Kişisel Verileri Koruma Kurulu’nun Verdiği İdari Para Cezasının Anayasa Mahkemesince İptal Edilmesi

uluslararası biyometrik veri standarları ıso ISOIEC 247452022 ISO 2247452022 marka hukukunda gerçek hak sahipliği marka hukuku KVKK’nın Verdiği İdari Para Cezasının Mülkiyet Hakkı Niteliği Taşıdığı Belirtildi
Okuma Süresi: 3 Dakika

KVKK’nın Verdiği İdari Para Cezasının Mülkiyet Hakkı Niteliği Taşıdığı Belirtildi

Giriş

Bilindiği üzere Kişisel Verileri Koruma Kanunu, kişisel verilerin öneminin hızla artmasına binaen ihtiyaç üzerine 6698 sayılı Kanun ile yürürlüğe girmiştir. Bu bağlamda kanunun amacı birinci maddede belirtildiği üzere ”kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” şeklinde belirtilmiştir. Dolayısı ile Kanun’un amacı ve hedefi kişilerin özel hayatının gizliliğini ve temel hak ve hürriyetlerini korumaya yöneliktir.

Diğer taraftan bu konuya anayasal bağlamda bakacak olursak Anayasa’nın ilgili maddesinde ”Herkes, aile hayatına ve özel hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” şeklinde cümle eklenerek kişisel veriler gizlilik kapsamına alınarak anayasal güvenceye kavuşturulmuştur.

Bir diğer konu ise veri güvenliğinin kimin tarafından sağlanması gerektiği hususu önem arz etmektedir. Kişisel Verileri Koruma Kanunun Veri güvenliğine ilişkin maddesinde  ”Veri sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almak zorundadır.” denilmekle veri güvenliğinin sağlanması açısından veri sorumlusuna işaret etmektedir. Dolayısı ile başvurucunun ilgili sızıntı tarihinde yetkili veri sorumlusu olmadığı açıkça görülecektir. Buradan yola çıkarak bir başka dikkat çekilmesi gereken konu ise  ilgili cezanın ceza kanunu açısında cezaların şahsiliği ilkesine aykırı olduğu da  söylenebilir.

Diğer taraftan veri güvenliği ve veri güvenliğinden sorumluluk açısından Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin 2. Maddesinde ”kişisel veriler kimliği belirli yahut belirlenebilir bir gerçek kişi hakkındaki tüm bilgileri ifade eder ”denmektedir. Aynı sözleşmesinin veri güvenli başlıklı 7. Maddesinde  ”otomatik dosyalara kaydedilen kişisel verileri korumak için , bunların, bunların kaza sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya bunların izinsiz olarak elde edilmesine değiştirilmesine veya dağıtılmasına karşı uygun güvenlik önlemleri alınır.” şeklindedir.

Tüm bu bilgilerden de anlaşılacağı üzere veri güvenliğini korumak veri sorumlusunun uhdesindedir. Fakat veri güvenliğini korumada belirlenmiş maktu yol ve yöntemler mevcut değildir. Veri sorumlusu ilgili veriyi korumaya yönelik gerekli tedbirleri durumun gerektirdiği şart ve koşullara göre kendisi belirleyebilir.

Sonuç ve İnceleme

Buna göre  Anayasa Mahkemesi’ ne yapılan başvuruya ve mahkemenin  kararına bakacak olursak;

Anayasa Mahkemesinin önüne gelen başvuruda başvurucu veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kişisel Verileri Koruma Kurulu tarafında uygulanan idari para cezasının mülkiyet hakkının ihlaline yol açtığından bahisle AYM’ye başvurmuştur.

Başvurucu yerel mahkemede gerekli itirazları yapmış   ve İstanbul Anadolu Sulh Ceza Hakimliği tüm itirazları reddetmiş ve başvurucunun aleyhine verilen 1.450.000 tl  idari para cezası kesinleşmiştir. Bunun üzerine başvurucu Anayasa Mahkemesine yaptığı bireysel başvuru üzerine Anayasa Mahkemesi hem 6698 sayılı kanun açısından hem uluslararası Veri Koruma kanunları açısında hem de Anayasa açısında kapsamlı bir değerlendirme yapmıştır. Söz konusu değerlendirme başvurucunun da iddiasında belirttiği gibi mülkiyet hakkının ihlaline, yapılan tebligatların usulsüzlüğüne, derece mahkemeleri tarafında yeterli değerlendirme yapılmaması gibi konulara yöneliktir.

Somut olayda başvurucu veri ihlalinin sorumlusu olarak kendilerinin değil veri ihlalinin yaşandığı devralınan konaklama şirketinin kabul edilmesi gerektiğini, gerekli sürede bildirim yükümlülüğünü yerine getirdiğini cezanın muhatabının kendileri olmadığını beyan etmiştir. beyan etmiştir. AYM ise yaptığı kapsamlı incelemede hem kanun açısında veri sorumlusuna, hem, mülkiyet hakkının içeriğine ve Anayasal güvence altına alındığına değinmiştir.

Önemle belirtmek gerekir ki Anayasa Mahkemesi; ”kişisel verilerin korunması ile asıl olarak kişisel verilerin işlenmesi sırasında   temel hak ve özgürlüklerin  korunması ile verilerin işlenmesi sırasındaki hukuki sınırlar ifade edilirken  veri güvenliğinin korunmasında ise bizzat verilerin kendisinin korunması için gereken teknik ve idari tedbirlerin alınması gerekmektedir.” diyerek  kişisel verilerin korunması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun da altını çizmiştir.

Sonuç itibariyle AYM söz konusu başvuruyu idari para cezasının muhatabının başvurucu  olmadığına mülkiyet hakkının  varlığına, söz konusu hakkın bir ihlal oluşturduğuna   değinerek başvurunun kabulüne ve  başvurucunun mülkiyet hakkının ihlal edildiğini  hükmetmiştir.

İlgili AYM Kararı için: https://www.resmigazete.gov.tr/eskiler/2023/12/20231215-6.pdf

Tüm karar incelemelerimizi bağlantıdan okuyabilirsiniz.

Hukuk ve Bilişim Dergisi’nin yeni sayısını okumak için bağlantıya tıklayınız.