Anayasa Mahkemesi Genel Kurulu, Kişisel Verileri Koruma Kurulu tarafından Viennalife Emeklilik ve Hayat A.Ş.’ye verilen idari para cezasına ilişkin bireysel başvuruda ihlal kararı verdi. Mahkeme, 100 bin TL’lik cezanın kanunda açıkça yer almayan “alenileştirme amacı” kavramına dayandırılması nedeniyle suçta ve cezada kanunilik ilkesinin ihlal edildiğine hükmetti.
Başvuru kişisel veri şikayetiyle başladı
Süreç, bir kişinin sigortacılık faaliyetleri kapsamında telefonla arandığını belirterek Kişisel Verileri Koruma Kurumu’na şikayette bulunmasıyla başladı. Şikayetçi, daha önce ilgili şirketle herhangi bir ilişkisinin bulunmadığını ve kişisel verilerinin açık rızası olmadan temin edilip kullanıldığını ileri sürdü.
Şirket ise savunmasında, şikayetçiye ait ad, soyad ve telefon bilgilerinin “hizmetburada.com” adlı internet sitesinde halka açık şekilde yer aldığını bildirdi. Şirkete göre bu bilgiler, ilgili kişinin kendisi tarafından alenileştirildiği için 6698 sayılı Kanun’un açık rıza aranmaksızın veri işlenmesine imkan tanıyan hükmü kapsamında değerlendirilmeliydi.
KVKK 100 bin TL idari para cezası verdi
Kişisel Verileri Koruma Kurulu, yaptığı değerlendirmede şikayetçinin bilgilerinin yer aldığı internet sitesinin hizmet almak isteyenleri hizmet sağlayıcılarla buluşturma amacı taşıdığını belirledi. Kurul, şirketin bu bilgileri şikayetçiyi kendi ticari faaliyeti kapsamında randevu talebiyle aramak için kullandığı sonucuna ulaştı.
Bu nedenle Kurul, söz konusu veri işleme faaliyetinin kanundaki alenileştirme istisnası kapsamında değerlendirilemeyeceğine karar verdi. Şirkete, kişisel verilerin hukuka aykırı işlenmesini önleyecek teknik ve idari tedbirleri almadığı gerekçesiyle 100 bin TL idari para cezası uygulandı.
Sulh Ceza Hakimliği cezayı düşürdü
Şirket, idari yaptırım kararına karşı İstanbul Anadolu 5. Sulh Ceza Hakimliği’ne itiraz etti. Hakimlik, eylemin kanunun ilgili hükmü çerçevesinde değerlendirilemeyeceğini ve yaptırımın yerinde olduğunu kabul etti.
Ancak idari para cezası belirlenirken alt sınırdan uzaklaşma gerekçesinin kararda gösterilmediği tespit edildi. Bu nedenle itiraz kısmen kabul edilerek ceza 17 bin 828 TL’ye düşürüldü.
Şirket kanunda olmayan kavrama dikkat çekti
Viennalife Emeklilik ve Hayat A.Ş., Anayasa Mahkemesi’ne yaptığı bireysel başvuruda şikayetçinin kişisel verilerini daha önce halka açık hale getirdiğini savundu. Şirket, bu nedenle 6698 sayılı Kanun kapsamında açık rıza aranmasına gerek olmadığını ileri sürdü.
Başvurunun temel itiraz noktası ise “alenileştirme amacı” kavramı oldu. Şirket, bu kavramın mevzuatta düzenlenmediğini, kanunda yer almayan bir kavrama dayanılarak para cezası verilmesinin öngörülebilirlik ve hukuki güvenlik ilkelerine aykırı olduğunu belirtti.
AYM kanunilik ilkesine vurgu yaptı
Anayasa Mahkemesi, Anayasa’nın 38’inci maddesinde güvence altına alınan suçta ve cezada kanunilik ilkesinin kabahatler için de geçerli olduğunu hatırlattı. Mahkemeye göre kişiler, bir fiilin suç veya kabahat sayılıp sayılmayacağını ve hangi yaptırıma tabi olduğunu önceden kanundan öngörebilmelidir.
AYM, 6698 sayılı Kanun’un 5’inci maddesinde ilgili kişi tarafından alenileştirilen kişisel veriler için açık rıza aranmayacağının düzenlendiğini belirtti. Ancak kanunda verilerin hangi amaçla alenileştirildiği, bu amaca aykırı kullanımın nasıl değerlendirileceği ve bunun yaptırıma bağlanıp bağlanmadığı konusunda açık hüküm bulunmadığına dikkat çekti.
Alenileştirme amacı kanunda yer almıyor
Mahkeme, “alenileştirme amacı” kavramına ilişkin açıklamaların yalnızca Kişisel Verilerin Korunması Kanunu’na İlişkin Uygulama Rehberi’nde bulunduğunu tespit etti. Buna karşılık söz konusu kavramın kanun metninde açık şekilde düzenlenmediği belirtildi.
AYM’ye göre herkes tarafından erişilebilen bir internet sitesinde yer aldığı kabul edilen kişisel verilerin “paylaşılma amacına aykırı kullanıldığı” gerekçesiyle cezalandırılması, kanun hükmünün öngörülemez biçimde geniş yorumlanması anlamına geldi. Bu değerlendirme, idari yaptırımın kanunilik ilkesi bakımından sorunlu olduğu sonucunu doğurdu.
Veri sorumlusu değerlendirmesi de eksik bulundu
Anayasa Mahkemesi kararında veri sorumlusu sıfatına ilişkin değerlendirmeye de yer verdi. 6698 sayılı Kanun’a göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi olarak tanımlanıyor.
Mahkeme, Kurul kararında başvurucunun neden veri sorumlusu sayıldığına ilişkin yasal dayanakların açıkça tartışılmadığını belirtti. Ayrıca verilerin ilk paylaşıldığı internet sitesinin sorumluluğu bulunup bulunmadığı konusunda da yeterli değerlendirme yapılmadığı vurgulandı.
Yeniden yargılama yapılacak
Anayasa Mahkemesi, başvurucunun Anayasa’nın 38’inci maddesinde düzenlenen suçta ve cezada kanunilik ilkesinin ihlal edildiğine oybirliğiyle karar verdi. Bu sonuca bağlı olarak adil yargılanma hakkı ve mülkiyet hakkına yönelik diğer şikayetlerin ayrıca incelenmesine gerek görülmedi.
Mahkeme, ihlalin sonuçlarının ortadan kaldırılması için kararın İstanbul Anadolu 5. Sulh Ceza Hakimliği’ne gönderilmesine hükmetti. Ayrıca 446,90 TL harç ve 40 bin TL vekalet ücretinden oluşan toplam 40 bin 446,90 TL yargılama giderinin başvurucuya ödenmesine karar verildi.
Karar veri işleme süreçleri açısından önem taşıyor
AYM’nin kararı, kişisel verilerin halka açık kaynaklardan elde edilmesi ve bu verilerin ticari amaçla kullanılması bakımından önemli bir hukuki tartışmayı gündeme taşıdı. Karar, alenileştirilmiş verilerin işlenmesinde yalnızca erişilebilirlik değil, yaptırımın kanuni dayanağının da açık ve öngörülebilir olması gerektiğini ortaya koydu.
Bu yönüyle karar, Kişisel Verileri Koruma Kurulu’nun idari para cezalarında kanuni dayanak ve gerekçelendirme sınırlarını yeniden tartışmaya açtı. Özellikle açık kaynaklardan elde edilen iletişim bilgilerinin ticari faaliyetlerde kullanılması, bundan sonraki süreçte hem şirketler hem de veri koruma uygulamaları açısından daha dikkatli değerlendirilecek.