6698 sayılı KVKK’nın 18. maddesi uyarınca 2025 yılı için para cezalarında yeniden değerleme oranı %43,93 uygulanmış olup, idari para cezası sınırları ilgili yükümlülüklere göre alt ve üst limit olarak belirlenmiştir. Ayrıca TCK’nın 135, 136, 138. maddeleri uyarınca hukuka aykırı veri işleme, ifşa ya da verileri silmeme fiillerine yönelik hapis cezaları mevcuttur.
1. Aydınlatma Yükümlülüğünü Yerine Getirmeme (KVKK m.10)
2025 yılı için uygulanacak idari para cezası 68.083 TL – 1.362.021 TL dir. Hukuka aykırı veri işleme durumunda TCK kapsamında 1 yıldan 3 yıla kadar hapis cezası gündeme gelebilir. Bu ihlal hem idari hem de cezaî sorumluluğa açık kapı bırakır.
2. Veri Güvenliği Yükümlülüklerine Uymama (KVKK m.12)
Bu yükümlülüğü ihlal edenler için 204.285 TL – 13.620.402 TL arasında idari para cezası uygulanır. Yetkisiz erişim, sızdırma gibi fiiller TCK m.136 kapsamında 2 ila 4 yıla kadar hapis cezasını gerektirebilir. Verilere erişimde güvenlik ihlali ciddi hukuki sonuç doğurur.
3. Kurul Kararlarını Yerine Getirmeme (KVKK m.15)
2025 itibarıyla idari para cezası alt limiti 340.476 TL, üst limiti ise 13.620.402 TL’dir. Kurul kararlarına uymamak kurum açısından idari yaptırımların yanı sıra kurumsal itibar zedelenmesine neden olur. TCK kapsamında doğrudan hapis ihtimali olmasa da idari yaptırım ağırdır.
4. VERBİS Kayıt ve Bildirim Yükümlülüğüne Uyulmaması (KVKK m.16)
Ceza tutarları 272.380 TL – 13.620.402 TL aralığındadır. Kayıtsız veri işleme, şeffaflık ilkesini ihlal eder ve yüksek idari yaptırımlara tabidir. Eğer veri sızıntısı veya yanlış işleme suçu varsa TCK kapsamına girme riski de vardır.
5. Yurtdışına İzin Dışı Veri Aktarımı (KVKK m.9/5)
Bu yükümlülüğe aykırılık durumunda 71.965 TL – 1.439.300 TL arasında idari para cezası uygulanır. İzin alınmadan yapılan veri aktarımı, TCK m.136 kapsamında 2 ila 4 yıl hapis cezası riski de doğurabilir. Kurul burada bildirim zorunluluğunu özellikle dikkate alır.
6. Açık Rıza Alınmadan Veri İşleme (KVKK m.5)
İşleme hukuka aykırı sayılır ve hem idari hem de cezaî sorumluluk doğar. İlgili kişi rızası olmaksızın veri işlenmesi halinde, KVKK kapsamında idari para cezası ve TCK m.135 gereği 1 yıldan 3 yıla kadar hapis uygulanabilir. Bu ikili sorumluluk zinciri çok ciddi sonuçlar doğurabilir.
7. Veri İhlal Bildirim Yükümlülüğüne Uymama (KVKK m.12, 72 saat kuralı)
İhlalin Kurul’a zamanında bildirilmemesi halinde 68.083 TL ile 1.362.021 TL arasında idari ceza uygulanabilir. İlgili kişilere bilgilendirme yapılmaması da ayrı bir ihlal teşkil eder. Yüksek idari cezanın yanı sıra kurumsal güven zedelenebilir.
8. İmha Yükümlülüğüne Uyulmaması (KVKK m.7)
Saklama süresi dolmuş verilerin imha edilmemesi durumunda 68.083 TL – (kaynağa göre) yüksek limitlerde ceza uygulanır; genelde tavandan 1.362.021 TL’ye kadar çıkabilir. TCK m.138 kapsamında 1 ila 2 yıl hapis cezası riski vardır. Böyle bir ihmal, denetim ve yasal süreçlerde ciddi sıkıntı yaratır.
9. İlgili Kişi Taleplerine Süresinde Yanıt Vermeme (KVKK m.13)
30 gün içinde yanıt verilmemesi halinde 68.083 TL – 1.362.021 TL arasında idari ceza uygulanabilir. Bireyin hak arama hakkı doğrudan ihlal edilmiş olur ve Kurul ceza uygulamakta tereddüt etmez. Süreçlerin izlenebilir olması bu açıdan kritik önemdedir.
10. Özel Nitelikli Verilerin Ek Önlemler Olmadan İşlenmesi (KVKK m.12)
Sağlık, biyometrik gibi özel nitelikte kişisel verilerin uygun güvenlik önlemleri olmadan işlenmesi halinde 204.285 TL – 13.620.402 TL arasında idari ceza verilir. Bu fiiller TCK m.136 kapsamında da değerlendirilerek 3 yıla kadar hapis cezasını gerektirebilir.
