6698 sayılı KVKK kapsamında, Kişisel Verileri Koruma Kurulu'nun idari para cezası verme yetkisi ile Kabahatler Kanunu m. 17/2'de yer alan 'failin kusuru ve iktisadi durumu'nun dikkate alınması ilkesi arasındaki ilişkiyi açıklayınız. Kurul'un bu ilkeye uymaması, kararın hangi yönden hukuka aykırı hale gelmesine neden olur?

KVKK'da düzenlenen kabahatler ve cezalar, 5326 sayılı Kabahatler Kanunu'na tabidir. Kabahatler Kanunu m. 17/2, idari para cezasının miktarının belirlenmesinde, kabahatin haksızlık içeriği ile birlikte 'failin kusuru ve ekonomik durumu'nun da göz önünde bulundurulmasını emreder. Bu, 'cezanın bireyselleştirilmesi' ilkesinin bir yansımasıdır. Kişisel Verileri Koruma Kurulu, KVKK m. 18'deki geniş ceza aralığı içinde bir miktar belirlerken bu ilkeye uymak zorundadır. Örneğin, aynı veri ihlalini, tüm önlemleri almasına rağmen siber saldırı sonucu yaşayan (kusuru az) ve ekonomik durumu zayıf bir KOBİ ile, hiçbir önlem almadığı için (kusuru ağır) yaşayan ve çok karlı büyük bir şirkete aynı miktarda ceza veremez. Eğer Kurul, kararında failin kusurunu ve ekonomik durumunu değerlendirdiğine ve cezayı buna göre orantılı bir şekilde belirlediğine dair bir gerekçeye yer vermezse, kararı 'gerekçe' yönünden ve 'ölçülülük' ilkesine aykırılık yönünden hukuka aykırı hale gelir ve idari yargıda iptal edilebilir.