6698 sayılı KVKK kapsamında verilen idari para cezalarının alt ve üst sınır aralığının çok geniş olması, 'hukuk devleti' ilkesinin hangi alt ilkesi açısından en temel sorunu teşkil etmektedir? Bu sorunun çözümü için GDPR uygulamasından hangi dersler çıkarılabilir?

KVKK m. 18'de düzenlenen idari para cezalarının makas aralığının çok geniş olması, en temel olarak 'belirlilik' ve 'öngörülebilirlik' ilkeleri açısından sorun teşkil etmektedir. 'Hukuk devleti' ilkesinin (Anayasa m. 2) bir gereği olan bu ilkeler, bireylerin ve kurumların hangi eylemlerinin ne tür bir yaptırımla karşılaşacağını önceden tahmin edebilmelerini gerektirir. Makas aralığının genişliği ve Kurul kararlarında cezanın alt veya üst sınırdan neden verildiğine dair şeffaf ve tutarlı bir kriter setinin olmaması, keyfiliğe yol açabilmekte ve aynı tür ihlaller için farklı miktarlarda cezalar verilmesine neden olabilmektedir. Bu sorunun çözümü için GDPR (Genel Veri Koruma Tüzüğü) uygulamasından çıkarılabilecek dersler şunlardır: 1. **Ayrıntılı Kriterler:** GDPR m. 83/2, ceza miktarının belirlenmesinde dikkate alınacak faktörleri (ihlalin niteliği, süresi, kasıt/ihmal durumu, etkilenen veri sahibi sayısı, alınan önlemler, geçmiş ihlaller vb.) ayrıntılı olarak listeler. KVKK'da da benzer, somut ve objektif kriterlerin kanuna veya bir yönetmeliğe eklenmesi, öngörülebilirliği artıracaktır. 2. **Politika Belgeleri ve Rehberler:** Alman ve Hollanda veri koruma otoritelerinin yaptığı gibi, Kurul'un da idari para cezası miktarını nasıl hesapladığına dair bir politika belgesi veya rehber yayımlaması, veri sorumlularına yol gösterir ve kararların şeffaflığını sağlar. Bu rehberlerde, şirket büyüklüğü, yıllık ciro gibi ekonomik faktörlerin nasıl hesaba katıldığı da açıklanabilir. (Bkz: sen.av.tr/tr/makale/kvkk-tarafindan-verilen-idari-para-cezalari-ve-ongorulebilirligi)