Danıştay 13. Daire Başkanlığı         2022/218 E.  ,  2023/2302 K.
T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2022/218
Karar No:2023/2302

TEMYİZ EDEN (DAVACI) : … Telekomünikasyon Hizmetleri A.Ş.
VEKİLİ : Av. …

KARŞI TARAF (DAVALI) : … Kurumu
VEKİLLERİ : Av. …,
Av. …

İSTEMİN KONUSU : … Bölge İdare Mahkemesi … İdari Dava Dairesi’nin … tarih ve E:…, K:… sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: 5809 sayılı Elektronik Haberleşme Kanunu uyarınca yetkilendirilmiş işletmeci olan davacı şirket tarafından, Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin (Yönetmelik) “Elektronik ortam yönetimi” başlıklı 20. maddesinin birinci fıkrası ile “Şebeke güvenliği” başlıklı 21. maddesinin birinci fıkrasına aykırı olarak “…” cihazının yönetim arayüzüne, yönetici seviyesinde erişimde alınan önlemlerin yeterli seviyede olmadığından bahisle 23.997,20-TL idari para cezası verilmesine ilişkin … tarih ve … sayılı Bilgi Teknolojileri ve İletişim Kurulu (Kurul) kararının 5. maddesinin iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: … İdare Mahkemesi’nce verilen … tarih ve E:…, K:… sayılı kararda; dava dosyasında yer alan bilgi ve belgeler ile dava konusu işleme dayanak olarak yapılan denetim raporunun bir bütün olarak incelenmesinden, davacı şirketin, Yönetmeliğin ilgili hükmüne aykırı olarak, “…” cihazının ara yüzüne, yönetici seviyesinde erişimde alınan önlemlerin yeterli seviyede olmadığının sabit olduğu, bu itibarla, idari para cezası uygulanmasına ilişkin tesis edilen dava konusu işlemde hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlem hukuka uygun bulunarak davanın reddine karar verilmiştir.
Bölge İdare Mahkemesi kararının özeti: … Bölge İdare Mahkemesi … İdarî Dava Dairesi’nce; istinaf başvurusuna konu İdare Mahkemesi kararının usul ve hukuka uygun olduğu ve davacı tarafından ileri sürülen iddiaların söz konusu kararın kaldırılmasını sağlayacak nitelikte görülmediği belirtilerek 2577 sayılı İdari Yargılama Usulü Kanunu’nun 45. maddesinin 3. fıkrası uyarınca istinaf başvurusunun reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, Yönetmeliğin “Kritik Sistemlerde kullanıcı erişim yönetimi” başlıklı maddesinde yapılması gerekenler ifade edilmiş olup, IP filtrelemesi yapılması gerektiğinin belirtilmediği, ayrıca Yönetmeliğin başka herhangi bir maddesinde bu konuda alınacak yeterli güvenlik önlemlerinin neler olduğunun belirtilmediği, güvenlik cihazlarında her abonenin kendi varlıklarını koruması için aynı fiziksel güvenlik duvarı üzerinde varolan sanal güvenlik duvarları oluşturulduğu, IP filtrelemesi koyulması durumunda bu IP adreslerinin sürekli güncellenmesi gerekeceği ve çoğu zaman abonelerin kendi sanal güvenlik duvarlarına erişimlerinde problemler oluşturacağı, firewall sistemlerinin 500 adet müşteriye sanal firewall hizmeti vermek üzere kurulduğu, dinamik IP ve CG NAT sistemleri varken IP filtrelemesi yapılması istenmesinin işin doğasına aykırı olduğu, denetimde bazı sistemlerin yok sayıldığı, güvenlik duvarlarına erişimlerin kullanıcı adı ve güçlü bir parola ile https protokolü üzerinden şifreli olarak sağlandığı, Kurul kararında açıkça mahkeme kararının ifası kapsamında idari para cezası verildiğinin yazdığı, dayanak mahkeme kararının kendisi hukuka aykırı olduğu için, işbu idari işlemin kendisinin de sebep unsuru açısından sakat hâle geldiği, mahkemenin yalnızca “uyarı cezası” şeklindeki idari işlemi denetlemesi ve buna ilişkin görüş vermesi gerekirken yetki ve sınırını aşarak adeta “idari para cezası” şeklinde yeni bir idari işlem tesis ettiği, yürürlükte olan yönetmelikle idari para cezası uygulanmadan önce bir defaya mahsus olarak lehe getirilen uyarı cezasının kanunilik ilkesi gereğince uygulanmayacağının kabul edilemeyeceği, davalı idarenin Anayasa ile kendisine verilen yetkiyi kullanarak 5809 sayılı Kanun’a paralel ve ek şekilde, kendi görev alanını ilgilendiren bir konuda idari yaptırım uygulanmadan önce bir kereye mahsus “uyarı” müessesesini düzenlediği, mahkeme kararının açıkça “aleyhe hüküm verme yasağı” kuralının ihlâli niteliğinde olduğu, nitekim azlık oyu çerçevesinde aynı konuya değinildiği ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, süper_admin ve admin rolüyle … cihazının yönetimi için şirket personeli tarafından kullanılan kendi kullanıcıları için herhangi bir IP filtrelemesi yapılmadığı, kritik sistemlerin en üst seviyede yönetimi için kullanılan işlevler için ek güvenlik önlemlerinin alınması gerektiği, imtiyazlı kullanıcıların erişimlerinde üst seviyede güvenlik önlemelerinin alınmasının önemli olduğu, denetimlerde incelenen sistemlerin örnekleme metoduyla belirlendiği, belirli bir cihazdaki erişim yönteminde güvenlik açığı bulunduğundan başka güvenlik önlemlerinin alınmış olmasının gerçeği değiştirmediği, mahkemenin iptal kararının gerekçesine uygun olarak işlem tesis edildiği, iptal kararı sonrası ortaya çıkan hukuki boşluğun doldurulduğu, aleyhe hüküm yasağı ile ilgili yasada açık bir düzenleme bulunmadığı, idari para cezaları açısından böyle bir içtihat olmadığı, ilk derece mahkemesinin uyarı işleminin iptali kararı üzerine sürecin ihlâl tespitine uygulanacak idari yaptırım kararı aşamasına geri döndüğü, idarece ilk yapılan değerlendirmede de fiilin karşılığının idari para cezası olduğu ancak takdir yetkisi kullanılarak uyarma kararı verildiği, istinaf mahkemesinin ilk derece mahkemesi kararını “aleyhe hüküm verme yasağı” olarak değerlendirmesinin, hukuka aykırılığı kesin olan bir fiil karşısında ne uyarı ne de idari para cezası verilebileceği sonucuna çıktığı, bu durumun ise hukuk devleti ilkesi ile bağdaşmayacağı, kamu hizmetlerine olan güveni sarsacağı ve kamu düzenine aykırılık teşkil edeceği, yönetmelikte “uyarı” mekanizmasının zorunlu tutulmadığı, idari para cezası uygulanmadan önce tüketilmesi gereken bir yol olarak düzenlenmediği, “uyarı”nın özellikle ihlâlin niteliğinin sektörde yarattığı etkiler göz önünde bulundurularak takdir yetkisi kapsamında uygulanması gereken bir yöntem olarak bulunması gerektiği belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …’UN DÜŞÜNCESİ : Temyiz isteminin kabulü ile Bölge İdare Mahkemesi kararının bozulması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesi’nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE:
ESAS YÖNÜNDEN:
MADDİ OLAY :
5809 sayılı Elektronik Haberleşme Kanunu uyarınca yetkilendirilmiş işletmeci olan davacı şirket hakkında yapılan denetimde, Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin “Elektronik ortam yönetimi” başlıklı 20’nci maddesinin birinci fıkrası ile “Şebeke güvenliği” başlıklı 21’inci maddesinin birinci fıkrasına aykırı olarak “…” cihazının yönetim arayüzüne, yönetici seviyesinde erişimde alınan önlemlerin yeterli seviyede olmadığı tespit edilmiştir.
Yapılan denetim sonucunda hazırlanan … tarih ve … sayılı denetim raporunda, ”…cihazının yönetim arayüzüne yönetici seviyesinde erişimde alınan önlemlerin yeterli seviyede olmaması nedeniyle, … idari yaptırım uygulanmasının uygun olacağı” tavsiye edilmiştir.
Bunun üzerine öncelikle Kurul’un … tarih ve … sayılı kararının 12. maddesi ile Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin 24, 44 ve 46. maddeleri kapsamında davacının uyarılmasına karar verilmiştir. Bu kararın iptali istemiyle açılan davada … İdare Mahkemesi’nin … tarih ve E:…, K:… sayılı kararı ile dava konusu işlemin iptaline karar verilmiştir.
Mezkûr Mahkeme kararının ifası kapsamında söz konusu ihlâl nedeniyle bu sefer idari para cezası uygulanmış, anılan işlemin iptali istemiyle bakılan dava açılmıştır.
HUKUKİ DEĞERLENDİRME:
Dava konusu işleme dayanak alınan … İdare Mahkemesi’nin … tarih ve E:…, K:… sayılı karara yönelik davacı tarafından yapılan istinaf başvurusu üzerine, … Bölge İdare Mahkemesi … İdari Dava Dairesi’nin … tarih ve E:…, K:… sayılı kararı ile, “”Taleple Bağlılık İlkesi” gereği Mahkemenin, denetim alanını davacının talebinden bağımsız olarak genişletemeyeceği gibi, söz konusu işlemin dava konusu edilmemesi hâlinde ortaya çıkacak hukuki duruma nazaran davacı aleyhine bir sonuç doğuracak şekilde hüküm de kuramayacağı, “aleyhe hüküm verme yasağı” olarak ifade edilen bu ilkenin, Anayasanın 36. maddesinde yer alan hak arama hürriyetini temin etmeye, diğer bir ifade ile ilgililerin, ihlâl edildiğini düşündükleri haklarını korumak amacıyla herhangi bir endişe taşımaksızın dava açabilmelerini sağlamaya yönelik bir araç niteliği taşıdığı, davacının durumunu dava açılmasından öncekine kıyasla daha olumsuza götürecek şekilde karar verilmesinin “aleyhe hüküm verme yasağı” kapsamında kaldığı, İdare Mahkemesince mevzuata aykırılığı saptanan düzenleme hakkında karar verilirken, işlemin davacı tarafından dava konusu edilmesindeki amacın dikkate alınarak inceleme yapılması (davacının talepleri konusunda kuşkuya düşülüyorsa açıklatılması) ve davacı tarafından dava açılmasından önceki durumu davacı aleyhine dönüştürecek şekilde karar verilmesinden kaçınılması gerektiği, başvuru konusu kararın gerekçesi davacının durumunu davadan öncekine kıyasla daha olumsuza götüreceğinden “aleyhe hüküm verme yasağı” kapsamında kalmakla birlikte, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği ile kanuna aykırı olarak getirilen “uyarı” müessesesinin hukukî dayanağı bulunmadığından dava konusu işlemin iptali yolunda verilen kararın sonucu itibarıyla hukuka uygun bulunduğu ve kaldırılmasını gerektiren bir neden bulunmadığı” gerekçesiyle istinaf başvurusunun gerekçeli reddine karar verilmiştir. Bölge İdare Mahkemesi’nin anılan kararı Dairemizin 12/05/2023 tarih ve E:2021/820, K:2023/2299 sayılı kararı ile onanarak kesinleşmiştir.
Bu itibarla, dava konusu işlemin … İdare Mahkemesi’nin … tarih ve E:…, K:… sayılı kararının gereğinin yerine getirilmesini sağlamak üzere tesis edildiği, bu hususun dava konusu Kurul kararında açıkça belirtildiği, ancak anılan kararın gerekçesini değiştiren Bölge İdare Mahkemesi kararının Dairemizin mezkûr kararı ile onanarak kesinleştiği, dolayısıyla idari işlemin hukuki sebebini oluşturan yargı kararının gerekçesinin ortadan kalktığı, bu nedenle mahkeme kararının ifası kapsamında tesis edilen dava konusu Kurul kararında hukuka uygunluk bulunmadığı anlaşıldığından, davanın reddi yönündeki İdare Mahkemesi kararına yönelik istinaf isteminin reddine ilişkin temyize konu Bölge İdare Mahkemesi kararında hukuki isabet bulunmamaktadır.

KARAR SONUCU :
Açıklanan nedenlerle;
1. Davacının temyiz isteminin kabulüne;
2. Davanın yukarıda özetlenen gerekçeyle reddine ilişkin İdare Mahkemesi kararına yönelik istinaf başvurusunun reddi yolundaki temyize konu … Bölge İdare Mahkemesi … İdari Dava Dairesi’nin … tarih ve E:…, K:… sayılı kararının 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesi uyarınca BOZULMASINA,
3. Yeniden bir karar verilmek üzere dosyanın … Bölge İdare Mahkemesi … İdari Dava Dairesi’ne gönderilmesine, 12/05/2023 tarihinde kesin olarak oybirliğiyle karar verildi.