Makale
Kişisel Verileri Koruma Kanunu idari para cezalarındaki geniş sınırlar ölçülülük ilkesinin önemini artırmaktadır. Özel kişilere kesilen yüksek cezaların aksine kamu kurumlarının m. 18/3 uyarınca bu cezalardan muaf tutulması hukuk devletinde eşitlik ilkesi bağlamında tartışılmaktadır.
KVKK İdari Para Cezalarında Ölçülülük ve Kamu Muafiyeti
Kişisel verilerin korunması alanında temel yasal çerçeveyi çizen 6698 sayılı Kanun, ihlaller karşısında Kişisel Verileri Koruma Kurulu tarafınca uygulanacak yaptırımları düzenlemektedir. Bu idari yaptırımların en dikkat çekici boyutu, şüphesiz ki idari para cezası uygulamalarıdır. Ancak idari para cezalarının alt ve üst sınırları arasındaki farkın kimi durumlarda kırk ila altmış altı kata kadar ulaşabilmesi, uygulamada ölçülülük ilkesi tartışmalarını beraberinde getirmektedir. Bu denli geniş bir takdir marjının varlık sebebi, veri sorumlularının çok uluslu devasa şirketlerden ibaret olmayıp düşük cirolu küçük işletmeler veya gerçek kişileri de kapsamasıdır. Ekonomik büyüklüklere göre cezayı bireyselleştirerek caydırıcılığı sağlamak hedeflenmiş olsa da, bu durum takdir yetkisinin keyfiliğe yol açmadan adil bir şekilde kullanılmasını zorunlu kılar. Öte yandan, aynı kanunun kamu kurum ve kuruluşlarına yönelik muafiyet öngören düzenlemeleri, piyasa aktörleri arasında hukuk devleti bağlamında ciddi eşitsizlikler doğurmakta ve veri koruma hukukunun temel amaçlarına zarar verebilme riski taşımaktadır.
KVKK Uygulamalarında İdari Para Cezaları ve Ölçülülük İlkesi
Ceza hukuku ve insan hakları hukukunun evrensel bir güvencesi olan ölçülülük ilkesi, idare hukukunda idarenin takdir yetkisini sınırlandıran en temel enstrümanlardan biridir. Kişisel Verileri Koruma Kurulu, idari para cezasının miktarını tayin ederken ihlalin ağırlığı ile veri sorumlusunun mülkiyet hakkına yapılacak müdahalenin dengeli olmasını gözetmek zorundadır. Kanunda yer alan cezaların alt ve üst sınırları arasındaki olağanüstü genişlik, Kurul'a muhatabın ekonomik gücünü dikkate alarak cezayı bireyselleştirme imkânı tanır. Ancak bu geniş marj, cezanın bir teşebbüsü iflasa sürükleyecek kadar ağır ya da hiç etki etmeyecek kadar hafif olmasını engellemek üzere orantılılık testine tabi tutulmalıdır. Bir idari yaptırımın elverişli ve gerekli olmasının yanı sıra, işlenen kusurla orantılı olması hukuki güvenliğin vazgeçilmez bir unsurudur. Aşırı yüksek meblağlı idari para cezaları, fiili adeta aşırı suç haline getirme sonucunu doğuracak ve adil yargılanma standartlarını derinden sarsacaktır.
Kamu Kurumlarının İdari Para Cezasından Muafiyeti Sorunu
6698 sayılı Kanun, veri işleme şartları bakımından kamu ve özel sektör arasında kural olarak bir ayrıma gitmemiştir. Ne var ki, yaptırımlar rejimini düzenleyen 18. maddenin 3. fıkrası uyarınca, kabahatin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde idari para cezası uygulanmamaktadır. Kurul bu durumlarda kuruma sadece bildirim yapmakta, kurum ise eylemi gerçekleştiren kamu görevlisi hakkında disiplin işlemlerini işleterek sonucu Kurul'a bildirmektedir. Bu düzenleme, aynı veri ihlalini gerçekleştiren özel hukuk tüzel kişisi ile kamu kurumu arasında derin bir eşitsizlik yaratmaktadır. Özel bir hastane veri ihlali yaptığında Kurul yüksek idari para cezalarına hükmederken, benzer bir ihlali yapan bir üniversite hastanesi veya devlet hastanesi ceza ödemekten kurtulmakta, olay yalnızca hafif bir disiplin cezası ihtimaliyle geçiştirilmektedir.
Eşitlik İlkesi ve Karşılaştırmalı Hukuk Perspektifi
Kamu tüzel kişilerine yönelik bu ayrıcalıklı koruma kalkanı, Anayasa'nın güvence altına aldığı kanun önünde eşitlik ilkesi ile örtüşmemektedir. Zira günümüzde devlet de özel sektör gibi ticari faaliyetler yürütmekte ve geniş çaplı veri işleme süreçlerine dahil olmaktadır. Kamu kurumlarının caydırıcı idari yaptırımlardan muaf olması, devletin kişisel verilerin korunması konusundaki pozitif yükümlülüklerini de sekteye uğratmaktadır. Avrupa Birliği'nin güncel uygulamaları incelendiğinde, Genel Veri Koruma Tüzüğü (GDPR) 83/7 maddesi üye devletlere kamu makamlarına ceza kesme yetkisi konusunda inisiyatif tanımıştır. Hollanda ve Polonya gibi ülkeler, bu alanı daha sıkı denetlemek ve üst düzey koruma sağlamak adına kamu idarelerine de idari para cezası uygulayan bir sistemi benimsemişlerdir. Türk hukukunda da kamu kurumlarına yönelik idari yaptırım muafiyetinin yeniden değerlendirilmesi, hukuk devletinin bir gereğidir.
Kamu Kurumlarında Veri İhlali Durumunda İşletilen Süreç
Kişisel Verileri Koruma Kurulu, özel şirketlere yönelik sert tedbirler alabilirken kamu idarelerine karşı farklı bir yaptırım süreci işletmek zorundadır. Kanunun çizdiği sınırlar çerçevesinde kamu kurumlarında meydana gelen ihlallerde süreç şu şekilde ilerlemektedir:
- Kurul tarafından ilgili kamu kurum veya kuruluşuna veri ihlali tespiti bildirilir.
- Kamu kurumu, ihlalin sorumlusu olan memur veya kamu görevlisi hakkında kurum içi disiplin soruşturması başlatır.
- Disiplin sürecinin neticesi Kurul'a raporlanır; ancak görevliye disiplin cezası verilmesi mutlak bir zorunluluk değildir.
- Zarara uğrayan veri sahipleri, ihlali gerçekleştiren kuruma karşı idari yargıda tam yargı davası açarak tazminat talep edebilirler.
Bu süreç, kurumun tüzel kişiliğine yaptırım uygulanmaması nedeniyle oluşan yasal boşluğu ve idari yaptırım yerine tazminat mekanizmasının öne çıkmasını göstermektedir. Disiplin soruşturmasının inisiyatife bağlı yapısı, kamu sektöründe ihlallerin önlenmesi için gerekli olan yasal caydırıcılık unsurunu maalesef zayıflatmaktadır.