WhatsApp Hukuki Asistan

Yeni

Son Karar yapay zeka destekli hukuk asistanınız artık WhatsApp üzerinden cebinizde. Aşağıdaki hizmetlerden dilediğinizi seçerek WhatsApp asistanınıza soru sorarak hemen kullanmaya başlayabilirsiniz.

Hukuki Destek Alma
Hukuki sorularınız için anında uzman desteği alın
Yargıtay ve BAM Kararı Arama
Emsal kararlar ve içtihatlar için arama yapın
Dava Dilekçesi Hazırlama
Yapay zeka ile hızlı ve profesyonel dilekçeler oluşturun
Sözleşme Hazırlama
Özelleştirilmiş sözleşme şablonları oluşturun
Loading Logo

sonkarar

Sayfa Yükleniyor

Son güncelleme: 11 Temmuz 2026

DANIŞTAY 13. DAIRE

A- A A+

Danıştay 13. Daire Başkanlığı         2018/2988 E.  ,  2023/4745 K.
"İçtihat Metni" T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2018/2988
Karar No:2023/4745

TEMYİZ EDEN (DAVALI): … Kurumu
VEKİLLERİ: Av. …, Av. …

KARŞI TARAF (DAVACI): … İletişim Hizmetleri A.Ş.
VEKİLİ: Av. …

İSTEMİN KONUSU: … Bölge İdare Mahkemesi ... İdari Dava Dairesi'nin … tarih ve E:…, K:… sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak kişisel verilerin gizliliğinin korunması ve güvenliğinin sağlanması hususunda yeterli tedbirlerin alınmadığından bahisle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik'in 32. ve 34. maddeleri uyarınca davacı şirket hakkında 2012 yılı net satışlarının %0,016'sı oranında 1.412.526,51 TL idari para cezası uygulanmasına ilişkin Bilgi Teknolojileri ve İletişim Kurulu'nun (Kurul) … tarih ve … sayılı kararının 2. maddesi ile bu kararın uygulanmasına ilişkin idari para cezası karar tutanağının ve Bilgi Teknolojileri ve İletişim Kurumu Sektörel Denetim Daire Başkanlığı'nın … tarih ve … sayılı işleminin iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: ... İdare Mahkemesi'nce verilen … tarih ve E:…, K:… sayılı kararda; davacı şirket ile ... Bilgi Pazarlama Danışma ve Çağrı Servisi Hizmetleri A.Ş. arasında çağrı merkezi hizmetlerinin yürütülmesi için ...-... Genel Hizmet Sözleşmesi ve ek protokollerin yapıldığı, abone bilgilerinin de taraflar arasındaki sözleşme ve protokol gereği paylaşıldığı, ancak çağrı merkezlerinde gereğinden fazla bilgi ve belgenin kolayca görüntülenebiliyor olduğu, kişisel bilgilerin kişinin bilgisi veya onayı olmadan görüntülenebiliyor ve kaydedilebiliyor olduğu, tüm bu kişisel bilgilerin kolayca dış ortamlara aktarılabiliyor olduğu, kişisel bilgilere erişimin abonenin bilgisi dahilinde yapıldığına dair herhangi bir teyit mekanizmasının olmadığı, kişisel bilgilerin korunmasına ilişkin yeterli ve kapsamlı bir çalışma yapılmamış olduğu ve kişisel verilerin çağrı merkezi çalışanlarınca amaç dışı kullanabilme olanağı bulunduğu anlaşıldığından, şirket hakkında idari para cezası uygulanmasına ilişkin işlemlerde hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlem hukuka uygun bulunarak davanın reddine karar verilmiştir.
Bölge İdare Mahkemesi kararının özeti: … Bölge İdare Mahkemesi ... İdari Dava Dairesince; uyuşmazlıkta, 5089 sayılı Kanun'un 51. maddesindeki yeni ve eski düzenlemelerin davalı idareye elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme konusunda yetki ve sorumluluk verdiği ve Yönetmeliğin 19. maddesinin 1. fıkrasının (p) bendindeki düzenlemenin Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceği dikkate alındığında, herhangi bir usul ve esas belirlemeksizin davacı şirkete, kişisel verilerin korunmasına ilişkin olarak gerekli tedbirleri almadığı ve bu fiilin Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesine aykırı olduğundan bahisle idarî para cezası verilmesine ilişkin Kurul kararında hukuka uygunluk bulunmadığı sonucuna varılmıştır
Açıklanan nedenlerle, davacının istinaf başvurusunun kabulü ile İdare Mahkemesi kararının kaldırılmasına, dava konusu işlemlerin iptaline karar verilmiştir.

TEMYİZ EDENİN İDDİALARI: Davalı idare tarafından, abonelerin işletmecilere abonelik tesisi sırasında ve daha sonra, tüketici hak ve menfaatlerinin gözetilmesi ilkesi çerçevesinde gerekli güvenlik önlemlerinin alınmış olacağı ön kabulüyle iletmiş oldukları tüm bilgi ve belgelerin korunmasını ve gizliliğinin sağlanmasını bekleyeceği, 5809 sayılı Kanun'da yer verilen “Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi” ilkesi ile Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendi çerçevesinde, işletmecilerin kendilerine iletilen tüm bilgi ve belgelerin gizliliğini ve güvenliğini sağlamakla yükümlü olduğu, uluslararası geçerliği olan ilkeler, Anayasa ve 5809 sayılı Kanun'da yer alan hükümler ile Devlet Denetleme Kurulu'nun hazırladığı denetim raporu gibi bu alanda yapılan çalışmalar göz önünde bulundurulduğunda, kişisel verilerin korunmasına ilişkin uluslararası alanda detaylı bir düzenleme yapılmak yerine, işletmecinin kendi altyapısını kurabilmesinin veya istediği teknolojiyi tercih edebilmesinin önüne geçmeyecek şekilde genel ilkeler belirlenmek suretiyle bu alanın çerçevesinin çizildiği ve bu alanda yapılacak denetimler ve incelemelerde de temel güvenlik politikaları ile işletmecinin kendi yönetim yapısı ve teknolojik altyapısına göre belirlediği bilgi güvenliği politikasının göz önünde bulundurulduğu, davacı şirketin bayilerinde ve çağrı merkezlerinde yapılan denetimde, çağrı merkezindeki bir çalışana veri tabanlarında bulunan toplam 20.900.130 aktif bireysel ve 466.867 aktif kurumsal müşterinin bilgilere erişim yetkisi tanındığı, bu bilgiler arasında, nüfusa kayıtlı olduğu il bilgisi, kurumsal vergi numarası onaylı durumu, bireysel T.C. kimlik numarası onaylı durumu, uyruk bilgisi, müşterinin tercih ettiği dil, anne kızlık soyadı, nüfus kütük bilgileri, iletişim bilgileri gibi bilgilerin bulunduğu, bu bilgilerin çağrı merkezi ve bayilerin yetkili oldukları işlemleri gerçekleştirebilmeleri için ihtiyaç duydukları bilginin çok üzerinde olduğu, herkesçe bilinen ilkelerin basiretli bir tacir olan işletmeci tarafından bilinmemesine imkân bulunmadığı, Kurumca işletmecinin kişisel verilerin korunmasına ilişkin alması gereken tedbirlerin açık olarak sıralamasının konuya çözüm getirmeyeceği ve farklı iş modelleri ile çalışan çok farklı işletmeciler için yeknesak tedbirler silsilesi oluşturmanın mümkün olmadığı ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI: Davacı tarafından, Yönetmeliğin 19. maddesinin 1. fıkrasının (p) bendindeki düzenlemenin Kanun'un aradığı anlamda bir usul ve esas olarak nitelendirilemeyeceği, ... Bilgi'de bilgi güvenliği konusunda gerekli her türlü tedbirin uygulandığı, bu doğrultuda 2007 yılından beri ISO 27001 standartlarına uygun bir şekilde bilgi güvenliği yönetim sistemi yürütüldüğü, veritabanı tablolarında yer alan bilgilerin müşteri temsilcisinin aboneye ulaşması, hitap edebilmesi ve aranan kişi olup olmadığını teyit edebilmesi açısından gerekli bilgiler olduğu, tabloların erişimine açık olduğu ... bilginin hisselerinin %99,81'inin davacı şirkete ait olduğu, dolayısıyla bu şirketin üçüncü bir kişi olarak kabul edilemeyeceği belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …'IN DÜŞÜNCESİ: Temyiz isteminin kabulü ile Bölge İdare Mahkemesi kararının bozulması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesi'nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE:
MADDİ OLAY :
Bayi ve çağrı merkezlerinde abonelere ait kişisel verilerin gizliliğinin ve güvenliğinin sağlanıp sağlanmadığına ilişkin olarak davalı idarece yapılan inceleme sonucunda hazırlanan … tarih ve … sayılı İnceleme Raporu'nda özetle; müşterilere ait bir çok kişisel bilginin yer aldığı, kayıt sayıları belirtilen ve ... bünyesinde bulunan TCST ve TPRD isimli iki ayrı müşteri veritabanı tablosunun ... dışında yer alan ... Bilgi çağrı merkezinin erişimine açılmış olduğu, ... tarafından ... Bilgi ile paylaşılan söz konusu veri tabanı tablolarındaki tüm müşteri bilgilerinin (anne kızlık soyadı, nüfus kütük bilgileri, T.C. kimlik no, iletişim bilgileri, vergi numarası gibi) çağrı merkezinin yetkili oldukları işlemleri gerçekleştirebilmeleri için ihtiyaç duydukları bilginin çok üzerinde olduğu, bir başka ifade ile çağrı merkezleri çalışanlarının yaptıkları işlemler ile sahip oldukları bilgiler arasında orantısızlık olduğu, bahse konu kişilerle gereğinden fazla bilgi paylaşıldığı, aranacak müşterilere ait numara bilgilerinin toplu olarak yer aldığı dosyanın ... tarafından ... Bilgi tarafında yer alan ortak alana yüklendiği, bu ortak alanda aranacak müşteri numaralarını içeren eski tarihli dosyaların da yer aldığı, bu paylaşım alanına erişim yetkisi tanımlanmış kişilerin bu dosyalara her zaman kontrolsüz bir şekilde erişebileceği, ... tarafından ortak alana yüklenen dosyanın ... Bilgi tarafından ... veri tabanı tabloları kullanılarak ad, soyad ve numara bilgilerini toplu olarak içeren başka bir metin dosyasına dönüştürüldüğü, bu dosyanın içerdiği bilgilerin gizleme (maskeleme) olmaksızın veya anonimleştirilmeden ilgili ... Bilgi çalışanlarınca görüldüğü ve bu şekilde elde edilen dosyanın değişik yollarla dış ortamlara aktarılabilir veya kopyalanıp çoğaltılabilir olduğu; sahada gerçekleştirilen bayi incelemelerinde ise, ... bayi çalışanlarının herhangi bir müşterinin işlem talebini yerine getirirken müşterinin doğrulanması amacıyla kısa mesaj veya kimlik teyidi yaptıktan sonra bayi çalışanlarının müşterilere ait uyruk, T.C. kimlik numarası, ad, soyad, doğum tarihi, doğum yeri, nüfus kütük bilgileri, anne kızlık soyadı, mesleği, anne baba adı gibi bir çok kişisel veriye maskeleme olmaksızın erişilebildiği, bayilerle paylaşılan müşteri bilgilerinin bayilerin yetkili oldukları işlemleri gerçekleştirebilmeleri için ihtiyaç duydukları bilginin çok üzerinde olduğu, bayi bilgisayarlarında ekran görüntüsünün alınabilmesi ve USB bellek kullanılabilmesi durumlarının kişisel bilgilerin müşterinin rızası dışında kopyalanabilmesine, kaydedilmesine ve dış ortama aktarılmasına olanak sağladığı tespitlerine yer verilerek, belirtilen hususların Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliğinin 19. maddesinin 1. fıkrasının (p) bendine aykırılık oluşturduğundan bahisle davacı şirket hakkında idarî para cezası yaptırımının uygulanması gerektiği belirtilmiştir.
Söz konusu İnceleme Raporu'na istinaden, … tarih ve … sayılı Kurul kararının 2. maddesiyle davacı şirket hakkında, 5809 sayılı Kanun'un 60. ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik'in 32. ve 34. maddeleri uyarınca 2012 yılı net satışlarının %0,016'sı (1.412.526,51-TL) oranında idarî para cezası uygulanmasına karar verilmiştir.
Bunun üzerine, anılan Kurul kararının 2. maddesi ile bu kararın uygulanmasına ilişkin idari para cezası karar tutanağının ve bu işlemin bildirimine ilişkin işlemin iptali istemiyle bakılan dava açılmıştır.

İLGİLİ MEVZUAT:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 3. fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." kuralı yer almıştır.
5809 sayılı Elektronik Haberleşme Kanunu'nun 1. maddesinde, "Bu Kanunun amacı; elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesidir."; "İlkeler" başlıklı 4. maddesinde, "(1) Her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların düzenlenmesi Devletin yetki ve sorumluluğu altındadır. İlgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde aşağıdaki ilkeler göz önüne alınır: (...) l) Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi"; "Kurumun görev ve yetkileri " başlıklı 6. maddesinde, Kurumun görev ve yetkileri şunlardır: (...) (c) Abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak. (...) (s) Elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak. (ş) Elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak. (t) Ara bağlantı ve ulusal dolaşım da dahil erişim ile ilgili uygulanacak usul ve esasları belirlemek ve mevzuatın öngördüğü düzenlemeleri yapmak, elektronik haberleşme sağlanması amacıyla imzalanan anlaşmaların rekabeti kısıtlayan, mevzuata ve/veya tüketici menfaatlerine aykırı hükümler içermemesi amacıyla mevzuatın öngördüğü tedbirleri almak. (...) (v) Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak." kuralına yer verilmiştir.
5809 sayılı Kanun'un "İşletmecilerin hak ve yükümlülükleri" başlıklı 12. maddesinde, "(...) (2) Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: (...)
d) Kişisel veri ve gizliliğin korunması.
e) Tüketicinin korunması. (...)
j) İzinsiz erişime karşı şebeke güvenliğinin sağlanması. (...)
(4) İşletmecilerin hak ve yükümlülükleri ile ilgili usul ve esaslar Kurumca belirlenir.
(5) İşletmeciler, elektronik haberleşme sistemleri üzerinden millî güvenlikle ve 5397 ve 5651 sayılı kanunlar ve ilgili diğer kanunlarda getirilen düzenlemelerle ilgili taleplerin karşılanmasına yönelik teknik alt yapıyı, elektronik haberleşme sistemini hizmete sunmadan önce kurmakla yükümlüdür. Halen elektronik haberleşme hizmeti sunan işletmeciler de; söz konusu teknik alt yapıyı, Kurum tarafından belirlenecek süre içerisinde aynı şartlarla ve tüm harcamaları kendilerine ait olmak üzere kurmakla yükümlüdürler."; "Kurumun yetkisi ve idarî yaptırımlar" başlıklı 60. maddesinin 1. fıkrasında, "Kurum; mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık halinde işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne kadar idarî para cezası uygulamaya, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi ve kanunlarla getirilen hükümlerin uygulanması amaçlarıyla gerekli tedbirleri almaya, gerektiğinde tesisleri tazminat karşılığında devralmaya, belirlediği süre içerisinde yetkilendirme ücretinin ödenmemesi ya da ağır kusur halinde verdiği yetkilendirmeyi iptal etmeye yetkilidir. Ancak, Kurum, ulusal çapta verilecek frekans bandı kullanımını ihtiva eden ve sınırlı sayıda işletmeci tarafından yürütülmesi gereken elektronik haberleşme hizmetlerine ilişkin yetkilendirmelerin iptalini gerektiren hallerde Bakanlığın görüşünü alır." kuralı yer almıştır.
Öte yandan, Anayasa Mahkemesi'nin 26/07/2014 tarih ve 29072 sayılı Resmî Gazete'de yayımlanan 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararıyla iptal edilen 5809 sayılı Kanun'un "Kişisel verilerin işlenmesi ve gizliliğinin korunması" başlıklı 51. maddesinde, "Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir." kuralı yer almıştır.
Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin "Dayanak" başlıklı 3. maddesinde, "Bu Yönetmelik, 05/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu'nun 6, 8, 9, 10, 11, 12, ve 60'ıncı maddelerine dayanılarak hazırlanmıştır."; "İşletmecilerin hak ve yükümlülükleri" başlıklı 19. maddesinin 1. fıkrasında, " (1) İşletmeciler; Kurum düzenlemeleri, ilgili mevzuat ve Elektronik Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Sürelerinde öngörülen şartlara ve aşağıda yer alan kayıt, kural ve yükümlülüklere uygun olarak elektronik haberleşme hizmetini sunma hakkına sahiptir. (...) (p) Güvenlik ve müdahalelerin önlenmesi: İşletmeciler, haberleşme mahremiyeti ve güvenliği ile şebeke güvenliğinin sağlanması ve korunması için, her türlü tedbiri almakla, altyapı ve sistemlerinde teknolojik uyumu sağlamakla, elektronik haberleşmeye ilişkin bilgi, belge ve verilerin gerek korunmasında, gerekse iletilmesinde gizlilik hükümlerine uymak ve kanunla yetkilendirilmiş merci dışında başkasının bu bilgileri elde etmesini önlemekle yükümlüdür. İşletmeci, vereceği elektronik haberleşme hizmeti, şebeke ve altyapısında kullanılacak cihazlara, yetkisiz kişilerin erişimini ve bozucu/değiştirici müdahalelerini önlemek amacıyla gerekli tedbirleri almakla yükümlüdür. (...)"; "İdari yaptırımlar" başlıklı 25. maddesinde, "İşletmeci faaliyetlerinin yetkilendirme kapsamındaki yükümlülüklere ve ilgili mevzuata aykırı olması durumunda, işletmeciye Kanun ve ilgili diğer mevzuat uyarınca idari para cezası veya diğer yaptırımlar ile tedbirlerin uygulanır." kurallarına yer verilmiştir.
İşlem tarihinde yürürlükte bulunan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin "İdari Para Cezalarının Uygulanmasında Göz Önünde Bulundurulacak Ölçütler" başlıklı 32. maddesinde, "Kurul idari para cezasının belirlenmesinde aşağıda sayılan unsurların varlığını da göz önünde bulundurarak kararını verir.
a) İhlâlin niteliği,
b) Zararın büyüklüğü,
c) İhlal neticesinde herhangi bir ekonomik kazanç elde edilip edilmemesi ve bu kazancın büyüklüğü,
d)Tekrarlanan veya devam eden ihlalin varlığı,
e) Geçmişte kurallara uyum,
f) İyiniyet ve gönüllü bildirim."; "Hüküm Bulunmayan Hâller" başlıklı 34. maddesinde, "Bu Yönetmelikte düzenlenmemiş olmakla birlikte, İşletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hallerde Kurul Kararına göre işlem yapılır." kuralları yer almıştır.

HUKUKİ DEĞERLENDİRME:
5326 sayılı Kabahatler Kanunu’nun “Genel kanun niteliği” başlıklı 3. maddesinde, bu Kanun'un; idarî yaptırım kararlarına karşı kanun yoluna ilişkin hükümlerinin, diğer kanunlarda aksine hüküm bulunmaması hâlinde; diğer genel hükümlerinin ise, idarî para cezası veya mülkiyetin kamuya geçirilmesi yaptırımını gerektiren bütün fiiller hakkında uygulanacağı kurala bağlanmış olup, 5809 sayılı Kanun’da aksine bir hüküm yer almadığından, Bilgi Teknolojileri ve İletişim Kurumu tarafından idarî para cezaları alanında yapılacak düzenlemelerde ve verilen idarî para cezalarında, belirtilen Kanun’un genel hükümlerinde yer alan düzenlemelerin dikkate alınması gerektiği açıktır.
Kurum’un ikincil düzenleme yetkisi 5809 sayılı Kanun’un belirlediği çerçeve ve 5326 sayılı Kanun’un genel hükümler bölümünde yer alan kural ve ilkelerle sınırlandırılmış bulunmaktadır.
Kabahatler Kanunu’nun “Kanunilik ilkesi” başlıklı 4. maddesinde, hangi fiillerin kabahat oluşturduğunun kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriğinin, idarenin genel ve düzenleyici işlemleriyle de doldurulabileceği, kabahat karşılığı olan yaptırımların türünün, süresinin ve miktarının ancak kanunla belirlenebileceği kurala bağlanmıştır. Böylece, idarî yaptırımlar konusunda genel kanun niteliğini haiz Kabahatler Kanunu, hangi fiillerin kabahat oluşturduğuna yönelik bir çerçeve hükme yer vermek suretiyle idareye kısmî takdir yetkisi tanımakta, ancak yaptırımın türü, süresi ve miktarı bakımından mutlak olarak kanunilik ilkesini benimsemiş bulunmaktadır.
5809 sayılı Kanun'un 4. maddesinde, ilgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde göz önünde bulundurulacak ilkeler arasında "Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi"ne yer verildiği; 6. maddesinde, abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapma, elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetleme ve/veya denetlettirme, konu ile ilgili usul ve esasları belirleme, aykırılık hâlinde mevzuatın öngördüğü işlemleri yapma ve yaptırımları uygulama hususunda Kuruma görev ve yetki verildiği ve 60. maddesinde ise, Kurumun mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık hâlinde işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne kadar idarî para cezası uygulamaya yetkili kılındığı dikkate alındığında, anılan kuralların 5326 sayılı Kabahatler Kanunu'nun 4. maddesinde düzenlenen "kanunilik" ilkesine aykırı bir yönünün bulunmadığı anlaşılmaktadır.
5809 sayılı Kanun'un 6, 8, 9, 10, 11, 12 ve 60. maddelerine dayanılarak hazırlanan Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin "İşletmecilerin hak ve yükümlülükleri" başlıklı 19. maddesinin 1. fıkrasının (p) bendinde ise, işletmecilerin haberleşme mahremiyeti ve güvenliği ile şebeke güvenliğinin sağlanması ve korunması için, her türlü tedbiri almakla, altyapı ve sistemlerinde teknolojik uyumu sağlamakla, elektronik haberleşmeye ilişkin bilgi, belge ve verilerin gerek korunmasında, gerekse iletilmesinde gizlilik hükümlerine uymak ve kanunla yetkilendirilmiş merci dışında başkasının bu bilgileri elde etmesini önlemekle ve işletmecinin vereceği elektronik haberleşme hizmeti, şebeke ve altyapısında kullanılacak cihazlara, yetkisiz kişilerin erişimini ve bozucu/değiştirici müdahalelerini önlemek amacıyla gerekli tedbirleri almakla yükümlü olduğuna "güvenlik ve müdahalelerin önlenmesi" kapsamında yer verilmiştir.
Davalı idare tarafından, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendinde yer alan kuralla işletmecinin kendi altyapısını kurabilmesinin veya istediği teknolojiyi tercih edebilmesinin önüne geçmeyecek şekilde genel ilkeler belirlenmek suretiyle bu alanın çerçevesinin çizildiği ve bu alanda yapılacak denetimler ve incelemelerde de temel güvenlik politikaları ile işletmecinin kendi yönetim yapısı ve teknolojik alt yapısına göre belirlediği bilgi güvenliği politikasının göz önünde bulundurulduğu ifade edilmiştir.
Her ne kadar temyize konu Bölge İdare Mahkemesi kararında, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendinde yer alan kuralın 5809 sayılı Kanun'un aradığı anlamda bir usûl ve esas olarak nitelendirilemeyeceği değerlendirmesine yer verilmiş ise de, Kabahatler Kanunu'nun 4. maddesinde yer alan kanunilik ilkesine uygun olarak, Anayasa'nın 20. maddesinin 3. fıkrası ve 5809 sayılı Kanun'da yer alan 4, 6 ve 12. maddeler çerçevesinde anılan Yönetmeliğin 19. maddesinin 1. fıkrasının (p) bendinde güvenlik ve müdahalelerin önlenmesine yönelik olarak idari yaptırıma konu fiillerin düzenlendiği, her bir işletmecinin farklı hizmet sunumu, alt yapısı, bayi yapısı bulunması ve teknolojinin sürekli gelişme göstermesi gibi nedenlerle her işletmecinin kendi altyapısı ve bayi sistemi çerçevesinde en temel önlemleri almasının gerektiği, dolayısıyla anılan Yönetmelik maddesinde yer verilen fiilin işletmeciler tarafından açıkça anlaşılır nitelikte olduğu ve keyfi uygulamalara yol açmayacağı açıktır. Ayrıca, elektronik haberleşme alanında zamanla ortaya çıkan tehlikeler dikkate alındığında, bilgi güvenliği ve haberleşmenin gizliliğinin gözetilmesi, kişisel verilere ilişkin güvenliğin sağlanması ve müdahalelerin önlenmesi gerektiği kuşkusuzdur.
Diğer taraftan, 5809 sayılı Kanun'un 60. maddesi uyarınca, Kurumun, mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık hâlinde işletmecilere bir önceki takvim yılındaki net satışlarının %3'ü kadar idarî para cezası uygulamaya yetkisi olduğundan, bu yetki kapsamında uyuşmazlık konusu fiilin işlendiği tarihte yürürlükte bulunan (mülga) 05/09/2004 tarih ve 25574 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları İle Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik’in 32. maddesinde yer verilen ölçütler gözetilmek suretiyle, anılan Yönetmeliğin 34. maddesindeki, bu Yönetmelikte düzenlenmemiş olmakla birlikte, işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde Kurul kararına göre işlem tesis edileceği kuralına göre, işletmecinin bir önceki takvim yılındaki net satışlarının %3'ü oranındaki üst sınıra uygun olarak idarî para cezası uygulanabileceği açıktır.
Bu itibarla, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olduğu belirtilen fiillerin sübuta erip ermediği hususunda bir değerlendirme yapılarak karar verilmesi gerekirken, bu değerlendirme yapılmadan dava konusu işlemin iptali yönündeki temyize konu Bölge İdare Mahkemesi kararında hukukî isabet bulunmamaktadır.

KARAR SONUCU :
Açıklanan nedenlerle;
1. Davalının temyiz isteminin kabulüne;
2. Davanın reddine ilişkin İdare Mahkemesi kararına yönelik istinaf başvurusunun kabulü ile dava konusu işlemlerin iptali yolundaki temyize konu … Bölge İdare Mahkemesi ... İdari Dava Dairesinin … tarih ve E:…, K:… sayılı kararının 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesi uyarınca BOZULMASINA,
3. Yeniden bir karar verilmek üzere dosyanın … Bölge İdare Mahkemesi ... İdari Dava Dairesine gönderilmesine, 14/11/2023 tarihinde kesin olarak oyçokluğuyla karar verildi.

(X) KARŞI OY : Dosyanın incelenmesinden, davacı şirketle ilişkili bayi ve/veya çağrı merkezlerinde Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (p) bendine aykırı olarak, kişisel bilgi ve belgenin gereğinden fazla ve kolayca görüntülenebildiği, kaydedilebildiği, dış ortamlara aktarılabildiği, kişisel bilgilere erişimin abonenin bilgisi dahilinde yapıldığına ilişkin herhangi bir teyit mekanizmasının olmadığı, kişisel bilgilerin gizliliğinin sağlanmasına yönelik analiz çalışmalarının müşteri şikâyetine bağlandığı ve bu suretle kişisel verilerin bayi çalışanlarınca amaçları dışında kullanılmasına olanak sağlandığı gerekçesiyle 5809 sayılı Elektronik Haberleşme Kanunu'nun 60. ve Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 32. ve 34. maddeleri uyarınca 2012 yılı net satışlarının %0,016'sı oranında 1.412.526,51 TL idarî para cezası verilmesine ilişkin Kurul'un … tarih ve … sayılı kararı üzerine bakılan davanın açıldığı, İdare Mahkemesi'nce verilen davanın reddine ilişkin karara yönelik istinaf başvurusu üzerine Bölge İdare Mahkemesi'nce Mahkeme kararının kaldırılmasına, dava konusu işlemlerin iptaline karar verildiği anlaşılmaktadır.
05/09/2004 tarih ve 25574 sayılı Resmî Gazete'de yayımlanan mülga Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik'in "Hüküm Bulunmayan Hâller" başlıklı 34. maddesinde, "Bu Yönetmelikte düzenlenmemiş olmakla birlikte, işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde Kurul kararına göre işlem yapılır." kuralı yer almıştır.
Anılan Yönetmeliğin 34. maddesinin dava konusu işleme esas alınması hukuka aykırıdır. Şöyle ki;
5326 sayılı Kabahatler Kanunu’nun “Kanunîlik İlkesi” başlıklı 4. maddesinde, hangi fiillerin kabahat oluşturduğu kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriğinin, idarenin genel ve düzenleyici işlemleriyle de doldurulabileceği, kabahat karşılığı olan yaptırımların türü, süresi ve miktarının ancak kanunla belirlenebileceği kurala bağlanmıştır.
Hukukî güvenlik ilkesi, hukuk normlarının öngörülebilir olmasını, belirlilik ilkesi ise yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olmasını ifade etmektedir.
Yönetmeliğin 34. maddesinin incelenmesinden, yönetmelikte düzenlenmemiş olmakla birlikte işletmecilerin faaliyetlerinin mevzuat ve yetki belgesi şartlarına aykırı durumlarının tespit edildiği diğer hâllerde "Kurul kararına" göre işlem yapılacağına yer verilmek suretiyle, mevzuatta tanımlanmamış ancak Kurulun mevzuat ve yetki belgesi şartlarına aykırı göreceği bir fiil gerçekleştiği takdirde idari yaptırım uygulanmasının amaçlandığı anlaşılmakta olup, bu durum ise kanunîlik, hukukî güvenlik ve belirlilik ilkelerine aykırılık teşkil edecektir.
Bu itibarla, anılan Yönetmeliğin 34. maddesi dayanak alınarak tesis edilen işlemde hukuka uygunluk bulunmamaktadır.
Bu durumda, yukarıda belirtilen gerekçenin eklenmesi suretiyle Bölge İdare Mahkemesi kararının onanmasına karar verilmesi gerektiği oyu ile karara katılmıyorum.