KVKK kararlarının yargı denetimi
Önceki yazımda COVID-19 salgını nedeniyle yapılan ateş ölçümü uygulamalarının Kişisel Verilerin Korunması Kanunu (Kanun) karşısındaki durumunu değerlendirmiştim. Bu yazımda söz konusu Kanun’un uygulanmasında yaşanan bazı sorunları irdeleyeceğim.
Kişisel verilerin korunması Anayasada günce altına alınan özel hayatın gizliliği kapsamında temel haklardan olup, Türk Ceza Kanunu kapsamında da korunmaktadır. Ayrıca, uluslararası gelişmelere paralel olarak 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu gecikmeyle de olsa uygulanmaya başlamıştır. Bizim Kanunumuz, Avrupa Birliği’nin 95/46/EC sayılı direktifini esas almaktadır. Diğer taraftan Avrupa Birliği, bu direktifi üst versiyonu olan 2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü (GDPR) ile ikame etmiş olmasına rağmen biz Kanunumuzu bu gelişmeyle paralel olarak güncelleyemedik. Dolayısıyla, kaynak mevzuat ile Kanunumuz arasında farklılıklar ortaya çıkmıştır. Literatürü yönlendiren AB uygulamasının izlenmesi ve AB mevzuatına uyum açısından bizim Kanunumuzun da güncellenerek GDPR ile uyumlu hale getirilmesi yararlı olacaktır.
Kanun’un uygulanmaya başlamasıyla birlikte, Kişisel Verileri Koruma Kurulu (KVKK/Kurul)’nun yüksek tutarda idari para cezaları kesmesi Kanun’un kamuoyunda farkındalığını da artırmaya başlamıştır. Spor salonları, hastaneler, online ticaret şirketleri, oteller, üniversiteler, hatta avukatlar gibi birçok sektördeki aktör KVKK’nın cezalarına muhatap olmaya başlamıştır. Söz konusu cezaların sayısı ve tutarı arttıkça KVKK’nın cezalarındaki takdir yetkisi ve bu cezaların denetimindeki aksaklıklar da gündeme getirilmeye başlanmıştır.
Öncelikle, KVKK bütün kararlarını değil, sadece bazı kararlarını özet olarak yayımlamaktadır. Oldukça yeni olan bu hukuk dalındaki uygulamacılar için şeffaflığın ve bilgilendirmenin sağlanması açısından Kurulun bütün kararları yayınlanmalıdır.
Diğer bir konu, Kanun’da öngörülen cezaların alt ve üst sınırındaki makasın çok açık olmasıdır. Kanun’un 18. maddesi uyarınca, 2020 yılı için, aydınlatma yükümlülüğünü yerine getirmeme 9.013 TL - 180.264 TL, veri güvenliği yükümlülüklerini yerine getirmeme 27.040 TL - 1.802.636 TL, Kurul kararlarını yerine getirmeme 45.066 TL - 1.802.636 TL, Veri sorumluları sicil bilgi sistemi (VERBİS) kayıt ve bildirim yükümlülüğüne aykırılık 36.053 TL - 1.802.636 TL arasında idari para cezası ile cezalandırılmaktadır. Görüldüğü üzere, cezaların alt ve üst limitleri arasında büyük fark olup bu durum Anayasa açısından problemlidir. Ayrıca Kurulun takdir yetkisini nasıl kullandığı konusunda açıklık bulunmamaktadır. Kurul kararlarında verdiği parasal cezaları hangi kriterlere göre belirlediğini gerekçelendirmemektedir. Bu nedenle, Kurulun verdiği idari para cezalarının denetimi tam olarak yapılamamaktadır.
Üçüncü olarak, Kurul kararlarının denetimi Sulh Ceza Hakimlikleri tarafından Kabahatler Kanunu kapsamında yapılmaktadır. Kanun tasarısında Kurul kararlarının denetiminin İdari Yargıda yapılması öngörülmüşken TBMM’de alt komisyonda yapılan değişiklik ile bu düzenleme Kanun metnine yansıtılmamıştır. Dolayısıyla, Kurul kararlarının yargısal denetimi Kabahatler Kanunu ile Ceza Muhakemeleri Kanunu kapsamında yapılmaktadır. Yani kurul kararına karşı sulh ceza hakimliğine başvuru yapılmaktadır. Sulh ceza hakiminin kararına karşı sonraki sıra numaralı sulh ceza hakimliği nezdinde itiraz edilmektedir. Dolayısıyla, sulh ceza hakiminin kararı aslında bir üst mahkeme tarafından denetlenmemekte, aynı düzeydeki (çoğunlukla da yan odadaki) hakimlik tarafından yeniden incelenmektedir. Bu denetim süreci etkisizdir. Her şeyden önce sulh ceza hakimliklerinin inceledikleri uyuşmazlık konuları çok çeşitli olup uzmanlık gerektiren kişisel verilerin korunması hukukunun denetimi ihtisas mahkemelerinde yapılmalıdır. Kurul kararlarının denetiminin kabahatler kanunundan ziyade idare hukuku kapsamında yapılması daha uygundur. Aslında en doğrusu, teknolojinin bu kadar geliştiği bir dünyada teknolojiyle ilgili uyuşmazlıklara ilişkin ihtisas mahkemelerinin oluşturulması ve kişisel verilerin korunması dahil, bilişim hukukuna ilişkin suç ve kabahatlerin bu mahkemelerde çözüme kavuşturulmasıdır.
Konu KVKK ve VERBİS’ten açılmışken, VERBİS’e kayıt zorunluluğu Kurulun aldığı kararla 30.06.2020 tarihine ertelenmişti. COVID-19 nedeniyle bir çok yükümlülükte erteleme yapılmıştır. Bu kapsamda VERBİS’e kayıt süresinde de en azından 3 aylık bir uzatma yapılması yerinde olacaktır.
Sözün özü: Doğru denetim ve şeffaflık kamu yönetiminin esası olmalıdır.