Danıştay 13. Daire Başkanlığı         2014/536 E.  ,  2020/793 K.
T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2014/536
Karar No:2020/793

TEMYİZ EDEN (DAVACI): …
KARŞI TARAF (DAVALI): Bilgi Teknolojileri ve İletişim Kurumu

İSTEMİN KONUSU: … İdare Mahkemesi’nin … tarih ve E: …, K: … sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ:
Dava konusu istem: Davacı şirket tarafından, TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı kurallarına aykırı davrandığından bahisle 2011 yılı net satış tutarının (…-TL) %0,02 (onbinde iki)’si oranında idari para cezası verilmesine ilişkin Bilgi Teknolojileri ve İletişim Kurulu’nun (Kurul) tarih ve sayılı kararı ile bildirim yazısının iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: … İdare Mahkemesi’nce verilen kararda; işletmecinin TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uygunluğu sağlamakla yükümlü olduğu, ayrıca bu standartlara uygunluk açısından işletmecinin yılda en az bir kez risk analizi yapacağı veya analizi tarafsız kuruluşlara yaptıracağı, tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alması gerektiği, TSE’nin olayda sadece bir belgelendirme kuruluşu olduğu, belgelendirmenin TSE dışında özel bir şirkete de yaptırılabileceği, TSE’nin denetim yaparak aykırılık tespit ettiğinde yıllık rutin olarak alınması gereken belgeyi düzenlemeyebileceği, bunun dışında yaptırım uygulama yetkisinin bulunmadığı, Bilgi Teknolojileri ve İletişim Kurumu’nun (Kurum) re’sen veya ihbar ve şikayetler üzerine elektronik haberleşme sektöründe yer alan gerçek ve tüzel kişileri denetleyebileceği, denetim sonucunda, belgelendirme kuruluşundan bağımsız olarak, aykırılıklar tespit etmesi hâlinde idarî yaptırımlar uygulayabileceği, denetim sırasında denetçiler tarafından TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına aykırılıkların tespit edildiği, söz konusu standartları sağlamakla yükümlü olduğu açık olan davacı şirketin bu yükümlülüğünü yerine getirmediği, davalı idarenin bu konuda denetim yetkisinin olduğu konusunda tereddüt bulunmadığı, ayrıca tespit edilen aykırılıklar bilgi güvenliği açısından sakıncalar doğurduğundan, davacı şirket hakkında idari para cezası uygulanmasına ilişkin dava konusu işlemde hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlem hukuka uygun bulunarak davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI: Davacı tarafından, davalı idare tarafından yapılan denetimin mevzuata aykırı olduğu, şirketin standarda uygunluğunu denetleme yetkisinin Türk Standartları Enstitüsü’nde olduğu, Enstitü tarafından yapılan denetimlerde genel güvenlikle ilgili majör bir uygunsuzluk tespit edilmediği ve sistem belgesinin geçerliliğin devamına karar verildiği, Elektronik Haberleşme Güvenliği Yönetmeliği ile getirilen yükümlülüklerin yerine getirildiği, tüm bilgi güvenliği sorumluluklarının açıkça tanımlanması ihtiyacının farkına varılarak ilgili çalışmaların Eylül 2012’de tamamlandığı, üçüncü taraflarla yapılan sözleşmelerin imzalı örneklerinin sehven eksik kaldığı, bu durumun tekrarlanmaması için özen gösterildiği, Uygulanabilirlik Bildirgesinin, Bilgi Varlıklarının Yönetimi Prosedürüne atıfta bulunacak şekilde güncellendiği ve bunun Mayıs 2012’de onaylandığı, rol ve sorumlulukların ayrılması ihtiyacına binaen Kimlik Yönetim Sistemi kurulduğu, ayrıca bu alandaki ihtiyacın farkına varılarak Bilgi Güvenliği Yönetim Sistemi (BGYS) revizyonu kapsamında dokümanların Eylül 2012’de güncellendiği, aynı revizyon kapsamında İnsan Kaynakları Güvenliği Prosedürü ile ilgili güncellemenin Temmuz 2012’de tamamlandığı, BGYS dokümanlarında “Disiplin Prosesi”ne ilişkin olarak düzenlemenin Temmuz 2012’de tamamlandığı, veri güvenliğine ilişkin olarak risk önleyici/azaltıcı kontrolleri sağlamak amacıyla IBM Guardium veri tabanı güvenlik duvarı ürününün satın alındığı ve bu ürünün ilk fazda xDSL, SAPHR ve ERP veri tabanlarının kayıtlarının tutulmasında kullanıldığı, ilerleyen fazlarda gerekli lisanslama çalışmaları tamamlanarak kayıtların tutulmasının sağlanması sürecinin Temmuz 2012’de bitirildiği, yine Bilgi Güvenliği Politika ve Prosedürlerinin uygulanmasını sağlamak ve bilgi güvenliği farkındalığını artırmak amacıyla sınıf eğitimleri düzenlendiği, bununla birlikte tüm çalışanlar için e-öğrenme eğitimleri düzenlenerek sürecin Aralık 2012’de tamamlandığı, sistem üzerine yazabilme yeteneği olabilecek yardımcı sistem programlarının kısıtlanması ve kontrol edilmesi için Bilgi Güvenliği Politikasının Yapılmaması Gereken Davranışlar başlıklı maddesine ilavelerin Mayıs 2012’de yapıldığı, Uygulanabilirlik Bildirgesine yapılan yanlış atıfların güncellenerek çalışmanın tamamlandığı, BGYS kapsamında hazırlanan Log Yedekleme Talimatı, Sistem İzleme Talimatı ve Cihaz Kurulum ve Konfigürasyon Talimatlarının etkin olarak kullanılması için BGYS revizyonu kapsamında çalışmaların Aralık 2012’de tamamlandığı, revizyon kapsamında organizasyon/yerleşim değişikliklerini ve belirlenen kritik birimleri içerecek şekilde kapsamlı güncellemenin Eylül 2012’de tamamlandığı, BGYS birimi dışındaki birim çalışanlarının sistem prosedürleri hakkındaki farkındalığının artırılması için eğitim programları düzenlenerek çalışmanın Aralık 2012’de tamamlandığı, söz konusu eksikliklerin TSE Sistem Belgelendirme Talimatı’nda minör (küçük) uygunsuzluk olarak tanımlandığı, bu eksikliklerin sistemin genelini etkilemeyen küçük eksiklikler olduğu, Kurum tarafından inceleme sorgusunda gönderilen eksikliklerle ilgili gerekli çalışmaların yapılarak eksikliklerin iyi niyetle giderildiği ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI: Davalı idare tarafından, Kurumun yaptığı denetim ile belgelendirme kuruluşunun yaptığı denetimin; karşılıklı ilişki, yetki, yaptırım, amaç ve kapsam olarak farklı olduğu, belgelendirme kuruluşunun yaptığı denetim hizmet olarak görülerek ücret karşılığında yapılırken, Kurumun görev ve yetkileri kapsamında yürütmek zorunda olduğu denetim faaliyeti olduğu, belgelendirme kuruluşunun yetki itibarıyla erişemeyeceği alanlar ve bilgiler varken, Kurumun her türlü bilgi ve belgeye erişebildiği, belgelendirme kuruluşu tarafından yalnızca belgenin askıya alınması veya iptali yaptırımı uygulanabilmekte iken, Kurumun mevzuata uyumsuzluk nedeniyle idari yaptırım uygulamakla yükümlü olduğu, belgelendirme kuruluşunun verdiği hizmetin asgari gereklilikleri sağlayan bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak olduğu, denetim yaparken de BGYS’nin devamlılığının kontrol edildiği, Kurum tarafından yapılan denetim ile anayasal bir hak olan haberleşmenin devamlılığının, güvenliğinin ve bütünlüğünün sağlanmasını teminen alınan tedbirlerin yerinde incelenmesinin amaçlandığı, belgelendirme kuruluşları kâr elde etmek amacıyla belgelendirme hizmeti sunarken, Kurumun kamu menfaati için sektörü denetlediği, belgelendirme kuruluşları tarafından değişik sektörlerden kuruluşlar denetlendiğinden genel bir inceleme yapılmaktayken, Kurum tarafından yapılan denetimlerde daha detaylı hususların incelendiği, bu nedenle belgelendirme kuruluşu tarafından yapılan denetimlerde bulunamayan ihlâllerin Kurum denetiminde ortaya çıkabildiği, Elektronik Haberleşme Güvenliği Yönetmeliği’nin “Elektronik Haberleşme Güvenliğini Sağlama Yükümlülüğü” başlıklı 11. maddesinin birinci fıkrasının uygulamasının gösterilmesi için 15/10/2010 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren “Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardının Uygulanmasına İlişkin Tebliğ” ile işletmecilere standarda uygunluk sağlama ve uygunluk belgesi alma yükümlülüğü getirildiği, konuyla ilgili olarak 26/03/2012-29/03/2012 tarihlerinde davacının idari ve teknik merkezlerinde denetim yapılmasının planlandığının 21/03/2012 tarihli yazıyla davacıya bildirildiği, denetimde yapılan tespitlerin davacıya iletildiği ve savunmasının istenildiği, davacı tarafından yapılan yazılı ve sözlü savunma değerlendirilerek dava konusu Kurul kararının alındığı, Kurul kararı kendisine tebliğ edilene kadar yapılan denetimin mevzuata aykırılığı konusunda itirazda bulunmayan, hatta sözlü savunmasında bu denetimlerin iyileştirici nitelikte olduğunu ve BGYS’ye önemli girdi olarak gördüğünü beyan eden davacının, karardan sonra; Kurumun konuyla ilgili denetim yapma yetkisine sahip olmadığını ve düzeltici faaliyetlerde bulunmasının standarda aykırı davranışta bulunulmadığını gösterdiği iddialarında bulunduğu, Kurumun mevzuat ile kendisine verilen görev ve yetkiler kapsamında, kendi yaptığı düzenlemeye uygunluk denetimi yapma yetkisinin bulunduğu konusunda tereddüt bulunmadığı, kendileri tarafından yapılan denetimin bir belge denetimi olmadığı, mevzuata uygunluk denetimi olduğu, belge sahibi olunmasının bilgi güvenliği ile ilgili bir yaptırımla karşılaşılmayacağını garanti etmediği, denetim sırasında farklı alanlarda tespit edilen toplam 12 ihlâlin varlığının davacı tarafından da kabul edildiği, bu ihlâllerin düzeltilmesi için takvim belirlenmesinin veya çalışma başlatılmasının Kurum tarafından yaptırım uygulanmaması gerektiği anlamına gelmediği belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ DÜŞÜNCESİ: Temyiz isteminin reddi ile usul ve yasaya uygun olan İdare Mahkemesi kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onüçüncü Dairesi’nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

HUKUKİ DEĞERLENDİRME:
İdare ve vergi mahkemelerinin nihai kararlarının temyizen bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde yer alan sebeplerden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, dilekçede ileri sürülen temyiz nedenleri kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU:
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2. Davanın yukarıda özetlenen gerekçeyle reddi yolundaki … İdare Mahkemesi’nin … tarih ve E: …, K: … sayılı temyize konu kararında, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde sayılan bozma nedenlerinden hiçbirisi bulunmadığından anılan Mahkeme kararının ONANMASINA,
3. Temyiz giderlerinin istemde bulunan üzerinde bırakılmasına,
4. Dosyanın anılan Mahkeme’ye gönderilmesine,
5. Bu kararın tebliğ tarihini izleyen 15 (on beş) gün içerisinde kararın düzeltilmesi yolu açık olmak üzere, 10/03/2020 tarihinde oybirliğiyle karar verildi.