A) Kişisel Verilerin Kaydedilmesi, Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme, Verileri Yok Etmeme 5237 sayılı TCK’da açıkça şikâyete bağlı suç olarak belirlenmiştir.
-Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası, verilir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
-Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
-Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
B) Aydınlatma Yükümlülüğü, Veri Güvenliğine İlişkin Yükümlülükler, Kurul Kararını Uygulama, Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü hallerine aykırı davranılması halinde Kişisel Verilerin Korunması Kanunu’nun Kabahatler başlığı altında düzenlenen yaptırımlar uygulanır.
-Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
-Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
-Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
-Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
Bu ciddi yaptırımların belirlenmesinde ölçüt, son yirmi yıldır hayatımızda yaşanan teknolojik değişimin, kötü niyetli şahısların başkalarına ait kişisel verilerle bir şeyler yapabilmesi imkanını artırmış olmasıdır. Potansiyel tehdit bu denli güçlü olunca, veri sahiplerinin korunması ve veri sorumlularına birtakım yükümlülüklerin getirilmesi kaçınılmaz olmuştur.
Kişisel Veri İhlali halinde hangi usule başvurulacağı yönünden bir belirsizlik hakimdir. Şöyle ki; KVKK’nın 22. Maddesinde Kurulun görev ve yetkileri arasında “b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.” sayılmıştır. Şikâyet kurula gidiyor ama ceza 2004 yılından bu yana TCK’da yürüklüktedir. Ceza yargılaması kapsamında suçun maddi ve manevi unsurlarının oluşup oluşmadığının incelemesi ve ona göre bir cezanın öngörülmesi gerekir. Kaldı ki bu değerlendirmeyi yapacak makam Ceza Mahkemeleridir. Bu çerçevede aynı konuyu hem kurulun hem de ceza yargısının ele alıyor olması muallak bir durum yaratmaktadır.