Menu

Sonuçlar yükleniyor

Anayasa Mahkemesi’nden Marriott Veri Güvenliğine İlişkin Karar

15.12.2023 tarihli Resmî Gazete’de yayımlanan

12.10.2023 tarihli 2020/7518 başvuru numaralı Anayasa Mahkemesi (“AYM”) kararı kapsamında Marriott International’a (“Marriott”) Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen idari para cezası hakkında karar verilmiştir. ​

Somut olay Marriott müşteri rezervasyon ve misafir veri tabanına üçüncü kişiler tarafından yapılan yetkisiz erişime ilişkindir. Erişim şirketin devrinden önce başlamış olup, devirden sonra da devam etmiştir. Kurul, 2018 yılında yapmış olduğu incelemede veri ihlalini tespit etmiş ve Marriott hakkında idari para cezasının uygulanmasına karar vermiştir. Kararda, veri ihlalinin ilk yaşandığı tarih olan 2014 yılından 2018 yılına kadar geçen sürede veri ihlalinin tespit edilememesinin çok ciddi bir güvenlik açığı olduğunu vurgulamıştır.​

Her ne kadar ihlal, şirket devredilmeden önce başlamış olsa da Kurul, Marriott’ın devrin ardından da gerekli denetimleri yapmadığına ve teknik ve idari tedbirlerin yetersiz olduğuna karar vermiş ve veri ihlalinin fark edilmesinden itibaren en kısa sürede bildirim yapma yükümlülüğüne de aykırı davranıldığından toplamda 1.450.000,00 TL idari para cezası uygulanmasına karar vermiştir. ​

Başvurucu, merkezi yurt dışında bulunan ve farklı ülkelerde oteller işleten bir holding şirketi konumundadır. 08/09/2018 tarihinde devralmış olduğu şirketin veri tabanında şüpheli işlemler tespit edilmiş ve kurum içi güvenlik aracından uyarı almıştır. Yapılan incelemelerin ardından 19/11/2018 tarihinde yetkisiz üçüncü kişilerin şirket veri tabanına yetkisiz erişiminin olduğu tespit edilmiştir. Başvurucu tespitin ardından basın açıklaması paylaşarak, ilgili kişileri bilgilendirilmiş ve veri ihlaline karşı kendilerini nasıl korumaları gerektiğine ilişkin açıklama yapmıştır. Ayrıca durumdan etkilenen kişilere e-posta göndermek suretiyle Kişisel Verilerin Korunması Kanunu (“Kanun”) madde 12(5) hükmü uyarınca bildirim yükümlülüğü yerine getirilmiştir. ​

Başvurucu, veri ihlalinin yaşandığı dönemde veri sorumlusu olmadığını, dolayısıyla idari para cezasının muhatabının kendisi olmadığını iddia etmiştir. Ayrıca verilen idari para cezasının en yüksek sınırda verilmesinin ölçüsüz olduğunu, veri ihlalinin tespitinin ardından Kanun’un 12(5) hükmünde belirtilen en kısa sürede ihlalin belirtilmesi gerektiğine yönelik düzenleme uyarınca bildirim yaptığını ancak mevzuattaki sürenin belirsizliğinin aleyhine yorumlandığını ileri sürmüştür. ​

Ayrıca yaşanan ihlalin gerçekleştiği tarihten sonra yürürlüğe giren Kanun’un uygulanmasının kanunların geriye yürümezliği ilkesine aykırılık teşkil ettiğini ileri sürmüştür. En üst halden idari para cezası uygulamasının orantılı olmadığı, yaptırım kararının kendisine usulen tebliğ edilmediği ve Kurul kararının gerekçeli olmadığı iddiasıyla birlikte mülkiyet hakkının ihlal edildiğini iddia etmiş ve AYM’ye bireysel başvuruda bulunmuştur. ​

AYM, konuya ilişkin verdiği kararda, kişisel verilerin korunması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun altını çizmiş ve ayrıca veri sorumlusunun, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamakla yükümlü olduğunun altını çizmiştir. Öte yandan veri sorumlusunun, Kanun’da belirtilen tedbirleri alırken verileri işleyen kişilerle birlikte müşterek sorumlu olduğunu belirtmiştir.​

​AYM’nin yaptığı inceleme sonucunda, başvurucunun, şirketi devralmadan önce başlayan ihlalin öğrenilmesinin ardından bildirim yükümlülüğünü yerine getirmiş bulunmakla birlikte, idari para cezasının ölçülülük ilkesine aykırı olduğu tespit edilmiştir. ​

AYM veri sorumlusu olarak müşterek sorumluluğu haiz olsa da başvurucunun ilk derece mahkemesine yapmış olduğu itirazın mahkeme tarafından gereği gibi değerlendirilmediği ve gerekçesiz karar verildiğini tespit etmiştir. Bu kapsamda AYM, başvurucunun; ​

  • Bildirim yükümlülüğüne uyduğunu, mevzuattaki sürenin başvurucu aleyhine yorumlandığını,​

  • Süreye ilişkin Kurul tarafından verilen kararın somut olaydan sonra verildiğinden ilgili olaya uygulanamayacağını, ​

  • Kişisel verilerin korunmasında kusur sorumluluğunun esas olduğu, ​

  • İdari para cezasının ölçülülük ilkesine aykırı olduğu ve diğer cezalarla kıyaslandığından eşitlik ilkesine aykırı olduğunu ​

tespit etmiş ve mülkiyet hakkının korunmasına yönelik güvencelerin yerine getirilmediğine karar vererek dosyayı sulh ceza hakimliğine göndermiştir.​

Bizi takip edin:

© 2025 PwC. Gago Türkmen Avukatlık Ortaklığı. Tüm hakları saklıdır.
Bu sitede “GSG Avukatlık Ortaklığı” veya “GSG Hukuk” ibaresi, Gago Türkmen Avukatlık Ortaklığı’nı ifade etmektedir.