15 Aralık 2023 tarihli 32400 sayılı Resmi Gazete’de Anayasa Mahkemesi’nin 2020/7518 Başvuru Numaralı ve 12 Ekim 2023 Karar Tarihli kararı yayımlandı. İlgili kararda, Anayasa Mahkemesi, Kişisel Verileri Koruma Kurulu tarafından veri sorumlusuna uygulanan idari para cezasına ilişkin itirazların Sulh Ceza Hakimliği tarafından değerlendirme yapılmaksızın reddedilmesinin mülkiyet hakkının ihlali olduğuna karar verdi.

Anayasa Mahkemesi’ne bireysel başvuruda bulunan veri sorumlusu (“Başvurucu”), merkezi yurt dışında bulunan ve farklı ülkelerde oteller işleten bir veri sorumlusudur. 2016 yılında başka bir konaklama şirketini devralmış ve 19 Kasım 2018 tarihinde devraldığı konaklama şirketinin veri tabanına yetkisiz üçüncü bir kişinin eriştiğini öğrenmiş ve 3 Aralık 2018 tarihinde ise Kişisel Verileri Koruma Kurumu’na veri ihlali bildiriminde bulunmuştur. 

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 15 Mayıs 2019 tarihinde, veri sorumlusu Başvurucu hakkında, 6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) madde 12 uyarıca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirler almaması sebebi ile 1.100,000 TL ve ihlalin en kısa sürede bildirilmesi yükümlülüğüne uyulmamasından kaynaklı olarak 350.000 TL olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar vermiştir.

Başvurucu ise karar verilen idari para cezasının kaldırılması talebiyle İstanbul Anadolu 1.Sulh Ceza Hakimliği’ne başvurmuş ancak başvurusu reddedilmiştir. Başvurucu, her ne kadar karara itiraz etse de Anadolu 2.Sulh Ceza Hakimliği’nin kararıyla talebi kesin olarak reddedilmiştir. Başvurucu, itiraz talebinin de reddedilmesi ile birlikte süresi içerisinde Anayasa Mahkemesi’ne (“AYM”) veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kurul tarağından uygulanan idari para cezasının mülkiyet hakkını ihlal edildiği iddiası ile bireysel başvuruda bulunmuştur.

Başvurucu, AYM’ye yaptığı bireysel başvuruda:

  • Veri ihlalinin yaşandığı konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiği, idari para cezalarının muhatabının kendisi olmadığı ve idari para cezasının cezaların şahsiliğine aykırı olduğu,
  • Kabahat olduğu iddia edilen fiile, gerçekleştiği tarihten sonra yürürlüğe giren KVKK uygulanmasının kanunların geriye yürümezliği ilkesine aykırılık teşkil ettiği,
  • İdari para cezasına ilişkin Kurul kararının usulüne uygun bir biçimde tebliğ edilmediği, yeterli gerekçe içermediği, derece mahkemesi tarafından yeterli ve gerekli inceleme yapılmaksızın itirazın reddedildiği,
  • Tüm teknik ve idari tedbirlerin alındığını, kısa bir sürede ihlalin tespit edilip bildirildiğini, KVKK’de bu yönde kısıtlayıcı bir süre bulunmadığını, bu hususu derece mahkemeleri tarafından gözetilmemesinin suçta ve cezada kanunilik ilkelerine aykırı olduğunu, en üst hadden idari para cezasın uygulamasının orantılı olmadığını ve mülkiyet hakkını ihlal ettiğini ifade etmiştir.

AYM’nin 2020/7518 Başvuru Numaralı ve 12 Ekim 2023 Karar Tarihli Karar’da (“Karar”) dikkat çekici hususları şu şekilde sıralayabiliriz:

  • İdari para cezası uygulamasıyla Başvurucu’nun mal varlığında eksilmeye yol açıldığı ve bu paranın Başvurucu hakkında mülk teşkil ettiği kabul edilmiştir. Bu doğrultuda, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması ile veri güvenliği ihlalini en kısa ürede bildirmemesi nedeniyle Başvurucu hakkında idari para cezası uygulanmasının mülkiyet hakkına müdahale olduğu belirtilmiştir.

  • AYM, veri ihlalinin tespit edilip bildirilmesi yönünden KVKK’de kısıtlayıcı bir süre bulunmadığını, bu sebeple müdahalenin kanuni dayanağı olmadığını ileri sürülmüşse de değerlendirmeyi “ölçülük” ilkesi kapsamında yapılmasına karar vermiştir.

  • Mülkiyet hakkının kamu yararı amacıyla sınırlandırılabileceği belirtilmiştir. Mülkiyet hakkına yapılan müdahalenin Anayasa’ya uygun olabilmesi için amacı gerçekleştirmeye elverişli ve gerekli olmasının altı çizilmiştir. Müdahale oluşturulacak aracın seçiminde kamu otoritelerinin belli ölçüde takdir yetkisi olduğu ancak alternatif aracın bulunmadığı veya mevcut alternatiflerin öngörülen meşru amaca ulaşılması bakımından etkisi olmadığı ya da daha az etkili olduğu durumlarda kamu makamlarının araç seçimi hususundaki tercih yetkisinin gereklilik kriterini sağlamadığına karar verilebilmesi için çok güçlü nedenlerinin bulunması gerektiği belirtilmiştir. Bu doğrultuda, derece mahkemelerinin kararlarında konu ile ilgili ve yeterli gerekçe bulunması gerektiği ifade edilmiştir.

  • Kişisel verilerin koruması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun altı çizilmiştir. Kişisel verilerin korunması ile temel olarak kişisel verilerin işlenmesi esnasında temel hak ve özgürlüklerin korunması ile verilerin işlenmesi sırasındaki hukuki sınırlara karşılık geldiği; veri güvenliğinin korunmasında ise verilerin bizzat kendisinin korunması için alınması gereken teknik ve idari tedbirleri kapsadığı belirtilmiştir.

  • Kişisel verilerin korunması amacıyla uygun güvenlik düzeyini temine etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmak zorundadır. Uygunluk güvenlik seviyesi değerlendirilirken iletilen, saklanan veya işlenen kişisel verilerin tesadüfen veya usulsüz olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim de olmak üzere işleme faaliyetinin yol açtığı riskler gözü önünde bulundurmalıdır. Ayrıca, uygun güvenlik düzeyinin belirlenmesinde şirketin büyüklüğü veya mali bilançosunun yanı sıra ver sorumlusunun yaptığı işin ve korunan kişisel verinin niteliğinin de önemli olduğu vurgulanmıştır. Bu doğrultuda, veri sorumlusu kendi bünyesinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
  •  

    Veri güvenliğinin sağlanması amacıyla hangi tedbirlerin uygulanacağının belirlenmesinde idarelerin belli ölçüde takdir yetkisi olduğu, ancak bu takdir yetkisinin sınırsız olmadığı belirtilmiştir. Özellikle, tercih edilen aracın müdahaleyi ulaşılmak istenen amaca nazaran bariz bir şekilde ağırlaştırması halinde, müdahalenin gerekli olmadığı sonucuna ulaşılmaktadır.

  • AYM tarafından, veri sorumlusu olarak veri ihlalinin yaşandığı devralınanın konaklama şirketinin olduğu sonucuna varılmıştır.
  • AYM, Başvurucu’nun Sulh Ceza Hakimliği’ne itiraz ederken Kurul tarafından verilen karara ilişkin sunduğu iddiaların yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğunu kabul etmiş ve Sulh Ceza Hakimliği’nin hiçbir şekilde bu iddiaları incelememesinin mülkiyet hakkının korunmasına yönelik usule ilişkin güvencelerin yerine getirilmediğini ve mülkiyet hakkının ihlal ettiğine karar vermiştir. 

Karar’a bu linkten ulaşabilirsiniz.