Danıştay Kararı - 15. Daire (E. 2016/10488)
Danıştay Kararı - 15. D., E. 2016/10488 YD. T. 6.7.2017
İstemin Özeti: 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, 5. maddesinin 5. fıkrası ile 14. maddesinin yürütmesinin durdurulması ve iptali istenilmektedir.
Sağlık Bakanlığı'nın Savunmasının Özeti: Kişisel Sağlık Verileri hukukunun uluslararası ve iç hukuktaki durumu ile Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin çıkarılma gerekçelerinin, aynı Yönetmeliğe karşı Danıştay 15. Daire'nin 2016/10500 Esas sayılı dosyasında açılan davaya karşı sunulan savunmalarında teferruatlı olarak belirtildiği ve hukuka uygunluğunun ortaya konulduğu, işbu davanın tevcih olunduğu maddelerinin de tamamiyle hizmet gereklerine ve hukuka uygun olduğu; serbest eczane sahibi eczacıların, kişisel sağlık verisi işliyor olmaları sebebiyle Yönetmelik hükümlerine tabi olmakla birlikte, Yönetmeliğin "sağlık hizmeti sunucuları" için öngörülen hükümlerine tabi olmadıkları, serbest eczane sahibi eczacıların, Yönetmelik uyarınca sağlık hizmeti sunucusu olarak değerlendirilmediği, buradaki karışıklığın, Sosyal Güvenlik Kurumu (SGK) mevzuatından kaynaklandığının düşünüldüğü, SGK tarafından çıkartılan Sosyal Güvenlik Kurumu Sağlık Uygulama Tebliği'nin (SUT) "Sağlık hizmeti sunucuları" başlıklı ve 1.4 numaralı maddesinde, 6197 sayılı Eczacılar ve Eczaneler Hakkında Kanun kapsamında serbest faaliyet gösteren ve birinci basamak sağlık kuruluşu olan eczanelerin, sağlık hizmeti sunucuları arasında zikredildiği, Yönetmelikte kullanılan "sağlık hizmeti sunucusu" ile ifade edilmek istenenin, Sağlık Bakanlığı ve bağlı kuruluşları bünyesinde faaliyet gösteren ve birinci, ikinci ve üçüncü basamakta sağlık hizmeti sunmakta olan bütün sağlık tesisleri olduğu, Sağlık Bakanlığı tarafından yayımlanan hukuki ve idari düzenlemelerde "sağlık hizmeti sunucusu" ifadesinin kapsamının bu olduğu, serbest eczane sahibi eczacıların Yönetmelik kapsamında sağlık hizmeti sunucusu olarak değerlendirilmesi ve Yönetmeliğin 5 inci maddesinin beşinci fıkrasına tabi olduğunun düşünülmesi halinde, Yönetmeliğin 6698 sayılı Kişisel Verilerin Korunması Kanunu'na aykırılık teşkil edeceği ve bunun genel hukuk ilkeleri ile bağdaşmayacağı, 6698 sayılı Kanun'un "Kişisel verilerin aktarılması" başlıklı 8 inci maddesinin ikinci fıkrasının (a) bendinde atıf yapılan aynı Kanun'un 5 inci maddesinin ikinci fıkrasının (ç) bendi gereği veri sorumlusunun hukuki yükümlülüğünü yerine getirmek için kişisel veri işlemesi zorunluluk arz ediyorsa, ilgili kişinin açık rızası olmaksızın bunu yapabileceği, dolayısı ile bu durumun da serbest eczane sahibi eczacıların Yönetmelikteki "sağlık hizmeti sunucusu" ifadesi kapsamına girmediğini gösterdiği, sonuç olarak, Yönetmeliğin sağlık hizmeti sunucuları için öngörülen hükümlerinden birçoğuna (m. 5/6, m. 5/8, m. 6/2, m. 14/1, m. 16/1) bakıldığında, serbest eczane sahibi eczacıların, Yönetmelikteki "sağlık hizmeti sunucusu" ifadesinin kapsamına girmedikleri hususunun, öngörülen hükümlerin veya yükümlülüklerin serbest eczane sahibi eczacılar tarafından yerine getirilmesinin teknik olarak mümkün olmamasından anlaşıldığı, dolayısı ile işbu hükmü iptalini talep etmekte davacı tarafın menfaati bulunmadığından davanın evleviyetle bu hüküm bakımından usulden de reddinin gerektiği,
Yönetmelikte; Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından geliştirilen Ulusal Sağlık Sistemi'nden (USS), merkezi sağlık veri sistemi olarak bahsedildiği, Yönetmeliğin 14 üncü maddesi uyarınca sağlık hizmeti sunucularının, merkezi sağlık veri sistemine, Bakanlıkça belirlenen standartlara uygun bir şekilde veri aktarımı yapmalarının gerektiği, bununla birlikte serbest eczane sahibi eczacılardan, USS'ye veri gönderimi yapmalarının talep edilmediği, madde metninde yer alan "(...) Bakanlıkça belirlenen standartlara uygun (...)" ifadesi ile atıf yapılan düzenlemenin, Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğünün 2015/17 sayılı Genelgesi olduğu, bu Genelgede Hastane Bilgi Yönetim Sistemi (HBYS) ve Sağlık Bilgi Yönetim Sistemi'ne (SBYS) ilişkin düzenlemelerin yer aldığı; serbest eczane sahibi eczacıların kullandığı veya kullanabilecekleri yazılımlardan bahsedilmediği, Genelgede bahsedilen, tüm sağlık tesislerinde kullanılan sağlık uygulama yazılımlarını üreten kamu ve özel kurum ve kuruluşlarının kayıt ve tescil işlemlerini düzenlemek için Bakanlık bünyesinde oluşturulan Kayıt Tescil Sistemi'nde (KTS), eczanelerin kullandıkları yazılımların tescil edilmediği ve eczanelerde kullanılacak yazılımlar için böyle bir tescil şartı aranmadığı, davacı tarafından iddia edildiği üzere eczacıların, Bakanlıkça verilen yetki belgesine sahip ve Bakanlıkça belirlenen standartlar ile uyumlu yazılımlar kullanmak zorunda bırakılmadıkları, davacının bu konudaki iddialarının Yönetmelikten değil, konuyu yanlış yorumlamasından kaynaklandığı savunulmaktadır.
Kişisel Verileri Koruma Kurumu'nun Savunmasının Özeti: 12 Ocak 2017'de, 6698 sayılı Kanunun 21. maddesi hükümlerine göre, -en son iki üyesi 4 Ocak 2017'de TBMM Genel Kurulu Kararıyla seçilmiş- seçilen Kişisel Verileri Koruma Kurulu üyelerinin Yargıtay 1. Başkanlık Kurulu huzurunda yemin ettikleri, 30 Ocak 2017'de Başkan ve 2. Başkanın seçildiği, Kurum tarafından halihazırda başta hizmet birimlerinin çalışma usul ve esaslarını belirleyen teşkilat yönetmeliğinin hazırlanması ile diğer mevzuat hazırlıkları, idari ve teknik çalışmalarının yürütüldüğü, Sağlık Bakanlığı tarafından çıkarılan dava konusu yönetmeliğin hazırlanma sürecinde Kurumun dahlinin bulunmadığı, işbu davada taraf sıfatını haiz olmadıkları, Anayasa'nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca kanunla düzenleneceği anlamına gelmediği savunulmaktadır.
Danıştay Tetkik Hakimi: K1
Düşüncesi: Yönetmeliğin iptali istenen maddelerinin esastan incelenmesi gerektiği düşünülmektedir.
TÜRK MİLLETİ ADINA
Hüküm veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek işin gereği görüşüldü:
Dava, 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, 5. maddesinin 5. fıkrası ile 14. maddesinin yürütmesinin durdurulması ve iptali istemiyle açılmıştır.
Davacı, eczacıların hem elden satışlarda hem de SGK'ya yapılan satışlarda İlaç Takip Sistemine bildirimde bulunduklarını, ilaçları hastaya sistemden onay aldıktan sonra teslim ettiklerini, eczacıların reçete karşılarken İlaç Takip Sistemi ile bağlantılı eczane programları kullandıklarını, bu programlar vasıtasıyla reçete kayıt defterlerinin elektronik ortamda tutma imkânının bulunduğunu, söz konusu programlar ve eczanelerin iç işleyişi sebebiyle eczanelerde kişisel sağlık verilerinin kaydedildiğini,
Eczacılar ve Eczaneler Hakkında Yönetmeliğin "Eczane defter ve kayıtları" başlıklı 45. maddesinin 1. fıkrasında "Eczanede satışı yapılan tüm ilaçlar elektronik ortamda kaydedilir. Bu kayıtlar denetimlerde istenilmesi hâlinde sunulmak üzere saklanır." hükmünün bulunduğunu; Yönetmeliğin 5. maddesinin 5. fıkrası ile kişisel sağlık verilerinin mahremiyeti sağlanmaya çalışılırken, eczacıların özel mevzuatları ile çelişen ve uygulanması fiilen imkânsız bir yükümlülük altına sokulduklarını,
Yönetmeliğin 14. maddesi ile eczacıların davalı Bakanlıkça verilen yetki belgesine sahip ve Bakanlıkça belirlenen standartlar ile uyumlu yazılımları kullanmak zorunda bırakıldığını, eczacıların halen kullandıkları piyasada mevcut programların bu özellikleri taşımadığını, bu durumun eczacıların sağlık hizmeti sunumunu aksatacağını ileri sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini istemektedir.
07.04.2016 tarihli ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet Meclisi'ne sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu ilgilendirmesi nedeniyle bir "çerçeve kanun" olarak hazırlanmıştır.
Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede, Türk Ceza Kanunu'nun 135 ve devamı maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle, bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmaktadır. Ayrıca 2010 yılında Anayasa'nın 20. maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve konuya ilişkin usul ve esasların kanunla düzenleneceği öngörülmüştür.
Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL, EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak kabul edildiği ve bu nedenle ihlal kararları verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye'nin Avrupa Birliği'ne üyelik süreci açısından da önemine dikkat çekilmekte, Türkiye'nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi"ne de 1981 yılından itibaren taraf olduğu ifade edilmektedir.
Bütün bu hususlardan anlaşılacağı üzere 6698 sayılı Kanun, kişisel verilerin korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu'nun genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından önemlidir: "Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir."
6698 sayılı Kanunun 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulu'nun görev ve yetkileri, aynı Kanun'un 22. maddesiyle belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hükmüne yer verilmiştir.
Anılan Kanun'un, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinin 1. fıkrasında, dava konusu Yönetmelikle düzenlenen, sağlık verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş;maddenin 4. fıkrasında, "Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü getirilmiştir.
6698 sayılı Kanunun Geçici 1. maddesi hükmü uyarınca, Kanunun 21. maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu'nun Kanunun Resmi Gazete'de yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin ancak 30.01.2017 tarihinde yerine getirilebildiği anlaşılmaktadır.
Davalıların savunmaları ve dosya içeriğinden, dava konusu Yönetmeliğin Resmî Gazete'de yayımlandığı tarih olan 20.10.2016'da Kişisel Verileri Koruma Kurulu'nun henüz oluşturulmadığı, dolayısıyla 6698 sayılı Kanun'un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun'un 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan dava konusu düzenlemenin tesis edildiği görülmektedir.
Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu'nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulu'ndan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu'nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve 20/10/2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe giren dava konusu düzenlemede bu nedenle mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.
Açıklanan nedenlerle, olayda 2577 sayılı İdari Yargılama Usulü Kanunu'nun 4001 sayılı Yasa ile değişik 27. maddesinin 2. Fıkrasında sayılan koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin kabulüne, 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin 5. maddesinin 5. fıkrası ile 14. maddesinin yürütmesinin durdurulmasına, bu kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri Kurulu'na itiraz yolu açık olmak üzere 06/07/2017 tarihinde oyçokluğu ile karar verildi.
KARŞI OY:
07.04.2016 tarihli ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 30. maddesi ile 1/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname'nin 47. maddesine getirilen "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı hüküm aşağıdaki şekildedir;
"MADDE 47- (Değişik: 24/3/2016-6698/30 md.)
\(1\) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
\(2\) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
\(3\) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
\(4\) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
\(5\) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
\(6\) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir."
Anılan maddenin son fıkrasıyla Sağlık Bakanlığı'na Yönetmelik çıkarma yetkisi ve görevi verilmiştir.
Mezkur Kanun'un 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulu'nun görev ve yetkilerinin belirlendiği, aynı Kanun'un 22. maddesinin 1. fıkrasının (h) bendindeki "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hükmünden diğer kurum ve kuruluşlarca hazırlanacak mevzuat taslakları hakkında Kurul'dan görüş alınmasının zorunlu olduğu anlamı çıkarılamaz.
Kaldı ki, anılan Kanun'un Geçici 1 inci maddesinin 1. fıkrasında, "Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur." hükmüne yer verilmiştir. Bu hüküm uyarınca en geç 07.10.2016 tarihinde oluşması gereken Kurul, Yönetmeliğin çıkartıldığı 20.10.2016 tarihinde henüz teşekkül etmemiştir. Teşekkül etmeyen bir Kurul'dan görüş alınması da mümkün değildir.
Ayrıca, anılan Kanun'un 6. maddesinin 4. fıkrasında, "Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü yer almaktadır. Bu hükme göre Kurul tarafından yeterli önlemlerin belirlenmemesinin diğer kurum ve kuruluşlarca düzenleyici işlem yapılmasına engel teşkil edeceği düşünülemez. Anılan hükme göre Kurum ve kuruluşların, mevzuat taslaklarını hazırlarken, Kurul tarafından belirlenmiş önlemler varsa bunları dikkate alacakları konusunda kuşku yoktur. Ancak maddede sözü geçen önlemler Kurul tarafından bir kereye mahsus kararlaştırılıp daha sonra değiştirilemeyecek önlemler değildir. Kurul her zaman, belirlediği önlemleri değiştirebilir, uluslararası gelişmelere, zamanın gereklerine vs. göre yenilerini ekleyebilir. Kişisel verileri işleyenlerin, Kurul tarafından herhangi bir zamanda belirlenelen önlemleri her zaman alacağı açıktır. Nitekim, İptali istenen Yönetmeliğin 7. maddesinin 4. fıkrasında "Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemler de alınır." hükmüne yer verilmiştir. Yani kurum ve kuruluşlarca, Kurul tarafından-ister Yönetmelik çıkarılmadan önce ister çıkarıldıktan sonra belirlensin-belirlenen tüm önlemler alınacaktır.
Açıklanan nedenlerle, dava konusu düzenlemede bu yönüyle hukuka aykırılık bulunmadığı, Yönetmeliğin iptali istenen maddelerinin incelemesine geçilmesi gerektiği düşüncesiyle çoğunluk kararına katılmıyoruz.