ALENİLEŞTİRİLMİŞ VERİLERİN İŞLENMESİNE İLİŞKİN ANAYASA MAHKEMESİ KARARI

Anayasa Mahkemesi’nin (“Mahkeme”), alenileştirilmiş kişisel verilerin kullanılması nedeniyle uygulanan idari para cezası bakımından suçta ve cezada kanunilik ilkesinin ihlal edildiğine ilişkin kararı, 16/06/2026 tarihli ve 33282 sayılı Resmî Gazete’de yayımlanmıştır.

Olayın Özeti

Bir kişi, daha önce herhangi bir müşteri ilişkisi bulunmamasına rağmen sigorta şirketi tarafından telefonla aranarak sigorta ürünleri hakkında bilgilendirildiğini ve kişisel verilerinin açık rızası olmadan elde edildiğini ileri sürerek şikâyette bulunmuştur.

Şirket ise savunmasında, ilgili kişinin telefon numarası ve diğer iletişim bilgilerinin internet üzerinde herkese açık şekilde erişilebilen bir internet sitesinden temin edildiğini, söz konusu bilgilerin ilgili kişi tarafından kamuya açık hâle getirildiğini ve bu nedenle kişisel verilerin alenileştirilmiş veri niteliğinde olduğunu ileri sürmüştür. Bu kapsamda şirket, ilgili kişinin kişisel verilerini bizzat alenileştirmiş olması nedeniyle, Kişisel Verileri Koruma Kanun’u (“Kanun”) uyarınca açık rıza alınmaksızın gerçekleştirilen kişisel veri işleme faaliyetinin hukuka uygun olduğunu savunmuştur.

Kurul’un Yaklaşımı

Kişisel Verileri Koruma Kurul’u (“Kurul”), şirketin dayandığı Kanun hükmünü değerlendirirken, ilgili kişinin kişisel verilerini alenileştirmiş olmasının bu verilerin her amaçla işlenebileceği anlamına gelmediğini vurgulamıştır. Bu kapsamda Kurul; telefon numarasının internet ortamında yer almasının, söz konusu verilerin ticari amaçlarla kullanılabileceği sonucunu doğurmadığını, ilgili kişinin iletişim bilgilerinin belirli bir amaç doğrultusunda kamuya açık hâle getirilmiş olmasının ise bunların farklı amaçlarla kullanılmasını hukuka uygun kılmayacağını belirtmiştir.

Kurul ayrıca, bir kişinin iletişim bilgilerinin internette yayımlanmasının, bu bilgilerin pazarlama faaliyetlerinde kullanılmasına yönelik bir irade açıklaması olarak değerlendirilemeyeceğini ifade etmiş; alenileştirilmiş kişisel verilerin ancak ilgili kişinin alenileştirme amacıyla bağlantılı ve bu amaçla sınırlı olarak işlenebileceğinin altını çizmiştir.

Kurul, şirketin kişisel verileri hukuka aykırı şekilde işlediği gerekçesiyle 100.000 TL idari para cezası uygulamıştır. Şirketin bu karara karşı yaptığı başvuru üzerine Sulh Ceza Hâkimliği yalnızca ceza miktarında düzeltme yapmış, yaptırımın esasına ilişkin itirazları reddetmiştir. Bunun üzerine şirket, suçta ve cezada kanunilik ilkesinin ihlal edildiği iddiasıyla Anayasa Mahkemesi’ne bireysel başvuruda bulunmuştur.

Anayasa Mahkemesi’nin Değerlendirmesi

Mahkeme öncelikle idari para cezalarının da Anayasa’nın 38. maddesi kapsamında “suçta ve cezada kanunilik ilkesi” bakımından değerlendirilmesi gerektiğini vurgulamıştır. Buna göre yalnızca suçların değil, kabahatlerin ve bunlara uygulanacak idari yaptırımların da kanuni bir temele dayanması gerekir. Bir kişinin hangi davranışının yaptırım doğuracağını önceden öngörebilmesi ve idarenin keyfî yorumlarına karşı korunması hukuk devletinin temel gereklerindendir. Bu nedenle yaptırım uygulamasına dayanak oluşturan kuralların erişilebilir, belirli ve öngörülebilir olması gerektiğini belirtmiştir.

Mahkeme daha sonra somut olaydaki kanuni düzenlemeyi incelemiştir. Kanun’un 5/2-d maddesi, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerinin işlenebileceğini düzenlemektedir. Ancak maddede, alenileştirilen verilerin yalnızca “alenileştirme amacıyla bağlantılı olarak” işlenebileceğine ilişkin açık bir ifade bulunmadığını tespit etmiştir. Mahkeme’ye göre Kurul’un şirkete ceza verirken dayandığı temel gerekçe, verilerin ilgili kişi tarafından alenileştirilmiş olmasına rağmen alenileştirme amacı dışında kullanılmasıdır. Buna karşın söz konusu kriter doğrudan kanun metninden değil, Kurul’un yorumundan ve Kurum rehberlerine dayalı olmasından kaynaklı ortaya çıkmaktadır.

Mahkeme, Kurul’un yorumunun kanun metninden doğal bir sonuç olarak çıkarılamayacağını, kanunda yer almayan ve sınırları açık şekilde belirlenmemiş bir kriterin sonradan yorum yoluyla oluşturularak idari para cezasına dayanak yapılmasının kanunilik ilkesinin sağladığı güvenceleri zayıflattığını belirtmiştir. Bu kapsamda Mahkeme, Kurul’un yorumunun isabetli olup olmadığını değil, yaptırıma dayanak teşkil edecek ölçüde açık ve öngörülebilir bir kanuni temele sahip olup olmadığını incelemiştir. Sonuç olarak Mahkeme, kanunda açıkça öngörülmeyen bir sınırlamanın Kurul rehberleri veya idari yorumlar aracılığıyla veri sorumluları bakımından bağlayıcı bir yükümlülüğe dönüştürülmesinin ve bu yükümlülüğün ihlali gerekçesiyle idari para cezası uygulanmasının suçta ve cezada kanunilik ilkesiyle bağdaşmayacağı sonucuna ulaşmıştır.

Mahkeme’nin üzerinde durduğu bir diğer husus, başvurucu şirketin veri işleme sürecindeki hukuki konumudur. Kurul, şirketi veriyi işleyen veri sorumlusu olarak değerlendirerek doğrudan idari yaptırıma tabi tutmuşsa da Mahkeme, şirketin söz konusu verileri kendisinin alenileştirmediği ve bunları üçüncü kişiler tarafından oluşturulan bir internet kaynağından temin ettiği yönündeki savunmasının yeterince incelenmediğini belirtmiştir. Mahkeme’ye göre, verilerin hangi yolla elde edildiği, veri akışının nasıl gerçekleştiği ve şirketin bu süreçteki rolü ile sorumluluğunun somut olay özelinde daha ayrıntılı şekilde ortaya konulması gerekmektedir.

Sonuç

Mahkeme, başvurunun kabul edilebilir olduğuna karar vermiş ve şirkete uygulanan idari yaptırım bakımından Anayasa’nın 38. maddesinde güvence altına alınan suçta ve cezada kanunilik ilkesinin ihlal edildiği sonucuna ulaşmıştır. Mahkeme, ihlalin sonuçlarının giderilebilmesi amacıyla dosyanın yeniden yargılama yapılmak üzere İstanbul Anadolu 5. Sulh Ceza Hâkimliği’ne gönderilmesine hükmetmiştir. Ayrıca başvurucu şirket lehine yargılama giderleri ile vekâlet ücretinin ödenmesine karar vermiştir.

Herhangi bir sorunuz olması halinde, bizimle iletişime geçebilirsiniz.