I. GİRİŞ
Dünya çapında veri işleme uygulamalarının katlanarak artması, devletleri veri güvenliği alanlarında birtakım hukuksal düzenlemeler yapmaya itmiştir. Bu amaçla birçok devlet, idari yapılanma içerisinde kişisel veri otoriteleri kurmaya başlamıştır. Ülkemizde de verilere ilişkin olarak, ticari olsun ya da olmasın her türlü aktörün davranışlarını denetleyen Kişisel Verileri Koruma Kurumu kurulmuş bulunmaktadır.
Kişisel Verileri Koruma Kurumu teşkilat yapısı içinde karar organı olan Kişisel Verileri Koruma Kurulu’nun yaptığı incelemeler neticesinde birtakım kararlar almakta ve bu kararların birçoğunda ise ilgililer aleyhinde olumsuz sonuçlar doğuracak nitelikte yüklü idari para cezaları veya başkaca yaptırımlar uygulamaktadır. Bu makalede, Kurul’un verdiği kararların çeşitleri, hukuki niteliği ve bu kararlara karşı yargı yolu ve inceleme usullerine değinilecektir.
II. KİŞİSEL VERİLERİ KORUMA KURUMU İŞLEMLERİNİN ÇEŞİTLERİ
A. GENEL DÜZENLEYİCİ İŞLEMLER
Kişisel Verileri Koruma Kurulu’na, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 7. maddesinin üçüncü fıkrası ile 22. maddesinin (e) bendi uyarınca yönetmelik ve sair düzenleyici işlemler tesis etme yetkisi tanınmıştır. Bu bağlamda Kişisel Verileri Koruma Kurulu tarafından yönetmelik ve tebliğler çıkarılmaktadır.
B. BİREL İŞLEMLER
Kişisel Verileri Koruma Kurumu teşkilat yapısı içinde karar organı olan Kişisel Verileri Koruma Kurulu’nun ilgililerin hukuki statüsünü değiştirecek nitelikte verdiği kararların başında idari para cezasına ilişkin kararlar gelmektedir. Yaygın olarak Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezaları, veri sorumlularının veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı haller bakımından söz konusu olmaktadır. İlaveten, veri sorumlularının KVKK’nın 12. maddesinin 5. fıkrasında öngörülen; işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişilerce elde edilmesi halinde durumun en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirilmesi yükümlülüğünün ihlali de idari para cezaları bakımından uygulamada sık karşılaşılan hallerden birini teşkil etmektedir. Yine, aydınlatma yükümlülüğünü yerine getirmeyenler hakkında KVKK’nın 10. maddesi kapsamında idari para cezası da verilebilmektedir. Ayrıca KVKK’nın 7. maddesi bağlamında kişisel verileri silmeyen ve anonim hale getirmeyenlere de 5237 sayılı Kabahatler Kanunu’nun (“Kabahatler Kanunu”) 138. maddesi kapsamında ceza verilecektir.
Bununla birlikte, KVKK’nın 9. maddesi bağlamında veri sorumlularının yurt dışına veri aktarımına ilişkin Kişisel Verileri Koruma Kurulu’nun izni gerekmekte olup, izin veya izin vermeme yönündeki karar verilebilecektir.
Son olarak, Kişisel Verileri Koruma Kurulu, KVKK’nın 15. maddesi kapsamında şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verebilecektir.
III. KİŞİSEL VERİLERİ KORUMA KURULU KARARLARININ HUKUKİ NİTELİĞİ
Kişisel Verileri Koruma Kurumu, kendisine özel teknik ve idari düzenlemeler ihdas etme yetkisi tanınan bağımsız idari otorite niteliğinde bir idari kurumdur. Karar organı olarak ise Kişisel Verileri Koruma Kurulu tarafından KVKK kapsamında karar verilmektedir.
Buna karşın; Kişisel Verilerin Korunması Kurulu kararlarına karşı yargı yoluna değinilmeden önce, kararların niteliği ile ilgili bir ayrım yapmak gerekmektedir.
Kişisel Verileri Koruma Kurulu’nun KVKK’nın 7., 10., 12., 15. ve 16. maddesi kapsamındaki yükümlülüklerini yerine getirmeyenler hakkında verdiği para cezaları her ne kadar idari para cezası olarak nitelendirilse de KVKK’nın genel gerekçesinde kanunda açık hüküm bulunmayan hallerde Kabahatler Kanunu’nun uygulanacağı belirtilmiştir. Dolayısıyla bu maddelere ilişkin olarak verilen idari para cezaları, hukuki bir terim olan kabahat kavramına bağlanmıştır.
Bunun haricinde, KVKK’nın 9. maddesi kapsamında Kişisel Verileri Koruma Kurulu’nun izninin gerektiği hallerde Kurul tarafından izin verilmemesi halinde, her ne kadar açık bir düzenleme bulunmasa da bu yöndeki bir kararın idari işlem niteliği taşıdığı değerlendirilmektedir.
Benzer şekilde, KVKK’nın 15. maddesi kapsamında Kişisel Verileri Koruma Kurulu’na yapılan şikâyet başvurusu veya Kurul tarafından resen araştırma sonucu verilen ret kararı ya da başvuru üzerine Kurul tarafından 60 (altmış) günlük süre içerisinde başvuruya cevap verilmemesinin idari nitelikli bir ret işlemi olduğu düşünülmektedir.
IV. KİŞİSEL VERİLERİ KORUMA KURULU KARARLARINA KARŞI YARGI YOLU
A. KARARLARA KARŞI BAŞVURU VE DAVADA USUL
1. İdari Para Cezaları Yönünden
Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezaları, kabahat niteliğindeki eylemlere bağlanması sebebiyle idari işlem olarak kabul edilmemektedir. Buna karşın, bu kararlara karşı yargı yolu açıktır. Nitekim, idari para cezalarına karşı Kabahatler Kanunu hükümlerinin uygulanacağı belirtilmiş olup, Kişisel Verileri Koruma Kurulu’nun bu yönde verdiği kararlara karşı Sulh Ceza Hakimlikleri nezdinde kararın kaldırılması talebiyle, kararın ilgiliye tebliğinden itibaren en geç 15 (on beş) gün içinde itiraz davası açılabilmektedir. Yetkili mahkemenin tespiti, 5271 sayılı Ceza Muhakemeleri Kanunu’nun (“CMK”) 12. maddesi uyarınca yapılmakta olup yetkili mahkeme kabahatin işlendiği yer veya mağdurun bulunduğu yer Sulh Ceza Hakimliği’dir.
CMK’nın 269. maddesi uyarınca ise, Kişisel Verileri Koruma Kurulu kararına karşı Sulh Ceza Hakimliği nezdinde yapılacak itiraz, kararın uygulanmasını geri bırakmayacaktır. Buna karşın kararın geri bırakılmasının talep edilebilmesi mümkündür.
Bununla beraber, Kabahatler Kanunu’nda, ilgili idareye başvurmayı yasaklayıcı herhangi bir hüküm olmadığından bahisle İYUK 11. maddesi kapsamında ilgili idareye başvuru yapılmasında hukuken bir sakınca olmadığı değerlendirilmektedir.
2. Diğer Kararlar Yönünden
KVKK’nın 9. maddesi kapsamında Kişisel Verileri Koruma Kurulu’nun izninin gerektiği başvurularda, izin talebinin Kişisel Verileri Koruma Kurulu tarafından reddine ilişkin kararın idari nitelikli bir işlem olması sebebiyle, Anayasa’nın 125. maddesi uyarınca idari yargı yoluna gidilerek iptal davasının açılmasının mümkün olduğu değerlendirilmektedir.
KVKK’nın 15. maddesi kapsamında Kişisel Verileri Koruma Kurulu’na yapılan başvurunun süresi içinde cevaplanarak veya sessiz kalınarak reddedilmesi ya da Kişisel Verileri Koruma Kurulu tarafından resen yürütülen incelemenin sonucunda ihlal bulunmaması yönündeki kararın da idari nitelikli bir işlem olması sebebiyle idari yargıda iptali talep edilebilecektir.
Bu hallerde iptal davasını görmeye yetkili ve görevli mahkeme, Kişisel Verileri Koruma Kurumu’nun bulunduğu yer olan Ankara İdare Mahkemeleri olacaktır.
Yine bu gibi hallerde İYUK’un 11. maddesi kapsamında Kişisel Verileri Koruma Kurumu’na yapılacak bir başvuru ile kararın kaldırılması, geri alınması, değiştirilmesi veya yeni bir işlem tesis edilmesinin talep edilebilmesi önünde herhangi bir engel bulunmamaktadır.
B. KARARLARIN YARGISAL DENETİMİ
Kişisel Verileri Koruma Kurulu’nun idari para cezasına ilişkin olarak verdiği kararlar yönünden adli yargı merci olan Sulh Ceza Hakimliği’nin yapacağı inceleme, kabahat unsurlarının oluşup oluşmadığına ilişkin olacaktır. Bu minvalde, Sulh Ceza Hakimliği esas incelemesi yönünden somut olayın özelliklerinin gerçekleşip gerçekleşmediğini değerlendirecektir. Bununla beraber, usul yönünden ise, şartları varsa hukuka aykırı bir delilin kararda kullanılıp kullanılmadığı dikkate alınabilecektir.
Öte yandan, Kişisel Verileri Koruma Kurulu’nun idari para cezası haricinde verdiği kararlar yönünden; idari işlemin yetki, şekil, sebep, konu ve amaç unsurlarını taşıyıp taşımadığı incelenebilecektir.
Yargılama sonucunda Kişisel Verileri Koruma Kurulu kararının iptaline veya itiraz üzerine kararın kaldırılmasına karar verildiği takdirde, karar hiçbir sonuç doğurmamış gibi ele alınacaktır.
V. SONUÇ
Kişisel Verileri Koruma Kurulu, ilgililer hakkında ciddi boyutlarda idari para cezaları verebilmekte, ayrıca para cezaları haricinde başkaca kararlar da alabilmektedir. Kararlar sonucu oluşan tabloda, ilgililerin menfaatleri ciddi ölçüde etkilenebilmektedir.
Kişisel Verileri Koruma Kurulu kararları interdisipliner, bir başka anlatımla hukuk ile birlikte farklı bilimlerin harmanlanması sonucu ortaya çıktığından; bu tür kararlar her zaman hukuka aykırı bulgular içerebilmektedir.
Bu sebeple, Kişisel Verileri Koruma Kurulu’nun izin vermeme ve başvuru reddi yönündeki kararları idari yargı denetimi yoluyla yeniden ele alınabilmekte, oluşan olumsuz durum ortadan kaldırılabilmektedir. Benzer şekilde, Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına karşı adli yargı yoluna başvurularak karara itiraz edilebilmektedir.
Anılan kurulların kararlarına karşı, tebligat ve dava açma sürelerine riayet edilmesi ve başvuru içeriğinin teknik ve hukuki yönden efektif olarak hazırlanması önem arz etmektedir. Nitekim, efektif hazırlanan başvuru ve dava içeriği, ilgililerin zedelenen menfaatlerinin eski hale getirilmesi yönünden hayati önem taşımaktadır.
Saygılarımızla
Kılınç Hukuk & Danışmanlık