1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, 6698 sayılı Kanun’un yaptırım rejiminin en dinamik ve uygulamada en çok uyuşmazlık doğuran "İdari Yaptırımlar" sütununu teşkil etmektedir. Kanun koyucu, kişisel veri koruma kurallarının kâğıt üzerinde kalmasını engellemek ve veri sorumlularını yüksek düzeyli veri güvenliği standartlarına zorlamak amacıyla son derece caydırıcı idari para cezaları öngörmüştür. Madde 18, özü itibariyle idari ceza hukuku karakterine sahip olup, 5326 sayılı Kabahatler Kanunu’nun genel ilkelerine tabidir.
2024 yılında yürürlüğe giren 7499 sayılı Kanun, Madde 18 üzerinde iki köklü reform yapmıştır:
- Standart Sözleşme Bildirimi Yükümlülüğü İhlali (m. 18/1-d): Yurt dışına veri aktarımında kullanılan standart sözleşmelerin 5 iş günü içinde Kurul’a bildirilmemesi eylemi bağımsız bir kabahat olarak eklenmiştir.
- Yargı Yolu Değişikliği (m. 18/3): Kurul kararlarına karşı o güne dek Sulh Ceza Hâkimliklerine yapılan itiraz usulü tamamen terk edilmiş; itiraz merci doğrudan İdare Mahkemeleri olarak değiştirilmiştir. Bu değişiklik, veri koruma hukukunun idare hukuku karakterini tescillemiştir.
2. Maddedeki Kavramların Analizi
Yükümlülük İhlalleri ve Temel Cezalar (m. 18/1):
- Aydınlatma Yükümlülüğünün İhlali (a bendi): Kanunun en çok ihlal edilen hükmüdür. Aktif bir rıza veya veri işleme şartı olsa dahi, veri sahibine aydınlatma yapılmaması bağımsız bir kabahattir.
- Veri Güvenliğine İlişkin İhlaller (b bendi): Teknik ve idari tedbirlerin alınmaması, sızmalar, yetkisiz erişimler veya zamanında veri ihlali bildirimi (72 saat kuralı) yapılmaması bu kapsamda değerlendirilir.
- Kurul Kararlarına Uymama (c bendi): Kurul’un şikayet üzerine veya resen verdiği talimat, durdurma veya silme kararlarının yerine getirilmemesidir. Kurul’un otoritesini koruyan en ağır yaptırımdır.
- VERBİS Kayıt Yükümlülüğünün İhlali (ç bendi): Sicile kayıt şartlarını taşıdığı halde süresi içinde kayıt yaptırmayan veri sorumlularına uygulanır.
- Standart Sözleşme Bildirim İhlali (d bendi): Yurt dışına veri aktarımı yapan veri sorumluları ve veri işleyenlerin, imzaladıkları standart sözleşmeleri 5 iş günü içinde Kurul’a bildirmeme durumunda doğrudan uygulanan yaptırımdır.
Cezaların Muhatapları (m. 18/2):
Genel kural olarak, KVKK kapsamındaki idari para cezaları doğrudan veri sorumlusu olan özel hukuk tüzel kişisine (şirket, vakıf, dernek) veya gerçek kişiye kesilir; tüzel kişinin yöneticisine veya personeline şahsi olarak idari para cezası kesilemez. Ancak 7499 sayılı reformla eklenen d bendi (Standart Sözleşme Bildirimi) bu genel kuralın tek istisnasıdır. Yurt dışı aktarımlarında standart sözleşmeyi bildirmeyen "veri işleyen" (iş ortağı, alt yüklenici, SaaS sağlayıcısı vb.) gerçek ve özel hukuk tüzel kişileri de doğrudan idari para cezasının muhatabı olabilmektedir.
Yeniden Değerleme Oranı (YDO) ve Güncel Ceza Tutarları:
Kanun metninde yazan tutarlar 2016 yılına aittir. 5326 sayılı Kabahatler Kanunu m. 17/7 uyarınca, idari para cezaları her yıl Vergi Usul Kanunu uyarınca ilan edilen Yeniden Değerleme Oranında artırılır. 2026 yılı itibarıyla, kanundaki limitler yaklaşık 45 ila 50 kat oranında artmış olup; 20.000 TL'lik bir VERBİS ihlalinin alt sınırı dahi yüz binlerce Türk Lirasına, 1.000.000 TL'lik üst sınırlar ise 10.000.000 TL'ye (On Milyon Türk Lirası) yaklaşmış veya aşmıştır. Bu durum yaptırımların şirketler için finansal yıkım riski taşıdığını göstermektedir.
Görevli Mahkeme: İdare Mahkemeleri (m. 18/3):
7499 sayılı Kanun öncesinde Kurul kararlarına karşı Sulh Ceza Hâkimliklerine başvurulmaktaydı. Ancak uzmanlık eksikliği ve usul hukuku farklılıkları nedeniyle bu yol tıkanıklıklara yol açmıştı. 1 Haziran 2024 tarihinden itibaren Kurul kararlarına karşı 30 gün içinde yetkili idare mahkemelerinde iptal ve tam yargı davası açılması usulü getirilmiştir. Bu davalarda idari işlemin yürütülmesinin durdurulması (İYUK m. 27) talep edilebilmektedir.
Kamu Kurumları ve Meslek Kuruluşları İstisnası (m. 18/4):
Kamu yararı ve bütçe tekliği ilkesi gereğince, kamu kurumlarına (bakanlıklar, belediyeler, üniversiteler) ve kamu kurumu niteliğindeki meslek kuruluşlarına (barolar, ticaret odaları) idari para cezası uygulanamaz. Bu kurumlarda bir ihlal tespit edildiğinde Kurul, durumu ilgili kuruma bildirir. Kurum, kusurlu memurlar veya kamu görevlileri hakkında disiplin hükümlerine göre işlem tesis etmek ve sonucunu Kurul’a bildirmek zorundadır.
3. Sistematik İlişkiler
Madde 18; Kanunun aydınlatmayı düzenleyen 10. maddesiyle, veri güvenliğini düzenleyen 12. maddesiyle, yurt dışı aktarımı düzenleyen 9. maddesiyle ve Kurul'un araştırma/inceleme yetkilerini düzenleyen 15. maddesiyle doğrudan bağlantılı bir "mütemmim cüz"dür. Ceza hukuku boyutuyla m. 17 (Suçlar) ile paralellik taşır; zira aynı eylem hem idari para cezasına hem de adli yargıda hapis cezasına konu olabilir.
4. Uygulama: Kişisel Verileri Koruma Kurulu (KVKK) Kararları
- Büyük Veri İhlali Cezaları: KVKK, veri sızıntılarına karşı son derece katı bir yaklaşım sergilemektedir. Özellikle büyük e-ticaret platformları, bankalar ve otel zincirlerinde yaşanan veri sızıntısı bildirimlerinde, sızıntının geç bildirilmesi veya gerekli siber güvenlik (sızma testi, MFA, yetki matrisi vb.) altyapısının kurulmaması nedeniyle Kurul, üst sınıra yakın (milyonlarca liralık) idari para cezaları tesis etmektedir.
- Aydınlatma Metninin Hukuka Aykırı Şekilde Açık Rıza ile Karıştırılması: Kurul'un istikrarlı kararlarına göre; aydınlatma metninin içinde "açık rıza veriyorum" şeklinde onay kutucukları bulundurmak veya aydınlatmayı açık rıza verme şartına bağlamak doğrudan aydınlatma yükümlülüğünün ihlali kabul edilerek m. 18/1-a uyarınca cezalandırılmaktadır.
5. Pratik Örnek Olaylar
Örnek 1 (Standart Sözleşme Bildirim İhmali):
Türkiye’de faaliyet gösteren e-ticaret firması E, bulut veri tabanı hizmeti aldığı Almanya merkezli bir SaaS sağlayıcısı ile 7499 sayılı Kanun sonrası yeni usule uygun olarak bir "Standart Sözleşme" (SCC) imzalamıştır. Ancak firma E, bu sözleşmeyi imza tarihinden itibaren 5 iş günü içinde KVKK'ya bildirmeyi unutmuş ve 30 gün sonra sisteme yüklemiştir. KVKK tarafından yapılan incelemede, sözleşme içeriği kusursuz olsa dahi, 5 iş günlük yasal bildirim süresi aşıldığı için firma E hakkında m. 18/1-d uyarınca idari para cezası uygulanmıştır.
Örnek 2 (Kamu Kurumunda İhlal):
Bir devlet üniversitesinin öğrenci işleri personeli P, tüm öğrencilerin not dökümlerini ve T.C. kimlik numaralarını içeren bir listeyi yanlışlıkla okulun kamuya açık web sitesinde yayımlamıştır. Şikayet üzerine inceleme yapan Kurul, üniversite bir kamu tüzel kişisi olduğu için para cezası kesememiştir. Kurul, ihlali tespit ederek üniversite rektörlüğüne bildirimde bulunmuştur. Rektörlük, personel P hakkında 657 sayılı DMK uyarınca disiplin soruşturması başlatmış, P’ye maaştan kesme cezası verilmiş ve bu karar Kurul’a raporlanmıştır.
6. Pratik Uygulama Notları
- Sürelerin Takibi: Yurt dışına veri aktarımı amacıyla imzalanan Standart Sözleşmelerin (SCC) yürürlüğe girdiği andan itibaren 5 iş günlük bildirim süresi son derece kısıtılıdır. Hukuk departmanları ve KVKK danışmanları bu süreyi aşmamak için imza süreçlerini çok sıkı takip etmelidir.
- İdare Mahkemesine Başvuru Süresi ve Yürütmenin Durdurulması: Kurul kararlarına karşı açılacak davalarda hak düşürücü süre 30 gündür. İdari para cezasının tahsili amacıyla hemen ödeme emri düzenlenebileceğinden, dava dilekçesinde mutlaka "Yürütmenin Durdurulması" talep edilmeli, teminat mukabilinde veya teminatsız olarak cezanın tahsilatı dava sonuna kadar askıya alınmalıdır. Ayrıca Kabahatler Kanunu m. 17 uyarınca, cezanın tebliğinden itibaren dava açma süresi içinde 3/4 oranında erken ödeme indirimi hakkı kullanılabilir. Erken ödeme yapmak, dava açma hakkını ortadan kaldırmaz.
7. Eleştirel Değerlendirme
- Kamu-Özel Sektör Eşitsizliği: Madde 18/4 ile kamu kurumlarına para cezası verilememesi, anayasal "hukuk devleti" ve "eşitlik" ilkeleri açısından doktrinde ciddi şekilde eleştirilmektedir. Kamuda milyonlarca vatandaşın verisi işlenmekte ve büyük sızıntılar yaşanmaktadır. Özel sektöre kesilen milyonlarca liralık cezaların yanında, kamu kurumlarında sadece memurlara verilen hafif disiplin cezaları (uyarma, kınama), kamusal veri güvenliği bilincinin gelişmesini yavaşlatmakta ve veri sahipleri açısından hak arama hürriyetini zedelemektedir. Kurul'un kamu kurumlarına karşı yaptırım gücünü artıracak yasal düzenlemeler yapılması elzemdir.
Metodolojik Not
Bu akademik yorum ve analiz; 6698 sayılı Kanun’un 18. maddesinde düzenlenen idari para cezalarını, kabahatler hukukunun temel prensiplerini, 7499 sayılı Kanun ile getirilen idare mahkemesi yargı yolunu, Standart Sözleşme bildirim yükümlülüğünü ve kamu kurumlarının cezasızlık/disiplin rejimini güncel Yargıtay, Danıştay ve Kişisel Verileri Koruma Kurulu kararları ışığında Av. Fethi Güzel'in veri koruma hukuku ve idari yargı alanındaki derin uzmanlığıyla ele almaktadır.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, 6698 sayılı Kanun’un yaptırım rejiminin en dinamik ve uygulamada en çok uyuşmazlık doğuran "İdari Yaptırımlar" sütununu teşkil etmektedir. Kanun koyucu, kişisel veri koruma kurallarının kâğıt üzerinde kalmasını engellemek ve veri sorumlularını yüksek düzeyli veri güvenliği standartlarına zorlamak amacıyla son derece caydırıcı idari para cezaları öngörmüştür. Madde 18, özü itibariyle idari ceza hukuku karakterine sahip olup, 5326 sayılı Kabahatler Kanunu’nun genel ilkelerine tabidir.
2024 yılında yürürlüğe giren 7499 sayılı Kanun, Madde 18 üzerinde iki köklü reform yapmıştır:
2. Maddedeki Kavramların Analizi
Yükümlülük İhlalleri ve Temel Cezalar (m. 18/1):
Cezaların Muhatapları (m. 18/2): Genel kural olarak, KVKK kapsamındaki idari para cezaları doğrudan veri sorumlusu olan özel hukuk tüzel kişisine (şirket, vakıf, dernek) veya gerçek kişiye kesilir; tüzel kişinin yöneticisine veya personeline şahsi olarak idari para cezası kesilemez. Ancak 7499 sayılı reformla eklenen d bendi (Standart Sözleşme Bildirimi) bu genel kuralın tek istisnasıdır. Yurt dışı aktarımlarında standart sözleşmeyi bildirmeyen "veri işleyen" (iş ortağı, alt yüklenici, SaaS sağlayıcısı vb.) gerçek ve özel hukuk tüzel kişileri de doğrudan idari para cezasının muhatabı olabilmektedir.
Yeniden Değerleme Oranı (YDO) ve Güncel Ceza Tutarları: Kanun metninde yazan tutarlar 2016 yılına aittir. 5326 sayılı Kabahatler Kanunu m. 17/7 uyarınca, idari para cezaları her yıl Vergi Usul Kanunu uyarınca ilan edilen Yeniden Değerleme Oranında artırılır. 2026 yılı itibarıyla, kanundaki limitler yaklaşık 45 ila 50 kat oranında artmış olup; 20.000 TL'lik bir VERBİS ihlalinin alt sınırı dahi yüz binlerce Türk Lirasına, 1.000.000 TL'lik üst sınırlar ise 10.000.000 TL'ye (On Milyon Türk Lirası) yaklaşmış veya aşmıştır. Bu durum yaptırımların şirketler için finansal yıkım riski taşıdığını göstermektedir.
Görevli Mahkeme: İdare Mahkemeleri (m. 18/3): 7499 sayılı Kanun öncesinde Kurul kararlarına karşı Sulh Ceza Hâkimliklerine başvurulmaktaydı. Ancak uzmanlık eksikliği ve usul hukuku farklılıkları nedeniyle bu yol tıkanıklıklara yol açmıştı. 1 Haziran 2024 tarihinden itibaren Kurul kararlarına karşı 30 gün içinde yetkili idare mahkemelerinde iptal ve tam yargı davası açılması usulü getirilmiştir. Bu davalarda idari işlemin yürütülmesinin durdurulması (İYUK m. 27) talep edilebilmektedir.
Kamu Kurumları ve Meslek Kuruluşları İstisnası (m. 18/4): Kamu yararı ve bütçe tekliği ilkesi gereğince, kamu kurumlarına (bakanlıklar, belediyeler, üniversiteler) ve kamu kurumu niteliğindeki meslek kuruluşlarına (barolar, ticaret odaları) idari para cezası uygulanamaz. Bu kurumlarda bir ihlal tespit edildiğinde Kurul, durumu ilgili kuruma bildirir. Kurum, kusurlu memurlar veya kamu görevlileri hakkında disiplin hükümlerine göre işlem tesis etmek ve sonucunu Kurul’a bildirmek zorundadır.
3. Sistematik İlişkiler
Madde 18; Kanunun aydınlatmayı düzenleyen 10. maddesiyle, veri güvenliğini düzenleyen 12. maddesiyle, yurt dışı aktarımı düzenleyen 9. maddesiyle ve Kurul'un araştırma/inceleme yetkilerini düzenleyen 15. maddesiyle doğrudan bağlantılı bir "mütemmim cüz"dür. Ceza hukuku boyutuyla m. 17 (Suçlar) ile paralellik taşır; zira aynı eylem hem idari para cezasına hem de adli yargıda hapis cezasına konu olabilir.
4. Uygulama: Kişisel Verileri Koruma Kurulu (KVKK) Kararları
5. Pratik Örnek Olaylar
Örnek 1 (Standart Sözleşme Bildirim İhmali): Türkiye’de faaliyet gösteren e-ticaret firması E, bulut veri tabanı hizmeti aldığı Almanya merkezli bir SaaS sağlayıcısı ile 7499 sayılı Kanun sonrası yeni usule uygun olarak bir "Standart Sözleşme" (SCC) imzalamıştır. Ancak firma E, bu sözleşmeyi imza tarihinden itibaren 5 iş günü içinde KVKK'ya bildirmeyi unutmuş ve 30 gün sonra sisteme yüklemiştir. KVKK tarafından yapılan incelemede, sözleşme içeriği kusursuz olsa dahi, 5 iş günlük yasal bildirim süresi aşıldığı için firma E hakkında m. 18/1-d uyarınca idari para cezası uygulanmıştır.
Örnek 2 (Kamu Kurumunda İhlal): Bir devlet üniversitesinin öğrenci işleri personeli P, tüm öğrencilerin not dökümlerini ve T.C. kimlik numaralarını içeren bir listeyi yanlışlıkla okulun kamuya açık web sitesinde yayımlamıştır. Şikayet üzerine inceleme yapan Kurul, üniversite bir kamu tüzel kişisi olduğu için para cezası kesememiştir. Kurul, ihlali tespit ederek üniversite rektörlüğüne bildirimde bulunmuştur. Rektörlük, personel P hakkında 657 sayılı DMK uyarınca disiplin soruşturması başlatmış, P’ye maaştan kesme cezası verilmiş ve bu karar Kurul’a raporlanmıştır.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz; 6698 sayılı Kanun’un 18. maddesinde düzenlenen idari para cezalarını, kabahatler hukukunun temel prensiplerini, 7499 sayılı Kanun ile getirilen idare mahkemesi yargı yolunu, Standart Sözleşme bildirim yükümlülüğünü ve kamu kurumlarının cezasızlık/disiplin rejimini güncel Yargıtay, Danıştay ve Kişisel Verileri Koruma Kurulu kararları ışığında Av. Fethi Güzel'in veri koruma hukuku ve idari yargı alanındaki derin uzmanlığıyla ele almaktadır.