Kişisel Verileri Koruma Kurulu ("Kurul") Kararlarına İtiraz Rehberi
Kişisel Verileri Koruma Kurumu ("Kurum") "kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak" şeklinde ilan ettiği vizyonu doğrultusunda yaptığı 4 Ocak 2018 tarihinde Avrupa Veri Koruma Otoriteleri Konferansı'na (Spring Conference) akreditasyon başvurusunda bulunmuş ve 8-10 Mayıs 2019 tarihleri arasında gerçekleştirilen 29. Avrupa Veri Koruma Otoriteleri Konferansı'nda yapılan oylama neticesinde söz konusu başvuru kabul edildi. Türkiye'nin artık uluslararası platformlarda "akredite ülke" olarak kabul görmesi Kurumun faaliyetlerini hızlandırmasına neden oldu. Son zamanlarda Kurul, Kişisel Verileri Koruma Kanununun Kabahatler başlıklı 18. Maddesine dayanarak, her bir ihlalden dolayı 1.000.000 Türk Lirasına kadar para cezası kesebiliyor ve bu kararların şirketlerin Kurumun ve Kişisel Verileri Koruma Kanununun gerekliliklerine uymaması halinde hız kesmeden devam edecek gibi görünüyor. Bu rehber Kurul tarafından kesilen cezalarla yüzleşmemek için yapılması gerekenleri ve Kurul kararlarına itiraz yolları hakkında bilgiler içermektedir.
Kurulun para cezası içeren kararlarında çoğunlukla esas aldığı ihlaller hangileridir?
Günümüze kadar alınan kararlara, çarpıcı bir örnek olarak ise Facebook kararına, baktığımızda Kurulun en çok 6698 sayılı Kanunun 12nci maddesinin (1) numaralı fıkrası gereği veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan şirketler hakkında ihlal kararı verdiğini görüyoruz. Kurumun gerekli teknik ve idari tedbirlerin belirlenebilmesi için oluşturduğu ve kararlarında da atıf yaptığı, Veri Güvenliği Rehberi herkese açık olarak yayımlandı ve Kurumun sitesinden erişilebilir. İlgili mevzuat uyarınca veri sorumlusu kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyi temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kurul, ihlalin gerçekleştiği tarih ile ihlalin tespit edilmesi arasında geçen süre uzun ise, her somut olaya göre değişmekle birlikte, şirket tarafından gerekli denetim ve kontrollerin yapılmadığını kabul etmektedir. Yine, bir kez ihlal gerçekleştikten ve şirketin verilerine erişildikten sonra, saldırganların sistemde ilerleyebilmesini yani ilk erişilen veri tabanından başka bilgilere ulaşmalarını şirketlerin donanım ve yazılımlarının yapılandırmalarının doğru bir şekilde yapılmadığına ile alınan güvenlik önlemlerinin yetersiz olduğuna karar vermektedir.
Kurulun kestiği cezalara sıklıkla sebep oluşturan diğer bir ihlal türü ise Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer alan "en kısa sürede" bildirimde bulunma yükümlülüğüne aykırılık teşkil eden durumlar oluyor. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiğini de dikkate alarak 24.01.2019 tarih ve 2019/10 sayılı kararı ile "en kısa sürede" ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Burada önem arz eden nokta, uygulamada sorumluların Kurula bildirim yükümlülüğünü yerine getirmekle beraber ilgiliye bildirimde bulunmazlarsa da cezayla karşı karşıya kalacaklardır.
Veri ihlalini önlemek için veya ihlal halinde neler yapılabilir?
Öncelikle önlem alma yükümlülüğü; kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyi temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak anlamına gelmekte olup, teknik alt yapının iyi kurulmuş olması gerekmektedir. Teknik inceleme ve denetimler sıklaştırılmalıdır.
İhlal gerçekleştiğinde ilgililere bildirim yükümlüğünün yerine getirilebilmesi için ilgililerle anında ve doğrudan iletişime geçmek üzere gerekli olabilecek altyapıların hazır bulundurulması faydalı olacaktır.
Hukuki tavsiyemiz ise her şirketin kişisel verilerin korunmasına ilişkin, KVKK mevzuatına ve uygulamasına hâkim hukukçulara başvurarak "due diligence" yaptırmasıdır. Böylece ileride çok büyük miktarlarda cezalıların uygulanmasından ve kanun yolu prosedüründen kaçınılabilir.
Kurul kararlarına karşı nereye ve nasıl itiraz edilir?
Kişisel Verileri Koruma Kanunu Kabahatler başlıklı madde 18'de idari para cezaları düzenlenirken, Kanunda bu kararlara karşı itiraz süreci düzenlenmemekle birlikte; kanunun gerekçesinde kanunda kabahatler ile ilgili hüküm bulunmayan hallerde genel kanun niteliğinde olan 5326 sayılı Kabahatler Kanununu hükümlerinin uygulanacağı belirtilmiş.
5326 sayılı Kabahatler Kanununun 27. maddesi para cezalarına karşı, kararın tebliği veya tefhiminden itibaren en geç 15 gün içinde yetkili Sulh Ceza Mahkemesi'ne başvurulması gerektiği, süre içerisinde başvurulmaz ise kararın kesinleştiği düzenlemektedir. İtirazda yetkili Sulh Ceza Mahkemesi CMK madde 12'de suçun işlendiği yer mahkemesi ve mağdurun bulunduğu yer mahkemeleri de yetkili olduğu düzenlenmiş. CMK 269'da yapılan itirazın kararın yerine getirilmesinin geri bırakılması sonucu doğurmayacağını ancak kararına itiraz edilen makamın veya kararı inceleyecek merciin, geri bırakılmaya karar verebileceği belirtilmekte olduğundan tek başına itiraz Kurumun icra talebinde bulunmasını engellemez.
Mahkemenin yaptığı inceleme sonucunda, Kabahatler Kanunu madde 28'de, başvurunun reddine, idari yaptırımın kaldırılmasına, para cezasının miktarında değişiklik yaparak başvurunun kabulüne karar verebileceği düzenlenmiş. Ancak sonuç alınabilmesi için itirazın çok iyi hazırlanması ve temelinin sağlam hukuki argümanlara dayanıyor olması büyük önem taşıyor.
Kurul kararlarına itiraz ederken dikkat edilecek hususlar nelerdir?
Öncelikle Kabahatler Kanununda öngörülen, İdarî para cezasını kanun yoluna başvurmadan önce ödeyen kişiden bunun dörtte üçü tahsil edileceği düzenlemesinden yararlanmak için, ceza ödendikten sonra itiraz yoluna başvurulmalıdır. Zira peşin ödeme, kişinin bu karara karşı kanun yoluna başvurma hakkını etkilemez. Cezayı ödemeden itiraz yoluna gidilmesi, erken ödeme avantajının kaybolmasına neden olacaktır.
Ayrıca 2011/54 Esas sayılı Anayasa Mahkemesi Kararı ile anayasal savunma hakkını ihlal ettiği gerekçesi ile 6217 sayılı Yargı Hizmetlerinin Hızlandırılması Amacıyla Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun'un 12. ve 13. Maddelerinin iptal edilmesi sonucu ceza dairelerine karşı kanun yollarına başvurulması harçtan muaftır. Bu durumda karara itiraz reddedilse dahi, harç ödenmeyecek, yalnızca dosya masrafları ödenecektir.
Türkiye dışında ikamet eden, ancak Türkiye vatandaşlarının kişisel verilerini işleyen veri denetleyicileri, Kişisel Verileri Koruma Kanununun yükümlülüklerinin yanı sıra Türkiye'deki veri denetleyicileri için de geçerli olabileceğini göz önünde bulundurmalıdırlar.
Bu makalenin içeriği, konuya genel bir rehber sağlamak için tasarlanmıştır. Her somut olay hakkında hukuki görüş alınmalıdır.
Saygılarımızla,
Av. Gökhan Muhtaranlar
Av. Elif Gökçen Bay
Yaren Gürbüz