Kısa cevap: Avrupa Birliği, NIS2 Direktifi'nin 35. maddesiyle açık bir kural koydu: aynı fiil için GDPR kapsamında idari para cezası verilmişse, NIS2 otoriteleri ikinci bir para cezası uygulayamaz. Türk hukukunda ise böyle bir hüküm yok. KVKK ile 7545 sayılı Siber Güvenlik Kanunu'nun kesiştiği alanlarda sonuç içtima kurallarına göre belirleniyor: tedbir ihlallerinde en ağır ceza, bildirim ihlallerinde ise iki kurumdan ayrı ayrı, toplanan cezalar. Türkiye'de faaliyet gösteren çok uluslu şirketler için bu fark, uyum stratejisini doğrudan etkiliyor.
Sorun her iki hukuk düzeninde aynı: bir fiil, iki rejim
Siber güvenlik mevzuatı ile kişisel verilerin korunması mevzuatı, kaçınılmaz olarak aynı olaylar üzerinde kesişir. Şifrelenmeyen bir veri tabanı hem bir siber güvenlik zafiyeti hem de kişisel veri güvenliği ihlalidir; bir fidye yazılımı saldırısı hem "siber olay" hem de "veri ihlali"dir. Soru şu: aynı fiil iki rejimi birden ihlal ettiğinde kaç ceza verilir?
AB bu soruya pozitif düzenlemeyle, Türkiye ise genel içtima kurallarıyla cevap veriyor. Ve iki cevap birbirinden önemli ölçüde farklı.
AB'nin cevabı: NIS2 m. 35 ve tek ceza ilkesi
2022/2555 sayılı NIS2 Direktifi, AB genelinde kritik ve önemli sektörlerdeki kuruluşlara kapsamlı siber güvenlik yükümlülükleri getiren çerçeve düzenleme. Direktif'in 35. maddesi, GDPR ile çakışma sorununu doğrudan çözüyor: NIS2 kapsamındaki bir yükümlülüğün ihlali aynı zamanda GDPR uyarınca bildirilmesi gereken bir kişisel veri ihlaline yol açmışsa ve veri koruma otoritesi GDPR m. 58/2-i uyarınca idari para cezası uygulamışsa, NIS2 otoriteleri aynı fiil için Direktif'in 34. maddesindeki para cezasını uygulayamaz.
Dikkat edilmesi gereken iki nüans var. Birincisi, yasak yalnızca para cezasına ilişkin; NIS2 otoritelerinin uyarı, talimat, faaliyetin geçici durdurulması gibi diğer yaptırım ve tedbirleri uygulama yetkisi devam ediyor. İkincisi, Direktif'in 31/3. maddesi, kişisel veri ihlaliyle sonuçlanan olaylarda siber güvenlik otoritelerinin veri koruma otoriteleriyle yakın iş birliği içinde çalışmasını öngörüyor; tek ceza ilkesi, kurumlar arası koordinasyon mimarisiyle birlikte tasarlanmış.
Bu yaklaşımın arka planında, Avrupa Birliği Adalet Divanı'nın yaptırım rejimlerinde tutarlılığa verdiği önem var. Divan, Deutsche Wohnen kararında GDPR'ın idari para cezası koşullarının tamamen AB hukukunca belirlendiğini, üye devletlerin bu koşullara ekleme yapamayacağını vurgulayarak Birlik genelinde homojen bir yaptırım uygulaması hedefini açıkça ortaya koymuştu.¹ NIS2 m. 35'teki tek ceza ilkesi de aynı tutarlılık anlayışının ürünü.
Türkiye'nin cevabı: içtima kuralları ve ikili sonuç
Türk hukukunda NIS2 m. 35 benzeri açık bir çakışma hükmü bulunmuyor. 7545 sayılı Siber Güvenlik Kanunu, KVKK ile ilişkisini düzenleyen özel bir norm içermediğinden, sorun Kabahatler Kanunu'nun 15. maddesindeki genel içtima kurallarıyla çözülüyor. Konuyu sistematik biçimde inceleyen Akgün ve Akıncı'nın ortaya koyduğu çerçeve şu şekilde özetlenebilir:²
Tedbir ihlallerinde fikri içtima. Tek bir ihmal (örneğin veri tabanının şifrelenmemesi) hem KVKK m. 18/1-b'deki hem de Siber Güvenlik Kanunu m. 16/10'daki kabahati oluşturuyorsa, Kabahatler Kanunu m. 15/1 uyarınca yalnızca en ağır idari para cezası verilir. Hangi cezanın daha ağır olduğu ise (Siber Güvenlik Kanunu m. 17/2'deki nispi ceza ihtimali nedeniyle) ancak somut cezalar hesaplanıp karşılaştırılarak belirlenebilir.
Bildirim ihlallerinde gerçek içtima. Kurul'a ve ilgili kişilere yapılacak veri ihlali bildirimi (KVKK m. 12/5) ile Başkanlığa yapılacak siber olay bildirimi (SG Kanunu m. 7/1-b), içerikleri ve muhatapları farklı iki ayrı yükümlülük olduğundan, ikisinin ihmali iki ayrı fiildir. Sonuç: her iki otorite ayrı ayrı ceza keser, cezalar toplanır. AB'de tek ceza ilkesiyle çözülen senaryo, Türk hukukunda çifte yaptırımla sonuçlanıyor.
Bu sonucun çifte cezalandırma yasağına (ne bis in idem) aykırı olduğu düşünülebilir; ancak yasak, aynı fiilin iki kez cezalandırılmasını engeller. Farklı otoritelere, farklı içeriklerle yapılması gereken bildirimlerin ihmali hukuken farklı fiiller olduğundan, teknik anlamda bir ihlal söz konusu değildir. Benzer yaklaşım Alman içtihadında da kabul görüyor: Frankfurt İstinaf Mahkemesi, raporların hem Bundesbank'a hem BaFin'e gönderilmesi yükümlülüğünün ihmalinde iki ayrı ihmali hareketin varlığını benimsemiştir.³
Karşılaştırmalı tablo
| AB (NIS2 + GDPR) | Türkiye (SG Kanunu + KVKK) | |
|---|---|---|
| Çakışmayı düzenleyen açık hüküm | Var (NIS2 m. 35) | Yok |
| Aynı fiille iki rejimin ihlali | GDPR cezası verilmişse NIS2 para cezası yasak | Fikri içtima: somut olayda en ağır ceza |
| Ayrı bildirim yükümlülüklerinin ihmali | Tek para cezası + NIS2'nin diğer tedbirleri | Gerçek içtima: iki ayrı ceza, toplanır |
| Kurumlar arası iş birliği | Zorunlu (NIS2 m. 31/3) | Yasal mekanizma henüz yok |
| Bildirim süreleri | NIS2: 24 saat erken uyarı + 72 saat bildirim; GDPR: 72 saat | SG Kanunu: "gecikmeksizin"; KVKK: 72 saat |
Türkiye için ne anlama geliyor?
Birincisi, Türkiye'de faaliyet gösteren ve AB grup politikalarını esas alan çok uluslu şirketler, NIS2 uyumunun Türk mevzuatına uyumu otomatik olarak sağlamadığını görmeli. AB'de "tek bildirim, tek ceza" mantığıyla kurgulanmış olay müdahale playbook'ları, Türkiye'de iki ayrı otoriteye iki ayrı bildirim yapılacak şekilde yerelleştirilmek zorunda.
İkincisi, de lege ferenda (olması gereken hukuk) tartışması açık: Kişisel Verileri Koruma Kurumu ile Siber Güvenlik Başkanlığı arasında koordinasyonu ve ceza karşılaştırmasını mümkün kılacak yasal bir mekanizmanın kurulması, doktrinde de güçlü biçimde savunulan bir ihtiyaç.² NIS2 m. 35 ve m. 31/3, böyle bir düzenleme için hazır bir model sunuyor. İkincil mevzuat süreci devam ederken Türk kanun koyucusunun bu modeli dikkate alması, hem öngörülebilirlik hem de orantılılık açısından isabetli olur.
Üçüncüsü, o düzenleme gelene kadar geçerli olan tablo şudur: Türkiye'de bir siber olayın faturası, aynı olayın AB'deki faturasından yapısal olarak daha yüksek olabilir. Uyum bütçenizi ve sigorta teminatlarınızı buna göre planlayın.
Kaynaklar
- ABAD, C-807/21, Deutsche Wohnen SE v. Staatsanwaltschaft Berlin, 5.12.2023, ECLI:EU:C:2023:949.
- Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
- OLG Frankfurt a.M., Beschl. v. 30.4.2020 – 2 Ss-OWi 85/19; krş. KG Berlin, 17.06.2020, 3 Ws (B) 125/20.
- Avrupa Parlamentosu ve Konseyi'nin (AB) 2022/2555 sayılı Direktifi (NIS2), m. 23, 31, 34, 35; (AB) 2016/679 sayılı Genel Veri Koruma Tüzüğü (GDPR), m. 33, 34, 58, 83.
Bu konuda hukuki desteğe mi ihtiyacınız var?
Şirketinizin durumuna özel değerlendirme için iletişime geçin.
Görüşme Planla