Danıştay 13. Daire 2015/3892 Esas 2021/4049 Karar Sayılı İlamı

T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2015/3892
Karar No:2021/4049

TEMYİZ EDEN (DAVACI) : … İletişim Hizmetleri A.Ş.
VEKİLLERİ : Av. …
Av. …
KARŞI TARAF (DAVALI) : … Kurumu
VEKİLLERİ : Av. …
Av. …

İSTEMİN KONUSU : …. İdare Mahkemesi'nin … tarih ve E:…, K:… sayılı kararının temyizen incelenerek bozulması istenilmektedir.
YARGILAMA SÜRECİ :
Dava konusu istem: Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak bayi ve çağrı merkezlerinde kişisel bilgilerin gizliliğinin korunmasına ve güvenliğinin sağlanmasına ilişkin yeterli önlemlerin alınmaması nedeniyle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. maddesi ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ve Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32 ile 34. maddeleri uyarınca davacı şirkete 2012 yılı net satışlarının %0,02'si oranında idari para cezası uygulanmasına ilişkin … tarih ve … sayılı Bilgi Teknolojileri ve İletişim Kurumu işlemi ile bildirilen …'nun … tarih ve …. sayılı kararının 1. maddesi ile bu kararın uygulanmasına ilişkin idari para cezası karar tutanağının iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: ... İdare Mahkemesi'nce verilen kararda; davacı şirketin bayi ve çağrı merkezleri türleri ve yetkili olduğu işlemler, bayi ve çağrı merkezi çalışanlarının abone bilgilerine erişimine ilişkin olarak, tanımlanmış yetkileri (erişilebilen bilgiler, yapılabilen işlemler vb.) ile söz konusu yetkilere ilişkin gerekçeleri, gizliliğin korunmasını teminen alınan tedbirler, şifre ve gizlilik politikaları, Log yönetim politikaları, abone bilgilerinin bayi, çağrı merkezi veya diğer firmalara toplu olarak verilip verilmediği, veriliyorsa hangi yöntemle iletildiği ve iletilme amacı, bayi ve çağrı merkezleri çalışanlarının erişebildikleri kişisel bilgileri, bayi ve çağrı merkezlerinde kullanılan bilgisayarların donanımsal ve yazılımsal kısıtlamaları, bayi ve çağrı merkezleri çalışanlarının kişisel verilere erişimde kullandıkları uygulamalar ve bunların güvenliği, bayilerin fiziksel ortamlarının araştırılması sonucu Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32. ve 34. maddeleri uyarınca 670.893,51-TL idari para cezası verilmesi üzerine bakılan davanın açıldığı;
Bayi ve çağrı merkezlerinde gereğinden fazla bilgi ve belgenin kolayca görüntülenebiliyor olduğu, kişisel bilgilerin kişinin bilgisi veya onayı olmadan görüntülenebiliyor ve kaydedilebiliyor olduğu, tüm bu kişisel bilgilerin kolayca dış ortamlara aktarılabiliyor olduğu, kişisel bilgilere erişimin abonenin bilgisi dâhilinde yapıldığına dair herhangi bir teyit mekanizmasının olmadığı, şirketi zarara uğratacak iş ve işlemlerle ilgili analiz yapılmakta iken kişisel bilgilerin korunmasına ilişkin yeterli ve kapsamlı bir çalışma yapılmamış olduğu ve kişisel verilerin bayi ve çağrı merkezi çalışanlarınca amaçları dışında kullanabilmesine olanak bulunduğu anlaşıldığından, davacı şirket hakkında idari para cezası uygulanmasına ilişkin dava konusu işlemlerde hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlemler hukuka uygun bulunarak davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, Anayasa Mahkemesi’nin 09/04/2014 tarih ve E:2013/122, K:2014/74 sayılı kararı nedeniyle kişisel bilgilerin korunmasına ilişkin davalı idare tarafından tesis edilen idari işlemlerin hukuki dayanaktan yoksun kaldığı, Anayasa Mahkemesi kararı doğrultusunda davalı idarece hangi yönetmelik adı altında olursa olsun kişisel bilgilerin korunmasını ilgilendiren konularda bir yönetmeliğe dayanılarak idari yaptırım tesis edilebilmesinin hukuken mümkün olmadığı, davalı idare tarafından tesis edilen idari işlemlerin fonksiyon gaspı ile malul olduğu, kişisel verilerin korunmasına ilişkin öngörülebilir, açık ve belirgin kanuni bir düzenleme olmamasına rağmen, davalı idare tarafından keyfi olarak idari para cezası tatbik edilmesinin hukuki belirlilik ve kanunsuz suç ve ceza olmaz ilkelerinin açıkça ihlâl edilmesi anlamına geldiği, temyize konu Mahkeme kararında, kendileri tarafından dava kapsamında ileri sürülen esasa etkili hukuka aykırılıklara yer verilmeyerek eksik ve hatalı bir hüküm kurulduğu ileri sürülmektedir.
KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, dava konusu Kurul kararına dayanak olarak Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin 19. maddesinin 1. fıkrasının (p) bendinin gösterildiği, söz konusu Yönetmeliğin ise 5809 sayılı Kanun'un 6, 8, 9, 10, 11, 12 ve 60. maddelerine dayanılarak hazırlandığı, dolayısıyla Anayasa Mahkemesi tarafından iptal edilen 5809 sayılı Kanun'un 51. maddesinin dava konusu Kurul kararına dayanak teşkil etmediği, bir an için öyle olduğu kabul edilse dahi Anayasa Mahkemesi kararında Resmi Gazete’de yayımlanmasından başlayarak 6 ay sonra yürürlüğe girmesine karar verildiği, söz konusu 51. maddenin gerek idari yaptırımın uygulandığı 16/01/2014 tarihinde gerekse Mahkemenin hüküm tesis ettiği tarihte yürürlükten kaldırılmadığı, ayrıca Anayasa Mahkemesinin iptal kararlarının geriye yürümezliği ilkesinin geçerli olduğu, davacı şirketten alınan yazılı savunmada kişisel verilerin korunması için kendisinin uyguladığı süreçlerin geliştirmeye açık noktaları olduğu/olabileceğinin ifade edildiği ve tespit edilen eksikliklerin bir anlamda kabul edildiği, fakat bunlara idari para cezası uygulanması yerine bunların gelişim alanı olarak nitelendirilmesini yeğlediği, mevcut düzenlemeler çerçevesinde her işletmecinin kendi altyapısı ve bayi sistemi çerçevesinde temel önlemleri almaksızın mevzuatta detaylı bilginin olmadığını öne sürmesinin ihlâli ortadan kalkmayacağı, zira ihlâli oluşturan tüm fiilerin somut olarak denetim raporunda açıkça ortaya konulduğu belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …'IN DÜŞÜNCESİ : Temyiz isteminin reddi ile usul ve yasaya uygun olan İdare Mahkemesi kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesi'nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 17. maddesinin ikinci fıkrası uyarınca davacının duruşma istemi yerinde görülmeyerek gereği görüşüldü:
HUKUKİ DEĞERLENDİRME :
İdare ve vergi mahkemelerinin nihai kararlarının temyizen bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde yer alan sebeplerden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, dilekçede ileri sürülen temyiz nedenleri kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU :
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2. Davanın yukarıda özetlenen gerekçeyle reddi yolundaki ... İdare Mahkemesi'nin … tarih ve E:…, K:… sayılı temyize konu kararında, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde sayılan bozma nedenlerinden hiçbirisi bulunmadığından anılan Mahkeme kararının ONANMASINA,
3. Temyiz giderlerinin istemde bulunan üzerinde bırakılmasına,
4. Dosyanın anılan Mahkeme'ye gönderilmesine,
5. 2577 sayılı Kanun'un Geçici 8. maddesi uyarınca, bu kararın tebliğ tarihini izleyen 15 (on beş) gün içerisinde kararın düzeltilmesi yolu açık olmak üzere, 29/11/2021 tarihinde oyçokluğuyla karar verildi.


(X) KARŞI OY:
Dosyanın incelenmesinden, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak bayi ve çağrı merkezlerinde kişisel bilgilerin gizliliğinin korunmasına ve güvenliğinin sağlanmasına ilişkin yeterli önlemlerin alınmaması nedeniyle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. maddesi ile Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32. ve 34. maddeleri uyarınca 670.893,51-TL idari para cezası uygulanmasına ilişkin Bilgi Teknolojileri ve …'nun … tarih ve … sayılı kararının 1. maddesi ile idari para cezası karar tutanağının ve Bilgi Teknolojileri ve … Başkanlığı'nın … tarih ve … sayılı işleminin iptali istemiyle bakılan davanın açıldığı, İdare Mahkemesince davanın reddine karar verildiği anlaşılmaktadır.
05/09/2004 tarih ve 25574 sayılı Resmî Gazete'de yayımlanan mülga Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin "Hüküm Bulunmayan Hâller" başlıklı 34. maddesinde, "Bu Yönetmelikte düzenlenmemiş olmakla birlikte, işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde Kurul kararına göre işlem yapılır." kuralı yer almıştır.
Anılan Yönetmeliğin 34. maddesinin dava konusu işleme esas alınması hukuka aykırıdır. Şöyle ki;
5326 sayılı Kabahatler Kanunu’nun “Kanunîlik İlkesi” başlıklı 4. maddesinde, hangi fiillerin kabahat oluşturduğu kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriğinin, idarenin genel ve düzenleyici işlemleriyle de doldurulabileceği, kabahat karşılığı olan yaptırımların türü, süresi ve miktarının ancak kanunla belirlenebileceği kurala bağlanmıştır.
Hukukî güvenlik ilkesi, hukuk normlarının öngörülebilir olmasını, belirlilik ilkesi ise yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olmasını ifade etmektedir.
Yönetmeliğin 34. maddesinin incelenmesinden, yönetmelikte düzenlenmemiş olmakla birlikte işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde "Kurul kararına" göre işlem yapılacağına yer verilmek suretiyle, mevzuatta tanımlanmamış, ancak Kurulun mevzuat ve yetki belgesi şartlarına aykırı göreceği bir fiil gerçekleştiği takdirde idari yaptırım uygulanmasının amaçlandığı anlaşılmakta olup, bu durum ise kanunîlik, hukukî güvenlik ve belirlilik ilkelerine aykırılık teşkil edecektir.
Bu itibarla, anılan Yönetmeliğin 34. maddesi dayanak alınarak tesis edilen işlemde hukuka uygunluk bulunmamaktadır.
Diğer yandan, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendinde belirtilen kişisel verilerin güvenliği ve bunlara yapılacak müdahalelerin önlenmesi Anayasa'da belirtilen özel hayatın gizliliğinin ve haberleşme hürriyetinin sağlanmasının bir gereği olduğu ve bu hususta elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin de yükümlülüklerinin ve alması gereken tedbirler olduğunda kuşku bulunmamakla birlikte, kişisel verilerin güvenliği ve bunlara yapılacak müdahalelerin önlenmesi konusunda alınması gereken tedbirlerin çok geniş bir yelpazeyi kapsayabileceği gibi, işletmecilerden birisi tarafından alınmış bir tedbirin diğer işletici tarafından uygulanmasının teknolojik alt yapılarındaki farklılıklara bağlı olarak mümkün olmayabileceği, kişisel verilerin korunmasının sadece işletmecilerin inisiyatifine bırakılamayacak kadar hassas bir konu olduğu da dikkate alındığında, Anayasa'da ve 5809 sayılı Kanun ile anılan Yönetmelikte belirtilen amacın gerçekleşmesine yönelik olarak davalı idarece hangi kişisel verilerin/abone bilgilerinin korunacağı, bu veri/bilgilerin korunmasına/gizliliğinin sağlanmasına ilişkin idari ve teknolojik tedbirlerinin neler olduğu ve bu tedbirlerin ne şekilde alınacağı ve bu konularda işletmecilerce oluşturulması gereken alt yapıya ilişkin olarak bir usul ve esas belirlenmediği sürece, işletmecilerce teknolojik alt yapılarının yeterliliği oranında gizliliğin korunmasına yönelik tedbirler alınmış olduğu iddia edilmiş ve buna yönelik çeşitli belgeler sunulmuş olsa bile, bu tedbirlerin tamamının nelerden oluştuğunu bilemeyen ilgili işletmeciye idarî para cezası yaptırımı uygulanmasına engel oluşturmayacağı, zira Yönetmeliğin 19. maddesi, işletmecilere her türlü tedbiri alma, altyapı ve sistemlerinde teknolojik uyumu sağlama yükümlülüğü getirmekle birlikte, bunun hangi tedbirler olduğu konusunda bir usul ve esas belirlememekte ve buna ilişkin açıklama getirmemektedir.
Uyuşmazlıkta, 5809 sayılı Kanun'un 51. maddesindeki yeni ve eski düzenlemelerin davalı idareye elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme konusunda yetki ve sorumluluk verdiği ve anılan Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendindeki düzenlemenin Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceği dikkate alındığında, herhangi bir usul ve esas belirlemeksizin davacı şirkete, kişisel verilerin korunmasına ilişkin olarak gerekli tedbirleri almadığı ve bu fiilin Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesine aykırı olduğundan bahisle idarî para cezası verilmesine ilişkin Kurul kararında hukuka uygunluk bulunmamaktadır.
Bu itibarla, hem Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 34. maddesi dayanak alınarak idari para cezası tesis edilemeyeceğinden hem de Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendindeki düzenlemenin 5809 sayılı Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceğinden, Mahkeme kararının bozulmasına karar verilmesi gerektiği oyu ile karara katılmıyorum.