Ersan Şen Hukuk ve Danışmanlık - KVKK Tarafından Verilen İdari Para Cezaları ve Öngörülebilirliği

Prof. Dr. Ersan Şen

Berra Berçik

KVKK Tarafından Verilen İdari Para Cezaları ve Öngörülebilirliği
12.04.2022 / Prof. Dr. Ersan Şen, Stj. Av. Berra Berçik

I. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu 18. maddesinde 4 bent olarak düzenlenen kabahat fiillerinin karşılığında verilen idari para cezası alt ve üst sınırları, 2022 yılı itibariyle; aydınlatma yükümlülüğünün yerine getirilmemesi durumunda 13.391-TL ile 267.883-TL, veri güvenliğine ilişkin yükümlülüğün yerine getirilmemesi durumunda 40.179-TL ile 2.678.863-TL, Kişisel Verileri Koruma Kurulu'nun kararlarının yerine getirilmemesi durumunda 66.965-TL ile 2.678.883-TL ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda 53.572-TL ile 2.678.863-TL aralığında belirlenmiştir[1].

6698 sayılı KVKK hükümleri, 5326 sayılı Kabahatler Kanunu kapsamında değerlendirilmektedir. Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına karşı, ceza kararının tebliğ tarihinden itibaren 15 gün içinde sulh ceza hakimliklerine iptal amaçlı başvurulabilmektedir. Sulh ceza hakimliğince verilen karara karşı, kararın tebliğinden itibaren 7 gün içinde itiraz edilebilir. İtiraz mercii sulh ceza hakimliğinin verdiği kararlar kesindir.

Takdir yetkisi bulunan hakim; gerekçesini göstererek, kanuni sınırları içinde cezayı alt sınıra kadar indirebileceği gibi, üst sınırdan tatbik edilen cezayı uygun bulabilir. Ancak bu takdir yetkisi ve denetim, keyfi ve sınırsız değildir.

Kesin kararlara karşı, kanun yararına bozma yoluyla Yargıtay’a veya bireysel başvuru yoluyla Anayasa Mahkemesi’ne gidilebilir. Kanun yararına bozma yolu süresiz, Anayasa Mahkemesi’ne bireysel başvuru hakkının kullanılması ise son derece sınırlı olup, kesin kararın öğrenilmesinden itibaren 30 gündür. Uygulamada her ikisine de başvurulduğu görülmekte, öğrenildiğinde ise Anayasa Mahkemesi tarafından aynı anda bir başka olağanüstü kanun yoluna başvurulduğu gerekçesiyle kabul edilemezlik kararı verildiği görülebilmektedir.

Yeri gelmişken; Anayasa Mahkemesi’nin eleştiriye açık en önemli iki sorunu, 30 günlük başvuru süresinin kısalığının yanında, başvuru süresinin başlangıcının başvurucunun aleyhine değerlendirilmesi ile bir başka olağanüstü kanun yoluna başvurulmasının, zaten süresi kısa ve tükenir olan Anayasa Mahkemesi’ne başvuru hakkını engellemesinden kaynaklanmaktadır.

Konumuza dönecek olursak;

Kurul tarafından verilen idari para cezalarının alt ve üst sınırlarının aralığı geniş olup, ceza miktarı belirlenirken, Kabahatler Kanunu m.17/2 uyarınca kabahatin haksızlık içeriği ile failin kusuru ve iktisadi durumu birlikte gözönünde bulundurulmaktadır. İdari para cezalarının alt ve üst sınırlarının aralıklarının geniş tutulması ile her ne kadar caydırıcılık ve bireyselleştirme amaçlansa da, bu cezaların nasıl tayin edildiği hakkında herhangi bir şeffaflık bulunmamakta ve keyfiliğe yol açacak uygulamalar gündeme gelmektedir. Anayasa m.2’de düzenlenen hukuk devletinin temel ilkelerinden belirlilik ilkesi; kanuni düzenlemelerin, hem kişiler ve hem de idare yönünden herhangi bir tereddüde ve şüpheye yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olmasını ve bunlarla birlikte kamu otoritelerinin keyfi uygulamalarına karşı koruyucu tedbirlerin alınmasını öngörmektedir.

II. GDPR ve KVKK Yönünden

İdari para cezaları Avrupa Birliği’nde genellikle şirketlerin global cirolarının belirli bir yüzdesi tutarında iken, Türkiye Cumhuriyeti’nde uygulanan cezalar her bir ihlal için taban ve tavan sınırlar içerisinde belirlenmektedir. GDPR[2] (Genel Veri Koruma Kuralları) m.83/2, idari para ceza miktarının belirlenmesine dair esas alınması gereken faktörler belirlemiştir. Bu maddeye göre; “i) İlgili işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve süresinin yanı sıra etkilenen veri sahibi sayıısı ve veri sahiplerinin yaşadığı zarar düzeyi, ii) İhlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması, iii) Veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem, iv) 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi, v) Kontrolör veya işleyicinin geçmişte konuyla ilgili ihlaller, vi) İhlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliği derecesi, vii) İhlalden etkilenen kişisel veri kategoriler, viii) Kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak üzere, denetim makamının ihlalden haberdar edilme şekli, ix) 58(2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum, x) 40. madde uyarınca onaylı davranış kurallarına veya 42. madde uyarınca onaylı belgelendirme mekanizmalarına uygun hareket edilmesi, xi) İhlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler” dikkate alınacaktır.

Nitekim bu doğrultuda Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens) idari para cezaları bakımından ilk politika[3] olması özelliğini haiz olarak bu cezaların şeffaf ve öngörülebilir olabilmesi amacıyla dört aşama belirlemiş, Alman Veri Koruma Otoritesi (Datenschutzbehörde) de yine Ekim 2019’da bu amaçla yalnızca ihlalin niteliğini değil ihlali gerçekleştiren şirketin büyüklüğünü de gözönünde bulundurarak beş aşama belirlemiştir.

Alman Veri Koruma Otoritesi i) şirketleri dört gruba[4] ayırmayı, ii) Ortalama yıllık ciroları belirlemeyi, iii) Belirlenen yıllık ciro 360 güne bölünerek “günlük oranı” hesaplamayı iv) GDPR kapsamında veri ihlali gerçekleşen vakanın niteliği ve verdiği zarar kapsamında ihlali sınıflandırmayı[5] ve v) Veri ihlal suçunun mahiyeti ve bu kapsamda etkilenen veri konusu ve sonuçlar GDPR kapsamında değerlendirerek para cezasını yasadışı işlemenin niteliği, kapsamı ve amacı, işleme katılan veri konusu sayısı, veri konularının maruz kaldığı zararın derecesi ve benzeri durumlara göre idari para cezasını belirlemeyi öngörmektedir[6].

Yukarıda yer alan örneklerden görüldüğü üzere Kurumlar; idari para cezalarının belirlenmesinde GDPR’da düzenlenen kriterleri esas almakla birlikte bununla yetinmeyerek, öngörülebilirliği etkinleştirmek adına çeşitli politikalar izlemektedir.

KVKK hükümlerinde ise; idari para cezalarının belirlenmesine dair Kabahatler Kanunu’na atıf yapılmakla yetinilmiş, bu idari para cezalarının hangi kriterler değerlendirilerek verildiği açıklığa kavuşturulmamıştır. Nitekim Kurulun incelemeleri sonucunda tayin ettiği idari para cezalarında esas aldığı kriterlerde netlik, belirlilik ve öngörülebilirlik ile bireyselleştirme olmadığı gibi, sulh ceza hakimlikleri tarafından yapılan hukukilik denetimlerinde de yetersizlik olduğu, idari suçun tespiti ile cezasının tayininde yeknesaklığın sağlanamadığı, işin teknik boyutlarının, “kanunilik” ilkesi kısmının ve ceza ağırlığının somut olaya uygunluğunun tespitinde isabetli tespit ve sonuçlara varılmadığı, özellikle de itiraz mercii sıfatıyla yapılan incelemelerin yeterli gerekçeden yoksun olduğu görülmektedir.

Belirtilmelidir ki, 30 Nisan 2021 tarihli ve 31470 sayılı Resmi Gazete’de yayımlanan İnsan Hakları Eylem Planı ve Uygulama Takvimi[7] 6.7.a bölümünde KVKK’nın, AB standartları ile uyumlu hale getirileceği ve 6.7.b bölümünde bu idari para cezası kararlarına karşı sulh ceza hakimlikleri yerine idari yargıya başvuru imkanı sağlanacağı açıklanmıştır.

III. İdari Para Cezası Muhatabının Hakları Yönünden

Yukarıda yer verilen bilgiler ışığında; idari para cezası, gerek İnsan Hakları Avrupa Mahkemesi (İHAM) ve gerekse Anayasa Mahkemesi (AYM) kararlarına göre ceza verilen kişinin mülkiyet hakkına müdahale teşkil etmektedir. Bu müdahalenin ihlal oluşturmaması için; Anayasa m.13 uyarınca ölçülülük ilkesi gözetilmeli, bu ilke doğrultusunda da müdahalenin elverişlilik, gereklilik ve orantılılık kriterlerinin sağlanması gereklidir. İdari para cezalarının ulaşılmak istenen amacı gerçekleştirmeye elverişli olduğu ve ulaşılmak istenen amaç bakımından gerekli olduğu söylenebilirse de, müdahale ile ulaşılması düşünülen amaç arasında makul bir dengenin gözetildiğini her zaman söyleyebilmek zordur. Nitekim idari para cezalarının öngörülememesi ve yüksek miktarda olması, hakkına müdahale edilen kişiye/kuruma ağır külfet yüklemektedir. Bu çerçevede; idari para cezası işlemine karşı iddia ve savunmaların etkin bir şekilde sunma imkanı verilmeli, müdahalenin niteliği ile hakkına müdahale edilen ile kamu otoritelerinin tutum ve davranışları değerlendirilerek yüklenen külfetin ağırlığı gözönünde bulundurulmalıdır.

AYM 15.02.2017 tarihli ve 2014/13966 başvuru numaralı Arif Güven kararında; mülkiyet hakkına yapılan müdahale ve sınırlamanın, belirlenen meşru amaç doğrultusunda kanuna dayalı ölçülülük ilkesi ve kamu yararı ile bireyin hakları arasında olması gereken adil dengenin gözetilmesi gerektiğini belirtmiş, başvurucuya, uygulanan tedbirlere karşı savunma ve itirazlarını etkin biçimde ortaya koyabilme olanağının tanınmasını ve bunun için de sözkonusu iddia ve savunmaların makul biçimde karşılanması gerektiğini vurgulamıştır.

AYM 20.06.2019 tarihli ve 2015/17659 başvuru numaralı Mohamed Kashet ve Diğerleri kararında ise; idari para cezaları verilmesi şeklindeki mülkiyet haklarına yapılan müdahalenin, içerdiği kamu yararı amacı ve kamu makamlarının bu alandaki geniş takdir yetkisine rağmen başvuruculara aşırı ve olağan dışı bir külfet yüklediği kanaatine ulaşmıştır.

“Belirlilik” ilkesi uyarınca; Kişisel Verileri Koruma Kurulu idari para cezası verirken hangi kriterler uyarınca alt ya da üst sınırdan bu işlemi uyguladığını ve yine sulh ceza hakimliği de önüne gelen iptal başvurusu veya itirazın hangi kriterleri gözönünde bulundurarak değerlendirdiğini, kararlarında gerekçeli olarak göstermelidir. Muhatap, hangi eyleminin neticeyi oluşturduğunu ve bunların kamu otoritelerinin hangi müdahale yetkisi kapsamında olduğunu öngörebilmelidir.

AYM 14.09.2021 tarihli ve 2020/35444 başvuru numaralı Necla Yaşar kararında; itiraz merci Sulh Ceza Hakimliği’nin, ret gerekçesinde başvurucu tarafından ilk defa itiraz kanun yolunda ileri sürülen iddiaların hangilerinin dikkate alındığını ya da alınmadığını gösteren ifadeleri özenle seçmediğini ve davanın sonucuna etkili olabilecek iddiaları incelemediğini belirterek başvurucunun gerekçeli karar hakkının ihlal edildiği sonucuna varmıştır.

Bu cezaların öngörülememesi, aynı durumdaki kişi veya kurumlara farklı cezalar verilebilmesinin önünü açmaktadır. Yakın zaman aralığıyla verilen Kurul kararlarında, ihlale sebebiyet veren olayların benzer olmasına rağmen para cezalarının farklı olduğu görülmektedir[8].

AYM 01.02.2018 tarihli ve 2015/6728 başvuru numaralı Reis Otomotiv ve Ticaret Sanayi A.Ş. kararında; aynı sektörde faaliyet gösteren ve yalnızca bir kat vergi ziyaı cezası uygulanan diğer şirketlere uzlaşma ve benzeri imkan verildiğini, başvurucuya ise üç kat vergi ziyaı cezası uygulandığını belirterek mülkiyet hakkı bağlamında ayırımcılık yasağının ihlal edildiği sonucuna ulaşmıştır.

IV. Sonuç

Kanunda belirtilen kabahatlere uygulanacak idari para cezalarının makas aralığının geniş tutulması ile nihai olarak caydırıcılık hedeflense de, olası ihlallerin önlenmesi için Kişisel Verileri Koruma Kurulu tarafından idari para cezaları belirlenirken hangi faktörlerin etkili olacağı ayrıca düzenlenmelidir.

Belirtmeliyiz ki; idari para cezalarını denetleyecek bir mekanizma oluşturulması, şeffaflığı sağlamak amacıyla faydalı olacaktır. Nitekim sulh ceza hakimliklerine iptal veya red kararlarına itiraz yoluyla yapılan başvurularda yapılan incelemeler yeterli gerekçeleri barındırmamakta, ihlalin önlenmesi yolunda gereken güvenceleri sağlamamaktadır.

Açıklanan tüm hususlar birlikte değerlendirildiğinde; idari para cezalarının makas aralığının çok geniş olduğu ve öngörülebilir olmadığı, bu itibarla sözkonusu kararların bireysel başvuru yoluyla AYM önüne gitmesinin kaçınılmaz olduğu ifade edilmelidir.

 


[2] General Data Protection Regulation: Avrupa Birliği vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş düzenlemedir.

[4] Çok küçük şirketler, küçük şirketler, orta büyüklükte şirketler ve büyük şirketler olarak dört gruba ayırmaktadır.

[5] Hafif, orta, şiddetli ve çok şiddetli ihlal olarak dört gruba ayırmaktadır.