Kişisel Verileri Koruma Kurumunun “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” Ve “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” Adlı Dokümanlarının İdari Yaptırımlar Hukuku Açısından Çağrıştırdıkları Üzerine Notlar

Konuk Yazar: Av. M. Hakan ERİŞ

A. Kavram olarak idari yaptırım ve hukuki temelleri

  1. İnsanlar ve tüzel kişilerin topluluk hâlinde yaşayabilmeleri, bu konudaki irade birliğini gerekli kılmaktadır. Bunun kaçınılmaz bir sonucu olarak kurallar oluşturulmakta ve bunlara uyulmaması durumunda nasıl bir yaptırım uygulanacağı da belirlenmektedir. Bu sayede toplum hayatı belli ve önceden mutabık kalınmış bir düzen içinde yaşanmakta; düzeni bozacak tutum ve davranışların oluşması durumunda kişilerin karşılaşması muhtemel yaptırımların neler olacağı da belirlenmektedir.(kişisel verilerin korunması)
  2. Yaptırımların konusunu oluşturan fiiller genel olarak suç ve kabahat şeklinde ikiye ayrılmaktadır. Suçların ancak kasıtla veya taksirle işlenebileceği benimsenmekle birlikte, adına kabahat denilen ve tıpkı/yine suçlarda olduğu gibi “hukuka aykırılık/haksızlık” temelinde yükselen fiiller ise “ihmali tutum veya davranışlarla” da işlenebilmektedir. Bu çerçevede bakıldığında, ne şekilde işlenmiş olursa olsun, bir kabahatin varlığından bahsedebilmek için, bunu işleyenin “haksızlığının” söz konusu olması gerekmektedir. Nitekim Kabahatler Kanunu m. 2 de kabahat kavramını “Kanunun, karşılığında idari yaptırım uygulanmasını öngördüğü haksızlık” şeklinde tanımlamaktadır. Bu tanımdan hareket edildiğinde, varlığı iddia edilen bir kabahate ilişkin değerlendirmenin de “haklılık/haksızlık” temelinde yapılmasının gerekli olmaktadır.   
  3. Haksızlık olarak değerlendirilen kabahatlere ilişkin yaptırımlar, yargı mercilerince değil idarece uygulanmaktadır.  Bu nedenle de “idari yaptırım” şeklinde ifade edilmektedir. İdarenin bütünlüğü ve bu bütünlüğü oluşturan birimlerin sayıca çokluğu yanında, idari yaptırımlara bağlanan kabahatlerin çeşitliliği de söz konusu olmaktadır. Dolayısıyla idari yaptırımların cezalara nazaran daha geniş bir yaptırım alanı söz konusudur. Örneğin: yasak yere park etmiş bir aracın çekici ile kaldırılarak otoparka çekilmesi, sigara içilmemesi gereken bir yerde sigara içilmesi sonucu para cezası uygulanması idari yaptırımlar kapsamında değerlendirilmektedir. Dolayısıyla kişiler üzerindeki etkileri cezalara nazaran daha az olsa da sonuçları ile günlük hayatta daha sık karşılaşılmaktadır.
  4. Bu noktada, idari yaptırım ile karşılaşacak kişinin “haklılık veya haksızlık” durumunun ne şekilde belirleneceğine; başka bir ifadeyle, idari yaptırım uygulanmak istenecek kişinin haksızlığının hangi ölçülere göre tayin edileceğine ilişkin hukuki temellerin somutlaştırılması önem arz etmektedir.
  5. İdari yaptırımlara ilişkin çeşitli kanunlarda çeşitli hükümler bulunması nedeniyle (deyim yerinde ise) “dağınık bir hukuk düzeni” söz konusu olsa da; Türk Ceza Kanunun yenilenmesi esnasında ayrı bir kanunda düzenlenmesi tercih edilen 5326 sayılı Kabahatler Kanunu (“Kanun”) kabahatler hukukuna ilişkin genel kanun niteliği (m. 3) ile, diğer kanunlardaki kabahatler hakkında da uygulanması suretiyle önemli bir çerçeve çizmektedir.
  6. Mevcut düzenlemeleri itibariyle, bir fiilin kabahat sayılabilmesi için, tıpkı cezalarda olduğu gibi, kanunilik ilkesi geçerlidir (m. 4). Hangi fiilin kabahat oluşturduğu, kanunda açıkça belirlenebileceği gibi; kanun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriği, idarenin genel ve düzenleyici işlemleriyle de doldurulabilir (m. 4/1).  
  7. Ancak idarenin hukuken geçerli sayılacak nitelikteki genel ve düzenleyici işlemlerinin, idare hukuku prensipleri (yetki, şekil, sebep, konu, maksat yönünden hukuka uygunluk) çerçevesinde oluşturulması gerekmektedir. Bu işlemler karşımıza çoğunlukla tüzük, yönetmelik gibi Anayasada da tanımlanmış kurumlar olarak çıkabildiği gibi; genelge, talimat, ilke kararı gibi genel ve düzenleyici işlemler de mevcuttur. Örneğin: herhangi bir idarenin yetki ve görevi olmamasına karşın çıkaracağı yönetmelik veya alacağı karar hukuki bir değer taşımayacaktır.

B. İdari yaptırım ile korunan hukuki yarar

  1. İdari yaptırımlar ile korunan hukuki yararı genel olarak ifade etmek istersek, Kabahatler Kanunu m. 1’deki amaçlardan hareketle “toplum düzenini, genel ahlâkı, genel sağlığı, çevreyi ve ekonomik düzeni korumak” olduğunu söylemek mümkündür.
  2. Bu çerçeveden bakıldığında, idari yaptırımların amacının kamu düzenini ihlal eden davranışları önlemek ve bunların muhatabı olan birey veya birey toplulukları için de zorlayıcı bir niteliğe sahip oldukları sonucuna varılmaktadır.

C. İdari yaptırımlarda yeni bir alan olarak kişisel verilerin korunması hukuku ve Kurumu

  1. Kişisel bilgilerini korumak ve onlar üzerinde hakimiyeti muhafaza etmek ihtiyacını herkes hissetmektedir. Zira bu ihtiyaç kişilik hakları ve mahremiyet ile doğrudan bağlantılıdır. Bu konuya ilişkin hukuki zemin, Anayasanın 20/3. maddesindeki değişiklik ve ertesinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümleri çerçevesinde oluşturulmaya başlanmıştır.
  2. KVKK hükümleri incelendiğinde, amacının “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek.” olduğu görülmektedir (m. 1).
  3. KVKK, bu amacını gerçekleştirebilmek için, kişilere çeşitli yükümlülükler yüklediği (örneğin m. 12) suçlar ve kabahatlere ilişkin hükümler içermekte olduğu gibi (m. 17 ve 18); Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu (“Kurum”) da kurmuştur (m. 19). Kurumun yönetimi Başkanlığa ait olmakla birlikte, karar organı Kurul’dur (m. 19/4)
  • Kurum, tıpkı diğer kamu tüzel kişiliklerinde olduğu gibi görevlerini KVKK’dan almaktadır. Bunların neler olduğu m. 20’de tek tek sayılmıştır. İdari yaptırımlar hukuku açısından önem taşıyacak görevin: “Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, DEĞERLENDİRME VE ÖNERİLERDE BULUNMAK, araştırma ve incelemeler yapmak veya yaptırmak (m. 20/1-a)” olduğu söylenebilir.
  • Bahsedilen hükmün lafzi yorumu, Kurum’un bu değerlendirme ve önerilerinin muhatabının, veri sorumluları dahil herkes olabileceği sonucunu doğurmaktadır. Nitekim Kurum, aralarında “rehber, tavsiye vs.” şeklinde ifade edilen yayınlar, bilimsel toplantılar vs. yapmakta ve kişisel verilerin korunması hukuku açısından yaptığı değerlendirme ve önerilerini, bunlar aracılığı ile duyurmaktadır. 
  • Nitekim Kurum internet sitesinde yer verdiği “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı kısımdaki açıklamalarda bir kısım değerlendirmeler yaptıktan sonra “Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından Kişisel Veri Güvenliği Rehberi hazırlanmıştır.” demektedir. Böylece Kurum rehberlerinin yukarıda bahsedilen “değerlendirmeler yapmak ve önerilerde bulunmak” görevi kapsamında kaldığı, başka bir hukuki niteliğinin bulunmadığı sonucuna varmak mümkün olmaktadır. (https://kvkk.gov.tr/Icerik/2040/Veri-Guvenligine-Iliskin-Yukumlulukler)
  • Diğer yandan Kurum’un karar organı olan Kurul’un görev ve yetkileri de KVKK m. 22.’de düzenlenmiştir. Bunların idari yaptırımlar hukuku açısından önem taşıyanları kanımızca şunlardır:
  • Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek (m. 22/1-ç).
  • Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak (m. 22/1-e).
  • Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak (m. 22/1-f).
  • Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak (m. 22/1-g).
  • Kanunda öngörülen idari yaptırımlara karar vermek (m. 22/1-ğ).
  • Kurul’a veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak görevi verilmesi kanımızca son derece önemlidir. Çünkü özellikle veri güvenliğine ilişkin KVKK m. 12 hükümleri son derece genel bir çerçeveyi düzenlemektedir. Bu genel çerçevenin içeriği ancak Kurul’un bahsedilen kanuni yetkisini (ama yine hukuka uygun şekilde alınmış kararlara dayalı) düzenleyici işlem yapma yetkisi ile doldurulabilecektir. Kurul bu sayede, Kabahatler Kanunu m. 4/1’deki “kanunilik ilkesini” somutlaştırmış olacaktır.
  • Kurum tarafından KVKK’nın uygulanması açısından genel düzenleyici işlem niteliğinde çeşitli yönetmelikler yayımlanmıştır. Ancak bunlar KVKK m. 12’deki çerçeveyi tamamen somutlaştırmaya yeterli kapsamda görülmemektedir. Nitekim oluşan çerçeve boşluğunu Kurul ilke kararları ile doldurmaktadır. Kurul ayrıca veri güvenliğine ilişkin yükümlülükleri somutlaştıracak içeriklerdeki “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlerin” neler olacağını veya “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında nasıl işlem yapılacağını” belirlediği kararlar almış ve yayımlamıştır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla alınmış sair Kurul kararı bulunmadığı bilinmektedir.
  • Yukarıda kısaca değinildiği gibi, Kabahatler Kanununun “Kanunilik İlkesini” düzenleyen 4/1 nci maddesi itibariyle KVKK’da düzenlenen kabahatlere ilişkin çerçeve hükümlerin içeriğini doldurabilecek genel ve düzenleyici işlemler, ancak bu konuda yetkili Kurul tarafından alınacak kararlar ile gerçekleştirilebilecektir. Zira Kurum’un hangi konularda düzenleyici işlem niteliğinde yönetmelik çıkartabileceği, KVKK’da ayrıca belirlenmiştir.
  • Başka bir ifadeyle, Kurum’un Kişisel Verilerin Korunması Kanunun 20/1-a maddesindeki “değerlendirme ve önerileri” hukuken “idari işlem” olarak değerlendirilmemelidir. Bunun doğal sonucu olarak da örneğin bir veri sorumlusunun haksızlığının belirlenmesinde, salt Rehberlerde yer alan hususlar “sanki genel düzenleyici işlem imiş” gibi değerlendirme yapılmamalıdır. Zira aksi durum, yani sadece Kurum’un değerlendirme ve önerilerine uygun davranılmaması hâlinin “başka bir haksızlık sebebine dayalı olmaksızın” idari yaptırıma bağlanması, en azından Kabahatler Kanundaki “kanunilik ilkesine” aykırılık teşkil edebilecek bir durum yaratacaktır.
  • Kurul tarafından verilen idari yaptırım kararlarının “yayımlanan özet metinleri” baştan itibaren incelendiğinde yaptırım kararlarının gerekçelendirilmesi vs. konularında gösterilen (deyim yerinde ise) “dikkat ve özenin” arttığı görülmektedir. Ancak özellikle son yayımlanan kararlarda, inceleme konusu veri sorumlusunun KVKK m. 12’deki yükümlülüklerine uyup uymadığına ilişkin KVKK m. 18’deki yaptırımlara ilişkin değerlendirmelerde, temel olarak Kurum’un yayımladığı Veri Güvenliği Rehberindeki hususlara “uygunluk denetimi” yapıldığı izlenimi edinilmektedir/göze çarpmaktadır.
  • Kurul birkaç konuda “ilke kararı” alıp yayımlamış ise de, idari yaptırımlara konu ettiği mukayeseyi KVKK’daki görevleri arasında yer alan idari işlemler yerine “tavsiye ve yol gösterici- iyi örnekleri sergilemek amaç ve niteliğinde olduğuna” metinlerinde ayrıca ve açıkça vurgu yapılan Kurum Rehberlerindeki hususları “idari işlem” olarak değerlendirerek yapmaya başlamış görünmektedir. Bu durumun KVKK ile sağlanan amacın gerçekleştirilmesindeki hukukilik itibariyle ve hukuk tekniği açısından olumsuz sonuçlarının olabileceği akla gelmektedir.
  • Örneğin: Enerji sektöründe faaliyet gösteren veri sorumlusunun veri ihlali bildirimi hakkında Kişisel Verileri Koruma Kurulunun 08/12/2020 tarih ve 2020/934 sayılı Karar Özetine konu olaydaki veri sorumlusunun yaptığı iş ve işlemlerdeki “kusurluluk veya haksızlık durumunun” Kişisel Veri Güvenliği Rehberi’nde sayılan tedbirlere ne denli uyulup uyulmadığına ilişkin değerlendirme sonucunda tayin edildiği ve yaptırım uygulanmadığı görülmektedir. (Bkz. https://www.kvkk.gov.tr/Icerik/7035/2020-934)
  • Yine son yayımlanan karar özetlerinden biri olan Bir sigorta şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma Kurulunun 09/07/2020 tarih ve 2020/532 sayılı Karar Özetinde (Bkz. https://www.kvkk.gov.tr/Icerik/7032/2020-532) de aynı yaklaşımla değerlendirme yapıldığı ve başka bir veri sorumlusuna uygulanan idari para cezası yaptırımın gerekçeleri arasında aynı Rehber’de yer alan hususlara aykırılık gösterilmektedir.
  • Oysa yukarıda kısaca değinilen genel çerçeve itibariyle idari yaptırıma konu kabahatin genel çerçevesinin içeriği ancak “idari işlem yolu ile” doldurulabilmektedir. Kurum Rehberlerindeki hususlar ise idari işlem niteliği taşımamaktadır. Nitekim Kurum dahi, bahsedilen dokümanın hazırlanma gerekçesini, 2. sayfasında “Veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Veri Güvenliği Rehberi (“Rehber”) hazırlanmıştır.” şeklinde açıklamakta ve Rehberin hukuki niteliğini ortaya koymaktadır.
  • Kurumun son iki yayını olan “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” ve “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (ki Kurumun internet sitesindeki ilk versiyonunun kapağında “İlke Kararı” ibaresine yer verilmiş, ancak sonradan bu ibare düzeltilmiştir) başlıklı iki dokümanın da, ilgili oldukları alanlarda yapılacak inceleme veya şikâyet incelemelerinde yukarıda bahsedilen konumda değerlendirilecek gibi görünmektedir.

D. Sonuç olarak denilebilir ki:

İdarenin hukukla denetlenmesi söz konusu olduğunda, Kurul’un bir kısım görevlerini Kurum’a devrettiği izlenimini pekiştiren bahsedilen uygulamasının hukuka aykırı sonuçlar doğurabileceği izlenimi edinilmektedir.

Kurum, görevinin gereği olarak yayınlarını çeşitlendirmektedir. Son iki yayını yapay zeka ve özel nitelikli kişisel veriler gibi çok önemli iki alana ilişkin “tavsiyeler” içermektedir. Her iki alanın uygulama sahası ve kapsamına giren kişi veya kuruluşların sayısı gün geçtikçe artmaktadır. Dolayısıyla, her iki dokümanın etkileyeceği kapsam da sürekli olarak genişlemektedir. Bu durum, idari yaptırımlara ilişkin uygulamanın hukuka aykırı şekilde yerleşmesi durumunda oluşacak mağduriyet sayısının artması sonucunu doğuracaktır.

Kurul, son karar özetlerine yansıyan uygulamasını sürdürülecek ve Kurum tarafından yayımlanan rehber veya tavsiyeler içeren dokümanlarındaki “veri güvenliğine ilişkin hususlarda düzenleyici işlem gerçekleştirmek yerine” Kurum dokümanlarındaki hususlara uyulmamasını kendi başınaveri sorumlusunun haksızlığı veya kusuru” olarak değerlendirilmeye devam edecek ise, verilecek idari yaptırım kararlarında hukuka uygun olmayan sonuçlar doğurma ihtimalini de yükseltecektir. Bu durum ise hukuka aykırı sonuçlar doğurabilecektir.

Kişisel Verilerin Korunması Hukuku alanındaki tüm yazılarımıza bağlantıdan ulaşabilirsiniz.      

Konuk Yazar Av. Begüm GÜREL‘in “Kişisel Verilerin Yurtdışına Aktarılması” isimli yazısını da 6. Sayımızda bulabilirsinz.                                                                                 

Yazar: M. Hakan ERİŞ