Danıştay 13. Daire Başkanlığı         2022/4814 E.  ,  2023/1186 K.
T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No:2022/4814
Karar No:2023/1186

TEMYİZ EDEN (DAVACI) : … Yatırım Menkul Değerler A.Ş.
VEKİLİ : Av. …

KARŞI TARAF (DAVALI) : … Kurulu
VEKİLİ : Av. …

İSTEMİN KONUSU : … Bölge İdare Mahkemesi … İdari Dava Dairesi’nin … tarih ve E:…, K:… sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: Sermaye Piyasası Kurulu’nun (Kurul) … tarih ve … sayılı Kurul İlke kararı (Bilgi İşlem Altyapısına İlişkin İlkeler) ile … tarih ve … sayılı İlke kararı olarak kabul edilen Yatırım Hizmet ve Faaliyetleri ile Yatırım Kuruluşlarına İlişkin Rehber’in “L. Yatırım Kuruluşlarının Bilgi İşlem Altyapıları” başlıklı bölümüne aykırı olarak Bilgi İşlem Altyapısına İlişkin İlkeler’in erişim kontrolü, bilgi işlem altyapısı yönetimi, kayıtların tutulması, saklanması ve yedeklenmesi ile sızma testi başlıklarında yer verilen hususlara aykırılık teşkil eden uygulamaların hayata geçirilmesi nedenleriyle davacı şirket hakkında 478.846,00-TL idari para cezası uygulanmasına ilişkin 14/11/2019 tarih ve 65/1465 sayılı Kurul kararının 4. maddesinin iptali istenilmiştir.
İlk Derece Mahkemesi kararının özeti: … İdare Mahkemesi’nce verilen … tarih ve E:…, K:… sayılı kararda; yatırımcılar tarafından Kurul’a yapılan başvurularda elektronik işlem platformuna yönelik şikâyetlere yer verilmesi üzerine yapılan risk bazlı denetim çalışmaları kapsamında Mülga Seri:V, No:125 sayılı Kaldıraçlı Alım Satım İşlemleri ve Bu işlemleri Gerçekleştirebilecek Kurumlara İlişkin Esaslar Hakkında Tebliğ’in (Seri: V, No:125 sayılı Tebliğ) 2. maddesinin birinci fıkrasının (a) bendi kapsamında faaliyet gösterecek aracı kurumların, bu faaliyetlerine ilişkin olarak kullanacakları bilgi işlem altyapısında benimsenmek üzere kabul edilen … tarih ve … sayılı Kurul ilke kararı olarak kabul edilen Bilgi İşlem Altyapısına İlişkin İlkeler ile … tarih ve …sayılı ilke kararı olarak kabul edilen Yatırım Hizmet ve Faaliyetleri ile Yatırım Kuruluşlarına İlişkin Rehber’in “L. Yatırım Kuruluşlarının Bilgi İşlem Altyapıları” başlığında yer alan düzenlemeler çerçevesinde yapılan değerlendirme sonucunda;
1)Erişim kontrolüne ilişkin olarak, bilgi işlem altyapısında belirlenen yetki seviyeleri ve yetki seviyelerine göre yapılan kullanıcı tanımlamaları incelendiğinde, bilgi işlem altyapısında yetki seviyelerinin belirlenmesi, yetki seviyelerine göre kullanıcı tanımlamalarının yapılması, kullanıcı tanımlamalarını yapacak ve yetki seviyelerini belirleyecek kişilerin açıkça belirtilmesi, bu çerçevede kullanıcıların yetki seviyelerini gösteren bir yetki tablosunun oluşturulması, bilgi işlem altyapısına erişim sırasında kullanılacak kimlik doğrulama yönteminin belirlenmesi, uygulanması ve her türlü erişim talebinin kullanıcı bilgisini içerecek şekilde tutulması gerekirken, aracı kurumca bilgi işlem altyapısında belirlenen yetki seviyeleri ve yetki seviyelerine göre yapılan kullanıcı tanımlamalarını gösterir güncel tablo ile her bir uygulama için kullanıcı yetki seviyelerini gösteren yetki tablosunun ibraz edilemediği, aracı kurum çalışanı olmayan …’ye tanımlanan yetkiye ve Meta Trader 4’te genel amaçlı yetkili kullanıcıların tanımlı olduğu tespitine ilişkin olarak yetkinin kim tarafından verildiği, hangi yetkilerinin olduğu gibi bilgilerin de sunulamadığı, söz konusu yetki tablosunun olmaması ve dolayısıyla erişim kontrolüne yönelik olarak kimlik doğrulama yöntemi belirlenmesi ve bilgi işlem altyapısı kullanımı/yönetimine ilişkin her türlü erişim talebinin kullanıcı bilgisini de içerecek şekilde tutulduğuna yönelik bir bilgi ve belgenin tevsik edilememesinin, diğer bir ifadeyle aracı kurumda erişim kontrolüne yönelik bütüncül bir uygulama/gözetim faaliyeti bulunmamasının söz konusu İlkeler’in 4. maddesine aykırılık teşkil ettiği;
2) Bilgi işlem altyapısı yönetimine ilişkin olarak, bilgi işlem altyapısını yöneten ve kullanan tüm kurum personelinin görev ve sorumluluklarının tanımlanması ve ilgililere tebliğ edilmesi gerekirken davacı şirket tarafından Optimus sisteminin temel sistem olarak değerlendirildiğinin ifade edildiği, kullanılan diğer sistemlere (InvestOR, BPMC ve Meta Trader 4) ilişkin ise herhangi bir açıklamaya veyahut tevsik edici bir bilgi, belgeye yer verilmemesinin İlkeler’in 7. maddesinin (a) bendine; bilgi işlem altyapısı yönetici ve operatörlerinin bilgi işlem altyapısı üstünde gerçekleştirdikleri tüm işlemlerin kayıt altına alınması gerekirken muhasebe uygulaması olan Optimus uygulamasına yönelik kullanıcı log kaydı örneği haricinde diğer uygulamalarda yönetici ve operatörlerinin bilgi işlem altyapısı üstünde gerçekleştirdikleri tüm işlemlere ilişkin kayıtlara yönelik herhangi bir bilgi, belgenin aracı kurumca tevsik edilememesinin İlkeler’in 7. maddesinin (c) bendine; bilgi işlem altyapısında kullanılmakta olan Meta Trader, InvestOR ve BPMC uygulamalarına ilişkin olarak yapılan değişikliklere yönelik kişi ve zaman bilgisi ile gerekçesini de içerecek şekilde kayıtların tutulmaması ile geriye dönük yapılan işlemlerin kontrolüne imkân veren bilgi işlem altyapısı yazılımında yapılan tüm değişikliklerin kayıt altına alınmamasının İlkeler’in 7. maddesinin (d) bendine aykırılık teşkil ettiği;
3) Kayıtların tutulması, saklanması ve yedeklenmesine ilişkin olarak, kayıtların doğruluğunun ve bütünlüğünün sağlanması için kayıtların gün sonunda dosya bütünlük değerlerinin (hash) zaman damgası ile alınması ve oluşturulan zaman damgalı hash dosyasının kurumda saklanması gerekirken aracı kurum tarafından 04/03/2019 tarihine ilişkin nitelikli imza doğrulamasının yapılamaması ve kaldıraçlı alım satım işlemlerine ilişkin logların zaman damgası ile nitelikli olarak imzalanmamasının İlkeler’in 8. maddesinin (e) bendine; asgari olarak Kurul düzenlemelerinde tutulması öngörülen kayıtların ve veri tabanının günlük, haftalık, aylık ve yıllık yedeklerinin alınması, yasal mevzuata uygun sürelerde farklı bir lokasyonda saklanması ve alınan yedeklerin geri dönme testlerinin en az yılda bir kez yapılması gerekirken, kaldıraçlı alım satım işlemlerinde kullanılmakta olan elektronik işlem platformuna yönelik yapılması gereken yedekten geri dönme testine ilişkin olarak ilk sistem devreye girdiği tarih haricinde, herhangi bir yedekten geri dönme testi yapıldığını tevsik edici bir bilgi, belgenin sunulamamasının İlkeler’in 8. maddesinin (f) bendine; bilgi işlem altyapısı için dışarıdan sızma testinin en az yılda bir kez dış kaynak alım yoluyla yaptırılması gerekirken en son 2016 yılında sızma testinin yaptırıldığı, 2017 ve 2018 yıllarında herhangi bir sızma testinin yaptırılmamasının İlkeler’in 12. maddesine aykırılık teşkil ettiği sonucuna varılarak faaliyetlerin sağlıklı bir şekilde yürütülmesini teminen aracı kurumların gerekli bilgi işlem altyapısını oluşturmuş olmasının faaliyete geçmek için genel şartlar arasında sayıldığı dikkate alınarak ihlâlin önemi nedeniyle 2019 yılı için uygulanan azami tutar olan 478.846,00.-TL idari para cezası uygulanmasına karar verildiği;
Davacı şirketin, Bilgi İşlem Altyapısına İlişkin İlkeler ve Kurulun i-SPK.37.1 27.06.2014 tarih ve 20/661 sayılı İlke Kararı olarak kabul edilen Yatırım Hizmet ve Faaliyetleri ile Yatırım Kuruluşlarına İlişkin Rehber’in “L. Yatırım Kuruluşlarının Bilgi İşlem Altyapıları” başlıklı bölümünde yer verilen maddelere aykırı olan ve Kurulca erişim kontrolü, bilgi işlem altyapısı yönetimi, kayıtların tutulması, saklanması ve yedeklenmesi, sızma testi başlıkları altında yer verilen uygulamalarının sabit olduğu, öte yandan faaliyetlerin sağlıklı bir şekilde yürütülmesi için bilgi işlem alt yapısının kurulmuş olmasının gerekli olduğu ve ihlâlin önemi de dikkate alınarak idari para cezası miktarının kamu yararı ve hizmet gereklerine uygun olarak alt sınırdan uzaklaşılarak takdir edildiği anlaşıldığından, dava konusu Kurul kararında hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Belirtilen gerekçelerle dava konusu işlem hukuka uygun bulunarak davanın reddine karar verilmiştir.
Bölge İdare Mahkemesi kararının özeti: Ankara Bölge İdare Mahkemesi 8. İdari Dava Dairesi’nce; istinaf başvurusuna konu İdare Mahkemesi kararının usul ve hukuka uygun olduğu ve davacı tarafından ileri sürülen iddiaların söz konusu kararın kaldırılmasını sağlayacak nitelikte görülmediği belirtilerek 2577 sayılı İdari Yargılama Usulü Kanunu’nun 45. maddesinin 3. fıkrası uyarınca istinaf başvurusunun reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, 6362 sayılı Kanun’un 103. maddesiyle Kanunda öngörülen hususlar dışında Kurul tarafından belirlenen düzenlemelere, belirlenen standart ve formlara ve Kurulca alınan genel ve özel nitelikteki kararlara aykırı davrananlara idari para cezası uygulanacağının düzenlendiği, yaptırıma bağlanan fiilin Kanunla bağının koparıldığı, Kanun’da yasaklanan fiillere Kurul tarafından belirlenecek ve öngörülemez fiillerin eklendiği, yaptırıma tâbi tutulan fiilin belirsizliği nedeniyle anılan maddenin Anayasa’nın 2., 13., 38. ve 48. maddelerine aykırı olduğu, iptali için Anayasa Mahkemesi’ne başvurulması gerektiği; istinaf dilekçesinde ileri sürülen iddialar değerlendirilmeden karar verildiği, Kurulca hazırlanan uzman raporundaki ifadeler tekrarlanarak davanın reddedildiği, usul kurallarına uyulmadığı, öneri yazısının bulunmadığı, Mahkemece idari para cezasının ölçülülük ilkesine uygun olduğunun kabul edildiği, ancak bu yargının olgusal bir dayanağının bulunmadığı, kararda ihlâlin neden ve nasıl önemli olduğuna ilişkin hiçbir gerekçeye yer verilmediği, yatırımcıların güvenliğini, hizmetin devamlılığını ve faaliyetlerin sağlıklı bir şekilde yürütülmesini tehlikeye düşüren hiçbir olguya yer verilmediği, Kurulca üst sınırdan idari para cezası verilmesine ilişkin hiçbir gerekçe sunulmadığı, faaliyetlerine sorunsuz şekilde devam ettiği, münferit müşteri şikâyetleri dışında bir sorun bulunmadığı, yazılımların yokluğunda dâhi faaliyetlerin sunulmasında bir aksama olmayacağı, asli nitelikte olan yazılım ve bilgi işlem alt yapısı açısından bir aykırılık tespit edilmediği, Kurul’un önemlilik kriterini gözardı ettiği, bilgi sistemleri tanımında keyfi davrandığı, Kurulca yapılan tespitlere ilişkin olarak sunduğu bilgi ve belgelerin gerekçe gösterilmeksizin değerlendirmeye dahi tâbi tutulmadığı, Kurul karar organınca değerlendirme yapılmadan karar verildiği, işleme dayanak gösterilen maddenin hatalı belirlendiği, bilirkişi incelemesi yaptırılmadan eksik incelemeye dayalı olarak karar verildiği ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, kanun koyucunun Kurul’a mevzuat çerçevesinde takdir yetkisi tanıdığı, Kurul’un da kendisine tanınan yetkilerini ancak gerekli şartların oluşması durumunda, kanunların gösterdiği sınırlar içinde ve kamu yararı için kullanabildiği, idari para cezalarında ölçülülük ve hukukîlik ilkelerinden uzaklaşılmasının söz konusu olmadığı, 6362 sayılı Kanun’un 103. maddesinde hukukîliği temin etmek üzere gereken kriterlerin açıkça yer aldığı, teknik alanlarda karar alan kuruluşların kararlarının yargısal denetimi özellik gösterdiğinden, kurullarca tesis edilen işlemlerin diğer idari işlemlerin yargısal denetiminden farklı olabileceğinin kabul edildiği, bu kapsamda takdir yetkisinin denetiminde özellikle teknik bilgi ve uzmanlık gerektiren alanlarda idarenin değerlendirme serbestisi kabul edilerek uzman kurulların yaptıkları değerlendirmelere ilişkin olarak sınırlı denetim yapılması gerektiğinin de ortaya çıktığı, yapılan tespit ve değerlendirmeler sonucunda tesis edilen işlemin hukuka uygun olduğu belirtilerek istemin reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …’UN DÜŞÜNCESİ : Temyiz isteminin reddi ile usul ve yasaya uygun olan Bölge İdare Mahkemesi kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesi’nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 17. maddesinin ikinci fıkrası uyarınca davacının duruşma istemi yerinde görülmeyerek ve dosya tekemmül ettiğinden yürütmenin durdurulması istemi hakkında ayrıca bir karar verilmeksizin gereği görüşüldü:

HUKUKÎ DEĞERLENDİRME :
Davacının Anayasa’ya aykırılık itirazı ciddî bulunmamıştır.
Bölge idare mahkemesi kararlarının temyizen bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde yer alan sebeplerden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, dilekçede ileri sürülen temyiz nedenleri kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU :
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2. Davanın yukarıda özetlenen gerekçeyle reddine ilişkin İdare Mahkemesi kararına yönelik istinaf başvurusunun reddi yolundaki … Bölge İdare Mahkemesi … İdari Dava Dairesi’nin … tarih ve E:…, K:… sayılı temyize konu kararında, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde sayılan bozma nedenlerinden hiçbirisi bulunmadığından, anılan Bölge İdare Mahkemesi kararının ONANMASINA,
3. Temyiz giderlerinin istemde bulunan üzerinde bırakılmasına,
4. Posta giderleri avansından artan tutar ile istemi hâlinde kullanılmayan …-TL yürütmeyi durdurma harcının davacıya iadesine,
5. 2577 sayılı Kanun’un 50. maddesi uyarınca, bu onama kararının taraflara tebliğini ve bir örneğinin de … Bölge İdare Mahkemesi … İdari Dava Dairesi’ne gönderilmesini teminen dosyanın … İdare Mahkemesine gönderilmesi’ne, 15/03/2023 tarihinde kesin olarak oybirliğiyle karar verildi.