Turkey: Anayasa Mahkemesi, Kişisel Verileri Koruma Kurulu Tarafından Verilen İdari Para Cezasına Karşı İtirazın Reddi Sebebiyle Mülkiyet Hakkının İhlal Edildiğine Karar Verdi

Anayasa Mahkemesi ("AYM") 15 Aralık 2023 tarihli Resmî Gazetede yayımlanan kararı ile Kişisel Verileri Koruma Kurulu ("Kurul") tarafından uygulanan idari para cezasına karşı yapılan itirazda söz konusu itirazın Sulh Ceza Hakimliği nezdinde yeterli incelemeye tabi tutulmadan reddedilmesi sebebiyle mülkiyet hakkının ihlal edildiğinekarar vermiştir. Kurul tarafından verilen idari para cezalarına yönelik itiraz süreçlerinde yetersiz incelemeye dayalı ve eksik gerekçe ile verilen ret kararlarının yarattığı hak ihlalleri AYM'nin 12 Ekim 2023 tarihli söz konusu kararı ile de görünürlük kazanmıştır.

Karara Konu Başvurunun Özeti

Karara konu başvuruda, veri sorumlusu bakımından veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle Kurul tarafından uygulanan idari para cezasına karşı veri sorumlusunun suçta ve cezada kanunilik ilkesi, cezaların geriye yürümezliği ve cezada şahsilik ilkeleri, hükmedilen cezanın ölçüsüz ve orantısız olması gibi itirazlarının Sulh Ceza Hakimliği tarafından yeterli ölçüde değerlendirilmediği ve kesinleşen idari para cezasının mülkiyet hakkı ihlali oluşturduğu sonucuna varılmıştır. Başvurucu aleyhine idari para cezasına hükmedilen olayda süreç özetle aşağıdaki şekilde ilerlemiştir:

• Başvurucu devraldığı konaklama şirketinin konuk rezervasyon veri tabanında gerçekleşen şüpheli işleme dair uyarı almıştır. Bu uyarı üzerine inceleme başlatılmış; yaklaşık 1 ay süren inceleme neticesinde 18.11.2018 tarihinde şirketin rezervasyon bilgilerinin tutulduğu veri tabanına yetkisiz üçüncü bir kişinin eriştiği bilgisi edinilmiştir.
• Başvurucu veri ihlaline sebep olan yetkisiz erişimin teyit edilmesinden sonra 30.11.2018 tarihinde bir basın açıklaması yayınlamıştır. Ayrıca söz konusu veri ihlalinden etkilenen ve geçerli bir e-posta adresi bulunan kullanıcılara da bilgilendirme e-postası göndermiştir.
• Veri ihlalinin tespitinden sonra Başvurucu 03.12.2018 tarihinde Kurul'a veri ihlali bildiriminde bulunmuştur. Bu bildirimde veri tabanının tutulduğu devralınan konaklama şirketinin ağına geçen 4 yıldan bu yana yetkisiz erişim olduğunu ve bu yetkisiz erişimin ilk olarak 08.09.2018 tarihinde tespit edildiğini bildirmiştir. Son olarak başvurucu, ihlalden etkilenen verilerin ad soyad, posta adresi, telefon numarası, pasaport numarası, otel bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı bilgileri içeren bilgiler olduğunu ifade etmiştir.
• Kurul tarafından 16.05.2019 tarihinde başvurucu hakkında 6698 Sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") madde 12/1 çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı gerekçesiyle 1.100.000 TL ve aynı Kanunun 12/5 maddesi uyarınca ihlalin en kısa sürede bildirilmesi yükümlülüğüne uyulmadığı gerekçesiyle 350.000 TL olmak üzere toplamda 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir. Bu karar 12.07.2019 tarihinde başvurucu muhatap gösterilmek suretiyle başvurucunun Türkiye'deki otellerini işleten dolaylı iştirakine tebliğ edilmiştir.
• Başvurucu 26.07.2019 tarihinde idari para cezasının kaldırılması talebiyle karara itiraz etmiştir. İtirazı inceleyen İstanbul Anadolu 1. Sulh Ceza Hakimliği "İdarece düzenlenen tutanak ile eylemin sabit olduğu, sabit bulunan eylemin oluşturduğu kabahat nedeni ile hakkında idari yaptırım kararı düzenlenen idari yaptırımın yasa ve usule uygun olduğu anlaşılmakla..." gerekçesi ile itirazın reddine karar vermiştir. Bu karara karşı itirazda bulunan Başvurucunun itirazı İstanbul Anadolu 2. Sulh Ceza Hakimliği tarafından yeniden incelenmiştir. Burada ise Hakimlik "itiraza konu İstanbul 1. Anadolu Sulh Ceza Hakimliği kararında usule ve yasaya aykırılık bulunmadığı, tarafından verilen kararda değiştirilecek bir husus bulunmadığı anlaşılmakla..." gerekçesiyle itirazın kesin olarak reddine karar vermiştir.

Başvurucunun AYM Başvurusunda İleri Sürdüğü İtirazları

Sulh Ceza Hakimliği tarafından itirazı kesin olarak reddedilen başvurucu olağan kanun yollarının tükenmiş olması sebebiyle AYM'ye bireysel başvuruda bulunmuştur. Başvurucu bu başvuruda hak ihlaline sebebiyet veren Kurul kararı ve Sulh Ceza Hakimliği kararının hukuka aykırılığına ilişkin olarak aşağıdaki iddiaları ileri sürmüştür:

• Başvurucu veri sorumlusunun veri ihlalinin yaşandığı konaklama şirketi olması gerektiğini, idari para cezasının muhatabının kendisi olmadığını ve bu hususun cezaların şahsiliği ilkesine aykırı olduğunu,
• 6698 sayılı Kanun uyarınca kabahat olarak düzenlenen fiilin bu kanun yürürlüğe girmeden önce gerçekleştiğini ve bu sebeple kabahat sayılan "veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması" fiili sebebiyle idari para cezası uygulanamayacağını; bu durumun kanunların geriye yürümezliği ilkesine aykırı olduğunu,
• İdari para cezasına ilişkin Kurul kararının usulüne uygun tebliğ edilmediğini,
• Kurul kararının ve itiraz mercileri tarafından verilen kararların yeterli gerekçe ve inceleme içermediğini,
• İhlalin tespit edildiği andan itibaren 6698 sayılı Kanun'da öngörülen tüm idari tedbirlerin alındığını, ihlal bildirimi konusunda Kanun'da açıkça belirlenmiş sınırlı bir sürenin olmadığını, bu sebeple verilen idari para cezasının suçta ve cezada kanunilik ilkesine aykırı olduğunu,
• En üst sınırdan idari para cezası uygulamasının orantılı olmadığını ve mülkiyet hakkının ihlal edildiğini ileri sürmüştür.

Anayasa Mahkemesi'nin Değerlendirmesi

Söz konusu kararda Mahkeme öncelikle kişisel verilerin korunması ve veri güvenliğinin korunması hususlarının birbirinden farklı olduğunu belirtmiştir. Buna göre kişisel verilerin korunması ile esasen kişisel verilerin işlenmesi sırasında temel hak ve özgürlüklerin korunması ve verilerin işlenmesi sırasındaki hukuki sınırlar ifade edilmektedir. Veri güvenliğinin korunmasında ise verilerin bizzat kendisinin korunması için alınması gereken teknik ve idari tedbirler anlaşılmaktadır. Veri güvenliği ile hukuka uygun bir biçimde işlenen ve depolanan kişisel verilere tesadüfen veya yetkisiz kişilerce ulaşılması, bu verilerin değiştirilmesi veya alenileştirilmesi gibi risklere karşı uygun güvenlik önlemleriyle bu verilerin korunması amaçlanmaktadır.

Mahkeme Kişisel Verilerin Korunması Hukukuna ilişkin temel kavramları açıkladıktan sonra Kanun'da düzenlenen ve yaptırım öngören fiillere değinmiştir. Bu kapsamda 6698 sayılı Kanun'a göre kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını ve veri güvenliğini sağlamak amacıyla uygun güvenlik düzeyinin temin edilmesi zorunlu hale getirilmiştir. Mahkeme, uygun güvenlik seviyesi değerlendirilirken iletilen, saklanan veya işlenen kişisel verilerin tesadüfen veya usulsüz olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulması gerektiğini ifade etmiştir. Bu noktada, güvenlik düzeyinin sağlanması için uygun tedbirlerin alınıp alınmadığına ilişkin takdirin, şirketin büyüklüğü, veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de gözetilerek idareye ait olduğunu ancak bu takdir yetkisinin sınırsız olmayacağını belirtmiştir.

Tüm süreci başvurucunun iddiaları ile birlikte değerlendiren Mahkeme, başvurucunun itirazları ve iddialarının yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olması ve başvurucunun itirazları hakkında Hâkimlik tarafından hiçbir değerlendirme yapılmaması sebebiyle Başvurucu aleyhine hükmedilen idari para cezasının mülkiyet hakkının ihlali sonucunu doğurduğuna karar vermiştir.

Sonuç

AYM'nin 12 Ekim 2023 tarihli kararı Kişisel Verilerin Korunması Kurulu tarafından verilen idari para cezasına ilişkin itiraz süreçlerinde gerekli usulî güvencelerin sağlanmaması sebebiyle başvurucunun mülkiyet hakkının ihlal edildiğine ilişkindir. Karar bir bütün olarak değerlendirildiğinde, Kurul tarafından uygulanan idari para cezasının en üst sınırdan verilmiş olması idarenin takdir yetkisinin sınırları ve verilen cezaların somut olayın şartları bakımından ne denli ölçülü olduğu hususu sorgulanmaktadır. Son olarak yargı sistemimizdeki genel bir sorun olan "kararın gerekçesinin eksik olması ya da hiç olmaması", "etkin soruşturma ve yeterli inceleme yapılmaması" gibi usule ilişkin hatalı uygulamalara değinilmiştir. En nihayetinde AYM gerekli usulî güvencelerin sağlanmamış olması gerekçesi ile mülkiyet hakkının ihlal edildiğine hükmetmiştir.

İlgili kararı uyarınca, idari para cezasını gerektiren kişi veri ihlallerinin değerlendirilmesinde temel ceza hukuku esaslarının ve usuli güvencelerin yeterli seviyede karşılanmamasının hak ihlaline yol açabileceğine ve bu bağlamda Sulh Ceza Hakimlikleri'nin verdiği kararların, daha önceki AYM kararlarında da belirtildiği üzere, yapısal bir sorunun parçası olduğuna işaret edilmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.