1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, Kişisel Verileri Koruma Kurumu’nun (Kurum) mali özerkliğinin maddi zeminini, bütçe hazırlama usullerini ve yasal gelir kaynaklarını düzenleyen "Mali Teşkilat ve Bütçe" normudur. Bağımsız idari otoritelerin (BİO) en hayati bağımsızlık güvencelerinden biri **"mali özerklik"**tir. Yürütme organının veya siyasi iktidarın bütçe kesintileri yoluyla Kurum’u terbiye etmesini veya faaliyetlerini durdurmasını engellemek amacıyla, Kurum’a kendi bütçesini hazırlama ve yönetme yetkisi verilmiştir.
Madde, Kurum’u genel bütçe içinde 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu'nun özel bir kategorisine tabi tutmakta ve gelir kaynaklarını sınırlı sayıda (numerus clausus) belirlemektedir.
2. Maddedeki Kavramların Analizi
5018 Sayılı Kanun Kapsamında "III Sayılı Cetvel" Statüsü (m. 29/1):
Kurum bütçesi, 5018 sayılı Kanun’un eki olan "Düzenleyici ve Denetleyici Kurumlar" (III Sayılı Cetvel) başlığı altında yer alır. Bu cetveldeki kurumlar (SPK, BDDK, Rekabet Kurumu, BTK vb.) genel bütçeli dairelerden ve bakanlıklardan farklı olarak çok özel bir mali özerklik rejimine tabidirler:
- Doğrudan Savunma: Kurum bütçe teklifini hazırlar, bu teklif doğrudan TBMM Plan ve Bütçe Komisyonu’na sunulur ve Kurum Başkanı tarafından komisyonda bizzat savunulur. Araya herhangi bir bakanlığın (örn. Adalet Bakanlığı) bütçe kısıntısı filtreleme yetkisi giremez.
- Harcama Serbestisi: Kabul edilen bütçe ödeneklerinin harcanmasında Kurum, 5018 sayılı Kanun’daki sıkı denetim kurallarına tabi olmakla birlikte, harcama önceliklerini belirlemede tam yetkilidir.
Gelir Kaynakları ve Hazine Yardımları (m. 29/2):
Kurum’un en önemli gelir kalemi **"Genel bütçeden yapılacak hazine yardımları"**dır. Kurum, diğer bazı BİO'lar (örn. SPK’nın şirket ihraçlarından aldığı ücretler veya BDDK’nın bankalardan aldığı paylar) gibi denetlediği sektörlerden doğrudan "harç" veya "katılım payı" alamaz. Bu durum, veri koruma gibi tamamen kamu düzenine ve insan haklarına ilişkin bir alanın ticari nitelik kazanmasını engeller. Kurum tamamen kamusal kaynaklarla finanse edilir.
İdari Para Cezalarının Durumu (En Kritik Hukuki Tasarım):
Maddede Kurum’un gelirleri arasında "idari para cezaları" (m. 18) yer almamaktadır. Bu durum, Türk veri koruma rejiminin en etik ve isabetli tasarım kararlarından biridir. Kurul’un kestiği milyonlarca liralık idari para cezaları doğrudan Devlet Hazinesi’ne (Genel Bütçe’ye) gelir kaydedilir, Kurum’un kasasına girmez.
Eğer cezalar Kurum’un kendi geliri olsaydı, Kurul’un bütçesini büyütmek veya personeline prim dağıtmak amacıyla tarafsızlığını yitirerek şirketlere keyfi ve agresif cezalar kesmesi gibi ağır bir "çıkar çatışması" (conflict of interest) riski doğardı. Yasa koyucu bu riski tamamen elimine etmiştir.
Bağış ve Yardımlar (m. 29/2-c):
Kurum bağış ve yardım kabul edebilir. Ancak bağımsızlık ilkesi gereği, denetlenen özel hukuk tüzel kişilerinden (örn. holdingler, bankalar, teknoloji devleri) bağış alınması etik olarak imkansızdır. Bu bent pratik olarak ancak Avrupa Birliği fonları, BM projeleri veya uluslararası kamu kuruluşlarından alınan proje bazlı hibeleri ve yardımları kapsar.
3. Sistematik İlişkiler
Madde 29; Anayasa’nın 161. (Bütçenin hazırlanması ve uygulanması) maddesiyle ve 5018 sayılı Kamu Mali Yönetimi Kanunu ile doğrudan entegredir. Kanun kapsamında ise m. 19 (Kurum kuruluşu), m. 25 (Başkanlık teşkilatı/mali hizmetler birimi) ve m. 31 (bütçe onay yetkisi) ile doğrudan ilişkilidir.
4. Uygulama ve Sayıştay Denetimi
- Sayıştay Denetimine Tabi Olma: Kurum’un mali ve idari özerkliğe sahip olması, denetimsiz olduğu anlamına gelmez. Kurum’un tüm harcamaları, gelirleri ve bütçe uygulamaları her yıl T.C. Sayıştay Başkanlığı tarafından dış denetime tabi tutulur. Sayıştay denetçileri, Kurum’un harcamalarının 5018 sayılı Kanun’a ve kamu ihale mevzuatına uygunluğunu denetler ve hazırlanan Sayıştay Raporları kamuoyuna açıklanır.
- Bütçe Yetersizliği Durumu: Kurum’un harcamalarının hazine yardımını aşması durumunda, bütçe kanunundaki yedek ödeneklerden veya ek bütçe kanunuyla Kurum’a ek hazine yardımı aktarılması mümkündür.
5. Pratik Örnek Olaylar
Örnek 1 (Bir Şirketin Bağış Teklifi):
Büyük bir veri analitiği şirketi, Kurum’a veri koruma farkındalığı projelerinde kullanılmak üzere 5.000.000 TL değerinde son teknoloji sunucu ve yazılım bağışlamak istemiştir. Kurum, m. 29/2-c’deki bağış yetkisine sahip olmakla birlikte; ilgili şirketin Kurum’un doğrudan denetim alanında olması ve ileride hakkında yapılacak bir incelemede "tarafsızlık" ilkesinin zedelenmesi riskinin bulunması nedeniyle, bu bağış teklifini etik kurul kararıyla redderek iade etmiştir.
Örnek 2 (Ceza Geliri ile Bütçe Ayrımı):
Kurul, bir bankaya veri sızıntısı nedeniyle 2026 yılı güncel değerleriyle 5.000.000 TL idari para cezası uygulamıştır. Banka bu cezayı ödediğinde, para Kurum’un Ankara’daki banka hesabına değil, doğrudan Vergi Dairesi aracılığıyla Hazine ve Maliye Bakanlığı’nın genel bütçe hesabına aktarılmıştır. Kurum, bu büyük cezadan 1 TL dahi kendi operasyonel harcamalarında kullanamamış, kendi harcamalarını TBMM tarafından onaylanan yıllık bütçe ödenekleri dahilinde yapmaya devam etmiştir.
6. Pratik Uygulama Notları
- İdari Para Cezası Ödeme Yeri: Şirketler veya gerçek kişiler, Kurul tarafından kesilen idari para cezalarını doğrudan Kurum’a ödemezler. Cezalar, tebliğ edilen karardaki vergi kimlik numarası üzerinden Vergi Dairelerine veya yetkilendirilmiş bankalara "Devlet Geliri" olarak ödenir. Kurum'a sadece ödeme dekontunun gönderilmesi, cezanın infaz edildiğinin kayıtlara geçmesi açısından yeterlidir.
7. Eleştirel Değerlendirme
- Finansal Kaynak Yetersizliği ve Teknoloji Yatırımları: Kurum’un sadece hazine yardımına ve kısıtlı bütçe ödeneklerine mahkûm olması, yapay zeka denetim sistemleri, siber güvenlik laboratuvarları ve büyük veri analiz yazılımları gibi son derece pahalı teknolojik altyapı yatırımlarını yapmasını zorlaştırmaktadır. Yurt dışındaki bazı otoriteler (örn. İngiltere ICO), veri sorumlularından yıllık büyüklüklerine göre küçük bir "veri koruma harcı" (data protection fee) toplamakta ve bu doğrudan otoritenin bütçesine aktarılmaktadır. Türkiye'de de VERBİS'e kayıtlı büyük holdinglerden alınacak çok cüzzi bir "yıllık sicil katılım ücreti" benzeri bir gelir kalemi ihdas edilmesi, Kurum’un teknolojik denetim gücünü artırmak adına gelecekte tartışılabilecek faydalı bir mali reformdur.
Metodolojik Not
Bu akademik yorum ve analiz; Kişisel Verileri Koruma Kurumu’nun mali özerklik rejimini, 5018 sayılı Kanun’un III Sayılı Cetveli kapsamındaki statüsünü, idari para cezalarının Hazineye aktarılmasının etik/hukuki gerekçelerini ve gelir kaynaklarının sınırlarını 6698 sayılı Kanun’un 29. maddesi ve kamu maliyesi teorisi çerçevesinde Av. Fethi Güzel'in kamu maliyesi ve regülasyon hukuku alanındaki ödünsüz akademik perspektifiyle tahlil etmektedir.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, Kişisel Verileri Koruma Kurumu’nun (Kurum) mali özerkliğinin maddi zeminini, bütçe hazırlama usullerini ve yasal gelir kaynaklarını düzenleyen "Mali Teşkilat ve Bütçe" normudur. Bağımsız idari otoritelerin (BİO) en hayati bağımsızlık güvencelerinden biri **"mali özerklik"**tir. Yürütme organının veya siyasi iktidarın bütçe kesintileri yoluyla Kurum’u terbiye etmesini veya faaliyetlerini durdurmasını engellemek amacıyla, Kurum’a kendi bütçesini hazırlama ve yönetme yetkisi verilmiştir.
Madde, Kurum’u genel bütçe içinde 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu'nun özel bir kategorisine tabi tutmakta ve gelir kaynaklarını sınırlı sayıda (numerus clausus) belirlemektedir.
2. Maddedeki Kavramların Analizi
5018 Sayılı Kanun Kapsamında "III Sayılı Cetvel" Statüsü (m. 29/1): Kurum bütçesi, 5018 sayılı Kanun’un eki olan "Düzenleyici ve Denetleyici Kurumlar" (III Sayılı Cetvel) başlığı altında yer alır. Bu cetveldeki kurumlar (SPK, BDDK, Rekabet Kurumu, BTK vb.) genel bütçeli dairelerden ve bakanlıklardan farklı olarak çok özel bir mali özerklik rejimine tabidirler:
Gelir Kaynakları ve Hazine Yardımları (m. 29/2): Kurum’un en önemli gelir kalemi **"Genel bütçeden yapılacak hazine yardımları"**dır. Kurum, diğer bazı BİO'lar (örn. SPK’nın şirket ihraçlarından aldığı ücretler veya BDDK’nın bankalardan aldığı paylar) gibi denetlediği sektörlerden doğrudan "harç" veya "katılım payı" alamaz. Bu durum, veri koruma gibi tamamen kamu düzenine ve insan haklarına ilişkin bir alanın ticari nitelik kazanmasını engeller. Kurum tamamen kamusal kaynaklarla finanse edilir.
İdari Para Cezalarının Durumu (En Kritik Hukuki Tasarım): Maddede Kurum’un gelirleri arasında "idari para cezaları" (m. 18) yer almamaktadır. Bu durum, Türk veri koruma rejiminin en etik ve isabetli tasarım kararlarından biridir. Kurul’un kestiği milyonlarca liralık idari para cezaları doğrudan Devlet Hazinesi’ne (Genel Bütçe’ye) gelir kaydedilir, Kurum’un kasasına girmez. Eğer cezalar Kurum’un kendi geliri olsaydı, Kurul’un bütçesini büyütmek veya personeline prim dağıtmak amacıyla tarafsızlığını yitirerek şirketlere keyfi ve agresif cezalar kesmesi gibi ağır bir "çıkar çatışması" (conflict of interest) riski doğardı. Yasa koyucu bu riski tamamen elimine etmiştir.
Bağış ve Yardımlar (m. 29/2-c): Kurum bağış ve yardım kabul edebilir. Ancak bağımsızlık ilkesi gereği, denetlenen özel hukuk tüzel kişilerinden (örn. holdingler, bankalar, teknoloji devleri) bağış alınması etik olarak imkansızdır. Bu bent pratik olarak ancak Avrupa Birliği fonları, BM projeleri veya uluslararası kamu kuruluşlarından alınan proje bazlı hibeleri ve yardımları kapsar.
3. Sistematik İlişkiler
Madde 29; Anayasa’nın 161. (Bütçenin hazırlanması ve uygulanması) maddesiyle ve 5018 sayılı Kamu Mali Yönetimi Kanunu ile doğrudan entegredir. Kanun kapsamında ise m. 19 (Kurum kuruluşu), m. 25 (Başkanlık teşkilatı/mali hizmetler birimi) ve m. 31 (bütçe onay yetkisi) ile doğrudan ilişkilidir.
4. Uygulama ve Sayıştay Denetimi
5. Pratik Örnek Olaylar
Örnek 1 (Bir Şirketin Bağış Teklifi): Büyük bir veri analitiği şirketi, Kurum’a veri koruma farkındalığı projelerinde kullanılmak üzere 5.000.000 TL değerinde son teknoloji sunucu ve yazılım bağışlamak istemiştir. Kurum, m. 29/2-c’deki bağış yetkisine sahip olmakla birlikte; ilgili şirketin Kurum’un doğrudan denetim alanında olması ve ileride hakkında yapılacak bir incelemede "tarafsızlık" ilkesinin zedelenmesi riskinin bulunması nedeniyle, bu bağış teklifini etik kurul kararıyla redderek iade etmiştir.
Örnek 2 (Ceza Geliri ile Bütçe Ayrımı): Kurul, bir bankaya veri sızıntısı nedeniyle 2026 yılı güncel değerleriyle 5.000.000 TL idari para cezası uygulamıştır. Banka bu cezayı ödediğinde, para Kurum’un Ankara’daki banka hesabına değil, doğrudan Vergi Dairesi aracılığıyla Hazine ve Maliye Bakanlığı’nın genel bütçe hesabına aktarılmıştır. Kurum, bu büyük cezadan 1 TL dahi kendi operasyonel harcamalarında kullanamamış, kendi harcamalarını TBMM tarafından onaylanan yıllık bütçe ödenekleri dahilinde yapmaya devam etmiştir.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz; Kişisel Verileri Koruma Kurumu’nun mali özerklik rejimini, 5018 sayılı Kanun’un III Sayılı Cetveli kapsamındaki statüsünü, idari para cezalarının Hazineye aktarılmasının etik/hukuki gerekçelerini ve gelir kaynaklarının sınırlarını 6698 sayılı Kanun’un 29. maddesi ve kamu maliyesi teorisi çerçevesinde Av. Fethi Güzel'in kamu maliyesi ve regülasyon hukuku alanındaki ödünsüz akademik perspektifiyle tahlil etmektedir.