KİŞİSEL VERİLERİ KORUMA KURLUNUN VERDİĞİ İDARİ PARA CEZASININ ANAYASA MAHKEMESİNCE İPTAL EDİLMESİ

Bilindiği üzere Kişisel Verileri Koruma Kanunu, kişisel verilerin öneminin hızla artmasına  binaen ihtiyaç üzerine 6698 sayılı kanun ile yürürlüğe girmiştir. Bu bağlamda kanunun amacı birinci maddede

belirtildiği üzere'' kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.'' şeklinde belirtilmiştir. Dolayısı ile kanunun amacı ve hedefi kişilerin özel hayatının gizliliğini ve temel hak ve hürriyetlerini korumaya yöneliktir.

Diğer taraftan bu konuya anayasal bağlamda bakacak olursak Anayasa'nın ilgili maddesinde '' Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.'' şeklinde cümle eklenerek kişisel veriler gizlilik kapsamına alınarak anayasal güvenceye kavuşturulmuştur.

Bir diğer konu ise veri güvenliğinin kimin tarafından sağlanması gerektiği hususu önem arz etmektedir. Kişisel Verileri Koruma Kanunun Veri güvenliğine ilişkin maddesinde ''Veri sorumlusu;

a)            Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b)           Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c)            Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.'' denilmekle veri güvenliğinin sağlanması açısından veri sorumlusuna işaret etmektedir. Dolayısı ile başvurucunun ilgili sızıntı tarihinde yetkili veri sorumlusu olmadığı açıkça görülecektir. Buradan yola çıkarak bir başka dikkat çekilmesi gereken konu ise ilgili cezanın ceza kanunu açısında cezaların şahsiliği ilkesine aykırı olduğu da söylenebilir.

Diğer taraftan veri güvenliği ve veri güvenliğinden sorumluluk açısından Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'nin 2. Maddesinde ''kişisel veriler kimliği belirli yahut belirlenebilir bir gerçek kişi hakkındaki tüm bilgileri ifade eder ''denmektedir. Aynı sözleşmesinin veri güvenli başlıklı

7. Maddesinde ''otomatik dosyalara kaydedilen kişisel verileri korumak için ,  bunların, bunların kaza sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya bunların izinsiz olarak elde edilmesine değiştirilmesine veya dağıtılmasınkaarşı uygun güvenlik önlemleri alınır'' şeklindedir.

Tüm bu bilgilerden de anlaşılacağı üzere veri güvenliğini korumak veri sorumlusunun uhdesindedir. Fakat veri güvenliğini korumada belirlenmiş maktu yol ve yöntemler mevcut değildir. Veri sorumlusu ilgili veriyi korumaya yönelik gerekli tedbirleri durumun gerektirdiği şart ve koşullara göre kendisi belirleyebilir.

Buna göre Anayasa Mahkemesi' ne yapılan başvuruya ve mahkemenin kararına bakacak olursak;

Anayasa Mahkemesinin önüne gelen başvuruda başvurucu veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kişisel Verileri Koruma Kurulu tarafında uygulanan idari para cezasının mülkiyet hakkının ihlaline yol açtığından bahisle AYM'ye başvurmuştur.

Başvurucu yerel mahkemede gerekli itirazları yapmış ve İstanbul Anadolu Sulh Ceza Hakimliği tüm itirazları reddetmiş ve başvurucunun aleyhine verilen 1.450.000 tl idari para cezası kesinleşmiştir. Bunun üzerine başvurucu Anayasa Mahkemesine yaptığı bireysel başvuru üzerine Anayasa Mahkemesi hem 6698 sayılı kanun açısından hem uluslararası Veri Koruma kanunları açısında hem de Anayasa açısında kapsamlı bir değerlendirme yapmıştır. Söz konusu değerlendirme başvurucunun da iddiasında belirttiği gibi mülkiyet hakkının ihlaline, yapılan tebligatların usulsüzlüğüne, derece mahkemeleri tarafında yeterli değerlendirme yapılmaması gibi konulara yöneliktir.

Somut olayda başvurucu veri ihlalinin sorumlusu olarak kendilerinin değil veri ihlalinin yaşandığı devralınan konaklama şirketinin kabul edilmesi gerektiğini, gerekli sürede bildirim  yükümlülüğünü yerine getirdiğini cezanın muhatabının kendileri olmadığını beyan etmiştir. beyan etmiştir. AYM ise yaptığı kapsamlı incelemede hem kanun açısında veri sorumlusuna, hem, mülkiyet hakkının içeriğine ve Anayasal güvence altına alındığına değinmiştir.

Önemle belirtmek gerekir ki Anayasa Mahkemesi; ''kişisel verilerin korunması ile asıl olarak kişisel verilerin işlenmesi  sırasında temel hak ve özgürlüklerin      korunması ile verilerin işlenmesi sırasındaki hukuki        sınırlar  ifade edilirken veri güvenliğinin korunmasında ise bizzat verilerin kendisinin korunması için gereken teknik ve idari tedbirlerin alınması gerekmektedir'' diyerek kişisel verilerin korunması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun da altını çizmiştir.

Sonuç itibariyle AYM söz konusu başvuruyu idari para cezasının muhatabının başvurucu olmadığına mülkiyet hakkının varlığına, söz konusu hakkın bir ihlal oluşturduğuna değinerek başvurunun kabulüne ve başvurucunun mülkiyet hakkının ihlal edildiğini hükmetmiştir.