KVKK m.18'de düzenlenen idari para cezaları ile m.17'de TCK'ya atıf yapılan suçlar arasındaki temel fark nedir? Bir veri ihlali, hem idari para cezasına hem de hapis cezasına konu olabilir mi?

Evet, olabilir. Bu iki madde farklı türdeki ihlalleri düzenler. KVKK m.18, kanundaki 'idari yükümlülüklerin' ihlali halinde uygulanacak 'kabahatleri' yani idari para cezalarını düzenler. Bunlar; aydınlatma yükümlülüğünü yerine getirmemek (m.10), veri güvenliğine ilişkin tedbirleri almamak (m.12), Kurul kararlarını yerine getirmemek (m.15) ve VERBİS'e kayıt ve bildirim yükümlülüğüne uymamak (m.16) gibi fiillerdir. Bu fiillerin faili genellikle veri sorumlusu tüzel kişidir. KVKK m.17 ise, kişisel verilerin hukuka aykırı olarak işlenmesi veya ele geçirilmesi gibi daha ağır fiiller için TCK'daki 'suçlara' atıf yapar. Bunlar TCK m.135 (Kişisel Verilerin Kaydedilmesi), m.136 (Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme) ve m.138 (Verileri Yok Etmeme) gibi suçlardır ve failleri gerçek kişilerdir. Bir olayda, örneğin bir şirketin gerekli güvenlik önlemlerini almaması (KVKK m.12 ihlali) sonucu bir hacker'ın verileri ele geçirmesi (TCK m.136 ihlali) durumunda; şirkete (veri sorumlusu) KVKK m.18 uyarınca idari para cezası verilirken, hacker hakkında TCK m.136'dan ceza davası açılır. Yani aynı olay, farklı failler için hem kabahate hem de suça vücut verebilir.