Makale
Kişisel verilerin korunması hukukunda idarenin sorumluluğu, hizmet kusuru ve kusursuz sorumluluk olmak üzere iki temel esasa dayanır. Bu makalede, idarenin veri işleme faaliyetlerinden doğan hukuki sorumluluk halleri, risk ilkesi ve sorumluluğu ortadan kaldıran durumlar hukuki bir perspektifle incelenmiştir.
KVKK Kapsamında İdarenin Hukuki ve Kusursuz Sorumluluğu
İdare, yürütmekle yükümlü olduğu kamu hizmetlerini yerine getirirken devasa boyutlarda veri işleme faaliyeti gerçekleştirmektedir. Bu süreçte idarenin, vatandaşlara ait kişisel verileri hukuka uygun bir şekilde işleme ve koruma altına alma zorunluluğu bulunmaktadır. Hukuk devleti ilkesi, idarenin yalnızca kamu gücü ayrıcalıklarını kullanmasını değil, aynı zamanda hukuka aykırı işlem ve eylemleriyle neden olduğu zararları tazmin etmesini de emreder. Kişisel verilerin korunması alanında idarenin hukuki sorumluluğu, temelde kusur sorumluluğu ve kusursuz sorumluluk olmak üzere iki farklı hukuki müessese üzerinden değerlendirilmektedir. İdarenin, kendisine yüklenen veri güvenliği yükümlülüklerini ihlal etmesi, vatandaşların temel hak ve özgürlüklerini zedeleyebileceği gibi, idare açısından da ağır tazminat yükümlülüklerini beraberinde getirir. Bu bağlamda, idarenin veri sorumlusu sıfatıyla gerçekleştirdiği ihlallerin hukuki sonuçlarının ve sorumluluk rejiminin doğru bir şekilde analiz edilmesi büyük önem taşımaktadır.
İdarenin Kusur Sorumluluğu ve Hizmet Kusuru
İdare hukukunda idarenin kusura dayanan sorumluluğu, doktrin ve içtihatlarda hizmet kusuru olarak adlandırılmaktadır. Bir idari eylem veya işlem neticesinde zararın meydana gelmesi halinde, zararı doğuran olayın idareye yüklenebilir olması ve olay ile zarar arasında illiyet bağı bulunması şarttır. Hizmet kusuru temel olarak; hizmetin kötü işlemesi, geç işlemesi veya hiç işlememesi şeklinde üç farklı boyutta ortaya çıkar. Örneğin, kamu idarelerinin kişisel veri işleme faaliyetleri sırasında gerekli teknik ve idari tedbirleri almayarak verilerin üçüncü kişilerin eline geçmesine sebebiyet vermesi, hizmetin kötü işlemesi kapsamında ağır bir hizmet kusuru teşkil eder. Yüksek mahkeme kararlarında da vurgulandığı üzere, kişisel verilerin muhafazasında gösterilmesi gereken özen yükümlülüğünün ihlali, idarenin doğrudan tazmin sorumluluğunu doğurur. İdare, kamu yararı amacı gütse dahi, veri güvenliğini sağlamak için kanunun öngördüğü önlemleri eksiksiz olarak almak zorundadır.
İdarenin Kusursuz Sorumluluğu
Hizmet kusurunun bulunmadığı veya ispat edilemediği durumlarda, idarenin sorumluluğunu tamamen ortadan kaldırmak hakkaniyete aykırı sonuçlar doğurabileceğinden, kusursuz sorumluluk ilkesi devreye girmektedir. Kusursuz sorumluluk, idare hukukunda tali ve istisnai bir nitelik taşır. Bu sorumluluk türü, temel olarak risk ilkesi ve kamu külfetleri karşısında eşitlik ilkesi olmak üzere iki ana esasa dayanır. İdarenin tüm idari ve teknik tedbirleri almasına rağmen, dijital ortamın barındırdığı içsel riskler nedeniyle kişisel verilerin ihlal edilmesi durumunda idarenin risk ilkesi gereğince sorumluluğu doğabilir. Aynı şekilde, bir kamu hizmetinin yürütülmesi esnasında yalnızca belirli bir grup vatandaşın kişisel verilerinin sızdırılması gibi durumlarda, ortaya çıkan ağır zararın sadece zarar gören bireylerin üzerinde bırakılması sosyal devlet anlayışıyla bağdaşmaz. Bu tür vakalarda idarenin hiçbir kusuru bulunmasa dahi, oluşan zarar kamu külfetleri karşısında eşitlik ilkesi gereğince idare tarafından kusursuz sorumluluk kapsamında tazmin edilmelidir.
İdarenin Sorumluluğunu Ortadan Kaldıran veya Azaltan Haller
İdarenin kişisel veri ihlallerinden kaynaklanan sorumluluğu bazı istisnai durumlarda ortadan kalkabilir veya makul ölçüde azalabilir. Bu durumlar, temel olarak idarenin eylemi ile meydana gelen hukuki zarar arasındaki illiyet bağını kesen yasal unsurlardır. İlliyet bağını etkileyen ve idarenin hukuki sorumluluğunu sınırlandıran bu halleri şu şekilde sıralamak mümkündür:
- Mücbir Sebep: İdarenin iradesi ve kontrolü dışında gelişen, önceden öngörülemeyen ve karşı konulamayan doğa olayları gibi durumlardır. Bu halde illiyet bağı koptuğundan idarenin kusur ve kusursuz sorumluluğu tamamen ortadan kalkar.
- Beklenmeyen Hal: İdari faaliyetin kendi iç işleyişinden kaynaklanan ancak öngörülmesi mümkün olmayan olağanüstü durumlardır. Beklenmeyen hallerde idarenin kusur sorumluluğu ortadan kalkarken, kusursuz sorumluluğu devam edebilir.
- Zarar Görenin Kusuru: Zararın doğrudan doğruya mağdurun kendi eyleminden kaynaklandığı durumlarda idarenin sorumluluğu ortadan kalkar. Mağdurun kusuru zararın artmasına neden olmuşsa idarenin sorumluluğu oransal olarak indirilir.
- Üçüncü Kişinin Kusuru: Zararın tamamen idare dışındaki bir üçüncü kişinin eyleminden doğması halinde idarenin sorumluluğu kesilir. Ancak hem idarenin hem de üçüncü kişinin müşterek kusuru varsa idarenin sorumluluğu belli oranda azalır.