Bir şirketin, 6698 sayılı KVKK'yı ihlal ederek veri güvenliğini sağlayamadığı tespit edilmiştir. Kurul, idari para cezası verirken, şirketin 'geçmişte konuyla ilgili ihlallerinin' olup olmamasını dikkate alabilir mi? Bu durum hangi ceza hukuku ilkesiyle ilgilidir?

Evet, dikkate alabilir ve almalıdır. Şirketin geçmişte de benzer veri güvenliği ihlalleri yapmış olması, cezanın belirlenmesinde bir 'ağırlaştırıcı sebep' olarak değerlendirilir. Bu durum, ceza hukukunun temel ilkelerinden olan **'tekerrür'** ilkesiyle yakından ilgilidir. Tekerrür, bir kişinin veya kurumun, bir suçu veya kabahati işledikten sonra, belirli bir süre içinde yeniden bir suç veya kabahat işlemesidir. Bu durum, failin kurallara uymama konusundaki ısrarını ve daha yüksek bir kusur derecesini gösterir. GDPR m. 83/2-e'de bu durum açıkça bir kriter olarak sayılmıştır. Türk hukukunda ise, Kabahatler Kanunu m. 17/2'deki 'failin kusuru' ve 'kabahatin haksızlık içeriği' kavramları, bu değerlendirmeyi yapmaya olanak tanır. Daha önce de ihlalde bulunmuş bir şirketin kusuru, ilk kez ihlal yapan bir şirkete göre daha ağırdır. Bu nedenle, mükerrer ihlallerde bulunan bir şirkete, kanuni aralığın üst sınırına daha yakın bir ceza verilmesi, cezanın 'bireyselleştirilmesi' ve 'caydırıcılık' amacına uygun olacaktır. (Bkz: sen.av.tr/tr/makale/kvkk-tarafindan-verilen-idari-para-cezalari-ve-ongorulebilirligi)