Danıştay 13. Daire 2016/404 Esas 2021/4050 Karar Sayılı İlamı

T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2016/404
Karar No:2021/4050

TEMYİZ EDEN (DAVACI) : … A.Ş.
VEKİLLERİ : Av. …,
Av. …
KARŞI TARAF (DAVALI) : … Kurumu
VEKİLLERİ : Av. …
Av. …

İSTEMİN_KONUSU : .. İdare Mahkemesi'nin … tarih ve E:…, K:… sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak bayi ve çağrı merkezlerinde kişisel bilgilerin gizliliğinin korunmasına ve güvenliğinin sağlanmasına ilişkin yeterli önlemlerin alınmaması sebebiyle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. maddesi ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ve Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32 ile 34. maddeleri uyarınca davacı şirkete 2012 yılı net satışlarının %0,02'si oranında idari para cezası verilmesine ilişkin 23/01/2014 tarih ve 6337 sayılı Bilgi Teknolojileri ve İletişim Kurumu'nun yazısı ile bildirilen … Kurulu'nun … tarih ve … sayılı kararının 4. maddesi ile … tarih ve … sayılı işlem ile bildirilen idari para cezası tutanağının iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: …. İdare Mahkemesi'nce verilen kararda; bayi ve çağrı merkezlerinde abonelere ait kişisel verilerin gizliliğinin ve güvenliğinin sağlanıp sağlanmadığına ilişkin davacı şirket nezdinde başlatılan inceleme kapsamında düzenlenen inceleme raporunda, bayi ve/veya çağrı merkezlerinde gereğinden fazla bilginin kolayca ve abone haberi olmaksızın görüntülenebildiği, kişisel bilgilerin dış ortama aktarılabilme olanağının bulunduğu, abone onayı alınmaksızın kişisel bilgilerin görüntülenebildiği ve/veya kaydedilebildiği, kişisel verilere erişim ile oluşabilecek durumlara ilişkin analiz mekanizmasının olmadığı, abonelerin kimlik fotokopilerinin bir merkezde toplanması gerekirken bayilerde tutulduğu, dış arama yapılan merkezlerdeki bilgisayarlarda usb girişinin olduğu tespitlerine dayanarak davacı kurumun bayi ve çağrı merkezlerinde kişisel bilgilerin korunmasına ve güvenliğinin sağlanmasına ilişkin yeterli önlemleri almadığı gerekçesiyle 5809 sayılı Kanunu'nun 60. maddesinin 1. fıkrası ve Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19/1-p maddesi uyarınca 1.450.645,32-TL idari para cezası uygulanması üzerine bakılan davanın açıldığı, uyuşmazlık konusu olayda, davacı kurumun bayi ve çağrı merkezlerinde kullanılan Siebel uygulamasında abonelerin T.C. Kimlik numaraları ile tüm kişisel bilgilerine maskeleme olmaksızın ulaşılabildiği, yine Müşteri Elde Tutma Yönetimi uygulamasında abonenin sadece hizmet numarası girilerek kişisel bilgilerine erişilebildiği, bayi ve çağrı merkezlerindeki bilgisayarlar üzerinden dış ortama e-mail yoluyla bilgi aktarılabildiği, davacı kurum adına dış arama gerçekleştiren merkez bilgisayarlarına USB bellek takılabildiği dolayısıyla dış ortama kişisel bilgilerin aktarılabileceği, bir merkezde toplanması gerekirken bayilerde tutulan abone kimlik fotokopilerinin iş amaçları dışında kullanılma olanağının bulunduğu hususlarının tespit edildiği;
Bu durumda, dava konusu işlemin dayanağı olan inceleme raporu ile diğer bilgi ve belgelerin değerlendirilmesinden, davacı şirketin bayilerde ve kendi adına dış arama yapan firmalarda abonelere ait kişisel bilgilerin gizliliğinin ve güvenliğini teminen gerekli tedbirleri almadığı, abonelere ait kişisel bilgilerin farklı ortamlara kaydedilebiliyor olmasının tüketici mağduriyetine yol açtığı sonucuna varılmakla, Elektronik Haberleşme Kanunun 4/1-1. ve 56/1. maddeleri ve Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği 19/1-p bendi ile kişisel bilgilerin gizliliğinin korunmasına ilişkin getirilen yükümlülüklere uymadığı anlaşılan davacı şirketin idari para cezası ile cezalandırılmasına ilişkin dava konusu işlemlerde hukuka aykırılık bulunmadığı ve davacı tarafından ileri sürülen diğer iddiaların da dava konusu işlemleri sakatlar nitelikte olmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlemler hukuka uygun bulunarak davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, abonelere ait kişisel bilgilerin çağrı merkezleri ile mevzuatın çizdiği sınırlar dahilinde asgari düzeyde paylaşıldığı, genel kabul görmüş güvenlik yaklaşımlarına aykırı bir durumun bulunmadığı, ... çağrı merkezi sistemlerinin görünen verilerin görüntüsünü kopyalama ve kaydetme işlemine izin vermediği, ... çağrı merkezi çalışanlarının kullandığı bilgisayarlarda dışarıya veri aktarımını sağlayacak USB girişleri, ekran görüntüsü alma gibi donanım özelliklerinin de bulunmadığı, donanım araçları dışında, ... çağrı merkezi çalışanlarının e-posta adreslerinin kurumsal e-posta adresi olduğu ve bu adreslerin işlem kayıtlarının tutulduğu, ... çalışanları işe alım esnasında gizlilik sözleşmelerinin imzalandığı, USB bellek takılabildiği belirtilen bilgisayara şifre ile admin (yönetici) yetkisinde bir kullanıcı ile giriş yapılabildiği, USB kapalı bile olsa admin yetkili bir kullanıcının bunu açabileceğinin dikkate alınmasının gerektiği, sadece iki kişinin sahip olduğu kilit ile girilebilen ve kamera kaydı sistemi ile görüntülenen ve görüntüleri kaydedebilen bir bilgisayar ve 2 ayrı şifre girilerek erişilen bilgilerin güvenliği ile ilgili yeterli önlemlerin alınmadığının söylenmesinin hatalı olduğu, davalı kurumun denetimi sırasında bayilerde bulunan kimlik fotokopilerinin cihaz satış kampanyaları nedeni ile bayide tutulan evraklar olduğu, bayilerin ilgili sistemlere girdiği bilgisayarların noktadan noktaya bağlantı tipiyle sadece ilgili sistemlere bağlandığı, davalı Kurum tarafından abone bilgilerinin gizliliği ve işlenmesiyle ilgili asgari güvenlik önlemlerinin neler olduğuna dair bir düzenleme veya bildirimde bulunmadığı, iş ihtiyacı göz önüne alınarak iş birimlerinin talepleri doğrultusunda ve abonenin belirli verileri girildikten sonra ulaşılan bilgilerin asgari düzeyde verildiği, 5809 sayılı Kanun ve Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte abonelerin kişisel verilerinin işletmeci tarafından yetkilendirilen kişilerle paylaşılabileceği düzenlendiğine göre, davacı şirket tarafından yetkilendirilen bayi ve çağrı merkezi kullanıcılarıyla bu bilgileri paylaşmanın yasaya aykırı bir durum olmadığı, bilgi güvenliğinde kural olarak mutlak güvenlikten söz edilmesinin mümkün olmadığı, sistem ve uygulamalarında yürürlükteki yasal yükümlülükler ve genel kabul görmüş güvenlik önlemleri göz önüne alındığında üst seviyede ve birden fazla kriterde güvenlik önlemlerinin alındığı ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, sadece T.C. kimlik numarası ile tüm kişisel verilere bir bayi tarafından erişilmesinin uygun olmadığı, zira hâlihazırda herhangi bir vatandaşın kendi kimlik numara bilgisini bile MERNİS'ten sorgulamak isterse birçok veriyi doğru bir şekilde girmesi gerekmekte iken bayilerin veya çağrı merkezlerinin sadece T.C. kimlik numarası ile tüm bu bilgilere ulaşabilmesinin hakkaniyetle bağdaşmadığı, gizlilik sözleşmesi imzalanmasının işin doğası gereği yapılması gereken bir işlem olmakla birlikte, veri paylaşım süreci ile ilgili tüm önlemlerin de alınmasının gerektiği, davacı tarafından alınan önlemlerin yeterli olmadığı, herhangi bir veri ihlâli oluşması durumunda, sözleşmede yer alan cezai şartlar ihlâli gerçekleştiren için bir yaptırım olsa da kişisel verileri ihlâl veya ifşa edilmiş veya kötüye kullanılmış kişinin mağduriyetini giderme noktasında yeterli olmayacağı, tüm bayilerin ve çağrı merkezlerinin söz konusu sistemlere erişimleri için yetki verilmiş olmasının bayi ve çağrı merkezi çalışanlarının yetkilerini aşarak oluşturabilecekleri olası veri gizliliği ihlâllerinin önlenmesine yönelik tedbirlerin alınması için yeter bir koşul olamayacağı ve bu yetkinin kişisel veri kullanımında bir serbesti olarak algılanamayacağı, söz konusu kişisel bilgilere maskeleme olmadan ve kolay bir yöntemle erişilebilir olması, müşteri talebinin olduğuna dair doğrulayıcı sistemsel bir önlemin alınmaması ve erişilen verilerin dış ortamlara aktarılabilme olanağının bulunması nedeniyle kişisel verilerin gizliliğinin korunması hususunda yeterli tedbirlerin alınmadığının değerlendirildiği, bir abone sözleşme imzalanması sırasında bayiye bu bilgileri vermekte olsa bile, sözleşmeye ve kimlik fotokopisine sadece işlem yapılan bayinin ulaşabileceği, ancak sistem üzerinden tüm bayi ve çağrı merkezlerine bu bilgilerin açılmasının, bayilerin ve çağrı merkezlerinin yapacağı iş ve işlemlerin gerektirdiğinin çok üzerinde olduğu, kimlik üzerindeki bilgilerden bir kısmının sisteme girilmesi ile söz konusu kişisel bilgiler görüntülenmeden de teyit işleminin yapılabileceği değerlendirildiği, bayilerin eriştiği kişisel verilerin kötüye kullanılma riskinin çok yüksek olduğu, bayilerin ve çağrı merkezlerinin işlerini yürütebilmek için ihtiyaç duyacakları bilgilerin neler olduğu analiz edilmeksizin sözleşmeden gelen tüm bilgilerin Türkiye çapında tüm bayilerle ve çağrı merkezleriyle paylaşılmış olmasının veri gizliliğinin sağlanması açısından önemli bir eksiklik olduğu ve yeterli önlemlerin alınmadığının değerlendirildiği, kişisel müşteri verilerine bu şekilde erişilmesine personel sirkülasyonunun fazla olduğu bayi ve çağrı merkezi kanallarından dahi izin verilmesinin kişisel bilgilerin korunmasında gerekli hassasiyetin gösterilmediğini ortaya çıkardığı, Anayasa Mahkemesi'nin 09/04/2014 tarih ve E.2013/122, K.2014/74 sayılı kararı ile 5809 sayılı Kanun'un 51. maddesinin iptal edilmesi bu davaya konu idari işlemin dayanağını hükümsüz kılmadığı, bu hükme dayanılarak bir idari işlem tesis edilmediği, aksi kabul edilse dahi 5809 sayılı Kanun'un 51. maddesinin gerek idari yaptırım kararının uygulandığı 16/01/2014 tarihinde gerekse de Mahkeme karar tarihinde yürürlükten kaldırılmadığı, Anayasa'nın 153. maddesi kapsamında iptal kararlarının geriye yürümezliği ilkesinin geçerli olduğu, davacı şirket MEY uygulamasında aldığı tedbirlerden bahsederken kişisel verilerin maskelenmesi için gerekli tüm teknik çalışmaların tamamlandığı ve bayilerde kullanılan bilgisayarlarda USB ve CD-ROM girişlerini engelleyerek veri aktarımı yapılmasının da önüne geçildiği hususlarını belirterek eksikliklerini bir anlamda kabul ettiği, bayiler ile noktadan noktaya bağlantı kurulmasının kişisel bilgilerin görüntülenmesi ve dışarı çıkarılmasını engelleyecek bir önlem olmadığı, denetim sorgusunda bayilerde özel e-posta adreslerine e-posta gönderilebildiğine ilişkin bir tespit yer almadığı, kişisel bilgilerin çağrı merkezlerine FTP ile gönderilmesi ve çağrı merkezlerinde veri tabanında tutulması yönteminin üçüncü taraflara bilgi iletimi için yeterli güvenlik önlemleri alınmış bir yöntem olmadığı, çağrı merkezleri ile paylaşılan verilerin, ilgili işletmecinin merkezinden doğrudan çağrı merkezi sistemlerine yüklendiği ve iletim sürecinde riskin minimuma indirildiği yöntemlerin bulunduğu, sadece 19 farklı yetkilendirme tipinde 1000'in üzerinde işletmecinin yer aldığı bir sektörde her bir işletmecinin farklı hizmet sunumu, altyapısı, müşteri profili, bayi yapısı bulunması ve teknolojinin sürekli gelişme göstermesi gibi nedenlerle işletmecilere gereksiz yük oluşturmamak veya teknolojinin gerisinde bir yükümlülük getirmemek amacı ile işletmecinin talep ettiği detayda bir düzenlemeye yer verilmediği, mevcut düzenlemeler çerçevesinde, her işletmecinin kendi altyapısı ve bayi sistemi çerçevesinde temel önlemleri alması gerektiği belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …'IN DÜŞÜNCESİ : Temyiz isteminin reddi ile usul ve yasaya uygun olan İdare Mahkemesi kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesi'nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

HUKUKİ DEĞERLENDİRME :
İdare ve vergi mahkemelerinin nihai kararlarının temyizen bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde yer alan sebeplerden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, dilekçede ileri sürülen temyiz nedenleri kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU :
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2. Davanın yukarıda özetlenen gerekçeyle reddi yolundaki ... İdare Mahkemesi'nin … tarih ve E:…, K:… sayılı temyize konu kararında, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde sayılan bozma nedenlerinden hiçbirisi bulunmadığından anılan Mahkeme kararının ONANMASINA,
3. Temyiz giderlerinin istemde bulunan üzerinde bırakılmasına,
4. Dosyanın anılan Mahkeme'ye gönderilmesine,
5. 2577 sayılı Kanun'un Geçici 8. maddesi uyarınca, bu kararın tebliğ tarihini izleyen 15 (on beş) gün içerisinde kararın düzeltilmesi yolu açık olmak üzere, 29/11/2021 tarihinde oyçokluğuyla karar verildi.



(X) KARŞI OY :
Dosyanın incelenmesinden, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak bayi ve çağrı merkezlerinde kişisel bilgilerin gizliliğinin korunmasına ve güvenliğinin sağlanmasına ilişkin yeterli önlemlerin alınmaması sebebiyle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. maddesi ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ve Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32 ile 34. maddeleri uyarınca davacı şirkete 2012 yılı net satışlarının %0,02'si oranında idari para cezası uygulanmasına ilişkin … tarih ve … sayılı …'nun yazısı ile bildirilen …'nun … tarih ve … numaralı kararının 4. maddesi ile … tarih ve … sayılı işlem ile bildirilen idari para cezası tutanağının iptali istemiyle bakılan davanın açıldığı, İdare Mahkemesince davanın reddine karar verildiği anlaşılmaktadır.
05/09/2004 tarih ve 25574 sayılı Resmî Gazete'de yayımlanan mülga Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin "Hüküm Bulunmayan Hâller" başlıklı 34. maddesinde, "Bu Yönetmelikte düzenlenmemiş olmakla birlikte, işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde Kurul kararına göre işlem yapılır." kuralı yer almıştır.
Anılan Yönetmeliğin 34. maddesinin dava konusu işleme esas alınması hukuka aykırıdır. Şöyle ki;
5326 sayılı Kabahatler Kanunu’nun “Kanunîlik İlkesi” başlıklı 4. maddesinde, hangi fiillerin kabahat oluşturduğu kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriğinin, idarenin genel ve düzenleyici işlemleriyle de doldurulabileceği, kabahat karşılığı olan yaptırımların türü, süresi ve miktarının ancak kanunla belirlenebileceği kurala bağlanmıştır.
Hukukî güvenlik ilkesi, hukuk normlarının öngörülebilir olmasını, belirlilik ilkesi ise yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olmasını ifade etmektedir.
Yönetmeliğin 34. maddesinin incelenmesinden, yönetmelikte düzenlenmemiş olmakla birlikte işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde "Kurul kararına" göre işlem yapılacağına yer verilmek suretiyle, mevzuatta tanımlanmamış, ancak Kurulun mevzuat ve yetki belgesi şartlarına aykırı göreceği bir fiil gerçekleştiği takdirde idari yaptırım uygulanmasının amaçlandığı anlaşılmakta olup, bu durum ise kanunîlik, hukukî güvenlik ve belirlilik ilkelerine aykırılık teşkil edecektir.
Bu itibarla, anılan Yönetmeliğin 34. maddesi dayanak alınarak tesis edilen işlemde hukuka uygunluk bulunmamaktadır.
Diğer yandan, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendinde belirtilen kişisel verilerin güvenliği ve bunlara yapılacak müdahalelerin önlenmesi Anayasa'da belirtilen özel hayatın gizliliğinin ve haberleşme hürriyetinin sağlanmasının bir gereği olduğu ve bu hususta elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin de yükümlülüklerinin ve alması gereken tedbirler olduğunda kuşku bulunmamakla birlikte, kişisel verilerin güvenliği ve bunlara yapılacak müdahalelerin önlenmesi konusunda alınması gereken tedbirlerin çok geniş bir yelpazeyi kapsayabileceği gibi, işletmecilerden birisi tarafından alınmış bir tedbirin diğer işletici tarafından uygulanmasının teknolojik alt yapılarındaki farklılıklara bağlı olarak mümkün olmayabileceği, kişisel verilerin korunmasının sadece işletmecilerin inisiyatifine bırakılamayacak kadar hassas bir konu olduğu da dikkate alındığında Anayasa'da ve 5809 sayılı Kanun ile anılan Yönetmelikte belirtilen amacın gerçekleşmesine yönelik olarak davalı idarece hangi kişisel verilerin/abone bilgilerinin korunacağı, bu veri/bilgilerin korunmasına/gizliliğinin sağlanmasına ilişkin idari ve teknolojik tedbirlerinin neler olduğu ve bu tedbirlerin ne şekilde alınacağı ve bu konularda işletmecilerce oluşturulması gereken alt yapıya ilişkin olarak bir usul ve esas belirlenmediği sürece, işletmecilerce teknolojik alt yapılarının yeterliliği oranında gizliliğin korunmasına yönelik tedbirler alınmış olduğu iddia edilmiş ve buna yönelik çeşitli belgeler sunulmuş olsa bile, bu tedbirlerin tamamının nelerden oluştuğunu bilemeyen ilgili işletmeciye idarî para cezası yaptırımı uygulanmasına engel oluşturmayacağı, zira Yönetmeliğin 19. maddesi, işletmecilere her türlü tedbiri alma, altyapı ve sistemlerinde teknolojik uyumu sağlama yükümlülüğü getirmekle birlikte, bunun hangi tedbirler olduğu konusunda bir usul ve esas belirlememekte ve buna ilişkin açıklama getirmemektedir.
Uyuşmazlıkta, 5809 sayılı Kanun'un 51. maddesindeki yeni ve eski düzenlemelerin davalı idareye elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme konusunda yetki ve sorumluluk verdiği ve anılan Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendindeki düzenlemenin Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceği dikkate alındığında, herhangi bir usul ve esas belirlemeksizin davacı şirkete, kişisel verilerin korunmasına ilişkin olarak gerekli tedbirleri almadığı ve bu fiilin Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesine aykırı olduğundan bahisle idarî para cezası verilmesine ilişkin Kurul kararında hukuka uygunluk bulunmamaktadır.
Bu itibarla, hem Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 34. maddesi dayanak alınarak idari para cezası tesis edilemeyeceğinden hem de Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendindeki düzenlemenin 5809 sayılı Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceğinden, Mahkeme kararının bozulmasına karar verilmesi gerektiği oyu ile karara katılmıyorum.