Danıştay 15. Daire Başkanlığı         2018/251 E.  ,  / K.
T.C.
D A N I Ş T A Y
ONBEŞİNCİ DAİRE
Esas No : 2018/251

Davacılar ve Yürütmenin
Durdurulmasını İsteyenler :1
2-
3-
Vekilleri :
Davalılar : 1-
Vekilleri :
2-
Vekili :
İstemin Özeti : 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin tamamı ile anılan Yönetmelikle değiştirilen 20/10/2016 tarih ve 29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin; 15. maddesinin birinci ve beşinci fıkralarının, 9. maddesinin birinci fıkrasının, 7. maddesinin dördüncü fıkrasının, 6. maddesinin ikinci fıkrasının, 18. maddesinin, 11. maddesinin üçüncü fıkrasının ve 4. maddesinin iptali ve yürütmesinin durdurulması istenilmektedir.
Savunmaların Özeti : Dava konusu düzenlemenin üst normlara ve hukuka uygun olduğu, yürütmenin durdurulması isteminin ve davanın reddi gerektiği savunulmaktadır.
Danıştay Tetkik Hakimi :
Düşüncesi : Yürütmenin durdurulması isteminin kabulü gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek işin gereği görüşüldü:
Dava, 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin tamamı ile anılan Yönetmelikle değiştirilen 20/10/2016 tarih ve 29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin; 15. maddesinin birinci ve beşinci fıkralarının, 9. maddesinin birinci fıkrasının, 7. maddesinin dördüncü fıkrasının, 6. maddesinin ikinci fıkrasının, 18. maddesinin, 11. maddesinin üçüncü fıkrasının ve 4. maddesinin yürütmesinin durdurulması ve iptali istemiyle açılmıştır.
Davacılar tarafından, dava konusu Yönetmelik ile Danıştay tarafından yürütmesi durdurulan ve uygulanma olanağı kalmayan Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’te değişiklik yapıldığı, bu eksikliğin tüm maddeleri yoklukla malûl kıldığı,
Dava konusu hükümler ile kişisel sağlık verisi sahiplerinin verilerini yönetme ve silme hakkının Yönetmelik’ten çıkarıldığı, kişisel veri sahibi gerçek kişinin temel haklarından birinin kendisine ait verinin silinmesini talep etme hakkı olduğu, bu hakkın Anayasa’da herhangi bir sınırlama getirilmeden mutlak bir hak olarak düzenlendiği, bu hakkın verilerin tutulduğu sistemlere erişme, verilerin düzeltilmesini talep etme, aktarımına itiraz etme, silinmesini isteme gibi haklarının güvence altına alınmasını kapsadığı, esas Yönetmelik’te yer alan “her vatandaşın kendisine ait sağlık kayıtlarını yönetmek hakkının” daraltılarak “kendisine ait sağlık kayıtlarını görüntülemek” şekline dönüştürüldüğü, “kendisine ait sağlık verilerini yönetebilir, bu verileri silebilir” hükmünün ise “kendisine ait sağlık verilerini görüntüleyebilir” olarak değiştirildiği,
108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşmenin 6. maddesinde sağlık verilerinin özel kategoride hassas veriler olarak kabul edildiği ve iç hukukta uygun güvenceler sağlanmadıkça otomatik işleme tabi tutulmalarının yasak olduğu, bu güvencelerin kişisel veri sahiplerinin bu verilerin tutulduğu sistemlere erişme, verilerin düzeltilmesini talep etme, aktarımına itiraz etme ve silinmesini isteme gibi hakları temin eden hukuki düzenlemelerin hayata geçirilmesi olduğu, Sözleşmenin 5. maddesinin (e) bendinde yer alan, otomatik işleme tabi tutulan kişisel verilerin “Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliklerini belirlemeye imkân veren bir biçimde saklanır.” hükmü gereği kaydedilme amacı ya da işlenme şartları ortadan kalkan verilerin derhal silinmesi gerektiği, veri sahibinin bu yönde bir talebi varsa silmenin veri sorumlusu açısından zorunlu olduğu, ilgili kişinin işlenen kişisel verilerinin tümünden bilgi sahibi olması, sisteme erişim, kişisel verilerinin silinmesini veya bilgilerinin düzeltilmesini isteme ve işlenen kişisel verilerin hukuki dayanağının, amacının ve aktarım yapılan üçüncü kişileri bilme hakkının 6698 sayılı Kanun’un 11. maddesinde düzenlenen “ilgili kişinin hakları” arasında sayıldığı belirtilerek dava konusu Yönetmelik değişiklikleri ile sağlık verisi sahibi kişilerin bu haklarını temin etmeye yönelik bir düzenlemeye yer verilmediği,
Yönetmeliğin uygulamayı somut, objektif ve denetlenebilir kurallarla düzenlemediği, idare tarafından ne zaman çıkarılacağı ve içeriğinin ne olacağı belirsiz olan idari tasarruflara atıf yapmakla yetinildiği, 7. maddesinin dördüncü fıkrası, 6. maddesinin ikinci fıkrası, 11. maddesinin üçüncü fıkrası ve 18. maddesinde yapılan değişikliklerle veri güvenliğinin sağlanması için alınması gerekli tedbirlerin ne olduğu kararının idareye veya veri sorumlularına verildiği, bu kararların ilgili kişi ya da kamuoyu nezdinde denetlenebilirliğinin olmayacağı, idari ve teknik tedbirlerin belirlenmemesinin uygulamada birlik sağlanamamasına ve farklı yöntemlerin uygulanmasına neden olacağı,
Kişisel sağlık verilerinin işlenmesine ilişkin süreçte denetim ve gözlem görevi olan ‘bilgi güvenliği yetkilisi’ ile siber saldırılara karşı sistemi koruma görevi bulunan ‘siber olaylara müdahale ekibi’ kavramlarının Yönetmelikten çıkarıldığı, zaten yetersiz olan düzenlemelerin içinin daha da boşaltılmış olduğu,
Kişisel verilerin mahremiyetinin korunması için gereken tedbirlerin neler olduğunun düzenlenmediği, subjektif ve soyut ifadelerle içi doldurulmamış tedbirlerin alınacağının ifade edilmekle yetinildiği, verilerin kanuni olmayan yöntemlerle işlenmesi halinde sorumlulara uygulanacak yaptırımlara da yer verilmediği ileri sürerek düzenlemenin yürütmesinin durdurulması ve iptali istenilmektedir.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla düzenlenen 24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet Meclisi’ne sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu ilgilendirmesi nedeniyle bir “çerçeve kanun” olarak hazırlanmıştır.
Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede, Türk Ceza Kanunu’nun 135 ve devamı maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle, bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmaktadır. Ayrıca 2010 yılında Anayasa’nın 20. maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve konuya ilişkin usul ve esasların kanunla düzenleneceği öngörülmüştür.
Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL, EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak kabul edildiği ve bu nedenle ihlal kararları verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye’nin Avrupa Birliği’ne üyelik süreci açısından da önemine dikkat çekilmekte, Türkiye’nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ne de 1981 yılından itibaren taraf olduğu ifade edilmektedir.
Bütün bu hususlardan anlaşılacağı üzere 6698 sayılı Kanun, kişisel verilerin korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu’nun genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından önemlidir: “Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.”
6698 sayılı Kanunun 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulu’nun görev ve yetkileri, aynı Kanun’un 22. maddesiyle belirlenmiştir. 22. maddenin birinci fıkrasının (h) bendinde “Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek” hükmüne yer verilmiştir.
Anılan Kanun’un, “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin birinci fıkrasında, dava konusu Yönetmelikle düzenlenen, sağlık verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin dördüncü fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü getirilmiştir.
Dava dosyasının incelenmesinden; mülga 11/10/2011 tarihli ve 663 sayılı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 8. maddesinin birinci fıkrasının (j) bendi ile 47. maddesi ve 07/05/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3. maddesinin birinci fıkrasının (f) bendine dayanılarak hazırlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in 20/10/2016 tarih ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdiği ve anılan Yönetmelik ile; kişisel verilerin korunması ve veri mahremiyetinin sağlanmasına, kişisel sağlık verilerini toplama, işleme, aktarma, bu verilere erişim için kurulacak sisteme, kişisel sağlık verisi kaydı tutulan sistemlerin güvenliği ve denetimi ile sağlık hizmeti sunumundaki personel hareketlerinin Bakanlığa bildirilmesine ilişkin işlemlerde uyulacak usul ve esasların düzenlendiği,
Anılan Yönetmeliğin tamamının ve muhtelif maddelerinin iptali istemiyle davacılardan ile tarafından açılan davada, Dairemizin 06/07/2017 tarihli ve E:2016/10500 sayılı kararı ile Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin tamamının yürütmesinin durdurulmasına karar verildiği,
Söz konusu Karar gerekçesinde ise, “dava konusu Yönetmeliğin Resmî Gazete’de yayımlandığı tarih olan 20/10/2016’da Kişisel Verileri Koruma Kurulu’nun henüz oluşturulmadığı, dolayısıyla 6698 sayılı Kanun’un 6. maddesinin dördüncü fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun’un 22. maddesinin birinci fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan dava konusu düzenlemenin tesis edildiği, Kanun’un genel gerekçesi ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu’nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulu’ndan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu’nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve 20/10/2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren dava konusu düzenlemede bu nedenle mevzuata ve hukuka uygunluk bulunmadığı” tespitlerine yer verildiği,
Ancak anılan kararının ardından davalı tarafından Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik ile hakkında yürütmenin durdurulması kararı verilen esas Yönetmeliğin muhtelif maddelerinde değişiklik yapılarak 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlandığı ve görülmekte olan davanın açıldığı anlaşılmaktadır.
Anayasanın 138. maddesinin son fıkrasında “Yasama ve yürütme organları ile idare, mahkeme kararlarına uymak zorundadır; bu organlar ve İdare, mahkeme kararlarını hiçbir suretle değiştirilemez ve bunların yerine getirilmesini geciktiremez” kuralı yer almaktadır.
Öte yandan, 2577 sayılı İdari Yargılama Usülü Kanunun 28. maddesinde; “Danıştay, bölge idare mahkemeleri, idare ve vergi mahkemelerinin esasa ve yürütmenin durdurulmasına ilişkin kararlarının icaplarına göre idare, gecikmeksizin işlem tesis etmeye veya eylemde bulunmaya mecburdur. Bu süre hiçbir şekilde kararın idareye tebliğinden başlayarak otuz günü geçemez. Ancak, haciz veya ihtiyati haciz uygulamaları ile ilgili davalarda verilen kararlar hakkında, bu kararların kesinleşmesinden sonra idarece işlem tesis edilir.” kuralına yer verilmiştir.
Bir düzenleyici işlemin iptaline karşı dava açılması durumunda yargı organlarınca düzenleyici işlemin ilgili maddesinin yürütülmesinin durdurulması ve iptali yolunda verdiği kararlar sonucunda oluşan hukuksal boşluk nedeniyle o alanın yeniden düzenlenmesi ve hukuk devletinin gereği olarak idari yargı merciilerince verilen kararların, fiili ve hukuki imkânsızlık dışında gecikmeksizin yerine getirilmesi gerekmektedir. Aksine bir davranışın, yasama ve yürütme organları ile idarenin mahkeme kararlarına uymak zorunda oldukları yolundaki Anayasanın 138. maddesine aykırı olacağı açıktır. Böylece idarenin, uygulanmasında maddi ve hukuki imkânsızlık bulunanlar dışında yargı kararlarını “aynen” ve “gecikmeksizin” uygulamaktan başka bir seçeneği bulunmamaktadır. Başka bir deyişle, yargı kararlarının uygulanması bakımından idare ”bağlı yetki” içerisinde bulunmaktadır.
Davalı idare savunmasında; 6698 sayılı Kanun uyarınca Kişisel Verileri Koruma Kurulu üyelerinin ancak 2017 yılının Ocak ayında belirlenebildiği ve bu nedenle Esas Yönetmelik hakkında Kurul görüşünün alınmasının mümkün olmadığı, Kişisel Verileri Koruma Kurulu üyelerinin belirlenmesini müteakip görüşmelere başlandığı, Yönetmelik hakkında Kurul üyelerinden şifahi görüşlerin alındığı, toplantılarda dile getirilen görüşler çerçevesinde Yönetmeliğin revize edilmesine yönelik çalışmalara başlanıldığı, hazırlanan Esas Yönetmelikte değişiklik yapmak üzere hazırlanan Yönetmelik Taslağının Kişisel Verileri Koruma Kuruluna gönderildiği ve görüşünün alındığı, Kurul görüşü çerçevesinde revize edilen Taslağın Kurula ikinci kez gönderildiği ve görüşlerin tamamının Taslağa yansıtıldığı ve Esas Yönetmelik’te gerekli değişikliklerin yapıldığı, Esas Yönetmelik hakkında açılan davada henüz yürütmenin durdurulması kararı verilmeden önce kararda gerekçe gösterilen “Kurul’dan görüş alınmamış olması” eksikliğinin giderilmesine yönelik çalışmalara başlanmış olduğu, yürütmenin durdurulması kararının verildiği 06.07.2017 tarihinden önce Kurul görüşü alındığı, dolayısı ile yürütmenin durdurulması kararı henüz verilmeden, gecikmeksizin işlem tesis edildiği ve yürütmenin durdurulması kararının gereğinin yerine getirildiği, eksik bulunan hususun tamamlanmış olduğu iddia edilmekte ise de, Dairemizce verilen yürütmenin durdurulması kararı üzerine Kişisel Verileri Koruma Kurulundan görüş alınarak oluşturulduğu iddia edilen yeni bir Yönetmeliğin Resmî Gazete’de yayımlanmadığı, hakkında yürütmenin durdurulması kararı verilen Esas Yönetmelikte yapılan kısmi değişiklik metninin yayımlandığı görülmektedir.
Buna göre, bir düzenlemenin tamamının yürütülmesinin durdurulması veya iptal edilmesi üzerine, bu kararın gereğini yerine getirecek yeni bir düzenleme yürürlüğe konulmadığı sürece, önceki düzenlemede kısmi değişiklikler yapılmak suretiyle hukuka aykırılığı saptanmış olan düzenlemenin canlandırılması hukuken mümkün değildir. Zira düzenlemenin tamamının yürütülmesinin durdurulması veya iptali üzerine bu düzenlemede kısmen değişikliğe gidilmesi durumunda, değiştirilmeyen hükümlerin hukuken sakat olacağı da açıktır.
Bu durumda, Anayasada ve 2577 sayılı Kanun’da yer alan emredici kurallar karşısında, idarenin, yürütmenin durdurulması kararının gereğini yerine getirecek şekilde düzenleme yapması gerekirken, maddi ve hukuki koşullara göre uygulanabilir nitelikte olan bir yargı kararını aynen ve gecikmeksizin uygulamaktan kaçınarak, hakkında yürütmenin durdurulması kararı verilen Yönetmelikte kısmi değişiklikler yaparak yürürlüğe koymasında hukuka uygunluk bulunmamaktadır.
Açıklanan nedenlerle, olayda 2577 sayılı İdari Yargılama Usulü Kanunu’nun 4001 sayılı Yasa ile değişik 27. maddesinin ikinci fıkrasında sayılan koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin kabulüne, 24/11/2017 tarih ve 30250 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin yürütmesinin durdurulmasına, bu kararın tebliğini izleyen günden itibaren yedi gün içinde İdari Dava Daireleri Kurulu’na itiraz yolu açık olmak üzere 09/10/2018 tarihinde oybirliğiyle karar verildi.