Danıştay Kararı - 15. Daire (E. 2016/10500)
Danıştay Kararı - 15. D., E. 2016/10500 K. YD. T. 6.7.2017
İstemin Özeti: 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptali istenilmektedir.
Sağlık Bakanlığı'nın Savunmasının Özeti: Kişisel Verilerin İşlenmesine İlişkin Usûl ve Esasların Ancak Kanunla Düzenlenebileceği iddiası hakkında; Anayasa'nın 20 nci maddesinin üçüncü fıkrasının son cümlesinde "Kişisel verilerin korunmasına ilişkin esas ve usûller kanunla düzenlenir." hükmünün bulunduğu, Anayasa'da, "Kişisel verilerin otomatik işleme tabi tutulmasına ilişkin usûl ve esasların ancak kanunla düzenlenebileceğine" ilişkin herhangi bir hüküm bulunmadığı, davacının, aynı fıkranın bir önceki "Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." cümlesi ile bu hükmü karıştırdığının düşünüldüğü, ayrıca, Yönetmeliğin dayanağı olan 663 sayılı KHK'nın 47 nci maddesinin, 6698 sayılı Kanun'un 30 uncu maddesinin yedinci fıkrası ile düzenlendiği, dolayısı ile kişisel sağlık verilerinin işlenmesine ilişkin usûl ve esasların Bakanlıkça yürürlüğe konulacak bir yönetmelikle düzenleneceği hususunun, 6698 sayılı Kanun'un emredici hükmüne dayandığı, Anayasa'nın 20 nci maddesinde öngörülen kanun olan 6698 sayılı Kanunun 07.04.2016 tarihi itibariyle yürürlükte olduğu ve Anayasa'nın 20 nci maddesinde öngörülen hükmün bu Kanun ile yerine getirildiği, iç hukukta uygun güvencelerin sağlanması ön koşulunun yerine getirilmediğini iddia etmenin, yürürlükte olan Kanunu yok saymak anlamına geldiği,
6698 sayılı Kanun m. 6/IV Uyarınca Yeterli Önlemlerin Henüz Belirlenmemiş Olduğu iddiası hakkında; 6698 sayılı Kanun'un yürürlüğe girmiş olması ve 6 ncı maddesinin dördüncü fıkrasında değinilen yeterli önlemlerin henüz belirlenmemiş olmasının, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi için ileri sürmenin izahtan vareste olduğu, bu iddianın doğruluğunu savunmanın, özel nitelikli kişisel verilerden olan kişisel sağlık verilerinin yalnızca Sağlık Bakanlığı tarafından değil; aynı zamanda hiçbir kişi (hekim), kurum ve kuruluş (özel ve kamu sağlık tesisleri) tarafından işlenmemesini de beraberinde getireceğinin ki bunun da ülkemizdeki tüm sağlık hizmetlerinin durması anlamına geleceği, hatta dernek üyeliğinin de özel nitelikli kişisel veriler arasında zikredilmiş olması göz önünde bulundurulduğunda, davacı F1 Derneği ile F2 Derneğinin kendi üyelerine ilişkin verileri işleyemeyecekleri, dernek üyesi olmaları gerekçesiyle üyelerine hiçbir iş ve işlemde bulunamayacakları, ki bu durumun hayatın olağan akışına aykırı olduğu, nitekim, 6698 sayılı Kanun'un 6 ncı maddesinin dördüncü fıkrasında öngörülen ve Kurul tarafından belirlenecek yeterli önlemlerin alınması şartının, yalnızca aynı maddenin üçüncü fıkrası uyarınca istisnai hallerde işlenen özel nitelikli kişisel veriler için değil; aynı zamanda açık rıza ile işlenen özel nitelikli kişisel veriler için de geçerli olduğu, Kanun hükmünün yalnızca Sağlık Bakanlığını değil; özel nitelikli kişisel veri işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku tüzel kişilerini bağladığı, dolayısı ile özel nitelikli kişisel verilerin işlenmesinde gerekli olan yeterli önlemlerin Kurul tarafından henüz belirlenmemiş olması hususunu, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi için bir gerekçe olarak sunmanın, tutarlı hiçbir tarafı bulunmadığı, 6698 sayılı Kanun'un 6 ncı maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, bu yeterli önlemlerin ise Kurul tarafından henüz belirlenmediği,
6698 sayılı Kanun'un 22 nci maddesinin birinci fıkrasının (h) bendi gereği, kişisel verilere ilişkin hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş alınmasının zorunlu olduğu davacı tarafından iddia edilmekte ise de, Kanun'da böyle bir zorunluluk bulunmadığı, ilgili hükümde, "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hususunun, Kurul'un görev ve yetkileri arasında zikredildiği, bu hükmün, Yönetmeliğin çıkartılmasında Kurul'dan görüş alınmasının zorunlu olduğu anlamına gelmediği, ayrıca, Yönetmeliğin çıkartıldığı tarihte Kurulun henüz teşekkül etmediği, teşekkül etmeyen bir Kurul'dan görüş alınmasının da mümkün olmadığı, Kanun'un Geçici 1 inci maddesinin 1. fıkrası uyarınca en geç 07.10.2016 tarihinde oluşması gereken Kurulun, bu tarihten ancak aylar sonra oluşturulduğu, Yönetmeliğin ise 20.10.2016 tarihinde Resmî Gazete'de yayımlanarak yürürlüğe girdiği,
Dava konusu Yönetmelik hükümlerinin, en başta Anayasa olmak üzere kişisel veriler hukuku ile ilgili milletlerarası hukuk kurallarına, kanunlara ve hizmet gereklerine tamamiyle uygun olduğu savunulmaktadır.
Kişisel Verileri Koruma Kurumu'nun Savunmasının Özeti:12 Ocak 2017'de, 6698 sayılı Kanunun 21. maddesi hükümlerine göre, -en son iki üyesi 4 Ocak 2017'de TBMM Genel Kurulu Kararıyla seçilmiş- seçilen Kişisel Verileri Koruma Kurulu üyelerinin Yargıtay 1. Başkanlık Kurulu huzurunda yemin ettikleri, 30 Ocak 2017'de Başkan ve 2. Başkanın seçildiği, Kurum tarafından halihazırda başta hizmet birimlerinin çalışma usul ve esaslarını belirleyen teşkilat yönetmeliğinin hazırlanması ile diğer mevzuat hazırlıkları, idari ve teknik çalışmalarının yürütüldüğü,
Sağlık Bakanlığı tarafından çıkarılan dava konusu yönetmeliğin hazırlanma sürecinde Kurumun dahlinin bulunmadığı, işbu davada taraf sıfatına haiz olmadıkları,
Anayasa'nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca kanunla düzenleneceği anlamına gelmediği,
Anayasa'nın 20 nci maddesinde öngörülen kanun olan 6698 sayılı Kanun ile düzenleme altına alınan fiillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun tereddütsüz olarak belirlendiği, suç teşkil eden fiiller bakımından da Kanundan önce yürürlükte bulunan Türk Ceza Kanunu'nun 135-140. maddelerine özel olarak atıfta bulunulduğu, sağlık verilerinin özel nitelikli kişisel veri olduğu, bu konunun da Kanunun 6. maddesi ile düzenlendiği, özel nitelikli kişisel verilere rastgele, dayanaksız bir müdahalede bulunulmasının söz konusu olmadığı savunulmaktadır.
Danıştay Tetkik Hakimi: K1
Düşüncesi: Yönetmeliğin iptali istenen maddelerinin incelemesine geçilmesi gerektiği düşünülmektedir.
TÜRK MİLLETİ ADINA
Hüküm veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek işin gereği görüşüldü:
Dava, 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptaliistemiyle açılmıştır.
Davacılar, Anayasa'da kişisel verilerin otomatik işleme tabi tutulmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceği belirtilmişken, sağlık verilerinin işlenme ve korunma kurallarının yönetmelikle düzenlendiği,
6698 sayılı Kanun'da sağlık gibi özel nitelikli verilerin işlenmesinde uyulacak önlemleri belirlemekle yetkili olan Kişisel Verileri Koruma Kurulu oluşturulmadan alana ilişkin düzenleme yapıldığı, Kanunun 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşların kişisel verilere ilişkin hüküm içeren mevzuat taslaklarını hazırlarken Kurul'dan görüş almasının zorunlu olduğu,
Dava konusu düzenlemede sağlık hizmeti ilişkisinin iki tarafı olan hekimlerin sır saklama başta olmak üzere mesleki hak ve yükümlülükleri ile veri sahibi hastanın haklarının yok sayıldığı, bu durumun aynı zamanda hastanın Anayasa'nın 56. maddesinde güvence altına alınan sağlık hakkını ihlal ettiği,
Sağlık verilerinin rıza alınmaksızın işlenebileceği istisnai hallerin Yönetmelik ve dayanak kanunda, ülkemizce usulüne uygun olarak onaylanarak yürürlüğe giren 1981 tarihli ve 108 sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme"ye aykırı biçimde geniş tutulduğu, özel hayatın korunması ilkesinin özünün zedelendiği,
Sözleşmenin 9. maddesinin 2. fıkrasında sağlık verilerinin işlenmeme yasağına sadece "devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi ile ilgili kişinin veya başkasının hak ve özgürlüklerinin korunması" halinde istisna getirilebileceği; ancak bu istisnaların da kanunla düzenlenmesinin ve demokratik bir toplumda zorunlu olamasının ön koşul olduğu, maddenin 1. fıkrasına göre ise sayılan bu haller dışında devletlerin başka istisnai halleri düzenleyemeyeceği,
Dava konusu Yönetmeliğin "Kişisel sağlık verilerinin işlenmesi" başlıklı 7. maddesinin 1. fıkrasında "Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği"nin belirtilerek sözleşmedeki hallerin keyfi biçimde genişletildiği, bu maddenin 6698 sayılı Kanun'un 6. maddesinin 3. fıkrasının aynen tekrarı olduğu, diğer dayanak 663 sayılı KHK'nın 47. maddesinin 2. fıkrasında da yer aldığı,
Maddede sayılan hallerin hiçbirinin demokratik bir toplumda gerekli, elzem, amaçla orantılı ve ölçülü bir tedbir olmadığı,
Neredeyse hiçbir istisna hali bırakılmaksızın niteliği ne olursa olsun tüm sağlık verilerinin işlenmesi, kamu kurumları arasında paylaşılması ve uluslararası güçlere aktarılmasının toplumsal kaygılarla kişileri sağlık hizmeti almaktan alıkoyabileceği, kişilerin bilgilerinin kamusal olarak kaydedilmesinden endişe ederek, bazı temel hak ve hürriyetlerini kullanmaktan imtina edebilecekleri,
Bu nedenlerle, Yönetmeliğin 8. maddesinin 1. fıkrası ile 7. maddesinin 1. fıkrasının ve bu fıkranın dayanağı olan 6698 sayılı Yasa'nın 6. maddesinin 3. fıkrasının ve 663 sayılı KHK'nın 47. maddesinin, Anayasa'nın 2., 17., 20., 56. maddelerine, 108 sayılı Sözleşmenin 9. maddesinin 2. fıkrasına ve BİYOTIP Sözleşmesi'nin özel hayat ve bilgi edinme hakkına yönelik 10. maddesine aykırılığından hareketle Anayasa'nın 90. maddesine aykırı olduğu,
Nitekim, 6698 sayılı Yasa'nın bir çok hükmünün ana muhalefet partisi tarafından Anayasa Mahkemesi'ne götürüldüğü, bu hükümler içerisinde 6. maddesinin 3. fıkrasının ve 663 sayılı KHK'nın 47. maddesinin de bulunduğu,
Yönetmeliğin sağlık verilerinin korunmasına ilişkin yeterli ve objektif hükümler içermediği,
6\. maddenin, 2. fıkrasındaki "Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır."
7\. fıkrasının son cümlesindeki "Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar, Genel Müdürlükçe belirlenir."
8\. fıkrasındaki "Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen standartlara uygun olarak tutulur."
7\. maddenin 4. fıkrasındaki "Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemler de alınır."
8\. maddenin 3. fıkrasındaki "Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır." ibarelerinde sağlık verilerini korumanın yöntemi, esasları, kapsamı tam belirlenmeden idareye ucu açık, çevresi çizilmemiş, sınırsız bir yetki verildiği; yönetmelikle düzenlenmesi gereken hususların idarenin keyfine bırakıldığı, kişisel sağlık verilerinin idare tarafından işlenerek içeriği belirsiz protokoller ile diğer kamu kurum ve kuruluşlarına aktarılabileceği, veri sahiplerinin ise bu protokol içeriklerine müdahale edemeyecekleri, aktarımda uygulanacak kuralların belirli biçimde düzenlenmemesi ve protokole bırakılması nedeniyle aktarımda uyulacak esasların da bilinemeyeceği,
Yönetmeliğin 4. maddesinin 1. fıkrasının (o) bendinde yer alan veri sorumlusunun 6698 sayılı Yasanın 3. maddesinin (ı) bendinin aynen tekrarı olduğu, 11. maddesinde de veri sorumlusunun görevi, yetkileri ve sorumluluk sınırlarının düzenlendiği, ancak veri sorumlusunun kim olacağının belirtilmediği, oysa sağlık verilerini işlemeye girişen, bu sistemi kuran sağlık hizmet sunucularını buna uymaya zorlayan idarenin bu sorumluluğu da üstlenerek veri sorumlusu olarak kabulünün gerektiği, veri sorumlusunun kim olacağının yoruma yer bırakmayacak şekilde açıkça düzenlenmesinin gerektiği, yani mevcut hükümlerin noksan düzenleme nedeniyle hukuka aykırı oldukları,
Sağlık verisi sahibinin Anayasa ve 108 nolu Sözleşme ile güvence altına alınan haklarının yönetmelikle ortadan kaldırıldığı,
Örneğin, veri sahibi kişilerin tutulan sağlık verilerinin başka kurumlara ya da özel firmalara aktarılmasına rıza göstermeme gibi bir hakka sahip olmadığı, bu durumun verilerin silinmesini talep hakkı için de geçerli olduğunu, Yönetmeliğin 15. maddesinin 5. fıkrasında "İlgili kişi, kişisel sağlık kaydı sistemi üzerinden kendisine ilişkin sağlık verilerini yönetebilir, bu verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir." düzenlemesine yer verildiğini , ancak verilerin asıl tutulduğu ve Bakanlığın elinde olan sistemin "Merkezi Sağlık Veri Sistemi" olduğu, veri sahibinin bu sisteme müdahale olanağının bulunmadığı, sadece kendi hesabı olan kişisel sağlık kaydı sistemi üzerinde değişiklik yapmasının bir anlamının bulunmadığı,
Yönetmeliğin 5. maddesinin 2. fıkrasının (d) bendine göre sağlık verilerinin işlendikleri amaç için gerekli olan süre kadar saklanabileceğinin belirtildiği, ancak verilerin hangi süreden sonra silineceğinin düzenlenmediği, 9. maddenin 3. fıkrasında işlenen sağlık verilerinin yerel veri tabanından 10 yıl sonra silineceğinin belirtildiği, ancak sistemin ana bilgi deposu olan merkezi sağlık veri sisteminden ne zaman silineceğinin düzenlenmediği,
9\. maddenin 1. fıkrasındaki "Bu Yönetmelik, 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir." ibaresi ile idareye takdir hakkı tanındığı, oysa işlenme sebebi ortadan kalkar kalkmaz verinin silinmesinin esas olması gerektiği,
9\. maddenin 2. fıkrası ile sağlık verisi sahibinin silinme talep etmesine rağmen idare tarafından "bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesi" gibi son derece muğlak ve her durumu kapsayan hallerde verilerin silinmeyip arşivlendiği,
Bu nedenlerle, Yönetmeliğin 9. maddesinin 1., 2. ve 3. fıkralarının hukuka aykırı olduğu,
Yönetmelikle "Kişisel Sağlık Verileri Komisyonu" adı altında dayanak yasalarda öngörülmeyen bir komisyonun oluşturulduğu, Kişisel Verileri Koruma Kurulu'nun yurtdışına veri aktarılmasına karar verme yetkisinin Komisyona verildiği,
"Sağlık Verileri Komisyonu" başlıklı 12. maddenin 1. fıkrasında "Kişisel sağlık verilerine ilişkin hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine yardımcı olmak, görüş belirtmek, anlaşmazlıkları çözümlemek, veri aktarımına ilişkin başvuruları değerlendirmek, şikayetleri incelemek ve gerekli denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel Sağlık Verileri Komisyonunun oluşturulduğu"
2\. fıkrasında "Komisyonun, Müsteşarın veya görevlendirdiği Müsteşar Yardımcısının başkanlığında, Hukuk Müşavirliği, Sağlık Hizmetleri Genel Müdürlüğü, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü, Acil Sağlık Hizmetleri Genel Müdürlüğü, Türkiye Kamu Hastaneleri Kurumu, Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve Tıbbi Cihaz Kurumu ve Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğünün bu işle ilgili yetkilendirdikleri birer üyeden oluşacağının" düzenlendiği,
Alana ilişkin önemli kararları alan sürekli kurulların Bakanlıkların görev ve yetkisini düzenleyen kanunlarda açıkça düzenlenmiş ya da kurulmasına olanak sağlanmış olmasının şart olduğu, bu haliyle Komisyonun kuruluş meşruiyetini yasadan alan, tarafsız ve alana ilişkin meslek örgütlerinin katılımıyla oluşan bir oluşum olmadığı, bu nedenle 12. maddenin tamamının hukuka aykırı olduğu,
Yönetmeliğin 8. maddesinin 4. fıkrasındaki "Kişisel sağlık verilerinin uluslararası aktarımına ilişkin her türlü talep ile bu maddede sayılanlar dışındaki veri aktarımı talepleri, Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir." ibaresinin, 6698 sayılı Kanunun 9. maddesine açıkça aykırı olduğu, Kanunda yurt dışına veri aktarılmasına yönelik talepler hakkında karar verme yetkisinin Kişisel Verileri Koruma Kurulu'nda olduğunu ileri sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini istemektedirler.
07.04.2016 tarihli ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet Meclisi'ne sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu ilgilendirmesi nedeniyle bir "çerçeve kanun" olarak hazırlanmıştır.
Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede, Türk Ceza Kanunu'nun 135 ve devamı maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle, bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmaktadır. Ayrıca 2010 yılında Anayasa'nın 20. maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve konuya ilişkin usul ve esasların kanunla düzenleneceği öngörülmüştür.
Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL, EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak kabul edildiği ve bu nedenle ihlal kararları verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye'nin Avrupa Birliği'ne üyelik süreci açısından da önemine dikkat çekilmekte, Türkiye'nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi"ne de 1981 yılından itibaren taraf olduğu ifade edilmektedir.
Bütün bu hususlardan anlaşılacağı üzere 6698 sayılı Kanun, kişisel verilerin korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu'nun genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından önemlidir: "Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecekbir kurum bulunmamaktadır. Bunun bir sonucu olarak halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir."
6698 sayılı Kanunun 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulu'nun görev ve yetkileri, aynı Kanun'un 22. maddesiyle belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hükmüne yer verilmiştir.
Anılan Kanun'un, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinin 1. fıkrasında, dava konusu Yönetmelikle düzenlenen, sağlık verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin 4. fıkrasında, "Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü getirilmiştir.
6698 sayılı Kanunun Geçici 1. maddesi hükmü uyarınca, Kanunun 21. Maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu'nun Kanunun Resmi Gazete'de yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin ancak 30.01.2017 tarihinde yerine getirilebildiği anlaşılmaktadır.
Davalıların savunmaları ve dosya içeriğinden, dava konusu Yönetmeliğin Resmî Gazete'de yayımlandığı tarih olan 20.10.2016'da Kişisel Verileri Koruma Kurulu'nun henüz oluşturulmadığı, dolayısıyla 6698 sayılı Kanun'un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun'un 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan dava konusu düzenlemenin tesis edildiği görülmektedir.
Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu'nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulu'ndan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu'nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve 20/10/2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe giren dava konusu düzenlemede bu nedenle mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.
Açıklanan nedenlerle, olayda 2577 sayılı İdari Yargılama Usulü Kanunu'nun 4001 sayılı Yasa ile değişik 27. maddesinin 2. fıkrasında sayılan koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin kabulüne, 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin yürütmesinin durdurulmasına, bu kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri Kurulu'na itiraz yolu açık olmak üzere 06/07/2017tarihinde oyçokluğu ile karar verildi.
KARŞI OY:
07.04.2016 tarihli ve 29677 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 30. maddesi ile 1/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname'nin 47. maddesine getirilen "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı hüküm aşağıdaki şekildedir;
"MADDE 47- (Değişik: 24/3/2016-6698/30 md.)
\(1\) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
\(2\) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
\(3\) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
\(4\) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
\(5\) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
\(6\) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir."
Anılan maddenin son fıkrasıyla Sağlık Bakanlığı'na Yönetmelik çıkarma yetkisi ve görevi verilmiştir.
Mezkur Kanun'un 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulu'nun görev ve yetkilerinin belirlendiği, aynı Kanun'un 22. maddesinin 1. fıkrasının (h) bendindeki "Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek" hükmünden diğer kurum ve kuruluşlarca hazırlanacak mevzuat taslakları hakkında Kurul'dan görüş alınmasının zorunlu olduğu anlamı çıkarılamaz.
Kaldı ki, anılan Kanun'un Geçici 1 inci maddesinin 1. fıkrasında, "Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur." hükmüne yer verilmiştir. Bu hüküm uyarınca en geç 07.10.2016 tarihinde oluşması gereken Kurul, Yönetmeliğin çıkartıldığı 20.10.2016 tarihinde henüz teşekkül etmemiştir. Teşekkül etmeyen bir Kurul'dan görüş alınması da mümkün değildir.
Ayrıca, anılan Kanun'un 6. maddesinin 4. fıkrasında, "Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü yer almaktadır. Bu hükme göre Kurul tarafından yeterli önlemlerin belirlenmemesinin diğer kurum ve kuruluşlarca düzenleyici işlem yapılmasına engel teşkil edeceği düşünülemez. Anılan hükme göre Kurum ve kuruluşların, mevzuat taslaklarını hazırlarken, Kurul tarafından belirlenmiş önlemler varsa bunları dikkate alacakları konusunda kuşku yoktur. Ancak maddede sözü geçen önlemler Kurul tarafından bir kereye mahsus kararlaştırılıp daha sonra değiştirilemeyecek önlemler değildir. Kurul her zaman, belirlediği önlemleri değiştirebilir, uluslararası gelişmelere, zamanın gereklerine vs. göre yenilerini ekleyebilir. Kişisel verileri işleyenlerin, Kurul tarafından herhangi bir zamanda belirlenelen önlemleri her zaman alacağı açıktır. Nitekim, İptali istenen Yönetmeliğin 7. maddesinin 4. fıkrasında "Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemler de alınır." hükmüne yer verilmiştir. Yani kurum ve kuruluşlarca, Kurul tarafından -ister Yönetmelik çıkarılmadan önce ister çıkarıldıktan sonra belirlensin- belirlenen tüm önlemler alınacaktır.
Açıklanan nedenlerle, dava konusu düzenlemede bu yönüyle hukuka aykırılık bulunmadığı, Yönetmeliğin iptali istenen maddelerinin incelemesine geçilmesi gerektiği düşüncesiyle çoğunluk kararına katılmıyoruz.