Anayasa Mahkemesi, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle KVK Kurulu tarafından uygulanan idari para cezasına yönelik yapılan bireysel başvuruda, “Mülkiyet” hakkı yönünden hak ihlali kararı verdi.
Kararda, başvuru konusu olaya ilişkin kronoloji ise şu şekilde verilmiş:
- 19/11/2018 Veri ihlali tespiti
- 30/11/2018 Başvurucunun basın açıklaması
- 3/12/2018 Başvurucunun KVK Kuruluna bildirimi
- 5/12/2018 Kurulun bilgi talebi ve ilan kararı
- 28/3/2019 Başvurucunun Kurul’a beyanı
- 16/5/2019 Kurul kararı
- 12/7/2019 Kurul kararının tebliği
İdari para cezasına konu olay, konuk rezervasyon veri tabanına yetkisiz üçüncü bir kişinin erişmesi ve bu ihlal sebebiyle müşteri bilgilerinin çalınmasıdır.
Kurul’un 16/5/2019 tarihli kararı:
- 6698 sayılı Kanun’un m. 12/1 hükmü gereği gerekli teknik ve idari tedbirleri almadığından bahisle 1.100.000 TL,
- 6698 sayılı Kanun’un m. 12/5 hükmü gereği ihlalin en kısa sürede bildirilmesi yükümlülüğüne uymadığından 350.000 TL, olmak üzere toplam 1.450.000 TL idari para cezasına hükmedilmiştir.
Başvurucunun itiraz başlıkları:
- Kendisinin veri sorumlusu olmadığı
- Ret kararının hukuken gerekli ve yeterli gerekçe içermediği
- İdari para cezasının zaman bakımından uygulanabilir olmadığı
- 6698 sayılı Kanun’da ihlal bildirimi için kısıtlayıcı süre bulunmadığı
- En üst hadden idari para cezası uygulanmasının orantılı olmadığı ve mülkiyet hakkını ihlal ettiği
Sulh Ceza Hakimliğinin değerlendirmesi:
Sulh Ceza Hakimliğince, Kurul kararının yasa ve usule uygun olduğu gerekçesiyle itirazın reddine karar verilmiş, bu karara yapılan itiraz da, ret kararının yasa ve usule uygun olduğu gerekçesiyle kesin olarak reddedilmiş bulunmaktadır.
Anayasa Mahkemesinin değerlendirmesi:
Anayasa Mahkemesi tarafından, başvurucunun itirazları hakkında Hakimlik tarafından hiçbir değerlendirme yapılmadığını, bu sebeple mülkiyet hakkının korunmasına yönelik usule ilişkin güvencelerin somut olayda yerine getirilmediği sonucuna varılarak, mülkiyet hakkının ihlal edildiğine ve ihlalin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılması için kararın Sulh Ceza Hakimliğine gönderilmesine karar verilmiş bulunmaktadır.
Değerlendirme:
Her ne kadar Anayasa Mahkemesi hak ihlali kararı vermiş olsa da, Kişisel Verileri Koruma Kurulunun idari para cezalarında uyguladığı makas ve bu kararlara itiraz usulünün değişmemesi, “belirlilik ilkesi” ile birlikte değerlendirildiğinde aynı yaklaşımların devam edeceğini gösteriyor.
1. Kişisel Verileri Koruma Kurulunun uygulamış olduğu idari para cezalarına ilişkin makasın geniş tutulmasıyla caydırıcılık hedeflenmiş fakat verilen cezaların hangi kıstaslar dikkate alınarak hangi oranda uygulandığı belirsizliğini koruyor. Bu konuda Kabahatler Kanunu m. 17/2’de “Kabahatin haksızlık içeriği – failin kusuru – failin iktisadi durumu” kriterleri düzenlemiş olsa da, uygulamada ölçülülük ve belirlilik ilkelerinin sağlanması yönünden şeffaflık barındırmıyor.
2. GDPR m. 83/2, idari para cezalarında meblağın belirlenmesindeki faktörleri çok daha somut olarak düzenlemekte. Kişisel Verilerin Korunması Kanununda da benzeri bir düzenleme yapılabilir. GDPR ‘da yer alan kıstaslar:
- İhlalin mahiyeti, ciddiyeti ve süresinin yanı sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi
- İhlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması
- Veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem
- Kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi,
- Kontrolör veya işleyicinin geçmişte konuyla ilgili ihlaller
- İhlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliği derecesi
- İhlalden etkilenen kişisel veri kategoriler
- Kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak üzere, denetim makamının ihlalden haberdar edilme şekli
- 58(2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum
- 40. madde uyarınca onaylı davranış kurallarına veya 42. madde uyarınca onaylı belgelendirme mekanizmalarına uygun hareket edilmesi
- İhlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler
3. Kişisel Verileri Koruma Kurulunun vermiş olduğu idari para cezalarında itiraz merciinin Sulh Ceza Hakimlikleri olması, bir başka sorun olarak karşımıza çıkıyor. Özellikle ceza soruşturmalarında tutuklama, adli arama, adli kontrol, önleme araması, elkoyma gibi kararları veren ve savcılık tarafından verilen bazı kararların itiraz merci olarak görev yapan Sulh Ceza Hakimliklerine aynı zamanda idari para cezalarına yapılan itirazı inceleme görevi verilmesi, incelemelerin yeterli değerlendirme yapılmadan sonuçlandırılmasına sebebiyet vermektedir.
4. Bu kapsamdaki idari para cezalarının itiraz merciinin İdare Mahkemeleri olması, veri sorumlularının hangi durumlarda hangi kıstaslara göre ne oranda para cezası ile karşılaşacağının içtihatlarla yerleşik hale gelmesi, hem belirlilik açısından hem de kanunla amaçlanan sonuçlara daha kısa sürede varılması yönünden fayda sağlayacaktır.
Karar metni için: https://www.resmigazete.gov.tr/eskiler/2023/12/20231215-6.pdf
Regulasyon.Net
Bir yanıt yazın