|
TÜRKİYE CUMHURİYETİ |
|
ANAYASA MAHKEMESİ |
|
|
|
|
|
GENEL KURUL |
|
|
|
KARAR |
|
|
|
M.I.I. BAŞVURUSU |
|
(Başvuru Numarası: 2020/7518) |
|
|
|
Karar Tarihi: 12/10/2023 |
|
R.G. Tarih ve Sayı: 15/12/2023-32400 |
|
|
|
GENEL KURUL |
|
|
|
KARAR |
GİZLİLİK TALEBİ KABUL
|
Başkan |
: |
Zühtü ARSLAN |
|
Başkanvekili |
: |
Hasan Tahsin GÖKCAN |
|
Başkanvekili |
: |
Kadir ÖZKAYA |
|
Üyeler |
: |
Engin YILDIRIM |
|
|
|
Muammer TOPAL |
|
|
|
M. Emin KUZ |
|
|
|
Rıdvan GÜLEÇ |
|
|
|
Yusuf Şevki HAKYEMEZ |
|
|
|
Yıldız SEFERİNOĞLU |
|
|
|
Selahaddin MENTEŞ |
|
|
|
Basri BAĞCI |
|
|
|
İrfan FİDAN |
|
|
|
Kenan YAŞAR |
|
|
|
Muhterem İNCE |
|
Raportör |
: |
Mehmet ALTUNDİŞ |
|
Başvurucu |
: |
M.I.I. |
|
Vekili |
: |
Av. Deniz TUNCEL |
I. BAŞVURUNUN KONUSU
1. Başvuru, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kişisel Verileri Koruma Kurulu tarafından uygulanan idari para cezası nedeniyle mülkiyet hakkının ihlal edildiği iddiasına ilişkindir.
II. BAŞVURU SÜRECİ
2. Başvuru 19/2/2020 tarihinde yapılmıştır.
3. Başvuru, başvuru formu ve eklerinin idari yönden yapılan ön incelemesinden sonra Komisyona sunulmuştur.
4. Komisyonca başvurunun kabul edilebilirlik incelemesinin Bölüm tarafından yapılmasına karar verilmiştir.
5. Birinci Bölüm başvurunun Genel Kurul tarafından incelenmesine karar vermiştir.
6. Başvuru belgelerinin bir örneği bilgi için Adalet Bakanlığına (Bakanlık) gönderilmiştir. Bakanlık, görüşünü bildirmiştir.
III. OLAY VE OLGULAR
7. Başvuru formu ve eklerinde ifade edildiği şekliyle ilgili olaylar özetle şöyledir:
8. Başvurucu; merkezi yurt dışında bulunan, farklı ülkelerde oteller işleten, otellere franchise hizmeti sağlayan ve bağlı şirketleri aracılığıyla devre mülklere lisans temin eden holding şirketi konumundadır.
9. Başvurucu Şirket bir başka konaklama şirketini 2016 yılında devralmıştır.
10. Başvurucu 8/9/2018 tarihinde devraldığı konaklama şirketinin konuk rezervasyon veri tabanındaki şüpheli işleme dair kurum içi güvenlik aracından bir uyarı almıştır. Yapılan incelemeler sonucunda 19/11/2018 tarihinde, bu şirketin konuk rezervasyon veri tabanına yetkisiz üçüncü bir kişinin eriştiği bilgisi teyit edilmiştir.
11. Başvurucu 30/11/2018 tarihinde bir basın açıklaması yayımlamış, konuya dair bir web sitesini erişime açarak olaya ilişkin bilgi sağlamış ve ilgili kişilerin kendilerini nasıl koruyabileceklerine dair tavsiyelerde bulunmuştur. Ayrıca durumdan etkilenen ve geçerli elektronik posta adresi bulunan misafirlerine elektronik postalar göndermiştir.
12. Başvurucu 3/12/2018 tarihinde Kişisel Verileri Koruma Kurumuna (Kurum) Türk vatandaşlarını ilgilendiren güvenlik olayı hakkında veri ihlali bildiriminde bulunmuştur. Bu bildirimde Şirket özetle;
i. 500 milyon müşteri verisinin veri ihlali nedeniyle kopyalandığını,
ii. Veri tabanının tutulduğu şirketin ağına Temmuz 2014'ten beri yetkisiz erişim olduğunu ve misafir veri tabanına yetkisiz erişimin 8/9/2018'de tespit edildiğini,
iii. 500 milyon müşteriden yaklaşık 327 milyonunun kişisel verilerinin çalındığını,
iv. İhlalden etkilenen verilerin ad/soyadı, posta adresi, telefon numarası, doğum tarihi, cinsiyeti, pasaport numarası, konaklama şirketinin hesap bilgileri, otel bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgiler olduğunu ifade etmiştir.
13. Yapılan bildirimin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 5/12/2018 tarihli kararıyla, devralınan konaklama şirketinin veri ağının güvenliği için yeterli önlemlerin alınmaması sonucunda gerçekleşen ihlalle ilgili olarak Türkiye'de yerleşik olan vatandaşların bu ihlalden etkilenip etkilenmediği, veri ihlalinden etkilenen, Türkiye'de yerleşik olan vatandaş bulunması hâlinde ihlal hakkında yapılan ve planlanan çalışma detayları hususlarında başvurucudan bilgi istenmesine, söz konusu ihlalin Kurum internet sayfasında ilan edilmesine karar verilmiştir.
14. Başvurucu, sunduğu 28/3/2019 tarihli beyan dilekçesinde özetle;
i. Yaklaşık 383 milyon müşteri kaydının olduğunu, bunlardan yaklaşık 1.24 milyonunda bölge/ülke adresi olarak Türkiye'nin belirtildiğini, bunun 383 milyon ayrı müşterinin veya 1.24 milyon Türk müşterinin olaya dâhil olduğu anlamına gelmediğini, çok kez aynı müşteri için birden fazla kayıt bulunduğunu,
ii. Çalınan verilerin niteliği ve büyüklüğü karşısında verilerin tekilleştirilmesinin kolayca gerçekleştirilmediğini, geçen süre içinde saldırganın bu alandaki yetkinliği dikkate alındığında incelemenin ortaya çıkarabildiği bilgilerin sınırlı olduğunu,
iii. Devralınan konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini beyan etmiştir.
15. Kurul tarafından 16/5/2019 tarihinde başvurucu hakkında 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığından 1.100.000 TL ve aynı Kanun'un 12. maddesinin (5) numaralı fıkrasında yer alan ihlalin en kısa sürede bildirilmesi yükümlülüğüne uymadığından 350.000 TL olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir. Bu karar 12/7/2019 tarihinde, başvurucu muhatap gösterilmek suretiyle başvurucunun Türkiye'deki otellerini işleten dolaylı iştirakine tebliğ edilmiştir.
16. Başvurucu 26/7/2019 tarihinde idari para cezasının kaldırılması talebiyle itiraz etmiştir. Başvurucu itiraz dilekçesinde özetle idari yaptırım kararının usulüne uygun olarak tebliğ edilmediğini, 6698 sayılı Kanun'un yürürlük tarihinden önceki olaylara uygulandığını, veri sorumlusu olarak kendisinin kabul edilemeyeceğini, Kurul kararının gerekçeli olmadığını, 6698 sayılı Kanun'da ihlal bildiriminin en kısa sürede yapılmasının düzenlendiğini, kısıtlayıcı bir süre öngörülmediğini, idari para cezasının en yüksek hadden verilmesinin ölçüsüz olduğunu belirtmiştir.
17. İstanbul Anadolu 1. Sulh Ceza Hâkimliği 7/11/2019 tarihli kararı ile kabahatin işlendiği yeri dikkate alarak yetkisizlik kararı vermiş, dosyanın Ankara Sulh Ceza Hâkimliğine gönderilmesine hükmetmiştir. Başvurucu bu karara 13/12/2019 tarihli dilekçe ile itiraz etmiştir. İtiraz, İstanbul Anadolu 2. Sulh Ceza Hâkimliğinin 13/12/2019 tarihli kararıyla kabul edilmiştir. Kararda, ticaret siciline kayıtlı yerin İstanbul/Acıbadem olduğu ve İstanbul Anadolu Adliyesi yetki sınırlarında bulunduğu kanaatiyle yetkisizlik kararının kaldırılarak esas hakkında karar verilmek üzere dosyanın İstanbul Anadolu 1. Sulh Ceza Hâkimliğine gönderilmesine kesin olarak karar verilmiştir.
18. Yetkisizlik kararı sonrası itirazı inceleyen İstanbul Anadolu 1. Sulh Ceza Hâkimliği (Hâkimlik) 23/12/2019 tarihli kararı ile idari yaptırım kararına yapılan başvuruyu reddetmiştir. Kararın gerekçesi şöyledir:
"... İdari yaptırım kararı ile ilgili düzenlenen tahkikat evrakı ve idari yaptırım kararı onaylı suretleri Hakimliğimizce celp edilmiş, evrak üzerinde yapılan incelemede; idarece düzenlenen tutanak ile eylemin sabit olduğu, sabit bulunan eylemin oluşturduğu kabahat nedeni ile hakkında idari yaptırım kararı düzenlenen idari yaptırımın yasa ve usule uygun olduğu anlaşılmakla itirazın reddine karar vermek gerekmiş[tir]...”
19. Başvurucu, Hâkimliğin 23/12/2019 tarihli kararına itirazda bulunmuştur. İtiraz, İstanbul Anadolu 2. Sulh Ceza Hâkimliğinin 9/1/2020 tarihli kararıyla kesin olarak reddedilmiştir. Kararın gerekçesi şöyledir:
"... Her ne kadar itiraz eden vekili İstanbul Anadolu 1. Sulh Ceza Hakimliği'nin 23/12/2019 tarih ve 2019/8868 d.iş sayılı kararına itiraz etmiş ise de; verilen kararda usule ve yasaya aykırılık bulunmadığı, verilen kararda değiştirilecek bir husus bulunmadığı anlaşılmakla itirazın reddine karar vermek gerekmiş aşağıdaki gibi hüküm kurulmuştur.
1-İtiraz eden vekilinin İstanbul Anadolu 1. Sulh Ceza Hakimliği'nin 23/12/2019 tarih ve 2019/8868 d.iş sayılı kararına yönelik İTİRAZININ REDDİNE,
2-Kararın taraflara İstanbul Anadolu 1. Sulh Ceza Hakimliğince tebliğine,
3-Kararın ve dosyanın gereği için İstanbul Anadolu 1. Sulh Ceza Hakimliğine gönderilmesine,
Dair, dosya üzerinde yapılan inceleme sonucunda KESİN olarak karar verildi."
20. Başvurucu, nihai karardan 21/1/2020 tarihinde haberdar olmuş; 19/2/2020 tarihinde bireysel başvuru yapmıştır.
IV. İLGİLİ HUKUK
A. Ulusal Hukuk
21. 6698 sayılı Kanun'un "Amaç" kenar başlıklı 1. maddesi şöyledir:
"(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."
22. 6698 sayılı Kanun'un "Tanımlar" kenar başlıklı 3. maddesinin ilgili kısmı şöyledir:
...
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."
...
23. 6698 sayılı Kanun'un "Veri güvenliğine ilişkin yükümlülükler" kenar başlıklı 12. maddesi şöyledir:
"(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
24. 6698 sayılı Kanun'un "Şikâyet üzerine veya resen incelemenin usul ve esasları" kenar başlıklı 15. maddesinin ilgili kısmı şöyledir:
"(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
...
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
..."
25. 6698 sayılı Kanun'un "Kabahatler" kenar başlıklı 18. maddesinin ilgili kısmı şöyledir:
"...
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir."
..."
26. 4/12/2004 tarihli ve 5271 sayılı Ceza Muhakemesi Kanunu'nun "Kararların gerekçeli olması" kenar başlıklı 34. maddesinin ilgili kısmı şöyledir:
"(1) Hâkim ve mahkemelerin her türlü kararı, karşı oy dahil, gerekçeli olarak yazılır. Gerekçenin yazımında 230 uncu madde göz önünde bulundurulur. Kararların örneklerinde karşı oylar da gösterilir.
..."
27. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi 'nin "Veri Güvenliğine İlişkin Yükümlülükler" başlıklı 12. maddesinin ilgili kısmı şöyledir:
"Veri sorumlularının alması gereken teknik ve idari tedbirler konusunda veri sorumlularına rehberlik etmek amacıyla 'Kişisel Veri Güvenliği Rehberi' hazırlanmış olup bu rehbere, Kurumun internet sitesi olan www.kvkk.gov.tr üzerinden 'Yayınlar' bölümündeki 'Rehberler' adımından ulaşılabilir.
Ayrıca, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.
..."
28. Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24/1/2019 tarihli ve 2019/10 sayılı kararının ilgili kısmı şöyledir:
"i. Kanunun 12 nci maddesinin (5) numaralı fıkrasının 'İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir…' hükmünde yer alan 'en kısa sürede' ifadesinin 72 saat olarak yorumlanmasına,
ii. Bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
iii. Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
...
iv. Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına... [karar verilmiştir.]"
29. 6698 sayılı Kanun uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlularının alması gereken teknik ve idari tedbirler Kişisel Veri Güvenliği Rehberi'nin teknik ve idari tedbirler tablosunda düzenlenmiştir. Bu tablonun 4.1. kısmında teknik tedbirler, 4.2. kısmında ise idari tedbirler gösterilmiştir. Ayrıca tablonun ilgili kısmı şöyledir:
"Veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla alabilecekleri teknik ve idari tedbirleri gösteren tablolar aşağıda verilmiştir. Teknik ve idari tedbirler belirlenirken, kişisel verilerin niteliği ve muhafaza edildiği ortam göz önünde bulundurulur."
B. Uluslararası Hukuk
30. 18/2/2016 tarihli ve 29628 sayılı Resmî Gazete'de yayımlanan 30/1/2016 tarihli ve 6669 sayılı Kanun'la uygun bulunan 28/1/1981 tarihli Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin 2. maddesinin birinci fıkrasının (a) bendi şöyledir:
''Kişisel veriler: Kimliği belirli veya belirlenebilir bir gerçek kişi ('ilgili kişi') hakkındaki tüm bilgileri ifade eder."
31. Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin "Verilerin Güvenliği" kenar başlıklı 7. maddesinin ilgili kısmı şöyledir:
"Otomatik dosyalara kaydedilen kişisel verileri korumak için, bunların kaza sonucu veya izinsiz olarak imhasına veya kaza sonucu kaybolmasına veya bunların izinsiz olarak elde edilmesine, değiştirilmesine veya dağıtılmasına karşı uygun güvenlik önlemleri alınır."
32. Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (GDPR) "Kişisel verilerin güvenliği" kenar başlıklı 32. maddesi şöyledir:
"İşleme güvenliği
1. Kontrolör ve işleyici, son teknoloji, uygulama maliyetleri ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, uygun olduğu hallerde, aşağıdakiler de dahil olmak üzere uygun teknik ve düzenlemeye ilişkin tedbirler uygular:
(a) kişisel verilerde takma ad kullanımı ve şifreleme;
(b) işleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak sağlanabilmesi;
(c) fiziksel veya teknik bir olay halinde, kişisel verilerin elverişliliği ve kişisel verilere erişimin vakitlice eski haline getirilebilmesi;
(d) işleme faaliyetinin güvenliliğinin sağlanmasına yönelik olarak teknik ve düzenlemeye ilişkin tedbirlerin etkililiğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin süreç.
2. Uygun güvenlik seviyesi değerlendirilirken, iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur.
3. 40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmasına uygun hareket edilmesi bu maddenin 1. paragrafında ortaya konan gerekliliklere uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir.
4. Kontrolör ve işleyici kontrolör ya da işleyicinin yetkisi ile hareket eden ve kişisel verilere erişimi bulunan herhangi bir gerçek kişinin, Birlik ya da üye devlet hukuku çerçevesinde bu yönde hareket etmesinin gerekmemesi durumunda, kontrolörden aldığı talimatlar haricinde bu verileri işlememesini sağlamak üzere adımlar atar."
33. Avrupa Birliği Genel Veri Koruma Tüzüğü'nün "Bir kişisel veri ihlalinin denetim makamına bildirilmesi" kenar başlıklı 33. maddesi şöyledir:
"1. Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması haricinde, kontrolör, gereksiz gecikmeye mahal vermeden ve, uygun olması halinde, ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini 55. madde uyarınca yetkin denetim makamına bildirir.
Denetim makamına yönelik bildirimin 72 saat içerisinde yapılmadığı hallerde, bu bildirimle birlikte gecikme sebeplerine de yer verilir.
2. İşleyici, bir kişisel veri ihlalinden haberdar olduktan sonra, herhangi bir gecikmeye mahal vermeden, kontrolöre bildirimde bulunur.
3. 1. paragrafta atıfta bulunulan bildirimde en azından:
(a) uygun olduğu hallerde, ilgili veri sahibi kategorileri ve yaklaşık sayısı ile ilgili kişisel veri kaydı kategorileri ve yaklaşık sayısı da dahil olmak üzere kişisel veri ihlalinin mahiyeti açıklanır;
(b) veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgileri iletilir;
(c) kişisel veri ihlalinin olası sonuçları açıklanır;
(d) uygun olduğu hallerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere kişisel veri ihlalinin ele alınması için kontrolör tarafından alınan veya alınması önerilen tedbirler açıklanır.
4. Bilgilerin aynı zamanda sağlanmasının mümkün olmadığı hallerde ve ölçüde, bilgiler gereksiz herhangi bir ek gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.
5. Kontrolör kişisel veri ihlallerini kişisel veri ihlaline ilişkin bilgiler, etkileri ve gerçekleştirilen düzeltici işlemi de kapsayacak şekilde belgelendirir. Bu belgelendirme denetim makamının bu maddeye uyumluluğu doğrulamasını sağlar.
34. Avrupa Birliği Genel Veri Koruma Tüzüğü'nün "İdari para cezaları kesilmesine ilişkin genel koşullar" kenar başlıklı 38. maddesi şöyledir:
"1. Her denetim makamı bu Tüzük’e ilişkin olarak 4, 5 ve 6. paragraflarda atıfta bulunulan ihlaller ile ilgili olarak bu madde uyarınca idari para cezaları kesilmesinin her münferit durumda etkili, ölçülü ve caydırıcı olmasını sağlar.
2. İdari para cezaları, her münferit durumun özelliklerine dayalı olarak, 58(2) maddesinin (a) ila (h) ve (j) bentlerinde atıfta bulunulan tedbirlere ek olarak veya bu tedbirler yerine kesilir. Her münferit durumda bir idari para cezası kesilip kesilmeyeceğine karar verilirken ve idari para cezası meblağına karar verilirken, aşağıdaki hususlar dikkate alınır:
(a) ilgili işleme faaliyetinin mahiyeti, kapsamı veya amacı dikkate alındığında ihlalin mahiyeti, ciddiyeti ve süresinin yanı sıra etkilenen veri sahibi sayısı ve veri sahiplerinin yaşadığı zarar düzeyi;
(b) ihlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması;
(c) veri sahiplerinin yaşadığı zararın azaltılması için kontrolör veya işleyici tarafından gerçekleştirilen herhangi bir işlem;
(d) 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve düzenlemeye ilişkin tedbirler dikkate alındığında, kontrolörün veya işleyicinin sorumluluk derecesi,
(e) kontrolör veya işleyicinin geçmişte konuyla ilgili ihlalleri;
(f) ihlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliği derecesi;
(g) ihlalden etkilenen kişisel veri kategorileri;
(h) kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildirdiyse ne ölçüde bildirdiği başta olmak üzere, denetim makamının ihlalden haberdar edilme şekli;
(i) 58 (2) maddesinde atıfta bulunulan tedbirlerin ilgili kontrolör veya işleyiciye karşı aynı konu ile ilgili olarak daha önceden alınmış olduğu hallerde, bu tedbirlere uyum;
(j) 40. madde uyarınca onaylı davranış kurallarına veya 42. madde uyarınca onaylı belgelendirme mekanizmalarına uygun hareket edilmesi;
(k) ihlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler."
35. Konuya ilişkin Avrupa İnsan Hakları Mahkemesi kararları için bkz. Kamil Darbaz ve GMO Yapı Grup End. San. Tic. Ltd. Şti., B. No: 2015/12563, 24/5/2018, §§ 32-38)
V. İNCELEME VE GEREKÇE
36. Anayasa Mahkemesinin 12/10/2023 tarihinde yapmış olduğu toplantıda başvuru incelenip gereği düşünüldü:
A. Başvurucunun İddiaları ve Bakanlık Görüşü
37. Başvurucu;
i. Veri ihlalinin yaşandığı konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini, idari para cezalarının muhatabının kendisi olmadığını, dolayısıyla idari para cezasının cezaların şahsiliğine aykırı olduğunu,
ii. Kabahat olduğu iddia edilen fiile, gerçekleştiği tarihten sonra yürürlüğe giren 6698 sayılı Kanun'un uygulanmasının kanunların geriye yürümezliği ilkesine aykırılık teşkil ettiğini,
iii. İdari para cezasına ilişkin Kurul kararının usulüne uygun biçimde tebliğ edilmediğini, yeterli gerekçe içermediğini, derece mahkemesi tarafından yeterli ve gerekli inceleme yapılmaksızın itirazın reddine karar verildiğini,
iv. Cevap dilekçesinin tebliğ edilmediğini,
v. Tüm teknik ve idari tedbirlerin alındığını, kısa bir sürede ihlalin tespit edilip bildirildiğini, 6698 sayılı Kanun'da bu yönde kısıtlayıcı bir süre bulunmadığını, bu hususun derece mahkemeleri tarafından gözetilmemesinin suçta ve cezada kanunilik ilkelerine aykırı olduğunu, en üst hadden idari para cezası uygulanmasının orantılı olmadığını ve mülkiyet hakkını ihlal ettiğini ifade etmiştir.
38. Bakanlık görüşünde; bireysel başvurunun süresi içinde yapılmadığı, idari para cezası uygulanırken 6698 sayılı Kanun ile Veri Koruma Genel Tüzüğü'nün esas alındığı, başvurucunun iddialarının kanun yolu şikâyeti olarak değerlendirilmesi gerektiği belirtilmiştir.
B. Değerlendirme
39. Anayasa'nın "Mülkiyet hakkı" kenar başlıklı 35. maddesi şöyledir:
"Herkes, mülkiyet ve miras haklarına sahiptir.
Bu haklar, ancak kamu yararı amacıyla, kanunla sınırlanabilir.
Mülkiyet hakkının kullanılması toplum yararına aykırı olamaz."
40. Anayasa Mahkemesi, olayların başvurucu tarafından yapılan hukuki nitelendirmesi ile bağlı olmayıp olay ve olguların hukuki tavsifini kendisi takdir eder. Başvurucunun şikâyetinin özü, idari para cezası uygulanması nedeniyle mülkiyet hakkının ihlal edilmesidir. Başvurucunun suçta ve cezada kanunilik ve şahsilik ilkeleri çerçevesinde, mülkiyet hakkına yapılan müdahalenin kanuniliği unsuru, kanunların geriye yürümezliği, tebligatın usulüne uygun yapılmadığı ve kararın gerekçeli olmadığına dair adil yargılanma hakkıyla ilgili olarak ileri sürdüğü iddiaların mülkiyet hakkının usul güvenceleri kapsamında incelenmesinin uygun olacağı değerlendirilmiştir.
1. Kabul Edilebilirlik Yönünden
41. Açıkça dayanaktan yoksun olmadığı ve kabul edilemezliğine karar verilmesini gerektirecek başka bir neden de bulunmadığı anlaşılan mülkiyet hakkının ihlal edildiğine ilişkin iddianın kabul edilebilir olduğuna karar verilmesi gerekir.
2. Esas Yönünden
a. Mülkün Varlığı
42. İdari para cezası uygulanmasıyla başvurucunun mal varlığında eksilmeye yol açıldığı kuşkusuz olduğuna göre bu paranın başvurucu açısından mülk teşkil ettiği açıktır (benzer yöndeki değerlendirmeler için bkz. Orhan Gürel, B. No: 2015/15358, 24/5/2018, § 43; Mustafa Taş, B. No: 2017/23968, 31/10/2018, § 35).
b. Müdahalenin Varlığı ve Türü
43. Anayasa’nın 35. maddesi ile mülkiyet hakkına temas eden diğer hükümleri birlikte değerlendirildiğinde Anayasa'nın mülkiyet hakkına müdahaleyle ilgili üç kural ihtiva ettiği görülmektedir. Buna göre Anayasa'nın 35. maddesinin birinci fıkrasında, herkesin mülkiyet hakkına sahip olduğu belirtilmek suretiyle mülkten barışçıl yararlanma hakkına yer verilmiş; ikinci fıkrasında da mülkten barışçıl yararlanma hakkına müdahalenin çerçevesi belirlenmiştir. Maddenin ikinci fıkrasında genel olarak mülkiyet hakkının hangi şartlarda sınırlanabileceği belirlenerek aynı zamanda mülkten yoksun bırakmanın şartlarının genel çerçevesi de çizilmiştir. Maddenin son fıkrasında ise mülkiyet hakkının kullanımının toplum yararına aykırı olamayacağı kurala bağlanmak suretiyle devletin mülkiyetin kullanımını kontrol etmesine ve düzenlemesine imkân sağlanmıştır. Anayasa'nın diğer bazı maddelerinde de devlet tarafından mülkiyetin kontrolüne imkân tanıyan özel hükümlere yer verilmiştir. Ayrıca belirtmek gerekir ki mülkten yoksun bırakma ve mülkiyetin düzenlenmesi, mülkiyet hakkına müdahalenin özel biçimleridir (Recep Tarhan ve Afife Tarhan, B. No: 2014/1546, 2/2/2017, §§ 55-58).
44. Somut olayda 6698 sayılı Kanun kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması ile veri güvenliği ihlalini en kısa sürede bildirmemesi nedeniyle başvurucu hakkında idari para cezası uygulanmasının mülkiyet hakkına müdahale teşkil ettiği açıktır. Söz konusu müdahaleyle kişisel verilerin korunmasıyla ilgili düzenlemelerin ihlal edilmesinin önlenmesi amaçlanmaktadır. Bu durumda başvuru konusu olaydaki müdahalenin amacı dikkate alındığında müdahalenin mülkiyetin kamu yararına kullanılmasının kontrol edilmesine ilişkin kural çerçevesinde incelenmesi gerekir (benzer yöndeki değerlendirmeler için bkz. Mars Sinema Turizm ve Sportif Tesisler İşletmeciliği A.Ş., B. No: 2017/23849, 10/10/2018, § 48; Mustafa Taş, § 38).
c. Müdahalenin İhlal Oluşturup Oluşturmadığı
45. Anayasa’nın 13. maddesi şöyledir:
"Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz."
46. Anayasa’nın 35. maddesinde mülkiyet hakkı sınırsız bir hak olarak düzenlenmemiş, bu hakkın kamu yararı amacıyla ve kanunla sınırlandırılabileceği öngörülmüştür. Mülkiyet hakkına müdahalede bulunulurken temel hak ve özgürlüklerin sınırlandırılmasına ilişkin genel ilkeleri düzenleyen Anayasa'nın 13. maddesinin de gözönünde bulundurulması gerekmektedir. Anılan madde uyarınca temel hak ve özgürlükler, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmaksızın Anayasa'nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Dolayısıyla mülkiyet hakkına yönelik müdahalenin Anayasa'ya uygun olabilmesi için müdahalenin kanuna dayanması, kamu yararı amacı taşıması ve ölçülülük ilkesi gözetilerek yapılması gerekmektedir (Recep Tarhan ve Afife Tarhan, § 62).
i. Kanunilik
47. Anayasa'nın 35. maddesinin ikinci fıkrasında, mülkiyet hakkının ancak kamu yararı amacıyla kanunla sınırlanabileceği belirtilmek suretiyle mülkiyet hakkına yönelik müdahalelerin kanunda öngörülmesi gerektiği ifade edilmiştir. Öte yandan Anayasa'nın temel hak ve özgürlüklerin sınırlandırılmasına ilişkin genel ilkelerin düzenlendiği 13. maddesinde hak ve özgürlüklerin ancak kanunla sınırlanabileceği temel bir ilke olarak benimsenmiştir. Buna göre mülkiyet hakkına yapılan müdahalelerde dikkate alınacak öncelikli ölçüt, müdahalenin kanuna dayalı olmasıdır (Ford Motor Company, B. No: 2014/13518, 26/10/2017, § 49).
48. Başvuruya konu idari para cezası 6698 sayılı Kanun'un 12. maddesinin (1) ve (5) numaralı fıkralarına dayanılarak uygulanmıştır. Başvurucu; veri ihlalinin tespit edilip bildirilmesi yönünden 6698 sayılı Kanun'da kısıtlayıcı bir süre bulunmadığını, bu sebeple müdahalenin kanuni dayanağı olmadığını ileri sürmekteyse de değerlendirmenin "Ölçülülük" başlığı altında yapılması uygun görülmüştür.
ii. Meşru Amaç
49. Anayasa'nın 13. ve 35. maddeleri uyarınca mülkiyet hakkı ancak kamu yararı amacıyla sınırlandırılabilmektedir. Kamu yararı kavramı mülkiyet hakkının kamu yararının gerektirdiği durumlarda sınırlandırılması imkânı vermekle bir sınırlandırma amacı olmasının yanı sıra mülkiyet hakkının kamu yararı amacı dışında sınırlanamayacağını öngörerek ve bu anlamda bir sınırlama sınırı oluşturarak mülkiyet hakkını etkin bir şekilde korumaktadır. Kamu yararı kavramı, devlet organlarının takdir yetkisini de beraberinde getiren bir kavram olup objektif bir tanıma elverişli olmayan bu ölçütün her somut olay temelinde ayrıca değerlendirilmesi gerekir (Nusrat Külah, B. No: 2013/6151, 21/4/2016, §§ 53, 56; Yunis Ağlar, B. No: 2013/1239, 20/3/2014, §§ 28, 29).
50. Başvurucuya uygulanan idari para cezasının dayanağı olan kanuni düzenlemelerle kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun her türlü teknik ve idari tedbirlerin alınmasının amaçlandığı anlaşılmıştır. Veri sorumlularına veri güvenliğinin korunması için yükümlülükler getirilmesinin ve bu yükümlülüklerin ihlali hâlinde yaptırım uygulanmasının kamu yararını sağlamaya yönelik olduğu açıktır.
iii. Ölçülülük
(1) Genel İlkeler
51. Anayasa'nın 13. maddesi uyarınca hak ve özgürlüklerin sınırlandırılmasında dikkate alınacak ölçütlerden biri olan ölçülülük, hukuk devleti ilkesinden doğmaktadır. Hukuk devletinde hak ve özgürlüklerin sınırlandırılması istisnai bir yetki olduğundan bu yetki ancak durumun gerektirdiği ölçüde kullanılması şartıyla haklı bir temele oturabilir. Bireylerin hak ve özgürlüklerinin somut şartların gerektirdiğinden daha fazla sınırlandırılması kamu otoritelerine tanınan yetkinin aşılması anlamına geleceğinden hukuk devletiyle bağdaşmaz (AYM, E.2013/95, K.2014/176, 13/11/2014).
52. Anayasa'nın 13. maddesinde yer alan ölçülülük ilkesi elverişlilik, gereklilik ve orantılılık olmak üzere üç alt ilkeden oluşmaktadır. Elverişlilik öngörülen müdahalenin amacı gerçekleştirmeye elverişli olmasını, gereklilik amaç bakımından müdahalenin zorunlu olmasını yani aynı amaca daha hafif bir müdahale ile ulaşılmasının mümkün olmamasını, orantılılık ise bireyin hakkına yapılan müdahale ile ulaşılmak istenen amaç arasında makul bir dengenin gözetilmesi gerekliliğini ifade etmektedir (AYM, E.2011/111, K.2012/56, 11/4/2012; E.2016/16, K.2016/37, 5/5/2016; Mehmet Akdoğan ve diğerleri, B. No: 2013/817, 19/12/2013, § 38).
53. Buna göre mülkiyet hakkına yapılan müdahalenin Anayasa'ya uygun olabilmesi için amacı gerçekleştirmeye elverişli olmasının yanında gerekli olması da gerekir. Gereklilik yukarıda da belirtildiği üzere hakka müdahale teşkil eden birden fazla araç arasından hakkı en az zedeleyen aracın seçilmesini ifade etmektedir. Hak ve özgürlüğü sınırlayan tedbirlerden hangisi diğerlerine nazaran hakkın norm alanına daha az müdahale edilmesi sonucunu doğuruyorsa o tedbirin tercih edilmesi gerekir. Bununla birlikte hakka müdahale oluşturacak aracın seçiminde kamu otoritelerinin belli ölçüde takdir payının bulunduğu da kabul edilmelidir. Zira yetkili kamu makamları, öngörülen amaca ulaşılması bakımından hangi aracın etkili ve verimli sonuçlar doğuracağına ilişkin olarak isabetli karar verme noktasında daha iyi bir konumdadır. Özellikle alternatif aracın bulunmadığı veya mevcut alternatiflerin öngörülen meşru amaca ulaşılması bakımından etkili olmadığı ya da daha az etkili olduğu durumlarda kamu makamlarının araç seçimi hususundaki tercih yetkisinin gereklilik kriterini sağlamadığının söylenebilmesi için çok güçlü nedenlerin bulunması gerekir (D.C., B. No: 2018/13863, 16/6/2021, § 48).
54. Öte yandan mülkiyet hakkına yönelik müdahaleler orantılı olmalıdır. Orantılılık, sınırlamayla ulaşılmak istenen amaç ile başvurulan sınırlama tedbiri arasında aşırı bir dengesizlik bulunmamasına işaret etmektedir. Diğer bir ifadeyle orantılılık, amaç ile araç arasında adil bir denge kurulmasını gerektirmektedir. Buna göre mülkiyet hakkına getirilen sınırlamayla ulaşılmak istenen meşru amaç ve başvurucunun mülkiyet hakkından yararlanmasındaki bireysel yarar arasında makul bir orantı kurulmalıdır.
55. Usule ilişkin güvencelerin varlığı orantılılık değerlendirmesinde önemli bir rol oynayabilir. Bu bakımdan kişinin hukuka aykırılık iddialarının bir mahkeme tarafından etkili bir biçimde incelenmesi müdahalenin orantılılığı bakımından ehemmiyet arz etmektedir (D.C., § 52). Anayasa'nın 35. maddesi usule ilişkin açık bir güvenceden söz etmemektedir. Bununla birlikte mülkiyet hakkının gerçek anlamda korunabilmesi bakımından bu madde, Anayasa Mahkemesinin çeşitli kararlarında da ifade edildiği üzere mülk sahibine müdahalenin kanun dışı veya keyfî ya da makul olmayan şekilde uygulandığına ilişkin savunma ve itirazlarını sorumlu makamlar önünde etkin bir biçimde ortaya koyabilme imkânının tanınması güvencesini kapsamaktadır. Bu değerlendirme ise uygulanan sürecin bütününe bakılarak yapılmalıdır (Züliye Öztürk, B. No: 2014/1734, 14/9/2017, § 36; Bekir Yazıcı [GK], B. No: 2013/3044, 17/12/2015, § 71).
56. Mülkiyet hakkının usule ilişkin güvenceleri hem özel kişiler arasındaki mülkiyet uyuşmazlıklarında hem de taraflardan birinin kamu gücü olduğu durumlarda geçerlidir. Bu bağlamda mülkiyet hakkının korunmasının söz konusu olduğu durumlarda usule ilişkin güvencelerin somut olayda yerine getirildiğinden söz edilebilmesi için derece mahkemelerinin kararlarında konu ile ilgili ve yeterli gerekçe bulunmalıdır. Ayrıca belirtmek gerekir ki bu zorunluluk davacının bütün iddialarına cevap verilmesi anlamına gelmemekle birlikte mülkiyet hakkını ilgilendiren davanın sonucuna etkili esasa ilişkin temel iddia ve itirazların yargılama makamlarınca özenli bir şekilde değerlendirilerek karşılanması gerekmektedir (Kamil Darbaz ve Gmo Yapı Grup End. San. Tic. Ltd. Şti., B. No: 2015/12563, 24/5/2018, § 53). Tarafların muhakeme sırasında ileri sürdükleri iddialarının kurallara uygun biçimde incelenip incelenmediğini bilmeleri, demokratik bir toplumda kendi adlarına verilen yargı kararlarının sebeplerini toplumun öğrenmesinin sağlanması için de gereklidir (Sencer Başat ve diğerleri [GK], B. No: 2013/7800, 18/6/2014, §§ 31, 34).
(2) İlkelerin Olaya Uygulanması
57. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır (AYM, E.2014/122, K.2015/123, 30/12/2015, §§ 19, 20). Anayasa Mahkemesi kararlarında da belirtildiği üzere kişisel veri -belirli veya kimliği belirlenebilir olmak şartıyla- bir kişiye ilişkin bütün bilgileri ifade etmekte olup bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi sadece kimliğini ortaya koyan bilgileri değil telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgiler, IP adresi, e-posta adresi, alışveriş alışkanlıkları, hobiler, tercihler, etkileşimde olduğu kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır (AYM, E.2014/74, K.2014/201, 25/12/2014; E.2014/180, K.2015/30, 19/3/2015).
58. Bu noktada kişisel verilerin korunması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun altı çizilmelidir. Kişisel verilerin korunması ile asıl olarak kişisel verilerin işlenmesi sırasında temel hak ve özgürlüklerin korunması ile verilerin işlenmesi sırasındaki hukuki sınırlar ifade edilirken veri güvenliğinin korunmasında ise verilerin bizzat kendisinin korunması için alınması gereken teknik ve idari tedbirler anlaşılmaktadır. Veri güvenliği ile hukuka uygun bir biçimde işlenen ve depolanan kişisel verilere tesadüfen veya yetkisiz kişilerce ulaşılması, bu verilerin değiştirilmesi veya alenileştirilmesi gibi risklere karşı uygun güvenlik önlemleriyle bu verilerin korunması amaçlanmaktadır.
59. 6698 sayılı Kanun'a göre kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyinin temin edilmesi zorunludur. Uygun güvenlik seviyesi değerlendirilirken iletilen, saklanan veya işlenen kişisel verilerin tesadüfen veya usulsüz olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler gözönünde bulundurulur. Uygun güvenlik düzeyinin belirlenmesinde şirketin büyüklüğü veya mali bilançosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.
60. 6698 sayılı Kanun gereğince veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 6698 sayılı Kanun'da veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Öte yandan veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde Kanun'da belirlenen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri sorumlusu, kendi kurum veya kuruluşunda 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
61. Veri güvenliğinin sağlanması amacıyla hangi tedbirin uygulanacağının belirlenmesi hususunda idarelerin belli ölçüde takdir yetkisi bulunmaktadır. Ne var ki seçilen aracın gerekliliğine ilişkin olarak idarelerin sahip olduğu takdir yetkisi sınırsız değildir. Tercih edilen aracın müdahaleyi ulaşılmak istenen amaca nazaran bariz bir biçimde ağırlaştırması durumunda Anayasa Mahkemesince müdahalenin gerekli olmadığı sonucuna ulaşılması mümkündür. Ancak Anayasa Mahkemesinin bu kapsamda yapacağı denetim, seçilen aracın isabet derecesine yönelik olmayıp hak ve özgürlükler üzerinde oluşturduğu müdahalenin ağırlığına dönüktür. Bu bağlamda veri güvenliğinin sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbir yükümlülüğünün getirilmesinin ve bunun ihlali hâlinde ölçülü bir yaptırım uygulanmasının idarenin takdir yetkisi kapsamında olduğunun kabulü gerekir.
62. 6698 sayılı Kanun kapsamında kamu makamlarına veri güvenliği için uygun güvenlik düzeyinin temin edilememesi durumunda idari para cezası uygulama yetkisi tanınmıştır. 6698 sayılı Kanun kapsamında veri güvenliğinin sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik yükümlülüğün ihlali hâlinde idari para cezası uygulanmasının elverişli bir araç olduğu anlaşılmaktadır.
63. Somut başvuruda başvurucu öncelikle 6698 sayılı Kanun kapsamında veri sorumlusu olarak kendilerinin değil veri ihlalinin yaşandığı devralınan konaklama şirketinin kabul edilmesi gerektiğini iddia etmiştir. Başvurucu, sulh ceza hâkimliğine itiraz ederken Kurul tarafından verilen kararın usule aykırı olarak tesis edildiğini, hukuken gerekli ve yeterli bir gerekçe içermediğini, idari para cezasının zaman bakımından uygulanabilir olmadığını, idari para cezalarının muhatabının kendisi olmadığını, dolayısıyla idari para cezasının cezada şahsiliğe aykırı olduğunu, kısa sürede bildirim yükümlülüğünü yerine getirdiğini, mevzuattaki süreye dair belirsizliğin aleyhine yorumlandığını, kanunda süreyle ilgili bir belirleme olmadığını, sürenin ne olması gerektiğine ilişkin olarak Kurul tarafından verilen kararların somut olaydan sonra verildiğini, dolayısıyla somut olayda uygulanamayacağını, kişisel verilerin korunmasında kusur sorumluluğunun esas olduğunu, tüm tedbirleri almasına ve kusuru olmamasına rağmen ceza verilmesinin hukuka aykırı olduğunu, idari para cezasının ölçülülük ilkesine ve diğer cezaya konu edilen olaylar ile karşılaştırıldığında eşitlik ilkesine aykırı olduğunu belirtmiştir. Başvurucunun bu iddialarının yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğu açıktır. Başvurucunun bu itirazları hakkında Hâkimlik tarafından hiçbir değerlendirme yapılmadığı görülmüştür (bkz. § 19). Bu sebeple mülkiyet hakkının korunmasına yönelik usule ilişkin güvencelerin somut olayda yerine getirilmediği sonucuna varılmıştır.
64. Açıklanan gerekçelerle Anayasa’nın 35. maddesinde güvence altına alınan mülkiyet hakkının ihlal edildiğine karar verilmesi gerekir.
3. Giderim Yönünden
65. Başvurucu, ihlalin tespiti ve yeniden yargılama yapılması talebinde bulunmuştur.
66. Başvuruda tespit edilen hak ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmasında hukuki yarar bulunmaktadır. Bu kapsamda kararın gönderildiği yargı mercilerince yapılması gereken iş, yeniden yargılama işlemlerini başlatmak ve Anayasa Mahkemesini ihlal sonucuna ulaştıran nedenleri gideren, ihlal kararında belirtilen ilkelere uygun yeni bir karar vermektir (30/3/2011 tarihli ve 6216 sayılı Anayasa Mahkemesinin Kuruluşu ve Yargılama Usulleri Hakkında Kanun’un 50. maddesinin (2) numaralı fıkrasında düzenlenen bireysel başvuruya özgü yeniden yargılama kurumunun özelliklerine ilişkin kapsamlı açıklamalar için bkz. Mehmet Doğan [GK], B. No: 2014/8875, 7/6/2018, §§ 54-60; Aligül Alkaya ve diğerleri (2), B. No: 2016/12506, 7/11/2019, §§ 53-60, 66; Kadri Enis Berberoğlu (3) [GK], B. No: 2020/32949, 21/1/2021, §§ 93-100).
VI. HÜKÜM
Açıklanan gerekçelerle;
A. Kamuya açık belgelerde başvurucunun kimliğinin gizli tutulması talebinin KABULÜNE,
B. Mülkiyet hakkının ihlal edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA,
C. Anayasa’nın 35. maddesinde güvence altına alınan mülkiyet hakkının İHLAL EDİLDİĞİNE,
D. Kararın bir örneğinin mülkiyet hakkının ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmak üzere İstanbul Anadolu 1. Sulh Ceza Hâkimliğine (2019/8868 D. İş) GÖNDERİLMESİNE,
E. 446,90 TL harç ve 18.800 TL vekâlet ücretinden oluşan toplam 19.246,90 TL yargılama giderinin başvurucuya ÖDENMESİNE,
F. Ödemenin kararın tebliğini takiben başvurucunun Hazine ve Maliye Bakanlığına başvuru tarihinden itibaren dört ay içinde yapılmasına, ödemede gecikme olması hâlinde bu sürenin sona erdiği tarihten ödeme tarihine kadar geçen süre için yasal FAİZ UYGULANMASINA,
G. Kararın bir örneğinin Adalet Bakanlığına GÖNDERİLMESİNE 12/10/2023 tarihinde OYBİRLİĞİYLE karar verildi.
