ANAYASA MAHKEMESİ’NİN 2021/93 SAYILI KARARI’NIN DEĞERLENDİRİLMESİ: YETKİSİZ ERİŞİM VE MESLEKTEN ÇIKARMA CEZASI

Anayasa Mahkemesinin 16/12/2021 Tarihli, 2020/77 Esas ve 2021/93 Sayılı Kararı önemli değerlendirmelere yer vermektedir.

Kısaca özetlemek gerekirse Mardin 2. İdare Mahkemesi, “yetkili olmadığı halde elektronik ortamda kişisel verilerle ilgili sorgulama yaptığı gerekçesiyle” verilen meslekten çıkarma cezasının iptali talebiyle açılan davada, itiraza konu kuralın Anayasa’ya aykırı olduğu kanısına varmış ve iptal için AYM’ye başvurmuştur.

  1. İTİRAZ KONUSU VE GEREKÇESİ

İtiraza konu olan ve iptali istenen madde, 7068 Sayılı Genel Kolluk Disiplin Hükümleri Hakkında Kanun Hükmünde Kararnamenin Kabul Edilmesine Dair Kanun’un 8/6-aa bendinde yer alan:

“Yetkili olmadığı halde hukuka aykırı olarak elektronik ortamda veya bilgisayar loglarında kişisel verilerle ilgili sorgulama yapmak, bu şekilde elde edilen bilgileri paylaşmak veya yayın yoluyla duyurmak, log kayıtlarını değiştirmek veya silmek” durumunda meslekten çıkarma cezasının verileceği hükmüdür.

İtiraz gerekçesinde sorgulama yapılmasının disiplin cezasını gerektirdiği; ancak kişisel verilerin “yalnızca görüntülenmesinin” bu verileri yayma, ilan etme gibi fiillerle aynı ağırlıkta görülemeyeceği, bu anlamda meslekten çıkarma cezasının hukuk devletinin bir gereği olan ölçülülük ilkesi ile bağdaşmadığı ve disiplin cezası ile fiilin ağırlığının adil bir dengede durmadığı belirtilmiştir.

  1. ANAYASA MAHKEMESİ’NİN İNCELEMESİ

Mahkeme, yaptığı incelemede kişisel verinin tanımına değinmiştir ve “AYM’nin yerleşik kararlarında da belirtildiği üzere” yalnızca bireyin kimliğini ortaya koyan bilgilerin değil, motorlu taşıt plakası, IP adresi, hobiler, tercihler vb. pek çok kişiyi doğrudan veya dolaylı belirlenebilir kılacak tüm verilerin bu kapsama girdiğini vurgulamıştır.

Maddeye göre sorgulamanın disiplin suçu teşkil edebilmesi için personelin sistem üzerinde sorgulama yapma yetkisine sahip kılınmadığı halde bu sorguyu gerçekleştirmesi gerekmektedir. Bu nedenle “yetkili olmadığı halde hukuka aykırı olarak” ibaresi personelin yetkisi çerçevesinde erişiminin bulunmadığı kişisel verilere hukuka aykırı yollarla erişmesini kapsamaktadır.

Anayasa’nın 70. maddesi gereği kamu hizmetine alınmada ayrım gözetilmeyeceğini, bunun yanında hizmete alınmada görevin gerektirdiği niteliklerin gözetilmesi ve hakkın kötüye kullanılmasının engellenmesi hususlarının madde gerekçesinde düzenlenerek bu anlamda kanun koyucuya bir takdir yetkisi bırakıldığını değerlendirmiştir. Bu nedenle söz konusu düzenlemenin meşru bir amacının bulunup bulunmadığının saptanabilmesi adına meslekten çıkarma sonucunu doğuran fiilin görevin gerektirdiği niteliklerde olup olmadığının tespiti gerekmektedir.

  1. KARARA DAİR

Kararda yer verilen şu açıklamalar önem taşımaktadır: “Toplumda asayiş ve güvenliği sağlamakla görevli olan kolluk teşkilatının bu görevin yerine getirilmesi esnasında ihtiyaç duyulan kişisel verileri sorgulama yetkisine sahip olması hizmetin gereği gibi yerine getirilebilmesi için zorunlu ve kaçınılmazdır. Bununla birlikte görevinin kapsam ve niteliği gözetilmeksizin ve herhangi bir sınırlamaya tabi olmaksızın tüm kolluk personelinin bireylerin kişisel verileri üzerinde sorgulama yapabileceğinin kabulü anayasal güvenceye bağlanan kişisel verilerin korunması hakkının bizzat devlet tarafından ihlal edilmesi anlamına geleceği gibi toplumda kolluk personeline yönelik bu şekilde bir algının oluşması kolluk kuvvetlerine olan güvenin zedelenmesine de yol açabilecektir.”

“Anayasa’nın anılan maddesinde güvence altına alınan ölçülülük ilkesi elverişlilik, gereklilik ve orantılılık olmak üzere üç alt ilkeden oluşmaktadır. Elverişlilik öngörülen sınırlamanın ulaşılmak istenen amacı gerçekleştirmeye elverişli olmasını, gereklilik ulaşılmak istenen amaç bakımından sınırlamanın zorunlu olmasını, diğer bir ifadeyle aynı amaca daha hafif bir sınırlama ile ulaşılmasının mümkün olmamasını, orantılılık ise hakka getirilen sınırlama ile ulaşılmak istenen amaç arasında makul bir dengenin gözetilmesi gerekliliğini ifade etmektedir.”

  1. KİŞİSEL VERİLERİ KORUMA KURULU’NUN GÖZÜNDEN

Anayasa Mahkemesi’nin verdiği bu karar, aslında 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kurul kararları ile de yakından ilişkilidir.

Bilindiği üzere Kurul; 1/03/2021 tarihli ve 2021/230 sayılı kararında; kamu personeli olan ve “erişim yetkisine sahip” eski eşin maaş bilgilerine sistemden ulaşması ve boşanma davasında mahkemeye sunmasına ilişkin olayda, “kişisel verinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin” işleme şartları içerisinde değerlendirilemeyeceğini ortaya koyarak ilgili veri sorumlusuna talimatlandırma vermiştir.

Aynı şekilde bir başka kararda, ilgili kişinin kredi skorlarının kişinin bilgisi dışında banka tarafından birçok kez sorgulanması, kredi skorlarının not alınması ve fotoğrafının çekilmesi gibi işin gereğinden fazla sorgu sonucunda veri güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbiri almayan veri sorumlusu hakkında 450.000 TL ceza uygulanmıştır.

Konuyla ilgili Kurul’un “Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin” 2018/63 sayılı bir ilke kararı da mevcuttur. Başta bu ilke kararı, veri sorumlularına bulundukları pozisyon gereği kişisel veriye ulaşımı bulunanların yetki dışı eylemlerinin önlenmesi amacıyla her türlü teknik ve idari tedbiri alma konusunda yükümlülük getirmektedir. Bütün bu açıklamalar ışığında ilgili hüküm Anayasa Mahkemesi’nce ölçülü ve yerinde görülerek aykırı bulunmamış ve itiraz reddedilmiştir.

  1. SONUÇ: KAMU FAALİYETLERİNİN KVKK MUAFİYETİ SÖZ KONUSU DEĞİLDİR

Erişim yetkilendirmesinin/yetki matrisinin önemine kamu kurum ve kuruluşları ile kamu faaliyetleri özelinde şahitlik ettiğimiz ve yukarıda bahsi geçen emsal ihlallerin sonuçlarını yaşayan bir mekanizma olarak görebildiğimiz Anayasa Mahkemesi kararı, tek başına yetkisiz erişimin kamu hizmetinden çıkarılma sebebi olabileceğini ve bu anlamda kamu faaliyeti yapılıyor olsa bile veri sorumlularının veri koruma ve veri güvenliğine ilişkin gerekli her  türlü idari ve teknik tedbirleri alması gerekliliğini, bu anlamda aktif özen yükümlülüklerinin bulunduğunu bir kez daha ortaya koymaktadır.

Saygılarımızla,

GRC|LEGAL