Kişisel Verileri Koruma Kurulu Kararına Anayasa Mahkemesi Müdahalesi: İdari Yorumla Kabahat Genişletilemez

Anayasa Mahkemesi’nin (“AYM”) 16 Haziran 2026 tarihli Resmî Gazete’de yayımlanan 27.01.2026 tarihli ve 2020/32193 başvuru numaralı bireysel başvuru kararı, kişisel verilerin korunması hukuku ve idare hukuku prensipleri açısından önemli değerlendirmeler içermektedir. Karar, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) son yıllarda rehberler ve genişletici yorumlar vasıtasıyla tesis ettiği idari para cezası uygulamalarına sınır çizmektedir.

Karara konu olayda; bir sigorta şirketi, internet ortamında herkese açık durumda bulunan kişisel verileri teklif hazırlama amacıyla işlemiştir. İlgili kişinin şikayeti üzerine Kurul, verilerin işlenme amacının veriyi alenileştiren kişinin alenileştirme iradesine aykırı olduğu ve bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12. maddesinde düzenlenen veri güvenliği yükümlülüklerinin ihlali anlamına geldiği gerekçesiyle şirket aleyhine idari para cezası uygulamıştır. Şirket tarafından yargıya taşınan ve nihayetinde AYM önüne gelen ihtilafın özünü; kanunda açıkça yer almayan alenileştirme iradesine uygunluk kıstasının Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanan rehberlerde yer alan ifadelere ve idari yoruma dayalı olarak bir kabahat unsuru haline getirilip getirilemeyeceği oluşturmaktadır.

AYM kararında, Kabahatler Kanunu’nun 4/2. maddesinde yer alan “Kabahat karşılığı olan yaptırımların türü, süresi ve miktarı ancak kanunla belirlenebilir” hükmüne atıf yapılarak, cezalandırma yetkisinin mutlak surette yasama organına ait olduğu hatırlatılmıştır. Ceza hukukunda olduğu gibi kabahatler hukukunda da kıyas yasağının geçerli olduğu ve idarenin yorum yoluyla mevcut bir kabahatin sınırlarını genişletemeyeceği vurgulanmıştır.AYM’ye göre, kanun koyucu KVKK bünyesinde sınırlı sayıda kabahat tipi belirlemiş ve her mevzuat aykırılığının doğrudan idari para cezasıyla sonuçlanmamasını bilinçli bir politik tercih olarak kurgulamıştır. Bu çerçevede, Kurul'un bugüne kadar neredeyse her kanuna aykırılık iddiasını, ucu açık bir torba hüküm gibi işlev gören madde 12 (veri güvenliği yükümlülükleri) kapsamına sokarak cezalandırması, ceza hukukunun temel ilkelerine aykırı bulunmuştur. Nitekim kanun koyucu, 2024 yılındaki KVKK değişikliklerinde özel nitelikli kişisel veriler için alenileştirme iradesini (m.5 ve m. 6/3-ç) açıkça aramayı tercih etmişken, genel nitelikli veriler için Kurul'un bu iradeyi yorum yoluyla aramaya çalışması yasama yetkisine müdahale olarak değerlendirilmiştir.

Kararın bir diğer önemli boyutu ise Kurum tarafından yayımlanan rehberlerin hukuki bağlayıcılığına ilişkindir. Kurul rehberleri, veri sorumlularına yol gösteren ve yumuşak hukuk (soft law) niteliğindeki atipik düzenleyici işlemlerdir. AYM, bu rehberlerde yer alan ilkelerin veya idari yorumların doğrudan cezai bir yaptırıma dayanak kılınmasını Anayasanın 38. maddesinin birinci fıkrasında düzenlenen suçta ve cezada kanunilik ilkesine aykırı bulmuştur. AYM^, kararında, rehberlerin asıl işlevinden saptırılarak adeta bir yönetmelik veya kanun gibi cezalandırma normu olarak kullanılmasının, şekil şartlarını ve normlar hiyerarşisini zedelediğini belirtmiştir.

AYM’nin bu kararı, KVKK uygulamasında Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) paralelinde kapsamlı bir kabahat reformu yapılmasının gerekli olduğu yönündeki yorumları beraberinde getirmektedir. AYM kararının yalnızca Kişisel Verileri Koruma Kurumu bakımından değil, kılavuz ve rehberler yayımlayarak yaptırımlara tabi kanun hükümlerinin uygulanmasına yönelik kılavuz ve rehberler yayımlayan tüm düzenleyici ve denetleyici otoriteler bakımından önemli olduğu değerlendirilmektedir. İncelediğimiz AYM kararı ışığında, düzenleyici ve denetleyici kurumların kılavuz ve rehber çalışmaları kapsamında kanunilik riayet etmeleri önem arz etmektedir.

YAZARLAR

Nuri Melih İnce

Osman Tuna Kısaoğlu