Danıştay 13. Daire 2016/2271 Esas 2021/4051 Karar Sayılı İlamı

T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2016/2271
Karar No:2021/4051


TEMYİZ EDEN (DAVALI) : ... Kurumu
VEKİLLERİ : Av. ...
Av. ...

KARŞI TARAF (DAVACI) : ... Telekomünikasyon A.Ş.
VEKİLİ : Av. ...

İSTEMİN_KONUSU : ... İdare Mahkemesi'nin ... tarih ve E:..., K:... sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliğinin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak bayi ve/veya çağrı merkezlerinde gereğinden fazla bilgi ve belgenin kolayca görüntülenebiliyor olması, kişisel bilgilerin kişinin bilgisi ve onayı olmadan görüntülenebiliyor ve kaydedebiliyor olması, bayilerde görüntülenen kişisel bilgilerin kolayca dış ortamlara aktarılabiliyor olması, kişisel bilgilere erişimin abonenin bilgisi dahilinde yapıldığına dair herhangi bir teyit mekanizmasının olmaması, kişisel bilgilerin gizliliğinin sağlanmasına ilişkin analiz çalışmalarının tüketicinin şikâyetine bağlanmış olması ve kişisel verilerin bayi ve çağrı merkezi çalışanlarınca amaçları dışında kullanılabilmesine olanak sağlanması hususları dikkate alınarak, bayi ve çağrı merkezlerinde kişisel bilgilerin gizliliğinin korunmasına ve güvenliğinin sağlanmasına ilişkin yeterli önlemlerin alınmadığından bahisle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32. ve 34. maddeleri uyarınca davacı şirket hakkında 2012 yılı net satışlarının %0,018'i oranında idarî para cezası uygulanmasına ilişkin Bilgi Teknolojileri ve İletişim Kurulu'nun (Kurul) ... tarih ve ... sayılı kararının 3. maddesi ile bu kararın uygulanmasına ilişkin idari para cezası karar tutanağının iptali istenilmiştir.

İlk Derece Mahkemesi kararının özeti: ... İdare Mahkemesi'nce verilen kararda; Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin (Yönetmelik) 19. maddesinin 1. fıkrasının (p) bendinde belirtilen kişisel verilerin güvenliği ve bunlara yapılacak müdahalelerin önlenmesinin Anayasa'da belirtilen özel hayatın gizliliği ve haberleşme hürriyetinin sağlanmasının bir gereği olduğu ve bu hususta elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin de yükümlülüklerinin ve alması gereken tedbirlerin olduğu, bununla birlikte kişisel verilerin güvenliği ve bunlara yapılacak müdahalelerin önlenmesi konusunda alınması gereken tedbirlerin çok geniş bir yelpazeyi kapsayabileceği gibi işletmecilerden birisi tarafından alınmış bir tedbirin diğer işletmeci tarafından uygulanmasının teknolojik altyapılarındaki farklılıklara bağlı olarak mümkün olmayabileceği, öte yandan kişisel verilerin korunmasının sadece işletmecilerin inisiyatifine bırakılamayacak kadar hassas bir konu olduğu da dikkate alındığında, Anayasa'da ve 5809 sayılı Kanun ile anılan Yönetmelikte belirtilen amacın gerçekleşmesine yönelik olarak davalı idarece hangi kişisel verilerin/abone bilgilerinin korunacağı, bu veri/bilgilerin korunmasına/gizliliğinin sağlanmasına ilişkin idari ve teknolojik tedbirlerinin neler olduğu ve bu tedbirlerin ne şekilde alınacağı ve bu konularda işletmecilerce oluşturulması gereken altyapıya ilişkin olarak bir usul ve esas belirlenmediği sürece, işletmecilerce teknolojik altyapılarının yeterliliği oranında gizliliğin korunmasına yönelik tedbirler alındığı iddia edilmiş ve buna yönelik çeşitli belgeler sunulmuş olsa bile, bu tedbirlerin tamamının nelerden oluştuğunu bilemeyen ilgili işletmeciye idarî para cezası yaptırımı uygulanmasına engel oluşturmayacağı, zira anılan Yönetmeliğin 19. maddesinin işletmecilere her türlü tedbiri alma, altyapı ve sistemlerinde teknolojik uyumu sağlama yükümlülüğü getirmekle birlikte, bunun hangi tedbirler olduğu konusunda bir usul ve esas belirlemediği ve buna ilişkin açıklama getirmediği;
Bu itibarla, 5809 sayılı Kanun'un 51. maddesindeki yeni ve eski düzenlemelerin davalı idareye elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme konusunda yetki ve sorumluluk verdiği ve anılan Yönetmeliğin 19. maddesinin 1. fıkrasının (p) bendindeki kuralın Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceği dikkate alındığında, herhangi bir usul ve esas belirlemeksizin davacı şirkete, kişisel verilerin korunmasına ilişkin olarak gerekli tedbirleri almadığı ve bu fiilin Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesine aykırı olduğundan bahisle idarî para cezası verilmesine ilişkin Kurul kararında hukuka uygunluk bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle hukuka aykırı bulunan dava konusu işlemlerin iptaline karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davalı idare tarafından, abonelerin işletmecilere abonelik tesisi sırasında ve daha sonra, tüketici hak ve menfaatlerinin gözetilmesi ilkesi çerçevesinde gerekli güvenlik önlemlerinin alınmış olacağı ön kabulüyle iletmiş oldukları tüm bilgi ve belgelerin korunmasını ve gizliliğinin sağlanmasını bekleyeceği, 5809 sayılı Kanun'da yer verilen “Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi” ilkesi ile Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliğinin 19. maddesinin 1. fıkrasının (p) bendi çerçevesinde, işletmecilerin kendilerine iletilen tüm bilgi ve belgelerin gizliliğini ve güvenliğini sağlamakla yükümlü olduğu, uluslararası geçerliği olan ilkeler, Anayasa ve 5809 sayılı Kanun'da yer alan hükümler ile Devlet Denetleme Kurulu'nun hazırladığı denetim raporu gibi bu alanda yapılan çalışmalar göz önünde bulundurulduğunda, kişisel verilerin korunmasına ilişkin uluslararası alanda detaylı bir düzenleme yapılmak yerine, işletmecinin kendi altyapısını kurabilmesinin veya istediği teknolojiyi tercih edebilmesinin önüne geçmeyecek şekilde genel ilkeler belirlenmek suretiyle bu alanın çerçevesinin çizildiği ve bu alanda yapılacak denetimler ve incelemelerde de temel güvenlik politikaları ile işletmecinin kendi yönetim yapısı ve teknolojik altyapısına göre belirlediği bilgi güvenliği politikasının göz önünde bulundurulduğu, bayi ve çağrı merkezlerinde kullanılan ICCB uygulaması üzerinden sadece telefon numarası girilmek suretiyle yapılan sorgulama ile abonenin uyruğu, T.C. kimlik numarası, doğum tarihi, adı, soyadı, kimlik veriliş tarihi, doğum yeri, baba adı, anne adı, cinsiyeti, medeni hâli, sıra no, aile sıra no, cilt no, kimlik il adı, ilçe adı, mahalle/köy adı, fatura bilgileri, adres bilgileri, bakiye/limit bilgileri, paket kalan bilgisi gibi birçok bilgiye gizleme (maskeleme) yapılmaksızın erişilebildiği, ICCB uygulaması üzerinden abonenin fatura alma yöntem tercihinin abonenin onayı alınmadan değiştirilebildiği, e-posta ile fatura alma seçeneği tercih edilerek ve herhangi bir e-posta adresi girilmek suretiyle rastgele bir e-posta adresine fatura bilgilerinin gönderilebildiği, aboneye ait adres bilgisinin ICCB üzerinden abonenin onayı alınmadan bayi çalışanları tarafından değiştirilebildiği, bayilerde kullanılan bilgisayarlarda görüntülenen müşteri bilgilerinin ekran görüntüsü alma (print screen) ve kopyala yapıştır gibi yöntemlerle kaydedilebildiği ve kaydedilen bilgilerin usb bellek veya elektronik posta (e-mail) aracılığıyla farklı ortamlara aktarılabildiği, Kurumca işletmecinin kişisel verilerin korunmasına ilişkin alması gereken tedbirlerin açık olarak sıralanmasının konuya çözüm getirmeyeceği ve farklı iş modelleri ile çalışan çok farklı işletmeciler için yeknesak bir tedbirler silsilesi oluşturmanın mümkün olmadığı, onun yerine işletmeciler tarafından iş süreçlerinin tasarlanmasında bilgi güvenliği ilkesinin gözetilmesinin en etkin yöntem olduğu, alınması gereken önlemlerin detaylı olarak sıralanması suretiyle yapılan düzenlemelerle, davacı tarafından denetim heyetine verilen cevapta yer alan “shop cloud” isimli uzak masaüstü uygulamaları gibi yeni teknolojilerin ve/veya farklı uygulamaların kullanımının önüne geçilmemesi gerektiği, Anayasa ile garanti altına alınmış vatandaşların kişisel verilerinin korunmasını isteme hakkına ilişkin olarak 5809 sayılı Kanun'da ve anılan Yönetmelikte açıkça işletmeciye yükümlülük getirildiği, bayiler ve çağrı merkezlerinde yasal düzenlemeler çerçevesinde basiretli bir tacir olarak yeterli güvenlik tedbirlerinin alınmadığı tespit edilerek davacı şirkete uygulanan idari para cezasında hukuka aykırılık bulunmadığı ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davacı tarafından, Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararı ile 5809 sayılı Kanun'un 51. maddesinin iptali üzerine bu maddenin verdiği yetkiye dayanılarak yapılan ikincil düzenlemelerin bakılan dava yönünden hükümsüz kaldığı, davalı Kurumun bu konuda düzenleme yapma yetkisi ortadan kaldırıldığından davalı Kurumun bu düzenlemelerine karşılık işletmecinin ihlâlinden bahsedilemeyeceği ve idari para cezası kararı verilemeyeceği, abone taleplerine derhal cevap vermek ve işlemleri gerçekleştirmek için gereken asgari bilgiye ve yalnız iş ile ilgili olan ekiplerdeki yetkili olan personelin ulaşabileceği şekilde maskeleme yapılmadığı, abone talebiyle yapılacak değişiklik ve sair işlemler için de bayi tarafından abonenin paket ve bakiye bilgilerine ihtiyaç duyulduğu, bu nedenlerle söz konusu alanlarda yer alan gerekli bilgilerde maskeleme kullanılmadığı, ancak kredi kartı bilgileri gibi bazı kritik bilgiler için maskeleme yapıldığı, abonenin faturasının bayi tarafından aboneden habersiz şekilde değiştirilmesinin mümkün olmadığı, çağrı merkezlerinden yapılan işlemlerin ileri seviye bilgi teyitleri ile, mutlaka hattın yasal sahibi tarafından yapılabilen işlemlerden olduğu ve ancak bilgi teyidinin başarılı olması hâlinde işlemin gerçekleştirildiği, ücretlendirme şikâyetlerini çözen sınırlı sayıdaki Backoffice personeline verilen ICCB üzerindeki görüşme detaylarının excele aktarılabilmesi yetkisinin de fatura itirazlarının çözümü için zaruri bir yetkilendirme olduğu, en basit ve uygun yöntemin ilgili kayıtların ICCB dışarısına çıkartılıp ayrı bir sistemde hesaplanarak ICCB'de hesaplama hatası olup olmadığının kontrol edilmesi olduğu, abone şikâyetlerini karşılamak için yapılan tüm işlemlerin kim tarafından, hangi tarihte yapıldığı loglanarak kayıt altına alındığı, ICCB'den excele aktarılan bilgilerin problem çözüldüğünde silinerek yok edildiği, bu açıklamaların CRM sistemi için de geçerli olduğu, Outbound ekibinin abonenin şikâyetini ve sıkıntısını çözmek adına görüşme detaylarını incelemesi ve gerekiyorsa abonenin kullanımına uygun, avantajlı tarife önerisinde bulunabilmesi için bu bilgileri maskeleme olmadan görmesinin gerektiği, tüm satış kanalları ve çalışanlarının abone rızası ve talebi olmadan sistemlerde işlem yapamayacaklarının bilincinde olduğu, buna göre detaylı işlem kayıtları tutarak, yayınladığı kuralların aksine hareket edilmesi hâlinde yaptırım öngörerek ve yapılan esaslı değişikliklerde aboneler SMS yoluyla haberdar edilerek bu alandaki güvenliğin temin edildiği, sadece şirketi finansal açıdan zarara uğratacak ihlâller değil, abone görüşmelerinin gizliliğini ihlâl edecek yetkinin kötüye kullanılması durumlarının da kontrol edildiği, bayiler tarafından görüşme detayları görüntülenemediği için bu konuda bir güvenlik açığı bulunmadığı, “inhouse” çağrı merkezlerine dosya iletiminin söz konusu olmadığı, sadece Vodafone bordrolu, yetkilendirilmiş “inhouse” çalışanına şifreli dosya gönderimi yapıldığı, bayilerde kullanılan sistemlerden abonelere ait bilgilere toplu olarak ulaşılmasının mümkün olmadığı, belirli aralıklarda bayi çalışanları için eğitimler yapıldığı, ayrıca bu işlemleri yapabilecek kişi ve bayilerin ... sistemlerine bir VPN tüneli üzerinden eriştiği ve bu tünelin şu an sadece daha önceden belirlenmiş statik IP adreslerinden yapılabildiği, davalı idarece ne çerçeve bir kanun ile sınırları belirli olan ne de bu konuda somut olarak sınırları belirlenen bir konu hakkında, subjektif gerekçelerle idari para cezası verildiği belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ ... 'IN DÜŞÜNCESİ : Temyiz isteminin kabulü gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesi'nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:


İNCELEME VE GEREKÇE:
MADDİ OLAY :
Bayi ve çağrı merkezlerinde abonelere ait kişisel verilerin gizliliğinin ve güvenliğinin sağlanıp sağlanmadığına ilişkin olarak davalı idarece yapılan inceleme sonucunda hazırlanan ... tarih ve ... sayılı inceleme raporunda özetle; bayi ve çağrı merkezlerinde kullanılan ICCB uygulaması üzerinden sadece telefon numarası girilmek suretiyle yapılan sorgulama ile abonenin uyruğu, T.C. kimlik numarası, doğum tarihi, adı-soyadı, kimlik veriliş tarihi, doğum yeri, baba adı, anne adı, cinsiyeti, medeni hali, sıra no, aile sıra no, cilt no, adres bilgileri, bakiye/limit bilgileri, paket kalan bilgisi gibi birçok bilgiye gizleme yapılmaksızın erişilebildiği, yine ICCB uygulaması üzerinden abonenin fatura alma yöntem tercihinin abonenin onayı alınmadan değiştirilebildiği, e-posta ile fatura alma seçeneği tercih edilerek ve herhangi bir e-posta adresi girilmek suretiyle rastgele bir e-posta adresine fatura bilgilerinin gönderilebildiği, benzer şekilde aboneye ait adres bilgisinin abonenin onayı alınmaksızın bayi tarafından değiştirilebildiği, bayilerde erişilebilen müşterilere ait kişisel veriler ile bayilerin yetkili oldukları işlemler karşılaştırıldığında, davacı tarafından bayilerle paylaşılan verilerin bayilerin yetkili oldukları işlemleri gerçekleştirebilmeleri için gereken bilginin çok üzerinde olduğu, benzer şekilde, kişisel veriler arasında önemli bir yeri olan ve haberleşme özgürlüğünün ve özel hayatın korunması açısından büyük önem taşıyan trafik verileri ile ilgili çağrı merkezlerine tanınan yetkilerin de, hizmet amaçları doğrultusunda kullanılması gerekenin çok üzerinde olduğu, ayrıca söz konusu özlük bilgileri, iletişim bilgileri, fatura bilgisi, trafik verisi gibi kişisel bilgilere abonenin herhangi bir işlem veya bilgi talebi olmaksızın kolayca erişilebilir olmasının yapılan işin doğası gereği anlamlı olmadığı da göz önüne alındığında, abone talebinin olduğuna dair doğrulayıcı sistemsel bir önlem alınmamasının veri gizliliği ihlâllerine sebep olabileceği, veri gizliliği ihlâllerinin tespitinin abone şikâyetine bağlanması hususundaki işletmeci uygulamasının makul olmadığı, abonelere ait kişisel bilgilerin toplu olarak güvensiz bir şekilde çağrı merkezlerine iletilmesi sonrasında ilgili dosyanın akıbeti ile ilgili önlem alınabilmesinin mümkün olmadığı ve e-posta içeriğine herhangi bir bilgisayardan erişilebilir olmasının oluşturduğu güvenlik açığı dikkate alındığında, abone bilgilerinin çağrı merkezi veya üçüncü taraflara toplu olarak iletilmesine ilişkin süreçte, söz konusu bilgilerin korunması hususunda yeterli önlemlerin alınmadığı, bayilerde kullanılan bilgisayarlarda görüntülenen müşteri bilgilerinin ekran görüntüsü alma (print screen) ve kopyala yapıştır gibi yöntemlerle kaydedilebildiği ve kaydedilen bilgilerin usb bellek veya elektronik posta (e-mail) aracılığıyla farklı ortamlara aktarabildiği, dolayısıyla bayi bilgisayarları üzerinden erişilebilen kişisel müşteri bilgilerinin dış ortamlara aktarılmasına olanak sağlandığı tespitlerine yer verilerek, belirtilen hususların Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliğinin 19. maddesinin 1. fıkrasının (p) bendine aykırılık oluşturduğundan bahisle davacı şirket hakkında idarî para cezası yaptırımının uygulanması gerektiği sonucuna varılmıştır.
Söz konusu inceleme raporuna istinaden, ... tarih ve ... sayılı Kurul kararının 3. maddesiyle davacı şirket hakkında, 5809 sayılı Kanun'un 60. ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32. ve 34. maddeleri uyarınca 2012 yılı net satışlarının %0,018'i (709.217,18-TL) oranında idarî para cezası uygulanmasına karar verilmiştir.
Bunun üzerine, anılan Kurul kararının 3. maddesi ile bu kararın uygulanmasına ilişkin idari para cezası karar tutanağının iptali istemiyle bakılan dava açılmıştır.

İLGİLİ MEVZUAT:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 3. fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." kuralı yer almıştır.
5809 sayılı Elektronik Haberleşme Kanunu'nun 1. maddesinde, "Bu Kanunun amacı; elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesidir."; "İlkeler" başlıklı 4. maddesinde, "(1) Her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların düzenlenmesi Devletin yetki ve sorumluluğu altındadır. İlgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde aşağıdaki ilkeler göz önüne alınır: (...) l) Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi"; "Kurumun görev ve yetkileri " başlıklı 6. maddesinde, Kurumun görev ve yetkileri şunlardır: (...) (c) Abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak. (...) (s) Elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak. (ş) Elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak. (t) Ara bağlantı ve ulusal dolaşım da dahil erişim ile ilgili uygulanacak usul ve esasları belirlemek ve mevzuatın öngördüğü düzenlemeleri yapmak, elektronik haberleşme sağlanması amacıyla imzalanan anlaşmaların rekabeti kısıtlayan, mevzuata ve/veya tüketici menfaatlerine aykırı hükümler içermemesi amacıyla mevzuatın öngördüğü tedbirleri almak. (...) (v) Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak." kuralına yer verilmiştir.

5809 sayılı Kanun'un "İşletmecilerin hak ve yükümlülükleri" başlıklı 12. maddesinde, "(...) (2) Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: (...)
d) Kişisel veri ve gizliliğin korunması.
e) Tüketicinin korunması. (...)
j) İzinsiz erişime karşı şebeke güvenliğinin sağlanması. (...)
(4) İşletmecilerin hak ve yükümlülükleri ile ilgili usul ve esaslar Kurumca belirlenir.
(5) İşletmeciler, elektronik haberleşme sistemleri üzerinden millî güvenlikle ve 5397 ve 5651 sayılı kanunlar ve ilgili diğer kanunlarda getirilen düzenlemelerle ilgili taleplerin karşılanmasına yönelik teknik alt yapıyı, elektronik haberleşme sistemini hizmete sunmadan önce kurmakla yükümlüdür. Halen elektronik haberleşme hizmeti sunan işletmeciler de; söz konusu teknik alt yapıyı, Kurum tarafından belirlenecek süre içerisinde aynı şartlarla ve tüm harcamaları kendilerine ait olmak üzere kurmakla yükümlüdürler."; "Kurumun yetkisi ve idarî yaptırımlar" başlıklı 60. maddesinin 1. fıkrasında, "Kurum; mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık halinde işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne kadar idarî para cezası uygulamaya, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi ve kanunlarla getirilen hükümlerin uygulanması amaçlarıyla gerekli tedbirleri almaya, gerektiğinde tesisleri tazminat karşılığında devralmaya, belirlediği süre içerisinde yetkilendirme ücretinin ödenmemesi ya da ağır kusur halinde verdiği yetkilendirmeyi iptal etmeye yetkilidir. Ancak, Kurum, ulusal çapta verilecek frekans bandı kullanımını ihtiva eden ve sınırlı sayıda işletmeci tarafından yürütülmesi gereken elektronik haberleşme hizmetlerine ilişkin yetkilendirmelerin iptalini gerektiren hallerde Bakanlığın görüşünü alır." kuralı yer almıştır.
Öte yandan, Anayasa Mahkemesi'nin 26/07/2014 tarih ve 29072 sayılı Resmî Gazete'de yayımlanan 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararıyla iptal edilen 5809 sayılı Kanun'un "Kişisel verilerin işlenmesi ve gizliliğinin korunması" başlıklı 51. maddesinde, "Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir." kuralı yer almıştır.
Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin "Dayanak" başlıklı 3. maddesinde, "Bu Yönetmelik, 05/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu'nun 6, 8, 9, 10, 11, 12, ve 60'ıncı maddelerine dayanılarak hazırlanmıştır."; "İşletmecilerin hak ve yükümlülükleri" başlıklı 19. maddesinin 1. fıkrasında, " (1) İşletmeciler; Kurum düzenlemeleri, ilgili mevzuat ve Elektronik Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Sürelerinde öngörülen şartlara ve aşağıda yer alan kayıt, kural ve yükümlülüklere uygun olarak elektronik haberleşme hizmetini sunma hakkına sahiptir. (...) (p) Güvenlik ve müdahalelerin önlenmesi: İşletmeciler, haberleşme mahremiyeti ve güvenliği ile şebeke güvenliğinin sağlanması ve korunması için, her türlü tedbiri almakla, altyapı ve sistemlerinde teknolojik uyumu sağlamakla, elektronik haberleşmeye ilişkin bilgi, belge ve verilerin gerek korunmasında, gerekse iletilmesinde gizlilik hükümlerine uymak ve kanunla yetkilendirilmiş merci dışında başkasının bu bilgileri elde etmesini önlemekle yükümlüdür. İşletmeci, vereceği elektronik haberleşme hizmeti, şebeke ve altyapısında kullanılacak cihazlara, yetkisiz kişilerin erişimini ve bozucu/değiştirici müdahalelerini önlemek amacıyla gerekli tedbirleri almakla yükümlüdür. (...)"; "İdari yaptırımlar" başlıklı 25. maddesinde, "İşletmeci faaliyetlerinin yetkilendirme kapsamındaki yükümlülüklere ve ilgili mevzuata aykırı olması durumunda, işletmeciye Kanun ve ilgili diğer mevzuat uyarınca idari para cezası veya diğer yaptırımlar ile tedbirlerin uygulanır." kurallarına yer verilmiştir.
İşlem tarihinde yürürlükte bulunan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin "İdari Para Cezalarının Uygulanmasında Göz Önünde Bulundurulacak Ölçütler" başlıklı 32. maddesinde, "Kurul idari para cezasının belirlenmesinde aşağıda sayılan unsurların varlığını da göz önünde bulundurarak kararını verir.
a) İhlâlin niteliği,
b) Zararın büyüklüğü,
c) İhlal neticesinde herhangi bir ekonomik kazanç elde edilip edilmemesi ve bu kazancın büyüklüğü,
d)Tekrarlanan veya devam eden ihlalin varlığı,
e) Geçmişte kurallara uyum,
f) İyiniyet ve gönüllü bildirim."; "Hüküm Bulunmayan Hâller" başlıklı 34. maddesinde, "Bu Yönetmelikte düzenlenmemiş olmakla birlikte, İşletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hallerde Kurul Kararına göre işlem yapılır." kuralları yer almıştır.

HUKUKİ DEĞERLENDİRME:
5326 sayılı Kabahatler Kanunu’nun “Genel kanun niteliği” başlıklı 3. maddesinde, bu Kanun'un; idarî yaptırım kararlarına karşı kanun yoluna ilişkin hükümlerinin, diğer kanunlarda aksine hüküm bulunmaması hâlinde; diğer genel hükümlerinin ise, idarî para cezası veya mülkiyetin kamuya geçirilmesi yaptırımını gerektiren bütün fiiller hakkında uygulanacağı kurala bağlanmış olup, 5809 sayılı Kanun’da aksine bir hüküm yer almadığından, Bilgi Teknolojileri ve İletişim Kurumu tarafından idarî para cezaları alanında yapılacak düzenlemelerde ve verilen idarî para cezalarında, belirtilen Kanun’un genel hükümlerinde yer alan düzenlemelerin dikkate alınması gerektiği açıktır.
Kurum’un ikincil düzenleme yetkisi 5809 sayılı Kanun’un belirlediği çerçeve ve 5326 sayılı Kanun’un genel hükümler bölümünde yer alan kural ve ilkelerle sınırlandırılmış bulunmaktadır.
Kabahatler Kanunu’nun “Kanunilik ilkesi” başlıklı 4. maddesinde, hangi fiillerin kabahat oluşturduğunun kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriğinin, idarenin genel ve düzenleyici işlemleriyle de doldurulabileceği, kabahat karşılığı olan yaptırımların türünün, süresinin ve miktarının ancak kanunla belirlenebileceği kurala bağlanmıştır. Böylece, idarî yaptırımlar konusunda genel kanun niteliğini haiz Kabahatler Kanunu, hangi fiillerin kabahat oluşturduğuna yönelik bir çerçeve hükme yer vermek suretiyle idareye kısmî takdir yetkisi tanımakta, ancak yaptırımın türü, süresi ve miktarı bakımından mutlak olarak kanunilik ilkesini benimsemiş bulunmaktadır.

5809 sayılı Kanun'un 4. maddesinde, ilgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde göz önünde bulundurulacak ilkeler arasında "Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi"ne yer verildiği; 6. maddesinde, abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapma, elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetleme ve/veya denetlettirme, konu ile ilgili usul ve esasları belirleme, aykırılık hâlinde mevzuatın öngördüğü işlemleri yapma ve yaptırımları uygulama hususunda Kuruma görev ve yetki verildiği ve 60. maddesinde ise, Kurumun mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık hâlinde işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne kadar idarî para cezası uygulamaya yetkili kılındığı dikkate alındığında, anılan kuralların 5326 sayılı Kabahatler Kanunu'nun 4. maddesinde düzenlenen "kanunilik" ilkesine aykırı bir yönünün bulunmadığı anlaşılmaktadır.
5809 sayılı Kanun'un 6, 8, 9, 10, 11, 12 ve 60. maddelerine dayanılarak hazırlanan Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin "İşletmecilerin hak ve yükümlülükleri" başlıklı 19. maddesinin 1. fıkrasının (p) bendinde ise, işletmecilerin haberleşme mahremiyeti ve güvenliği ile şebeke güvenliğinin sağlanması ve korunması için, her türlü tedbiri almakla, altyapı ve sistemlerinde teknolojik uyumu sağlamakla, elektronik haberleşmeye ilişkin bilgi, belge ve verilerin gerek korunmasında, gerekse iletilmesinde gizlilik hükümlerine uymak ve kanunla yetkilendirilmiş merci dışında başkasının bu bilgileri elde etmesini önlemekle ve işletmecinin vereceği elektronik haberleşme hizmeti, şebeke ve altyapısında kullanılacak cihazlara, yetkisiz kişilerin erişimini ve bozucu/değiştirici müdahalelerini önlemek amacıyla gerekli tedbirleri almakla yükümlü olduğuna "güvenlik ve müdahalelerin önlenmesi" kapsamında yer verilmiştir.
Davalı idare tarafından, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendinde yer alan kuralla işletmecinin kendi altyapısını kurabilmesinin veya istediği teknolojiyi tercih edebilmesinin önüne geçmeyecek şekilde genel ilkeler belirlenmek suretiyle bu alanın çerçevesinin çizildiği ve bu alanda yapılacak denetimler ve incelemelerde de temel güvenlik politikaları ile işletmecinin kendi yönetim yapısı ve teknolojik alt yapısına göre belirlediği bilgi güvenliği politikasının göz önünde bulundurulduğu ifade edilmiştir.
Her ne kadar temyize konu Mahkeme kararında, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendinde yer alan kuralın 5809 sayılı Kanun'un aradığı anlamda bir usûl ve esas olarak nitelendirilemeyeceği değerlendirmesine yer verilmiş ise de, Kabahatler Kanunu'nun 4. maddesinde yer alan kanunilik ilkesine uygun olarak, Anayasa'nın 20. maddesinin 3. fıkrası ve 5809 sayılı Kanun'da yer alan 4, 6 ve 12. maddeler çerçevesinde anılan Yönetmeliğin 19. maddesinin 1. fıkrasının (p) bendinde güvenlik ve müdahalelerin önlenmesine yönelik olarak idari yaptırıma konu fiillerin düzenlendiği, her bir işletmecinin farklı hizmet sunumu, alt yapısı, bayi yapısı bulunması ve teknolojinin sürekli gelişme göstermesi gibi nedenlerle her işletmecinin kendi altyapısı ve bayi sistemi çerçevesinde en temel önlemleri almasının gerektiği, dolayısıyla anılan Yönetmelik maddesinde yer verilen fiilin işletmeciler tarafından açıkça anlaşılır nitelikte olduğu ve keyfi uygulamalara yol açmayacağı açıktır. Ayrıca, elektronik haberleşme alanında zamanla ortaya çıkan tehlikeler dikkate alındığında, bilgi güvenliği ve haberleşmenin gizliliğinin gözetilmesi, kişisel verilere ilişkin güvenliğin sağlanması ve müdahalelerin önlenmesi gerektiği kuşkusuzdur.
Davacı şirket tarafından, 5809 sayılı Kanun'un 51. maddesinin Anayasa Mahkemesi'nce iptal edilmesi nedeniyle dava konusu işlemin dayanağının kalmadığı iddia edilmiş ise de, anılan maddede, "Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir." düzenlemesinin yer aldığı, ancak, kişisel verilerin gizliliğinin ihlâl edilmemesine ilişkin kurala Anayasa'da ve 5809 sayılı Kanun'un yukarıda aktarılan ilgili hükümlerinde yer verildiği ve dava konusu işlemin 51. madde ve bu maddeye dayanılarak çıkartılan bir düzenleyici işlem uyarınca tesis edilmediği dikkate alındığında davacı şirketin bu iddiasına itibar edilmemiştir.
Diğer taraftan, 5809 sayılı Kanun'un 60. maddesi uyarınca, Kurumun, mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık hâlinde işletmecilere bir önceki takvim yılındaki net satışlarının %3'ü kadar idarî para cezası uygulamaya yetkisi olduğundan, bu yetki kapsamında uyuşmazlık konusu fiilin işlendiği tarihte yürürlükte bulunan (mülga) 05/09/2004 tarih ve 25574 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik’in 32. maddesinde yer verilen ölçütler gözetilmek suretiyle, anılan Yönetmeliğin 34. maddesindeki, bu Yönetmelikte düzenlenmemiş olmakla birlikte, işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde Kurul kararına göre işlem tesis edileceği kuralına göre, işletmecinin bir önceki takvim yılındaki net satışlarının %3'ü oranındaki üst sınıra uygun olarak idarî para cezası uygulanabileceği açıktır.
Bu itibarla, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olduğu belirtilen fiillerin sübuta erip ermediği hususunda bir değerlendirme yapılarak karar verilmesi gerekirken, bu değerlendirme yapılmadan dava konusu işlemin iptali yönünde verilen temyize konu İdare Mahkemesi kararında hukuki isabet bulunmamaktadır.

KARAR SONUCU :
Açıklanan nedenlerle;
1. Davalının temyiz isteminin kabulüne;
2. 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesi uyarınca ... İdare Mahkemesi'nin ... tarih ve E:..., K:... sayılı kararının BOZULMASINA,
3. Yeniden bir karar verilmek üzere dosyanın anılan Mahkeme'ye gönderilmesine,
4. 2577 sayılı Kanun'un Geçici 8. maddesi uyarınca, bu kararın tebliğ tarihini izleyen 15 (on beş) gün içerisinde kararın düzeltilmesi yolu açık olmak üzere, 29/11/2021 tarihinde oyçokluğuyla karar verildi.





(X) KARŞI OY :
Dosyanın incelenmesinden, davacı şirketle ilişkili bayi ve/veya çağrı merkezlerinde Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliğinin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak, kişisel bilgi ve belgenin gereğinden fazla ve kolayca görüntülenebildiği, kaydedilebildiği, dış ortamlara aktarılabildiği, kişisel bilgilere erişimin abonenin bilgisi dahilinde yapıldığına ilişkin herhangi bir teyit mekanizmasının olmadığı, kişisel bilgilerin gizliliğinin sağlanmasına yönelik analiz çalışmalarının müşteri şikâyetine bağlandığı ve bu suretle kişisel verilerin bayi çalışanlarınca amaçları dışında kullanılmasına olanak sağlandığı gerekçesiyle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32. ve 34. maddeleri uyarınca 2012 yılı net satışlarının (3.940.095.456,00-TL) %0,018'i (Yüzbinde onsekizi) oranında (709.217,18-TL) idarî para cezası verilmesine ilişkin Kurul'un ... tarih ve ... sayılı kararı üzerine bakılan davanın açıldığı, idare mahkemesince dava konusu işlemin iptaline karar verildiği anlaşılmaktadır.
05/09/2004 tarih ve 25574 sayılı Resmî Gazete'de yayımlanan mülga Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin "Hüküm Bulunmayan Hâller" başlıklı 34. maddesinde, "Bu Yönetmelikte düzenlenmemiş olmakla birlikte, işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde Kurul kararına göre işlem yapılır." kuralı yer almıştır.
Anılan Yönetmeliğin 34. maddesinin dava konusu işleme esas alınması hukuka aykırıdır. Şöyle ki;
5326 sayılı Kabahatler Kanunu’nun “Kanunîlik İlkesi” başlıklı 4. maddesinde, hangi fiillerin kabahat oluşturduğu kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriğinin, idarenin genel ve düzenleyici işlemleriyle de doldurulabileceği, kabahat karşılığı olan yaptırımların türü, süresi ve miktarının ancak kanunla belirlenebileceği kurala bağlanmıştır.
Hukukî güvenlik ilkesi, hukuk normlarının öngörülebilir olmasını, belirlilik ilkesi ise yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olmasını ifade etmektedir.
Yönetmeliğin 34. maddesinin incelenmesinden, yönetmelikte düzenlenmemiş olmakla birlikte işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde "Kurul kararına" göre işlem yapılacağına yer verilmek suretiyle, mevzuatta tanımlanmamış ancak Kurulun mevzuat ve yetki belgesi şartlarına aykırı göreceği bir fiil gerçekleştiği takdirde idari yaptırım uygulanmasının amaçlandığı anlaşılmakta olup, bu durum ise kanunîlik, hukukî güvenlik ve belirlilik ilkelerine aykırılık teşkil edecektir.
Bu itibarla, anılan Yönetmeliğin 34. maddesi dayanak alınarak tesis edilen işlemde hukuka uygunluk bulunmamaktadır.
Bu durumda, yukarıda belirtilen gerekçenin eklenmesi suretiyle Mahkeme kararının onanmasına karar verilmesi gerektiği oyu ile karara katılmıyorum.