Geçtiğimiz yıl mayıs ayında, Facebook’un Gizlilik ve Kamu Politikası Müdürü ve Facebook'un Türkiye Kamu Politikaları Müdürü, Kişisel Verileri Koruma Kurulu'nun (“Kurul”) Facebook'u 1.650.000 TL para cezasına çarptırmasından hemen sonra soluğu İstanbul’da aldılar. Cezanın nedeni 13-28 Eylül 2018 tarihleri arasında gerçekleşen, üçüncü kişilerin, Facebook kullanıcılarının fotoğraflarına yasa dışı erişmesine izin veren bir API hatasıydı ve adı geçen Facebook yetkilileri Türkiye’de ödeyecekleri ilk ve son ceza olduğunu umarak Kurul’u da ziyaret ettiler. Kurul sosyal medya devine tarihinde ikinci kez, Facebook’un 21 Temmuz 2017 ve 27 Eylül 2018 tarihlerinde uğradığı saldırıları veri koruma görevlisine bildirmeme ve gerekli teknik tedbirleri almama kabahatlerinden dolayı 1.600.000 TL ceza kestiğinde bu cezanın son ceza olmadığı anlaşıldı. İhlalin ana nedeni, kullanıcı profillerinin başka kullanıcılar tarafından nasıl göründüğüne yönelik yeni bir özellik olan “başkasının gözünden gör” özelliğinin hackerlar tarafından kötüye kullanılması ile oluşan veri ihlaliydi. Konuya ilişkin detaylar 12 Ekim 2018 tarihinde #Facebook tarafından bir blog sayfasında belirtilmişti.
#Kurul’un her iki kararı da gerekli teknik önlemlerin alınmaması ve ihlalin yetkili mercilere bildirilmemesi nedenleriyle verilmiş olmasına rağmen toplam ceza miktarı iki kararda farklılık göstermekteydi. O tarihten bugüne kadar Kurul tarafından verilen para cezalarının hangi standartlara göre belirlendiği halen güncelliğini yitirmeyen bir soru işareti olarak karşımızda duruyor.
Kurul’un da idari para cezası verirken hangi metriklere göre bir sistematik oluşturduğu açık değildir.
Özellikle kişisel veriler yönetişimi konusunda tecrübeli olan uzmanların da çok iyi bildiği bir şey vardır ki o da bir organizasyonun risklerini en doğru şekilde hesaplayabilmek için en objektif metrikleri belirleme zaruriyetidir. Metrik, mümkün olduğunca objektif olması gereken bir ölçü birimidir. Metrikler, belirli soruları yanıtlamaya yardımcı olan veriler sağlayabilir. Örneğin, “Şu kadar kişinin verisi sızdırıldığında ne kadar ceza ödememiz beklenir?” veya “Bir çeşit veri güvenliği ihlali ortaya çıktığında kurul bize ne kadar ceza kesebilir?” sorusunun yanıtlarını en doğru şekilde tahmin edebilmek için elimizde objektif metrikler olması gerekir.
Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 18. maddesi veri ihlali olarak bazı kategoriler ve bu kategorilere göre verilecek idari para cezası aralıklarını düzenlemektedir. Bunlar;
Aydınlatma yükümlülüğünün yerine getirilmemesi (5.000 TL’den 100.000 TL’ye kadar)
Veri güvenliğine ilişkin hükümlerin yerine getirilmemesi (15.000 TL’den 1.000.000 TL’ye kadar)
Kurul tarafından verilen kararların yerine getirilmemesi (25.000 TL’den 1.000.000 TL’ye kadar)
#VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi (20.000 TL’den 1.000.000 TL’ye kadar)
şeklinde ifade edilmiştir. 18. Maddede belirtilen cezalar 2020 yılı için en düşük 9.000 TL ve en yüksek 1.800.000 TL olarak güncellenmiştir.
#KVKK’da idari para cezalarının, alt ve üst sınır belirtmek sureti ile oluşturulmasından dolayı Kurul’un para cezası miktarının tayininde bir takdir hakkı bulunmaktadır. Bu takdir hakkı Kabahatler Kanunu m. 17/2’ye göre, işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu göz önünde bulundurularak kullanılacaktır. Bu yaklaşıma paralel olarak Kurul tarafından yayınlanan “sözlüğe” baktığımızda da KVKK’da Kabahatler Kanunu’nun 17. maddesinin ikinci fıkrasına atıf yaparak idari para cezası aralığının geniş tutulduğunu anlıyoruz. Aynı sözlükte konuya ilişkin verilen bir örnekte; kurul idari cezanın söz konusu olduğu bir senaryoda aile şirketi ve ülke çapında faaliyet gösteren holding yapısına sahip bir şirketin farklı ceza miktarına tabi tutulacağını belirtmektedir. Maalesef kurulun ceza miktarı belirlemesinde kullandığı metodolojiye yönelik elimizdeki tek somut bilgi budur.
Yukarıda belirtilenlerden, Kurul’un ekonomik durumu göz önünde bulundurması için kabahati bulunan veri sorumlusunun mali durumunu da incelemesi gerektiği anlamı çıkmaktadır. Böyle bir durumda halka açık olmayan şirketlerden savunma istenirken, ekonomik duruma ilişkin bir bilgi veya belge istenip istenmediği ise belli değildir. Dolayısıyla, Kurul’un da idari para cezası verirken hangi metriklere göre bir sistematik oluşturduğu açık değildir.
Yakın zamanda açıklanan #Amazon Türkiye kararında aydınlatma yükümlülüğü ihlali sebebi ile 100.000 TL tutarında bir ceza uygulanırken, aynı yükümlülüğü ihlal eden bir Spor Salonu işletmesine ise 10.000 TL idari para cezası kesilmiştir. Karara konu Spor Salonu işleme amaçlarını usulüne uygun belirtmemişken Amazon Türkiye, aydınlatma metninde yer alması gereken birtakım bilgilerin de belirtildiği genel bir Gizlilik Bildirimi vasıtası ile aydınlatma yükümlülüğünü yerine getirmeye çalışmıştır. İki karar birlikte değerlendirildiğinde aynı kabahatin kişisel verilerin korunması pratiğinde farklı seviyede ihlallere neden olabileceği ortaya çıkmaktadır. Bu durumda aydınlatma yükümlülüğü ihlalinin kısmen veya tamamen gerçekleştirilmesi, kısmen gerçekleştirildiği takdirde ise aydınlatma yükümlülüğünün yerine getirilmesinde uyulması gereken şartlar bakımından ayrıma gidilen bir ceza sınırlamasının uygulanması gerekmektedir.
İdari para cezalarının verilmesine birçok kez neden olan diğer bir konu da veri ihlal bildirimleridir. KVKK m. 12/5 uyarınca veri sorumlusunun bildirim yükümlülüğünü yerine getirmemesi halinde Kurul, “alınacak kararlar arasında herhangi bir uyumsuzluğa mahal vermemek ve uygulamada bir standartın sağlanabilmesi” için konuya ilişkin ayrıntılara yer verdiği bir karar yayınlamıştır. Kurul;
Bildirim yapılacak sürenin 72 saat olarak yorumlanmasına,
Gecikme yaşandıysa bu gecikme sebebinin bildirilmesine,
Veri ihlali bildirim formu kullanılmasına,
İhlale ilişkin bilgilerin kayıt altına alınmasına,
İhlalin veri işleyen nezdinde bulunan kişisel veriler bakımından oluşması halinde veri sorumlusuna bildirimde bulunulmasına,
Veri ihlali müdahale planı hazırlamasına
karar vermiştir. Bu karar ışığında ihlal bildirim yükümlülüğünün yerine getirilmemesi nedeni ile verilecek para cezalarının hesaplanmasında yukarıda belirtilen unsurların dikkate alınacağı açıklanmıştır.
Örneğin; Clickbus Seyahat Hizmetleri A.Ş. kararında Kurul, ihlal bildiriminin hem Kurum’a hem de ilgili kişilere 2 ay gecikme ile yapıldığını belirterek veri sorumlusuna KVKK m. 12/5’in ihlali nedeni ile 100.000 TL idari para cezasına hükmetmişken, Marriot International Inc. kararında Kurum’a 3 ay, ilgili kişilere 2 ay geç haber veren veri sorumlusuna aynı madde kapsamında 350.000 TL idari para cezası vermiştir. Ayrıca Cathay Pacific Airways Limited kararında ise hem Kurum’a hem de ilgili kişilere 5 ay gecikme ile veri ihlali bildiriminde bulunan veri sorumlusuna yine KVKK m. 12/5 çerçevesinde 100.000 TL idari para cezası vermiştir. Ceza hesaplamalarında dikkate alınan unsurlara ilişkin eksikliklerin karar açıklamalarında net olarak yer almaması, uygulama açısından idari para cezalarının belirlenmesine yönelik soru işaretlerinin devamına neden olmaktadır.
Kurul kararlarının esas numaralarına baktığımızda 2019 yılında yaklaşık 400, 2020 yılında da yaklaşık 200 civarında olduğu göz önüne alındığında metodolojinin tam olarak anlaşılabilmesi adına tüm kararlara erişim sağlanmalıdır.
Kurul kararlarında idari para cezaları bakımından en yüksek meblağlı cezaların veri güvenliği ihlalleri nedeni ile verildiği gözlemlenmektedir. Veri güvenliğini sağlama amacı ile gerekli teknik ve idari tedbirlerin alınmasına yönelik hazırlanmış olan rehberde Kurul, farklı risklere sebebiyet verecek birçok tedbirden söz etmektedir. Bu tedbirlerin her birinin tek başına veya birlikte ihlal edilmesi, ortaya farklı sonuçlar çıkarmasına rağmen KVKK’da tüm veri güvenliği ihlalleri bakımından tek bir ceza aralığı oluşturulmuştur.
Örneğin; Kurul, bir İnternet Servis Sağlayıcısı’nın online ödeme sisteminde yer alan bir sorunu çözerken almayı ihmal ettiği teknik ve idari tedbirler nedeni ile şirkete 300.000 TL; bir banka çalışanının hukuka aykırı olarak veri sızdırması sonucu Banka’nın veri sızıntısına ilişkin gerekli teknik ve idari tedbirleri almamış olması nedeni ile Banka’ya 70.000 TL; bir turizm şirketinin çalışan ağına sızılarak veri ihlali gerçekleştirilmesi nedeniyle gerekli teknik ve idari tedbirleri alma yükümlülüğüne aykırı davranan şirkete 400.000 TL; Dubsmash uygulamasından kullanıcı verilerinin çalınmasına yönelik olayda gerekli teknik ve idari tedbirlerin alınmaması nedeni ile uygulama sahibi şirkete 680.000 TL idari para cezası vermiştir. Kararların hepsinde veri güvenliği ihlali maddesi olan KVKK m. 18/1-b dayanak gösterilmiştir. Ancak verilen cezalar arasındaki fark ve bu farkın belirlenmesinde izlenen yöntemin belirsizliği KVKK kapsamında karşı karşıya kalınabilecek idari para cezalarının öngörülememesi ve risklerin hesaplanamaması sorununu ortaya koymaktadır.
Avrupa Birliği Veri Koruma Tüzüğü’nden farklı olarak, KVKK veri sorumlusunun dünya çapındaki yıllık toplam cirosuna ilişkin sabit bir oran belirlememektedir. Bu da en düşük ve en yüksek değerler arasındaki aralığın tutarlı ve sağlam bir yöntem ile hesaplanması gerektiği anlamına gelir. Eğer idari para cezaları bir sistematik dahilinde hesaplanıyorsa, bu sistematiğe ilişkin detayların Almanya Veri Koruma Otoriteleri Birliği’nin (“DSK”) yayınladığı belgedekine benzer şekilde açıklanması kanuna uyum konusunda çalışan veri sorumlularının elini oldukça rahatlatacaktır.
Son olarak Kurum'un web sitesinde yalnızca bazı kararların özetleri yayınlanmaktadır. Esas numaralarına baktığımızda 2019 yılında yaklaşık 400, 2020 yılında da yaklaşık 200 olmak üzere toplam 600'den fazla kararın şimdiye kadar Kurul tarafından verildiği görülmektedir. İdari para cezalarına dair metodolojinin tam olarak anlaşılabilmesi içinse tüm kararlara erişimin sağlanması bir zorunluluktur ve yalnızca karar özetleri üzerinden yapılacak analiz bizi doğru sonuca götürmeyecektir. (KVKK tarafından yayınlanan tüm karar özetlerine aşağıdaki dosyadan ulaşabilirsiniz.)
Av. Serhat Turan, CIPP/E