Bir şirketin, 6698 sayılı KVKK'yı ihlal ederek veri güvenliğini sağlayamadığı tespit edilmiştir. Kurul, idari para cezası verirken, şirketin ihlalden sonra denetim makamıyla (Kurul ile) yaptığı işbirliğinin derecesini ve ihlalin olası olumsuz etkilerini azaltmak için gösterdiği çabayı dikkate alabilir mi? Bu durumun hukuki dayanağı nedir?

Evet, dikkate alabilir ve almalıdır. Her ne kadar KVKK'da bu durum spesifik olarak sayılmamış olsa da, bu tür davranışların dikkate alınmasının iki temel hukuki dayanağı vardır: 1. **Kabahatler Kanunu m. 17/2:** Bu madde, cezanın belirlenmesinde 'kabahatin haksızlık içeriği' ve 'failin kusuru'nun göz önünde bulundurulacağını belirtir. Şirketin, ihlalden sonra Kurul ile tam bir işbirliği içinde olması, delilleri sunması, süreci kolaylaştırması ve zararı azaltmak için (örneğin, etkilenen kişileri bilgilendirip önlem almalarını sağlaması gibi) aktif çaba göstermesi, hem 'haksızlık içeriğini' azaltan hem de failin 'kusurunun' ağırlığını hafifleten bir durumdur. Bu, cezanın bireyselleştirilmesinde dikkate alınması gereken bir hafifletici sebep olarak değerlendirilmelidir. 2. **GDPR ve Karşılaştırmalı Hukuk Yorumu (Amaçsal Yorum):** GDPR m. 83/2, bu durumu (denetim makamıyla işbirliği derecesi) açıkça bir kriter olarak saymıştır. KVKK'nın GDPR'dan esinlenerek hazırlandığı ve amacının veri güvenliğini sağlamak olduğu düşünüldüğünde, veri sorumlularını ihlal sonrası sorumlu davranmaya ve işbirliğine teşvik eden bir yorum, kanunun amacına daha uygun olacaktır. Bu tür iyi niyetli çabaların cezanın belirlenmesinde dikkate alınması, diğer veri sorumluları için de olumlu bir örnek teşkil eder. (Bkz: sen.av.tr/tr/makale/kvkk-tarafindan-verilen-idari-para-cezalari-ve-ongorulebilirligi)