Danıştay 13. Daire Başkanlığı         2014/2144 E.  ,  2020/792 K.
T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2014/2144
Karar No:2020/792

TEMYİZ EDEN (DAVACI): …
KARŞI TARAF (DAVALI): Bilgi Teknolojileri ve İletişim Kurumu

İSTEMİN KONUSU: … İdare Mahkemesi’nin … tarih ve E: …, K: … sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: Davacı şirket tarafından, arıza giderme işlemi sırasında mevzuat gereği uyulması gereken uluslararası standartlara aykırı davranılması nedeniyle …-TL idari para cezası verilmesine ilişkin Bilgi Teknolojileri ve İletişim Kurulu’nun (Kurul) tarih ve sayılı kararı ile ceza tutanağının bildirimi işleminin iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: … İdare Mahkemesi’nce verilen kararda; çeşitli basın-yayın organlarında 27/04/2012 tarihinde Türkiye genelinde internet kesintisi yaşandığına dair haberlere yer verilmesi üzerine 04/05/2012 tarihinde davalı idare tarafından davacı şirketten konuyla ilgili bilgi talep edildiği, gelen cevapta davacı şirket yönetimindeki teknik ekipmanın kurulumları esnasında yapılandırma hatası yapıldığı ve ile AL-SAT (davacıdan hizmet alıp son kullanıcılara satan üçüncü taraf şirketler) geniş bant internet müşterilerinin kesinti anında aktif olanlarının bu sorundan etkilendiğinin belirtildiği, bunun üzerine davalı idarece konu hakkında inceleme başlatıldığı, inceleme sonrası hazırlanan tarih ve sayılı raporda özetle; ülke genelinde etki gösteren ve 27/04/2012 günü 22:15’te başlayıp 23:28’e kadar süren, internete bağlanmaya çalışan fakat bağlanamayan yaklaşık olarak 857.000 müşteriyi etkileyen bir kesintinin yaşandığı, yaşanan kesinti olayında, şebekede tek bir kişi tarafından yapılan önceden planlanmamış lokal bir çalışmanın geniş kapsamlı internet kesintisine neden olduğu, bu itibarla, Telekomünikasyon Hizmetlerinin Yürütülmesine İlişkin İmtiyaz Sözleşmesi’nin “Hizmet Kalitesi” başlıklı 18. maddesinde yer alan “hizmet kalitesinde ulusal ve uluslararası standart otoriteleri ve Kurum düzenlemelerinde belirtilen telekomünikasyon hizmet standartlarına uyar.” kuralına ve Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik haberleşme güvenliğini sağlama yükümlülüğü” başlıklı 11. maddesinin birinci fıkrasında yer alan “İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür.” kuralına aykırı olarak; internet kesintisi yaşanmasına sebep olan olayın şebeke hiyerarşisinde üst seviyede yer almayan (t3) bir cihaz üzerinde yapılan konfigürasyon hatasından kaynaklandığı, söz konusu cihazın konfigürasyonlarının (yönlendirme tablolarının değiştirilmesi vb. kritik işlemlerin) canlı sistemler üzerinde yapılan çalışma ile değiştirildiği, önceden planlanmadan yapıldığı, tek bir kişi tarafından herhangi bir onay mekanizması olmaksızın gerçekleştirildiği, test edilmeden devreye alındığı ve mevcut sistemler üzerindeki değişikliklerin planlanarak dokümante edilmediğinin tespit edildiği, bu tespite uygun olarak dava konusu para cezasının verilmesinin teklif edildiği, getirilen teklife uygun olarak da dava konusu para cezasının verildiği, davacının uymakla yükümlü olduğu TS ISO/IEC 27001 standardına aykırı davrandığı hususunun yapılan inceleme sonucunda ortaya konulduğu, davacı şirketin standartlara uygun davranmaması nedeniyle verilen idari para cezası işleminde hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlemler hukuka uygun bulunarak davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI: Davacı tarafından, dava konusu idari para cezasının dayanağı olarak gösterilen işlemin bir arıza giderme (troubleshooting) işlemi olduğu, oluşan internet kesintisinin bu işlem sırasında insan hatası nedeniyle meydana geldiği, yetkili personellerin dahi hata yapabileceği ve %100 hatasızlık garantisini hiçbir sistem veya prosedürün veremeyeceği, aksi durumun kabulünde davalı idare tarafından arıza giderme sürelerinin belirlenmemesi gerektiği, şirketin arıza öncesi ve arızanın giderilmesi sırasında üzerine düşen özen yükümlülüğünü eksiksiz yerine getirdiği, standartlarda yer alan prosedürlere uygun davrandığı, işlemi gerçekleştiren personelin bu alanda eğitim almış olduğu, işlemin doğası gereği anlık müdahaleler gerektirdiği ve onay mekanizmasının devreye sokulamayacağı, canlı şebekenin simüle edilmesinin bile en az 30 dakika sürdüğü ve günlük ortalama arıza sayıları dikkate alındığında rutin arızalarda test sınaması yapılmasının mümkün olmadığı, test sistemi üzerinde yapılacak işlemin sorunun tespitine fayda sağlamayacağı, olayda kendilerinin kast veya taksiri olmadığından idari yaptırım uygulanmaması gerektiği, davalı idare tarafından maddi olaylara ilişkin olarak yapılan açıklamalara itibar edilmediği, Türkiye genelinde toplam 203 personelin ilgili sistemlere erişim yetkisi bulunduğu, konuyla ilgili büyük yatırımlar yapılarak test ve simülasyon merkezleri kurulduğu, cezaya konu olan kesintinin 7 yılda ilk kez yaşanmış olmasının şirketin yöntemindeki başarısını ve sıfırlanması imkânsız olan insan hatası oranını ne kadar aşağı çektiğini gösterdiği, uluslararası alanda böyle bir yaptırımın örneğinin olmadığı ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI: Davalı idare tarafından, insan hatalarının büyük çaplı sorunlara yol açmaması için bilgi güvenliği yönetimi sistemlerinde birçok kontrol mekanizması öngörüldüğü, uluslararası bir standart olan ISO/IEC 27001’de görev ayrımları üzerinde durulduğu ve “Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır.” kuralı getirildiği, davacının işlettiği şebeke itibarıyla ülkenin en kritik altyapılarından birine sahip olduğu, böyle bir şebekenin tek kişinin hatası nedeniyle kesintiye uğraması, bu kesintinin ülke genelini etkilemesinin kabul edilebilir ve izah edilebilir olmadığı, 1 saat 13 dakika süreyle 857.000 kişinin internet hizmetinin kesintiye uğradığı, bu durumun mezkur standarda uyum sağlanmadığını ortaya koyduğu, her ülkenin düzenleyici otoritesinin kendi mevzuatı çerçevesinde işlem tesis ettiği, bu nedenle uluslararası örneklerin dava konusu olayla benzerliğinin anlaşılamadığı, arıza giderilmesi işleminde “anlık müdahale” gerekmesinin, yapılan işlem veya işlemlerin; tek kişi tarafından, bir onay mekanizması olmadan ve doğru çalıştığının bir test sisteminde sınaması yapılmadan gerçekleştirilmesinin zorunluluğunun öne sürülemeyeceği, lokal bir problemin çözümü esnasında yapılan hatanın ülke genelinde internet kesintisine neden olduğu, vakıanın yaşandığı süreçlerle ilgili olarak ayrı bir (onaycı rolünde) sorumlunun dahli olmadığının açık olduğu, bu nedenle standartta yer alan “Geliştirme, test ve işletim olanakları, işletilen sisteme yetkisiz erişim veya değişiklik risklerini azaltmak için ayrılmalıdır.” kuralına aykırı hareket edildiğinin anlaşıldığı, mezkur fiilin cezalandırılabilmesi için kastın varlığına gerek olmadığı, taksirle işlenen kabahatlere de ilgili yönetmeliğin uygulandığı, ceza miktarının üst sınırın çok altında yüzbinde sekiz oranında belirlendiği, cezanın hizmet seviye taahhütleri ve arıza giderme süreleri ile ilgisi olmadığı, davacı tarafından eylemin ikrar edildiği, TS ISO/IEC 27001 belgesi alınmasının bilgi güvenliği ile ilgili bir uygunsuzluk olamayacağını garanti etmediği, davacının kurduğunu ifade ettiği test laboratuvarlarının, simülasyon merkezlerinin ve yaptığını belirttiği genel test faaliyetlerinin dava konusu işleme dayanak fiilin gerçekleştiği gerçeğini değiştirmediği belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ DÜŞÜNCESİ: Temyiz isteminin reddi ile usul ve yasaya uygun olan İdare Mahkemesi kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onüçüncü Dairesi’nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

HUKUKİ DEĞERLENDİRME :
İdare ve vergi mahkemelerinin nihai kararlarının temyizen bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde yer alan sebeplerden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, dilekçede ileri sürülen temyiz nedenleri kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU:
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2. Davanın yukarıda özetlenen gerekçeyle reddi yolundaki … İdare Mahkemesi’nin … tarih ve E: …, K: …sayılı temyize konu kararında, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde sayılan bozma nedenlerinden hiçbirisi bulunmadığından anılan Mahkeme kararının ONANMASINA,
3. Temyiz giderlerinin istemde bulunan üzerinde bırakılmasına,
4. Dosyanın anılan Mahkeme’ye gönderilmesine,
5. Bu kararın tebliğ tarihini izleyen 15 (on beş) gün içerisinde kararın düzeltilmesi yolu açık olmak üzere, 10/03/2020 tarihinde oyçokluğuyla karar verildi.

(X) KARŞI OY :
Dosyanın incelenmesinden, 27/04/2012 tarihinde yaşanan kesinti olayında, şebekede tek bir kişi tarafından önceden planlanmamış lokal bir çalışmanın geniş kapsamlı internet kesintisine neden olduğu gerekçesiyle Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmeliğin 10. maddesinin birinci fıkrasının (e) bendinde yer alan “İşletmecinin, uluslararası standartlara ve/veya Kurumun belirlediği hizmet kalite standartlarına uymaması” kuralı uyarınca idari para cezası verilmesi üzerine bakılan davanın açıldığı, idare mahkemesince davanın reddine karar verildiği anlaşılmaktadır.
Kanunîlik ilkesi, ortaya çıkan sonuca ceza uygulanabilmesini, fiilin kanunlarda açık bir şekilde kabahat veya suç olarak tanımlanması şartına bağlamaktadır. Kanunîlik ilkesinin bir sonucu olan tipiklik unsuru, somut fiilin kanunda belirlenmiş soyut hukuk kuralına birebir uygun olmasını ifade etmektedir.
Hukukî güvenlik ilkesi, hukuk normlarının öngörülebilir olmasını, belirlilik ilkesi ise yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olmasını ifade etmektedir.
Dava konusu işlemde her ne kadar Telekomünikasyon Hizmetlerinin Yürütülmesine İlişkin İmtiyaz Sözleşmesi’nin 18. maddesinde yer alan ” hizmet kalitesinde ulusal ve uluslararası standart otoriteleri ve Kurum düzenlemelerinde beliritlen telekomünikasyon hizmet standartlarına uyar.” kuralı ile Elektronik Haberleşme Güvenliği Yönetmeliğinin 11. maddesinin birinci fıkrasında yer alan “İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür.” kuralına aykırılıktan dolayı yaptırım uygulandığı belirtilmiş ise de, fiilin tam olarak hangi standart kuralına aykırılık teşkil ettiğinin ortaya konulamadığı anlaşılmakta olup, bu durum ise idari yaptırım uygulanmasında aranan tipiklik unsuruna, dolayısıyla kanunîlik, hukukî güvenlik ve belirlilik ilkelerine aykırılık teşkil etmektedir.
Açıklanan nedenlerele, dava konusu işlem hukuka uygun olmadığından, mahkeme kararının bozulmasına karar verilmesi gerektiği oyu ile karara katılmıyorum.