Kişisel Verilerin Korunması Kanunu (“KVKK”) 15.maddesinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) şikayet üzerine veya resen incelenmesine ilişkin usul ve esaslar düzenlenmiştir. Maddenin 6.fıkrasında ise Kurul’un şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğu tespit edilirse bu halde Kurul’un ilke kararı alabileceği düzenlenmiştir[1].
İlke kararı ile kişisel veri işleme sürecine ilişkin belli konularda nasıl hareket edilmesi gerektiği ortaya konabilmektedir. Kaldı ki Kurul ilke kararı ile, karar konusu olaya yaklaşımını da ortaya koymaktadır. Bu sayede hem veri sorumlusu ile veri işleyenlerin hem de ilgili kişilerin karara konu olaylar açısından Kurul’un tutumu anlaşılabilir kılınmaktadır. Öte yandan Kurul’un ilke kararı alarak KVKK ve ikincil mevzuatın uygulama bakımından yeknesaklaştırılması da amaçlanmaktadır.[2]
Kurul tarafından alınan ilke kararlarına bakıldığında, KVKK’nın yürürlüğe girdiği günden bu yana yayımlanan bir dizi kararın alındığı görülmektedir.[3] Karar içerikleri incelendiğinde Kurul’un sektörel bazdaki veri işleme faaliyetleri üzerinden hem veri koruma hukuku ilkelerine uygunluk bakımından inceleme yaptığı hem de ilgili süreçlerde alınması gereken teknik/idari tedbirler yönünden değerlendirmede bulunduğu görülmektedir. Karar içerikleri, yukarıda da ifade ettiğimiz gibi, aynı zamanda veri sorumluları ile veri işleyenlerin faaliyetlerinin uyumlaştırılmaya da yöneliktir. Kurul, kararları içerisinde karara konu olayın değerlendirmesi aşamasına geçmeden önce “uygulamada yaşanan problemlerin önüne geçilmesini teminen” kararın alındığı vurgusuna da yer verdiği görülmektedir[4]. Bu durum Kurum’un düzenleyici bir yapıda olmasının yanında denetleyici niteliği olduğunu da gösterir niteliktedir.
Öte yandan kararlarda Kurul’un KVKK’nın 18.maddesine atıfla karara uymayanlar hakkında işlem yapılacağı da belirtilmiştir. Kaldı ki Kurul’un ilke kararına konu olaya ilişkin karar sonrası yaşanabilecek bir şikayet ve ihbara istinaden karar vermesi halinde “ilke kararına aykırı davranmaktan” bahisle tanzim edeceği idari para cezasını arttırma imkanı bulunmaktadır.[5]
Nihayetinde Kurul tarafından ilan edilen ilke kararları doğrultusunda veri sorumlusu ve veri işleyenlerin veri işleme süreçlerini gözden geçirmesi, benzer olaylara dair alınması gereken teknik/idari tedbirleri uhdelerinde tatbik etmeleri gerekmektedir. Aksi halde, ilke kararlarına uyulmamasından dolayı, idari para cezalarının üst sınıra yakın şekilde tesis edilmesi ile karşı karşıya kalınabilecektir.
[1] Keza Kurul’un ilke kararları incelendiğinde, pek çok şikayet ve ihbarın olduğu belirtilerek karara konu olaya ilişkin değerlendirmede bulunulduğu görülmektedir, bkz. Kişisel Verileri Koruma Kurumu 10.06.2025 tarihli 2025/1072 sayılı ilke kararı, https://www.kvkk.gov.tr/Icerik/8338/2025-1072 (E.T.:27.11.2025); Bununla birlikte Kurum’un yayımladığı Rehber içerisinde de Kurul’un görevlerinden birinin “benzer ihlallerin yaygın olarak gerçekleştirildiğinin tespit edilmesi” halinde ilke kararı almak olduğu belirtilmiştir, Kişisel Verileri Koruma Kurumu, Kişisel Verileri Koruma Kurulunun Yapısı Ve Görevleri Rehberi, Ankara 2025, s.19
[2] Kişisel Verilerin Korunması Hukuku, Türkiye Adalet Akademisi/Kişisel Verileri Koruma Kurumu, Ed. Seracettin Göktaş/Eylem Aksoy Retornaz vd., Ankara 2025, s.94; Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanunu ve Uygulaması, s.78.
[3] Kurul tarafından ilan edilen ilke kararları için bkz. https://www.kvkk.gov.tr/Icerik/7201/ilke-kararlari
[4] Kurul’un 21.12.2017 tarihli “Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik” ilke kararında da Kurul’un Kurum’a intikal eden ihbarlar kapsamında değerlendirmede bulunarak uygulamada yaşanan problemlerin önüne geçilmesini teminen kararı aldığı ifade edilmiştir, bkz. https://www.kvkk.gov.tr/Icerik/4114/2017-62 (E.T.:27.11.2025); benzer yönde “veri güvenliği ihlallerinin önüne geçilmesini teminen” kararın alındığı gösterir Kurul’un aldığı karar için bkz. https://www.kvkk.gov.tr/Icerik/6568/2019-308 (E.T.:27.11.2025).
[5] Kişisel Verilerin Korunması Hukuku, Türkiye Adalet Akademisi/Kişisel Verileri Koruma Kurumu, Ed. Seracettin Göktaş/Eylem Aksoy Retornaz vd., Ankara 2025, s.71
