an action as a continuing and omission action that should not be regulated as continuing action, caused the evaluation that multiple actions are considered as only one continuous action in case of committing the action multiple times. Administrative fine of 89.751 to 5.971.989 Turkish lira is imposed for the year 2023, in the event that the misdemeanor of not fulfilling the obligations regarding data security is committed. While the upper limit of the administrative fine is not a dissuasive for an international company, the lower limit is a very high amount for many people. On the other hand, the objection authority to the administrative fine is the criminal judgeship of peace, and the inability to file an annulment case within the scope of administrative jurisdiction in an area that requires technical knowledge is a situation that should be criticized. Within the scope of the territorial jurisdiction of the Board, the place of the misdemeanor of not fulfilling the obligations regarding the data security differs according to the actions committed. Since the act of not taking technical and organisational measures, which is the most frequently committed act in practice is a continuing act and since it is a misdemeanor that can be committed by negligence, the place where it is committed constitutes the places where technical and administrative measures should be taken. However, the Board generally determines its territorial jurisdiction on the basis of the principle of personality, which does not constitute a correct practive. Within the scope of the study, the misdemeanor of not fulfilling the obligations regarding personal data security is tried to be presented from a broad persective. In this context, the study is supported by the decisions of the Board and judiciary. It is presented within the scope of crime/misdemeanor systematic. Le sujet de cette thèse est, une contravention, le non-respect des obligations en matière de sécurité des données personnelles. Cette contravention est régie par l'alinéa (b) du paragraphe 1 de l'article 18 de la Loi sur La Protection des Données Personnelles (“LPDP/KVKK”) intitulé“Contraventions”. Dans le cadre de ladite contravention, il est prévu qu'une amende administrative sera infligée aux personnes qui ne remplissent pas leurs obligations en matière de sécurité des données en vertu de l'article 12 de LPDP. Dans les paragraphes 2 et 3 de l'article, il est stipulé que les responsables du traitement des données, qui sont personnes physiques ou des personnes morales de droit privé, sont sujets aux sanctions dans le cadre de la contravention, et que des dispositions disciplinaires sont appliquées aux fonctionnaires ou aux personnes qui travaillent à tel titre dans le cas où ladite contravention se produit au sein des établissements et des institutions publics et des organisations professionnelles ayant le statut d'institution publique. Dans notre étude, nous examinons en détail la contravention de non-respect des obligations en matière de sécurité des données et les obligations prévues à l'article 12 de LPDP dans ce contexte. Dans ce cadre, l'étude se compose de deux parties principales, intitulées Aperçu du droit sur la protection des données personnelles et Contravention de non-respect des obligations relatives à la sécurité des données personnelles. Les obligations à remplir en matière de sécurité des données personnelles sont énoncées dans quatre paragraphes distincts de l'article 12 de LPDP. En conséquence, prendre des mesures techniques et administratives pour assurer le niveau de sécurité nécessaire contre le traitement illicite des données personnelles, l'accès illégal aux données personnelles et pour la conservation des données personnelles, le respect des obligations d'inspection, l'interdiction de divulgation des données personnelles et l'utilisation des données personnelles pour le finalité autre que la finalité de traitement en violation de LPDP, remplir l'obligation de notification de violation de données sont les obligations réglementées dans le LPDP concernant la sécurité des données. La violation de ces dispositions est réglementée comme une contravention. Dans le cadre du premier chapitre, nous expliquons diverses réglementations concernant la protection des données personnelles. Ces sujets sont composés d'enjeux que nous considérons importants pour comprendre les obligations liées à ladite contravention et à la sécurité des données. Dans ce cadre, dans la première partie du premier chapitre, nous examinons plusieurs concepts. Les données personnelles, le traitement des données personnelles, le responsable du traitement et le sous-traitant constituent ces concepts de base. Ces concepts constituent divers éléments et composantes de la contravention en question. De plus, on met également en lumière les principes de base du droit sur la protection des données personnelles dans le premier chapitre. Les principes fondamentaux du droit sur la protection des données personnelles sont la licéité et la loyauté, être exactes et tenues à jour si nécessaire, être traitées pour des finalités déterminées, explicites et légitimes, être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, être conservées pendant la période prévue par la législation pertinente ou la période requise aux fins pour lesquelles les données personnelles sont traitées. Ces principes montrent les principaux objectifs du droit sur la protection des données personnelles et aussi constituent des critères de base que les responsables du traitement doivent respecter dans toutes leurs responsabilités au regard de LPDP. Le concept de sécurité des données personnelles constitue le concept central de l'étude. Dans sa définition la plus générale, la sécurité des données personnelles signifie la protection des données personnelles contre les risques et les menaces. Les données personnelles sont un type d'informations présentant certaines caractéristiques. Dans ce cadre, ce terme a pris un sens dans le contexte des principes et des objectifs de la sécurité de l'information. La sécurité de l'information vise à assurer la confidentialité, l'intégrité et la disponibilité des informations. Sous cet angle, dans le cadre de la sécurité des données personnelles, les données personnelles doivent être protégées conformément aux principes de confidentialité, d'intégrité et de disponibilité. La sécurité des données personnelles, qui a une substance conforme à la sécurité de l'information, est l'une des composantes les plus importantes de la législation sur la protection des données personnelles depuis la naissance du droit sur la protection des données personnelles. Dans ce cadre, des obligations liées à la sécurité des données personnelles ont été incorporées dans la législation élaborée sur la protection des données personnelles en Europe depuis les années 1970. La loi Hessen sur la protection des données, qui a été promulguée en 1970 et qui est la première loi sur la protection des données, comporte des obligations concernant la sécurité des données personnelles. De la même manière, la loi allemande sur la protection des données, promulguée en 1970, et la loi française sur la protection des données, promulguée en 1978, ont imposé l'obligation de prendre des mesures techniques et administratives concernant la sécurité des données. Ensuite, la sécurité des données personnelles, qui a été érigée en obligation dans la Convention n°108 et la directive européenne sur la protection des données, est enfin réglementée en détail avec le RGPD. Dans le droit turque, les obligations concernant la sécurité des données personnelles sont régies sous l'influence de la directive européenne sur la protection des données. Alors que la sécurité des données personnelles dans le projet de loi sur la protection des données personnelles en 2008 qui est tombé en désuétude, avait un contenu formé conformément à la directive, LPDP a amené une différenciation grande à l'égard des dispositions de la directive. Bien que cette situation ait rendu unique l'obligation de sécurité des données existante dans LPDP, elle a également fait en sorte que les obligations de sécurité des données aient un contenu qui dépasse sa propre capacité conceptuelle. Dans le deuxième chapitre de l'étude, nous nous penchons sur la contravention de non-respect des obligations relatives à la sécurité des données personnelles. Dans ce cadre, l'intérêt juridiquement protégé à l'égard de la contravention, l'élément matériel et moral de la contravention, les faits justificatifs, la culpabilité, les formes particulières d'apparition de l'infraction, la sanction et les activités judiciaires sont discutés. L'auteur de la contravention de non-respect des obligations en matière de sécurité des données personnelles est le responsable du traitement. Dans ce cadre, cette contravention est une contravention spécifique. Cependant, dans certains cas, comme les personnes morales étant des responsables, l'organe, le représentant et l'employé peuvent également être les auteurs. Dans ce cas, le responsable du traitement est susceptible de faire l'objet d'une amende administrative en raison de l'action de l'organe, du représentant ou de l'employé. La victime du délit de non-respect des obligations en matière de sécurité des données est la personne concernée. Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identifiable. Cette personne, à laquelle des données personnelles peuvent être associées, est la personne concernée et constitue la victime dans le cadre de la contravention. L'objet de la contravention est les données personnelles traitées par des moyens automatiques ou non-automatiques à condition qu'elles fassent partie d'un système de saissie de données conformément à LPDP. L'information relative à la violation de données ne constitue l'objet d'infraction que dans l'action de ne pas informer d'une violation de la sécurité des données. À l'égard de la contravention de ne pas remplir les obligations concernant la sécurité des données personnelles, quatre actions différentes sont prévues. Les actions consistant à ne pas prendre de mesures techniques et organisationnelles, à ne pas remplir l'obligation d'inspection, à divulguer des données personnelles en violation de LPDP et à utiliser des données personnelles à des fins autres que le traitement et à ne pas remplir l'obligation de notification de violation de données constituent les actions de la contravention. Les actions autres que le non-respect des obligations de notification de violation de données sont des actions alternatives dans le cadre de l'infraction. Comme l'objet de l'acte de non-respect de l'obligation de notification de violation de données est différent des autres actes, cet acte constitue une autre contravention. Les actes de ne pas prendre de mesures techniques et organisationnelles et de ne pas remplir l'obligation d'inspection peuvent être commis par négligence et constituent des infractions continues. L'action de divulguer des données personnelles en violation de LPDP et d'utiliser des données personnelles à des fins autres que le traitement constitue une infraction instantanée et peut être commise avec une action positive. Le non-respect de l'obligation de notification de violation de données n'est pas non plus une infraction continue, et cette action peut être commise par négligence. De plus, toutes les actions de la contravention sont des infractions de conduite et dans ce contexte, aucun résultat n'est prévu dans LPDP. Le responsable du traitement est exigé de prendre des mesures techniques et organisationnelles pour assurer le niveau de sécurité approprié afin d'empêcher le traitement illicite des données personnelles, d'empêcher l'accès illicite aux données personnelles et d'assurer la conservation des données personnelles. Sinon, l'action se produit. L'action de ne pas prendre de mesures techniques et organisationnelles est aussi une action continue. En outre, le Conseil considère les activités de traitement illégales effectuées au sein du corps du responsable du traitement comme relevant de l'acte de ne pas prendre de mesures techniques et organisationnelles pour assurer le niveau de sécurité approprié afin d'empêcher le traitement illicite de données personnelles. En raison de l'interprétation par le Conseil de l'article pertinent de cette manière, les responsables du traitement sont passibles d'amendes administratives pour ne pas avoir pris de mesures techniques et organisationnelles s'ils traitent illégalement des données personnelles. Cette situation viole les principes de légalité et de sécurité. L'action de ne pas remplir l'obligation d'inspection et les actes de divulgation de données personnelles à des tiers et de les utiliser à des fins autres que le traitement en violation de LPDP constitue rarement le motif de la décision du Conseil pour l'amende administrative. Cette situation est due au fait que le Conseil considère que l'action concernée relève de la non-prise de mesures techniques et organisationnelles et inflige une amende administrative en considérant les actions comme des mesures techniques et organisationnelles n'ont pas été prises. Le fait de ne pas remplir l'obligation de notification de violation de données constitue le motif de la décision du Conseil et se produit si la violation de données n'est pas notifiée au Conseil dès que possible et la personne concernée n'est pas informée dans un délai raisonnable. L'expression « dès que possible » a été fixée à 72 heures dans une décision du Conseil. La contravention peut être commise intentionnellement et par négligence. Dans ce contexte, l'élément moral n'est pas déterminé dans LPDP. En revanche, les faits justificatifs peuvent être appliqués en fonction de la contravention. En particulier, l'ordre de la loi, l'application des exceptions de l'article 28 de LPDP et l'exercice d'un droit peuvent constituer des faits justificatifs. En termes de culpabilité, en particulier, l'état de nécessité peut être appliquée dans certains cas. Il n'est pas possible de tenter de la contravention de ne pas remplir les obligations en matière de sécurité des données personnelles. Tout d'abord, trois actions de l'infraction constituent une contravention de danger abstrait et la tentative de commettre des contraventions de danger abstraits n'est pas reconnue. D'autre part, il n'y a pas de réglementation dans le LPDP concernant la tentative, alors qu'il n'est possible de tenter de commettre une contravention qu'en cas de réglementation spéciale. En revanche, il peut être possible de participer au délit. Cependant, conformément à l'article 18/2 du LPDP, seul le responsable du traitement sera passible d'une amende administrative en cas de participation. Comme indiqué, dans le cas où le responsable du traitement traite illégalement des données personnelles, le Conseil évalue cette situation comme ne prenant pas de mesures techniques et organisationnelles et soumet l'action positive à une amende administrative dans le cadre de l'infraction qui peut être commis par négligence. Cette situation entraîne le fait que l'agrégation conceptuelle n'est pas appliquée en cas de traitement illicite de données personnelles et de commission d'un délit ou d'un crime en raison de cette omission, l'action et l'action positive ne sont pas considérées dans le cadre de l'agrégation conceptuelle. En particulier, la commission d'un délit avec un acte qui constitue également un crime au regard du droit pénal turc (TCK) entraîne l'assujettissement à deux sanctions pour le même acte. De plus, l'évaluation d'une action en tant qu'action continue et omission qui ne devrait pas être réglementée en tant qu'action continue, a entraîné l'évaluation que plusieurs actions sont considérées comme une seule action continue en cas de commettre l'action plusieurs fois. Une amende administrative de 89.751 à 5.971.989 lires turques est imposée pour l'année 2023, dans le cas où la contravention de non-respect des obligations en matière de sécurité des données est commis. Bien que la limite supérieure de l'amende administrative ne soit pas dissuasive pour une entreprise internationale, la limite inférieure est un montant très élevé pour de nombreuses personnes. En revanche, l'instance d'objection à l'amende administrative est le juge pénal de paix, et l'impossibilité de former un recours en annulation dans le cadre de la juridiction administrative dans un domaine qui requiert des connaissances techniques est une situation qu'il convient de critiquer. Dans le cadre de la compétence territoriale du Conseil, le lieu de la contravention de non-respect des obligations en matière de sécurité des données diffère selon les actes commis. Le fait de ne pas prendre de mesures techniques et organisationnelles, qui est le fait le plus fréquemment commis en pratique, est un fait continu et une infraction qui peut être commis par négligence, le lieu où il est commis constitue les lieux où il faut prendre des mesures technique et administrative. Cependant, le Conseil détermine généralement sa compétence territoriale sur la base du principe de la personnalité, qui ne constitue pas une pratique correcte. Dans le cadre de l'étude, on essaye d'exposer la contravention de non-respect des obligations en matière de sécurité des données personnelles dans une perspective large. Dans ce contexte, l'étude s'appuie sur les décisions du Conseil et de la magistrature. La contravention en question est présentée dans le cadre d'une systématique de crime/contravention.
Benzer Tezler
- İdare hukuku boyutuyla kişisel verilerin korunması
Protection of personal data by administrative law
NECATİ GÖKHAN AKMAN
Yüksek Lisans
Türkçe
2021
Hukukİstanbul Kültür ÜniversitesiKamu Hukuku Ana Bilim Dalı
DR. ÖĞR. ÜYESİ ELİF ALTINOK ÇALIŞKAN
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca Türk ticaret şirketlerinin yükümlülükleri
Obligations of Turkish commercial companies pursuant to Law No. 6698 on the Protection of Personal Data
YASİN ÜSTÜN
- Elektronik ticaret aracı hizmet sağlayıcı ve elektronik ticaret hizmet sağlayıcıların kişisel verilerin korunması mevzuatı kapsamında yükümlülükleri
Obligations of electronic commerce intermediary service providers (ECISPs) and electronic commerce service providers (ECISPs) within the scope of personal data protection legislation
ELİF BİLGEN ERİŞ
- Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusunun yükümlülükleri
The obligations of data controller under Law on the Protection of Personal data
ONUR GÜNBEY
Yüksek Lisans
Türkçe
2020
Hukukİstanbul Bilgi ÜniversitesiHukuk Ana Bilim Dalı
DR. ÖĞR. ÜYESİ NİLGÜN BAŞALP YILDIRIM