ANAYASA MAHKEMESİ’NİN 12.10.2023 TARİH VE 2020/7518 BAŞVURU NUMARALI KARARI HAKKINDA DEĞERLENDİRME
İçindekiler
ToggleAnayasa Mahkemesi (“AYM”) 12.10.2023 tarih 2020/7518 başvuru numaralı kararı ile, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından uygulanan idari para cezası nedeniyle başvurucunun mülkiyet hakkının ihlal edildiğine karar vermiştir.
1.Başvuru Konusu ve Gerekçesi
İlgili karara konu olayda başvurucu, merkezi yurt dışında bulunan, farklı ülkelerde oteller işleten, otellere franchise hizmeti sağlayan ve bağlı şirketleri aracılığıyla devre mülklere lisans temin eden bir Holding şirketidir.
Başvurucu Şirket, 2016 yılında devraldığı konaklama şirketinin konuk rezervasyon veri tabanındaki şüpheli işleme dair kurum içi güvenlik aracından 08.09.2018 tarihinde bir uyarı almıştır. Bu uyarı akabinde yapılan inceleme sonucunda 19.11.2018 tarihinde konaklama şirketinin konuk rezervasyon veri tabanına yetkisiz üçüncü kişi tarafından erişim sağlandığı tespit edilmiştir.
Başvurucu Şirket, ihlalin teyit edilmesinin ardından 30.11.2018 tarihinde bir basın açıklaması yayımlamış, ihlale ilişkin bir web sitesini erişime açarak ihlal hakkında bilgi sağlamış, ilgili kişilerin kendilerini nasıl koruyabileceklerine dair bilgilendirmelerde bulunmuş ve ihlalden etkilenen ve geçerli e-posta adresi bulunan misafirlerine eposta göndermiştir.
Başvurucu Şirket tarafından 03.12.2018 tarihinde Kişisel Verileri Koruma Kurumu’na (“Kurum”) Türk vatandaşlarını ilgilendiren güvenlik olayı hakkında veri ihlali bildiriminde bulunulmuştur. Bu bildirimde;
- 500 milyon müşteri verisinin veri ihlali nedeniyle kopyalandığı,
- Veri tabanının tutulduğu şirketin ağına Temmuz 2014’ten beri yetkisiz erişim olduğu ve misafir veri tabanına yetkisiz erişimin 08.09.2018 tarihinde tespit edildiği,
- 500 milyon müşteriden yaklaşık 327 milyon müşterinin kişisel verilerinin çalındığı,
- İhlalden etkilenen verilerin ad soyadı, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, konaklama şirketinin hesap bilgileri, otel bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgiler olduğu belirtilmiştir.
İhlal bildiriminin değerlendirilmesi ile Kurul, 05.12.2018 tarihli kararında devralınan konaklama şirketinde veri ağının güvenliği için yeterli önlemin alınmaması sonucunda gerçekleşen ihlal ile ilgili olarak Türkiye’de yerleşik olan vatandaşların bu ihlalden etkilenip etkilenmediği, veri ihlalinden etkilenen, Türkiye’de yerleşik olan vatandaş bulunması halinde ihlal hakkında yapılan ve planlanan çalışma detayları hususunda başvurucuların bilgilendirilmesi, söz konusu ihlalin de kurum internet sayfasında ilan edilmesine karar vermiştir.
Başvurucunun, 28.03.2019 tarihli beyan dilekçesinde;
- Yaklaşık 383 milyon müşteri kaydının olduğunu, bu müşterilerden yaklaşık 1.24 milyonunun bölge/ülke adresinin Türkiye olarak belirtilmesinin 383 milyon ayrı müşterinin veya 1.24 milyon Türk müşterinin olaya dahil olduğu anlamına gelmediği, aynı müşteri için birden fazla kayıt bulunduğu,
- Çalınan verilerin niteliği ve büyüklüğü karşısında verilerin tekilleştirmesinin kolayca gerçekleştirilmediği, geçen süre zarfında saldırganın bu alandaki yetkinliği dikkate alındığında ortaya çıkarılabilecek bilgilerin sınırlı olduğu,
- Devralınan konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiği ifade edilmiştir.
Kurul tarafından 16.05.2019 tarihinde başvurucunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) madde 12 fıkra (1) gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması nedeniyle 1.100,000 TL; aynı Kanun hükmünün 5. fıkrası uyarınca ihlalin en kısa sürede bildirilmesi yükümlülüğü yerine getirilmediğinden 350.000 TL olmak kaydıyla toplam 1.450.000 TL idari para cezası verilmesine karar verilmiş ve bu karar başvurucu muhatap gösterilerek başvurucunun Türkiye’deki otellerini işleten dolaylı iştirakine 12.07.2019 tarihinde tebliğ edilmiştir.
Başvurucu, idari yaptırım kararının usulüne uygun tebliğ edilmediği, Kanun’un yürürlük tarihi öncesindeki kararlara uygulandığı, veri sorumlusu olarak kabul edilemeyeceği, Kurul kararının gerekçeli olmadığı, Kanun’da ihlal bildiriminin en kısa sürede yapılması gerektiğinin düzenlendiği, kısıtlayıcı süre öngörülmediği, idari para cezasının en üst sınırdan verilmesinin ölçüsüz olduğu gerekçeleriyle idari para cezasının kaldırılması talebiyle itirazda bulunmuştur.
İstanbul Anadolu 1. Sulh Ceza Hakimliği idari yaptırım kararına yapılan başvuruyu “idarece düzenlenen tutanak ile eylemin sabit olduğu, sabit bulunan eylemin oluşturduğu kabahat nedeniyle hakkında idari yaptırım kararı düzenlenen idari yaptırımın yasa ve usule uygun olduğunun anlaşıldığı” gerekçesiyle reddetmiştir.
Başvurucu İstanbul Anadolu 1. Sulh Ceza Hakimliği’nin bu kararına itirazda bulunmuştur. Bu itiraz, 2. Sulh Ceza Hakimliği tarafından “İstanbul Anadolu 1. Sulh Ceza Hakimliği karanında usule ve yasaya aykırılık bulunmadığı ve verilen kararda değiştirilecek bir husus olmadığı” gerekçesiyle kesin olarak reddedilmiştir.
İlgili karar neticesinde başvurucu, AYM’ye bireysel başvuruda bulunmuş ve AYM, başvuruyu mülkiyet hakkı kapsamında incelemiştir.
2. Anayasa Mahkemesi’nin İncelemesi ve Sonuç
AYM, başvurucunun mülkiyet hakkının ihlal edildiği iddiasına ilişkin yaptığı değerlendirmede:
- Somut olayda Kanun kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması ve veri güvenliği ihlalini en kısa sürede bildirmemesi nedeniyle başvurucu hakkında idari para cezası uygulanmasının mülkiyet hakkına müdahale teşkil ettiğini, söz konusu müdahale ile kişisel verilerin korunması temaslı düzenlemelerin ihlalinin önüne geçilmesinin amaçlandığını ve bu durumda başvuru konusu olaydaki müdahalenin amacı dikkate alındığında müdahalenin mülkiyetin kamu yararına kullanılmasının kontrol edilmesine ilişkin kural çerçevesinde incelenmesi gerektiğini,
- Anayasa’nın 35. maddesinde mülkiyet hakkının sınırsız bir hak olarak düzenlenmediğini, bu hakkın kamu yararı amacıyla ve kanunla sınırlandırılabileceğini, mülkiyet hakkına müdahalede bulunulurken temel hak ve özgürlüklerin sınırlandırılmasına ilişkin genel ilkeleri düzenleyen Anayasa’nın 13. maddesinin de göz önünde bulundurulması gerektiğini,
- Başvurucu; veri ihlalinin bildirilmesi yönünden Kanun’da kısıtlayıcı bir süre bulunmadığını, bu sebeple müdahalenin kanuni dayanağı olmadığını ileri sürmekteyse de değerlendirmenin ölçülülük başlığı altında yapılmasının uygun olacağını, belirtmiştir,
- Bunun yanında, başvurucunun Sulh Ceza Hâkimliği’ne itiraz ederken yer verdiği;
- Kanun kapsamında veri sorumlusu olarak kendilerinin değil veri ihlalinin yaşandığı devralınan konaklama şirketinin kabul edilmesi gerektiği,
- Başvurucu; Kurul tarafından verilen idari para cezasının zaman bakımından uygulanabilir olmadığı cezada şahsiliğe aykırı olduğu,
- Kısa sürede bildirim yükümlülüğünü yerine getirmesine rağmen mevzuattaki süreye dair belirsizliğin aleyhine yorumlandığı,
- Kişisel verilerin korunmasında kusur sorumluluğunun esas olduğu; tüm tedbirleri almasına ve kusuru olmamasına rağmen ceza verilmesinin hukuka aykırı olduğu iddialarının,
yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğunu değerlendiren AYM, başvurucunun bu itirazları hakkında hiçbir değerlendirme yapılmamasının mülkiyet hakkının korunmasına yönelik güvencelerin somut olayda yerine getirilmediği sonucuna götürdüğünü belirterek mülkiyet hakkının ihlal edildiğine karar vermiştir.
Ne Olmuştu?
Kararda bahsi geçen ihlal Marriott International Inc. (“Şirket”) bünyesinde yaşanmış olup Kişisel Verileri Koruma Kurulu’nun 16.05.2019 tarih ve 2019/143 sayılı Kararı’nda, gerçekleşen ihlal neticesinde Şirket’e idari para cezası uygulanmasına karar verildiği kamuoyuna duyurulmuştu. Kararda “2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin ve yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu, Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının ve Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu” belirtilmişti.
GRC LEGAL Yorumu
Kurul tarafından uygulanan idari para cezasının AYM tarafından mülkiyet hakkının ihlali yönünde yorumlanması, veri koruma düzenlemelerine uyumun ve hukuki süreçteki adil işleyişin önemini vurgulamaktadır.
Kurul tarafından uygulanan idari para cezasına ilişkin başvurulacak kanun yollarının ilgili mevzuat ve uygulama nezdinde yarattığı soru işaretleri, yargı süreçlerinde de belirsizliklere ve yüzeysel, gerekçeden yoksun kararların verilmesine yol açmaktadır. İdari yaptırım kararına karşı yapılan başvurunun, idari yargı yerine Sulh Ceza Hakimlikleri tarafından değerlendirilmesi Sulh Ceza Hakimliği’nin Kurul kararlarına karşı yargı denetimi yapmasının yerindeliği konusunu da gündeme getirmektedir. Bilhassa olayın gerçekleşme tarihinde Kurul kararları ile çerçevesi çizilmemiş kısa süre içerisindeki bildirim kıstasının alınan tedbirler, veri sorumlularının devir öncesi ve sonrası konumları ile sorumluluk paylaşımları gibi kriterler eşliğinde yapılması ve spesifik olarak görev ve yetkiye ilişkin belirsizliklerin giderilmesi; hakkaniyetli, temel hak ve özgürlükleri ihlal etmeyen kararların alınması ve bu yönde bir içtihadın oluşması açısından son derece önem arz edecektir.