Kişisel Verileri Koruma Kurulu Kararlarına Karşı Başvuru ve İtiraz Yolu

Dijital çağın gelişimiyle birlikte kişisel verilerin korunması hem bireylerin özel hayatının gizliliği hem de temel hak ve özgürlüklerin korunması bakımından büyük önem kazanmıştır. Türkiye’de bu alandaki temel düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenme şartlarını, veri sorumlularının yükümlülüklerini ve ihlaller durumunda uygulanacak yaptırımları belirlemektedir.

Bu kapsamda, veri koruma alanında denetim ve yaptırım yetkisine sahip Kişisel Verileri Koruma Kurumu (Kurum) ve karar organı olan Kişisel Verileri Koruma Kurulu (Kurul) oluşturulmuştur. Kurul, kişisel verilerin hukuka aykırı işlenmesi durumunda idari para cezası veya diğer yaptırımlar uygulayabilmektedir. Ancak, Kurul’un bu kararları da idari işlem niteliğinde olup yargısal denetime tabidir.

Bu makalede, Kişisel Verileri Koruma Kurulu kararlarına karşı başvuru ve itiraz yolu, KVKK cezalarına karşı dava açma süreci, itiraz dilekçesi örneği ve başvuru yöntemleri detaylı olarak incelenecektir. Ayrıca, kişisel verilerin korunması kapsamında ilk başvurunun kime yapılacağına ve özel nitelikli kişisel verilerin tanımına da değinilecektir.

KVKK (Kişisel Verilerin Korunması Kanunu) Nedir?

Türk Hukukunda kişisel verilerin korunması hukukunun oluşması sürecindeki ilk ve en önemli gelişme, 07/04/2016 tarih ve 29677 sayılı Resmi Gazete ile yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile olmuştur. Kişisel Verilerin Korunması Kanunu’nun “Amaç” başlıklı 1. maddesi şu şekildedir:

“Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”

Hükümden anlaşılacağı üzere; Kanun’un esas amacı, bireylerin temel hak ve özgürlüklerini korumak ve kişisel verilerin işlenmesini belirli bazı usul ve esaslara tabi tutmaktır. Madde gerekçesinde “Kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.” şeklinde Kanun’un kabul edilmesindeki amaç belirtilmiştir.

Kişisel Verilerin Korunması Kanunu’nun Amacı 

Son yıllarda hızla gelişen teknoloji nedeniyle kişisel veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum kişisel verilerin istismar edilme riskini de beraberinde getirmektedir. 

Günümüz dünyasında kişisel verilerin işlenmeden, saklanmadan herhangi bir iş ve işlem yapılabilmesi imkansız hale gelmiştir. Hal böyle olunca kişisel veriler hayatımızın büyük bir parçası haline gelmiş, adeta her gün her dakika kişisel veriler paylaşılır ve işlenir olmuştur. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi Türkiye’nin taraf olduğu uluslararası sözleşmeler ve Anayasa’da yer alan temel hakların ihlaline sebep olmaktadır. Dolayısıyla bu iki menfaat arasında makul bir dengenin oluşturulması ve kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesi gerekmiştir.

Kurul İşlemlerinin Çeşitleri

Kişisel verilerin korunması alanında yapılan işlemler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında Kişisel Verileri Koruma Kurulu (Kurul) tarafından yürütülür. Kurul, veri işleme faaliyetlerinin denetimini sağlamak ve hukuka aykırılıklara karşı yaptırım uygulamakla görevlidir. Bu doğrultuda Kurul’un tesis ettiği işlemler iki ana gruba ayrılır: genel düzenleyici işlemler ve birel işlemler. Her iki işlem türü de farklı hukuki sonuçlar doğurur.

Genel düzenleyici işlemler, veri sorumlularına yönelik rehberlik eden, kişisel veri işleme faaliyetlerinin çerçevesini belirleyen kararlardır. Örneğin, özel nitelikli kişisel veri nedir, bu tür verilerin nasıl korunacağı veya yurt dışına veri aktarımında hangi şartların aranacağı gibi konularda Kurul genel nitelikli düzenlemeler yapabilir. Bu kararlar, tüm veri sorumlularını kapsar ve bağlayıcıdır.

Birel işlemler ise, belirli bir kişi ya da kurumun ihlaline yönelik olarak alınan kararlardır. Kurul, yapılan şikayet veya başvurular üzerine somut olayları değerlendirir, inceleme yapar ve sonuçta hukuka aykırılık tespit edilirse idari para cezası ya da veri işleme faaliyetinin durdurulması gibi yaptırımlara karar verir. Bu tür işlemler, yalnızca ilgili veri sorumlusu veya şikâyetçi bakımından hüküm ifade eder.

Bu kapsamda Kurul, hem genel politika belirleyici bir otorite olarak hareket eder hem de bireysel ihlalleri denetleyerek yaptırım uygular. Bu nedenle, kişisel verilerin korunması sürecinde Kurul’un kararları hem idari hem de yargısal denetime konu olabilecek önemli işlemler niteliğindedir. 

Özel Nitelikli Kişisel Veri Nedir?

Özel nitelikli kişisel veriler, kişilerin kimliğini belirlemeye elverişli olup ayrımcılığa yol açabilecek nitelikteki hassas bilgilerdir. KVKK’nın 6. maddesine göre; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık bilgileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veri sayılır.

Bu tür veriler, kötüye kullanıldığında kişilerin temel hak ve özgürlüklerine ciddi zarar verebileceğinden, işlenmeleri özel koruma tedbirlerine tabidir. Veri sorumluları bu verileri işlerken; açık rıza alma, veri güvenliğini sağlama, erişimi sınırlandırma ve gerekli teknik-idari önlemleri alma yükümlülüğündedir.

Ayrıca, özel nitelikli kişisel verilerin işlenmesi sadece kanunda belirtilen istisnai hallerde veya açık rıza ile mümkündür. Bu verilerin korunması ihlal edildiğinde KVKK ihlal cezası uygulanabilir ve ilgili kişiler Kurul nezdinde şikâyet yoluna başvurabilir.

Genel Düzenleyici İşlemler

Kişisel Verileri Koruma Kurulu, yalnızca bireysel başvurular üzerine karar veren bir merci değil, aynı zamanda kişisel veri işleme faaliyetlerine yön veren genel düzenleyici işlemler yapma yetkisine sahip bir idari otoritedir. KVKK’nın 22. maddesinde açıkça düzenlendiği üzere Kurul; veri koruma politikalarının oluşturulması, uygulama esaslarının belirlenmesi ve genel ilke kararlarının alınması konularında yetkilidir.

Bu tür işlemler, kişisel verilerin işlenmesi, aktarılması, saklanması ve imha edilmesi gibi alanlarda tüm veri sorumluları için bağlayıcı hükümler doğurur. Örneğin, Kurul tarafından yayımlanan “Özel Nitelikli Kişisel Verilerin İşlenmesi Rehberi” veya “Çerez Uygulamaları Hakkında İlke Kararları” bu kapsamdaki genel düzenleyici işlemlerdendir.

Genel düzenleyici kararlar;

• Veri güvenliği yükümlülüklerini somutlaştırır,
• Uygulamada birliği sağlar,
• İhlallerin önlenmesi için veri sorumlularına yol gösterir,
• Yargı denetiminde esas alınabilecek standartları belirler.

Bu tür kararlar, yalnızca Kurum’un denetim faaliyetlerinde değil, aynı zamanda kişisel verilerin korunması kapsamında ilgili kişilerin ilk başvurusu kime yapılır sorusuna da dolaylı bir yanıt oluşturur. Çünkü Kurul’un belirlediği usuller, veri sahiplerinin başvuru yöntemlerini de şekillendirir.

KVKK Mevzuat ve Kişisel Verinin Tanımı

Kişisel veri, 07/04/2016 tarih ve 29677 sayılı Resmi Gazete ile yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanmıştır. Buna göre; kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir. 

Bireyin belirlenebilir hale getirilmesi, verilerin doğrudan doğruya veya dolaylı olarak bir gerçek kişiyle ilişkilendirilerek o kişinin tanımlanabilmesi, bir diğer ifadeyle şahsın o şahıs olduğunun ortaya çıkarılmasıdır. Örnek vermek gerekirse, ilgili verinin kişinin kimlik numarasıyla ilişkilendirilmesi ya da sağlık, genetik, etnik, dini, ailevi ve/veya siyasi bilgilerine dayanarak tanımlanabilen gerçek veya tüzel kişilere ilişkin herhangi bir bilgi kişisel veriyi göstermektedir. 

Kişiyi doğrudan belirli kılan isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, ses, parmak izi, genetik bilgiler gibi veriler ile kişiyi dolaylı olarak belirlenebilir kılan yaş, meslek, medeni durum, adres vb. bilgilerin kombinasyonu olan veriler de kişisel veri kavramına dahildir. Bununla birlikte Ceza Muhakemeleri Kanunu’nun 80. Maddesi uyarınca bir suça ilişkin delil elde etmek amacıyla şüpheli, sanık veya diğer kişilerden alınan örnekler üzerinde yapılan genetik inceleme sonuçları da kişisel veri kapsamında ele alınabilir. 

Özel nitelikli kişisel veri, Kişisel Verilerin Korunması Kanunu’nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinde şu şekilde tanımlanmıştır: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmadan işlenemeyen verilerdir yani Kanun’da yer alan yasal işlenme şartları doğmuş olsa bile özel nitelikli kişisel verinin işlenmesi söz konusu olduğunda ilgili kişinin açık rızasının varlığı zorunludur. 

Anonim veri ise, Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3/1-b bendinde “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmıştır. Anonim veriler belirli veya belirlenebilir bir kişiyi belirtmekten ziyade kitlesel bilgi yığını olduğundan ve ilgili kişilerle ilişkilendirilemediğinden kişisel veri niteliğinde değildir. 

Kişisel Veriler Hangi Şartlarda İşlenebilir?

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. Maddesinde kişisel verilerin hangi şartlarda işlenebileceği açıkça hüküm altına alınmıştır. Buna göre kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıda yer alan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası olmasa dahi kişisel veriler işlenebilir. Bu şartlar şu şekildedir:

1. “Kanunlarda açıkça öngörülmesi,
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması “

hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verisi işlenebilir. 

KVKK Verbis Nedir?

Veri sorumlusu, veri işlemeye başlamadan önce; Kurul’un gözetiminde, Başkanlık tarafından kamuya açık olarak tutulan Veri Sorumluları Sicili’ne kaydolmak zorundadır. VERBİS denilen “Veri Sorumluları Sicil Bilgi Sistemi”ne kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce kayıt olmak zorundadır. Bundan sonra veri sorumlusunun ilk ve en önemli yükümlülüğü, ilgili kişinin açık rızasına dayanarak veya kanunda yer alan yukarıda bahsedilen işleme şartlarından birinin varlığı halinde kişisel veriyi işlemektir. Aynı zamanda işlenme şartı ortadan kalkan kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesinden de yine veri sorumlusunun yükümlülüğündedir.

Veri Sorumlusu ve Veri İşleyen Kimdir? Yükümlülükleri Nelerdir?

Veri sorumlusu ve veri işleyen kavramları Kanun’un 3. maddesinde tanımlanmıştır. Buna göre veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi”, veri işleyen; “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade etmektedir.

Kişisel verilerin aktarılması bakımından Kanun’un 8. maddesine göre, kural olarak ilgili kişinin açık rızası olmadan aktarılamaz. Ancak yukarıda bahsedilen işleme şartları varsa açık rıza olmaksızın da kişisel veri aktarılabilir. Dolayısıyla kişisel verinin aktarılması bağlamında da veri sorumlusu hukuka uygun aktarma gerçekleştirmek zorundadır aksi halde veri sorumlusunun sorumluluğu doğar. 

Kanun’un “Haklar ve Yükümlülükler” başlıklı üçüncü bölümünde veri sorumlusunun diğer yükümlülüklerine yer verilmiştir. Kanun’un 10. maddesinde yer alan “Veri sorumlusunun aydınlatma yükümlülüğü” kapsamında, veri sorumlusu veya yetkilendirdiği kişi kişisel verilerin elde edilmesi sırasında, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür.

Kişisel veri sahibinin veri sorumlusuna başvurması halinde, veri sorumlusu verinin işlenip işlenmediği hakkında bilgi vermek, işlenmişse buna ilişkin bilgi vermek, işleme amacını ve bunların amacına uygun kullanılıp kullanılmadığı hakkında bilgi vermek, verileri aktardıkları üçüncü kişileri bildirmek, kişisel verinin eksik veya yanlış işlenmesi halinde bunları düzeltmek, kişisel verinin kanuna aykırı işlenmesi halinde ilgili kişinin zararını gidermekle yükümlüdür.

Bununla birlikte veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Veri sorumlusu, kendi kurum veya kuruluşunda, Kişisel Verilerin Korunması Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. 

Kişisel Verisi İhlal Edilen Kişi Ne Yapmalıdır? 

Veri sorumlusu ve yetkilendirdiği kişinin, yukarıda belirtilen yükümlülüklere uygun davranmakla yükümlü olduğundan bahsetmiştik.  Bu yükümlülüklere aykırılık halinde, kişisel veri sahibi öncelikle veri sorumlusuna başvuruda bulunabilir. Veri sorumlusu bu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmakla yükümlüdür. 

KVKK Şikayet Yolları Nelerdir?

Veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir. Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurul’un, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Veri sorumlusuna başvuru yoluna gidilmeden önce Kurul’a şikayet yoluna gidilemez. Öncelikle veri sorumlusuna başvuru yolu tüketilmiş olmalıdır. Şayet veri sorumlusu başvuruyu reddetmiş, verilen cevap yetersiz bulunmuş veya süresinde başvuruya cevap verilmemiş ise ancak o zaman Kurum’a şikayet yoluna gidilebilir. Bu yollara gidilmesinden ayrı olarak, kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkı da saklıdır.

İhlal Halinde Kişisel Verileri Koruma Kurulu’nun Verebileceği Kararlar

Kurul, şikayet üzerine veya ihlal halini öğrenmesi durumunda re’sen görev alanına giren konularda inceleme başlatır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikâyet üzerine veya re’sen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

KVKK Cezaları 

Sonuç olarak Kurul, hukuka aykırılığın veri sorumlusu tarafından giderilmesine, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilmektedir. Bununla birlikte Kanun’un “Kabahatler” başlıklı 18. maddesi uyarınca veri sorumlusuna idari para cezası verilir. Kanun hükmünde verilebilecek idari para cezalarının alt ve üst limitleri belirlenmiştir. Buna göre;

1. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
2. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
3. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
4. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir. 5326 sayılı Kabahatler Kanunu’nun 17. maddesi uyarınca Kurul, Kişisel Verileri Koruma ’da alt ve üst limiti belirtilen idari para cezasının miktarını belirlerken“işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu” birlikte göz önünde bulundurarak karar verir. 

Kişisel verilerin korunması kanunu cezası bazı hallerde 5237 sayılı Türk Ceza Kanunu’nda yer alan suçların doğmasına sebebiyet vermektedir. Bu hallerde Türk Ceza Kanunu’nun 135 ila 140’ıncı maddelerinde yer alan hükümler uygulanır. Ayrıca Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde yer alan kişisel verileri silme, yok etme ve anonim hale getirme yükümlülüğüne aykırı davrananlar Türk Ceza Kanunu’nun 138. Maddesine göre cezalandırılır. 

Kişisel Verileri Koruma Kurulu Kararlarına Karşı Gidilebilecek Kanun Yolları

Kişisel Verileri Koruma Kuruluna Başvuru Yöntemleri

Kişisel Verileri Koruma Kanunu’nun 18. Maddesi gereğince Kurul tarafından düzenlenen idari para cezası yaptırım kararlarına karşı yargı yolu açıktır. Kurul tarafından verilen idari para cezaları Kişisel Verilerin Korunması Kanunu’nun 18. Maddesinde “Kabahatler” başlığı altında düzenlenmiş olup bu cezalar Kabahatler Kanunu’na tabidir. Dolayısıyla söz konusu idari para cezalarına karşı gidilebilecek kanuni yollar için Kabahatler Kanunu hükümlerinin uygulanması gerekmektedir. 

5326 sayılı Kabahatler Kanunu’nun “Başvuru yolu” başlıklı 27. maddesi şu şekildedir:

“İdarî para cezası ve mülkiyetin kamuya geçirilmesine ilişkin idarî yaptırım kararına karşı, kararın tebliği veya tefhimi tarihinden itibaren en geç onbeş gün içinde, sulh ceza mahkemesine başvurulabilir. Bu süre içinde başvurunun yapılmamış olması halinde idarî yaptırım kararı kesinleşir.” 

Bu kapsamda Kurul tarafından verilen idari para cezalarına karşı Kabahatler Kanunu’nun 27. maddesi uyarınca, kararın tebliği veya tefhiminden itibaren en geç on beş gün içinde sulh ceza mahkemesine başvurarak idari para cezasının iptali veya yeniden değerlendirilmesi talep edilebilir. On beş gün içinde başvurulmaması veya hiç başvurulmaması halinde söz konusu idari para cezası kesinleşir.    

Başvuru, bizzat kanunî temsilci veya avukat tarafından sulh ceza mahkemesine verilecek bir dilekçe ile yapılır. Başvuru dilekçesinde, idari yaptırım kararına ilişkin bilgiler, bu karara karşı ileri sürülen deliller açık bir şekilde gösterilmelidir.

İdarî yaptırım kararının verildiği işlem kapsamında aynı kişi ile ilgili olarak idarî yargının görev alanına giren kararların da verilmiş olması halinde; idarî yaptırım kararına ilişkin hukuka aykırılık iddiaları bu işlemin iptali talebiyle birlikte idarî yargı merciinde görülür. Başka bir ifadeyle, idari para cezası ile birlikte başka bir idari yaptırım kararı da verilmişse, (örneğin, idari para cezası ve verinin yurtdışına aktarılmasının durdurulmasına karar verilmesi) bu durumda görevli mahkeme idare mahkemeleri olmaktadır.

Kabul edilen başvuru sonunda mahkemece verilebilecek son kararlar şu şekildedir:

İdari yaptırım kararının;

“a) Hukuka uygun olması nedeniyle, “başvurunun reddine”, 

 b) Hukuka aykırı olması nedeniyle, “idarî yaptırım kararının kaldırılmasına”, 

 c) İdarî para cezasının alt ve üst sınırının kanunda gösterildiği kabahatler dolayısıyla verilmiş idarî para cezasına karşı başvuruda bulunulması halinde, mahkeme idarî para cezasının miktarında değişiklik yaparak da başvurunun kabulüne” karar verebilir. 

Bununla birlikte üç bin Türk Lirası ve daha az idarî para cezalarına karşı başvuru üzerine verilen kararlar kesindir. Üç bin Türk Lirası ve daha fazla idari para cezalarına ve idari yaptırım kararının mahkeme tarafından verilmesi hallerinde itiraz yoluna gidilebilir. 

İtiraz Yolu

Mahkemenin verdiği son karara karşı, Ceza Muhakemesi Kanunu’na göre itiraz yolu açıktır. Bu itiraz, kararın tebliği tarihten itibaren en geç yedi gün içinde yapılır. Süresi içinde itiraz edilmemesi halinde karar kesinleşir. Mahkeme, her bir itirazla ilgili olarak “itirazın kabulüne” veya “itirazın reddine” karar verir. Ayrıca idarî yaptırım kararının ağır ceza mahkemesi tarafından verilmesi halinde bu karara karşı Ceza Muhakemesi Kanununa göre itiraz edilebilir.

Başvurulan kanun yolundan vazgeçilmesi ve kabulü mümkündür. Kabahatler Kanunu’nun 30. maddesi uyarınca; kanun yoluna başvuran kişi, bu konuda karar verilinceye kadar başvurusundan vazgeçebilir. Vazgeçme halinde bir daha aynı konuda başvuruda bulunulamaz. İlgili kamu kurum ve kuruluşunun da mahkeme tarafından karar verilinceye kadar kanun yolu başvurusunu kabul ederek idarî yaptırım kararını geri alabilmesi mümkündür. 

Kişisel Verilerin Korunması Kanunu’nun Uygulanmayacağı Haller

Aşağıda gösterilen hallerde Kanun hükümleri uygulanmaz:

1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10’uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11’inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16’ncı maddeleri aşağıdaki hâllerde uygulanmaz:

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

KVKK İdari Para Cezasına İtiraz Dilekçesi

Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 18. maddesi uyarınca idari para cezası uygulanması halinde, bu kararlara karşı ilgili kişiler veya veri sorumluları idari yargı mercileri nezdinde iptal davası açabilirler. Kurul kararları, idari işlem niteliğinde olduğundan, bu kararlara karşı başvuru süreci İdari Yargılama Usulü Kanunu (İYUK) hükümlerine tabidir.

KVKK’da özel bir dava süresi düzenlenmediğinden, idari para cezasının tebliğinden itibaren 60 gün içinde yetkili idare mahkemesinde dava açılması gerekmektedir. Yetkili mahkeme, Kişisel Verileri Koruma Kurumu’nun bulunduğu yer olan Ankara İdare Mahkemeleri’dir.

ANKARA NÖBETÇİ İDARE MAHKEMESİ BAŞKANLIĞINA

DAVACI : [Ad Soyad / Şirket Unvanı]
VEKİLİ : [Varsa Avukat Bilgileri]
DAVALI : Kişisel Verileri Koruma Kurumu Başkanlığı – ANKARA
KONU : Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezasının iptali talebidir.

AÇIKLAMALAR :

1. Kişisel Verileri Koruma Kurulu tarafından [tarih ve karar numarası belirtilerek] tarafımıza … TL tutarında idari para cezası uygulanmıştır.
2. Söz konusu karar, hukuka, hakkaniyete ve ölçülülük ilkesine aykırıdır. Kurul tarafından yapılan değerlendirmede, somut olayın özellikleri göz ardı edilmiş; gerekli inceleme ve savunma süreçleri tamamlanmadan ceza tesis edilmiştir.
3. Tarafımıza yöneltilen idari para cezası, fiilin ağırlığıyla orantısız olup, hukuka aykırı bir şekilde verilmiştir.

HUKUKİ NEDENLER : 6698 sayılı KVKK, 2577 sayılı İYUK ve ilgili mevzuat.

DELİLLER : Kurul kararı, tebligat evrakı, savunma yazışmaları ve sair yasal deliller.

SONUÇ ve İSTEM :
Yukarıda arz edilen nedenlerle, Kişisel Verileri Koruma Kurulu’nun … tarih ve … sayılı idari para cezası kararının iptali ile yargılama giderleri ve vekalet ücretinin davalı idareye yükletilmesine karar verilmesini saygılarımızla arz ederiz.

Davacı
[İsim – İmza]

Bu dilekçenin sunulmasıyla birlikte, aynı zamanda yürütmenin durdurulması talep edilmesi mümkündür. Çünkü Kurul’un kararlarının uygulanması, özellikle yüksek meblağlı cezalar söz konusu olduğunda, telafisi güç zararlara yol açabilir. Mahkeme, işlemin açıkça hukuka aykırı olduğu ve uygulanması halinde ciddi zarar doğacağı kanaatine varırsa, yürütmeyi durdurma kararı verebilir.

Kişisel Verilerin Korunması Kapsamında İlgili Kişilerin İlk Başvurusu Kime Yapılır?

KVKK’ya göre, kişisel verileri ihlal edilen kişi doğrudan Kişisel Verileri Koruma Kurulu’na değil, önce veri sorumlusuna başvurmak zorundadır. Bu başvuru yazılı veya elektronik ortamda yapılır ve veri sorumlusu en geç 30 gün içinde yanıt verir.

Eğer yanıt verilmezse, başvuru reddedilirse veya cevap yetersiz bulunursa, ilgili kişi bu durumda 30 gün içinde Kurul’a şikâyet hakkını kullanabilir. Bu süreçte, ilk muhatap her zaman veriyi işleyen kurum veya kişidir.

Kurul Kararlarına Karşı Yargı Yolu

Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan kararlar, idare tarafından tesis edilen ve hukuki sonuç doğuran işlemler niteliğindedir. Bu nedenle, Kurul kararlarına karşı idari yargı yoluna başvurulabilir. İdare hukukunun temel ilkesi olan “idarenin her türlü işlem ve eylemi yargı denetimine tabidir” kuralı gereği, Kurul’un verdiği kararların hukuka uygunluğu mahkemelerce denetlenebilir.

Kurul kararlarına karşı açılacak davalarda, işlemin türü ve niteliği belirleyici öneme sahiptir. Çünkü bazı kararlar doğrudan idari para cezası içerirken, bazıları veri işleme faaliyetinin durdurulması veya veri ihlalinin kamuoyuna duyurulması gibi farklı hukuki sonuçlar doğurur.

Kurul kararlarına karşı genel olarak İdari Yargılama Usulü Kanunu (İYUK) hükümleri uygulanır. Dava açma süresi, kararın tebliğinden itibaren 60 gündür. Görevli ve yetkili mahkeme ise Kurul’un bulunduğu yer olan Ankara İdare Mahkemeleridir.

Bu noktada, Kurul kararlarına karşı açılabilecek davalar iki ana kategoriye ayrılır:

1. İdari para cezalarına karşı açılan davalar,
2. Diğer birel veya düzenleyici nitelikteki kararlara karşı açılan davalar.

Ayrıca, KVKK idari para cezasına itiraz eden kişi veya kurumlar, dilekçelerinde işlemin hukuka aykırı olduğunu, ölçülülük ilkesine aykırı ceza verildiğini ve usul hataları bulunduğunu somut şekilde açıklamalıdır.

Kurul kararlarına karşı açılan davalar yalnızca işlemin hukuka uygunluğunu denetler. Mahkeme, Kurul’un takdir yetkisini ortadan kaldırmaz ancak kararın dayandığı gerekçeleri, yetki, şekil, sebep, konu ve amaç yönlerinden inceler.

Kurul’un genel düzenleyici işlemleri (örneğin ilke kararları, rehber düzenlemeleri) doğrudan Danıştay’da, birel işlemleri ise idare mahkemelerinde dava konusu yapılabilir.