Bir şirketin, 6698 sayılı KVKK'yı ihlal etmesi nedeniyle Kişisel Verileri Koruma Kurulu tarafından idari para cezasına çarptırıldığını varsayalım. Bu cezanın miktarının belirlenmesinde, GDPR m. 83/2'de sayılan ancak KVKK'da açıkça yer almayan 'ihlalin kasıtlı olması veya ihmalkarlıktan kaynaklanması' ve 'veri sahiplerinin yaşadığı zararın azaltılması için kontrolör tarafından gerçekleştirilen herhangi bir işlem' gibi faktörler, Türk hukukunda hangi genel ilke çerçevesinde dikkate alınabilir?

Bu faktörler, Türk hukukunda doğrudan 5326 sayılı Kabahatler Kanunu'nun 17. maddesinin 2. fıkrası çerçevesinde dikkate alınabilir ve alınmalıdır. Bu fıkra, idari para cezasının miktarının belirlenmesinde, 'kabahatin haksızlık içeriği ile failin kusuru ve iktisadî durumu birlikte göz önünde bulundurulur.' hükmünü amirdir. Bu genel ilke, GDPR m. 83/2'deki birçok spesifik kriteri de kapsayacak genişliktedir: - **'Failin kusuru'** kriteri, ihlalin kasıtlı mı yoksa ihmalkarlıkla mı işlendiğinin değerlendirilmesini doğrudan içerir. Kasıtlı bir ihlal, daha yüksek bir kusur derecesini gösterir ve cezanın üst sınıra yakınlaştırılmasını gerektirir. - **'Kabahatin haksızlık içeriği'** kriteri, ihlalin sonuçlarının ağırlığını ifade eder. Veri sorumlusunun, zararı azaltmak için çaba göstermesi (örneğin, veri sızıntısını hemen duyurup kullanıcılara şifrelerini değiştirme çağrısı yapması), haksızlık içeriğini azaltan bir hafifletici sebep olarak değerlendirilebilir. Dolayısıyla, KVKK'da spesifik olarak sayılmamış olsa da, bu tür faktörler Kabahatler Kanunu'nun genel ilkeleri uyarınca Kurul ve idari yaptırımı denetleyen Sulh Ceza Hakimliği tarafından cezanın bireyselleştirilmesinde göz önünde bulundurulmalıdır. (Bkz: sen.av.tr/tr/makale/kvkk-tarafindan-verilen-idari-para-cezalari-ve-ongorulebilirligi)