KİŞİSEL VERİLERİN KORUNMASI KANUNUNDAN KAYNAKLANAN İDARİ PARA CEZALARINA KARŞI DAVA USULÜ VE YOLLARI
Yazının olmadığı tarihsel süreçte bilginin aktarımı sözlü gelenek (efsaneler ve sagalar gibi) ile mümkünken yazının bulunması ile uzunca bir süre bilgiye ulaşma ve elde etme yalnızca rahipler gibi ayrıcalıklı sınıflara özgü kalmıştır. Matbaanın gelişimi ve yazılı/görsel medyanın hızlı bir şekilde insan hayatına girmesinin yanında dijital materyal ve internet kullanımının yaygınlaşması bilgiye ulaşmayı bir ayrıcalık olmaktan çıkarmış artık her birey kolaylıkla bilgiye ulaşır olmuştur. Yukarıda kısaca özetlenen süreç, bilgiye erişimi hızlandırıp kolaylaştırırken bir yandan da bireye ait özel bilgilere de ulaşmayı bir başka anlatımla bu tür bilgilerin ele geçirilip kötüye kullanımının önünü açmıştır. Kısa bir tarihi süreçte kişiye sıkı sıkıya bağlı verilerin kötüye kullanımının – hukuki çerçeve içerisinde – önüne geçilmesi için çareler aranmaya başlanmıştır.
Kişisel veri kavram olarak birçok unsuru içinde barındırmaktadır. Esasen hangi verilerin kişisel olduğu, bu kişisel verilerin hangilerinin mahrem ve kişinin özel hayatına ait olduğu, bu verilerin ne kadarının ve hangi yollarla korunmasının gerektiği hususları muğlak ve tartışmaya açık olan konulardır. Bunların üzerine devletlerin paranoya boyutuna varan güvenlik hassasiyetleri ve dev ticari kuruluşların potansiyel müşteriler üzerinden kar elde etmesi hırsı eklenince anılan kavram bugün halen sınırları çizilemeyen ve belirsizliğini sürdürmektedir. Özetle, insana ait ve bireyi tanımlayabilecek her türlü bilginin kişisel veri olarak tanımlanması mümkündür. Örnek olarak, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler kişisel veri kapsamındadır. Bir verinin kişisel olup olmadığının tespitinin teorik olarak değil pratik olarak yapılması gerekir.
1960’lı yıllarda ABD’de vatandaşların kredi verilebilir olup olmadıklarının tespitine yönelik araştırmalar ve Birleşik Devletler ordusunun siyasi şüpheliler hakkında özel hayatlarına dair birçok kişisel veriyi topladığı haberlerinin ayyuka çıkması modern anlamda kişisel verilerin korunması hukukuna temel teşkil edecek tartışmaların yaşanmasına sebep olmuştur. Bu tartışmalar, ilerleyen süreçte kişisel veri korunması hukukuna ciddi katkı sunmuştur.
1970’li yıllardan bu yana, ulusal ve uluslararası düzenlemeler yoluyla kişisel verilerin korunmasına yönelik çalışmalar yürütülmektedir. Bu alanda ilk düzenleme 1970 tarihli Almanya’nın Hessen Eyaletinde kabul edilen veri koruma kanunudur. Bu kanun, bilişim sistemleri yardımıyla tapu kayıtlarına erişim sağlanabilmesi karşısında, verilerin elde edilmesi ve depolanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Benzer şekilde, 1973 tarihli İsveç ve 1978 tarihli Fransa veri koruma kanunları da, devlet elinde bulunan çok sayıdaki verinin “kimlik numarası” benzeri bir sistemle kaydedilmesi ve entegre edilmesi sonucunda, etkin bir şekilde veri işlemenin mümkün hale gelmesi ve bu kapsamda muhtemel riskler karşısında hukuken korunmaya ihtiyaç bulunduğu düşüncesiyle hazırlanmıştır.
Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşmenin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı çıkarmıştır.
Türkiye’yi kişisel verilerin korunmasına yönelik kanuni bir düzenleme hazırlamaya yönelten temel etkenler; insan haklarının etkin bir biçimde korunması, AB ile yürütülen üyelik müzakereleri ve uluslararası iş birliği ve ticaretin artırılması ihtiyacı şeklinde sıralanabilir. Öncelikle; kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılıdır. Kişilerin, özel hayatının gizliliğini sağlayabilmek için üçüncü kişilerin eline geçmesinde sakınca bulunan verilerinin hukuken korunması gereklidir.
Türk hukukunda ise, kişisel verilerin korunmasına, 12 Eylül 2010 tarihinde yapılan referanduma kadar anayasamızda yer verilmemiştir. Bu tarihe kadar; Anayasanın 17. maddesinde, “kişinin maddî ve manevî varlığını koruma ve geliştirme” hakkına ve insan onuruna, 20. maddesinde, özel hayatın gizliliğinin korunması hakkına ve 22. maddesinde haberleşme özgürlüğüne yer verilerek bir nevi kişisel verilerin korunmasına temel teşkil eden anayasal ilkelerden bahsedilmekteydi. Bu haklar, kişisel verilerin korunmasına belli başlı anayasal garantiler getirmekteydi. Özellikle Anayasa Mahkemesi’nin 6.1.1999 tarihli, 1996/68 Esas ve 1991/1 numaralı Kararında kişisel verilerin Anayasanın 20. maddesinde düzenlenen özel hayatın gizliliği ile doğrudan ilişkili olduğu teyit edilmiştir.
12 Eylül 2010 tarihinde yapılan referandumda 5982 sayılı kanunla kabul edilen ve 13 Mayıs 2010 tarihli ve 27580 sayılı Resmi Gazetede yayınlanan, anayasa değişikliğinin getirdiği yeniliklerden bir tanesi de kişisel verilerin bizzat Türkiye Cumhuriyeti Anayasasına dâhil olmasıdır. Yapılan değişiklikle Türkiye Cumhuriyeti Anayasasının 20. maddesine kişisel verilerin korunmasına ilişkin; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenmiştir.
Bu tarihsel bağlamda, 6698 sayılı Kişisel Verileri Koruma Kanununun birinci maddesinde belirtildiği üzere kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak, bir diğer ifade ile kişisel verilere hukuki koruma sağlamakla birlikte kişisel verilerin işlenmesindeki usul ve esaslar ile bu verilerin kötüye kullanılmasının önüne geçilmesi amaçlanmış ve anılan Kanun 07.04.2016 tarih ve 29677 sayılı Resmi Gazete ’de yayımlanarak yürürlüğe girmiştir.
Anılan Kanun kapsamında düzenlemelerin uygulanması bakımından kamu ve özel sektör veya gerçek ve tüzel kişi ayrımı yapılmamış olup Kanunun amir hükümleri herkes bakımından da bağlayıcıdır. Başka bir anlatımla, verileri işleyen herhangi bir şirket ya da birey de verinin hukuka uygun işlenmesinden sorumlu kabul edilmektedir. Buna karşın, kişisel veri sadece gerçek kişilere ilişkin her türlü bilgi anlamına gelmektedir. Bir bilginin kişisel veri olarak kabul edilmesi için ise mutlaka bir gerçek kişinin kimliğini belirli ya da belirlenebilir kılması gerekmektedir. Kanunun beşinci maddesinin birinci fıkrasında, açıkça ilgili kişinin rızası olmaksızın kişisel verinin işlenemeyeceği belirtilmiştir. Devamında ise, verilerin işlenme şartları ayrıntılı bir şekilde vurgulanmıştır.
İlgili kişinin hakları Kanunun on birinci maddesinde sayılmıştır. Bu madde kapsamında kişisel veri sahibi, hakları ile ilgili taleplerini Kanunun on üçüncü maddesinde belirtildiği gibi yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletebileceği yazılıdır. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten ve eğer 30 gün içinde cevap verilmemişse bu otuz günün bittiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Bu başvuru yolu tüketilmeden Kurula şikâyet yoluna başvurulamaz. Burada bahsi geçen Kurul, Kanunun üçüncü maddesinin birinci fıkrasının f bendinde tanımlanan Kişisel Verileri Koruma Kuruludur.
Kanun, veri sorumlularına bazı yükümlülükler vermiştir. Kanun kapsamında kişisel veriyi işleyen veri sorumlularına onuncu maddede belirtilen veri sahibini aydınlatma yükümlülüğü ile on ikinci madde de belirtilen verilerin güvenliğini sağlama yükümlülüğü getirilmiştir. Bu yükümlülüklere ilişkin usul ve esaslar ilgili maddelerde belirtilmiştir.
Peki, yükümlülüğünü yerine getirmeyen sorumlulara karşı yaptırımlar nelerdir?
Öncelikle, Kurul tarafından şikâyet üzerine veya resen yapılan inceleme sonucunda veri sorumlusunun yükümlülüklerini yerine getirmediğinin tespit edilmesi durumunda, söz konusu hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verilerek ilgililere tebliğ eder. Bu karar, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Ancak bu yükümlülüklerin ilgililer tarafından yerine getirilmemesi durumunda hangi yaptırımlar uygulanacaktır. Kanunun on yedinci maddesinde, Türk Ceza Kanununun bazı maddelerine atıf yapılmışsa da, bu konu, bu yazının sınırlarını ve kapsamını aşacağından bu hususa burada yer verilmeyerek sadece ‘Kabahat’ kapsamındaki para cezalarına değinilecektir.
Kanunun on sekizinci maddesinde, hangi durumlarda idari para cezası verileceği tek tek sayılmıştır. Buna göre, a) onuncu maddede öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler, b) on ikinci maddede öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, c) on beşinci madde uyarınca Kurul tarafından verilen kararları yerine getirmeyenler, ç) on altıncı maddede öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezası verileceği hüküm altına alınmıştır.
Kanunun verdiği bu yetki çerçevesinde, Kurul, Resmi Gazete ve internet sitesinde yayımlanmış olan 21.12.2017 tarihli 2017/61 ve 2017/62 sayılı kararı kapsamında kanunun on beşinci maddesinin altıncı fıkrası uyarınca aldığı ilke kararlarına uymayanlar hakkında cezai işlem uygulanacağı yönünde karar almıştır. Buna göre,
“Kurul, 2017/61 sayılı kararı ile çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren uygulama ve internet sitelerinin, Kanun’da ve ilgili mevzuatta dayanağı bulunmaksızın gerçekleştirdiği bu tip veri işleme faaliyetlerinin derhal durdurulmasına,
2017/62 sayılı kararında ise; banko, gişe ve masa gibi alanları kullanan kurum ve kuruluşların, aynı anda birbirine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek ek güvenlik önlemleri almasına”
oybirliği ile karar verilmiştir.
Bu noktada, öncelikle göz önünde bulundurulması gereken husus; Kurul tarafından verilen para cezasına karşı hangi yargı kolunda dava açılacağıdır. Kanunun on sekizinci maddesinde, idari para cezaları düzenlenirken, Kanunda bu kararlara karşı itiraz süreci düzenlenmemişse de; Kanun tasarısının gerekçesinde kanunda kabahatler ile ilgili hüküm bulunmayan hallerde genel düzenleme niteliğinde olan 5326 sayılı Kabahatler Kanununu hükümlerinin uygulanacağı belirtilmiştir.
Kabahatler Kanununun yirmi yedinci maddesinde, para cezalarına karşı, kararın tebliği veya tefhiminden itibaren en geç on beş gün içinde yetkili Sulh Ceza Mahkemesi’ne başvurulması ve yetkili Sulh Ceza Mahkemesinin CMK 12. maddesinde suçun işlendiği yer mahkemesi ve mağdurun bulunduğu yer mahkemeleri de yetkili olduğu belirtilmiştir.
Ancak bu kapsamda, Kurul tarafından aynı kişi ile ilgili olarak idarî yargının görev alanına giren yaptırım kararının da verilmiş olması halinde; Danıştay içtihatları doğrultusunda, yaptırım kararı ile birlikte para cezasının iptali talebiyle tek dilekçede ve aynı davada idari yargı merciinde dava açılması gerekmektedir.
Peki, mahkemeler başvuruları hangi kriterler çerçevesinde ele alacak ve neye göre hüküm kuracaklardır. Sulh Ceza hâkimliğine yapılan başvurunun usulden kabulü halinde hâkimlik dilekçenin bir örneğini Kurul’a gönderir. Kurul başvuru dilekçesinin tebliği tarihinden itibaren en geç 15 gün içinde hâkimliğe cevabını verir. Hâkimlik cevap dilekçesinin bir örneğini veri sorumlusuna tebliğ eder. Hâkimlik talepte bulunulması üzerine veya resen tarafları çağırarak belirleyeceği gün ve saatte tarafları dinleyebilir. Bilahare ilgilileri dinledikten ve bütün deliller toplandıktan taraflara son sözleri sorulur karar tarafların huzurunda açıklanır.
Bir diğer önemli husus ise, para cezasının alt ve üst sınırı belirlenmişse de, Kanunda miktarın nasıl belirleneceğine ilişkin herhangi bir düzenleme veya kriter mevcut değildir. Nitekim Kurul tarafından işleme şartı olmadan ilgili kişinin aranmasına verdiği 100.000 tl’lik idari para cezası, sulh ceza hakimliği tarafından “idari para cezası düzenlenirken alt sınırdan neden uzaklaşıldığının idari yaptırım kararında açıkça belirtilmemesi” gerekçesi ile 17.828 TL’ye düşürülmesine karar verilmiştir.
Sonuç olarak, bir gerçek kişinin kimliğinin belirlenmesine yarayan her türlü verinin kişinin rızası dışında işlenmesi ve depolanmasının bir takım hukuki sonuçları vardır. Yukarıda yer alan Kanun maddelerinin incelenmesinden de görüleceği üzere, kanun koyucu bu tip verileri işleyenlere bazı yükümlülükler yüklemiş, yerine getirmeyenlere ise çeşitli yaptırımlar öngörmüştür. Bu nedenle bu gibi büyük cezalarla karşılaşılmaması için kişisel verileri işleyen tüm gerçek ve tüzel kişilerin gerekli tedbirleri alması gerekmektedir.
OKUMA ÖNERİSİ
AİHM Kişisel Veri Koruma Bilgi Formu: Mahkemenin verdiği kişisel verilerin korunmasına ilişkin kararların derlemesine ilişkin bilgi formuna bu linkten ulaşabilirsiniz.