Danıştay 15. Daire Başkanlığı         2018/844 E.  ,  / K.
T.C.
D A N I Ş T A Y
ONBEŞİNCİ DAİRE
Esas No : 2018/844

Davacılar ve Yürütmenin
Durdurulmasını İsteyenler : 1-
2-
Vekilleri :
Davalılar : 1-
Vekili :
2-
Vekili :
İstemin Özeti : 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, yetki unsuru yönünden tamamının, 4. maddesinin 1. fıkrasının (h), (n) ve (o) bentlerinin, 5. maddesinin 8. fıkrasının, 7. maddesinin 1. fıkrasının, 8. maddesinin 1. ve 3. fıkralarının, 9. maddesinin 1. fıkrasının, 11. maddesinin, 12. maddesinin ve 14. maddesinin 1. fıkrasının hukuka aykırı olmaları nedeniyle yürütmesinin durdurulması ve iptali istenilmektedir.
…..’nın Savunmasının Özeti : Bakanlığın Anayasanın 20. maddesi ve 6698 sayılı Kanunun 6/3. maddesi hükümleri gereği kişisel sağlık verilerini merkezi sağlık veri sistemine zaten aktarabildikleri, 6698 sayılı Kanun m. 6/III hükümlerinin Anayasaya ve uluslararası Sözleşmelere aykırılığı iddiası hakkında:
Anayasa’nın 20 nci maddesinin üçüncü fıkrasında;
“Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usûller kanunla düzenlenir.” hükmünün bulunduğu, dolayısıyla Anayasa’da konuya ilişkin olarak iki şart öngörüldüğü ve bu şartlardan herhangi birinin sağlandığı durumlarda kişisel verilerin hukuka uygun bir şekilde işlenmiş olarak kabul edileceğinin hüküm altına alındığı, “Kanunda öngörülmüş olma” halinin, kişisel verilerin hukuka uygun olarak işlenebileceği iki şarttan biri olarak belirlendiği, 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrasında öngörülen “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçları ile kişisel verilerin işlenmesinin, uluslararası sözleşme hükümlerine ve Anayasa’ya aykırılık teşkil etmediği, 108 sayılı Sözleşme’nin tarafı olan AB üyesi ülkelerin tamamında 1998 yılından itibaren geçerli olan 95/46 sayılı Direktifte de aynı amaçlarla kişisel verilerin işlenebileceğinin hüküm altına alındığı gibi, 2018 yılından itibaren geçerli olacak olan Genel Veri Koruma Tüzüğü’nde de aynı amaçlarla kişisel verilerin, ilgili kişilerin açık rızası olmaksızın işlenebileceği, yukarıda sayılan amaçların, doğrudan Anayasa’nın 20. maddesinde öngörülen kanun olan 6698 sayılı Kanun’da düzenlendiği, Anayasa uyarınca “kanunda öngörülmüş olma” halinin kişisel verilerin hukuka uygun olarak işlenebileceği hallerden olduğu için, bu amaçlarla kişisel verilerin işlenmesinde Anayasa’ya hiçbir aykırılık bulunmadığı,
6698 sayılı Kanun m. 6/IV uyarınca yeterli önlemlerin henüz belirlenmemiş olduğu iddiası hakkında:
6698 sayılı Kanun’un yürürlüğe girmiş olması ve 6. maddesinin dördüncü fıkrasında değinilen yeterli önlemlerin henüz belirlenmemiş olmasını, kişisel sağlık verilerinin tarafından işlenememesi için ileri sürmenin izahtan vareste olduğu, bu iddianın doğruluğunu savunmanın, özel nitelikli kişisel verilerden olan kişisel sağlık verilerinin yalnızca tarafından değil, aynı zamanda hiçbir kişi (hekim), kurum ve kuruluş (özel ve kamu sağlık tesisleri) tarafından işlenmemesini de beraberinde getireceği, ki bunun da ülkemizdeki tüm sağlık hizmetlerinin durması anlamına geldiği, hatta dernek üyeliğinin de özel nitelikli kişisel veriler arasında zikredilmiş olması göz önünde bulundurulduğunda, davacı ile ’nin kendi üyelerine ilişkin verileri işleyememesi, dernek üyesi olmaları gerekçesiyle üyelerine hiçbir iş ve işlemde bulunamayacağı, hiçbir şekilde iletişime geçemeyeceği ki bu durumun hayatın olağan akışına aykırı olduğu, nitekim, 6698 sayılı Kanun’un 6. maddesinin dördüncü fıkrasında öngörülen ve Kurul tarafından belirlenecek yeterli önlemlerin alınması şartının, yalnızca aynı maddenin üçüncü fıkrası uyarınca istisnai hallerde işlenen özel nitelikli kişisel veriler için değil, aynı zamanda açık rıza ile işlenen özel nitelikli kişisel veriler için de geçerli olduğu, Kanun hükmünün yalnızca nı değil, özel nitelikli kişisel veri işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku tüzel kişilerini bağladığı, dolayısı ile özel nitelikli kişisel verilerin işlenmesinde gerekli olan yeterli önlemlerin Kurul tarafından henüz belirlenmemiş olması hususunu, kişisel sağlık verilerinin tarafından işlenememesi için bir gerekçe olarak sunmanın tutarlı hiçbir tarafı bulunmadığı,
6698 sayılı Kanun’un 7. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, bu yeterli önlemlerin Kurul tarafından yayımlandığı anda bu şartın aranmaya başlayacağı,
Kanun ve Yönetmeliğin 108 sayılı Sözleşmeye aykırılık iddiası hakkında:
Türkiye’nin, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne (108 sayılı Sözleşme), 28 Ocak 1981 tarihinde imza atmış olmasına rağmen, uzun bir süre Sözleşmeyi onaylanmadığı, Sözleşmenin nihayet 30.01.2016 tarihinde onaylandığı, 18.02.2016 tarihli ve 29628 sayılı Resmî Gazete’de yayımlandığı, 108 sayılı Sözleşmenin, 6669 sayılı Kanun’un 2. maddesi gereği, Resmî Gazete’de yayımlandığı gün olan 18.02.2016 tarihinde yürürlüğe girdiği, Anayasa’nın 90. maddesinin 5. fıkrasında; “Usulüne göre yürürlüğe konulmuş milletlerarası anlaşmalar kanun hükmündedir. Bunlar hakkında Anayasaya aykırılık iddiası ile Anayasa Mahkemesine başvurulamaz. (Ek cümle: 7/5/20045170/7 md.) Usûlüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası anlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda milletlerarası anlaşma hükümleri esas alınır.” hükmünün bulunduğu, madde metninden, usulüne göre yürürlüğe konulan 108 sayılı Sözleşme ile 6698 sayılı Kanun’un, aynı konuda farklı hükümler içermesi halinde 108 sayılı Sözleşme hükümlerinin esas alınacağının anlaşıldığı, bununla birlikte usulüne göre yürürlüğe konulan milletlerarası anlaşmaların, Anayasa’ya üstünlüğünün bulunmadığı, bunlar hakkında Anayasa’ya aykırılık iddiası ile Anayasa Mahkemesine başvurulamamasının, bu anlaşmaların Anayasa’dan üstün olduğu anlamına gelmediği, Anayasa’nın 20. maddesinde ise kişisel verilerin hangi hallerde işlenebileceğinin açık bir şekilde hüküm altına alındığı, diğer taraftan 108 sayılı Sözleşme’nin 6. maddesinde “iç hukukta uygun güvenceler sağlanmadıkça otomatik işleme tabi tutulmalarının yasaklandığı” verilerin yalnızca kişisel sağlık verileri olmadığı, ceza mahkumiyetine ilişkin kişisel verilerin de madde metninde vurgulandığı, bununla birlikte Ulusal Yargı Ağı Projesi (UYAP) kapsamında ceza mahkumiyetine ilişkin kişisel verilerin, uzun zamandır otomatik işleme tabi tutulduğu, dolayısı ile ülkemizin “iç hukukta uygun güvenceler sağlayamadığı” iddiasının doğru kabul edilmesi halinde, UYAP’ın da hukuki dayanaktan yoksun kalacağı,
Ayrıca, 108 sayılı Sözleşme’nin 9. maddesinde, “Devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi“ gibi durumların varlığı halinde, Sözleşmenin 5, 6 ve 8 inci maddelerine sınırlama getirilebileceği hükmünün yer aldığı, dolayısı ile 108 sayılı Sözleşme’nin 9 uncu maddesinin, aralarında “kamu güvenliği”nin de bulunduğu bir takım sebeplerin söz konusu olduğu durumlarda, 6. maddenin sınırlandırılabileceğini hüküm altına aldığı, bu yönüyle de 6698 sayılı Kanun ile Yönetmelik hükümlerinin, 108 sayılı Sözleşme ile uyumsuzluk arz etmediği,
Amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık iddiası hakkında:
Bakanlığın uygulama ve süreçlerinde, 6698 sayılı Kanun’un “Genel ilkeler” başlıklı 4. maddesinde belirtilen ilkelerin göz önünde bulundurulduğu ve bu ilkeleri ihlal edecek uygulamalardan kaçınıldığı, kişilerin sağlık verileri toplanmaksızın doğru sağlık politikaları oluşturmanın mümkün olmayacağı, büyük veri (big data) çağında bulunduğumuz günümüzün “petrolü”nün veri olduğu, gelişmiş ülkelerin çok büyük bütçeler ayırmalarına karşın başaramadıkları teknik alt yapının, Bakanlık tarafından emsallerine oranla çok daha küçük bütçelerle son derece başarılı bir şekilde hazırlandığı, bu teknik alt yapı ile son derece verimli analizler, istatistiksel çalışmalar yapıldığı, bu çalışmalarla kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi konularında emsalsiz faydalar sağlandığı, yalnızca Tip-II diyabetin ülkemize yıllık maliyetinin 15 milyar TL civarında olduğu göz önünde bulundurulduğunda, bu sistemlerin “devletin mali menfaatlerine” olan katkısının boyutunun da tartışılamayacak seviyede olduğu, tüm işlemlerin iz (log) kayıtlarının tutulduğu, yetkisiz erişimlerin her zaman görüntülenebildiği, toplanan verilerin USS’de anonim hale getirilerek tutulduğu, ancak ilgili kişinin e-Nabız profili oluşturması halinde kişi ile ilişkilendiriliği ve verilere yalnızca kişinin kendisi ile yetki verdiği üçüncü kişilerce erişilebildiği, sonuç olarak, ulusal ve uluslar arası düzenlemelerde öngörülen ilkelere riayet edildiği,
Merkezi sağlık veri sistemi ile ilgili iddialar hakkında:
Anayasa’nın 56. maddesinde “Devlet, herkesin hayatını, beden ve ruh sağlığı içinde sürdürmesini sağlamak; insan ve madde gücünde tasarruf ve verimi artırarak, işbirliğini gerçekleştirmek amacıyla sağlık kuruluşlarını tek elden planlayıp hizmet vermesini düzenler. Devlet, bu görevini kamu ve özel kesimlerdeki sağlık ve sosyal kurumlarından yararlanarak, onları denetleyerek yerine getirir.” hükmünün bulunduğu, 663 sayılı KHK’nın 2. maddesinin birinci fıkrası ile herkesin bedenî, zihnî ve sosyal bakımdan tam bir iyilik hâli içinde hayatını sürdürmesini sağlama görevinin, na verildiği, 663 sayılı KHK’nın 11. maddesinde “Kişisel sağlık verileri ile ülke düzeyinde sağlık durumu ve sağlık hizmetlerine ilişkin veri ve bilgi akışını içeren her türden bilgi sistemleri ve projelerini yapmak ve yaptırmak” ve “Sağlık bilişimi ve teknolojisi alanında çalışacak kamu ve özel hukuk tüzel kişileri ile gerçek kişilerin uyacakları kuralları belirlemek, uygulamak, gerektiğinde bunların yazılım ve ürünlerinin uygunluğuna karar vermek ve müelliflerini yetkilendirmek” görevlerinin ise Sağlık Bilgi Sistemleri Genel Müdürlüğüne tevdi edildiği, 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3. maddesinin birinci fıkrasının (f) bendinde, yukarıdaki hükmü destekler nitelikteki “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, nca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.” hükmünün yer aldığı Anayasa’nın 125. maddesinde; “Yargı yetkisi, idarî eylem ve işlemlerin hukuka uygunluğunun denetimi ile sınırlı olup, hiçbir surette yerindelik denetimi şeklinde kullanılamaz. Yürütme görevinin kanunlarda gösterilen şekil ve esaslara uygun olarak yerine getirilmesini kısıtlayacak, idarî eylem ve işlem niteliğinde veya takdir yetkisini kaldıracak biçimde yargı kararı verilemez.” hükmünün bulunduğu, yukarıda anılan hükümler uyarınca Bakanlığın, merkezi sağlık veri sistemi olan USS ile bu sisteme bağlı olarak çalışan e-Nabız’ın oluşturulduğu, her iki sistem de temelini kanuni düzenlemelerden aldığı,
Kamu kurumları arasında veri paylaşımının, Yönetmeliğin 8. maddesinin üçüncü fıkrası uyarınca Protokol ile yapıldığı, hukuki düzenlemelere aykırı olan durumlarda veri aktarımı yapılmadığı, Protokol ile veri aktarımının ancak veri aktarımının hukuka uygun olduğu hallerde yapıldığı, hukuka uygun olmayan veri aktarımı taleplerinin Bakanlıkça birçok kez reddedildiği, veri aktarımı taleplerinin değerlendirilmesinde, 6698 sayılı Kanun’un 8. maddesinin göz önünde bulundurulduğu,
Davacının, 6698 sayılı Kanun’un 22. maddesinin birinci fıkrasının (h) bendi gereği, kişisel verilere ilişkin hüküm içeren mevzuat taslaklarını hazırlarken Kurul’dan görüş alınmasının zorunlu olduğunu ifade ettiği, oysa Kanun’da böyle bir zorunluluğun bulunmadığı, ilgili hükümde, “Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek” hususunun, Kurul’un görev ve yetkileri arasında zikredildiği, bu hükmün, Yönetmeliğin çıkartılmasında Kurul’dan görüş alınmasının zorunlu olduğu anlamına gelmediği, ayrıca, Yönetmeliğin çıkartıldığı tarihte Kurulun henüz teşekkül etmediği, teşekkül etmeyen bir Kurul’dan görüş alınmasının da mümkün olmadığı, hatta Kanun’un Geçici Madde 1’in birinci fıkrası uyarınca en geç 07.10.2016 tarihinde oluşması gereken Kurulun, bu tarihten ancak aylar sonra oluştuğu, Yönetmeliğin ise 20.10.2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girdiği,
İç hukukta gerekli güvencelerin sağlanmamış olduğu iddiası hakkında,
6698 sayılı Kanunun 07.04.2016 tarihi ile yürürlükte olduğu ve Anayasa’nın 20. maddesinde öngörülen hükmün bu Kanun ile yerine getirildiği, iç hukukta uygun güvencelerin sağlanması ön koşulunun yerine getirilmediğini iddia etmenin, yürürlükte olan Kanunu yok saymak anlamına geldiği,
Veri sorumlusunun kim olduğunun Yönetmelikte işaret edilmediğinin iddia edildiği, oysa veri sorumlusunun tanımına, Yönetmeliğin 4. maddesinin birinci fıkrasının (o) bendinde yer verildiği, Dünyanın hiçbir yerinde, konuya ilişkin hiçbir hukuki düzenlemede veri sorumlusunun kim olduğu somut olarak ifade edilmediği, hukuki düzenlemelerde böyle bir teknik bulunmadığı, bunun yerine veri sorumlusunun tanımına yer verildiği, veri sorumlularının görev, yetki ve sorumlulukları ile kişisel verilerin işlenmesindeki rollerinin izah edildiği,
Davacının, Komisyon’un dayanağını yasalardan almadığını iddia ettiği, Kişisel Sağlık Verileri Komisyonunun Yönetmeliğin 12. maddesi uyarınca oluşturulduğu, Yönetmeliğin ise 6698 sayılı Kanun ile üzerinde değişiklik yapılan 663 sayılı KHK’nın 47. maddesinin altıncı fıkrası uyarınca yürürlüğe konulduğu, Komisyonun yetki alanının sınırsız olmayıp, yalnızca ve bağlı kuruluşları ile bunların bünyesinde faaliyet gösteren ve birinci, ikinci ve üçüncü basamakta sağlık hizmeti sunmakta olan sağlık tesislerini kapsadığı, Komisyon’un görev ve yetki alanı kişisel sağlık verisi işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku tüzel kişilerinden oluşuyor olsaydı davacının iddiasını yerinde bulmanın mümkün olabileceği, fakat Komisyon’un görev ve yetki alanının yalnızca Bakanlık ve bağlı kuruluşları ile bunların bünyesinde faaliyet gösteren ve birinci, ikinci ve üçüncü basamakta sağlık hizmeti sunmakta olan sağlık tesislerini kapsadığı, Bakanlığın kendi iç işleyişi ile ilgili süreçleri bakımından öngördüğü Komisyon’un “alana ilişkin meslek örgütlerinin katılımıyla oluşan bir oluşum olması” zorunluluğu bulunmadığı gibi, böyle bir Komisyon’un kurulması için kanun düzeyinde bir düzenleme ile öngörülmüş olma zorunluluğu da bulunmadığı savunulmuştur.
‘nın Savunmasının Özeti : 6698 sayılı Kanunun 21. maddesi hükümlerine göre, Kişisel Verileri Koruma Kurulu üyelerinin seçimlerinin 12 Ocak 2017’de tamamlanabildiği, Yargıtay 1. Başkanlık Kurulu huzurunda yemin ettikleri, 30 Ocak 2017’de Başkan ve 2. Başkanın seçildiği, dava konusu Yönetmeliğin yayımlandığı 20.10.2016 tarihinde henüz usulüne uygun olarak teşekkül etmemiş Kurulunun nca çıkarılan Yönetmeliğin hazırlanma sürecinde herhangi bir görüş, katkı, ya da değerlendirme yapma imkânının bulunmadığı, bu davada taraf sıfatını haiz olmadıkları,
6698 sayılı Kanunun Geçici 1. maddesinde, yer alan “…Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir…” hükmü gereği veri sorumlularının kişisel verileri işleme faaliyetlerini Kanuna uyumlu hale getirebilmesi için öngörülen iki yıllık sürenin Kanunun yayım tarihi olan 07.04.2016’da başladığı; Kurulun henüz teşekkül etmemiş ve özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemlerin tespit edilmemiş olmasının diğer kurum ve kuruluşlarca kişisel verilere ilişkin hüküm içeren düzenleyici işlem yapılmasına engel teşkil etmeyeceği,
Anayasa’nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca kanunla düzenleneceği anlamına gelmediği, 6698 sayılı Kişisel Verilerin Korunması Kanununun, kişisel verilerin korunmasına ilişkin esas ve usullerin düzenlenmesi amacıyla yürürlüğe girdiği; Kanunda temel ilkelerin düzenlendiği; Anayasanın 124. maddesinde belirtilen idarenin düzenleme yetkisi çerçevesinde anılan Kanuna istinaden Yönetmelikler çıkarılmasına hukuki bir engel bulunmadığı,
6698 sayılı Kanunun 6. maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenebileceği hallerin tahdidi olarak sayıldığı; bunların 108 nolu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme ve 95/46 sayılı Direktifte yer alan hükümlere uygun olduğu, Anayasanın 20. maddesinde yer alan “kanunda öngörülen hallerde” şartının da 6698 sayılı Kanunun 6. maddesindeki düzenlemeyle sağlandığı; anılan hüküm ve 663 sayılı Kanun Hükmünde Kararname’nin 47. maddesinin iptali talebinin de Anayasa Mahkemesi tarafından reddedildiği,
6698 sayılı Kanunun “veri sorumlusu” kavramını net olarak ortaya koyduğu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiğinin belirtildiği; Kanunun düzenlemesi karşısında Yönetmelikte farklı bir yorum yapılması mümkün olmayacağından bu hususa ilişkin tartışmaya mahal olmayacağı,
Kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin 6698 sayılı Kanunun 4. maddesinde düzenlendiği; bu ilkelerden birinin “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olduğu; işlendikleri amaç için gerekli olan azami sürenin tespitinde dikkate alınması gereken hususların 30.12.2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesinin 4. fıkrasında tek tek sayıldığı; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 5. maddesinde yer alan, “Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.” hükmüne göre veri sorumlularının, veri saklama ve imha politikası, verilerin saklanmasına ve imhasına ilişkin yaptıkları işlemler ve saklama sürelerinin belirli ve Kanun ve Yönetmelikte öngörülen usul ve esaslara uygunluğu yönünden denetlenebilir olması açısından önem arz ettiği,
Kanunun 11. maddesinde ilgili kişinin haklarının sayıldığı; bunların arasında “7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme” olduğu, buna göre ilgili kişinin, kişisel verilerinin silinmesini veya yok edilmesini isteme hakkının sınırsız olmayıp, Kanunun 7. maddesinde öngörülen şartlarla bu hakkın kullanılabilmesinin mümkün olduğu savunulmuştur.
Düşüncesi : …. ‘ndan görüş alınmadan hazırlanan dava konusu düzenlemede mevzuata ve hukuka uygunluk bulunmadığından yürütmenin durdurulması isteminin kabulü gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onbeşinci Dairesince hasım konumuna alınan ‘nun da birinci savunması alındıktan sonra incelenmesine karar verilen yürütmenin durdurulması istemi, savunmanın verildiği görülmüş olmakla incelenerek işin gereği görüşüldü:
Dava, 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tamamının yürütmesinin durdurulması ve iptali istemiyle açılmıştır.
Davacılar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun uygulamasını belirlemekte yasa koyucunun asıl yetkiyi ’na verdiği, Kurumun karar organı olan Kişisel Verileri Koruma Kurulu’na da bu alana dair ülkesel uygulamanın ilkelerini belirleme yetki ve görevi verildiği, dolayısıyla Türkiye’deki Kişisel Verileri Koruma Kanunu’nun uygulanmasında temel ilkeler belirlendikten sonra ilgili alanların ihtiyacına ve özelliğine uygun düzenleyici işlemler yapılabileceği, Kanunun 6/4. maddesinde, “Özel nitelikteki kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”, 16. maddesinin 1. ve 2. fıkralarında, “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır…” hükümlerinin bulunduğu, henüz ne Kurum ne de Kurul oluşturulmadığı, bunun sonucu olarak verilerin işlenmesinde alınması gereken önlemlerin belirlenmediği, Veri Sorumluları Sicilinin oluşturulmadığı, 663 sayılı KHK’nın 47. maddesinin 6. fıkrasıyla na verilen düzenleme yetkisinin bağlı yetki olduğu, takdir yetkisinin sınırının Kişisel Verileri Koruma Kurulu’nun belirleyeceği ilkeler olduğu, Kanunun 31. maddesindeki “Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur.” hükmü ile ikincil düzenleyici işlem yapma yetkisinin asıl olarak ’na verildiği, Kanunun 22. maddesine göre de tarafından hazırlanan mevzuat taslağının Kurul’dan görüş alındıktan sonra çıkarılması gerektiği, bu nedenlerle bağlı yetkinin sınırlarına aykırı işlem olması nedeniyle yetki unsuru yönünden hukuka aykırı olan Yönetmeliğin tamamının iptalinin gerektiği,
Yönetmeliğin kişisel sağlık verileriyle ilgili bir takım iş ve işlemlere dair usul ve esasları belirlemek amacıyla çıkarılmasına karşın, kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleme yetkisinin veri sorumlusuna ait olduğunun belirtilmesiyle yetinildiği, bu kişinin niteliklerine dair bir belirleme yapılmadığı, veri sorumlusunun özel hukuk tüzel kişisi olup olamayacağı, böyleyse Kamu İhale Kanunu ve diğer mevzuat çerçevesinde hizmet alımı yapılıp yapılamayacağının belirsiz olduğu, tüm kişisel sağlık verileriyle ilgili belirleme yapmaya dair bu denli büyük yetkilerle donatılan gerçek veya tüzel kişinin kim olacağı, bu kişinin veri işleyene yetkiyi nasıl devredeceğinin Yönetmelikle belirlenmediği, 6698 sayılı yasanın soyut düzenlemesinin tekrarıyla yetinildiği, bu nedenle 4. maddesinin 1. fıkrasının (n) ve (o) bentleri ile 11. maddesinin eksik düzenleme olması nedeniyle hukuka aykırı oldukları,
Yönetmeliğin, kişisel verilerin sınırsız olarak hiçbir ayırım yapılmadan merkezi sisteme aktarılmasına ve Bakanlığın da bu verileri diğer kamu kurum ve kuruluşlarına aktarabileceğine dair 5/8., 7/1., 8/1. ve 14/1. maddelerinin temel hakkın özüne zarar veren, amaçla uygun olmayan bir müdahale niteliğinde olduğu, kişisel sağlık verilerinin ancak sınırlı sebepler gerçekleştiğinde istisnai olarak işlenebileceği, Yönetmelikte ise bu ilkenin ters çevrilerek sağlık verilerinin işlenmesinin kural işlenmemesinin ise istisna sayıldığı, dayanak yasada böyle bir yetki verilmediği halde Bakanlığın elde ettiği verileri açık rıza aranmaksızın protokolle diğer kurumlarla paylaşabileceğinin düzenlendiği,
Yönetmeliğin 9. maddesinin 1. fıkrasında kişisel sağlık verilerinin silinmesini talep etme hakkına ölçüsüz sınırlama getirildiği, bunun yanı sıra resen silmeye dair herhangi bir düzenleme içermediği ve verilerin tutulmasına dair azami süre öngörmediği,
3046 sayılı Bakanlıkların Kuruluş ve Görev Esasları Hakkında Kanunun 12. ve 13. maddelerinde Bakanlık ve bağlı kuruluşların merkez teşkilatındaki danışma, denetim ve yardımcı birimlerinin belirlendiği; 14. maddesinde, ilgili kuruluşlarda hizmet özelliklerine göre hangi danışma, denetim ve yardımcı birimlerin kurulacağı bu kuruluşların kuruluş kanunu veya statülerinde belirleneceğinin düzenlendiği; 39. maddesinde, Bakanlıklarda ve bağlı kuruluşlarda hizmetin kurul biçiminde yürütülmesi gerektiğinde, görevleri ve teşekkül tarzı kuruluş kanunlarında veya diğer kanunlarda gösterilmek kaydıyla sürekli kurullar kurulabileceğinin düzenlendiği; dava konusu Yönetmelikle kurulan Kişisel Sağlık Verileri Komisyonuna, danışmanlık, denetim, anlaşmazlıkların çözülmesi ve veri aktarımı başvurularının değerlendirilmesi gibi çok önemli yetkiler verilmiş olmasına karşın 663 sayılı KHK’da böyle bir birim bulunmadığı,
Ayrıca, Komisyona tanımlanan görevin objektif biçimde yerine getirilebilmesi ile hastaların haklarının korunması bakımından Komisyon bileşiminin demokratik katılıma olanak verecek şekilde düzenlenmesi, ilgili meslek kuruluşları ile hasta hakları kuruluşlarının da Komisyona etkin katılımının sağlanmasının gerektiği, bütün bunlara aykırı olan Yönetmeliğin 4. maddesinin 1. fıkrasının (h) bendi ve 12. maddesinin iptalinin gerektiğini ileri sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini istemektedirler.
07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet Meclisi’ne sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu ilgilendirmesi nedeniyle bir “çerçeve kanun” olarak hazırlanmıştır.
Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede, Türk Ceza Kanunu’nun 135 ve devamı maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle, bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmaktadır. Ayrıca 2010 yılında Anayasa’nın 20. maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve konuya ilişkin usul ve esasların kanunla düzenleneceği öngörülmüştür.
Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL, EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak kabul edildiği ve bu nedenle ihlal kararları verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye’nin Avrupa Birliği’ne üyelik süreci açısından da önemine dikkat çekilmekte, Türkiye’nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ne de 1981 yılından itibaren taraf olduğu ifade edilmektedir.
Bütün bu hususlardan anlaşılacağı üzere 6698 sayılı Kanun, kişisel verilerin korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer verilen şu tespit Kanun ile oluşturulan Kurulu’nun genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından önemlidir: “Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.”
6698 sayılı Kanunun 21. maddesi hükümlerine göre oluşturulan ‘nun görev ve yetkileri, aynı Kanun’un 22. maddesiyle belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde “Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.” hükmüne yer verilmiştir.
Anılan Kanun’un, “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin 1. fıkrasında, dava konusu Yönetmelikle düzenlenen, sağlık verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin 4. fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü getirilmiştir.
6698 sayılı Kanunun Geçici 1. maddesi hükmü uyarınca, Kanunun 21. maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu’nun, Kanunun Resmi Gazete’de yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin ancak 30.01.2017 tarihinde yerine getirilebildiği anlaşılmaktadır.
Davalıların savunmaları ve dosya içeriğinden, dava konusu Yönetmeliğin Resmî Gazete’de yayımlandığı tarih olan 20.10.2016’da Kişisel Verileri Koruma Kurulu’nun henüz oluşturulmadığı, dolayısıyla 6698 sayılı Kanun’un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun’un 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan dava konusu düzenlemenin tesis edildiği görülmektedir.
Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu’nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulu’ndan görüş alınmasının şart olduğu, Kurulu’nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve 20/10/2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren dava konusu düzenlemede bu nedenle mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.
Açıklanan nedenlerle, olayda 2577 sayılı İdari Yargılama Usulü Kanunu’nun 6352 sayılı Yasa ile değişik 27. maddesinin 2. fıkrasında sayılan koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin kabulüne, 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin yürütmesinin durdurulmasına, bu kararın tebliğini izleyen günden itibaren yedi gün içinde İdari Dava Daireleri Kurulu’na itiraz yolu açık olmak üzere, 26/06/2018 tarihinde oybirliğiyle karar verildi.