İdari Para Cezaları Nasıl Hesaplanır?

Geçtiğimiz sene mayıs ayında, Facebook’ta çalışan Gizlilik ve Kamu Politikası Müdürü ve Facebook’un Türkiye Kamu Politikaları Müdürü, Kişisel Verileri Koruma Kurulu’nun Facebook’a 1.650.000 TL para cezası vermesinden hemen sonra İstanbul’a geldiler. Cezanın nedeni 13-28 Eylül 2018 tarihleri zamanında gerçekleşen, üçüncü kişilerin, Facebook kullanıcılarının fotoğraflarına yasal olmayan yollarla erişmesine izin veren bir API hatasıydı ve adı geçen Facebook yetkilileri Türkiye’de ödeme yapacakları ilk ve son ceza olduğunu umarak KVK Kurul’u da ziyaret ettiler. Kurul, sosyal medya liderine tarihinde ikinci kere, Facebook’un 21 Temmuz 2017 ve 27 Eylül 2018 tarihleri arasında uğradığı saldırıları veri koruma görevlisine bildirmeme ve gerekli teknik önlemleri almama suçundan dolayı 1.600.000 TL ceza kestiğinde bu cezanın son ceza olmadığını anlamış oldular. İhlalin ana sebebi, kullanıcı profillerinin diğer kullanıcılar tarafından nasıl göründüğüne yönelik yeni bir eklenti olan “başkasının gözünden gör” özelliğinin kötü niyetli hackerlar tarafından kötüye kullanılması ile ortaya çıkan veri ihlaliydi. Konu ile ilgili detaylar 12 Ekim 2018 tarihinde Facebook tarafından bir makale ile belirtilmişti.

KVK Kurul’un her iki kararı da gereken teknik tedbirlerin alınmaması ve ihlalin yetkili makamlara bildirilmemesi nedenleriyle verilmişti. Fakat buna rağmen toplam ceza miktarı her iki kararda da farklılık göstermekteydi. O tarihten günümüze kadar Kurul tarafından verilen para cezalarının hangi durumlara göre belirlendiği halen bilinmeyen bir soru işareti olarak durmaktadır.

Kurul’un da idari para cezası verirken nasıl bir denkleme göre sonuç belirlediği bilinmiyor

Özellikle kişisel veriler yönetimi konusunda tecrübesi bulunan uzmanların da çok iyi bildiği bir şey vardır ki o da bir oluşumun risklerini en doğru şekilde hesaplayabilmek için en objektif denklemi belirleme zarunluluğudur. Denklem, mümkün olduğunca şeffaf olması gereken bir ölçü birimidir. Denklemler, belirli sorulara cevap vermeye yardımcı olan veriler sağlayabilir.

Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 18. maddesinde veri ihlali olarak bazı sınıflar ve bu sınıflara göre verilecek idari para cezası aralıklarını düzenlenmektedir. Bunlar;

1. Aydınlatma yükümlülüğünün yerine getirilmemesi durumunda (5.000 TL’den 100.000 TL’ye kadar)
2. Veri güvenliğine ilişkin hükümlerin yerine getirilmemesi durumunda (15.000 TL’den 1.000.000 TL’ye kadar)
3. Kurul tarafından verilen kararların yerine getirilmemesi durumunda (25.000 TL’den 1.000.000 TL’ye kadar)
4. VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda (20.000 TL’den 1.000.000 TL’ye kadar)

gibi ifade edilmiştir. 18. Maddede belirtilen cezalar 2020 senesi için en düşük 9.000 TL ve en yüksek 1.800.000 TL olarak güncellenmiştir.

KVKK’da idari para cezalarının, en az ve en çok miktarı belirtmek üzere oluşturulması nedeniyle Kurul’un para cezası miktarının tayininde bir takdir hakkı bulunmaktadır. Bu takdir hakkı Kabahatler Kanunu 17/2’ye göre, işlenen kabahatin haksızlık durumu ile failin kusuru ve ekonomik durumu göz önüne alınarak kullanılacaktır. Bu yaklaşıma ek olarak Kurul tarafından ulaştırılan “sözlüğe” baktığımızda da KVKK’da Kabahatler Kanunu’nun 17. maddesinin ikinci fıkrasına gönderme yaparak idari para cezası aralığının geniş tutulduğunu anlaşılır. Aynı sözlükte konu ile ilgili verilen bir örnekte; kurul idari cezanın söz konusu olduğu bir durumda aile şirketi ve ülke çapında faaliyet gösteren holding yapısına sahip bir şirketin farklı ceza miktarına tabi tutulacağını bildirmektedir.

Yakın süreçte açıklanan Amazon Türkiye kararında aydınlatma yükümlülüğü ihlali sebebi nedeniyle 100.000 TL tutarında bir ceza uygulanırken, aynı yükümlülüğü ihlal eden bir Spor Salonu işletmesine ise 10.000 TL idari para cezası kararı uygulanmıştır. Karara konu Spor Salonu işleme amaçlarını gereğine uygun belirtmemişken Amazon Türkiye, aydınlatma metninde bulunması gereken birtakım bilgilerin de belirtildiği genel bir Gizlilik Bildirimi aracılığı ile aydınlatma yükümlülüğünü yerine getirmeye çalışmıştır.

İki karar aynı anda değerlendirildiğinde aynı kabahatin kişisel verilerin korunması pratiğinde farklı düzeyde ihlallere neden olabileceği ortaya çıkmaktadır. Bu durumda aydınlatma yükümlülüğü ihlalinin kısmen veya tamamen uygulanması, kısmen uygulandığı takdirde ise aydınlatma yükümlülüğünün yerine getirilmesinde uyulması gereken şartlar bakımından ayrıma gidilen bir ceza sınırlamasının uygulanması gerekmektedir.