15.12.2023 tarihli Resmi Gazete’de yayımlanan Anayasa Mahkemesi’nin 2020/7518 başvuru numaralı ve 12.10.2023 tarihli Kararında (“Karar”), merkezi yurt dışında bulunan başvurucu holding şirketin devraldığı konaklama şirketinin veri tabanına yetkisiz üçüncü bir kişinin erişmesine ve bu kapsamda Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca verilen idari para cezasına ilişkinidir.

1. Kararın Önemli Noktaları

Karar’da yer alan; (i) Kurul tarafından verilen idari para cezasına yönelik itirazın sulh ceza hakimliğince etkili bir şekilde incelenmediği ve (ii) Kurul tarafından verilen idari para cezalarının mülkiyet hakkına müdahale teşkil etmesi nedeniyle, bu cezalar bakımından, Anayasa’da yer alan, ölçülülük ilkesine uygun hareket edilmesi gerektiği yönündeki ifadeler dikkat çekici niteliktedir. Zira, her ne kadar Kurul tarafından verilen idari para cezalarına karşı bir itiraz yolu mevcut olsa da, fiiliyatta, bu itiraz yoluna başvurulması halinde, sulh ceza hakimlerince konunun yeterli şekilde incelenmeden itirazların reddedilmesi, bir süredir gündemde olan bir mevzudur.

Somut olayda ise Anayasa Mahkemesi başvuruya konu uyuşmazlığı ilgili sulh ceza hakimliğine geri göndererek mülkiyet hakkı ihlalinin ortadan kaldırılması için yeniden yargılama yapılmasını talep etmiştir.

Öte yandan, Karar’da Kanun’un veri güvenliğine ilişkin hükümleri hakkında da bazı önemli tespitlerde bulunulmuştur:

  • Kişisel verilerin korunması ile veri güvenliğinin korunmasının birbirinden farklı konulardır. Kişisel verilerin korunması ile asıl olarak kişisel verilerin işlenmesi sırasında temel hak ve özgürlüklerin korunması ile verilerin işlenmesi sırasındaki hukuki sınırlar ifade edilirken veri güvenliğinin korunmasında ise verilerin bizzat kendisinin korunması için alınması gereken teknik ve idari tedbirler anlaşılmaktadır.
  • Kanun’a göre kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygungüvenlik düzeyinin temin edilmesi zorunludur.
  • Uygun güvenlik seviyesi değerlendirilirken iletilen, saklanan veya işlenen kişisel verilerin tesadüfen veya usulsüz olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur.
  • Uygun güvenlik düzeyinin belirlenmesinde şirketin büyüklüğü veya mali bilançosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.
  • Veri güvenliğinin sağlanması amacıyla hangi tedbirin uygulanacağının belirlenmesi hususunda idarelerin belli ölçüde takdir yetkisi bulunmaktadır. Ne var ki seçilen aracın gerekliliğine ilişkin olarak idarelerin sahip olduğu takdir yetkisi sınırsız değildir. Tercih edilen aracın müdahaleyi ulaşılmak istenen amaca nazaran bariz bir biçimde ağırlaştırması durumunda Anayasa Mahkemesince müdahalenin gerekli olmadığı sonucuna ulaşılması mümkündür.

2. Karara Konu Olayın Özeti

  • Başvurucu, veri tabanına yetkisiz bir üçüncü kişinin erişmesi suretiyle meydana gelen veri ihlaline ilişkin olarak 30/11/2018 tarihinde bir basın açıklaması yayımlamış ve ilgili kişilerin kendilerini veri ihlalinin sonuçlarından nasıl koruyabileceklerine dair tavsiyelerde bulunmuştur. Ayrıca, veri ihlalinden etkilenen misafirlerine konuyla ilişkin e-postalar göndermiştir.
  • Başvurucu, 3/12/2018 tarihinde Kişisel Verileri Koruma Kurumuna, Türk vatandaşlarını da ilgilendiren bahse konu veri ihlali hakkında veri ihlali bildiriminde bulunmuştur. Bu bildirimde ve daha sonra Kurul’un bilgi talebine istinaden verdiği cevapta başvurucu şirket özetle;
    • 500 milyon müşteri verisinin veri ihlali nedeniyle kopyalandığını,
    • Veri tabanının tutulduğu şirketin ağına Temmuz 2014’ten beri yetkisiz erişim olduğunu ve misafir veri tabanına yetkisiz erişimin 8/9/2018’de tespit edildiğini,
    • 500 milyon müşteriden yaklaşık 327 milyonunun kişisel verilerinin çalındığını,
    • İhlalden etkilenen verilerin ad/soyadı, posta adresi, telefon numarası, doğum tarihi, cinsiyeti, pasaport numarası, konaklama şirketinin hesap bilgileri, otel bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgiler olduğunu,
    • Yaklaşık 383 milyon müşteri kaydının olduğunu, bunlardan yaklaşık 1.24 milyonunda bölge/ülke adresi olarak Türkiye’nin belirtildiğini, bunun 383 milyon ayrı müşterinin veya 1.24 milyon Türk müşterinin olaya dâhil olduğu anlamına gelmediğini, çok kez aynı müşteri için birden fazla kayıt bulunduğunu,
    • Çalınan verilerin niteliği ve büyüklüğü karşısında verilerin tekilleştirilmesinin kolayca gerçekleştirilmediğini, geçen süre içinde saldırganın bu alandaki yetkinliği dikkate alındığında incelemenin ortaya çıkarabildiği bilgilerin sınırlı olduğunu,
    • Devralınan konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini

ifade ve beyan etmiştir.

  • Kurul tarafından 16/5/2019 tarihinde başvurucu hakkında Kanun’un 12. maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığından 1.100.000 TL ve Kanun’un 12. maddesinin (5) numaralı fıkrasında yer alan ihlalin en kısa sürede bildirilmesi yükümlülüğüne uymadığından 350.000 TL olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir. Bu karar 12/7/2019 tarihinde, başvurucu muhatap gösterilmek suretiyle başvurucunun Türkiye’deki otellerini işleten dolaylı iştirakine tebliğ edilmiştir.
  • Başvurucu verilen idari para cezasına karşı itiraz dilekçesinde;
    • Veri ihlalinin yaşandığı konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini, idari para cezalarının muhatabının kendisi olmadığını, dolayısıyla idari para cezasının cezaların şahsiliğine aykırı olduğunu,
    • Kabahat olduğu iddia edilen fiile, gerçekleştiği tarihten sonra yürürlüğe giren 6698 sayılı Kanun’un uygulanmasının kanunların geriye yürümezliği ilkesine aykırılık teşkil ettiğini,
    • İdari para cezasına ilişkin Kurul kararının usulüne uygun biçimde tebliğ edilmediğini, yeterli gerekçe içermediğini, derece mahkemesi tarafından yeterli ve gerekli inceleme yapılmaksızın itirazın reddine karar verildiğini,
    • Cevap dilekçesinin tebliğ edilmediğini,
    • Tüm teknik ve idari tedbirlerin alındığını, kısa bir sürede ihlalin tespit edilip bildirildiğini, 6698 sayılı Kanun’da bu yönde kısıtlayıcı bir süre bulunmadığını, bu hususun derece mahkemeleri tarafından gözetilmemesinin suçta ve cezada kanunilik ilkelerine aykırı olduğunu, en üst hadden idari para cezası uygulanmasının orantılı olmadığını ve mülkiyet hakkını ihlal ettiğini

ifade etmiştir.

3. Değerlendirme

Anayasa Mahkemesi değerlendirmesinde aşağıdaki hususları gözetmiştir:

  • Somut olayda Kanun kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması ile veri güvenliği ihlalini en kısa sürede bildirmemesi nedeniyle başvurucu hakkında idari para cezası uygulanmasının mülkiyet hakkına müdahale teşkil ettiği açıktır. Söz konusu müdahaleyle kişisel verilerin korunmasıyla ilgili düzenlemelerin ihlal edilmesinin önlenmesi amaçlanmaktadır. Bu durumda başvuru konusu olaydaki müdahalenin amacı dikkate alındığında müdahalenin mülkiyetin kamu yararına kullanılmasının kontrol edilmesine ilişkin kural çerçevesinde incelenmesi gerekir.
  • Mülkiyet hakkına yönelik müdahalenin Anayasa’ya uygun olabilmesi için müdahalenin kanuna dayanması, kamu yararı amacı taşıması ve ölçülülük ilkesi gözetilerek yapılması gerekmektedir.
  • Anayasa’nın 13. maddesinde hak ve özgürlüklerin ancak kanunla sınırlanabileceği temel bir ilke olarak benimsenmiştir. Buna göre mülkiyet hakkına yapılan müdahalelerde dikkate alınacak öncelikli ölçüt, müdahalenin kanuna dayalı olmasıdır. 
  • Başvuruya konu idari para cezası 6698 sayılı Kanun’un 12. maddesinin (1) ve (5) numaralı fıkralarına dayanılarak uygulanmıştır. Başvurucu; veri ihlalinin tespit edilip bildirilmesi yönünden 6698 sayılı Kanun’da kısıtlayıcı bir süre bulunmadığını, bu sebeple müdahalenin kanuni dayanağı olmadığını ileri sürmekteyse de değerlendirmenin “Ölçülülük”başlığı altında yapılması uygun görülmüştür.
  • Anayasa’nın 13. ve 35. maddeleri uyarınca mülkiyet hakkı ancak kamu yararı amacıyla sınırlandırılabilmektedir. Kamu yararı kavramı mülkiyet hakkının kamu yararının gerektirdiği durumlarda sınırlandırılması imkânı vermekle bir sınırlandırma amacı olmasının yanı sıra mülkiyet hakkının kamu yararı amacı dışında sınırlanamayacağını öngörerek ve bu anlamda bir sınırlama sınırı oluşturarak mülkiyet hakkını etkin bir şekilde korumaktadır. Veri sorumlularına veri güvenliğinin korunması için yükümlülükler getirilmesinin ve bu yükümlülüklerin ihlali hâlinde yaptırım uygulanmasının kamu yararını sağlamaya yönelik olduğu açıktır.
  • Anayasa’nın 13. maddesinde yer alan ölçülülük ilkesi elverişlilik,gereklilik ve orantılılık olmak üzere üç alt ilkeden oluşmaktadır. Mülkiyet hakkına yapılan müdahalenin Anayasa’ya uygun olabilmesi için amacı gerçekleştirmeye elverişli olmasının yanında gerekli olması da gerekir.
  • Kişisel verilerin korunması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun altı çizilmelidir. Kişisel verilerin korunması ile asıl olarak kişisel verilerin işlenmesi sırasında temel hak ve özgürlüklerin korunması ile verilerin işlenmesi sırasındaki hukuki sınırlar ifade edilirken veri güvenliğinin korunmasında ise verilerin bizzat kendisinin korunması için alınması gereken teknik ve idari tedbirler anlaşılmaktadır.
  • Kanun’a göre kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygungüvenlik düzeyinin temin edilmesi zorunludur. Uygun güvenlik seviyesi değerlendirilirken iletilen, saklanan veya işlenen kişisel verilerin tesadüfen veya usulsüz olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur. Uygun güvenlik düzeyinin belirlenmesinde şirketin büyüklüğü veya mali bilançosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.
  • Başvurucu, sulh ceza hâkimliğine itiraz ederken Kurul tarafından verilen kararın usule aykırı olarak tesis edildiğini, hukuken gerekli ve yeterli bir gerekçe içermediğini, idari para cezasının zaman bakımından uygulanabilir olmadığını, idari para cezalarının muhatabının kendisi olmadığını, dolayısıyla idari para cezasının cezada şahsiliğe aykırı olduğunu, kısa sürede bildirim yükümlülüğünü yerine getirdiğini, mevzuattaki süreye dair belirsizliğin aleyhine yorumlandığını, Kanunda süreyle ilgili bir belirleme olmadığını, sürenin ne olması gerektiğine ilişkin olarak Kurul tarafından verilen kararların somut olaydan sonra verildiğini, dolayısıyla somut olayda uygulanamayacağını, kişisel verilerin korunmasında kusur sorumluluğunun esas olduğunu, tüm tedbirleri almasına ve kusuru olmamasına rağmen ceza verilmesinin hukuka aykırı olduğunu, idari para cezasının ölçülülük ilkesine ve diğer cezaya konu edilen olaylar ile karşılaştırıldığında eşitlik ilkesine aykırı olduğunu belirtmiştir.
  • Başvurucunun bu iddialarının yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğu açıktır. Başvurucunun bu itirazları hakkında sulh ceza hakimliği tarafından hiçbir değerlendirme yapılmadığı görülmüştür. Bu sebeple mülkiyet hakkının korunmasına yönelik usule ilişkin güvencelerin somut olayda yerine getirilmediği ve başvurucunun mülkiyet hakkının ihlal edildiğine sonucuna varılmıştır.

Konu hakkında Anayasa Mahkemesi’ni kararının tam metnini aşağıda bulabilirsiniz:

https://kararlarbilgibankasi.anayasa.gov.tr/BB/2020/7518

Batuhan Şahmay
Ortak | [email protected]
Naz Ergörün
Avukat | [email protected]
Behiç Ateş Gülenç
Avukat | [email protected]