A) "Ölçülülük" Yönünden:

6698 sayılı Kişisel Verilerin Korunması Kanunun 18. Maddesinde "alt ve üst sınırlar belirtilmek suretiyle" idari para cezaları düzenlenmiş, ancak, kanunda idari para ceza miktarlarının tayinine dair herhangi bir hükme yer verilmemiştir.

5326 sayılı Kabahatler Kanunun 17/2. Maddesinde; idari para cezasının, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebileceği, bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu birlikte göz önünde bulundurulması gerektiği ifade edilmiştir. Kabahatler Kanunu idari para cezaları yönünden genel kanun niteliğinde olması sebebiyle Kişisel Verileri Koruma Kurulu ("Kurul") ceza miktarının tayininde 5326 sayılı Kanunun 17/2 maddesinde yer alan kriterleri dikkate alınması gerekmektedir.

 Bunun dışında, Avrupa İnsan Hakları Mahkemesi ve Anayasa Mahkemesi kararlarına1 göre, idari para cezası uygulaması muhatabının mülkiyet hakkına müdahale teşkil ettiğinden, Anayasanın 13. Maddesi uyarınca söz konusu müdahalenin ölçülü2 olması aranmalıdır. İdari para cezasında devletin geniş takdir marjı dikkate alındığında "elverişlilik" ve "gereklilik" ilkeleri çoğu zaman karşılanmakta, "orantılık" değerlendirmesi ceza miktarının tayinin de belirleyici etken olmaktadır. Bu sebeple, orantılılık ilkesi gereği, idari para cezası ile korunmak istenen kamu yararı ile kişinin mülkiyet hakkı arasında adil bir denge kurulmalıdır. Bu adil denge arayışında, öncelikle idari para cezası işlemine karşı kişilere iddia ve savunmalarını etkin bir şekilde sunma imkanı verilip verilmediğinin irdelenmesi gerekir3. Sonrasında ise, bir taraftan ulaşılmak istenen meşru amacın önemi, diğer taraftan da müdahalenin niteliği ile başvurucunun ve kamu otoritelerinin tutum ve davranışlarını göz önünde tutarak başvurucuya yüklenen külfetin ağırlığı değerlendirilmeli4 ve ona göre ceza tatbikinde bulunulmalıdır. Aksi halde, işlemin hukuka aykırılığı söz konusu olabilecektir. Örneğin, Kişisel Verileri Koruma Kurulu, yurt dışı veri aktarımı hususunda yıllarca güvenli ülkeler listesini açıklamamış, taahhütlere izin vermemiş, bu yüzden açık rızaya gerek kalmadan yurtdışı veri aktarım sürecinin işlemez bir hale gelmiştir. Bu süreçteki kamu otoritesinin tutum ve davranışı dikkate alınmadan, tüm yükü veri sorumlusuna yükleyerek yüksek hadden ceza işlemi uygulanması kanaatimizce ölçüsüzdür5

Öte yandan, 2016/679 sayılı GDPR'nin 83/2. Maddesinde de, idari para ceza miktarının belirlenmesine dair kriterlere yer verilmiştir. Her ne kadar GDPR hükümlerinin ülkemiz açısından doğrudan bir bağlayıcılığı bulunmasa da, GDPR hükümleri ile Avrupa Veri Koruma Otoritelerinin uygulamalarının emsal kabul edildiği bir gerçektir. Bu sebeple, GDPR'nin 83/2. Maddesinde yer alan "i) ilgili işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve süresinin yanı sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi, ii) ihlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması, iii) veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem, iv) 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi, v) kontrolör veya işleyicinin geçmişte konuyla ilgili ihlaller, vi) ihlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliği derecesi, vii) ihlalden etkilenen kişisel veri kategoriler, viii) kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak üzere, denetim makamının ihlalden haberdar edilme şekli, ix) 58(2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum, x) 40. madde uyarınca onaylı davranış kurallarına veya 42. madde uyarınca onaylı belgelendirme mekanizmalarına uygun hareket edilmesi, xi) ihlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler" gibi kriterler veya buna benzer şekilde belirlenecek başkaca kriterlerin ceza miktarının tayin edilmesinde dikkate alınması, hakkaniyete daha uygun olacaktır. (Örneğin; Alman Federal Veri Koruma Otoritesi, yetkisiz kişilerce kişisel verilere erişimin sağlandığı, kişisel verilerin korunması kapsamında gerekli teknik ve idari önlemleri almadığı gerekçesiyle bir telekomikasyon şirketine 9.550.000 Euro idari para cezası uygulamış, Alman Bölge Mahkemesi ise,  veri ihlal sürecinin uzun sürmediği, bu sebeple veri sorumlusunun kusurunun daha az olduğu ve büyük bir veri sızıntısının meydana gelmediği gerekçesiyle idari para cezasını 900.000 Euro'ya düşürmüştür.)

Son olarak, Kişisel Verileri Koruma Kurulu uyguladığı idari para cezalarında hangi kriterleri baz alarak alt sınırdan veya üst sınırdan ceza işlemi uyguladığını gerekçeli bir şekilde kararlarında göstermelidir. Zaten, bu durum hukuk devleti ilkesinin de bir gereğidir. Ancak, bugüne kadar yayınlanan kurul karar metinlerinde ceza miktar tayinine dair doyurucu gerekçeye rastlanılmamıştır. Anayasa Mahkemesinin kararlarında6 ifade edildiği üzere, hukuk devletinin temel ilkelerinden biri olan belirlilik ilkesine göre, kanun düzenlemelerinin hem kişiler hem de idare yönünden herhangi bir tereddüde ve şüpheye yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olması ayrıca kamu otoritelerinin keyfi uygulamalarına karşı koruyucu tedbirler içermesi gereklidir. Birey, hangi somut eylem ve olguya hangi hukuki müeyyidenin veya neticenin bağlandığını, bunların idareye hangi müdahale yetkisini doğurduğunu bilmelidir.

B) "Eşitlik" Yönünden:

Anayasa'nın 10. Maddesinde eşitlik ilkesi düzenlenmiştir. Bu ilke, aynı durumda bulunan kişilerin yasalar karşısında aynı işleme tabi tutulmalarını ve ayrım yapılmamasını şart koşmaktadır7. Avrupa İnsan Hakları Mahkemesi içtihadına8 göre de, farklı muamele nesnel ve makul bir gerekçeye sahip olmaması hâlinde ayrımcı olarak nitelendirilmektedir. Nitekim, Avrupa İnsan Mahkemesinin Megadat.com SRL/ Moldova kararında9, internet servis sağlayıcısı olan başvurucu şirketin adres değişikliğini bildirmemiş olması sebebiyle lisansının iptal edilmesine dair olayda, aynı durumdaki doksan bir şirket arasından sadece başvurucu şirketin lisansının iptal edilmesini keyfi ve ayrımcı bir uygulama olarak değerlendirmiştir. Yine, Anayasa Mahkemesinin Reis Otomotiv Ticaret ve Sanayi A.Ş Genel Kurul Kararında10 da, aynı sektörde faaliyet gösteren ve yalnızca bir kat vergi zıyaı cezası uygulanan diğer şirketler uzlaşma ve benzeri imkânlardan yararlanmış iken kendisine üç kat vergi zıyaı cezası uygulanması ve uzlaşma gibi bu olanaklardan yararlanmasının engellenmesini ayrımcı uygulama olarak tespit edilmiştir.

Kurul da, cezayı ve miktarı belirlerken eşitlik ilkesini gözetmekle yükümlü olup, aynı veya benzer mahiyetteki veri ihlaline karşın aynı ceza miktarını tayin etmesi beklenmektedir. Şayet farklı bir muamelenin uygulanması gerekirse, bunu nesnel/objektif ve makul bir gerekçe ile açıklamak zorundadır. Kurulun, 6698 sayılı Kanunun 18. maddesinde idari para cezasını belirlemek noktasında takdir yetkisi bulunsa da, eşitlik ilkesi söz konusu takdir yetkisinin sınırlarından birini oluşturmaktadır. Kurulun resmi internet sitesinde açıklanan karar özetleri incelendiğinde de bazen farklı muamele teşkil edebilecek kararların verildiği görülmektedir. Örneğin;

  • Kurulun, 28.05.2020 tarih ve 2020/429 sayılı Kararında, bir avukat tarafından kişisel verilerin hukuka aykırı olarak işlenmesine dair olayda 125.000TL idari para cezası uygularken, aynı mahiyetteki benzer bir olayda, 14.01.2020 tarih ve 2020/26 sayılı Kararı ile veri sorumlusu avukata 50.000TL idari para cezası uygulanmıştır. Söz konusu farklı muamelenin nesnel ve makul gerekçe ile açıklanmaması halinde eşitlik ilkesinin /ayrımcılık yasağının ihlali gündeme gelebilecektir.
  • Yine, Kurulun, çoğu kararlarında veri sorumlusunun kimliği açıklanmamasına rağmen, bazı kararlarında ise veri sorumlusunun kimliğini açıklandığı ve yüksek hadden ceza verildiği görülmektedir. Bu farklı uygulamanın makul ve objektif bir gerekçe ile izahı gerekebilir. 

Sonuç itibariyle Kurul, ceza miktarının tayininde yukarıda ifade edildiği üzere bir takım kriterleri gözetmesi gerekmektedir. Bunun dışında, elbette ki, idari para cezaları da temel ceza hukuku ilkelerine  tabidir. Bu yüzden, söz konusu cezanın uygulanmasında "kanunilik ilkesi", "cezaların şahsiliği ilkesi",  "kusur ilkesi", "masumiyet karinesi",  "ne bis in idem ilkesi", "savunma alınması gerekliliği", "gerekçeli karar ilkesi" gibi bir çok ilke de dikkate alınmalıdır.

Footnotes

1. Avrupa İnsan Hakları Mahkemesinin Konstantin Stefanov/Bulgaristan, B. No: 35399/05, 27/10/2015, par. 57, 58, Anayasa Mahkemesinin Mohamed Kashet ve Diğerleri (Genel Kurul) Kararı, B.No: 2015/17659, 20/06/2019, par. 45

2. Ölçülülük ilkesi; elverişlilik, gereklilik ve orantılılık olmak üzere üç alt ilkeden oluşmaktadır. Elverişlilik öngörülen müdahalenin ulaşılmak istenen amacı gerçekleştirmeye elverişli olmasını, gereklilik ulaşılmak istenen amaç bakımından müdahalenin zorunlu olmasını yani aynı amaca daha hafif bir müdahale ile ulaşılmasının mümkün olmamasını, orantılılık ise bireyin hakkına yapılan müdahale ile ulaşılmak istenen amaç arasında makul bir dengenin gözetilmesi gerekliliğini ifade etmektedir (Anayasa Mahkemesinin, E.2011/111, K.2012/56, 11/4/2012; E.2014/176, K.2015/53, 27/5/2015; E.2016/13, K.2016/127, 22/6/2016, § 18; Anayasa Mahkemesinin Mehmet Akdoğan ve diğerleri Kararı, B. No: 2013/817, 19/12/2013, § 38).

3. Anayasa Mahkemesi Mars Sinema Turizm Ve Sportif Tesisler İşletmeciliği A.Ş. Kararı, B. No: 2017/23849, 10/10/2018, par. 71.

4. Anayasa Mahkemesi Arif Güven Kararı, B. No: 2014/13966, 15/2/2017, §§ 58, 60.

5. Detaylı bilgi için: https://www.mondaq.com/turkey/data-protection/938578/amazon-turkiye-karar305nda-yer-alan-yurtd305351305-veri-aktar305m305na-304li351kin-tespit-ll-m

6. Anayasa Mahkemesinin 07.04.2016 tarih ve 2015/94 E. , 2016/27 K. Sayılı Kararı, Anayasa Mahkemesi Yasemin Bodur Kararı, B. No: 2017/29896, 25.12.2018, par. 40

7. Anayasa Mahkemesinin 17.02.2011 tarih ve 2009/47 E., 2011/51 K. Sayılı Kararı

8. Avrupa İnsan Hakları Mahkemesi Fabris/Fransa Büyük Daire Kararı, B. No: 16574/10, 7/2/2013, par. 56.

9. https://hudoc.echr.coe.int/tur#{"fulltext":["\"CASE OF MEGADAT.COM SRL v. MOLDOVA\""],"documentcollectionid2":["GRANDCHAMBER","CHAMBER"],"itemid":["001-85732"]}

10. https://kararlarbilgibankasi.anayasa.gov.tr/BB/2015/6728

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.