by 
6698 Sayılı Kişisel Verileri Koruma Kanunu (“Kanun“), kişisel verilerin korunmasına dair yükümlülüklere aykırı hareket edenlere yönelik çeşitli yaptırımlar öngörmektedir. Bu yaptırımlar arasında, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilebilecek idari para cezaları ve diğer idari işlemler yer almaktadır. Kurul’un yetkilerine ek olarak, Kanun, Türk Ceza Kanunu’na (“TCK”) yaptığı atıfla TCK m.135 ve 138 ile kişisel verilerin kaydedilmesi ve verileri yok etmeme suçunu düzenlemekte ve kişisel verilerin ihlalinin cezai yaptırıma konu olabilecek boyutunu ele almaktadır. İlgili kişilerin tazminat talep etme hakkı ise Kanun’un 14. maddesi ile saklı tutulmuştur.
Görüldüğü üzere Kanun, hem ceza, hem idare, hem de özel hukuk (tazminat) yollarına başvuru imkânı tanımaktadır. Uygulamada, olası bir veri ihlali sonrasında hangi yola başvurulacağı konusunda karışıklık yaşanmaması için bir veri ihlali durumunda ilgili kişilerin hangi sonucu elde etmek istediğine göre yol haritası belirlenmesi önemlidir. Yol haritası bir kişi hakkında ceza soruşturması başlatılması, zararın giderilmesi veya ihlale neden olan uygulamanın değişmesi gibi farklı amaçlara göre şekillenebilir. Bu yazımızda, Kanun kapsamında ortaya çıkabilecek kişisel veri ihlali durumlarında izlenebilecek başlıca yolları ele alıyoruz.
Kişisel Verileri ilgilendiren Suçlar ve Ceza Yargılaması
Kanun’un “Suçlar” başlıklı 17. maddesi, kişisel verilere ilişkin suçlar bakımından 5237 Sayılı TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlığı altında düzenlenen 135 ila 140. madde hükümlerine doğrudan atıfta bulunur. TCK’nın ilgili maddeleri kişisel verileri (i) kaydetme, (ii) hukuka aykırı olarak verme veya ele geçirme ile (iii) kişisel verileri yok etmeme suçlarını düzenlemektedir.
Bu hallerin ceza yaptırımına tabi tutulması, kişinin özel hayatının gizliliğini korunmasının kamu düzenini de çok yakından ilgilendirilmesinden kaynaklanmaktadır. Yukarıda sayılan haller toplumsal düzen bakımından da sorun yaratabilecek -özellikle özel nitelikli verilerin sosyal medya üzerinden ifşa edilmesi gibi- halleri de kapsar.
Ceza yargılaması, bir suç şüphesinin araştırılması ve cezalandırılması amacıyla yürütüldüğünden, kişisel veri ihlali TCK’da tanımlanan bir suçu oluşturuyorsa, bu konuda başvuru mercii savcılıklardır. Bu suçlar, özel hayatı ilgilendirse de savcılıklar tarafından şikâyete bağlı olmaksızın re’sen soruşturulmaktadır. Ceza zamanaşımı süresi 8 yıldır. İhlal nedeni ile ihlalden sorumlu kimsenin suç işleyip işlemediğinin araştırılması için bu süre içinde ilgili savcılıklara başvurulması gerekmektedir ve Kurul’un yapacağı talimatlandırma, idari para cezası gibi işlemlerden bağımsız bir süreçtir. Aşağıda açıklanacağı üzere Kurul’un bir suç işlenip işlenmediğini araştırma yetkisi olmadığı gibi, bağımsız bir şekilde kişisel verilerin işlenmesinin disiplin altına alınması yönünde toplumsal politikaları oluşturma amacı ile hareket etmektedir.
Kurul Tarafından Yapılabilecek İşlemler Neticesinde İdari Yargıya Başvuru
Kurul, kendisine iletilen şikayetler üzerine yaptığı incelemelerde, Kanun’a aykırılık tespit etmesi halinde ilgili veri sorumlusu hakkında çeşitli işlemler tesis edebilir. Bunlar arasında idari para cezaları, veri işleme faaliyetlerinin durdurulması, kişisel verilerin silinmesi veya anonim hale getirilmesi gibi kararlar yer alır. Ancak bu işlemler zarar gören kişinin (-her ne kadar Kurul’a tazminat talebi yöneltilip yöneltilemeyeceği tartışma konusu yapılsa da-) şahsi tazminat talebini karşılamaya değil, ihlale neden olan uygulamaların düzeltilmesine yöneliktir.
Hukuk devleti ilkesinin doğal bir sonucu olarak Kurul’un işlemleri idari yargıya tabi olacaktır. Ancak yetkili idari yargı merci işlemin türüne göre farklılık gösterecektir:
– Genel düzenleyici işlemler (ilke kararları, yönetmelikler, tebliğler) doğrudan özel kanunu nedeni ile Danıştay’da dava konusu olabilir.
– Bireysel işlemler (örneğin idari para cezası) ise İdari Yargılama Usulü Kanunu uyarınca idare mahkemelerinde iptal davasına konu edilebilir.
Kanun’un 18. maddesine 12 Mart 2024 tarihinde yapılan ekleme ile idari para cezalarına karşı açılacak davalarda görevli mahkemelerin idare mahkemeleri olduğu açıkça kanun metnine eklenmiştir. Değişiklik öncesi her ne kadar ceza mahkemelerinin yetkisi tartışılmış olsa da yeni düzenleme ile yaşanan tereddütler giderilmiştir. İptal davaları Kurul’un bulunduğu yer olan Ankara’daki idare mahkemelerinde 60 gün içinde açılabilir. Bu kanun yolu özellikle ihlalin oluşmadığı kanaatinde olan ve cezaya amaç, sebep, neden ve ölçülülük yönünden bir itirazda bulunmak isteyen veri sorumlusunun da başvurabilecek olması nedeniyle önem taşımaktadır.
Kanun’un 15. maddesi uyarınca, Kurul ihlale yönelik şikayetleri 60 gün içerisinde değerlendirmelidir. Nitekim şikayet tarihinden 60 gün sonra sessiz kalınması halinde şikayetin zımni olarak reddedildiğinin kabulü gerekecektir. Bu halde görevli idare mahkemesi nezdinde Kurul’un kararına karşı iptal davası açmak mümkün olacaktır. Veri ihlaline ilişkin şikayeti üzerine Kurul’dan cevap alamamış başvuru sahibi bu yola başvurabilecektir.
Kanun’a Aykırılık Halinde Genel Hükümler Kapsamında Oluşabilecek Tazminat Talepleri
Kanun’un 14. maddesinde kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat talep etme hakkının saklı olduğu belirtilmiştir. Bilindiği üzere, Kanun kapsamında, kişisel verilerin işlenme şartı olmaksızın işlenmesi, yurt dışına aktarılması veya veri güvenliğinin ihlali gibi durumlar hukuka aykırılık oluşturur. Böyle bir ihlalin, kişilik haklarına saldırı niteliği taşıması hâlinde, ilgili kişi bu durumdan doğan maddi ve/veya manevi zararlarının giderilmesini talep edebilecektir.
Ancak unutulmamalıdır ki, yukarıda belirtilen tüm durumlarda kişisel verilerin korunması hakkının ihlal edildiğinden söz edilebilmesi için; hukuka aykırı bir eylem veya işlem bulunmalı, bu ihlal sonucunda maddi veya manevi bir zarar doğmuş olmalı, zarar ile söz konusu eylem ya da işlem arasında illiyet bağı kurulabilmeli ve ilgili kişi kusurlu (kusursuz sorumluluğun düzenlendiği haller hariç) olmalıdır. Uygulamadan anlaşıldığı üzere Kişisel veri ihlallerinde esasen en güç olan husus, illiyet bağının kurulması yani kişisel veri ihlalinin sonucu olarak zararın doğduğunun kabulüdur. Örneğin, bir kişisel veri sızıntısı sonrasında bir dolandırıcılık eylemi gerçekleşmişse, mağdurun uğradığı maddi zararın doğrudan bu veri ihlalinden kaynaklandığının ortaya konulması gerekmektedir.
Kurul’un güncel kararlarında, tazminat taleplerinin yalnızca yargı mercilerince değerlendirilebileceği, Kurul’un bu konuda işlem tesis etmesinin gerekmediği ifade edilmektedir. Örneğin, “Veri Sorumlusu Banka Tarafından Kişisel Verilerin Babayla Paylaşılması” ve “Kişisel Verilerin Hukuka Aykırı İşlenmesi Nedeniyle Tazminat Talebi” başlıklı kararlarında Kurul, ilgili kişilerin zarar taleplerinin genel mahkemelere yönlendirilmesi gerektiğine karar vermiştir.
Kurul’un yetkisinde kalan işlemler bakımından prosedür veri sorumlusuna yapılan başvurunun sonuçsuz kalması durumunda ilgili kişinin, Kurul’a şikâyet yoluna gitmesi ile devam etmektedir. Ancak bu başvuru sadece Kurul incelemesi için ön koşuldur. İlgili kişi, doğrudan yargı yoluna başvurmak isterse veri sorumlusuna ön başvuru yapması zorunlu değildir.
Yargı yoluna başvurmak isteyen kimse, kişilik haklarına yönelen bir saldırı söz konusu olduğunda, Türk Medeni Kanunu’nun 23. maddesi ve devamı hükümleri uyarınca; saldırının önlenmesi, durdurulması veya tespitine ilişkin dava açılabileceği gibi, uğranılan zararların giderilmesi için tazminat davası da açılabilir.
Tazminat taleplerinin hangi yargı mercilerinde ileri sürülebileceği, veri sorumlusunun kamu tüzel kişisi mi yoksa özel hukuk kişisi mi olduğuna göre değişiklik gösterir. Kamu tüzel kişilerine karşı açılacak davalarda idari yargı, özel hukuk kişilerine karşı açılacak davalarda ise adli yargı görevli olur. Maddi tazminat talepleri, çoğunlukla haksız fiil veya borca aykırılık hükümlerine dayanmaktadır.
Kanun’un 12. maddesi uyarınca, veri sorumlusu kişisel verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Verilerin bir başkası adına işlenmesi hâlinde, veri işleyenle birlikte müşterek sorumluluk doğabilir.
Bu sorumluluğun müteselsil nitelikte olduğu görüşü baskındır. Müteselsil sorumluluk, zarar görenin zararın tamamını dilediği kişiden talep edebilmesine imkân tanır. Bu kapsamda, veri sorumlusunun kusursuz sorumluluğu da söz konusu olabilir. Hâkim görüş kusura dayansa da bazı durumlarda kusursuz sorumluluk da kabul edilmektedir. Bu değerlendirmelerin yargı kararlarıyla şekillenmesi beklenmektedir.
Nitekim Yargıtay 4. Hukuk Dairesi’nin 08/05/2019 tarihli ve 2019/979 E. – 2019/2679 K. sayılı kararında, davacının rızası dışında kimlik bilgilerinin kullanılarak adına telefon hattı açıldığı, borcun ödenmemesi sebebiyle icra takibi başlatıldığı ve bu süreçte menfi tespit davası açmak zorunda kaldığı bir olayda; iletişim şirketinin bayisini seçme ve denetleme yükümlülüğüne aykırı hareket ettiği ve bu nedenle kişilik haklarına saldırının gerçekleştiği tespit edilmiştir. Yargıtay hem maddi hem de manevi tazminat taleplerini kabul etmiş ve iletişim şirketi ile bayiyi birlikte sorumlu tutmuştur. Kararda açıkça, kişisel verilerin ilgili kişinin rızası dışında kullanılması suretiyle kişilik haklarının ihlal edildiği ve bu durumun manevi tazminat gerektirdiği ifade edilmiştir.
Konuya uluslararası düzeyde bakıldığında, AB Adalet Divanı’nın C-687/21 sayılı kararında, bir kişinin kişisel verisinin üçüncü kişiler tarafından haksız biçimde kullanılacağı yönündeki endişesinin dahi manevi tazminata konu olabileceği açıkça belirtilmiştir sağladığını. Bu karar, kişisel verilerin ihlalinin yalnızca fiili zarara değil, soyut etkilerine karşı da koruma göstermektedir.
Sonuç olarak, Kanun kapsamında bir ihlal meydana geldiğinde başvurulacak yolun belirlenmesinde hedeflenen sonucun açıkça ortaya konulması önemlidir. Doğru yolun belirlenmesi etkili bir sonuç alınması bakımından önem taşır.
