Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Kişisel Verileri Koruma Kurumunca Uygulanan Yaptırımların Yargısal Denetiminde Görevli Mahkeme

The Competent Court for the Judicial Review of the Sanctions Imposed by the Personal Data Protection Authority

Yahya USMAN

Kişisel Verileri Koruma Kurumu idari teşkilatımızda yer alan düzenleyici ve denetleyici kurumlardan bir tanesidir. Uyguladıkları yaptırımlar da birer idari işlemdir. Hukuk devleti ilkesi gereğince bu işlemlerin etkin bir yargısal denetime tabi olması şarttır. Ancak idari yaptırımlar konusunda genel kanun olan Kabahatler Kanunu’nun ilgili hükümlerine göre aksine yasal düzenleme bulunmadıkça, idari para cezalarının yargısal denetiminde genel görevli yargı mercii sulh ceza hakimliği olarak öngörülmüştür. Yasa koyucunun, herhangi bir miktar ayrımı yapmaksızın tüm idari para cezalarının yargısal denetiminde sulh ceza hakimliklerini görevli kılmasının altında haklı bir neden bulunmamaktadır. Bu durum özellikle düzenleyici ve denetleyici kurumlar tarafından uygulanan regülatif yaptırımlar söz konusu olduğunda hukuk devleti ilkesi ve adil yargılanma hakkıyla bağdaşmamaktadır. Bu sebeple idari para cezalarının yargısal denetiminin idari yargı merciilerinde yapılmasına ilişkin genel bir düzenleme ihtiyacı bulunmaktadır. Genel düzenleme yapılmaması durumunda ise Kişisel Verileri Koruma Kanunu’na özel hüküm getirilerek Kişisel Verileri Koruma Kurumunca uygulanacak yaptırımların yargısal denetimi idari yargının görevine verilmelidir. Zira Kişisel Verileri Koruma Kurumu bir idari kurumdur ve işlemleri idari işlemdir. Hukukumuzda idari işlemler için öngörülen yargısal denetim, asıl olarak idari yargıda açılan iptal davasıdır ve idari işlemler bakımından en etkin yargısal denetim yöntemi budur.

Kişisel Verileri Koruma Kurumu, İdari Yaptırım, Yargısal Denetim, Görevli Mahkeme, Sulh Ceza Hakimliği, Hak Arama Hürriyeti.

The Personal Data Protection Authority is one of the independent regulatory and supervisor agencies in our administrative organization. The sanctions imposed by independent regulatory agencies are administrative actions each. As a requirement of the rule of law, these sanctions must be subject to an effective judicial review. Notwithstanding, acording to the Misdemeanor Act No 5326, which is the general law on administrative sanctions, unles there is a legal regulation to the contrary, the competent court in the judicial review of administrative fines is the “Criminal Courts of Peace”. There is no justifiable reason for the legislator to assign “Criminal Courts of Peace” to the judicial control of all administrative fines without an amount exception. This situation is against the rule of law and the right to a fair trial, especially in judicial review of regulatory sanctions imposed by independent regulatory agencies. For this reason, there is a need for a general legal regulation regarding the judicial review of administrative fines in administrative jurisdictions. In case the general arrangement cannot be done, the judicial review of these administrative fines have to be made by the administrative judicial authorities by making a special arrangement in the Personal Data Protection Act No 6698. Because the Personal Data Protection Authority is an administrative institution and their procedures are administrative actions. In our law, judicial review of administrative actions essentially is made in administrative jurisdiction by action for nullity. This is the most effective way of judicial review for administrative actions.

Personal Data Protection Authority, Administrative Sanction, Judicial Review, Authorized Court, Criminal Court of Peace.

Giriş

Kişisel verilerin korunması hakkı, son yıllarda çağdaş ülkelerde üzerinde en çok durulan haklardan birisidir. Dünya üzerindeki pek çok hukuk düzeninde yıllardan beri farklı disiplinlerde akademik çalışmalar yapılan kişisel verilerin korunması hakkı internet kullanımının artması, sosyal medya mecralarının yaygınlaşması, e-ticaretin gelişmesi ve bireyselleştirilmiş reklamların ekonomik değer kazanması gibi sebeplerle, günümüzde ulusal ve ulusalüstü normların önemli bir konusu haline gelmiş bulunmaktadır.

Ülkemizde kişisel verilerin korunması hakkı, 2010 yılında Anayasa’nın 20’nci maddesine eklenen, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu şeklindeki ifade ile anayasal güvence altına alınmıştır. Bu tarihe kadar geçen sürede ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Ancak Anayasa’nın 20’nci maddesinin üçüncü fıkrasında, kişisel verilerin korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmış ve bu kapsamda 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK), 7.4.2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

KVKK, kişisel verilerin korunması hakkına kapsamlı ve sistematik güvenceler ve hakkın ihlali durumunda uygulanmak üzere çeşitli idari yaptırımlar getirmiştir. Bu güvenceleri sağlamak ve yaptırımları uygulamak için de KVKK’nın 19’uncu maddesiyle Kişisel Verileri Koruma Kurumu kurulmuştur. Kurum idari para cezası verme ve diğer yaptırımları uygulama yetkileri ile donatılmıştır. İdari bir kuruma yaptırım uygulama yetkisinin verilmesi bu yetkinin etkin bir yargısal denetimi olmaması halinde hukuk devleti ve onun doğal sonucu olan hukuki güvenlik, hukuki belirlilik ve hukuki öngörülebilirlik ilkelerini zedeleyecektir. Yaptırım işleminin hukuka uygunluğunu denetleyecek yargı kolu da belli yaptırımlar için yargısal denetimin etkinliğini ve adil yargılanma hakkını etkileyebilecek bir husustur. Bu sebeple, Kurum tarafından uygulanan yaptırımların yargısal denetiminin hangi yargı kolunda ve hangi yargılama usulleri ile yapılacağı son derece önemli bir inceleme konusudur. Ancak KVKK, idari yaptırım uygulamak noktasında önemli yetkilerle donatmış olduğu Kişisel Verileri Koruma Kurumu tarafından uygulanacak yaptırımların yargısal denetimine ilişkin özel bir düzenleme öngörmemiştir. Bu sebeple çalışmada, 5326 sayılı Kabahatler Kanununun idari yaptırımlara ilişkin genel bakış açısıyla, idari yaptırımlara karşı getirmiş olduğu ve aksine düzenleme olmadıkça uygulama alanı bulan başvuru yolları düzenlemesi üzerinde durulmuş, bazı aksayan yönler ortaya konularak bu hususlardaki yasal değişiklik ihtiyacına dikkat çekilmiştir.

I. Kişisel Verilerin Korunması Hakkı ve Kişisel Verileri Koruma Kurumunun İdari Teşkilattaki Yeri

Kişisel verilerin korunması hakkına ilişkin ilk hukuki düzenleme 7 Ekim 1970 tarihli Federal Alman Cumhuriyeti’nin Essen eyaletine ait Kişisel Verilerin Korunması Kanunu olarak kabul edilmektedir.1 Söz konusu düzenlemenin ardından İsveç, Amerika Birleşik Devletleri (ABD), Danimarka, Norveç, Avusturya ve Lüksemburg da kişisel verilerin korunmasına ilişkin hukuki düzenleme yapan ilk ülkeler olmuşlardır.2 1980 tarihli OECD’nin “Özel Yaşamın Gizliliğinin ve Sınır Ötesi Veri Akışının Korunmasına İlişkin Rehber İlkeler”i; 1990 tarihli Birleşmiş Milletler Genel Kurulunun “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Yönlendirici İlkeler”i ve Avrupa Konseyinin “108 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireyin Korunması Sözleşmesi ve 181 No.lu Ek Protokol”ü kişisel verilerin korunmasına ilişkin düzenlemelere örnek teşkil etmektedir.3

Avrupa Konseyi’nin “108 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireyin Korunması Sözleşmesi”,4 kişisel verilerin korunmasına ilişkin uluslararası düzeyde bağlayıcı ilk hukuki düzenleme olması itibarıyla önem arz etmektedir.5 Bunlarla birlikte KVKK’nın esas itibarıyla, “95/46 sayılı Avrupa Birliği Veri Koruma Direktifi” dikkate alınarak hazırlandığı ifade edilmektedir.6 Söz konusu Direktifin gelişen bilişim ağları ve yoğunlaşan kişisel veri işleme faaliyetlerine tam olarak cevap verememesi sebebiyle, günün şartlarına uygun hale getirilerek daha kapsamlı ve uygulamada etkin sonuçlar doğuracak yeni bir yasal düzenleme ihtiyacı doğmuştur.7 Bu ihtiyacın giderilmesi için Avrupa Birliği (AB) vatandaşlarının kişisel verilerini güvence altına almak adına Genel Veri Koruma Yönetmeliği (GDPR- General Data Protection Regulation), 25 Mayıs 2018 tarihi itibarıyla AB’ye üye olan ülkelerde Direktifi ilga ederek yürürlüğe girmiştir.8

2010 yılında yapılan Anayasa değişikliğiyle, Anayasa’nın “Özel hayatın gizliliği” başlıklı 20’nci maddesinin son fıkrasına eklenen; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir9 hükmüyle, kişisel verilerin korunması hakkı ülkemizde anayasal bir statü kazanmıştır. Ayrıca bu hükümle yasama organı, kişisel verilerin korunmasına yönelik esas ve usulleri düzenleyen bir kanuni düzenleme yapmakla yükümlü kılınmıştır. Bu yükümlülüğün bir gereği olarak da KVKK, 07.04.2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.10

Kişisel Verileri Koruma Kurumu, KVKK’nın 19’uncu maddesinde yer alan; “Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.”11 hükmüyle oluşturulmuştur. Böylelikle idari teşkilatımızda yer alan, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz olan düzenleyici ve denetleyici kurumlara bir yenisi daha eklenmiştir. Kurumun yapısı ve idari teşkilattaki yerini kavrayabilmek için idari teşkilatımızda önemli bir yer teşkil eden düzenleyici ve denetleyici kurum kavramını ele almak gerekmektedir.

Düzenleyici ve denetleyici kurumlar bir diğer ismiyle bağımsız idari otoriteler yasamanın, yürütmeye olan güvensizliğinin bir sonucu olarak ilk olarak ABD’de ortaya çıkmıştır.12 Bu kurumların ortaya çıkmasındaki temel etken, ekonomik alanda farklı eyaletlerdeki farklı standartların yaratacağı istikrarsızlıktan kaçarak düzenlemelerin federalleşmesi ve bu federalleşme sağlanırken de siyasal anlamda güçlü bir aktör olan başkanın dışında bağımsız yapılara ihtiyaç duyulmasıdır.13 Zira seçimle gelen ve diğer seçimde el değiştirme ihtimali olan yürütme erkine belli bir sektörün denetlenmesi ve düzenlenmesiyle ilgili önemli yetkilerin verilmesi idari istikrar ve hukuki güvenlik sorunu doğurabilecektir.14 Bağımsız idari otoriteler bu noktada siyasi otoritenin alanını , faaliyet konusuna giren hususlarda daraltmakta ve ekonomik işleyişin temel alanlarını tekno-bürokratlara bırakmaktadır.15 Bu kurumların hayata geçirilmesinde serbest piyasa ekonomisine yönelik düzenleme yapma ihtiyacı, temel hakların ve özgürlüklerin güvence altına alınması gereği ve idarenin keyfi tutumuna karşı bireylerin haklarının ve menfaatlerinin savunulması gibi etmenler öne çıkmaktadır.16 Dolayısıyla yürütme erkinden bağımsız faaliyet yürütüyor olması sebebiyle, bağımsız idari otoritelerin, liberal bakış açısının piyasanın dış müdahalelerden uzak kendi dinamikleri içinde seyretmesi arzusu ile bazı sektörlerin devletçe denetlenmesi ve düzenlenmesi ihtiyacı dilemmasında bir nevi orta yol işlevi gördüğünü söyleyebiliriz.

Ancak federal bir sistemde bahis konusu otoritelerin ön plana çıkan bağımsızlık özelliği, üniter sistemlerde gerçek anlamda geçerlik kazanamamaktadır.17 Nitekim üniter devlet sistemini benimseyen ülkelerden biri olan Fransa’da bağımsız idari otoritelerin benimsenmesi, Fransız sistemi ile uyumlu bir biçimde gerçekleşmiştir.18 Amerikan federal sisteminde bunlar mevcut üç erkten bağımsız olarak düşünülürken, Fransız üniter sisteminde idari otorite yani merkez teşkilatı içerisinde yürütme erkine dahil birimler olarak benimsenmiştir.19

Ülkemizde ise düzenleyici ve denetleyici kurumlar 1980 yılından itibaren sayıları hızla artan ve klasik idari teşkilat yapısı içinde ne ABD’de olduğu gibi tamamen bağımsız ne de Fransa’da olduğu gibi merkez teşkilatın içinde yer alan kurumlardır. Kendine özgü bir nitelik arz eden, üst kurul, düzenleme kurumu veya düzenleme ve denetleme kurumu adıyla örgütlenmiş olan, bağımsız idari otoriteler olarak da anılan20 kamu tüzel kişiliğini haiz kurumlardır.21 Bu çerçevede ifade edebilir ki, ülkemiz uygulamasında düzenleyici ve denetleyici kurum olarak isimlendirilen bağımsız idari otoritelerin, bağımsızlık özelliğinden ziyade idari otorite karakteri ön plana çıkmaktadır.22 İdari karakteri ön planda olan düzenleyici ve denetleyici kurumların idari teşkilatımızdaki yerinin neresi olduğu ise doktrinde tartışmalıdır. Anayasanın 123’üncü maddesinin ikinci fıkrasına göre, idarenin kuruluş ve esasları merkezden yönetim ve yerinden yönetim esaslarına dayanır. Maddede ifade edilen merkezden yönetim kuruluşları, devlet tüzel kişiliğini ve bunun içinde yer alan ayrı tüzel kişiliği bulunmayan idari birimleri ifade etmekte olduğundan ve düzenleyici ve denetleyici kurumlar ayrı tüzel kişiliğe sahip olduğundan merkezden yönetim içinde yer almamaktadır.23 Düzenleyici ve denetleyici kurumların merkez teşkilatından bağımsız olduğu konusunda bir tartışma bulunmamakla birlikte yerinden yönetim teşkilatının neresinde yer aldığı konusunda doktrinde farklı görüşler bulunmaktadır.24 Bu görüşlerden kimi; “bağımsız idari otoriteler (autorités administratives indépendantes) veya Türk mevzuatında isimlendirildiği şekliyle ‘düzenleyici ve denetleyici kurumlar’, devletten ayrı bir kamu tüzel kişiliğe sahip olduklarına ve bir mahalli idare de olmadıklarına göre, birer hizmet yönünden yerinden yönetim kuruluşu, yani birer kamu kurumudurlar.”25 diyerek, düzenleyici ve denetleyici kurumları hizmet yönünden yerinden yönetim kuruluşu olarak nitelendirmektedir.26 Bizim de katıldığımız baskın görüş ise Türk hukukunda, düzenleyici ve denetleyici kurumları, yerinden yönetim içinde; ancak yer yönünden yerinden yönetim (mahalli idareler) ve hizmet yönünden yerinden yönetim kuruluşları dışında ayrı bir kategori olarak ele almaktadır.27

Tüm bu gerekçelerle şu an itibarıyla 11 düzenleyici ve denetleyici kurumdan birisi olan Kişisel Verileri Koruma Kurumunun kamu tüzel kişiliğini haiz ve organik anlamda yürütme erkine bağlı, idari teşkilatın içinde yer alan bir kurum olduğunu söyleyebiliriz. İdari teşkilatın içinde ise Kişisel Verileri Koruma Kurumu, yerinden yönetim kuruluşları arasında yer bakımından yerinden yönetim kuruluşları ve hizmet bakımından yerinden yönetim kuruluşları dışında ayrı bir kategori olan düzenleyici ve denetleyici kurumlar başlığı altında ele alınmalıdır. Bununla birlikte KVKK, Kişisel Verileri Koruma Kurumunun, Cumhurbaşkanı’nın görevlendireceği bakan ile ilişkili olacağını düzenlemiştir.28 Bu açıdan Kişisel Verileri Koruma Kurumu idari teşkilatımızda yer alan ilişkili kuruluşlardandır. 2018/1 sayılı Cumhurbaşkanlığı Genelgesi29 uyarınca Kurum, Adalet Bakanlığı ile ilgilendirilmiştir.30 Belirtmek gerekir ki, 3046 sayılı Bakan Yardımcılarının Mali Hakları ve Bazı Düzenlemeler Hakkında Kanun uyarınca Cumhurbaşkanı bağlı, ilgili ve ilişkili kurumları belirleme yetkisine sahiptir. Bu Kanuna göre Cumhurbaşkanınca, düzenleyici ve denetleyici kurumlar dahil olmak üzere bağlı, ilgili ve ilişkili kuruluşlar, Cumhurbaşkanlığı veya bakanlıklarla ilgilendirilebilir. Bakan, bağlı, ilgili ve ilişkili kuruluşların her türlü faaliyet ve işlemlerini denetlemeye yetkilidir.31 Bu Kanun hükmü de, ülkemizde düzenleyici ve denetleyici kurum olarak ifade edilen bağımsız idari otoritelerin, bağımsızlık karakterinin zayıf; idari karakterinin güçlü olduğuna işaret etmektedir.

II. Kişisel Verileri Koruma Kurumunca Uygulanabilecek İdari Yaptırımlar

Hukuksal anlamda yaptırım, bir hukuk kuralının ihlal edilmesi durumunda hukuk düzenince öngörülen tepki olarak tanımlanmakta ve hukuk normlarının emir ve yasaklarına uyulmasını sağlayan hukuksal güç veya hukuksal zorlama araçları anlamına gelmektedir.32 Yasaların açıkça yetki verdiği bazı hallerde, idarenin doğrudan doğruya bir işlemi ile araya yargısal karar girmeden, idare hukukuna özgü usullerle vermiş olduğu cezalara bir başka deyişle uyguladığı müeyyidelere idari yaptırım denir.33 İdari yaptırımlar, kanunilik ilkesi gereği, ancak bir kanuni düzenleme ile hukuki âlemde varlık kazanabilirler.34 İdari yaptırımlar, idari usullerle, idarece uygulanan yaptırımlar olup, idare hukukunun bir parçasıdır.35 İdari yaptırımların iki temel özelliği bulunmaktadır. Bunlardan ilki bir mevzuat ihlalinin doğrudan karşılığı olarak yani mevzuat ihlaline yanıt olarak verilmesi ve ikincisi hukuksal bir zorlama içermesidir.36 Bunların yanı sıra cezalandırıcılık ve önleyicilik özelliği ile yargıç kararına ihtiyaç duyulmadan idarece re’sen uygulanabilme özelliği de ön plana çıkmaktadır.37 Bu minvalde idari yaptırımların genel amacının özgürlüklerin korunması ve kamu düzeninin sağlanması olduğu kabul edilmektedir.38

İdari yaptırımlar öğretide çeşitli şekillerde sınıflandırılmaktadır.39 Ancak idari faaliyetlerin çeşitliliği ve yaptırımların bu çeşitli faaliyet alanlarında idari düzeni sağlama hedefi sebebiyle yaptırımlara ilişkin genel geçer bir sınıflandırma yapılması son derece zordur.40 Zira trafik düzenini ihlal sebebiyle verilen bir trafik cezası, sokaktaki dilencinin dilencilik sonucu elde ettiği gelire el konulması, öğrenciye kopya çektiği gerekçesiyle verilen uzaklaştırma cezası, memura işe geç gelmesi sebebiyle verilen uyarma cezası, Bankacılık Düzenleme ve Denetleme Kurumunun bankalara verdiği para cezaları ile Kişisel Verileri Koruma Kurumunun sosyal medya devlerine verdiği para cezalarının (örnekler çoğaltılabilir) hepsi birer idari yaptırımdır.

Pozitif hukukta 5326 sayılı Kabahatler Kanunu, idari yaptırımları idari para cezaları ve idari tedbirler olarak iki ana gruba ayırmaktadır. İdari para cezalarını maktu ve nispi para cezaları; idari tedbirleri ise mülkiyetin kamuya geçirilmesi ve diğer tedbirler olarak kendi içinde ikiye ayırmaktadır.41 Bu sınıflandırma genel olarak tüm idari para cezası yaptırımları için değil de, sadece teknik olarak kabahatlerin, yani Kabahatler Kanununun ikinci kısmında belirtilen basit, nitelikli ihlal ve yaptırımlar için yerinde bir sınıflandırma olarak kabul edilebilirdi. Ancak Kabahatler Kanunu “İdari Yaptırımlar” isimli 3’üncü bölümünde “yaptırım türleri” başlıklı 16’ncı maddesinde bu tasnifi, sadece kabahatler için değil; idari para cezası içeren tüm idari yaptırımlar için geçerli olacak şekilde öngörmüştür.42 Bu durum ileride değineceğimiz ve bu çalışmamızın da ana konusu olan Kişisel Verileri Koruma Kurumunun uyguladığı yaptırımlara karşı başvuru yolları konusunu da etkileyecek şekilde önemli birtakım problemlere yol açmaktadır. Zira buna göre Kişisel Verileri Koruma Kurumu tarafından uluslararası bir şirkete verilen ve boyutu milyonlarca liraya ulaşabilen bir idari para cezası ile gürültü yaparak komşusunu rahatsız eden kişiye verilen ceza aynı kategoridedir. Enerji Piyasası Düzenleme Kurumu tarafından verilen ve ülke çapında enerji sektörünü etkileyebilecek bir ceza ile sokaktaki dilenciye polis tarafından verilen ceza aynı kategoridedir. İdari cezaların önemli bir kısmını oluşturan disiplin cezalarına ise yer verilmemiştir. Dolayısıyla Kabahatler Kanununda öngörülen bu sınıflandırma ihtiyaca cevap vermekten çok uzak kalmaktadır.

Ulusoy, bu sebeplerle, idari yaptırımlar için yapılması gereken en doğru sınıflandırmanın, öncelikle idari cezaların idari tedbirlerden ayrıştırılması ve ardından idari cezaların kendi içinde regülatif cezalar, kabahat cezaları ve disiplin cezaları olmak üzere üç ana başlık altında ele alınması şeklinde olması gerektiğini ifade etmektedir.43 Kanaatimizce idari yaptırımlar konusunda bu sınıflandırmanın esas alınması belli eksikliklerin dışında yerinde olacaktır. Zira regülatif cezalar ile kabahat cezalarının ve disiplin cezalarının birbirinden ayrıştırılması ve her kategorinin kendi içerisinde kendi özelliklerine göre düzenlemelere muhatap olması önemli bir gerekliliktir.

Regülatif yaptırımlar, spesifik bir alanda kamu düzenini korumak veya belli bir sektörü regüle etmek amacıyla o konularda özel olarak yetkilendirilmiş idari makamlar tarafından uygulanan idari yaptırımlar olarak tanımlanabilir.44 Regülatif yaptırım uygulama yetkisine sahip düzenleyici ve denetleyici kurumların temel amacı yeni teknolojilerin ve mali enstrüman ve manipülasyonların bazı temel hakları ve özgürlükleri ve ekonomik düzeni tehdit ve ihlal etmesine karşın bireylerin temel haklarının ve menfaatlerinin ve kamu düzeninin temel dinamiklerinin korunmasını sağlamaktır.45 KVKK bu sebeple, bireylerin günümüzde temel insan haklarından kabul edilen kişisel verilerini korumak ve bu alanı regüle etmek amacıyla Kişisel Verileri Koruma Kurumunu kurarak idari yaptırım uygulama yetkisi vermiştir.

Kişisel Verileri Koruma Kurumunun karar organı Kişisel Verileri Koruma Kuruludur. KVKK’nın “Kurulun Görev ve Yetkileri” başlıklı 22’nci maddesinin birinci fıkrasının (ğ) bendinde yer alan; “Bu Kanunda öngörülen idari yaptırımlara karar vermek” ifadesiyle Kurul, idari yaptırım uygulamak noktasında yetkilendirilmiştir. Kurulun uygulayabileceği idari yaptırımlar da yine KVKK’nın 18’inci maddesinde46 düzenlenmiştir.47

Yukarıda belirtilen idari para cezalarına ek olarak KVKK, “Kurulun Görev ve Yetkileri” başlıklı 22’nci maddesinin birinci fıkrasının (c) bendinde; “Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak” şeklinde, Kurula geçici önlem alma yetkisi de vermiştir. Bu önlemler yargı yolu bakımından son derece önem arz etmektedir. Zira aşağı bölümde ayrıntılı olarak ele alacağımız üzere Kurulca uygulanan idari para cezalarına karşı başvurulacak yargı yolu ile para cezasının yanında uygulanan ve idari yargı denetimine giren bir başka işlemin uygulanması durumunda başvurulacak yargı yolu farklıdır.

Görüldüğü üzere yasakoyucu, Kişisel Verileri Koruma Kurumuna da diğer düzenleyici ve denetleyici kurumlarda olduğu gibi ağır yaptırımlar uygulama yetkisi vermiştir.48