KVKK m.12'de düzenlenen 'veri güvenliğine ilişkin yükümlülükler' nelerdir? Veri sorumlusunun kişisel verileri hukuka aykırı olarak yurt dışına aktarması, KVKK m.18/1-b uyarınca doğrudan idari para cezası ile cezalandırılabilir mi? 'Kanunilik ilkesi' açısından tartışınız.

KVKK m.12'de düzenlenen veri güvenliği yükümlülükleri; kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişilmesini önlemek ve muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almayı kapsar. Makaleye göre, veri sorumlusunun verileri hukuka aykırı yurt dışına aktarması (m.9 ihlali), m.18/1-b'de düzenlenen 'veri güvenliği yükümlülüklerini yerine getirmeme' kabahati kapsamına doğrudan girmez. Çünkü m.18'de, m.9'un ihlali açıkça bir kabahat olarak tanımlanmamıştır. Kabahatler Hukukunda geçerli olan 'kanunilik ilkesi' (Kabahatler Kanunu m.4) gereği, bir fiilin idari para cezasıyla cezalandırılabilmesi için kanunda açıkça kabahat olarak tanımlanması gerekir. Makale yazarı, m.12'deki yükümlülüklerin aktarmayı açıkça kapsamadığını ve m.18'de m.9'a atıf yapılmadığını belirterek, bu durumda ceza verilmesinin kanunilik ilkesine aykırı olacağını savunmaktadır. (Ref: sen.av.tr/tr/makale/kisisel-verilerin-korunmasi-kanunu-son-tasarisi/)