Kişisel Verilerin Korunması Kapsamında İdari Yaptırım Altına Alınan Kabahatler

[vc_row][vc_column][vc_column_text]

Av. Yalçın TORUN

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_tta_accordion c_icon=”” active_section=”” title=”Kişisel Verilerin Korunması Kapsamında İdari Yaptırım Altına Alınan Kabahatler”][vc_tta_section title=”GENEL OLARAK” tab_id=”1633518070394-464dbb5d-3ba4″][vc_column_text]

Kişisel Verilerin Korunması Kanunu

Kabahatler

MADDE 18– (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

»KVKK’nun 17. maddesinde kişisel verilerin hukuku kapsamında suç oluşturan eylemlere ilişkin genel bir düzenleme mevcuttur. KVKK ‘nun 17. Maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümlerinin uygulanacağı düzenlenmiştir. Ayrıca KVKK’nun 7’inci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenlerin 5237 sayılı Kanunun 138’inci maddesine göre cezalandırılacağı hüküm altına alınmıştır. Daha önceki bölümlerde TCK 138. maddesinde düzenlenen “verileri yok etmeme“ suçu kapsamlı olarak incelenmiştir. KVKK 17. maddesi ikinci paragrafında, daha önce KVKK hükümlerine uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktıktan sonra verilerin silinmemesi, yok edilmemesi ve anonim hale getirilmemesi durumunda verilerin yok edilmemesi suçunun oluşacağı düzenlenmiştir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ile belirlenmiştir.

»KVKK’nun kabahatler başlıklı 18. maddesinde ise idari para cezası ile cezalandırılacak kabahat niteliğindeki fiiller belirlenmiş, KVKK’da belirlenen idari para cezalarına Kişisel Verileri Koruma Kurulu tarafından karar verileceği düzenlenmiştir. Kanunda düzenlenen kabahatler, aydınlatma yükümlülüğünü yerine getirmemek, veri güvenliğine ilişkin yükümlülükleri yerine getirmemek, kurul tarafından verilen kararları yerine getirmemek, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etmek olarak belirlenmiştir. Bahse konu idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Bahse konu kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin yaptırımları uygulanacak ve sonuç kurula bildirilecektir.

»Veri taşıyıcısı ilgili kişinin kişisel verilerinin korunmasına yönelik hakları KVKK’nın 11’inci maddesinde belirlenmiştir. Kanunda belirlenen haklarına ulaşmak isteyen ilgili kişi KVKK’nın 13/1’inci fıkrası gereği taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna başvuruda bulunacaktır. KVK Kurumu 10 Mart 2018 tarihli Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliği yayımlamıştır . Tebliğin “Başvuru Usulü” başlıklı 5. maddesinde başvurunun yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza yada ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresi kullanılarak yada geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna yapılabileceği düzenlenmiştir. Başvuruda, başvuruda bulunan ilgili kişinin adı ve soyadı, Türkiye Cumhuriyeti vatandaşlarının T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, talep konusu ile yazılı yapılacak başvurularda imzanın bulunmasının zorunlu olduğu, eğer varsa bildirime esas elektronik posta adresi, telefon ve faks numarasının yazılması gerektiği belirtilmiştir. Başvuruda konuya ilişkin bilgi ve belgeler başvuruya eklenecektir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihi olarak kabul edilecektir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilecektir.

»İlgili kişinin veri sorumlusuna başvurusu, KVK Kuruluna daha sonra yapılacak şikayet için zorunlu bir başvurudur. KVK Kanunu 14/2’inci paragraf gereği başvuru yolu tüketilmeden şikayet yoluna başvurulamayacaktır. Zorunlu başvurunun yapılması sonrası KVK Kanununun 14/1’inci fıkrası gereği başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilecektir. Kurula yapılacak şikayette ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 4’üncü maddesinde belirtilen dilekçe sahibinin adı-soyadı ve imzası ile iş veya ikametgah adresinin bulunması zorunlu olup, belli bir konuyu ihtiva etmeyen şikayet dilekçeleri ile yargı mercilerinin görevine giren konularla ilgili olan şikayetlerin dikkate alınmayacağı hususu Kanunun 6. maddesinde düzenlenmiştir. Şikayet üzerine kurul veri sorumlusundan inceleme konusuyla ilgili bilgi ve belgeler isteyebilecek, veri sorumlusu devlet sırrı niteliğindeki bilgi ve belgeler hariç; konuyla ilgili talep edilen bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorundadır. Şikayet üzerine gerekli incelemeyi yapan kurul ilgili kişiye şikayet tarihinden itibaren altmış gün içinde cevap verecektir, altmış gün içerisinde cevap verilmezse talep reddedilmiş sayılacaktır. Kurul yaptığı inceleme sonrasında ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir. İhlalin yaygın olduğunun tespit edilmesi halinde Kurul, bu konuda ilke kararı alarak ve bu kararı yayımlamaktadır. Kurul, ilke kararı almadan önce ihtiyaç duyması halinde, ilgili kurum ve kuruluşların görüşlerini de alabilir. Kurul ihlal iddiasını öğrendiği takdirde görev alanına giren konularda resen inceleme yetkisine de sahiptir.

»Kurul şikayet üzerine veya resen yaptığı incelemede telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilecektir. Veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulması kararı, Anayasanın 125. maddesinde düzenlenen ve idari yargıya verilen yürütmenin durdurulması yetkisinden farklıdır. Anayasa 125. Maddesinde idari işlemin uygulanması halinde telafisi güç veya imkansız zararların doğması ve idari işlemin açıkça hukuka aykırı olması şartlarının birlikte gerçekleşmesi durumunda gerekçe gösterilerek yürütmenin durdurulmasına karar verilebilecektir. Aynı şekilde İYUK 27. maddesinde Danıştay veya idari mahkemelerce idari işlemin uygulanması halinde telafisi güç veya imkansız zararların doğması ve idari işlemin açıkça hukuka aykırı olması şartlarının birlikte gerçekleşmesi durumunda, davalı idarenin savunması alındıktan veya savunma süresi geçtikten sonra gerekçe göstererek yürütmenin durdurulmasına karar verebilecekleri düzenlenmiştir. Oysa burada bahse konu karar idari bir işlemdir. Bahse konu idari işlem idarenin her türlü eylem ve işlemlerine karşı yargı yolu açık olduğundan yargı denetimine tabidir.

»Veri sorumluları KVK Kanununun 3/ı fıkrasına göre kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Bahse konu tüzel kişiler arasında kamu tüzel kişileri de mevcuttur. Kamu kurumlarında kişisel verileri işlemekle görevli gerçek kişiler veri sorumlusu değildirler. Veri sorumlusu kamu tüzel kişileri anayasanın 127’inci maddesine göre mahalli idareler, 130’uncu maddesine göre üniversiteler, 123. maddesine göre kanunla veya Cumhurbaşkanlığı kararnamesiyle kurulan diğer kamu tüzel kişileri veri sorumlularıdır. Bahse konu kamu tüzel kişilerine yapılan kişisel verilerin korunmasına yönelik başvurular, KVKK 13/1 kapsamında gerçekleşmiş olsa dahi aynı zamanında idari başvuru olup, bahse konu idari başvurular sonrası idarece tesis edilen işlemler yargı denetimine tabidir. Aynı şekilde KVK Kuruluna yapılan şikayet sonrası, KVK kurulu tarafından verilen kararlar ve tesis edilen idari işlemler nedeniyle İYUK 2. Maddesi gereği menfaatleri ihlal edilen şikayetçiler iptal davası açabilecekleri gibi, KVK Kurulu işlemlerden dolayı kişisel hakları doğrudan muhtel olan şikayetçiler tarafından tam yargı davası da açabileceklerdir. Aşağıda da ayrıntılı açıklandığı üzere hakkında gerçekleşen şikayet sonrası hakkında idari para cezası verilen veri sorumluları ise adli yargıya başvurabileceklerdir. Kişisel verilerinin korunması hakkı ihlal edilerek kişilik hakları zarar görenler genel hükümlere göre veri sorumlusu gerçek kişi ve özel hukuk tüzel kişilerine karşı adli yargı da tazminat davası açabilecekleri gibi kamu tüzel kişilerine karşı tam yargı davası da açabileceklerdir. Hak arama çarelerinden birisi olarak kabul edebileceğimiz KVK Kuruluna şikayet müessesesi kişisel verilerin korunması hakkının ihlalinin önlenmesi için yargı mekanizmalarına kıyasla daha kısa zamanda etkin sonuç alınabilecek bir alternatif uyuşmazlık çözüm yöntemi olarak kabul edilebilir. KVK Kurulunca şikayetler sonrasında ve resen yaptığı incelemeler sonrasında yaygın ihlallerin mevcut olduğunun tespiti sonrasında verilmiş ve resmi gazetede yayımlanmış olan ilke kararları mevcuttur. Bahse konu ilke kararlarına örnek olarak “veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararı”(1), “Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik Kişisel Verileri Koruma Kurulunun 18/10/2019 Tarihli ve 2019/308 Sayılı İlke Kararı” (2) “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi” ile ilgili Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı” (3) verilebilir.

»Kişisel Verilerin Korunması Kanununda düzenlenen kabahatlere Kabahatler Kanununun 3.1/b bendinde Kabahatler Kanununun genel hükümlerinin idari para cezası veya mülkiyetin kamuya geçirilmesi yaptırımını gerektiren bütün fiiller hakkında da uygulanacağı ifade edilmiştir. Bu kapsamda, kanunda açıkça hüküm bulunmayan hallerde, hem kasten hem de taksirle işlenebileceği, kabahatlerde teşebbüsün cezalandırılma-yacağı, ancak teşebbüsün de cezalandırılabileceğine dair ilgili kanunda hüküm bulunan hallerde Türk Ceza Kanununun suça teşebbüse ve gönüllü vazgeçmeye ilişkin hükümlerinin, kabahatler bakımından da uygulanacağı, kabahatin işlenişine birden fazla kişinin iştirak etmesi halinde bu kişilerin her biri hakkında, fail olarak idari para cezası verileceği de burada ayrıca ifade edilmelidir. Bir fiil ile birden fazla kabahatin işlenmesi halinde bu kabahatlere ilişkin tanımlarda sadece idari para cezası öngörülmüşse, en ağır idari para cezası verilecektir. Aynı kabahatin birden fazla işlenmesi halinde her bir kabahatle ilgili olarak ayrı ayrı idari para cezası verilir. Kesintisiz fiille işlenebilen kabahatlerde, bu nedenle idari yaptırım kararı verilinceye kadar fiil tek sayılacaktır. Bir fiil hem kabahat hem de suç olarak tanımlanmış ise, sadece suçtan dolayı yaptırım uygulanabilecek, ancak, suçtan dolayı yaptırım uygulanamayan hallerde kabahat dolayısıyla yaptırım uygulanacaktır. Türk Ceza Kanununun hukuka uygunluk nedenleri ile kusurluluğu ortadan kaldıran nedenlere ilişkin hükümleri, kabahatler bakımından da uygulanacaktır. KVK’da öngörülen idari para cezaları nispi idari para cezası olduğundan, soruşturma zamanaşımının Kabahatler kanunun 20. maddesi gereği süresi sekiz yıldır. Zamanaşımı fiilin işlenmesiyle veya neticenin gerçekleşmesiyle işlemeye başlayacaktır. Kabahati oluşturan fiilin aynı zamanda suç oluşturması halinde suça ilişkin dava zamanaşımı soruşturma zamanaşımı için de uygulanacaktır. İdari para cezasının yerine getirilmesi için gerekli süre ise Kabahatler Kanununun 21. maddesinde idari para cezalarının miktarları dikkate alınarak ayrı ayrı düzenlenmiştir. Bir suç dolayısıyla başlatılan soruşturma kapsamında bir kabahatin işlendiğini Cumhuriyet savcısı öğrendiğinde durumu ilgili kamu kurum ve kuruluşuna bildirebileceği gibi, kendisi de idari yaptırım kararı verebilecektir. Ancak, bunun için ilgili kamu kurum ve kuruluşu tarafından idari yaptırım kararı verilmemiş olması gerekecektir. KVK Kanununda unsurları belirlenen kabahatleri gerçekleştiren kişiler fail olarak idari para cezası ile cezalandırılacaktır. Kabahatler Kanununun 8. maddesine göre tüzel kişiler için, organ veya temsilcilik görevi yapan ya da organ veya temsilci olmamakla birlikte, tüzel kişinin faaliyeti çerçevesinde görev üstlenen kişinin bu görevi kapsamında işlemiş bulunduğu kabahatten dolayı tüzel kişi hakkında da idari yaptırım uygulanacaktır. Temsilci sıfatıyla hareket eden kişinin bu sıfatla bağlantılı olarak işlemiş bulunduğu kabahatten dolayı temsil edilen gerçek kişi hakkında da idari yaptırım uygulanabilecektir. KVKK 18. Maddesinde kanunda öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı açıkça düzenlenmiştir. KVK Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı kararı ile, veri sorumlusunun tespitinde; kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, kimlerin verilerinin toplanacağı, verinin işlenmesi ve kimin tarafından işleneceği, işleme faaliyetinin temel unsurları (hangi verilerin toplanacağı, verilerin hangi amaçlarla kullanılacağı ve işleneceği, saklama süresi, saklama politikası, erişim yetkisi, alıcıların kim olacağı vbg.), toplanan verilerin paylaşılma esasları, verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme, ilgili kişilerle doğrudan muhatap olma, kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama, İşleme faaliyetinden menfaat sağlama gibi kriterler bakımından karar verme yetkisine sahip olanların veri sorumlusu olarak değerlendirileceği kararlaştırılmıştır.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”A-Aydınlatma Yükümlülüğünün Yerine Getirilmemesi Kabahati” tab_id=”1633518070423-8ec9090f-041e”][vc_column_text]

»KVK Kanunun 18. maddesinde, aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 Türk lirasından 100.000 Türk lirasına kadar, idari para cezası uygulanacağı düzenlenmiştir. İdari para cezaları veri sorumlusu gerçek ve tüzel kişilere uygulanacaktır. Bahse konu kabahatin veri sorumlusu kamu tüzel kişiliği tarafından işlenmesi halinde ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonuç KVK Kuruluna bildirilecektir.

»KVK Kanunun 10. maddesinde “Veri sorumlusunun aydınlatma yükümlülüğü” başlığı altında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin hakları konusunda bilgi vermekle yükümlü olduğu düzenlenmiştir. Aydınlatma Yükümlülüğüne ilişkin KVK Kurumu tarafından KVK Kanununun 22. Maddesince kurula verilen düzenleyici işlem yapmak yetkisini kullanarak 10 Mart 2018 tarihinde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ yayınlanmıştır. Tebliğin 5. maddesinde aydınlatma yükümlülüğü sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilebileceği belirtilmiştir. Aynı madde kapsamında kişisel verilerin işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmesi gerektiği, kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünün ayrıca tekrar yerine getirilmesi gerektiği, sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, sicile açıklanan bilgilerle uyumlu olması gerektiği, aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişinin talebine ihtiyaç olmadığı, aydınlatma yükümlülüğünün yerine getirildiğinin ispat yükünün veri sorumlusunda olduğu, işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği, yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemesi, anlaşılır, açık ve sade bir dil kullanılması gerektiği, aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerektiği, kişisel verilerin aktarılması gerçekleşecek ise aktarılma amacı ve aktarılacak alıcı grupların belirtilmesi gerektiği, aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği açıkça düzenlenmiştir.

»KVK Kanunun 5. maddesinde kişisel verilerin işlenebilmesi için ilgili kişinin açık rızasının alınması gerektiği hususu düzenlenmiştir. Bu genel kuralın istisnası ise aynı madde de sıralanmıştır. İlgili kişinin açık rızası alınmadan önce, ilgili kişi kanunun 10. maddesinde düzenlenen konularda aydınlatılacak ve sonrasında rızası alınacaktır. Bahse konu aydınlatmanın nasıl yapılacağı hususunda ise Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ çıkarılmıştır. KVK Kanunun 28. Maddesinin 1. fıkrasında Kişisel Verilerin Korunması Kanunu kapsamı dışında kalan haller sayılmış ve aynı maddenin 2. fıkrasında ise aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri sorumluları sicili konularında kanunun uygulanmayacağı haller diğer bir ifade ile kanun kapsamı dışında kalan istisnai haller düzenlenmiştir. KVK Kanununun 28/1 fıkrasında gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında kişisel verilerin işlenmesi, kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hallerinde KVK Kanununun uygulanmayacağı açıkça belirtilmiştir. Kanunun 28/2. fıkrasında ise kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde yapılan işleme faaliyetlerinde veri sorumlusunun aydınlatma yükümlülüğü mevcut değildir.

»Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Kararında “Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,”(4) karar verilmiştir.

»Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65 sayılı Kararında “veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, ……… veri sorumlusunun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı, bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,” (5) karar verilmiştir.

»Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Kararında “bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde şirketin talimatlandırılmasına” (6) karar verilmiştir.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”B-Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi Kabahati” tab_id=”1633518528557-1770208e-c2a0″][vc_column_text]

»Veri sorumlusunun idari para cezası ile cezalandırılacağı diğer bir kabahat ise veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi kabahatidir. Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri KVK Kanunun 12. maddesinde belirlenmiştir. Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacak ve işleme amacı dışında kullanamayacaktır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilecektir.

»Veri sorumlusu hukuka aykırı olarak kişisel verilere erişilmesini, işlenmesini muhafazasını önlemek için gerekli teknik ve idari tedbirleri almakla bahse konu icrai hareketleri yerine getirmekle ve tedbirleri devam ettirmekle yükümlüdür. Tedbirler alınmadığı zaman kabahat tamamlanmakta fakat sona ermemektedir. Kabahatin oluşabilmesi için zararın meydana gelmesine gerek yoktur. Kabahat tehlike kabahatidir. Veri sorumlusu ayrıca KVK Kanununun hükümlerinin uygulanmasını sağlamak amacıyla kendi kurum ve kuruluşunda denetimleri yapmak ve yaptırmak zorundadır. Kanun da düzenlenen denetim yapmak ve yaptırmak yükümlülüğü, veri sorumlusuna ayrı bir icrai hareketi gerçekleştirme görevi yüklemektedir. Veri sorumlusu işlediği kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi durumunda ilgili kişiye ve KVK Kuruluna durumu bildirmekle yükümlüdür. Bahse konu bildirim yükümlülüğü ise kanunla veri sorumlusuna yüklenen ayrı bir yükümlülük olup, şartları oluştuğunda gerçekleştirilmesi gereken ayrı bir icrai hareketi içermektedir. Bahse konu icrai hareketlerin gerçekleştirilmemesi, diğer bir ifadeyle idari ve teknik tedbirlerin alınmaması denetimlerin yapılmaması ve yaptırılmaması, kişisel verilerin hukuka aykırı ele geçirilmelerin ilgili kişiye ve KVK Kuruluna bildirilmemesi kabahatin oluşması için yeterli olup, zararın oluşması aranmayacaktır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu en kısa sürede, derhal, gecikmeksizin durumu ilgili kişiye ve Kurula bildirmekle yükümlüdür. Bahse konu icrai hareket ani bir hareket olup, diğer yükümlülükler kapsamında olan mütemadi nitelikli tedbir alma ve denetim yükümlülüklerinden farklıdır. Bu yönüyle bildirme yükümlülüğü yerine getirilmediği takdirde kabahat oluşmakta ve bitmektedir. Diğer hareketlerde ise kabahat oluşmakta fakat devam etmektedir.

»Bahse konu kabahatin mağduru sadece kişisel verisi işlenen bir gerçek kişi olabilir. Kişisel verileri tamamen veya kısmen otomotik veya otomatik olmayan yollarla işleyen gerçek ve tüzel kişilerin alacağı idari ve teknik tedbirlerin neler olması gerektiği hususu bahse konu kabahat açısından önem taşımaktadır. KVKK 22/1-f bendinde KVK Kurulunun veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmakla görevli ve yetkili olduğu düzenlenmiştir. KVK Kurumu tarafından veri sorumlularının teknik ve idari tedbirlerini düzenleyen Ocak 2018 tarihli Kişisel Veri Güvenliği Rehberi hazırlanmış ve kurumun sayfasında yayınlanmıştır. Rehberde özetle , idari tedbirler başlığı altında risk ve tedbirlerin belirlenmesi, çalışanların eğitilmesi, farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin azaltılması veri işleyenler ile ilişkilerin yönetimi hususları düzenlenmiştir. Teknik tedbirler başlığı altında ise siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemlerinin tedariği geliştirme ve bakımı, kişisel verilerin yedeklenmesi hususları düzenlenmiştir.

»Konuyla ilgili KVK Kurulunun bir çok kararı mevcuttur. Bu kapsamda “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı Kararında ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderilmesi üzerine söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna başvuruda bulunulduğunu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığını ve kendisine cevap verilmediğini belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemin yapılmasını Kurul’dan talep etmiştir. Kurul “Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,” karar vermiştir.

»Benzer şekilde KVK Kurulu “veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine, aykırılık teşkil ettiği” diğer bir ifadeyle kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik her türlü teknik ve idari tedbirlerin alınmadığına (7) karar vermiştir.

»KVK Kurulu bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında 24.11.2020 tarih ve 2020/905 sayılı kararında “Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle veri sorumlusu hakkında idari para cezası verilmesine” hükmetmiştir. Kurul tarafından 2019/144 sayılı kararda “veri sorumlusu şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası ile cezalandırılmasına” karar verilmiştir.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”C-Kurul Tarafından Verilen Kararları Yerine Getirilmemesi Kabahati” tab_id=”1633518755472-3de90e10-73ff”][vc_column_text]

»KVK Kanununun 15. maddesinde şikayet üzerine veya resen inceleme yetkisi olan kurulun, veri sorumlusundan devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere belge isteyebileceği ve bu belgelerin on beş gün içinde gönderileceği, kurulun yerinde inceleme yapabileceği, inceleme sonucunda kurulun ihlal tespit etmesi durumunda kurulun hukuka aykırılıkların giderilmesine yönelik kararlar verebileceği ve bu kararın tebliğ tarihinden itibaren veri sorumlusu tarafından otuz gün içerisinde yerine getirileceği, kurulun telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık bulunması durumunda veri işlenmesinin ve yurt dışına aktarılmasının durdurulmasına karar verebileceği düzenlenmiştir. Kurulun alabileceği kararlar 15. maddede sayma yöntemiyle belirlenmiştir. Bahse konu kararların konusu kişisel verilerin işlenmesinde oluşan ve oluşacak hukuka aykırılıkların giderilmesidir. Kararların bir kısmı tedbir niteliğinde kararlarda olabilecektir. Kurulun aldığı kararlara uyulmaması durumunda yada kararın gereğinin yerine getirilmemesi durumunda bahse konu kabahat işlenmiş olacaktır. Kurulca istenen belge ve bilgilerin gönderilmesi için belirlenen süre en çok on beş gün, alınan kararların uygulanması için belirlenen süre ise en çok otuz gündür. Kurul bazen yerinde inceleme yapmaya da karar alabilir. Veri sorumlusu bu durumda kurulun kararına uymak ve yerinde yapacağı incelemeye izin vermekle yükümlüdür. Kurul kararlarını yerine getirmemek kasten veya taksirle gerçekleşebilecektir. Kasten veya taksir ile kurumun kararının yerine getirilmemesi durumunda bahse konu kabahat gerçekleşmiş olacaktır. Kurulun kararlarına uyulmamasında hukuka uygunluk nedeni var ise bu durumda bahse konu kabahat oluşmayacaktır. Örneğin kanun hükmünün yerine getirilmesi durumunda kurul kararı kısmen veya tamamen yerine getirilmiyor ise de kabahat oluşmayacaktır. Bahse konu kabahat kapsamında idari yaptırım uygulanacak olan veri sorumlusu gerçek veya tüzel kişidir. Kurul kararının 15. madde kapsamındaki birkaç eylemi içermesi ve kurul kararındaki bazı yükümlülüklerin yerine getirilerek, bir kısmının yerine getirilmemesi durumunda da bahse konu kabahat oluşacaktır. Aynı kurul kararı kapsamında birkaç yükümlülüğün ihlali durumunda tek bir kabahat meydana gelecektir. Kurul kararlarına uymamak mütemadi bir kabahat olduğu için kararın yerine getirilmemesi sonrasında idari yaptırım kararı alındığında, bahse konu idari yaptırım kararına uyulmadığında yeni bir idari yaptırım kararı verilebilecektir. Kurul kararına uyulmaması aynı zamanda suç oluşturuyorsa ve veri sorumlusu gerçek kişi ise bu durumda idari para cezası uygulanamayacak fakat suçtan dolayı yaptırım uygulanacaktır. Kamu kurumlarında çalışan ve veri işleyen gerçek kişiler için disiplin yaptırımı uygulanabilecek ve idarenin görevlisi hakkında eylemi suç teşkil etmesi durumunda ceza yaptırımı da uygulanabilecektir.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”Ç-Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırı Hareket Etme Kabahati” tab_id=”1633518762133-2cc13761-7e40″][vc_column_text]

»KVKK 16. maddesinde Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacağı, kişisel verileri işleyen gerçek ve tüzel kişilerin , veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda oldukları, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği ifade edilmiştir. Maddenin devamında Veri Sorumluları Siciline veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgilerinin, kişisel verilerin hangi amaçla işleneceğinin, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaların, kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarının, yabancı ülkelere aktarımı öngörülen kişisel verilerin, kişisel veri güvenliğine ilişkin alınan tedbirlerin, kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin bildirileceği açıkça belirtilmiştir. Yukarıda belirtilen konularda meydana gelen değişiklikler derhal Başkanlığa bildirilecektir. Veri sorumlusu siciline ilişkin 30. 12.2017 tarihinde Veri Sorumluları Sicili Hakkında Yönetmelik yürürlüğe girmiştir. Başkanlıkça Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) oluşturularak Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulmaktadır. VERBİS üzerinden veri sorumlusu sorgulaması yapılabilmektedir. İlgili Yönetmeliğin 7. maddesi kapsamında veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi, kişisel verilerin hangi amaçlarla işlenebileceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorilerin neler olduğu, kişisel verilerin aktarılabileceği alıcı ve alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel verilerin neler olduğu , veri sorumlusunun sicile kayıt tarihi ile kaydın sona erdiği tarih, kişisel veri güvenliğine ilişkin alınan tedbirler ile kişisel verilerin işlendikleri amaç için gerekli olan azami süre görülebilmektedir.

»Kurul 16. Madde de kendisine verilen yetkiyi kullanarak ve Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. Maddesindeki kriterleri dikkate alarak kayıt yükümlülüğüne istisnalar getirmiştir. Bu kapsamda 2018/32, 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ile herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler, 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, gümrük müşavirleri, arabulucular, 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler ve Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Kovid salgını nedeniyle VERBİS’e kayıt sisteminde aksaklık yaşanmasının önlenmesi maksadıyla Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için 30.09.2020 tarihine kadar ve yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen 31.03.2021 tarihine ve benzer şekilde kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021 tarihine kadar uzatılmıştır. Bu süreler Kurul’un 1/03/2021 tarihli ve 2021/238 sayılı Kararı ile 31.12.2021 tarihine kadar tekrar uzatılmıştır. Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolacaklardır.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”D-Kabahatlere Karşı Uygulanan Yaptırımlar” tab_id=”1633518765365-d89614fc-af46″][vc_column_text]

»KVKK 18. maddesinde yukarıda belirtilen kabahatlerden aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlularına 5.000 Türk lirasından 100.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumlularına 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, Kurul tarafından verilen kararları yerine getirmeyen veri sorumlularına 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumlularına 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği düzenlenmiştir. İdari para cezalarında alt sınır ve üst sınırın arasındaki miktar çok fazla olduğu görülmektedir. Bu kapsamda , idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile veri sorumlusunun ekonomik durumu ve kusuru birlikte göz önünde bulundurulacaktır.

»Kabahatler Kanunun 17. Maddesi gereği idari para cezaları kanun yoluna başvurmadan önce ödeyen kişiden bunun dörtte üçü tahsil edilecektir. Peşin ödeme, kişinin bu karara karşı kanun yoluna başvurma hakkını etkilemeyecektir. Veri sorumlusunun ekonomik durumunun müsait olmaması halinde, idari para cezasının, ilk taksitinin peşin ödenmesi koşuluyla, bir yıl içinde ve dört eşit taksit halinde ödenmesine karar verilebilecek ve taksitlerin zamanında ve tam olarak ödenmemesi halinde, idari para cezasının kalan kısmının tamamı tahsil edilecektir.

Kabahatler	Yaptırımlar
Aydınlatma yükümlülüğünün yerine getirilmemesi	5.000 TL-100.000 TL
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi	15.000 TL-1.000.000 TL
KVK Kurulu tarafından verilen kararların yerine getirilmemesi	25.000 TL-1.000.000 TL
VERBİS-Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi	20.000 TL-1.000.000 TL

[/vc_column_text][/vc_tta_section][vc_tta_section title=”E-Yaptırımlara Karşı Hukuki Çareler” tab_id=”1633519107250-340b61d7-ac7b”][vc_column_text]

»KVK Kurulu tarafından verilen idari para cezaları, Anayasamızın 125. Maddesinde mevcut bulunan “İdarenin her türlü eylem ve işlemlerine karşı yargı yolu açıktır. “ düzenlemesi gereği yargısal denetime tabidir. Yargı denetimine tabi olacağı yönünde kuşku bulunmayan idari yaptırımlara karşı, denetimin idari yargıda mı yoksa adli yargıda mı gerçekleşeceği konusu önem arz etmektedir.

»6698 sayılı Kanuna ilişkin kanun tasarısının 18. maddesi 4. fıkrasında İlgililer Kurulca verilen idari yaptırım kararlarına karşı idare mahkemelerinde dava açabilirler” düzenlemesi mevcutken, bahse konu 4. fıkra alt komisyon tarafından kanun tasarısının metninden çıkarılmış ve çıkarılma gerekçesi “tasarının 18’inci maddesinin dördüncü fıkrası, maddede düzenlenen kabahatler hakkında uygulanacak yaptırımlar hakkında idare mahkemelerinde dava açma usulünden vazgeçilmesi ve bu konuda 30/3/2005 tarihli ve 5326 sayılı Kabahatler Kanununun benimsediği usulün uygulanması amacıyla metinden çıkarılmış ve madde yapılan değişiklik doğrultusunda kabul edilmiştir” şeklinde beyan edilmiştir.

»Kabahatlere ve kabahatler için uygulanacak idari yaptırımları düzenleyen İdari yaptırımlara ilişkin 5326 Sayılı Kabahatler Kanunun Genel kanun niteliği başlıklı 3. maddesinde “(1) Bu Kanunun; a) İdarî yaptırım kararlarına karşı kanun yoluna ilişkin hükümleri, diğer kanunlarda aksine hüküm bulunmaması halinde, b) Diğer genel hükümleri, idarî para cezası veya mülkiyetin kamuya geçirilmesi yaptırımını gerektiren bütün fiiller hakkında, uygulanır” düzenlemesi bulunmaktadır. KVKK’da idari yaptırımlara karşı idari yargı yoluna gidileceğine ilişkin özel bir hüküm bulunmamaktadır. Bu durumda yargısal denetim adli yargıda ve 5326 sayılı Kabahatler Kanununda belirlenen usul ve esaslara göre yapılacaktır. 5326 sayılı Kabahatler Kanununun 27. maddesi 1. fıkrasında “ (1) İdari para cezası ve mülkiyetin kamuya geçirilmesine ilişkin idari yaptırım kararına karşı, kararın tebliği veya tefhimi tarihinden itibaren en geç onbeş gün içinde, sulh ceza mahkemesine başvurulabilir. Bu süre içinde başvurunun yapılmamış olması halinde idari yaptırım kararı kesinleşir.” düzenlemesi mevcuttur. 5320 sayılı Ceza Muhakemesi Kanununun Yürürlük ve Uygulama Şekli Hakkında Kanuna eklenen Ek Madde 1 ile “Kanunlarda sulh ceza mahkemesi veya sulh ceza hakimine yapılan atıflardan, idari yaptırım kararlarına karşı yapılan başvurulara, ……ve kanunlarda sulh ceza mahkemesince veya hakimince verilmesi öngörülen karar veya işlemlere ilişkin olanlar sulh ceza hakimine,…….yapılmış sayılır” düzenlemesi gereği sulh ceza hakimlikleri yetkili kılınmıştır. Fakat 5326 sayılı Kabahatler Kanununun 27. maddesinde idari yaptırım kararının verildiği işlem kapsamında aynı kişi ile ilgili olarak idari yargının görev alanına giren kararların da verilmiş olması halinde; idari yaptırım kararına ilişkin hukuka aykırılık iddiaları bu işlemin iptali talebiyle birlikte idari yargı merciinde görüleceği de düzenlenmiştir. İdari para cezası ile birlikte sürücü belgesinin geri alınmasına karar verilmesi durumunda idari yargı görevli olacaktır. (8)

»İdari para cezası kesinleşmeden idarece para cezasının tahsiline yönelik ödeme emri düzenlenmesi durumunda kesinleşmeyen idari para cezasının tahsiline yönelik ödeme emrinin iptali istemiyle idari yargıda iptal davası açılabilecektir. (9)

[/vc_column_text][/vc_tta_section][vc_tta_section title=”(1) İptal Davaları” tab_id=”1633519750265-572897a9-7970″][vc_column_text]

GENEL

»İdari Yargılama Usulü Kanununun 2’inci maddesinde idari dava türleri iptal davaları, tam yargı davaları ve kamu hizmetlerinden birinin yürütülmesi için yapılan her türlü idari sözleşmelerden dolayı taraflar arasında çıkan uyuşmazlıklara ilişkin davalar olarak ifade edilmiştir. İptal davasının konusu idari işlemlerdir. Danıştay 1972/2 E ve 1973/10 K sayılı İçtihadı Birleştirme Kararında “idari işlem kısaca, idare makamlarının idare fonksiyonu ile ilgili konularda aldığı tek taraflı icrai karar olarak nitelenir, idari fiil ise, idarenin fonksiyonu sırasındaki bir hareketini, bir olayı, bir tutumu anlatır.” şeklinde tanımlamıştır. “ İdari işlem. İdarenin, idare hukuku alanında yaptığı tek yanlı hukuksal işlemlerdir. Bir idari işlemin iptal davasına konu olabilmesi için idari bir işlem olması yeterli değildir. Bu işlemin aynı zamanda “etkili olması”, alışılmış deyimi ile “icrai” olması , İdari Yargılama Usulü Kanununun deyimi ile “yürütülmesi gereken bir işlem” olması gerekir”.(10)

»İşlemin sadece “icrai” olması da iptal davasına konu olabilmesi için yeterli olmamakta aynı zamanda idari işlemin kesin olması da gerekmektedir. Kimi zaman yasalarda idari işlemin kesinleşmesi için başvuru yolları ve süresi açıkça belirtilmiştir. Örneğin 5393 sayılı Belediye Kanununun 23. Maddesinde “Yeniden görüşülmesi istenilmeyen kararlar ile yeniden görüşülmesi istenip de belediye meclisi üye tam sayısının salt çoğunluğuyla ısrar edilen kararlar kesinleşir.” düzenlemesi gereği, meclis kararlarının kesinleşmesi için belediye üye tam sayısının salt çoğunluğuyla kabul edilmesi gerektiği hususudur. Burada dikkat edilmesi gereken husus, işlemin kesinleşmesi için yasada belirtilen idari başvuru yolunun zorunlu olması gerektiği hususudur. 6413 sayılı TSK Disiplin Kanununun 41. Maddesinde “Disiplin amirleri tarafından verilen disiplin cezalarına karşı, cezanın tebliğ edilmesinden itibaren iki iş günü içinde itiraz edilebilir. İtiraz, bir üst disiplin amirine yazılı olarak yapılır. Süresi içinde itiraz edilmez ise ceza kesinleşir.” düzenlemesi mevcut olup bu kapsamda idari yargı yoluna gidilebilmesi için işlemin itiraz edilmeyerek kesinleşmesi veya itirazın reddi sonucunda kesinleşmesi gerekmektedir. İdarenin kesin ve yürütülebilir nitelikte olmayan, idarenin görüşünü belirtir işlemler, danışma işlemleri, hazırlık çalışmaları, şeklindeki işlemleri iptal davasına konu olmayacaktır. İlgili kişinin kesin yürütülebilir nitelikteki işlemi dava konusu yapabilmesi için ayrıca bu işlem nedeniyle meşru , şahsi ve güncel bir menfaatinin etkilenmesi gerekmektedir. Danıştay’a göre “Kesin ve yürütülmesi gerekli bir idari işlemin iptali istemiyle dava açılabilmesi için kişinin meşru, şahsi ve güncel bir menfaat alakasının olması gerekir”. (11) Buradaki menfaat ihlalinden anlaşılması gereken hak ihlali olmayıp, menfaat ihlalidir ve davacı tarafın işlemle ilişkisinin bulunması olarak anlaşılması gerektiği hususudur. Menfaat maddi ve manevi menfaat olarak ifade edilebilir.

İPTAL NEDENLERİ

»İdari Yargılama Usulü Kanununun 2/1-a bendinde iptal davalarının “İdari işlemler hakkında yetki, şekil, sebep, konu ve maksat yönlerinden biri ile hukuka aykırı olduklarından dolayı” açılacağı düzenlenmiştir. Yetki yönünden hukuka aykırılıkların genelde işlemin yer yönünden, zaman yönünden ve kişi yönünden yetkili olmaksızın tesis edilen işlemlerden kaynaklandığı görülmektedir. Biçim Yönünden hukuka aykırılıklar, mevzuatta düzenlenen biçimde işlemin tesis edilmemesi, işlem ortadan kaldırılırken usulde paralellik ilkesi gereği işlemin tesis edildiği usule uyulmaması, işlemde gerekçe bulunmaması, disiplin soruşturmalarında savunma hakkının kullandırılmaması, olarak ortaya çıkmaktadır. Sebep yönünden aykırılıklar ise, genelde idarenin işlem tesis ederken ileri sürdüğü sebebin gerçeğe aykırı olması, sebebin mevzuatta belirlenen sebeplerden olmaması, olay idarece nitelendirilirken, belirlenen sebebin kamu yararı ile uyumlu sonuçlar ortaya çıkarmaması olarak karşımıza çıkmaktadır. Konu yönünden hukuka aykırılıklar ise esasa ilişkin hukuk kuralına aykırılık olarak karşımıza çıkmaktadır. Bunlar genellikle idarenin açık düzenlemeye rağmen kuralı uygulamaması, bazı durumlarda sadece belirli durumlar için uygulanacak hukuk kuralının genişletilerek uygulanması, yasal bir dayanağı olmadan kişilere yükümlülük getiren işlemlerin tesis edilmesi, bazen hukuk kuralının yanlış yorumlanarak uygulanması şeklinde görünmektedir. İdari işlemin maksadı ise kamu yararıdır. Bazen hukuka aykırı işlemler, kamu yararı dışında özel yararlar, üçüncü kişilerin korunması, kişisel çıkarlar, siyasi amaçlarla gerçekleştirilmektedir. Bu durumda işlem maksat yönünden sakatlanmaktadır.

»Kişisel verilerin korunması kapsamında idari yargıda açılan işlemin iptal davalarına baktığımızda aşağıdaki örnek kararlar dikkatimizi çekmektedir. Konya Eğitim ve Araştırma Hastanesi’nde parmak tarama yöntemi yöntemiyle mesai takibi yapılmasına karşı sendika tarafından işlemin kaldırılması yönündeki başvurunun reddine dair işlemin iptali davasında mahkeme Eğitim ve Araştırma Hastanesi Başhekimliği işleminin iptaline karar verilmiştir. Danıştay İdari dava Daireleri Kurulu kararında “gerek Anayasa’da gerekse ülkemizin tarafı olduğu ve yine Anayasa’nın 90. maddesi uyarınca kanun hükmünde olan uluslararası sözleşmelerde, kişilerin özel hayatı ile aile hayatının ve kişisel verilerinin gizliliğine saygı gösterilmesi gerektiği ve bu gizliliğe müdahale edilemeyeceği açıkça hüküm altına alınmış olup, bu gizliliğe müdahalenin milli güvenlik, kamu düzeni gibi zorunluluk arz eden durumlara münhasır olarak ve yasayla öngörülmek şartıyla mümkün olduğu anlaşılmaktadır. Bu kapsamda, ilgililerden kişisel veri alınması niteliğinde olan “parmak izi taraması”nın, “özel hayatın gizliliği” ilkesi kapsamında bulunması karşısında “uygulamanın sınırlarını, usul ve esaslarını” gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gözönüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkeler ile uluslararası sözleşme kuralları ile bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı”(12) sonucuna varmıştır. Benzer bir davada Danıştay 5. Dairesi 2013/1286E ve 2013/9524 sayılı kararından Devlet Hastanesinde yüz tarama sistemi ile mesai takibi yapılmasın işlemini hukuka aykırı bulmuştur. Aynı şekilde Danıştay 5. Dairesi 2013/5730 E ve 2013/9526 K sayılı Kararıyla devlet memurlarının mesai takibinin parmak iziyle yapılmasını da hukuka aykırı bulmuştur. Mesai takibinin iris sitemi uygulaması ile takibi de hukuka aykırı bulunmuştur.(13)

»Sağlık Bakanlığı’nın 05.02.2015 günlü “e-Nabız Projesi” konulu Genelgesi’nin iptali ve yürütülmesinin durdurulması istemiyle açılan davada Danıştay 15. Dairesi 2015/2900 E sayılı kararında “Yürütmenin durdurulması” talebini kabul etmiş ve yürütmenin durdurulması kararına karşı yapılan itirazı ise Danıştay İdari Dava Daireleri Kurulu 2016/186 E sayılı kararı ile reddetmiştir. Danıştay Onbeşinci Dairesinin kararının gerekçesinde özetle, “genelgenin yasal bir dayanağının olmadığı, Anayasa’da kişisel verilerin korunmasını isteme hakkının neleri kapsadığı hususunun özellikle vurgulanmış olması karşısında, hassas veri kabul edilen kişisel sağlık verilerinin toplanması ve işlenmesinin kapsamı, koşulları ve bu verilerin korunmasına ilişkin usul ve esasları içermeyen söz konusu yasal düzenlemelerin Anayasa’nın 20. Maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceyi sağlamaktan uzak olduğu” sonucuna varmıştır.

»Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, 5. maddesinin 5. fıkrası ile 14. maddesinin yürütmesinin durdurulması ve iptali istenilen davada, Danıştay 15. Dairesi 2016/10488 E sayılı dosyada “dava konusu Yönetmeliğin Resmi Gazete’de yayımlandığı tarih olan 20.10 2016’da Kişisel Verileri Koruma Kurulu’nun henüz oluşturulmadığı, dolayısıyla 6698 sayılı Kanun’un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun’un 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan dava konusu düzenlemenin tesis edilmesi“ gerekçe gösterilerek dava konusu düzenlemelerin mevzuata ve hukuka uygun bulunmadığına hükmetmiştir.

»Bölge İdare Mahkemeleri, İdare Mahkemeleri ve Vergi Mahkemelerinin İdari İşler ile Yazı İşleri Hizmetlerinin Yürütülmesi Usul ve Esaslarına İlişkin Yönetmeliğin 70’inci maddesinde mevcut bulunan “Dava ile ilgili olanlar da bunu ispatlamak kaydıyla başkan ya da görevlendirdiği üye veya yazı işleri müdürünün izniyle dosyayı inceleyebilirler.” düzenlemesi ile “Gizli veya kişisel verileri içeren ya da ticari sır niteliğindeki belge ve tutanakların incelenmesi başkanın veyahut bu konuda görevlendirdiği üyenin açık iznine bağlıdır.” düzenlemesi Danıştay 10. Dairesinin 11.04.2019 tarih ve 2015/5331 E ve 2019/2829 K sayılı kararıyla iptal edilmiştir. Kararın gerekçesinde “2577 sayılı İdari Yargılama Usulü Kanunu ile anılan Kanunun 31. maddesiyle göndermede bulunduğu 6100 sayılı Hukuk Muhakemeleri Kanununda, dava konusu maddede yer alan hususlardan sadece elektronik işlemlere ilişkin olarak UYAP’ın kullanımına ilişkin usul ve esasların Yönetmelikle düzenlenmesi konusunda idareye yetki verildiği, bunun haricinde herhangi bir hususta Yönetmelik çıkarma yetkisi verilmediği” şeklinde ifade edilmiştir.

»İdari yargıda kişisel verilerin uyuşmazlık konusu olduğu diğer bir alan ise güvenlik soruşturmalarıdır. 5352 sayılı Adli Sicil Kanunu’nun 10/3 fıkrasında, ”Onsekiz yaşından küçüklerle ilgili adlî sicil ve arşiv kayıtları; ancak soruşturma ve kovuşturma kapsamında değerlendirilmek üzere Cumhuriyet başsavcılıkları, hâkim veya mahkemelerce istenebilir. ” hükmü yer almaktadır. Adli Sicil Yönetmeliği’nin 12/4 fıkrasında da aynı şekilde ”Onsekiz yaşından küçüklerle ilgili adlî sicil ve arşiv kayıtları; ancak soruşturma ve kovuşturma kapsamında değerlendirilmek üzere mahkeme, hâkim veya savcılıklarca istenebilir.” hükmü ile 14. maddesinin birinci fıkrasında, ”Onsekiz yaşından küçüklerle ilgili adlî sicil ve arşiv kayıtları ancak soruşturma ve kovuşturma kapsamında değerlendirilmek üzere mahkeme, hâkim veya savcılıklara talep halinde verilir.” hükmü yer almaktadır. Danıştay 12. Dairesi 2019/7364 E ve 2020/3108 K sayılı kararında “resmi makamlar tarafından muhafaza edilmekte olan, başvurucu hakkında yürütülen ceza yargılamasına dair bilgilerin özel hayata saygı hakkı anlamında kişisel nitelikli veriler olduğu açıktır. Söz konusu kişisel verinin kamu kurumlarıyla paylaşılması ve güvenlik soruşturmalarında kullanılmasının Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkına bir müdahale oluşturduğu sonucuna varılmıştır…….. Bu itibarla, davacının on sekiz yaşından küçükken işlediği suça ilişkin kayda dayanılarak güvenlik soruşturmasının olumsuz sonuçlanması suretiyle sözleşmenin feshedilmesine ilişkin dava konusu işlemde hukuka uyarlık, davanın reddine ilişkin İdare Mahkemesi kararına karşı yapılan istinaf başvurusunun reddi yönündeki Bölge İdare Mahkemesi kararında hukuki isabet görülmemiştir.” gerekçesiyle işlemi hukuka aykırı bulmuştur.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”(2) İdarenin İşlemi veya Eylemi Nedeniyle Oluşan Zararın Tazminine Yönelik Tam Yargı Davaları” tab_id=”1633520219026-5bed3cec-ca43″][vc_column_text]

»Anayasamızın 125/7 fıkrası gereği idare, kendi eylem ve işlemlerinden doğan zararı ödemekle yükümlüdür. Tam yargı davaları idarenin kendi eylem işlemleri nedeniyle oluşan zararların karşılanmasına olanak sağlayan dava türüdür. Tam yargı davası kavramı Danıştay Kanunu 24 ve 27. Madde ile İdari Yargılama Usulü Kanununun başta 2. maddesinde olmak üzere bir çok maddesinde düzenlenmiştir. Tam yargı davaları geniş kapsamlı bir deyim olup, İYUK 2. maddesinde “idari eylem ve işlemlerden dolayı kişisel hakları doğrudan muhtel olanlar tarafından açılan davalar” olarak ifade edilmiştir. İptal davası açabilmek için menfaat ihlali yeterliyken tam yargı davasında kişisel hakkın doğrudan ihlal edilmiş olması gerekmektedir. Tam yargı davaları doktrinde idarenin eylemi, işlemi veya idari sözleşmeler neticesinde mali sorumluluğuna dayanan tazminat davaları, idarenin mal varlığına haklı bir neden olmaksızın geçmiş olan malın ya da paranın geri alınmasına yönelik istirdat davaları ve salınan verginin esasına tutarına itirazı içeren vergi davaları olarak ifade edilmektedir. (14)

»Tam yargı davasının konusu işleme dayanıyorsa diğer bir ifade ile idari işlemden kaynaklanan zararlar için 2577 sayılı İdari Yargılama Usulü Kanunu’nun 12. maddesinde; “İlgililer haklarını ihlal eden bir idari işlem dolayısıyla Danıştay’a ve idare ve vergi mahkemelerine doğrudan doğruya tam yargı davası veya iptal ve tam yargı davalarını birlikte açabilecekleri gibi ilk önce iptal davası açarak bu davanın karara bağlanması üzerine, bu husustaki kararın veya kanun yollarına başvurulması halinde verilecek kararın tebliği veya bir işlemin icrası sebebiyle doğan zararlardan dolayı icra tarihinden itibaren dava süresi içinde tam yargı davası açabilecekleri” hüküm altına alınmıştır. Kısaca zarar idarenin işleminden kaynaklanmış ise, zarar görenler ya doğrudan doğruya zararın karşılanmasına yönelik idari yargıda tam yargı davası açacak, ya hukuka aykırı olduğunu düşündüğü işlemin iptaline yönelik iptal davası ve tam yargı davasını birlikte açacak, ya da önce iptal davası açarak sonrasında da tam yargı davası açacaktır. Danıştay kararlarında da açıkça “İptal davasının açılmamış olmasının o işlem bakımından tam yargı davası açılmasına hukuki bir engel oluşturmadığı, doğrudan doğruya tam yargı davası açılabilmesinin Yasa gereği olduğu, işlemin hukuka aykırılığının açılmış bir iptal davasında yargı kararı ile saptanmamış olmasının işlem dolayısıyla açılan tam yargı davasının da bu nedenle reddini gerektirmediği, (15) Doğrudan doğruya tam yargı davası açılabilmesi yasa gereği olup, işlemin hukuka aykırılığının açılmış bir iptal davasında yargı kararı ile saptanmamış olması, işlem dolayısıyla açılan tam yargı davasının, bu nedenle reddini gerektirmediği” (16) ifade edilmiştir. İptal davası açılmamış olması o işlem bakımından tam yargı davası açılmasına hukuki bir engel oluşturmamaktadır. Ayrıca iptal davasının kazanılması tam yargı davasının açılabilmesinin önkoşulu değildir. Bazen tam yargı davası işlemin uygulanmasından doğan zararların giderilmesi için açılmaktadır. Burada dava açma süresinin başlangıcı işlemin tesis tarihi olmayıp işlemin yürütülmesi tarihidir.

»“İdari Yargılama Usulü Kanununda yer alan “idari eylem” deyimini de dar biçimde yorumlamamak gerekir . Bir idari işlem, ya da bir idari sözleşmenin uygulanması durumunda olmayan, idarenin her türlü faaliyetlerinden yahut hareketsiz kalmasından, araçlarından, hayvanlarından veya taşınır ve taşınmaz mallarından veya tesislerinden doğan zararları idari eylem kavramı içinde düşünmek gerekir”(17). İdari eylemler nedeniyle açılacak tam yargı davaları açılmadan önce bir ön karar ihtiyaç vardır. İYUK 13. maddesinde “ İdari eylemlerden hakları ihlal edilmiş olanların idari dava açmadan önce, bu eylemleri yazılı bildirim üzerine veya başka suretle öğrendikleri tarihten itibaren bir yıl ve her halde eylem tarihinden itibaren beş yıl içinde ilgili idareye başvurarak haklarının yerine getirilmesini istemeleri gereklidir. Bu isteklerin kısmen veya tamamen reddi halinde, bu konudaki işlemin tebliğini izleyen günden itibaren veya istek hakkında altmış gün içinde cevap verilmediği takdirde bu sürenin bittiği tarihten itibaren, dava süresi içinde dava açılabilir.” düzenlemesi mevcuttur.

»İşlemden kaynaklanan tam yargı davalarında dava açma süresi eğer doğrudan tam yargı davası açılacaksa veya işlemin iptali ile tam yargı davası birlikte açılacaksa işlemin tebliğ tarihinden itibaren 60 gün, önce iptal davası açılması sonrasında tam yargı davası açılması durumunda iptal davasını sonuçlandıran kararın tebliğinden itibaren 60 gün, idari eylemlere karşı açılan tam yargı davalarında ön kararın alınmasından itibaren 60 gündür. Önce iptal davası sonrasında tam yargı davası açılması için kararın temyiz veya istinaf kanun yoluna götürülmüş olması önemli olmayıp 60 günlük süre kararın tebliğinden itibaren başlayacaktır.

»Bahse konu tam yargı davalarında idarenin sorumluluğu iki temel sebebi bulunmaktadır. Bunlardan ilki kusur sorumluluğu olup, diğeri de kusursuz sorumluluk halidir.

»Davacıya Hava Hastanesi’nde yapılan muayenesi sonucu düzenlenen “Askerliğe Elverişli Değildir” şeklindeki raporun idarece muhafazasında hizmet kusuru bulunduğu, hukuka aykırı şekilde bazı basın yayın organları tarafından elde edildiği, belgenin elde edilişinin davalı idarenin mevzuat gereklerine aykırı ihmal, eylem ve kararları sebebiyle ortaya çıktığı, konu hakkında yüzlerce haber yapıldığı, bu haberlerin onur ve saygınlığını zedelediği ileri sürülerek uğradığı manevi zararın karşılanması talebiyle açtığı dava sonucunda, “T.C. Anayasası, Avrupa İnsan Hakları Sözleşmesi ve diğer Uluslararası Sözleşmeler ve Ek Protokollerde kişisel verilerin korunmasının özel hayatın gizliliği kapsamında güvence altına alındığının görüldüğü, kişilere ait sağlık verilerinin hassas kişisel veri kapsamında bulunduğu, hassas kişisel veri niteliği taşıyan sağlık raporunun muhafazasında, kusuru bulunduğu, olayın oluş şekli, davacının konumu ve statüsü ve idarenin kusurunun niteliği de göz önünde bulundurularak tazminatın kabulüne“ karar verilmiş ve karar hukuka uygun bulunarak onanmıştır. (18)

[/vc_column_text][/vc_tta_section][vc_tta_section title=”(3) Kamu Denetçiliği Kurumuna Başvurma” tab_id=”1633520540541-f291f199-b6ed”][vc_column_text]

»Ülkemizde 6328 sayılı Kamu Denetçiliği Kurumu Kanunun ile 14.06.2012 tarihinde Kamu Denetçiliği Kurumu kurulmuş ve kanunun yayım tarihinden 9 ay sonra başvuruları kabul etmeye başlamıştır. Kanunun amacı 2’inci maddede “kamu hizmetlerinin işleyişinde bağımsız ve etkin bir şikâyet mekanizması oluşturmak suretiyle, idarenin her türlü eylem ve işlemleri ile tutum ve davranışlarını; insan haklarına dayalı adalet anlayışı içinde, hukuka ve hakkaniyete uygunluk yönlerinden incelemek, araştırmak ve önerilerde bulunmak üzere Kamu Denetçiliği Kurumunu oluşturmaktır.“ şeklinde düzenlenmiştir.

»Kanun sonrası 28.03.2013 tarih ve 28601 sayılı resmi gazetede “Kamu Denetçı̇lı̇ğı̇ Kurumu Kanununun Uygulanmasına İlı̇şkı̇n Usul Ve Esaslar Hakkında Yönetmelı̇k” yayımlanarak yürülüğe girmiştir. Kurum Türkiye Büyük Millet Meclisi Başkanlığına bağlı, kamu tüzel kişiliğini haiz, özel bütçeli ve merkezi Ankara’da bulunan bir kurumdur. Kurumun görevi idarenin işleyişi ile ilgili şikâyet üzerine, idarenin her türlü eylem ve işlemleri ile tutum ve davranışlarını; insan haklarına dayalı adalet anlayışı içinde, hukuka ve hakkaniyete uygunluk yönlerinden incelemek, araştırmak ve idareye önerilerde bulunmaktır. Yasama yetkisinin kullanılmasına ilişkin işlemler, yargı yetkisinin kullanılmasına ilişkin kararlar, Türk Silahlı Kuvvetlerinin sırf askerî nitelikteki faaliyetleri, kurumun görev alanı dışındadır. Kuruma, gerçek ve tüzel kişiler başvurabilmektedirler. Belli bir konuyu içermeyen veya yargı organlarında görülmekte olan veya yargı organlarınca karar bağlanmış uyuşmazlıklar inceleme konusu dışında tutulacaktır.

»Kuruma başvuruda bulunulabilmesi için, İdari Yargılama Usulü Kanununda öngörülen idari başvuru yolları ile özel kanunlarda yer alan zorunlu idari başvuru yollarının tüketilmesi gerekmektedir. Kurum sadece telafisi güç veya imkânsız zararların doğması ihtimali bulunan hâllerde, idari başvuru yolları tüketilmese dahi başvuruları kabul edebilmektedir. İdari işlemlerle ilgili başvuru kesin idari işlemin tebliğinden itibaren, idareye başvuru yapılmış ve idare altmış gün içerisinde cevap vermemiş ise altmış günlük sürenin bitmesinden itibaren 6 ay içinde kuruma başvuru yapılabilecektir. Dava açma süresi içinde yapılan başvuru dava açma süresini durduracaktır. Başvurunun incelenmesi sürecinde başdanetçi, başdenetçi yardımcıları veya uzmanlarca gerek görülmesi halinde tanık dinleyebilmekte ve bilirkişiye müracaat edilebilmektedir. Kurum, inceleme ve araştırmasını başvuru tarihinden itibaren en geç altı ay içinde sonuçlandıracaktır. Kurum, inceleme ve araştırma sonucunda tavsiye kararı, ret kararı, dostane çözüm kararı veya karar verilmesine yer olmadığına dair karar verecektir. Kurum araştırma sonucunu ve çözüm önerisini içeren tavsiye kararını ilgili mercie ve başvurana bildirecektir. İlgili merci, kurumun önerdiği çözümü uygulanabilir nitelikte görmediği takdirde bunun gerekçesini otuz gün içinde Kuruma bildirmek zorundadır. Başvurunun Kurum tarafından reddedilmesi hâlinde, durmuş olan dava açma süresi gerekçeli ret kararının ilgiliye tebliğinden itibaren kaldığı yerden işlemeye başlayacaktır. Başvurunun Kurum tarafından yerinde görülerek kabul edilmesi hâlinde; ilgili merci Kurumun önerisi üzerine otuz gün içinde herhangi bir işlem tesis etmez veya eylemde bulunmaz ise durmuş olan dava açma süresi kaldığı yerden işlemeye devam edecektir.

»Kurumun faaliyete geçtiği günden günümüze kadar olan süreçte kişisel verilerin korunması kapsamında 2019/16891 Başvuru Numaralı 09.03.2020 tarihli kararı mevcuttur. Karar kısmen tavsiye ve kısmen ret şeklinde verilmiştir. Kararın konusu “Başvurucu tarafından, bir bankacılık işlemi (okul taksiti yatırma) için gittiği özel bir bankada, eski Başbakanlık tarafından, hali hazırda da Cumhurbaşkanlığı İletişim Başkanlığı tarafından tanzim edilen ve yürürlükteki mevzuata göre resmi bir kimlik belgesi niteliğinde olan sarı basın kartının, resmi kimlik belgesi olarak kabul edilmediği; yanı sıra cep telefonu numarasını paylaşmadığı gerekçesi ile bahse konu bankacılık işleminin yapılmadığı, cep telefonu bilgisinin, mer’i mevzuat uyarınca kişisel verisi kapsamında olduğu, hiç kimsenin baskı yolu ile kişisel verisini paylaşmak zorunda bırakılamayacağı,” iddia ve şikâyetini içermektedir. Başvurucu tarafından “Bankaların vatandaşın kişisel verisinin hukuka aykırı olarak talep edilmesi uygulamasının durdurulması ve bu kurumların yaptıkları işlemler sırasında, resmi bir kimlik belgesi niteliğinde olan sarı basın kartını da kabul etmelerinin sağlanması” talep edilmiştir. Basın kartının bankacılık işlemleri sırasında resmi kimlik belgesi olarak kabul edilmesi talebi hakkında başvurunun reddı̇ne, Bankacılık işlemlerinde kişisel veri niteliğindeki cep telefonu bilgisinin talep edilmesinin hukuka aykırılığı iddiası hakkında ise başvurunun kabulüne karar verilerek kararın gereği için Bankacılık Düzenleme Ve Denetleme Kurumuna tavsı̇yede bulunulmasına ve bilgi için İletişim Başkanlığı, Mali Suçları Araştırma Kurulu Başkanlığı ve Kişisel Verileri Koruma Kurumuna da tebliğine karar verilmiştir.

»Bankacılık İşlemlerinde Kişisel Veri Niteliğindeki Cep Telefonu Bilgisinin Talep Edilmesinin Hukuka Uygunluğunun Değerlendirilmesi konusunda; kurul kararında;

“Cep telefonu bilgisinin kişisel veri, cep telefonu bilgisinin elde edilerek kullanılmasının kişisel verilerin işlenmesi faaliyeti, bankaların veri sorumlusu, kendilerine ait cep telefonu bilgisi işlenen kişilerin ise ilgili kişi olduğu, bu itibarla bankalar tarafından ilgili kişinin cep telefonu bilgilerinin işlenmesi faaliyetlerinin, mezkûr 6698 sayılı Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde kayıtlı usul ve esaslara göre yürütülmesi gerektiği”,

“Kişisel verilerin “belirli, açık ve meşru amaçlar için

işlenme” ilkesi doğrultusunda veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması durumunda işlenebileceği”

“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemesi gerektiği,”

“Amaçla sınırlılık ilkesinin” bir gereği olarak kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerektiği,”

“Kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişileri kişisel verilerin işlenme faaliyeti hakkında aydınlatma yükümlülüğü ve Kanunun 12 nci maddesinde düzenlenen uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ve anılan maddede belirtilen diğer yükümlülüklere uymak zorunda olduğu”

Gerekçelerini ortaya koyarak “başvurucu müşterinin kimlik tespitinde, cep telefonu numarasının, alınması zorunlu bilgiler arasında bulunmadığı; bu bilgiyi elde etmeye yönelik uygulamanın, 6698 sayılı sayılı Kişisel Verilerin Korunması Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi ikinci fıkrasında kayıtlı “Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma… c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. …” hükmünün ihlali anlamına geldiği”(19) yönünde değerlendirmede bulunmuştur.

[/vc_column_text][/vc_tta_section][/vc_tta_accordion][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

D İ P N O T L A R

————————————————-

(1) https://kvkk.gov.tr/Icerik/6858/2020-966

(2) https://kvkk.gov.tr/Icerik/6568/2019-308

(3) https://kvkk.gov.tr/Icerik/5299/2018-119

(4) https://kvkk.gov.tr/Icerik/6739/2020-173

(5) https://kvkk.gov.tr/Icerik/6717/2020-65

(6) Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Kararında :İhbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde; Web sitesinin ilgili kişiler hakkında işlediği ad, soyadı, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, sosyal medya hesaplarıyla bağlanılması durumunda üyenin o kanallar aracılığıyla paylaşılmasına onay verdiği bilgilerin, üyenin tüm alışveriş bilgilerinin, yani hangi üye işyeri, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgilerinin, uygulamayı açtığı lokasyon bilgilerinin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu, ilgili kişilerin kişisel verilerin işlenmesinin hukuki sebebi olarak “ilgili mevzuattan kaynaklanan yasal yükümlülük”ten bahsedildikten sonra, aydınlatma metninin devamında, “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır.” şeklinde bir bilgilendirmede bulunularak, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu, oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği, dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına karar verilmiştir.

(7) Bknz Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Kararı

(8) Danıştay 15. D. 2015/7832 E ve 2016/217 K sayılı kararı “Trafik idari para cezalarından doğan uyuşmazlıklarda görevli mahkemeler 5326 sayılı Kanunun 27/1 maddesi hükmü uyarınca sulh ceza mahkemeleri olmakla birlikte, gerek 2918, gerekse 5326 sayılı Kanun hükümleri göz önüne alındığında; bir idari işlem olan sürücü belgesinin geri alınmasına ilişkin işlemlerden doğan uyuşmazlıklarda görevli mahkemelerin idari yargı mercii olduğu tartışmasız olup, 5326 sayılı Kanunun 27/8 maddesinde yer alan “idari yaptırım kararının verildiği işlem kapsamında aynı kişi ile ilgili olarak idari yargının görev alanına giren kararların da verilmiş olması halinde, idari yaptırım kararına ilişkin hukuka aykırılık iddialarının bu işlemin iptal talebiyle birlikte idari yargı merciinde görüleceği” düzenlemesi uyarınca da dava konusu işlemlerden doğan uyuşmazlıkta İdare Mahkemesince işin esası incelenerek bir karar verilmesi gerekirken, uyuşmazlığın görüm ve çözümünde sulh ceza mahkemesinin görevli olduğu gerekçesiyle davanın görev yönünden reddine karar verilmesinde hukuka uyarlık görülmemiştir.”

(9) Danıştay 8. D 2014/1807 E ve 2014/6582 K sayılı Kararı

(10) A. Şerif GÖZÜBÜYÜK Turgut TAN, İdare Hukuku Cilt II. Turhan Kitabevi 2017, s 278, s.303

(11) Danıştay 4. Daire 24.06.1999 Tarih ve E. 1999/1358, K 1999/2880 sayılı Kararı

(12) Danıştay İdari Dava Daireleri 2014/2242 E, 2015/4991 K, sayılı kararı

(13) Danıştay 12. Daire 2008/3173 E ve 2010/6228 K sayılı kararı

(14) Ayrıntılı bilgi için bknz. A. Şerif GÖZÜBÜYÜK Turgut TAN, İdare Hukuku Cilt II. Turhan Kitabevi 2017, s 645

(15) Danıştay İdari Dava Daireleri 2006/1042 E , 2010/1761 K Sayılı Kararı

(16) Danıştay İdari Dava Daireleri 2004/795 E , 2007/11820 K Sayılı Kararı

(17) A.Şerif GÖZÜBÜYÜK Turgut TAN, İdare Hukuku Cilt II. Turhan Kitabevi 2017, s 664

(18) Danıştay 15. Dairesi 2015/101001 E ve 2016/664 K sayılı Kararı

(19)https://kararlar.ombudsman.gov.tr/Arama/Download?url=20181201\30387\Yayin\Karar-2018-16024.pdf&tarih=2019-07-01T19:58:03.383713 (son giriş tarihi 24.03.2021)

[/vc_column_text][/vc_column][/vc_row]

Bunu paylaş:

İlgili Makaleler