Kişisel Sağlık Verileri Hakkında Yönetmelik hükümlerinin yargısal denetimi

Danıştay, Kişisel Sağlık Verileri Hakkında Yönetmelik'in çeşitli hükümlerine karşı açılan davayı kısmen kabul etti.

Esas2019/10346
Karar2023/5654
MerciDanıştay
Daire10. Daire
Karar tarihi17.10.2023
Yargısal sonuçKısmi Kabul
Danıştay, Kişisel Sağlık Verileri Hakkında Yönetmelik'in çeşitli hükümlerine karşı açılan davayı kısmen kabul etti. Yönetmeliğin 6. maddesinin dördüncü fıkrasının ilk cümlesi ile 7. maddesinin ikinci fıkrasındaki “denetleme ve düzenleme” ibaresi iptal edilirken; 7/1, 13/1 ve 21/3 yönünden dava reddedildi. Karar, sağlık verisine erişim, amaçla sınırlılık, düzeltme başvurusu ve merkezi sisteme veri aktarımı bakımından ayrıntılı çoğunluk ve karşı oy gerekçeleri içerir.
Danıştay 10. Daire Başkanlığı 2019/10346 E. , 2023/5654 K.
"İçtihat Metni"

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2019/10346
Karar No : 2023/5654

DAVACILAR : 1- … Birliği
2- … Birliği
VEKİLLERİ : Av. …

DAVALILAR : 1- … Bakanlığı
VEKİLLERİ : Av. …
Hukuk Müşaviri …

2- … Kurumu
VEKİLİ : Av. …

DAVANIN_KONUSU : 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin;
a) Dayanağı olan Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 378. maddesinin Anayasaya aykırı olduğu iddiasıyla sebebiyle iptali için Anayasa Mahkemesine başvurulması;
b) 6. maddesinin dördüncü fıkrasının birinci cümlesinin, 7. maddesinin birinci fıkrasının, 7. maddesinin ikinci fıkrasındaki "denetleme ve düzenleme" ibaresinin, 13. maddesinin birinci fıkrasının ve 21. maddesinin üçüncü fıkrasının iptali istenilmektedir.

DAVACILARIN_İDDİALARI : Davacılar tarafından, Yönetmeliğin dayanağı olan Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin, Anayasa'nın 20. ve 104. maddesinin on yedinci fıkrasına aykırı olduğu;
Yönetmeliğin 6. maddesinde, hasta verilerine erişebilecek kişiler bakımından birtakım sınırlamalara yer verildiği, ancak dördüncü fıkranın birinci cümlesinde, düzenlenen bu sınırlamaları tümüyle boşa çıkartacak şekilde, anılan sınırlamaların ve erişim kurallarının Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilebileceğinin düzenlenerek söz konusu kuralların farklı biçimde düzenlenmesine olanak sağlandığı;
Yönetmeliğin 7. maddesinin birinci fıkrasındaki düzenleme ile kimliksizleştirilmiş sağlık verilerinin, Bakanlık tarafından başka verilerle eşleştirilerek kimlikli hale getirilmesini gerekli kılan meşru bir amacın bulunmadığı, bu durumun 6698 sayılı Kanun'un 6. maddesinde sayılan amaçlardan herhangi biriyle de açıklanamadığı;
Aynı maddenin ikinci fıkrası ile 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında belirtilen sınırlı amaçların genişletilerek Kanun'da yeri olmayan "...denetleme ve düzenleme..." amaçlarına da yer verildiği, işleme amaçlarının genişletilmesinin hukuka aykırı olduğu;
Yönetmeliğin 13. maddesinin birinci fıkrası ile kişisel sağlık verileri hatalı girilen kişinin, ilgili sağlık kuruluşuna başvurması suretiyle gerekli araştırmanın kaynağında yapılıp düzeltilebilmesi yerine oldukça uzun ve karmaşık bir yol tercih edildiği, bu tercihin, veri sorumlusuna iletilen taleplerin en kısa süre içinde sonuçlandırılmasına ilişkin yasal gerekliliğe aykırı olduğu gibi veri düzeltme talebi üzerine, il sağlık müdürlüğü, sağlık kuruluşu ve genel müdürlük yazışmalarıyla söz konusu verilere erişme yetkisi olmayan pek çok görevlinin ilgili kişinin sağlık verilerine erişecek olmasının, kişisel verilerin işlenmesinde sınırlı ve ölçülü olma ilkelerini ihlal ettiği;
Yönetmeliğin 21. maddesinin üçüncü fıkrasındaki yaptırım hükmünün, muayenehane, poliklinik, tıp merkezi ve özel hastaneler bakımından hukuki dayanağının bulunmadığı, 3359 sayılı Kanun'un 3. maddesinin birinci fıkrasının (f) bendi uyarınca Bakanlık ile bağlı ve ilgili kuruluşlarının dahil olacağı ülke çapında bir kayıt ve bildirim sisteminin Sağlık Bakanlığı tarafından kurulabileceği, muayenehane, poliklinik, tıp merkezi ve özel hastaneler Sağlık Bakanlığının bağlı ya da ilgili kuruluşu olmadığından, Bakanlık tarafından kurulan merkezi sağlık veri sistemine bütün sağlık kuruluşlarının katılmalarını zorunlu tutan bir düzenlemenin bulunmadığı, dava konusu düzenlemelerin iptaline karar verilmesi gerektiği ileri sürülmektedir.

DAVALILARIN SAVUNMALARI :
Davalı Sağlık Bakanlığı tarafından, 6698 sayılı Kanun’un 30. maddesinin yedinci fıkrası ile değiştirilen 663 sayılı Kanun Hükmünde Kararname’nin 47. maddesinin Anayasaya aykırı olduğu iddiası ile yapılan başvurunun Anayasa Mahkemesinin 28/09/2017 tarih ve E.2016/125-K.2017/143 sayılı kararı ile reddine karar verildiği; 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 378. maddesinde, 663 sayılı Kanun Hükmünde Kararnamenin ilga edilen 47. maddesinin hiçbir değişiklik yapılmaksızın düzenlendiği, dolayısıyla, iptali talep edilen 378. maddede yer alan hükümler hakkında daha önce Anayasa Mahkemesine yapılan başvurunun reddedildiği ve ilgili hükümlerin Anayasaya uygun bulunduğu;
Yönetmeliğin 6. maddesinin dördüncü fıkrası ile erişim kurallarının, Kanun’un 6. maddesinin üçüncü fıkrasında yer alan bu amaçlar doğrultusunda ve Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre somutlaştırıldığı, Kanunda belirtilen amaçlar kapsamında kalmak kaydıyla, kişilerin sağlık verilerine hangi durumlarda erişilebileceğinin belirlenmesinin ve madde metninde olduğu gibi somutlaştırılmasının, 6698 sayılı Kanun’un 4. maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ilkesine riayet edilmesinden ibaret olduğu, Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilecek olan sağlık verilerine erişim kurallarının, 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrası kapsamında olacağı, dolayısıyla 6698 sayılı Kanun hükümlerinin dışına çıkılamayacağı;
Yönetmeliğin 7. maddesinin birinci fıkrasının, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 352. maddesi ile Bakanlığa verilen sağlık hizmetleriyle ilgili görevlerin yerine getirilebilmesi ve sağlık hizmetlerinin en iyi şekilde işletilebilmesi amacıyla düzenlendiği, 1 sayılı Cumhurbaşkanlığı Kararnamesi ile sağlık hizmetlerinin yürütülmesine dair Bakanlığa verilen görevlerin ifa edilebilmesi amacıyla Yönetmelikte sağlık verilerinin işlenmesi hususunda yetkilendirme yapılması hususunun, 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrasında sayılan amaçlara hizmet ettiğinin açık olduğu;
Yönetmeliğin 7. maddesinin ikinci fıkrasında yer alan “denetleme ve düzenleme” yetkisinin dayanağını, 6698 sayılı Kanun’un 28. maddesinden aldığı, diğer taraftan, 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrasında, özel nitelikli kişisel veriler bakımından bir ayrıma gidildiği, belirli ve sınırlı amaçlarla işlenebildiği ve aktarılabildiği, Kanunda öngörülen bu sınırlı amaçlar doğrultusunda örneğin Hazine ve Maliye Bakanlığının vergi müfettişleri ile Sosyal Güvenlik Kurumu ile Bakanlık müfettişleri tarafından yürütülen teftiş ve denetimlerde, teftiş edilen olayın aydınlatılması için ihtiyaç duyulan sağlık verilerinin ilgili kişilerin açık rızaları olmaksızın müfettişlere aktarılamadığı, kanun koyucu tarafından, 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrasında özel nitelikli kişisel veriler bakımından bir ayrım gözetilmiş olmasaydı veya mehaz düzenleme (95/46 sayılı Direktif) ya da Genel Veri Koruma Tüzüğü’nde olan hükümlere benzer bir düzenlemeye gidilmiş olsaydı, 6698 sayılı Kanun’un 28. maddesinin ikinci fıkrasının (c) bendinde yer alan “denetleme ve düzenleme” amaçlarına Yönetmelikte yer verilmesine gerek kalmayacağı, 6698 sayılı Kanun’da bulunan ilgili düzenlemenin değiştirileceğinin düşünüldüğü;
Yönetmeliğin 13. maddesinin birinci fıkrası yönünden, Sağlık Bakanlığı merkez teşkilatı ve taşra teşkilatı ile Bakanlığın, bünyesinde faaliyet göstermekte olan kamu hastaneleri, aile hekimlikleri, halk sağlığı ve toplum sağlığı merkezleri ve sair sağlık hizmeti sunucuları bakımından tek bir veri sorumlusu olarak kabul edildiği ve veri sorumlusunun Bakanlığın kamu hukuku tüzel kişiliği olduğu, 6698 sayılı Kanun’un 11. maddesinde yer alan hakların kullanılması için ilgili kişilerin Bakanlığa başvurmalarının gerektiği, bu hususun da kanunun emredici hükmü olduğu, hatalı verilerin düzeltilmesi için bazı süreçlerin tanımlanmasının gerektiği, bu süreçlerin Bakanlığın ilgili birimleri tarafından tespit ve teyit edildiği, akabinde ilgili birimler tarafından yapılan araştırma sonucunda elde edilen bilgi ve belgelerin Bakanlığa iletildiği ve neticeten Sağlık Bilgi Sistemleri Genel Müdürlüklerince gerekli işlemin tesis edildiği;
Yönetmeliğin 21. maddesinin üçüncü fıkrasında yer verilen hükmün, 3359 sayılı Kanun’da düzenlenen e-Nabız gibi tüm ülke çapında kullanılan uygulamaların geliştirilmesi ve kullanılması olduğu, 3359 sayılı Kanun’un 3. maddesinin birinci fıkrasının (f) bendi uyarınca ülke çapında bilişim sistemi kurulmasının öngörülmesi ile 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrası uyarınca sağlığa ilişkin verilerin sağlık hizmetlerinin planlanması gibi istisnai amaçlarla ilgili kişilerin açık rızaları alınmaksızın işlenebiliyor olmasının, birbirleri ile uyumluluk arz eden düzenlemeler olduğu, bu düzenlemelerin amacının, kamu, özel ve üniversite bünyesinde faaliyet göstermekte olan tüm sağlık hizmeti sunucuları tarafından işlenen kişisel sağlık verilerinin Bakanlıkça ülke çapında kurulan sistemlere gönderilmesi ve elde edilen bu veriler sayesinde kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri ve finansmanının yönetilmesi ve planlanmasının Bakanlıkça daha etkili yapılmasını sağlamak olduğu, davanın reddi gerektiği savunulmaktadır.
Kişisel Verileri Koruma Kurumu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 22. maddesinin birinci fıkrasının (h) bendi ve Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmeliğe göre dava konusu Yönetmelik taslağına ilişkin görüşlerin Sağlık Bakanlığına bildirildiği, Kurumun Yönetmeliğin hazırlanma sürecinde başka bir görevi ve sürece dahlinin mümkün bulunmadığı, bu nedenle hasım mevkiinden çıkarılması gerektiği;
Yönetmeliğin 6. maddesinin dördüncü fıkrasının birinci cümlesi yönünden, 6698 sayılı Kanun kapsamında veri sorumlusunun, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği, veri sorumlusu olarak Sağlık Bakanlığının 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında sayılan amaçlarla sınırlı olmak üzere kişisel sağlık verilerine sağlık personelinin erişimine ilişkin kurallar koymasının, söz konusu verilere Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak erişim sağlanıp sağlanmadığı hususlarında yetkilendirdiği birimleri vasıtasıyla yeniden değerlendirme yaparak teknik ve idari tedbirleri almasının Kanundan doğan yükümlülükleri gereği olduğu;
Yönetmeliğin 7. maddesinin birinci ve ikinci fıkrası yönünden, veri sorumlusu olarak, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. madde hükmü ve 6698 sayılı Kanun'un 6. maddesi uyarınca Kanundan doğan yetki ile sağlık verilerini sayılan amaçlarla işleme yetkisi bulunan Sağlık Bakanlığının kendi birimlerinin sınırlı olarak verilere erişimine dair kurallar koymasının mümkün olduğu, taslak metninde yer alan ve 7. maddenin ikinci fıkrasında, yetkilendirilen kullanıcıların bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi kapsamında kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabileceği yönündeki hükmün Kurul tarafından 6698 sayılı Kanunun 6. maddesinde sayılan amaçlardan birini içermesi dolayısıyla anılan Kanuna aykırı görülmediği;
Yönetmeliğin 13. maddesinin birinci fıkrası yönünden, veri sorumlusu olarak Sağlık Bakanlığının kişisel sağlık verisi işlenen ilgili kişinin 6698 sayılı Kanun'un 11. maddesi kapsamında kişisel sağlık verilerinin düzeltilmesi taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde kabul edeceği veya gerekçesini açıklayarak reddedeceğinin anılan Kanun'un 13. maddesi gereği olduğu, veri sorumlusunun ilgili kişinin haklarını gereği gibi kullanmasını sağlamak amacına yönelik olarak iç süreçte yürüteceği işlemleri belirlemesi ve hakkın etkin ve zamanında kullanılması için gerekli tedbirleri alması gerektiği, davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HAKİMİ : …
DÜŞÜNCESİ : Dava konusu Yönetmeliğin 6. maddesinin dördüncü fıkrasının birinci cümlesi ile 7. maddesinin ikinci fıkrasındaki "denetleme ve düzenleme" ibaresinin iptaline, Yönetmeliğin kalan kısımları bakımından davanın reddine karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI :…
DÜŞÜNCESİ :21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verileri Hakkında Yönetmelik'in dayanağı olan Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin Anayasa'ya aykırı olduğundan bahisle iptali için Anayasa Mahkemesine başvurulması ile anılan Yönetmelik'in 6. maddesinin 4. fıkrasının birinci cümlesinin, 7. maddesinin 1. fıkrasının, 7. maddesinin 2. fıkrasındaki "denetleme ve düzenleme" ibaresinin, 13. maddesinin 1. fıkrasının ve 21. maddesinin 3. fıkrasının iptali istenilmektedir.
Davacının Anayasaya aykırılık iddiası yerinde görülmemiştir.
07/04/2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun;
"Amaç" başlıklı 1. maddesinde; "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü,
"Kapsam" başlıklı 2. maddesinde; "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü,
"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde; "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü yer almaktadır.
10/07/2018 tarih ve 30474 sayılı Resmi Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin Sağlık Bakanlığının düzenlendiği Onüçüncü Bölümünde yer alan "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü bulunmaktadır.
Dava konusu Yönetmelik'in 7. maddesinin 1. fıkrası, 7. maddesinin 2. fıkrasındaki "denetleme ve düzenleme" ibaresi, 13. maddesinin 1. fıkrası ve 21. maddesinin 3. fıkrası yönünden dayanağı mevzuata aykırılık bulunmadığından davanın reddine karar verilmesi gerektiği düşünülmektedir.
Yönetmelik'in 6. maddesinin 4. fıkrasının birinci cümlesine yönelik kısma gelince;
Dava konusu Yönetmelik'in "Sağlık personelinin verilere erişimi" başlıklı 6. maddesinin 1. fıkrasında, sağlık hizmeti sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği düzenlenmiş, 2. fıkrasında e-nabız hesabı bulunanlara yönelik kurallar belirlenmiş ve 3. fıkrasında ise e-Nabız hesabı bulunmayan kişilerin sağlık verilerine Kanun'un 6. maddesinin 3. fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak; kişinin, kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın, sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar, sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla ve hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar erişilebileceği kurala bağlanmıştır. Bununla birlikte maddenin 4. fıkrasının birinci cümlesinde, 3. fıkrada yer alan erişim kurallarının, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanun'un 6. maddesinin 3. fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebileceği yolunda bir düzenleme getirilmiştir.
Kişisel Verilerin Korunması Kanunu'nda kişisel verilerden ayrı ve daha özel korumaya tabi tutulan sağlık verilerine erişimde, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin 6. fıkrasındaki, kişisel sağlık verilerinin işlenmesi, güvenliği ve maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği kuralına ve verilerin işlenmesinde sınırlı ve ölçülü olma yükümlülüğüne uygun ve amaçla bağlantılı olarak, Yönetmelik'in 6. maddesinin 3. fıkrasında, e-nabız hesabı olmayan hastaların sağlık verilerine erişebilecek kişiler bakımından birtakım sınırlamalara yer verilmiştir. Ancak aynı maddenin 4. fıkrasının birinci cümlesindeki, anılan sınırlamaların/erişim kurallarının Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilebileceği yolundaki düzenleme, 3. fıkra ile getirilen erişim kurallarını etkisiz hale getirdiği gibi sınırlamaların getirilmesi ile güdülen amaç ile de çelişmektedir.
Nitekim konuya ilişkin kuralların belirlendiği maddenin bir fıkrasında düzenlenen kuralların, bir diğer fıkrasıyla tamamen bertaraf edilmesi ve bu kuralların uygulanmaması sonucunu doğuracak şekilde bir hüküm getirilmesi düzenleyici işlemin işlevi ile de bağdaşmamaktadır.
Öte yandan, yeniden değerlendirme kavramının; söz konusu kuralların farklı biçimde düzenlenmesine ve Yönetmelikle yapılan bir düzenlemenin değiştirilmesi veya bütünüyle kaldırılması niteliğindeki işlemlerin tesisine olanak sağladığı da dikkate alındığında, bu durumun konunun yönetmelikle düzenlenmesi gerektiği yolundaki Cumhurbaşkanlığı Kararnamesi'ne aykırı olacağı gibi yönetmelikle yapılan bir düzenlemenin değiştirilmesi veya bütünüyle kaldırılması niteliğindeki işlemlerin de yönetmelikle yapılması gerektiğine ilişkin usulde paralellik ilkesinin ihlali sonucunu doğuracağında da kuşku bulunmamaktadır.
Bu itibarla, Yönetmelik'in 6. maddesinin 3. fıkrasında yer alan erişim kurallarını etkisizleştiren, getirilen sınırlandırmaları bertaraf ederek uygulanmaması sonucunu doğuran aynı zamanda yönetmelikle düzenlenmesi gereken konuların farklı idari tasarruflarla belirlenmesine olanak tanıyan dava konusu Yönetmelik'in 6. maddesinin 4. fıkrasının birinci cümlesinde hukuka uyarlık bulunmadığından,bu maddenin iptali gerektiği düşünülmektedir.
Açıklanan nedenlerle, dava konusu Yönetmelik'in 6. maddesinin 4. fıkrasının birinci cümlesinin iptali, davanın diğer kısımlarının reddi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince, duruşma için önceden taraflara bildirilen 17/10/2023 tarihinde davacılar vekili Av. …'in, davalı Sağlık Bakanlığını temsilen Av. … 'in ve davalı Kişisel Verileri Koruma Kurumunu temsilen Av. …'ün geldiği, Danıştay Savcısının hazır olduğu görülmekle açık duruşmaya başlandı. Hazır bulunan taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra hazır bulunan taraflara son kez söz verilip duruşma tamamlandı. Tetkik hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
Her ne kadar Danıştay İdari Dava Daireleri Kurulunun 14/09/2020 tarih ve YD İtiraz No:2020/326 sayılı ara kararı ile uyuşmazlıkta uygulanacak kural niteliğinde bulunan 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin birinci, ikinci (son cümlesi hariç), üçüncü, dördüncü ve altıncı fıkralarının Anayasa'ya aykırı olduğu kanısına varılarak iptali istemiyle Anayasa Mahkemesine başvurulmasına ve Anayasa Mahkemesince verilecek kararın, bakılan davanın sonucunu etkileyecek olması nedeniyle Anayasa Mahkemesinin bu konuda vereceği karara kadar veya Anayasa Mahkemesince beş ay içinde karar verilmemesi halinde bu süre sonunda dosyadaki bilgi ve belgeler esas alınarak bir karar verilmek üzere dava dosyasının görüşülmesinin geri bırakılmasına karar verilmişse de, Kurulun bu kez 20/04/2022 tarih ve YD İtiraz No:2020/326 sayılı kararı ile Anayasa'nın 152. maddesinde, Anayasa Mahkemesinin, işin kendisine gelişinden başlamak üzere beş ay içinde kararını vererek açıklayacağı, bu süre içinde karar verilmezse mahkemenin davayı yürürlükteki kanun hükümlerine göre sonuçlandıracağının düzenlendiği ve Anayasa Mahkemesince henüz bir karar verilmediğinden işin esasına geçildiği görüldüğünden, Dairemizce de uyuşmazlığın esasının incelenmesine karar verilerek ve davalı idarelerden Kişisel Verileri Koruma Kurumunun usul itirazı da yerinde görülmeyerek işin esasına geçildi.

MADDİ OLAY VE HUKUKİ SÜREÇ :
Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiş olup, anılan Yönetmeliğin 6. maddesinin dördüncü fıkrasının birinci cümlesinin, 7. maddesinin birinci fıkrasının, 7. maddesinin ikinci fıkrasındaki "denetleme ve düzenleme" ibaresinin, 13. maddesinin birinci fıkrasının ve 21. maddesinin üçüncü fıkrasının iptali istemiyle bakılmakta olan dava açılmıştır.

İNCELEME VE GEREKÇE :
İlgili Mevzuat:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin birinci fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; üçüncü fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun,
"Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü;
"Kapsam" başlıklı 2. maddesinde, "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü;
"Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü;
"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü;
"Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.
Öte yandan, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiş; ek 11. maddesinin üçüncü fıkrasında, "Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılır. Uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir." hükmüne yer verilmiştir.
10/07/2018 tarih ve 30474 sayılı Resmi Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin Sağlık Bakanlığının düzenlendiği Onüçüncü Bölümünde yer alan "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.
Buna göre, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla ve 3359 sayılı Kanun ile 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.
Anılan Yönetmeliğe göre, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri; veri sorumlusu ise, kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Hukuki Değerlendirme:
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş ve kişisel verilerin işlenme şartları düzenlenmiştir. Anılan Kanun'un 5. maddesine göre, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Maddenin ikinci fıkrasında ise ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği durumlar öngörülmüştür.
Bununla birlikte Kanun'un 6. maddesinde, sağlık verileri, özel nitelikli (hassas) kişisel veri olarak sayılmış ve işlenmesi özel kurallara bağlanmıştır. Sağlık verileri, ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Maddenin taslak gerekçesinde, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirileceği belirtilmiş, diğer yandan 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinde de, kamu veya özel sağlık kuruluşlarına başvuranların kişisel verilerinin işlenebileceği düzenlenmiş, Bakanlığın, toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurulacağı, kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği hükme bağlanmıştır.
Bu durumda davalı Sağlık Bakanlığının özel nitelikteki sağlık verilerinin toplanması ve işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu açıktır.
Dava konusu Yönetmeliğin 6. maddesinin dördüncü fıkrasının birinci cümlesinin incelenmesi:
Dava konusu Yönetmeliğin "Sağlık personelinin verilere erişimi" başlıklı 6. maddesinin birinci fıkrasında, sağlık hizmeti sunumunda görevli kişilerin, ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği düzenlenmiş; ikinci fıkrasında e-nabız hesabı bulunanlara yönelik kurallar belirlenmiş ve üçüncü fıkrasında ise e-Nabız hesabı bulunmayan kişilerin sağlık verilerine Kanun'un 6. maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak; kişinin, kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın, sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar, sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla ve hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar erişilebileceği kurala bağlanmıştır.
Bununla birlikte maddenin dördüncü fıkrasının birinci cümlesinde, üçüncü fıkrada yer alan erişim kurallarının, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanun'un 6. maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebileceği yolunda bir düzenleme getirilmiştir.
Kişisel Verilerin Korunması Kanunu'nda kişisel verilerden ayrı ve daha özel korumaya tabi tutulan sağlık verilerine erişimde, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin altıncı fıkrasındaki, kişisel sağlık verilerinin işlenmesi, güvenliği ve maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği kuralına ve verilerin işlenmesinde sınırlı ve ölçülü olma yükümlülüğüne uygun ve amaçla bağlantılı olarak, Yönetmelik'in 6. maddesinin üçüncü fıkrasında, e-nabız hesabı olmayan hastaların sağlık verilerine erişebilecek kişiler bakımından birtakım sınırlamalara yer verilmiştir. Ancak aynı maddenin dördüncü fıkrasının birinci cümlesindeki, anılan sınırlamaların ve erişim kurallarının Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilebileceği yolundaki düzenleme, üçüncü fıkra ile getirilen erişim kurallarını etkisiz hale getirdiği gibi sınırlamaların getirilmesi ile güdülen amaç ile de çelişmektedir.
Nitekim konuya ilişkin kuralların belirlendiği maddenin bir fıkrasında düzenlenen kuralların, bir diğer fıkrasıyla tamamen bertaraf edilmesi ve bu kuralların uygulanmaması sonucunu doğuracak şekilde bir hüküm getirilmesi düzenleyici işlemin işlevi ile de bağdaşmamaktadır.
Öte yandan, yeniden değerlendirme kavramının, söz konusu kuralların farklı biçimde düzenlenmesine ve Yönetmelikle yapılan bir düzenlemenin değiştirilmesi veya bütünüyle kaldırılması niteliğindeki işlemlerin tesisine olanak sağladığı da dikkate alındığında, bu durumun konunun yönetmelikle düzenlenmesi gerektiği yolundaki Cumhurbaşkanlığı Kararnamesi'ne aykırı olacağı gibi yönetmelikle yapılan bir düzenlemenin değiştirilmesi veya bütünüyle kaldırılması niteliğindeki işlemlerin de yönetmelikle yapılması gerektiğine ilişkin usulde paralellik ilkesinin ihlali sonucunu doğuracağında da kuşku bulunmamaktadır.
Bu itibarla, Yönetmelik'in 6. maddesinin üçüncü fıkrasında yer alan erişim kurallarını etkisizleştiren, getirilen sınırlandırmaları bertaraf ederek uygulanmaması sonucunu doğuran aynı zamanda yönetmelikle düzenlenmesi gereken konuların farklı idari tasarruflarla belirlenmesine olanak tanıyan dava konusu Yönetmeliğin 6. maddesinin dördüncü fıkrasının birinci cümlesinde hukuka uyarlık bulunmamaktadır.
Dava konusu Yönetmeliğin 7. maddesinin birinci fıkrasının incelenmesi:
Dava konusu Yönetmeliğin "Bakanlık birimlerinin verilere erişimi" başlıklı 7. maddesinin birinci fıkrasında, sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerinin, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirlerinin ayrı ayrı belirleyeceği ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep edeceği, her birimin amirinin, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebileceği düzenlenmiştir.
Davacılar tarafından, anılan düzenleme ile kimliksiz verilerin kişisel sağlık verisi olarak Bakanlığın elinde bulunacağı, bu verilerin kimlikli hale getirilmesini gerekli kılan meşru bir amaç bulunmadığı iddia edilerek dava konusu düzenlemenin iptali istenilmektedir.
Yukarıda bahsedildiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda, sağlık verileri kişisel verilerden ayrı ve daha özel korumaya tabi tutulmuş, Kanun'un 6. maddesinin üçüncü fıkrasında, kişisel sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Yine 1 sayılı Cumhurbaşkanlığı Kararnamesinin 378. maddesinde de davalı Sağlık Bakanlığının elde ettiği sağlık verilerini, sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla işleyebileceği hüküm altına alınmıştır.
Bu çerçevede aldığı yetkiye dayanarak veri sorumlusu sıfatıyla davalı Sağlık Bakanlığının kendi birimlerinin sağlık verilerine erişime dair kurallar koyması ve bu hususta düzenleme yapmasında mevzuata ve hukuka aykırı bir yön bulunmamaktadır.
Öte yandan, dava konusu hüküm ile yetkilendirilen kişilerin 6698 sayılı Kanun'un 6. maddesi uyarınca yalnızca Kanun'da sayılan amaçlarla sınırlı olmak kaydıyla sağlık verilerine erişebileceği, bu nedenle elde edilen verilerin sadece bu amaçlarla sınırlı olarak ve hizmetin devamı için zorunlu olduğu müddetle sınırlı olmak üzere kullanılabileceği dikkate alındığında, Kanun'a ve üst hukuk normlarına aykırılıktan söz edilemeyecektir.
Dava konusu Yönetmeliğin 7. maddesinin ikinci fıkrasındaki "denetleme ve düzenleme" ibaresinin incelenmesi:
Yönetmeliğin 7. maddesinin ikinci fıkrasında, birinci fıkrasında yetkilendirilen kullanıcıların bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabileceği kuralı yer almaktadır.
6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasının ikinci cümlesi ışığında dava konusu hüküm incelendiğinde, 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında sayma yoluyla belirlenen amaçların dışında başka amaçlara da yer verildiği görülmekle, Kanun'da sayılan kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları arasında yer almayan "...denetleme ve düzenleme..." ibarelerine Yönetmelik hükmünde yer verilerek işleme amaçlarının genişletilmesinde hukuka uyarlık bulunmamaktadır.
Her ne kadar Sağlık Bakanlığı tarafından söz konusu ibarelerin 6698 sayılı Kanun'un 28. maddesinde yer aldığı ve Yönetmelik düzenlemesine bu maddenin dayanak oluşturduğu savunulmuş ise de, Kanun'un "İstisnalar" başlıklı 28. maddesinde, kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumunda, Kanun'un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. maddesi ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddesinin uygulanmayacağının düzenlendiği görüldüğünden, davalı idarenin bu savunmasına da itibar edilmemiştir.
Öte yandan, davalı Sağlık Bakanlığının, dava konusu Yönetmeliğin tamamı hakkında görüş talebinde bulunurken Kişisel Verileri Koruma Kuruluna gönderdiği taslakta anılan ibareye yer verilmediği görülmüş, aynı zamanda Kişisel Verileri Koruma Kurumunun savunmasında da anılan fıkra yönünden, taslak metinde yer alan "yetkilendirilen kullanıcıların bu yetkiyi yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi kapsamında kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabileceği" yönündeki hükmün 6698 sayılı Kanun'un 6. maddesinde yer alan amaçları içermesi nedeniyle Kanun'a aykırı görülmediği hususu belirtilmiştir.
Bu itibarla, yönetmelik düzenlemelerinin kanuna aykırı hükümler içeremeyeceği kuralı karşısında, dava konusu Yönetmelik'te, 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında sayma yoluyla belirlenen amaçlar arasında yer almayan "denetleme ve düzenleme" ibarelerine yer verilmesinde hukuka ve üst norma uyarlık bulunmadığı sonucuna varılmıştır.
Dava konusu Yönetmeliğin 13. maddesinin birinci fıkrasının incelenmesi:
6698 sayılı Kanun'un 11. maddesinde kişisel verisi işlenen gerçek kişinin hakları düzenlenmiş ve herkesin veri sorumlusuna başvurarak kendisiyle ilgili, kişisel veri işlenip işlenmediğini öğrenme; kişisel verileri işlenmişse buna ilişkin bilgi talep etme; kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme; kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme; 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme; (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme; kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğu hükme bağlanmıştır.
Bununla birlikte aynı Kanun'un "Veri sorumlusuna başvuru" başlıklı 13. maddesinde "(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. (2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir." hükmüne yer verilmiştir.
Yine Kanun'un "Kurula şikâyet" başlıklı 14. maddesinde de "(1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. (2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. (3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır." hükmü düzenlenmiştir.
Buna göre, veri sorumlusu olan davalı Sağlık Bakanlığının kişisel verisi işlenen ilgili kişilerin 6698 sayılı Kanun kapsamında kişisel sağlık verilerinin düzeltilmesi taleplerini karşılamak ve Kanun'a uygun şekilde işlem tesis etmek zorunda olduğu açıktır.
Bu doğrultuda Yönetmeliğin Dördüncü Bölümünde kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, imha edilmesi ve aktarılması hususlarının düzenlenmiş, "Kişisel sağlık verilerinin düzeltilmesi" başlıklı dava konusu 13. maddesinin birinci fıkrasında "İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister." kuralına yer verilmiş olup, anılan düzenlemenin 6698 sayılı Kanun gereği, üst hukuk normuna uygun olarak getirildiği sonucuna varılmıştır.
Davacı tarafından dava konusu hükmün, veri sorumlusuna yapılan başvuruların en kısa süre içinde sonuçlandırılmasına ilişkin yükümlülüğe aykırı olduğu, bu süreçte bir çok kişinin verilere ulaşmasının kişisel verilerin işlenmesinde sınırlı ve ölçülü olma ilkelerini de ihlal ettiği iddia edilmekte ise de, ilgili kişinin 6698 sayılı Kanun'un 11. maddesi kapsamında olan tüm taleplerini, davalı Sağlık Bakanlığı, anılan Kanun'un 13. maddesi gereği talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmak zorunda olduğundan, aksi yöndeki davacı iddiasına itibar edilmemiştir.
Ayrıca 6698 sayılı Kanun'un 14. maddesi gereği, ilgili kişi, başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette de bulunabileceğinden, kişisel sağlık verileri işlenen ilgili kişiler bakımından bu hususta gerekli güvencelerin de mevcut olduğu ortadadır.
Dava konusu Yönetmeliğin 21. maddesinin üçüncü fıkrasının incelenmesi:
3359 sayılı Kanun'un 3. maddesinin birinci fıkrasının (f) bendi gereği, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacak, bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilecek, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilecektir.
Bununla birlikte, anılan Kanun'un ek 11. maddesinin üçüncü fıkrasına göre, Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılacak, uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilebilecektir.
Anılan hükümlere dayanılarak, dava konusu Yönetmeliğin "Yaptırım" başlıklı 21. maddesinin üçüncü fıkrasında da, "Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir." kuralına yer verilmiştir.
Davacı tarafından, 3359 sayılı Kanun'un 3. maddesinin birinci fıkrasının (f) bendi uyarınca yalnızca Bakanlık ile bağlı ve ilgili kuruluşlarının dahil olacağı ülke çapında bir kayıt ve bildirim sisteminin Sağlık Bakanlığı tarafından kurulabileceği, muayenehane, poliklinik, tıp merkezi ve özel hastaneler Sağlık Bakanlığının bağlı ya da ilgili kuruluşu olmadığından, Bakanlık tarafından kurulan merkezi sağlık veri sistemine bütün sağlık kuruluşlarının katılmalarını zorunlu tutan bir düzenlemenin bulunmadığı iddiasıyla anılan düzenlemenin iptali istenilmektedir.
3359 sayılı Sağlık Hizmetleri Temel Kanunu ile 1 sayılı Cumhurbaşkanlığı Kararnamesinde, davalı idarelerden Sağlık Bakanlığına, sağlık hizmeti almak üzere, tüm kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verilerini işleme ve bu konuda kişilerin sağlık durumunun takip edilebilmesi ile sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla gerekli kayıt ve bildirim sistemini kurma yetkisi verildiği gibi, esasen davalı Sağlık Bakanlığının anayasa ve kanunlarla verilen görevini yerine getirebilmesi için herkesin kişisel sağlık verilerini görevi ile sınırlı olmak kaydıyla toplamaya ve işlemeye ihtiyacı bulunduğu hususunda şüphe bulunmamakla birlikte, bu konuda kurulan sistemin ülke genelinde özel veya kamuya ait tüm sağlık kurum ve kuruluşları kapsadığı muhakkaktır.
Dolayısıyla, bu amaçlarla kurulan sisteme veri gönderimi yapılmaması halinde uygulanacak yaptırımın belirlendiği dava konusu düzenlemede 3359 sayılı Kanun'a ve kamu yararına aykırı bir yön bulunmamaktadır.

KARAR SONUCU :
Açıklanan nedenlerle;
1. 7. maddesinin birinci fıkrası, 13. maddesinin birinci fıkrası ve 21. maddesinin üçüncü fıkrası yönünden oyçokluğuyla, DAVANIN REDDİNE,
2. 6. maddesinin dördüncü fıkrasının birinci cümlesinin oybirliğiyle, 7. maddesinin ikinci fıkrasındaki "denetleme ve düzenleme" ibaresinin oyçokluğuyla, İPTALİNE,
3. Sonuç itibarıyla dava kısmen iptal, kısmen ret ile sonuçlandığından, ayrıntısı aşağıda gösterilen toplam … TL yargılama giderinin yarısına karşılık gelen … TL yargılama giderinin davacılar üzerinde bırakılmasına, diğer yarısına karşılık gelen … TL yargılama giderinin davalı idarelerden alınarak davacılara verilmesine,
4. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen … TL vekâlet ücretinin davacılardan alınarak davalı idarelere verilmesine, … TL vekâlet ücretinin ise davalı idarelerden alınarak davacılara verilmesine,
5. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra istemi halinde davacılara iadesine,
6. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 17/10/2023 tarihinde karar verildi.


(X) KARŞI OY:
Dava konusu Yönetmeliğin 7. maddesi, 2. fıkrasındaki "denetleme ve düzenleme" ibaresi yönünden;
Yönetmeliğin 7. maddesinde Bakanlık birimlerinin verilere erişimine ilişkin düzenlemelere yer verilmiş; buna göre birinci fıkrasında sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerinin, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirlerinin ayrı ayrı belirleyeceği ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep edeceği, her birimin amirinin, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebileceği kurala bağlanmıştır.
Anılan maddenin ikinci fıkrasında ise, birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcıların bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilecekleri düzenlenmiştir.
3359 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesi hükümlerinin birlikte değerlendirilmesinden, Sağlık Bakanlığı'nın mevzuatla kendilerine verilen görevleri daha etkin ve daha hızlı biçimde yerine getirebilmesi amacıyla bütün kamu ve özel sağlık kurum ve kuruluşlarından sağlık hizmeti alanların, hizmetin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri toplama, işleme ve bu konuda düzenleme yapma yetkisi verildiği anlaşılmaktadır.
Davalı idare bu yetkiyi kullanırken özel nitelikli kişisel sağlık verilerini, 6698 sayılı Kanun'un 6. maddesinde öngörülen şartlar çerçevesinde işleyeceği açık olup, bu verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği Kanun'un amir hükmüdür.
Bu itibarla, Kanun'da sayılan kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarının dava konusu edilen "denetleme ve düzenleme" yetkisini de kapsadığı, nitekim "denetleme ve düzenleme" amacının sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının doğal sonucu olduğu hususunda tereddüt bulunmamaktadır.
İşin niteliği ve hizmetin doğası gereği, 6698 sayılı Kanun'da sayılan amaçların gerçekleştirilebilmesine ilişkin işlemlerin denetleme ve düzenleme yetkisi ile birlikte yürütülmesi gerektiği, bu amaçları gerçekleştirme görev ve yetkisine sahip olan idarenin, bu yetkisinin işlevselliğinin sağlanabilmesi için "denetleme ve düzenleme" amacıyla da hareket edebileceğinin kabulü gerekmektedir.

Bu durumda, Yönetmeliğin 7. maddesinin ikinci fıkrasında yer verilen "denetleme ve düzenleme" ibaresinde de hukuka ve üst hukuk normlarına aykırılık bulunmadığı, anılan hüküm bakımından davanın reddine karar verilmesi gerektiği düşüncesiyle Daire kararının bu kısmına katılmıyoruz.


(XX) KARŞI OY:
Dava konusu Yönetmeliğin 7. maddesinin birinci fıkrası yönünden;
6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında, kişisel sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmektedir.
Dava konusu Yönetmeliğin "Bakanlık birimlerinin verilere erişimi" başlıklı 7. maddesinin birinci fıkrasında, sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirlerinin ayrı ayrı belirleyerek Genel Müdürlükten bu kişilerin yetkilendirilmesini talep edeceği ve her birimin amirinin, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebileceği kuralı yer almaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel verilerden ayrı ve daha özel korumaya tabi tutulan sağlık verilerinin merkezi bir sistemde, veriler arasında kurulacak bağlarla kimliklendirilmesine olanak sağlayacak şekilde tutulmasını, diğer bir ifadeyle sağlık kuruluşlarından kimliksiz gönderilen verilerin Bakanlık tarafından başka verilerle eşleştirilerek kimlikli hale getirilmesini 6698 sayılı Kanun'un 6. maddesinde sayılan amaçlardan biriyle bağdaştırmaya olanak bulunmadığı gibi, kişisel verilerin işlenmesinde dikkate alınması gereken temel ilkelerden olan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine uygun olduğundan da söz edilemeyeceği sonucuna varılmaktadır.
Bu itibarla, kimliksiz gönderilen verilerin Bakanlık tarafından başka verilerle eşleştirilerek kimlikli hale getirilmesini gerekli kılan meşru bir amacın bulunmadığı, Bakanlığın, sağlık hizmetleriyle ilgili süreçleri kişisel bilgiden arındırılmış verilerden izleyebileceği gibi sağlık hizmetleriyle ilgili denetimlerin de söz konusu verilerin kimlikli olarak saklandığı sağlık kurumlarında yapılacağı hususu dikkate alındığında, 6698 sayılı Kanun'un 6. maddesinde sayılan amaçlardan herhangi biriyle açıklanamayan bu yetkilendirmenin hukuka aykırı olduğu anlaşıldığından, dava konusu Yönetmeliğin 7. maddesinin birinci fıkrasının iptaline karar verilmesi gerektiği oyuyla Daire kararının bu kısmına katılmıyoruz.


(XXX) KARŞI OY:
Dava konusu Yönetmeliğin 13. maddesinin birinci fıkrası yönünden;
Yönetmeliğin "Kişisel sağlık verilerinin düzeltilmesi" başlıklı 13. maddesinin birinci fıkrasında "İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister." kuralına yer verilmiştir.
Buna göre, kişisel verisi işlenen gerçek kişi, 6698 sayılı Kanunla kendisine tanınan kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkını kullanırken önce sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvuracak, bunun üzerine İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvuracak ve sehven oluşturulan sağlık verisinin düzeltilmesini isteyecektir.
6698 sayılı Kanun'un 11. maddesinde kişisel verisi işlenen gerçek kişiye, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkı tanınmış; anılan Kanun'un 13. maddesinde de veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, verisi işlenen ilgili kişi, talebini veri sorumlusuna ilettiğinde veri sorumlusu talebi, niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmak zorundadır.
Dava konusu hükümde yer verilen sürecin, 6698 sayılı Kanun ile getirilen gerekliliğe ve zorunluluğa uygun olmadığı, izlenmesi istenilen prosedürün Kanun'da belirtilen sürede tamamlanmasının mümkün olmadığı, böylece hukuki belirsizliğe sebebiyet vereceği, düzenlemenin hukuka aykırı olduğu sonucuna varılmıştır.
Dava konusu Yönetmeliğin 21. maddesinin üçüncü fıkrası yönünden;
Dava konusu Yönetmeliğin 21. maddesinin üçüncü fıkrasında merkezi sağlık veri sistemine davalı Sağlık Bakanlığı tarafından belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun Ek 11. maddesinin üçüncü fıkrasına göre işlem tesis edileceği düzenlenmiştir.
Esasen, 3359 sayılı Kanun kapsamında herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla kayıt ve bildirime ilişkin bir sistem kurma yetkisinin davalı idarede bulunduğu ve bu sistemin ülke genelinde özel veya kamuya ait tüm sağlık kurum ve kuruluşları kapsadığı hususunda tereddüt bulunmamaktadır.
Ancak anılan sağlık veri sistemine Sağlık Bakanlığı tarafından belirlenen usul ve esaslara uygun şekilde veri gönderiminin kişilerin özel hayatlarını ilgilendiren, özel (hassas) veri niteliğinde olan sağlık verilerinin aktarılması niteliğinde olması sebebiyle ayrıca irdelenmesi gerekmektedir.
6698 sayılı Kanun'da, kişisel verilerin işlenmesi; "Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem" şeklinde tanımlanmıştır.
Yine Kanun'da kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmış, kişisel sağlık verileri ise özel nitelikte veriler arasında sayılmıştır. Kanun'un gerekçesinde bu verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olması sebebiyle hassas (özel nitelikli) veriler olarak kabul edildikleri ifade edilmektedir.
Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi temel hakların ihlali olarak karşımıza çıkmaktadır.
Bu nedenle, Kanun'da kişisel verilerin işlenmesine ilişkin genel ilkeler belirlenmiştir. Bu ilkeler arasında kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesine yer verilmiş, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesi ve bu amacın meşru olması zorunlu tutulmuştur. Yine, Kanun'da sayılan genel ilkeler arasında kişisel verilerin işlenmesinin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olmasını, amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerekli kılmıştır. (6698 sayılı Kanun'un madde gerekçeleri)
Yukarıda yer verilen açıklamalar doğrultusunda kişisel sağlık verilerin işlenmesinin ve aktarılmasının, Anayasanın 13. maddesindeki temel hakların sınırlandırılmasına ilişkin ilkelerin yanı sıra kişisel verilerin korunmasına yönelik çerçeve kanun olan 6698 sayılı Kanun ile belirlenen ilkelere uygun olması gerekir.
Dava konusu hükümde merkezi sağlık veri sistemine davalı Sağlık Bakanlığı tarafından belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapılmaması halinde uygulanacak müeyyide belirlenmiştir.
Bu çerçevede dava konusu Yönetmeliğin tamamına bakıldığında her ne kadar, kişisel sağlık verilerinin kamu sağlığının korunması, mevzuatla Bakanlığa verilen yetkiler çerçevesinde koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması ile böylece kamu ve kişi yararının sağlanması maksadıyla getirildiği ifade edilmekte ve buna göre, verilerin meşru bir amaç için işlendiği anlaşılmakta ise de, verilerin işlenmesinin bu meşru amaçla bağlantılı olarak sınırlı ve ölçülü olması ve verilerin işlenmesinin sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı olması gerektiği muhakkaktır.
Dava konusu Yönetmelikte tüm sağlık kurum ve kuruluşlarına müracaat eden hastaların sağlık verilerinin işleneceği, bu kurum ve kuruluşlar arasında muayenehanelere de yer verildiği, gerek Özel Hastaneler Yönetmeliği, gerek Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik, gerekse de Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı çerçevesinde Sağlık Bakanlığınca, birinci basamak sağlık kuruluşlarında yapılan muayene, reçete, aşı, izlem vs. sağlık hizmetlerini kayıt altına almak ve takibini yapmak için Muayene Bilgi Yönetim Sistemi (MBYS) geliştirildiği, MBYS'de oluşturulan verilerin Bakanlık merkezi sağlık sistemine gönderildiği, MBYS'nin web tabanlı bir uygulama olduğu ve muayenehanelere başvuran herkesin kişisel sağlık verilerinin bu sistem üzerinden işlenip aktarıldığı anlaşılmaktadır.
Bu durumda, dava konusu Yönetmelik, muayenehaneler bakımından verilerin ne kadarının sisteme aktarılacağı, veri işleme amacının gerçekleştirilebilmesi için tüm sağlık verilerinin Bakanlığa aktarılmasının gerekip gerekmediği, kimlerin bu verilere erişebileceği, yalnızca sağlık hizmeti sunumunda görevli kişilerin mi veriye erişebileceği, veriye erişebilenlerin bu verilerin ne kadarını görebileceği gibi hususlarda açıklık içermemektedir. Dolayısıyla belirli, açık ve anlaşılır olmayan veri aktarımına ilişkin uygulanacak müeyyideye ilişkin getirilen dava konusu düzenlemede muayenehaneler yönünden hukuka uygunluk bulunmamaktadır.
Anılan nedenlerle, Yönetmeliğin 13. maddesinin birinci fıkrası ile 21. maddesinin üçüncü fıkrasının da iptaline karar verilmesi gerektiği oyuyla anılan hükümler bakımından davanın reddine ilişkin Daire kararına katılmıyorum.