Denetim Yetkisi Ölçüsüz Kullanılamaz: Haber Sitesi ve Kamu Kurumuna KVKK Tokadı (Karar: 2020/196)
Kişisel Verileri Koruma Kurulu (Kurul), 03/03/2020 tarihli bu kararıyla, kamu kurumlarının sahip olduğu “denetim ve soruşturma” yetkisinin, KVKK’nın temel ilkelerini (özellikle ölçülülük) çiğnemek için bir “açık çek” olmadığını tescil etmiştir. Karar, hem veri talep eden kamu kurumuna hem de sorgusuz sualsiz tüm verileri teslim eden özel şirkete ders niteliğindedir.
1. Olayın Özeti: Soruşturma Bahanesiyle Tüm IP’lerin İfşası
Olay: Bir kamu kurumu, bir internet sitesinde yayımlanan bir haberin altındaki yorumlarla ilgili idari soruşturma başlatır. Kurumun denetçileri, ilgili haber sitesinden (veri sorumlusu) haberin altına yapılan tüm yorumları ve yorum yapan herkesin IP adreslerini talep eder. Haber sitesi, hiçbir ayıklama yapmadan tüm listeyi kamu kurumuna teslim eder. Bu listede yer alan bir çalışan, kendi kurumunda soruşturmaya maruz kalınca KVKK ihlali iddiasıyla şikayetçi olur.
2. Kurulun Hukuki Değerlendirmesi: “Yetki Var Ama Sınır da Var”
Kurul, veri aktarımını iki veri sorumlusu (Haber Sitesi ve Kamu Kurumu) açısından ayrı ayrı analiz etmiştir:
A. Aktarımın Hukuki Dayanağı (Md. 5 ve 8)
- Kamu Kurumu Açısından: 375 sayılı KHK uyarınca denetçilerin bilgi ve belge talep etme yetkisi vardır. Bu durum, KVKK Madde 5/2-a (“Kanunlarda açıkça öngörülme”) kapsamındadır.
- Haber Sitesi Açısından: Kamu kurumunun yasal talebine cevap vermek, veri sorumlusunun “hukuki yükümlülüğüdür” (Md. 5/2-ç).
B. Ölçülülük İlkesinin İhlali (Md. 4)
İşte cezanın geldiği nokta burasıdır: KVKK Madde 4 uyarınca tüm veri işleme faaliyetleri “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü” olmalıdır.
- Hata: Soruşturma sadece belirli yorumlar veya kişilerle ilgiliyken, haber sitesinin hiç ilgisi olmayan tüm kullanıcıların IP adreslerini ve yorumlarını teslim etmesi ölçülülük ilkesine aykırıdır.
- Sonuç: Amacı aşan, ihtiyaç duyulmayan verilerin aktarılması “hukuka aykırı veri işleme” faaliyetidir.
3. Karar Sonucu: 50.000 TL Ceza ve İmha Talimatı
Kurul inceleme neticesinde şu yaptırımlara hükmetmiştir:
- Haber Sitesine Ceza: Soruşturma konusu olmayan üçüncü kişilerin verilerini de aktararak ölçülülük ilkesini ihlal ettiği ve veri güvenliğini (Md. 12) sağlayamadığı gerekçesiyle 50.000 TL (2020 yılı değeri) idari para cezası uygulanmasına,
- Kamu Kurumuna Talimat: Denetim faaliyetlerinde KVKK ilkelerine (özellikle ölçülülük) azami özen gösterilmesi konusunda uyarılmasına; ayrıca dosyada bulunan ancak soruşturmayla ilgisi olmayan üçüncü kişilere ait verilerin derhal silinmesi/yok edilmesine karar verilmiştir.
4. Özgür Eralp Perspektifi: “Resmi Yazı Geldi Diye Panikle Veri Saçılmaz”
Bilişim hukuku alanındaki tecrübemizde, özel şirketlerin kamu kurumlarından gelen bir “Müfettiş/Denetçi” yazısı karşısında paniğe kapılıp tüm veri tabanını teslim ettiğini görüyoruz. Bu karar, “Hukuki yükümlülüğüm var, ne isterlerse veririm” mantığının yanlış olduğunu gösteriyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Kamu kurumu sizden veri istediğinde, bu talebin kapsamını ve amacını sorgulamalısınız. Eğer talep “tüm kayıtlar” gibi ucu açık bir ifade içeriyorsa, veri sorumlusu olarak sizin göreviniz sadece soruşturma konusuyla sınırlı olan kısmı ayıklayıp vermektir. Aksi takdirde, devletin denetim yetkisi ile vatandaşın mahremiyeti arasındaki kalkan sizsiniz; o kalkan delinirse faturayı (bu kararda olduğu gibi) siz ödersiniz.
Sıkça Sorulan Sorular
1. Bir haber sitesine yorum yaparsam IP adresim devlet kurumlarına verilebilir mi?
Evet, hakkınızda bir adli veya idari soruşturma varsa ilgili kurumlar bu veriyi yasal yetkileriyle isteyebilir. Ancak bu yetki, sadece “sizinle” sınırlı olmalı; tüm yorum yapanları kapsamamalıdır.
2. IP adresi kişisel veri midir?
Kesinlikle evet. IP adresi, bir kişiyi (veya kullanılan cihazı) belirli veya belirlenebilir kılan önemli bir kişisel veridir.
3. Haber sitesi “Devlet istedi, mecburdum” diyerek cezadan kurtulabilir mi?
Hayır. Kurul bu kararda açıkça belirtmiştir: Vermekle yükümlüsün ama sadece istenen ve gerekli olanı vermekle yükümlüsün. Gereksiz veriyi de pakete eklerseniz suçlu duruma düşersiniz.
4. Kamu kurumları da KVKK cezası alır mı?
Kamu kurumlarına “idari para cezası” kesilmez; ancak Kurul bu kurumlar hakkında disiplin hükümleri uygulanması için ilgili mercilere bildirimde bulunur ve “talimat” vererek hukuka aykırılığın giderilmesini sağlar.
5. 50.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki bu tutar, günümüzde (2026) çok daha ciddi maliyetlere ve şirket için prestij kaybına karşılık gelmektedir.
Kaynaklar
- KVKK Kurumu – 2020/196 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 5, 8, 12)
- 375 Sayılı KHK (Ek Madde 24)
Etiketler
KVKK, Kamu Kurumu Denetimi, Ölçülülük İlkesi, IP Adresi İfşası, İdari Soruşturma, İdari Para Cezası, 2020/196 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Aktarımı, Denetçi Yetkisi, Sınırlı ve Ölçülü İşleme
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),