"İçtihat Metni"
T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2022/6800
Karar No : 2025/5472
DAVACI : ... ve Diş Sağlığı Polikliniği
Limited Şirketi
VEKİLİ : Av. ...
DAVALILAR : 1- ... Bakanlığı / ANKARA
VEKİLLERİ : Hukuk Müşaviri ...
Hukuk Müşaviri ...
2- ... Valiliği / ...
VEKİLİ : Av. ...
DAVANIN_KONUSU : İzmir Valiliği İl Sağlık Müdürlüğünün 05/10/2022 tarih ve E-... sayılı işlemi ile bu işlemin dayanağı olduğu ileri sürülen 21/06/2019 tarih ve 30808 sayılı Resmi Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Sağlık verilerine avukatların erişimi" başlıklı 10. maddesinin iptaline karar verilmesi istenilmektedir.
DAVACININ_İDDİALARI : Davacı tarafından, şirketlerinin uluslararası sağlık turizmi ile iştigal ettiği, yurt dışında bulunan hastalarla sosyal medya üzerinden iletişime geçildiği, iletişime geçilen hastaların verilerinin bir başka polikliniğe sızdırıldığına ilişkin şüpheler üzerine sızdıran personel hakkında disiplin süreci başlatılması, suç duyurusunda bulunulması ve verilerin sızdırıldığı polikliniklere karşı tazminat davası açılması amacıyla İzmir Valiliğine başvuru yapılarak dilekçe ekinde adı bulunan yabancı şahısların Türkiye’de tedavi olup olmadıkları, oldular ise hangi poliklinikte olduklarına dair 1136 sayılı Avukatlık Kanununu 2. maddesinin 3. fıkrasına istinaden bilgi ve belge verilmesinin talep edildiği, talebin haksız olarak reddedildiği, Danıştayın konuya ilişkin ret kararının gerekçesinin hukuki sorunlara yol açtığı, zira bu gerekçe ile soruşturma faaliyetini yürüten savcıların ilgilinin sağlık verilerini açık rızası olmaksızın işleyemeyeceği, avukatların özel yetkisi olmaması halinde davada sağlık verilerine ulaşamayacağı, 6698 sayılı Kanun'un 28. maddesinde yargı makamlarına yönelik istisna getirilmiş olsa da savcılığın yargı makamı olmadığı, bu yorum ile avukatların da yargılama faaliyeti yürüttüğü göze alındığında yargı makamı olarak kabul edileceği, yargıçlık, savcılık, avukatlık meslekleri arasında astlık ve üstlük ilişkisi bulunmadığı gibi üstünlük farkı ve sıralaması da bulunmadığı, kişisel verilerin korunması hakkının mutlak bir hak olarak yorumlanamayacağı, aksi halde adil yargılanma hakkının yok edilmesi sonucunu doğuracağı, silahların eşitliği ilkesi gereği bilgi ve belgelere ulaşmak için eşitliğin gözetilmesi gerektiği, savunma makamının delillere ulaşmasının engellenmesinin delile ulaşma ve yorum yapma hakkını ortadan kaldırdığı, iddia makamının sistem üzerinden tek bir sorgulama ile ulaşabildiği bilgilere savunma makamının ulaşamamasının ağır hak ihlaline neden olacağı, ellerinde henüz bir bilgi ve belge olmadan dava açmalarının mümkün olmadığı, toplanamayan deliller nedeniyle davayı kaybetmenin muhtemel olduğu, bunun da adil yargılanma hakkına aykırılık teşkil ettiği, avukatların Kişisel Verilerin Korunması Kanunu çerçevesinde veri sorumlusu olduğu, mevzuata aykırı olarak veri işlediğinin tespiti halinde gerekli müeyyidelerin uygulanacağı, kişisel veri içeren bir delilin savunma ile alakasız olduğunun tespiti halinde de imha etme sorumluluğu bulunduğu, davaya konu edilen Yönetmeliğin dayanak mevzuatında avukatların vekaletnamesinde özel yetki bulunması gerektiğine yönelik bir düzenleme bulunmadığı, normlar hiyerarşisine göre kanunla düzenlenmeyen konunun yönetmelik ile düzenlenemeyeceği, talepleri incelendiğinde sadece ismi belirtilen kişilerin tedavi olup olmadıkları, oldular ise hangi poliklinikte tedavi olduklarına yönelik bilgi istendiği, bu bilginin özel nitelikte sağlık verisi olarak değerlendirilmesine imkan bulunmadığı, aksi yaklaşımın kişinin ad, soyad, telefon numarası gibi bilgilerin dahi özel nitelikte kişisel veri olarak yorumlanması sonucunu doğurabileceği belirtilerek dava konusu işlem ve düzenlemenin iptali gerektiği ileri sürülmektedir.
DAVALILARIN_SAVUNMALARI : Davalı Sağlık Bakanlığı tarafından, usule ilişkin olarak, kişisel sağlık verilerinin sızdırıldığı ve şahsi menfaatleri ihlal edildiği ileri sürülen kişilerin yurt dışında yaşadığı, dava konusu işlemin asıl muhatabının yurt dışında ikamet eden hastalar olduğu, davacı şirketin dava açma ehliyeti bulunmadığı, esasa ilişkin olarak, davacı şirket vekiline genel vekaletname ile hastaların özel nitelikli veri kapsamına giren kişisel sağlık verilerinin aktarılmasının hukuken mümkün olmadığı, kişisel verilerin soruşturma kapsamında işlenebilmesi yönünde açık düzenleme bulunduğu, bu sebeple soruşturma aşamasında kişisel verilerin işlenebileceği, davacının kendisine de bu istisnanın tanınması gerektiği yönündeki iddiasının yerinde olmadığı, davanın açılmasına sebep olan olayda soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olma şartı gerçekleşmediğinden kişisel verilerin paylaşılmasının mümkün olmadığı, avukatlık hizmetlerinin Kişisel Verilerin Korunması Kanununda sayılan istisnalar arasında olmadığı, kişilerin poliklinikte muayene olup olmadığı, oldu ise hangi poliklinikte muayene olduğu bilgisinin özel nitelikte kişisel veri olduğu, dava konusu düzenleme ile avukatların verilere erişiminin tamamen kısıtlanmadığı, yalnızca vekaletnamede kişiye sıkı sıkıya bağlı hak konumunda olan kişisel verilerin korunmasını isteme hakkının ihlal edilmemesi amacıyla kişilerin açık rızasını öngören özel bir hükme yer verildiği, yönetmelikler ile açıklanan kanun hükümlerinin yönetmeliklerin dayanak kısmında yer alması gibi bir zorunluluğun bulunmadığı, Avukatlık Kanununda gereken bilgi ve belgelerin avukata verilmesini içeren düzenlemede Kanunlardaki özel hükümlerin saklı olduğuna vurgu yapıldığı belirtilerek davanın reddi gerektiği savunulmaktadır.
Davalı İzmir Valiliği tarafından, davanın Sağlık Bakanlığı husumeti ile görülmesi gerektiği, davanın süresinde açılmadığı, konu mevzuatı çerçevesinde değerlendirildiğinde, kişisel sağlık verilerinin hizmeti alan kişilerin açık rızası olmadıkça kimseyle paylaşılmaması gerektiği, aksi halde hukuki ve cezai sorumluluk doğacağı, yapılan işlemin mevzuata uygun olduğu belirtilerek davanın reddi gerektiği savunulmaktadır.
DANIŞTAY TETKİK HAKİMİ ...
DÜŞÜNCESİ : Davanın reddi gerektiği düşünülmektedir.
DANIŞTAY SAVCISI : ...
DÜŞÜNCESİ : Dava, ... ve Diş Sağlığı Polikliniği Ltd. Şti. vekili Av.... tarafından, müvekkil şirketin iletişime geçtiği hastaların verilerinin bir başka polikliniğe sızdırıldığına ilişkin şüpheler üzerine sızdıran personel hakkında disiplin sürecinin başlatılması ve ilgili polikliniklere tazminat davaları açılabilmesi amacıyla listede belirtilen yabancı kişilerin Türkiye'de tedavi olup olmadığı, tedavi olundu ise hangi poliklinikte tedavi olunduğuna ilişkin bilgi ve belgelerin 1136 sayılı Avukatlık Kanunu'nun 2. maddesinin 3. fıkrası uyarınca taraflarına verilmesi istemiyle yapılan başvurunun reddine dair İzmir Valiliği İl Sağlık Müdürlüğünün 05/10/2022 tarih ve 403.01.03 sayılı işlemi ile bu işlemin dayanağı olduğu ileri sürülen, 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik'in "Sağlık verilerine avukatların erişimi" başlıklı 10. maddesinin iptali istemiyle açılmıştır.
Türkiye Cumhuriyeti Anayasa'sının "Özel hayatın gizliliği" başlıklı 20. maddesinin 3. fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." kuralı yer almaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü; "Tanımlar" başlıklı 3. maddesinin birinci fıkrasında; "a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, (...) d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (...) ifade eder." hükmü yer almıştır.
Anılan Kanun'un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinde, “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmünü “Kişisel verilerin aktarılması” başlıklı 8. maddesinde, “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5. maddenin ikinci fıkrasında,
b)Yeterli önlemler alınmak kaydıyla, 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verilmiştir.
1136 sayılı Avukatlık Kanunu'nun "Avukatlığın amacı" başlıklı 2. maddesinin üçüncü fıkrasında, "Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir." hükmüne yer verilmiştir.
Dava konusu edilen 19/02/2022 tarih 31755 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmeliğin "Kişinin kendisine ait kişisel veriler ile kişisel sağlık verilerine ilişkin talepleri" başlıklı 10. maddesinin üçüncü fıkrasının (c) bendinde ise "Müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına, aktarabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir." düzenlemesine yer verilmiştir.
6698 sayılı Kanun’un 3. maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Anayasa Mahkemesinin kararlarında da belirtildiği üzere "... adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler" kişisel veri olarak kabul edilmektedir.
Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgililerin açık rızasının bulunması gerekmektedir. Ancak 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin, "Kanunlarda öngörülen hallerde" ilgililerin açık rızası aranmaksızın da işlenebileceği belirtilmek suretiyle anılan kuralın istisnasına yer verilmiştir.
Bununla birlikte sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ifade edilmek suretiyle, önemine binaen "Kanunlarda öngörülen hallerde" şeklinde bir ifade biçimiyle yetinilmeyerek, bu verilerin ilgililerin açık rızası aranmaksızın işlenebileceği hallerin doğrudan Kanun maddesinde düzenlendiği görülmektedir.
Bu itibarla, dava konusu düzenlemede yer alan "kişisel sağlık verileri" bakımından, avukatın, müvekkilinin özel nitelikli kişisel veri mahiyetinde bulunan sağlık bilgilerine ilişkin kayıtlarına, yukarıda yer verilen mevzuat hükümleri doğrultusunda ancak ilgilinin açık rızasıyla ulaşabilmesi mümkün bulunduğundan, müvekkilinin kişisel sağlık verilerinin, özel vekaletnamede kişisel sağlık verilerini talep edebileceğine ilişkin özel bir yetkiye yer verilmiş olması şartıyla avukatına aktarılabileceğine ilişkin düzenlemede hukuka aykırılık bulunmamaktadır.
Öte yandan, Kanunda sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin tahdidi olarak belirtildiği ve ancak ilgilinin açık rızasıyla ulaşabilmesi mümkün bulunduğu dikkate alındığın da, üçüncü kişilere ait sağlık bilgilerinin verilemeyeceği yolundaki dava konusu İzmir Valiliği İl Sağlık Müdürlüğü işleminde de hukuka aykırılık bulunmamaktadır.
Açıklanan nedenlerle, davanın reddi gerektiği, düşünülmektedir.
TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
Davalı idarenin usul itirazları yerinde görülmeyerek işin esasına geçildi.
MADDİ OLAY VE HUKUKİ SÜREÇ :
Dosyada yer alan bilgi ve belgelere göre,
Sağlık turizmi alanında faaliyet gösteren davacı tarafından, sosyal medya üzerinden irtibat kurulan yurt dışındaki hastaların verilerinin bir başka polikliniğe sızdırıldığına ilişkin şüpheleri üzerine verileri sızdıran personel hakkında disiplin sürecinin başlatılması ve ilgili sağlık tesislerine tazminat davaları açılabilmesi amacıyla sunulan listede belirtilen yabancı kişilerin Türkiye'de tedavi olup olmadığı, tedavi olundu ise hangi poliklinikte tedavi olunduğuna ilişkin bilgi ve belgelerin 1136 sayılı Avukatlık Kanunu'nun 2. maddesinin üçüncü fıkrası uyarınca taraflarına verilmesi istemiyle 23/09/2022 tarihinde İzmir Valiliği İl Sağlık Müdürlüğüne başvuru yapılmış;
Anılan başvuru İzmir Valiliği İl Sağlık Müdürlüğünün 05/10/2022 tarih ve E-... sayılı işlemi ile özetle, hastaya ait bilgilerin gizli tutulmasının hasta hakları ile ilgili bir konu olduğu, bu hususun Hasta Hakları Yönetmeliği'nde açık bir şekilde düzenlendiği, Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Sağlık verilerine avukatların erişimi" başlıklı 10. maddesi uyarınca avukatların kişisel sağlık verilerini yalnızca kendi müvekkili hakkında ve özel yetki bulunması halinde talep edebileceği, kişisel sağlık verilerinin mevzuatlar çerçevesinde hizmeti alan kişilerin açık rızası olmadıkça kimseyle paylaşılmaması gerektiği, aksi takdirde hukuki ve cezai sorumluluk doğacağının açık olduğu gerekçesiyle reddedilmiştir.
Bunun üzerine bakılmakta olan dava açılmıştır.
İNCELEME VE GEREKÇE :
İlgili Mevzuat:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin birinci fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; üçüncü fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun,
"Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü;
"Kapsam" başlıklı 2. maddesinde, "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü;
"Tanımlar" başlıklı 3. maddesinin birinci fıkrasında; "a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, (...) d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (...) ifade eder." hükmü;
"Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü;
"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde -dava konusu düzenlemenin yayımlandığı tarihte yürürlükte olan haliyle-, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü yer almakta iken anılan maddenin 2. ve 3. fıkralarında 12/03/2024 tarih ve 32487 sayılı Resmi Gazete'de yayımlanan 7499 sayılı Kanun'la yapılan değişiklikten sonra maddede, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) (Mülga:2/3/2024-7499/33 md.)
(3) (Değişik:2/3/2024-7499/33 md.) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
halinde mümkündür.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü;
"Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.
Öte yandan, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde ise, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sisteminin kurulacağı; bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği; bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği hüküm altına alındıktan sonra; ek 11. maddesinin üçüncü fıkrasının -dava konusu düzenlemenin tesis edildiği tarihte yürürlükte bulunan halinde- de, Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşlarının iki defa uyarılacağı, uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verileceği hükme bağlanmıştır.
Davaya konusu düzenlemenin yayımlandığı tarihte yürürlükte bulunan 10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.
Bununla birlikte 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, görülen dava devam etmekte iken, 27/02/2024 tarihli Resmî Gazete'de yayımlanan Anayasa Mahkemesinin 26/10/2023 tarih ve E:2018/118, K:2023/180 sayılı kararıyla sağlık hizmetleriyle ilgili olarak kişisel verilerin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içeren kuralın Cumhurbaşkanlığı Kararnamesi ile düzenlenemeyecek yasak alan içinde kaldığı gerekçesiyle konu bakımından yetki yönünden Anayasa'ya aykırı bulunmuş ve maddenin iptaline karar verilmiş; iptal hükmünün ise Anayasanın 153. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 66. maddesinin üçüncü fıkrası gereğince, kararın Resmî Gazete'de yayımlanmasından başlayarak dokuz ay sonra (27/11/2024) yürürlüğe girmesine karar verilmiş ise de; 15/01/2025 tarih ve 32783 sayılı Resmi Gazete'de yayımlanan 7538 sayılı Kanun'un 2. maddesiyle 3359 sayılı Kanun'a eklenen ek 19. maddesinde, "Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Sağlık Bakanlığı, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır; bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." düzenlemesine yer verilmiştir.
Buna göre, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla ve 3359 sayılı Kanun ile 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmelik, 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.
Anılan Yönetmeliğin “Sağlık verilerine avukatların erişimi” başlıklı dava konusu edilen 10. maddesinde "Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir." kuralına yer verilmiştir.
Hukuki Değerlendirme:
A) Dava konusu düzenlemenin incelenmesi:
Avukat ile müvekkil ilişkisi temelde 6098 sayılı Türk Borçlar Kanunu'nda düzenlenen "vekalet sözleşmesi"ne dayanmakta olup, vekilin, üstlendiği iş ve hizmetleri, vekalet verenin haklı menfaatlerini gözeterek, sadakat ve özenle yürütme ödevi bulunmaktadır. Bu özen görevi, 1136 sayılı Avukatlık Kanunu'nda avukatın işini özenle ve sonuna kadar takip etme ödeviyle de somutlaştırılmış bulunmaktadır.
1136 sayılı Kanun'un "Avukatlığın amacı" başlıklı 2. maddesinde avukatlığın amacının, hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamak olduğu, avukatın bu amaçla hukuki bilgi ve tecrübelerini adalet hizmetine ve kişilerin yararlanmasına tahsis edeceği ifade edildikten sonra aynı maddenin üçüncü fıkrasında, "Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir." hükmüne yer verilmek suretiyle madde metninde sayılan kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin avukatların ihtiyaç duyduğu bilgi ve belgeleri incelemeye sunmakla yükümlü kılındığı, bunlara avukatlara görevlerinin yerine getirilmesi kapsamında, müvekkilinin hukukunu savunabilmesine, haklarını dava etmesine, yargılama sürecinin çabuklaştırılmasına ve uyuşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesine yardımcı olma görevinin yüklendiği anlaşılmaktadır.
Öte yandan, 4982 sayılı Bilgi Edinme Hakkı Kanunu'nun "Bilgi verme yükümlülüğü" başlıklı 5. maddesinin birinci fıkrasında, "Kurum ve kuruluşlar, bu Kanunda yer alan istisnalar dışındaki her türlü bilgi veya belgeyi başvuranların yararlanmasına sunmak ve bilgi edinme başvurularını etkin, süratli ve doğru sonuçlandırmak üzere, gerekli idari ve teknik tedbirleri almakla yükümlüdürler." hükmüne yer verilmiştir.
Avukatın müvekkiliyle vekalet ilişkisi içinde üstlendiği bir işin mahiyetine göre vekalet görevini özenle ifa etme yükümlülüğü çerçevesinde kendisine verilen görevi yerine getirebilmesi için gerek duyduğu bilgi ve belgeyi dolayısıyla da müvekkiline ait verileri başka kurum, kuruluş veya özel hukuk tüzel kişilerinden vekalet görevi kapsamında talep etmesine ve bu verileri elde etmesine 1136 sayılı Avukatlık Kanunu'nun da kendisine verdiği yetki uyarınca genel bir vekaletname ibrazı ile ve gerekliliğini açıklayan nedenlerle birlikte belirtmesi halinde hukuki bir engel bulunmamaktadır.
Bununla birlikte avukatın, müvekkilinin sağlık verilerini genel vekaletname ile talep edemeyeceği ve müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına dair açık rızasını gösteren özel bir hükmün bulunması gerektiğine ilişkin dava konusu düzenlemenin kişisel verilerin işlenmesi ve aktarılması kapsamında olduğundan, düzenlemenin kişisel verilerin korunmasına ilişkin özel mevzuat kapsamında değerlendirilmesi gerekmektedir.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş ve kişisel verilerin işlenme şartları düzenlenmiştir. Anılan Kanun'un 5. maddesine göre, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Maddenin ikinci fıkrasında ise ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği durumlar tahdidi olarak sayılmıştır.
Ayrıca Kanun'un 6. maddesinde, sağlık verileri, özel nitelikli kişisel veri olarak sayılmış ve işlenmesi özel kurallara bağlanmıştır. Maddenin, dava konusu düzenlemenin yapıldığı tarihte yürürlükte olan haline göre, özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Bu verilerden olan sağlık verileri ise, ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
Yine anılan maddenin, halihazırda yürürlükte olan -7499 sayılı Kanun'la değişik- haline göre de; sağlık verilerinin işlenmesi yasaktır ancak bunların, ilgili kişinin açık rızasının olması; Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması; bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması; istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması; siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, hallerinde işlenmesi mümkündür.
Buna göre, birtakım kişisel veriler özel hukuki koruma altına alınmakta ve özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgililerin açık rızasının bulunması gerekmektedir. Ancak 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasının dava konusu düzenlemenin yürürlüğe girdiği tarihteki halinde, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin, "Kanunlarda öngörülen hallerde" ilgililerin açık rızası aranmaksızın da işlenebileceği belirtilmek suretiyle anılan kuralın istisnasına yer verilmiştir. Bununla birlikte sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ifade edilmek suretiyle, önemine binaen "Kanunlarda öngörülen hallerde" şeklinde bir ifade biçimiyle yetinilmeyerek, bu verilerin ilgililerin açık rızası aranmaksızın işlenebileceği hallerin doğrudan Kanun maddesinde düzenlendiği görülmektedir. Maddenin taslak gerekçesinde ise, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirileceği belirtilmiştir.
Diğer taraftan, 4982 sayılı Kanun'un bilgi edinme hakkının sınırlarının düzenlendiği Dördüncü Bölüm altında yer alan "Özel hayatın gizliliği" başlıklı 21. maddesinde ise, "Kişinin izin verdiği haller saklı kalmak üzere, özel hayatın gizliliği kapsamında, açıklanması halinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, mesleki ve ekonomik değerlerine haksız müdahale oluşturacak bilgi veya belgeler, bilgi edinme hakkı kapsamı dışındadır. Kamu yararının gerektirdiği hallerde, kişisel bilgi veya belgeler, kurum ve kuruluşlar tarafından, ilgili kişiye en az yedi gün önceden haber verilerek yazılı rızası alınmak koşuluyla açıklanabilir." düzenlemesine yer verilmek suretiyle kişilerin sağlık bilgilerinin anılan Kanun kapsamı dışında yer aldığı ifade edilmiştir.
Bu açıklamalar ışığında, dava konusu düzenlemede yer alan kişisel sağlık verileri bakımından, kişisel verilerin korunmasına ilişkin usul ve esasların düzenlendiği 6698 sayılı Kanun'un, bu alanı düzenleyen özel kanun olduğu ve bu verilerin işlenebilmesi için kural olarak ilgililerin açık rızasının aranılacağının kabulü gerektiği sonucuna varılmıştır.
Bu durumda, yukarıda yer verilen mevzuat hükümleri doğrultusunda avukatın, müvekkilinin özel nitelikli kişisel veri mahiyetinde bulunan sağlık bilgilerine ilişkin kayıtlarına, ancak ilgilinin açık rızasıyla ulaşabilmesi mümkün bulunduğundan, kişisel sağlık verilerinin, vekaletnamede ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması şartıyla avukatına aktarılabileceğine dair dava konusu düzenlemede hukuka ve üst hukuk normlarına aykırılık bulunmamaktadır.
B) Dava konusu bireysel işlemin incelenmesi:
Dava konusu işlem ile davacı şirket vekilinin yurt dışındaki hastaların ülkemizdeki tedavileri ile ilgili verilere ulaşım talebinin reddedildiği görülmektedir.
Öncelikle belirtmek gerekir ki yabancı ülkedeki kişilerin ülkemizde tedavi olup olmadığı, oldu ise hangi poliklinikte tedavi olduğu ile alakalı verilerin, kişilerin sağlığı ile ilgili veri, dolayısıyla da 6698 sayılı Kanun'da ifade edilen özel nitelikli kişisel veri olduğunda duraksama bulunmamaktadır.
Dava konusu işleme dayanak olan düzenlemeye göre, avukat, müvekkilinin kişisel sağlık verilerini ancak vekaletnamede anılan verilerin aktarılmasına ilişkin açık rızayı içeren özel bir yetkinin bulunması halinde talep edebilecek olup, buna göre, davacı şirket vekili, özel yetkiye dayanarak yalnızca vekalet ilişkisi içerisinde olduğu şirketin verilerine erişebilecektir.
İlgili düzenlemenin hukuka uygunluğu dikkate alındığında, avukatın, müvekkiline ait özel nitelikli kişisel veri niteliğindeki sağlık verilerine, bu verilerin işlenmesi ve aktarılmasına ilişkin açık rızayı içermeyen genel bir vekaletname ile dahi erişiminin mümkün olmadığı açık iken vekalet ilişkisi bulunmayan ve yabancı ülkede bulunan hastalara ait sağlık verilerine, herhangi bir vekaletname ilişkisi olmaksızın erişmesine hukuken imkan bulunmamaktadır.
Bu itibarla, dava konusu işlemde de hukuka aykırılık görülmemiştir.
KARAR SONUCU:
Açıklanan nedenlerle;
1. DAVANIN REDDİNE,
2. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davacı üzerinde bırakılmasına,
3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmasız işler belirlenen... TL vekâlet ücretinin davacıdan alınarak davalı idarelere verilmesine,
4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
5. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 20/11/2025 tarihinde oy birliğiyle karar verildi.