1. Giriş
Dijital çağın hızla gelişmesiyle birlikte, kişisel verilerin işlenmesi ve korunması konuları küresel ölçekte giderek daha büyük bir önem kazanmıştır. Bu durum, devletleri veri güvenliğini sağlamak amacıyla çeşitli hukuki düzenlemeler yapmaya ve idari denetim mekanizmaları oluşturmaya yöneltmiştir. Bu kapsamda, birçok ülke bağımsız veri koruma otoriteleri tesis etmiş ve bireylerin kişisel verilerine yönelik ihlalleri önlemek için çeşitli yaptırım mekanizmaları geliştirmiştir.
Türkiye’de de kişisel verilerin korunmasını sağlamak ve veri işleme süreçlerini denetlemek amacıyla Kişisel Verileri Koruma Kurumu (“Kurum”) oluşturulmuş olup Kurum’un karar organı Kişisel Verileri Koruma Kurulu (“Kurul”), veri işleme faaliyetlerini inceleyerek hukuka aykırılıklar tespit ettiğinde idari yaptırımlar uygulama yetkisine sahiptir. Kurul tarafından alınan kararlar, çoğu zaman ilgili kişiler veya veri sorumluları açısından ağır idari para cezaları ve diğer yaptırımlarla sonuçlanabilmektedir.
İşbu makalede, Kurul işlemlerine değinildikten sonra Kurul kararlarının hukuki niteliği ele alınacak olup Kurul tarafından tanzim edilen kararlara karşı başvurulabilecek yargı yolları ile inceleme usullerine yer verilecektir.
2. Kurul İşlemlerinin Çeşitleri
Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) düzenlenmektedir. Kurum, KVKK ile kurulmuş bağımsız ve idari bir otorite olup kişisel verilerin korunması alanında denetim yapmak, bilinçlendirme faaliyetlerinde bulunmak ve mevzuatın uygulanmasını sağlamak amacıyla faaliyet göstermektedir. Kurul ise, Kurum’un karar organıdır. Kurul, Kurum’un aldığı aksiyonların ve yürüttüğü soruşturmaların nihai kararlarını veren yetkili birim olup bağımsız olarak hareket ederek icrai kararlar almaktadır. Bu kapsamda Kurul, hem genel çerçeveyi belirleyen genel düzenleyici işlemler hem de bireysel olaylar üzerine verilen birel işlemler tesis etmektedir.
Genel düzenleyici işlemler, kişisel veri işleme faaliyetlerini genel anlamda düzenleyerek tüm veri sorumlularına yol gösterici ve bağlayıcı nitelikte olurken, birel işlemler belirli kişi, kurum veya kuruluşlara yönelik olarak alınan kararları ifade eder. Kurul’un bu işlemleri, rehberlik edici, denetleyici ve yaptırım uygulayıcı bir mekanizma olarak kişisel verilerin korunması hukukunun etkin bir şekilde uygulanmasını sağlamaktadır.
2.1. Genel Düzenleyici İşlemler
KVKK’nın 22. maddesinin 1. fıkrasının (e), (f) ve (g) bentleri uyarınca Kurul’a genel düzenleyici işlem yapma yetkisi tanınmıştır. Bu kapsamda Kurul, veri koruma alanında genel kurallar koyma ve politika belirleme yetkisine de sahiptir. Bir diğer ifade ile Kurul, genel düzenleyici işlemler yoluyla tüm veri sorumlularını bağlayıcı nitelikte olan ilke kararları, yönetmelik ve rehber niteliğinde düzenlemeler yapmaktadır. Bu işlemler, kişisel verilerin işlenme şartları, veri güvenliği tedbirleri, özel nitelikli kişisel verilerin işlenmesi, çerez politikaları ve yurt dışına veri aktarımı gibi geniş kapsamlı konuları içermektedir.
2.2. Birel İşlemler
Kurul, sadece genel düzenleyici kararlar almakla kalmamakta aynı zamanda belirli bir kişiye yönelen, özel durumlara ilişkin, somut ve münferit olaylar ve başvurular doğrultusunda birel işlemler tesis etmektedir. KVKK’nın 22. maddesinin 1. fıkrasının (b), (c) ve (ğ) bentleri uyarınca Kurul’a birel işlemler tesis etme yetkisi tanınmıştır. Birel işlem türleri ise genel anlamda idari para cezaları, faaliyet durdurma ve kısıtlama kararları, veri ihlali kararları, şikâyet üzerine tesis edilen kararlar, Kurul kararına uyulmaması halinde ek idari yaptırımlar olarak özetlenebilmektedir.
3. Kurul Kararlarının Hukuki Niteliği
Kurul tarafından tesis edilen işlemlerin türlerine değinildikten sonra ancak Kurulu kararlarına karşı yargı yoluna değinilmeden önce, kararların niteliği ile ilgili bir ayrım yapmak gerekmektedir. Zira, Kurul karalarına karşı başvurulacak yargı yolunun tespitinde kararların hukuki niteliği de önem arz etmektedir.
Daha önceki başlık altında belirtildiği üzere Kurum, kendisine özel teknik ve idari düzenlemeler ihdas etme yetkisi tanınan bağımsız idari otorite niteliğinde bir idari kurum olup işbu Kurum’un karar organı ise Kurul’dur. Bir işlemin idari işlem olarak kabul edilebilmesi için idare tarafından tesis edilmesi, kamu gücüne dayanması, hukuki sonuç doğurması ve hukuka uygunluk denetimine tabi olması gerekmektedir. Bu kapsamda, Kurul tarafından tesis edilen işlemlerin kamu gücüne dayalı olarak tesis edildiği ve hukuki sonuç doğurduğu göz önüne alındığında işbu işlemlerin idari işlem niteliği taşıdığı aşikardır.
4. Kurul Kararlarına Karşı Yargı Yolu
İdarenin, kanunların kendisine tanıdığı yetkileri hukuka aykırı şekilde kullanmasının veya bu yetkileri aşarak işlem tesis etmesinin önüne geçmek amacıyla idari işlemler, hukuk devleti ilkesi gereğince yargısal denetime tabidir. Böylece, idarenin keyfi uygulamalarının engellenmesi ve hukuka uygunluğunun sağlanması amaçlanmaktadır. Bir önceki başlık altında belirtildiği üzere, Kurul tarafından tesis edilen işlemler idari işlem niteliğindedir. Bu nedenle, Kurul kararları da yargısal denetime tabi olup Kurul kararlarına karşı hukuki yollara başvurulabilecektir.
4.1. Kararlara Karşı Başvuru ve Davada Usul
4.1.1 İdari Para Cezaları Yönünden
KVKK’nın “Kabahatler” başlıklı 18. maddesinde aydınlatma yükümlülüğünü yerine getirmeyenler, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler ve bildirim yükümlülüğünü yerine getirmeyenler hakkında idari para cezası tanzim edileceği düzenlenmiş olup ilgili maddenin 3. fıkrasında Kurul tarafından tanzim edilen idari para cezalarına karşı idare mahkemelerinde dava açılacağı düzenlenmiştir.
Bu kapsamda, aleyhine idari para cezası tesis edilen kişiler yetkili idare mahkemesinde iptal davası açabilirler. KVKK’da idari para cezasına karşı açılacak davalar için özel bir süre düzenlenmediğinden 2577 sayılı İdari Yargılama Usulü Kanunu’nun (“İYUK”) 7. maddesi uyarınca dava açma süresi 60 gündür. Yetkili mahkemenin tespiti de yine İYUK uyarınca yapılması gerekmekte olup İYUK’un 32. maddesi kapsamında yetkili idare mahkemesi, dava konusu olan idari işlemi veya idari sözleşmeyi yapan idari merciin bulunduğu yerdeki idare mahkemesidir. Bu nedenle, görevli ve yetkili mahkeme Kurum’un bulunduğu yer olan Ankara İdare Mahkemeleri olacaktır.
4.1.2 Diğer Kararlar Yönünden
Kurul tarafından tesis edilen ve birel işlem niteliği taşıyan idari para cezası dışında kararlar da bulunmaktadır. Kurul’un birel işlem niteliğinde verdiği kararlar genellikle kişisel verilerin hukuka aykırı işlendiğinin tespiti halinde veri işleme faaliyetlerinin durdurulması veya kısıtlanması, ilgili kişinin başvurusu doğrultusunda verilerin silinmesine veya anonim hale getirilmesine karar verilmesi, veri ihlali tespit edilmesi durumunda ihlalin kamuoyuna duyurulması zorunluluğunun getirilmesi ve veri sorumlularına ek yükümlülükler getirilmesi gibi hususları içermektedir. Bu tür kararlar, veri sorumluları açısından doğrudan hukuki sonuç doğurduğundan idari işlem niteliğinde olup hukuka uygunluk denetimi çerçevesinde yargı mercilerinin incelemesine tabidir. Bu yöndeki kararların da idari nitelikli işlemler olmaları sebebiyle idari yargıda iptali talep edilebilecektir. İptal davasını görmeye yetkili ve görevli mahkeme de Kurum’un bulunduğu yer olan Ankara İdare Mahkemeleri olacaktır.
Bunun yanı sıra, Kurul’un genel düzenleyici nitelikteki kararları da iptal davasına konu edilebilecek idari işlemler niteliğindedir. Ancak, Kurul’un birel işlemleri idare mahkemelerinde iptal davasına konu edilebilecekken, düzenleyici işlemleri 2575 sayılı Danıştay Kanunu’nun 24. maddesi gereğince, ilk derece mahkemesi olarak doğrudan Danıştay’da dava edilebilir. Dava açma süresi ise İYUK’un 7. maddesi uyarınca 60 gündür.
Yine bu gibi hallerde İYUK’un 11. maddesi kapsamında Kurum’a yapılacak bir başvuru ile kararın kaldırılması, geri alınması, değiştirilmesi veya yeni bir işlem tesis edilmesinin talep edilebilmesi önünde herhangi bir engel bulunmamaktadır. Dava açma süresi ise İYUK’un 7. maddesi kapsamında kural olarak 60 gündür.
4.2. Kararların Yargısal Denetimi
Kurul tarafından tesis edilen kararların hukuka uygunluk denetimi, idari yargı mercileri tarafından gerçekleştirilmektedir. İdari yargılama sürecinde, Kurul kararları yetki, şekil, sebep, konu ve amaç unsurları açısından incelenmektedir. Yetki denetimi kapsamında, Kurul’un KVKK ve ilgili mevzuat çerçevesinde yetkili olduğu alanlarda karar alıp almadığı değerlendirilir. Şekil ve usul denetimi açısından ise, Kurul kararlarının hukuki şekil şartlarına uygun olup olmadığı ve ilgili taraflara savunma hakkı tanınıp tanınmadığı incelenir. Sebep denetiminde, Kurul’un kararına dayanak gösterdiği olguların hukuka uygunluğu araştırılır. Konu denetimi, kararın içeriğinin hukuka uygun olup olmadığını değerlendirirken, amaç denetimi, Kurul’un aldığı kararların kişisel verilerin korunması ilkesine uygun olup olmadığını inceler. Ayrıca, orantılılık ilkesi çerçevesinde veri sorumlularına getirilen yükümlülüklerin, ihlalin ağırlığı ile uyumlu olup olmadığı denetlenir.
Bununla birlikte, idari mahkemelerde dava açılması, dava konusu idari işlemin yürütmesini kendiliğinden durdurmaz. Bu nedenle, Kurul tarafından tesis edilen işlemin uygulanması halinde telafisi güç veya imkânsız zararların doğabileceği ve işlemin açıkça hukuka aykırı olduğu durumlarda, İYUK’un 27. maddesi uyarınca yürütmenin durdurulması talep edilebilir. Mahkeme, yürütmenin durdurulmasına karar verdiği takdirde, dava sonuçlanana kadar Kurul’un ilgili kararı uygulanamaz.
Yargılama süreci sonunda mahkeme, Kurul’un kararının hukuka aykırı olduğuna hükmederse, işlemin iptaline karar verir ve bu durumda karar hiç doğmamış gibi kabul edilir. Mahkeme, Kurul’un kararının hukuka uygun olduğuna kanaat getirerek davanın esastan reddine karar verirse, ilgili Kurul kararı hukuka uygun sayılır ve uygulanmaya devam edilir.
5. Sonuç
Kişisel verilerin korunması alanında önemli bir düzenleyici otorite olan Kişisel Verileri Koruma Kurulu, veri işleme faaliyetlerini denetleyerek hukuka aykırılıklar tespit ettiğinde idari yaptırımlar uygulama yetkisine sahiptir. Kurul tarafından tesis edilen kararlar idari işlem niteliğinde olup idari yargının denetimine tabidir. Bu bağlamda, idari para cezaları ve birel işlemler için idare mahkemelerinde, genel düzenleyici işlemler için ise Danıştay nezdinde iptal davası açılması mümkündür.
Kurul kararlarına karşı açılacak davalarda mahkemeler yalnızca işlemin hukuka uygun olup olmadığını denetleyerek yetki, usul, sebep, konu ve amaç unsurları açısından inceleme yapmaktadır. Hukuka aykırılık tespit edilmesi halinde mahkemeler Kurul kararının iptaline hükmedebilmekte ve dava sürecinde telafisi güç veya imkânsız zararların doğabileceği durumlarda yürütmenin durdurulmasına karar verebilmektedir.
Sonuç olarak, KVKK’nın öngördüğü yargısal denetim mekanizmaları, veri işleme faaliyetlerinin hukuka uygun bir çerçevede yürütülmesini sağlamakta ve kişisel verilerin korunmasına yönelik bireylerin hukuki güvencelerini teminat altına almaktadır. Kurul kararlarına karşı yargı yolunun açık olması, kişisel veri işleme faaliyetlerinin denetlenebilirliğini güçlendirerek hukukun üstünlüğünü sağlamaya yönelik önemli bir güvence oluşturmaktadır.
