15.12.2023 tarihli ve 32400 sayılı Resmî Gazete’de yayımlanan 12.10.2023 karar tarihli ve 2020/7518 başvuru numaralı Anayasa Mahkemesi kararının özeti aşağıda bilgilerinize sunulmaktadır.
Karara konu olayda özetle;
Başvurucu;
- Merkezi yurt dışında bulunan, farklı ülkelerde oteller işlenen franchise hizmeti sağlayan ve bağlı şirketleri aracılığıyla devre mülklere lisans temin eden holding şirketidir;
- 19/11/2018 tarihinde konuk rezervasyon tabanına yetisiz üçüncü bir kişi tarafından erişim sağlandığını tespit etmiştir;
- 30/11/2018 tarihinde basın açıklaması yayımlamış, konuya dair internet sitesi aracılığıyla bilgi sağlamış ve ilgili kişilerin kendilerini nasıl koruyacaklarına dair tavsiyelerde bulunmuş ve geçerli e-posta adresi bulunan misafirlere bildirim göndermiştir;
- 3/12/2019 tarihinde Kişisel Verileri Koruma Kurumuna veri ihlali bildiriminde bulunarak, 327 milyonu kişisel veri olan 500 milyon müşteri verisinin çalındığını, temmuz 2014 tarihinden beri yetkisiz erişim olduğunu, ihlali 8/9/2018 tarihinde tespit ettiğini, ihlalden etkilenen verilerin ad soyad, posta adres, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, konaklama şirketinin hesap bilgileri, otel bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgiler olduğunu ifade etmiştir.
Bildirim neticesinde, Kurul, gerekli tedbirlerin alınmaması nedeniyle gerçekleşen ihlalle ilişkin başvurucudan bilgi istenmesine ve ihlalin Kurum internet sayfasında yayımlanmasına karar vermiştir.
Başvurucu, cevap dilekçesinde etkilenebilecek kişi sayılarını, çalınan verilerin niteliği ve büyüklüğü karşısında verilerin tekilleştirilmesinin kolayca gerçekleştirilmediğini, devralınan konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini beyan etmiştir.
Kurul tarafından 16.05.2019 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12/1 hükmü çerçevesine veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığından 1.100.00 Türk lirası ve 12/5 hükmü çerçevesinde ihlalin en kısa sürede bildirilmesi yükümlülüğüne uyulmadığından 350.000 Türk lirası olmak üzere 1.450.000 Türk lirası idari para cezası uygulanmasına karar verilmiştir. Bu karar 12.07.2019 tarihinde başvurucu muhatap gösterilmek suretiyle, başvurusunun Türkiye’deki otellerini işleten dolaylı iştirakine tebliğ edilmiştir. Kurul tarafından kendisi hakkında veri güvenliği yükümlülüğünün ihlali nedeniyle düzenlenen toplam 1.450.000 Türk lirası değerinde idari para cezasına Başvurucu tarafından 26.07.2019 tarihinde sulh ceza mahkemesi nezdinde itiraz edilmiştir.
İtiraz dilekçesinde özetle, idari yaptırım kararının usulüne uygun olarak tebliğ edilmediğini, KVKK’nın yürürlük tarihinden önceki olaylara uygulandığını, kendisinin veri sorumlusu olarak kabul edilemeyeceğini, Kurul kararının gerekçeli olmadığını, KVKK’da ihlal bildiriminin en kısa sürede yapılmasının düzenlendiğini, kısıtlayıcı bir süre öngörülmediğini, idari para cezasının en yüksek haddeden verilmesinin ölçüsüz olduğu belirtilmiştir.
İstanbul Anadolu 1. Sulh Ceza Hakimliği, 23.12.2019 tarihli kararı ile, verilen idari yaptırım kararına yapılan başvuruyu, idarece düzenlenen tutanak ile eylemin sabit olduğu, kabahat nedeniyle hakkında düzenlenen idari yaptırımın yasa ve usule uygun olduğu gerekçesiyle, reddetmiştir. Bunun üzerine başvurucu, İstanbul Anadolu 1. Sulh Ceza Hakimliği kararına itirazda bulunuluştur. İtiraz, İstanbul Anadolu 2. Sulh Ceza Hakimliğinin 09.01.2020 tarihli kararı ile, kesin olarak reddedilmiştir. Başvurucu, nihai karara ilişkin bireysel başvuruda bulunmuştur.
Başvurucu, başvurusunda aşağıdaki iddialarda bulunmuştur,
- İdari para cezalarının muhatabının kendisi olmadığını dolayısıyla cezaların şahsiliği ilkesine aykırı olduğu,
- Kabahat olduğu iddia edilen fiile gerçekleştiği tarihten sonra yürürlüğe giren KVKK’nın uygulanmasının kanunların geriye yürümezliği ilkesine aykırılık teşkil ettiğini,
- İdari para cezasına ilişkin kararın usulsüz tebliğ edildiğini ve yeterli gerekçe içermediğini, derece mahkemesi tarafından yeterli ve gerekli inceleme yapılmaksızın itirazın reddine karar verildiğini,
- Cevap dilekçesinin tebliğ edilmediğini,
- Tüm teknik ve idari tedbirlerin alındığını, kısa bir sürede ihlalin tespit edilip bildirildiğini, KVKK’da bu yönde kısıtlayıcı bir süre bulunmadığını bu hususun derece mahkemesi tarafından gözetilmeksizin suçta ve cezada kanunilik ilkelerine aykırı olduğunu, en üst haddeden para cezası uygulanmasının orantılı olmadığını ve mülkiyet hakkını ihlal ettiğini
Anayasa Mahkemesi başvuruya ilişkin aşağıdaki değerlendirmelerde bulunmuştur;
- İdari para cezası uygulanmasıyla başvurusunun mal varlığında eksilmeye yol açıldığının kuşkusuz olması nedeniyle bu paranın başvurucu tarafından mülk teşkil ettiğinin açık olduğunu,
- Somut olayda KVKK kapsamında veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması ile veri güvenliği ihlalini en kısa sürede bildirmemesi nedeniyle başvurucu hakkında idari para cezası uygulanmasının mülkiyet hakkına müdahale teşkil ettiğinin, bu müdahalenin kişisel verilerin korunmasıyla ilgili düzenlemelerin ihlalinin önlenmesini amaçladığını bu durumda müdahalenin mülkiyetin kamu yararına kullanılmasının kontrol edilmesine ilişkin kural çerçevesinde incelenmesi gerekeceği belirtilmiştir,
- Mülkiyet hakkına yönelik müdahalelerin orantılı olması gerektiği, başka bir deyişle sınırlama ile ulaşılmak istenen amaç ile başvurulan sınırlama tedbiri arasında aşırı bir dengesizlik bulunmaması gerektiği belirtilmiştir,
- Somut olayda başvurucunun iddialarının yarılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğunu bu itirazları hakkında Hâkimlik tarafından hiçbir değerlendirme yapılmadığının görüldüğü, bu sebeple mülkiyet hakkının korunmasına yönelik usule ilişkin güvencelerin somut olayda yerine getirilmediği sonucuna varılmıştır.
Değerlendirme sonucunda, Anayasa Mahkemesi, söz konusu olayda, Anayasa’nın 35. maddesinde güvence altına alınan mülkiyet hakkının ihlal edildiğine karar vermiştir. Başvurucunun, ihlalin tespiti ve yeniden yargılama yapılması talebi doğrultusunda, tespit edilen hak ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmasında hukuki yarar bulunmuştur.
Anayasa Mahkemesi hükmünde mülkiyet hakkının ihlal edildiğine ilişkin iddianın KABUL EDİLEBİLİR olduğuna, Anayasa’nın 35. maddesinde güvence altına alınan mülkiyet hakkının İHLAL EDİLDİĞİNE ve kararın bir örneğinin ihlalin sonuçlarının ortadan kaldırımlasın için yeniden yargılama yapılmak üzere İstanbul Anadolu 1. Sulh Ceza Hâkimliğine gönderilmesine oybirliği ile karar vermiştir.
Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.
