Makale

Günümüzde devletin yürüttüğü idari faaliyetler kapsamında vatandaşlara ait çok sayıda kişisel veri idare tarafından işlenmekte ve depolanmaktadır. İdarenin bu veri işleme süreçlerinde hukuka uygun davranma ve veri güvenliğini sağlama yükümlülüğü Anayasa ve idare hukuku prensipleri ile güvence altına alınmıştır. Devletin, yürütme organı olarak kamu hizmetlerini yerine getirirken kişilerin temel hak ve özgürlüklerini koruması bir hukuk devleti gerekliliğidir. Özellikle idari nitelikteki kolluk faaliyetleri, cezaevi idaresi işlemleri ve çeşitli kayıt sistemlerinin yönetilmesi aşamasında kişisel verilerin hukuka aykırı şekilde ifşa edilmesi, yetkisiz kişilerle paylaşılması veya yasal süreler dolmasına rağmen silinmemesi, bireylerin özel hayatına ciddi bir müdahale teşkil etmektedir. Bu tür hukuka aykırılıklar sonucunda bireylerin uğradığı zararların tazmini, Anayasa'nın 125. maddesinde güvence altına alınan idarenin mali sorumluluğu çerçevesinde değerlendirilmelidir. Dolayısıyla idare, kendi eylem ve işlemlerinden doğan zararları karşılamakla yükümlü kılınarak hukuk devleti ilkesinin bir gereği olarak idari yargı denetimine tabi tutulmuştur.

İdarenin Kusur Sorumluluğu ve Hizmet Kusuru

İdare hukukunda idarenin sorumluluğunun temel dayanaklarından biri hizmet kusuru ilkesidir. Kamu hizmetinin geç işlemesi, kötü işlemesi veya hiç işlememesi durumlarında idarenin hizmet kusuru işlediği kabul edilmektedir. Kişisel verilerin korunması bağlamında idare, veri kayıt sistemlerini hukuka uygun bir şekilde kurmak, yönetmek ve yetkisiz erişimlere karşı gerekli idari ve teknik tedbirleri almakla mükelleftir. Veri sorumlusu sıfatını haiz olan idari makamların, örneğin tutuklu veya hükümlülerin mektuplarını denetlerken kişisel verileri gereksiz yere bilişim sistemlerine kaydetmesi veya saklama süresi dolan verileri imha etmemesi hizmetin kötü işlemesi anlamına gelir. Benzer şekilde, beraat kararı verilmesine veya cezanın infaz edilmesine rağmen idari kolluk tarafından tutulan kayıtların silinmemesi nedeniyle kişinin iş bulamaması veya itibarının zedelenmesi durumunda idare, kamu hizmetini gereği gibi yürütmediği için kusurlu sayılacaktır. Yargı kararlarında da istikrar kazandığı üzere, idarenin personelini iyi seçmeme, gözetim yükümlülüğünü ihlal etme gibi ihmalleri hizmet kusuru oluşturduğundan, zararın idare tarafından karşılanması gerekmektedir.

Kamu Görevlilerinin İşlemleri ve İdareye Karşı Dava Açılması

İdari işlemler genellikle idare bünyesinde istihdam edilen memurlar ve diğer kamu görevlileri eliyle yürütülmektedir. Bu noktada kamu görevlilerinin yetkilerini kullanırken işledikleri kusurlardan doğan zararların kim tarafından tazmin edileceği büyük önem taşır. Anayasa'nın 129. maddesi ve Devlet Memurları Kanunu'nun 13. maddesi uyarınca, memurların görevleri sırasındaki kusurlu fiillerinden doğan tazminat davaları doğrudan doğruya ilgili memur aleyhine değil, ancak idare aleyhine açılabilir. Anayasa'nın 40. maddesinde de kişilerin resmi görevliler tarafından maruz kaldığı haksız işlemler sonucu uğradığı zararların kanuna göre devletçe tazmin edileceği açıkça hüküm altına alınmıştır. Örneğin, cezaevinde görevli kalem memurlarının veya kolluk personelinin kişisel verileri ifşa etmesi, yetkisi olmayan kişilerle paylaşması veya kasten yok etmemesi durumunda dahi sorumluluk idareye aittir. Görevlinin kusuru hizmetten ayrılabilen salt kişisel bir kusur olmadığı müddetçe, idare zararı karşılamakla yükümlüdür ve sonrasında ödediği tazminatı ilgili kusurlu personele rücu etme hakkını saklı tutar.

İdarenin Veri Güvenliğinden Doğan Kusursuz Sorumluluğu

İdarenin kişisel verilere ilişkin sorumluluğu yalnızca kusura dayanan bir sorumluluk türü ile sınırlı kalmamaktadır. Günümüz dijitalleşen kamu hizmetlerinde idarenin kusursuz sorumluluk ilkesi ve risk prensibi çerçevesinde de sorumlu tutulması mümkündür. İdare, vatandaşlara ait çok hassas verileri depoladığından, bu sistemlerin siber saldırılara veya dışarıdan gelebilecek her türlü yetkisiz müdahaleye karşı korunmasında üst düzey bir güvenlik sağlamak zorundadır. İdare, veri güvenliğini sağlamak için mevzuatta öngörülen tüm idari ve teknik tedbirleri eksiksiz bir şekilde almış olsa dahi, siber saldırı sonucu milyonlarca vatandaşın verisinin sızdırılması durumunda ortaya çıkan zararlardan sorumlu tutulabilmelidir. Bireylerin, kendilerinden toplanan verilerin idarece güvenle saklanacağına dair meşru bir beklentisi vardır. Bu nedenle, idarenin dijital veri depolama faaliyetlerinin bünyesinde barındırdığı olağanüstü riskler nedeniyle, veri sızıntılarından doğan zararların kusursuz sorumluluk kurallarına göre tazmin edilmesi hukukun ve hakkaniyetin bir gereği olarak karşımıza çıkmaktadır.

İdari Yargıda Tam Yargı Davası ve Süreçleri

İdarenin hukuka aykırı veri işleme faaliyetleri sonucunda kişisel verilerin korunması hakkı ihlal edilen bireylerin idari yargıda tam yargı davası açarak maddi ve manevi zararlarını talep etme hakkı bulunmaktadır. İdari Yargılama Usulü Kanunu uyarınca, idari eylem sonucunda hakları ihlal edilen kişiler, zarara uğradıklarını öğrendikleri andan itibaren belirli yasal süreler içerisinde öncelikle idareye başvurmak zorundadır. Bu davalarda idare mahkemesi, idarenin eylemi ile ortaya çıkan zarar arasında bir illiyet bağı bulunup bulunmadığını ve idarenin hukuki sorumluluğunu incelemektedir. Veri ihlallerinde genellikle kişilerin yaşadıkları elem, üzüntü ve itibar zedelenmesi nedeniyle manevi tazminat talepleri ön plana çıksa da, iş kaybı gibi maddi zararlar da talep edilebilmektedir. İdari eylemlerden kaynaklı veri ihlallerinde açılacak tam yargı davasının temel şartları şunlardır:

• İdareye atfedilebilen hukuka aykırı bir veri işleme eyleminin veya eylemsizliğinin bulunması.
• Kişisel verilerin hukuka aykırı işlenmesi neticesinde kişinin kesinleşmiş maddi veya manevi bir zarara uğraması.
• İdarenin gerçekleştirdiği idari faaliyet ile söz konusu zarar arasında geçerli bir nedensellik bağının (illiyet bağının) mevcut olması.